Taller de Ciberseguridad

Módulo 5. Ciberdefensa
Nota Técnica

Contenidos

Contexto de la Ciberdefensa ........................................................................................... 1

Controles de Acceso ....................................................................................................... 3
Marco normativo y estándares ....................................................................................... 4
Controles de Ciberseguridad .......................................................................................... 5
Seguridad de Sistemas de Información ......................................................................... 6
Niveles de aplicación ................................................................................................... 6
Bastionado del host ..................................................................................................... 7
Controles de Cifrado ....................................................................................................... 8
Seguridad en aplicaciones móviles.............................................................................. 10
Por qué las aplicaciones móviles ............................................................................. 10
Seguridad en la nube..................................................................................................... 12
Seguridad ................................................................................................................... 13
Seguridad redes inalámbricas ...................................................................................... 13
Tipos de redes ............................................................................................................ 14
Canales ....................................................................................................................... 14

Contexto de la Ciberdefensa

Las ciberamenazas provienen de un actor o grupo de actores que desempeñan algún

papel en las mismas. Es importante tener en cuenta tres factores: motivos,
capacidades e intenciones. Los motivos de un atacante pueden ser de tipo político,
económico, activista, religioso… La capacidad de un actor tiene que ver con su
conocimiento, tiempo y medios para llevar a cabo el ataque. Por último, la intención,
puede ir desde la investigación, al beneficio económico, pasando por el espionaje, la
reivindicación…

Existen diferentes taxonomías y clasificación de actores en función de sus

motivaciones, capacidades e intenciones. A efectos ilustrativos y para el objetivo de
este módulo, se describen los siguientes tipos de actores:

• Lobos solitarios: En este grupo encajarían los actores individuales, así

como aquellos pequeños grupos de actores con pocas capacidades
(conocimiento, tiempo o medios) para llevar a cabo ataques. Sus intenciones
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

suelen ser el beneficio económico y el robo y venta de información.

• Insiders: Con este término se suele referir a los actores que estando dentro
de una organización llevan a cabo acciones maliciosas deliberadamente.
Este tipo de actores suele usarse también por grupos criminales, con el fin de
saltarse las medidas de seguridad y/o obtener más información acerca de la
seguridad y funcionamiento del activo objeto de ataque.
• Hacktivistas: Este tipo de actores combinan las motivaciones de los
activistas con la habilidad técnica de los hackers para lograr diversos fines
ideológicos. Entre este tipo de actores se encontraría Anonymous.
• Organizaciones criminales: Este grupo de actores tienen una gran
capacidad para perpetrar ataques muy sofisticados y prolongados en el
tiempo. Algunos ejemplos de organizaciones de este tipo serían: Magecart
(conocido por ataques a empresas retail) o Lazarus (ataques a sistemas de
pago de la banca).
• Espionaje industrial y Naciones: Los gobiernos cada vez más, reconocen
los ciber ataques como uno de los principales riesgos por el cual deben
proteger su infraestructura crítica (ejemplo: red eléctrica, sistema
bancario…). Los estados nacionales u organizaciones apoyadas por estos,
a menudo se dirigen a entidades gubernamentales y privadas para obtener
Inteligencia o realizar actividades destructivas.
• Hacker ético: Este tipo de actores realizan ataques de prueba, por encargo
de empresas o dueños de los activos, con el fin de identificar vulnerabilidades
y realizar investigaciones.

Es importante a la hora de identificar los riesgos, analizar cuales son los tipos de
eventos que se pueden generar en un activo. De una manera sencilla y como ejemplo,
estos se podrían enumerar en los siguientes cuatro tipos de eventos:

• Robo o fuga de información: consiste en la exfiltración no voluntaria de

información. Los atacantes podrían publicar la información robada en
internet causando daño reputacional o venderla/ intercambiarla en el
mercado negro (Dark net).
• Manipulación o destrucción de información: implica la modificación
deliberada del activo y su información (ejemplo: defacement de una web o
modificación de los datos almacenados en el sistema) o su
destrucción/inutilización para solicitar una suma económica a cambio de la
vuelta a la normalidad.
• Disrupción del activo o negocio: este evento de riesgo consiste en la
disminución del rendimiento o interrupción total del activo.
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

• Fraude: Existen multitud de eventos de fraude, como por ejemplo robo de

la identidad digital de un individuo para realizar operaciones suplantando su
identidad, fraude directo a una empresa con perjuicio económico…

La materialización de un evento de ciber riesgo se concreta en diferentes tipos de

impactos a valorar: pérdidas financieras, costes de reparación o sustitución, costes
por la interrupción del servicio, pérdida de reputación y confianza de los clientes,
multas regulatorias, ruptura de condiciones contractuales, pérdida de ventaja
competitiva o daños personales.

Controles de Acceso

Control de accesos es uno de los controles clave en la ciberseguridad. Tiene por

objetivo evitar el acceso indebido a los sistemas e información, así como limitar los
permisos que sobre ellos puede tener un usuario. Dentro del ámbito de control de
accesos, las siguientes categorías de controles son claves:

Gestión de identidades: La gestión de identidades se basa en enlazar a las

personas con los sistemas. Para ello es necesario gestionar la identidad del usuario
en los sistemas, de cara a poder realizar la autenticación, quién es el usuario, y su
autorización (comprobando que el usuario puede acceder al sistema y con qué
permisos (perfil). En una organización madura, el objetivo es centralizar las
identidades en un directorio, así como los servicios de autenticación y autorización.

Altas y bajas: El alta de usuarios es parte del proceso de registro en una aplicación,
y es el momento en el que se crean las cuentas de usuarios, sus contraseñas y sus
derechos de acceso (permisos/perfil). Los permisos de acceso a un sistema pueden
cambiar frecuentemente, por ejemplo, cambio de puesto de trabajo dentro de la
misma empresa. Del mismo modo, es necesario eliminar el acceso al usuario
cuando ya no sea necesario. Es recomendable, que este proceso de altas y bajas
sea complementado con revisiones periódicas de los usuarios que tienen acceso a
la información o sistemas, con el objetivo de identificar cualquier acceso incorrecto
o no necesario.

Una buena práctica en el proceso de alta es el concepto de menor privilegio. Esto

es otorgar a los usuarios los accesos estrictamente necesarios para el desempeño
de sus tareas o funciones. Las restricciones de acceso también pueden aplicarse a
nivel de archivos digitales: leer, consultar, copiar, borrar, imprimir.

Gestión de usuarios privilegiados: generalmente, se considera a los

administradores y técnicos de sistemas usuarios privilegiados. Esto es así, dado
que tienen accesos que permite mantener y proteger los sistemas y las redes. Este
tipo de usuarios, pueden a menudo por su naturaleza, acceder a la información
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

almacenada dentro de un sistema, lo que significa que pueden modificar o eludir los
controles existentes para otros usuarios. Por ello, es crucial para cualquier
organización gestionar los usuarios privilegiados, estableciendo para ello controles
adicionales:

• Limitar el acceso privilegiado solo a aquellos que lo requieren para realizar

sus funciones de trabajo
• Implantar doble factor de autenticación
• Monitorizar la actividad asociada con cuentas privilegiadas

Listas de acceso: Las listas de acceso permiten controlar el tráfico de red. Su

objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo con
alguna condición (reglas establecidas).

Marco normativo y estándares

La ciberseguridad se centra en el diseño, implantación y gestión de los

controles/medidas de seguridad con el objetivo de mitigar el riesgo. Para ello, las
políticas de ciber seguridad son un elemento primordial en el gobierno de una
empresa. Las políticas especifican requisitos y definen los roles y responsabilidades
de los empleados en la organización. Por lo tanto, deben ser creadas, y
posteriormente aprobadas por la gerencia de la empresa.

Adicionalmente a las políticas, existen otros documentos que deben crearse para el
buen gobierno de la ciberseguridad en una organización. Esto dependerá del
tamaño de la empresa y cómo se articule. En general, es conveniente distinguir
entre los siguientes documentos normativos:

• Marco de Ciberseguridad: articula la estrategia ciber dentro de la

organización. Debe ser un documento conciso, bien definido y con un
lenguaje muy sencillo de forma que sea fácil de entender por todas las partes
afectadas.
• Políticas: describen los requisitos y controles de ciber seguridad en la
organización. Qué se tiene que hacer y quién lo debe hacer.
• Estándar: interpreta las políticas en situaciones específicas (por ejemplo,
estándar de seguridad en dispositivos móviles).
• Procedimientos: provee detalles de cómo se tiene que cumplir con las
políticas y estándares.
• Guías: provee directrices generales en aspectos y circunstancias muy
específicas. No son requisitos generales.
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

Controles de Ciberseguridad

Un control, es la medida organizativa o técnica, implantada en la organización para

mitigar el riesgo inherente. La efectividad del control, tanto en diseño como en
funcionamiento, es lo que determinará el riesgo residual.

Es por ello, que en la identificación de riesgos resulta clave el mapeo a los controles
existentes, definidos y documentados en las políticas. Para el diseño de los
controles, y como se ha visto anteriormente en este módulo, existen diferentes
marcos y buenas prácticas que pueden servir de base: COBIT5, ISO27001, CIS 20
critical controls o NIST Cybersecurity framework.

Al objeto de este módulo, se explicará en mayor detalle el NIST Cyber Security

Framework, cuyos controles se basan y están mapeados al resto de buenas
prácticas descritas anteriormente. NIST Cyber Security Framework permite de
manera sencilla a las organizaciones, independientemente de su tamaño, aplicar
las mejores prácticas para la gestión de riesgos, mejorando la resiliencia de sus
infraestructuras.

El framework se estructura en 5 funciones básicas:

• Identificar: Desarrollar el conocimiento de la organización para gestionar

riesgos de seguridad en sistemas, activos, datos y capacidades.
• Proteger: Desarrollar e implementar las salvaguardas adecuadas para
garantizar la prestación de servicios.
• Detectar: Desarrollar e implementar las actividades apropiadas para
identificar la ocurrencia de un evento de ciber seguridad.
• Responder: Desarrollar e implementar las actividades apropiadas para
actuar ante un evento de ciber seguridad detectado.
• Recuperar: Desarrollar e implementar las actividades apropiadas para
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

mantener planes de resiliencia y restaurar las capacidades o servicios que

fueron perjudicados debido a un evento de ciber seguridad.

Seguridad de Sistemas de Información

La seguridad informática se enfoca en la protección de los sistemas y lo relacionado

con éstos como la información que contienen y las redes por donde fluye.

La superficie de ataque se define como el conjunto de métodos o vías que puede

utilizar un atacante para entrar a un sistema y causar un daño potencial. Por
ejemplo, un servidor que vaya a dar servicio de DNS sólo debe tener ese servicio
operativo, otros como el de servidor de impresión, ficheros, web… Deben estar
todos deshabilitados. De esta manera, la única forma de interactuar remotamente
con el equipo será a través del servicio publicado.

Al ser solo uno, con un propósito muy concreto, será relativamente sencillo
configurarlo de forma segura y monitorizar las peticiones, facilitando mucho la tarea
de monitorización para poder detectar cualquier comportamiento anómalo. La
acción de reducir la superficie de ataque se conoce como hardening o bastionado.
Este proceso requiere de la evaluación de la arquitectura de seguridad del entorno
a proteger y la auditoría de configuración previa. Se debe tener en cuenta que
elementos que se pueden configurar como seguros en un sistema puede no ser
extrapolable a otros. Por ejemplo, el bastionado de un servidor ssh al que solo se
va a acceder desde la red local, no es igual que si esa conexión se tiene que realizar
desde internet.

Niveles de aplicación
Las configuraciones de seguridad son aplicables a diferentes niveles:

• Aplicación: sólo se debe permitir de forma explícita lo que sea necesario

para el funcionamiento del sistema, denegando el resto.
• Host/servicios: mientras que aplicar actualizaciones del sistema ayuda a
corregir vulnerabilidades conocidas, una de las mejores formas de proteger
el sistema contra aquellas no reportadas es deshabilitar todos los servicios
que no sean requeridos para la normal operativa de este. Si un servicio no
se encuentra habilitado, no puede ser explotado.
• Red/perímetro: incluye la protección perimetral lógica (segmentación,
topología) como la electrónica de red (routers, switches, firewalls…)
• Físico: tiene una especial relevancia. Un servidor puede dejar de funcionar
porque se realice un ataque directo contra él o contra los factores que lo
protegen. Un buen ejemplo es que una máquina de estas características
genera una temperatura importante, si se quisiera hacer que dejara de dar
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

servicio, se podría atacar directamente el sistema de refrigeración que usara

la sala en la que estuviera instalado.

Bastionado del host

Se centra en el sistema operativo (SSOO) del servidor o estación de trabajo. Las
distintas partes que se deben tener en cuenta son:

• Inicio del sistema. Al arrancar un equipo lo primero que se ejecuta es la

BIOS (Basic Input Output System) o UEFI (Universal Extensible Firmware
Interface) que sustituye a la BIOS, añade mayor seguridad, tiempos de
carga mejores, compatibilidad con almacenamientos de más de 2TB y
más memoria RAM.Prueban el hardware para después transferir el control
al SSOO. Como proceso de bastionado se puede:

• Definir contraseña de arranque, si no se introduce el sistema no arranca

• Definir contraseña de modificación, para impedir hacer cambios no legítimos
• Evitar la carga de controladores de algún hardware, por ejemplo, los USBs,
impidiendo que el SSOO pueda trabajar con ellos.
• Cambiar el orden de arranque, para evitar que se pueda arrancar desde un
USB y saltar la seguridad del SSOO.

Una vez pasa el control de la BIOS/UEFI al SSOO, se debe prestar atención a los
servicios que se inician, deshabilitando todo aquello que no sea necesario.

• SSOO. Dentro del sistema, hay varios niveles a tener en cuenta:

• Políticas de acceso al sistema, que incluyen:
• Contraseñas: evitar el cifrado reversible, exigir un historial, criterios de
complejidad, longitud, vigencia máxima
• Política de bloqueo de cuenta

Eventos y auditoría: es importante poder trazar y analizar lo que ocurre en el

SSOO, en esta parte se evalúa qué es lo que se registra, las políticas de retención
y exportación.

Configuración de red y firewall: se puede modificar el comportamiento del sistema

para evitar dar información importante en un escaneo, y el firewall permite bloquear
tráfico no deseado.

Cifrado: con esta medida se evita que la información esté accesible en caso de
robo o pérdida de los discos.

Control de dispositivos: permite limitar el tipo de dispositivos que se conectan al

equipo (tarjetas de memoria, dispositivos USB no autorizados…)
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

Configuración del sistema: estas medidas se pueden aplicar a nivel de máquina o

de usuario. El alcance es variado en función del SSOO (Windows, Linux, OSX,
*nix…).

Controles de Cifrado

Según la RAE, la criptografia se define como el arte de escribir con clave secreta o
de un modo enigmático. Otros conceptos importantes son los siguientes.
Codificar, que consiste en aplicar una transformación a los datos que está basada
en modificar el juego de caracteres. Es reversible y no depende de una clave. Un
ejemplo de codificación es BASE64.

Cifrar consiste en aplicar una transformación a los datos que depende de una clave
y es reversible mediante el uso de otra clave. Hay dos tipos:
• Simétrico: la clave de cifrado y descifrado es la misma, por ejemplo, AES.
• Asimétrico: la clave de cifrado y descifrado son distintas, por ejemplo, RSA.
Tiene dos usos principales:
• Para cifrar, donde se cifra con la clave pública y se descifra con la privada
• Para firmar, se cifra con la clave privada y se descifra con la pública.
• Para autenticar y demostrar que cada uno de los pares de una comunicación
es quién dice ser, se puede usar el propio cifrado. Si ciframos un mensaje
con una clave solo conocida por nosotros, demostrando que somos quien
decimos ser, el receptor podrá constatar nuestra identidad descifrándolo.
Este uso se puede dar con ambos tipos, tanto el simétrico como el asimétrico.
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

Hash es el resultado de aplicar una transformación a los datos que destruya

información, de forma que no sea reversible, y que la salida, idealmente, no pueda
diferenciarse de un dato aleatorio. No depende de una clave, por ejemplo, MD5,
SHA-1, SHA-256.

HMAC consiste en aplicar una transformación de tipo hash a los datos, que dependa
de una clave, por ejemplo, HMAC-SHA-256. No es reversible.

Como resumen de los conceptos anteriores:

¿Por qué es necesaria?

Aunque su origen y las referencias a la criptografía han sido siempre por el ámbito
militar, es necesaria a todos los niveles pues otorga privacidad, confidencialidad y
seguridad a todos los niveles (comunicaciones personales, transacciones
telemáticas…).
Ejemplos:
• DES (Data Encryption Standard): es un algoritmo de cifrado simétrico
desarrollado por la NSA a petición del gobierno de EEUU bajo la presión de
las empresas por la necesidad de un método para proteger sus
comunicaciones. Fue escogido como FIPS (Federal Information Processing
Standard) en el año 1976 y su uso se extendió por todo el mundo. Hoy en
día DES es considerado inseguro dada su clave de 56 bits, insuficiente frente
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

al poder computacional actual. En su variante Triple DES el algoritmo se cree

seguro.

• AES (Advanced Encryption Standard): también conocido como Rijndael fue

el ganador del concurso convocado en el año 1997 por el NIST (National
Institute Standars Technology) con objetivo de escoger un nuevo algoritmo
de cifrado. En 2001 fue tomado como FIPS y en 2002 se transformó en un
estándar efectivo. Desde el año 2006 es el algoritmo más popular empleado
en criptografía simétrica.

• RSA (Rivest, Shamir y Adleman): es un algoritmo de cifrado asimétrico

desarrollado en el año 1977 por los anteriormente citados. Este algoritmo se
basa en escoger 2 números primos grandes elegidos de forma aleatoria y
mantenidos en secreto. La principal ventaja de este algoritmo desde el punto
de vista de seguridad radica en la dificultad a la hora de factorizar números
grandes. RSA es seguro hasta la fecha.

Seguridad en aplicaciones móviles

Las aplicaciones móviles están desde hace “poco” tiempo en el mercado, unos 11
años, que en los tiempos en que se mueve la informática es mucho.
Lamentablemente, la seguridad no se tuvo en cuenta en los primeros desarrollos,
repitiendo todos los errores de programación de las aplicaciones de escritorio
primero, como los reprodujeron las aplicaciones web después y las aplicaciones
móviles como tercera generación donde se demuestra que no se aprendió nada. Al
igual que los desarrolladores, los usuarios tampoco aprendieron nada, asignado
permisos a las aplicaciones sin un mínimo de control y pensamiento crítico.
Por qué las aplicaciones móviles

En los móviles se guarda multitud de información sensible, y los usuarios no son

siempre conscientes de ello. Por ejemplo:

• Correos electrónicos
• Contactos (teléfonos, email, direcciones de domicilios, fechas de
cumpleaños…)
• Información bancaria
• Mensajería instantánea
• Fotos, vídeos
• Información de tarjetas de crédito
• Datos de localización
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

• Información de salud
• Citas de calendario
• Datos de navegación
• Redes sociales
• Etc.
Toda esa información se gestiona a través de aplicaciones móviles, que no siempre
cumplen con unos mínimos en lo que a seguridad se refiere. Las siguientes gráficas
representan el número de vulnerabilidades críticas en las dos principales
plataformas de móviles:

Cómo aumentar la seguridad

Existe un proyecto llamado MASVS (Mobile Application Security Verification
Standard) con varios objetivos:

• Proveer requerimientos para arquitectos y desarrolladores

• Ofrecer un estándar para la industria
• Clarificar el rol de los mecanismos de protección y proporcionar
requerimientos para la revisión de seguridad
• Proveer recomendaciones específicas sobre el nivel de seguridad
recomendado para distintos casos de uso
Los requisitos que propone son:

• Requerimientos de arquitectura, diseño y modelado de amenazas, variará

en función de la plataforma en la que se desarrolle.
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

• Requerimientos en el almacenamiento de los datos y la privacidad, que

busca la protección de datos sensibles e información privada.
• Requerimientos de criptografía, asegurando que se aplica de forma
correcta, sin errores que permitan el acceso no autorizado.
• Requerimientos de autenticación y manejo de sesiones, aunque la mayor
parte de esta actividad se produce en el servidor, se dan unas directrices
básicas.
• Requerimientos de comunicación a través de la red, asegurando la
confidencialidad e integridad de las comunicaciones entre la aplicación y
el servidor.
• Requerimientos de integración con la plataforma, fomentando el uso de
las APIs nativas disponibles
• Requerimientos de calidad de código y configuración del compilador,
buscando que se sigan buenas prácticas en el desarrollo de las
aplicaciones
• Requerimientos de resistencia ante la ingeniería inversa, éstos están
pensados para dificultar el acceso o entendimiento del modo de ejecución
de la aplicación.
Seguridad en la nube
Las ventajas del uso de la nube son evidentes para las empresas:
• Más flexibilidad, teniendo más capacidad de cómputo cuando es
necesaria, al igual que con el almacenamiento (modelo escalable).
• El coste es menor que hacerse cargo de la infraestructura on-
premise, que incluye la adquisición de los equipos, su ubicación,
operación y mantenimiento.
• Acceso desde cualquier sitio y dispositivo.
• Permite concentrar los esfuerzos en los procesos de negocio.
• Permite a las pequeñas empresas el acceso a una infraestructura
competitiva a todos los niveles con un coste que se pueden
permitir.
Sin embargo, también hay una serie de riesgos que hay que saber afrontar y
gestionar para que la experiencia sea satisfactoria.

• Privacidad de los datos. Se debe tener en cuenta qué información

se sube, cuáles son los riesgos y tomar acción sobre ellos. Hoy en
día hay soluciones tecnológicas que permiten un control exhaustivo
a este respecto, como pueden ser las soluciones de CASB (Cloud
Access Security Brokers)
• Disponibilidad. Se debe tener en cuenta los SLAs (Service Level
Agreements) de respuesta del proveedor, evaluándolos por si se
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

adecúan a las necesidades de la empresa.

• Falta de control sobre los recursos. Al igual que con la disponibilidad,
se depende del proveedor, de ahí, de nuevo, que haya que
valorarlo con detenimiento, e identificar si ofrece las condiciones
que la empresa requiere.
• Dependencia. En función del tipo de servicio y las tecnologías que
se usen, la empresa puede quedar cautiva del proveedor, ya que la
migración a otro resulte extremadamente difícil o costosa.

Seguridad
Una herramienta especialmente útil para adoptar de forma segura a la nube son
los CASB mencionada anteriormente. Cubre 3 aspectos fundamentales:

• Gobierno: permiten, entre otras cosas,

o Controlar y monitorizar la actividad de los usuarios con
independencia del dispositivo desde el que se conecten (PC
corporativo, PC personal, móvil, tablet…) en tiempo real.
o Limitar qué dispositivos son los que pueden ser usados (sólo PCs
corporativos)
o Forzar políticas distintas para diferentes instancias (cuentas
personales y cuentas corporativas)
o Monitorizar las cuentas privilegiadas
• Control del dato:
o Previene la exfiltración y/o infiltración de información a la instancia
corporativa
o Monitoriza la actividad de los usuarios en herramientas
colaborativas o redes sociales
o Aplicación de políticas por defecto o de excepción
o Forzar políticas DLP entre aplicaciones.
• Protección frente amenazas:
o Detecta y alerta de actividades anómalas de los usuarios (descarga
masiva de datos, intentos de acceso a información sensible,
geolocalización de accesos…)
o Bloquea o remedia infecciones de malware, impidiendo su
propagación.
o Aplica cifrado en función de unas condiciones determinadas.

Seguridad redes inalámbricas

Wi-Fi es una marca comercial de Wi-Fi Alliance (una organización que adopta y
certifica los equipos que cumplen con los estándares 802.11 de las redes
inalámbricas de área local). Actualmente asociamos Wi-Fi con el tipo de conexión
inalámbrica que utilizamos equivalente a lo que previamente era Ethernet, y que
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

permite conectar diferentes dispositivos en una misma red sin necesidad de utilizar
cables.

Tipos de redes
• Open: no conlleva ningún cifrado ni contraseña de acceso a la red.
• WEP: fue el primer tipo de tecnología con cierta protección. Cifra los datos
en la red de forma que sólo los usuarios de la red puedan acceder a ellos. Los
detalles de las redes WEP son:

o Tipos de cifrado: 128 y 256 bits.

o Vector de inicialización: 24 bits.
o Tipos de autenticación: De sistema abierto y mediante clave
compartida.

La principal vulnerabilidad se encuentra en que no se implementa adecuadamente

el vector de inicialización del algoritmo RC4, ya que el valor es predecible. Además
el tamaño de dicho vector es pequeño, lo cual permite provocar colisiones.

WPA / WPA2: Son una evolución de las redes WEP, con gran cantidad de mejoras
en múltiples aspectos, y entre ellos el de la seguridad. Una de las mejoras es el
uso del protocolo TKIP (Temporal Key Integrity Protocol), que permite cambiar las
claves de dinámicamente cada 10.000 paquetes aproximadamente, además de
tener un vector de inicialización (IV) mucho mayor. De esta forma se evitan los
ataques estadísticos como ocurría con WEP.

Los detalles de las redes WPA/WPA2 son:

o Tipos de autenticación: clave compartida, Radius o mediante

WPS.
o Vector de inicialización: 48 bits.
o Algoritmo común de cifrado: AES.

Actualmente las redes WPA/WPA2 (PSK) basan su seguridad en la complejidad de

la clave, pues no existe ninguna vulnerabilidad pública que permita recuperar la
contraseña en texto. Una de las formas más comunes de vulnerar las redes WPA
es mediante la captura del Handshake y a través de fuerza bruta con diccionario,
o mediante la funcionalidad de WPS (Wi-Fi Protected Setup).
Canales
Las redes inalámbricas pueden operar en diferentes canales:
 Taller de Ciberseguridad
Módulo 5. Ciberdefensa
Nota Técnica

Amenazas
Existen múltiples acciones maliciosas que pueden ser desarrolladas mediante el
uso de redes Wi-Fi, algunos ejemplos son:
• Cracking de la contraseña
• Intrusión en la red (Posteriormente acceso a redes más críticas)
• Interceptación de datos (Posteriormente obtención en texto claro)
• Interferencia radial (Uso de inhibidores)
• Denegación de servicio (A los clientes y la propia red)
• Creación de redes falsas (Fake AP y ataques WPA2-Enterprise)
• Ataques a clientes y uso de ingeniería social
Se pueden dar otros ataques o amenazas adicionales, pues al final es cuestión de
imaginación.