01 Introduccion ALa Ciberinteligencia YCiberseguridad

Introducción a la ciberinteligencia y
ciberseguridad © ADR Infor SL

Índice
INTRODUCCIÓN A LA CIBERINTELIGENCIA Y CIBERSEGURIDAD 3
I. INTRODUCCIÓN 3
II. OBJETIVOS 3
III. INTRODUCCIÓN A LA CIBERSEGURIDAD 3
3.1. ¿Cómo debe ser la ciberseguridad? 4
3.2. Definiciones de seguridad informática 4
3.3. Confidencialidad 5
3.4. Integridad 6
3.5. Disponibilidad 7
3.6. Otros aspectos relacionados 7
IV. INTRODUCCIÓN A LA CIBERINTELIGENCIA 9
4.1. Administración del riesgo 10
4.2. Gestión del riesgo, expectativas 10
4.3. Principios básicos de actuación en ciberinteligencia 11
4.4. Ciclo de ciberinteligencia 13
V. AMENAZAS EN LA RED 15
5.1. Tipos de vulnerabilidades 17
5.2. Tipos de amenazas 18
5.3. Malware 22
5.4. Otras amenazas 31
VI. EJEMPLOS DE AMENAZAS 33
6.1. Virus informáticos y otros malware 33
6.2. Troyanos bancarios 42
Carberp 43
Citadel 43
SpyEye 43
Zeus 44
6.3. URL de información sobre SCAM 44
6.4. Ejemplos de adwares - spyware - rogueware 46
6.5. Ejemplos de APT 47
6.6. Ejemplos de botnets 51
6.7. Ejemplos de ransomware 53
VII. PRESENTACIONES ADICIONALES 61
Ejercicios 62
Ejercicio propuesto 1 62
Recursos 70
Enlaces de Interés 70
2/70
Introducción a la ciberinteligencia y ciberseguridad
INTRODUCCIÓN A LA CIBERINTELIGENCIA Y
CIBERSEGURIDAD
I. INTRODUCCIÓN
En esta unidad vamos a hablar de ciberinteligencia y de ciberseguridad.
El que estos sustantivos vayan precedidos del prefijo “ciber” que surge de la palabra “cibernética” o
“informática”, y que la red preferida de los cibernautas es Internet, también llamada ciberespacio,
significa que podemos referirnos a ellos como inteligencia informática y seguridad informática, que
engloba a la inteligencia en Internet y a la seguridad en Internet.
Es decir, que se tratará de aplicar inteligencia a los compromisos sufridos a través de Internet o a los
recursos que se encuentran en Internet y de aplicar seguridad a esos elementos accesibles a través de
Internet.
II. OBJETIVOS
Conocer lo qué es la ciberseguridad y la ciberinteligencia.

Identificar los diferentes elementos que se deben fortificar en la ciberseguridad y su
importancia en su conjunto.
Aprender a administrar los riesgos.
Conocer los principios básicos de la ciberseguridad.
Diferenciar las diferentes fases del ciclo de la ciberinteligencia.
Conocer los tipos de vulnerabilidades y sus características.
Conocer las diferentes amenazas a las que estamos sujetos en función del efecto
causado.
Identificar la diversidad de malware existente y que los mismos pueden combinarse.
Entender la existencia de amenazas avanzadas como las Botnets y las APT.
Conocer qué es la ingeniería social.
III. INTRODUCCIÓN A LA CIBERSEGURIDAD
3/70
Cuando hablamos de ciberseguridad nos estamos refiriendo a la seguridad informática y no existe un

manual, libro mágico, hardware o software perfecto que nos proteja de las ciberamenazas, simplemente
no existe, solo el perfecto conocimiento de nuestros sistemas, de nuestros enemigos, de las amenazas
existentes, pero sobre todo lo más importante para aplicar una buena ciberseguridad son:
El sentido común.
La experiencia.
3.1. ¿Cómo debe ser la ciberseguridad?

La ciberseguridad debe ser adecuada a cada caso y en función de una serie de considerandos a evaluar
previamente. Esa prevaloración se deberá aplicar a diversos factores del caso a asegurar como son los
activos, las vulnerabilidades, las amenazas y los riesgos, conceptos que analizaremos más en
profundidad en esta unidad.
Imaginemos que tenemos unos documentos en un ordenador portátil, ¿cómo podemos proteger esa
información? En algún caso será suficiente con tener el ordenador en un despacho, solo el mero hecho de
que el ordenador esté en un despacho puede ser suficiente para que otras personas entren en el despacho
a acceder al mismo. En otros estamentos, ese despacho podría estar cerrado para evitar que alguien
accediera a su interior. Del mismo modo, el equipo podría estar apagado para quien accediera al mismo
se encontrara con la barrera de tener que encenderlo. Se podría aplicar una contraseña de acceso al
sistema por si alguien lo encendiera. Podría estar sujeto con una cadena de seguridad por si alguien
optase por llevarse el equipo o tener los documentos cifrados en el propio disco duro. Incluso se podría
poner el ordenador dentro de una caja fuerte o un guardia de seguridad custodiándolo, así podríamos
pensar infinitas formas de protección a distintos niveles incluyendo conjuntos variables de
combinaciones de las mismas.
Cada caso es distinto y no se puede aplicar las mismas técnicas de protección.
Si obligamos a nuestros empleados o clientes a usar contraseñas muy complejas como de 24

caracteres con un mínimo de caracteres no alfanuméricos, además de emplear mayúsculas y minúsculas,
y debiéndola cambiar cada mes sin repetir contraseñas anteriores o subconjuntos de aquellas,
probablemente mucho de esos empleados tendrán su contraseña escrita en un papel cerca de su
ordenador y el verdadero sentido de la seguridad no será eficaz.
3.2. Definiciones de seguridad informática

Extraída del documento DODD 5200.28 del Departamento de Defensa de los Estados Unidos
de América donde se define la seguridad informática como "la estructura de control que se
establece para gestionar la disponibilidad, integridad, confidencialidad y consistencia de los
datos, los sistemas de información y los recursos informáticos".
Extraída de las memorias del Foro de Consulta sobre Derecho e Informática donde se define la
seguridad informática como "un conjunto de controles que tienen la finalidad de mantener la
confidencialidad, integridad y confiabilidad de la información".
Una definición a nivel operacional es "un ordenador es seguro si podemos contar con que su
hardware y su software se comporten como se espera de ellos".
4/70
Grupo de hackers Heineken Team, en su trabajo “SEGURIDAD Y PROTECCIÓN DE LA

INFORMACIÓN - Introducción a la problemática de la Seguridad Informática”, decían: "no
existe una definición estricta de lo que se entiende por seguridad informática, puesto que esta
abarca múltiples y muy diversas áreas relacionadas con los sistemas de información. Áreas que
van desde la protección física del ordenador como componentes hardware, de su entorno, hasta
la protección de la información que contiene o de las redes que lo comunican con el exterior.
Tampoco es único el objetivo de la seguridad. Son muy diversos tipos de amenazas contra los
que debemos protegernos. Desde amenazas físicas, como los cortes eléctricos, hasta errores no
intencionados de los usuarios, pasando por los virus informáticos o el robo, destrucción o
modificación de la información".
Aspectos fundamentales
No obstante, sí hay tres aspectos fundamentales que definen la seguridad informática:
La confidencialidad.
La integridad.
La disponibilidad de los datos. [...]
"Dependiendo del tipo de sistema informático con el que tratemos (militar, comercial, bancario...)
el orden de importancia de estos tres factores es diferente, e incluso entran en juego otros elementos,
como la autenticidad o el no repudio. El enfoque de la política de seguridad y de los mecanismos
utilizados para su implementación está influido por el más importante de los tres aspectos. Estos
aspectos también pueden entenderse como metas u objetivos".
En síntesis, hay tres aspectos primordiales en la ciberseguridad que son la confidencialidad, la

integridad y la disponibilidad.
3.3. Confidencialidad
(Del inglés “Confidenciality”). Acceso a la información por parte únicamente de quienes estén
autorizados. Según [ISO/IEC 13335-1:2004]: "característica/propiedad por la que la información
no está disponible o revelada a individuos, entidades, o procesos no autorizados".
El propósito de este aspecto de la seguridad es garantizar el no acceso a la información por ninguna

persona que no esté autorizada a la misma, ya sea en información almacenada como en una transmisión.
En la norma ISO/IEC 27000:2014 Tercera edición está definida la confidencialidad como:

"confidentiality: property that information is not made available or disclosed to unauthorized
individuals, entities, or processes": propiedad de que esa información no esté disponible o sea divulgada
a personas, entidades o procesos no autorizados.
A veces nos podemos referir a la confidencialidad como privacidad, aunque este término no es muy
acertado, dado que la privacidad está relacionada con la intimidad privada tal como lo define el
Diccionario de la lengua española de la Real Academia - DRAE: "ámbito de la vida privada que se tiene
derecho a proteger de cualquier intromisión".
5/70
Para proteger la confidencialidad de estos accesos no autorizados se ha enfocado el uso de la

criptografía por su eficacia en este aspecto, además de ofrecer también solución a otros aspectos de la
seguridad como la integridad.
Como uno de los propósitos de la confidencialidad es la protección a la interceptación de la

información por terceros en una comunicación, esta protección se debe establecer independientemente
de la seguridad que el propio sistema incorpore, ya que muchos sistemas de comunicación adolecen de
una seguridad adecuada como el correo electrónico.
Para que un sistema sea considerado seguro a nivel del aspecto de la confidencialidad tendría que
cumplirse que la posible información que un tercero pudiera extraer no fuera inteligible para el mismo.
Los sistemas de cifrados garantizan la confidencialidad en función a la eficacia del mismo, y debemos
considerarlos como válidos en función al tiempo que queramos proteger esa información, dado que la
evolución de las tecnologías no nos garantiza que un algoritmo de cifrado permanezca de por vida siendo
efectivo.
3.4. Integridad
(Del inglés “Integrity”). Mantenimiento de la exactitud y completitud de la información y sus

métodos de proceso. Según [ISO/IEC 13335-1:2004]: "propiedad/característica de salvaguardar
la exactitud y completitud de los activos".
El propósito de este aspecto de seguridad es la de garantizar que la información no es modificada,

añadida o borrada por ninguna persona o acción.
En la norma ISO/IEC 27000:2014 Tercera edición está definida la integridad como: " integrity:
property of accuracy and completeness": la propiedad de la exactitud y la completitud.
Es evidente que lo que se trata de proteger es que la información se mantenga invariable, ya sea
almacenada o en una comunicación, de forma que se pueda garantizar que no se ha añadido información
nueva, se ha modificado algo de la información o se ha eliminado parte de la información.
El uso de la criptografía también es eficiente para implementar medidas de control, basado en cálculos
algorítmicos complejos que a través de implementación de cifrado donde solo un descifrado coherente
garantiza que la integridad es absoluta o simplemente aplicando funciones de huella digital (hashing),
que permiten también una garantía de la invariabilidad de la información.
Los cambios que se pueden producir en la información pueden ser debidos no solo a acciones
interesadas por personas, sino que también debemos contemplar las acciones no dolosas, accidentales e
inclusos sin intervención humana como fallos o errores en hardware o software.
Para que un sistema sea considerado seguro a nivel del aspecto de integridad tendría que cumplirse
que ni el sistema ni nadie sin autorización pudiera modificar o corromper la información.
Existen dos aspectos relacionados con la integridad: la precisión ( accuracy) y la autenticidad

(autenticity).
6/70
3.5. Disponibilidad
(Del inglés “Availability”). Acceso a la información y a los sistemas de tratamiento de la misma

por parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]:
"característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera
una entidad autorizada".
La disponibilidad es la medida que nos indica cuánto tiempo está ese equipo o sistema operativo
respecto de la duración total durante la que se hubiese deseado que funcionase.
Debemos entenderla en el aspecto de la ciberseguridad como el mantenimiento de la información en

todo tiempo para el usuario autorizado tanto a nivel de hardware, de software como de los datos.
Un sistema disponible debe garantizar el mínimo tiempo de no funcionamiento y, en el caso de que se

produzca, recordemos que la seguridad absoluta es una utopía, se recupere rápidamente.
Lo opuesto a la disponibilidad sería la “Denegación de servicio” ( Denial of Service o DoS).
Los motivos de que un usuario no pueda acceder de una forma satisfactoria a un sistema pueden ser
debido a múltiples motivos: un fallo del sistema o del hardware, colapso de los recursos, como la
memoria para poder ejecutar correctamente los programas, no disponibilidad de los medios de
almacenamiento como la falta de permisos o de espacio en ellos, no posibilidad de acceso a la
información, etc.
Muchos de los ciberataques de hoy día no buscan robar, modificar o borrar la información, sino
bloquear el sistema para hacerlo inusable.
3.6. Otros aspectos relacionados

Existen otros muchos aspectos relacionados con la ciberseguridad; de hecho, podrían incluirse o
asimilarse en los tres anteriores, pero los concretaremos en sí mismos, podemos definirlos según el
Manual de Preparación al examen CISM 2008 (Information Systems Audit and Control Association.
pp. 16. ISBN 978-1-60420-000-3):
“Otros conceptos relacionados: […]
Auditabilidad
Permitir la reconstrucción, revisión y análisis de la secuencia de eventos.
Identificación
Verificación de una persona o cosa; reconocimiento.
Autenticación
Proporcionar una prueba de identidad; puede ser algo que se sabe, que se es, se tiene o una
combinación de todas.
7/70
Autorización
Lo que se permite cuando se ha otorgado acceso.
No repudio
No se puede negar un evento o una transacción.
Seguridad en capas
La defensa a profundidad que contenga la inestabilidad.
Control de acceso
Limitar el acceso autorizado solo a entidades autenticadas.
Métricas de seguridad, monitoreo

Medición de actividades de seguridad.
Gobierno
Proporcionar control y dirección a las actividades.
Estrategia
Los pasos que se requieren para alcanzar un objetivo.
Arquitectura
El diseño de la estructura y las relaciones de sus elementos.
Gerencia
Vigilar las actividades para garantizar que se alcancen los objetivos.
Riesgo
La explotación de una vulnerabilidad por parte de una amenaza.
Exposiciones
Áreas que son vulnerables a un impacto por parte de una amenaza.
Vulnerabilidades
Deficiencias que pueden ser explotadas por amenazas.
Amenazas
Cualquier acción o evento que puede ocasionar consecuencias adversas.
Riesgo residual
El riesgo que permanece después de que se han implementado contramedidas y controles.
8/70
Impacto
Los resultados y consecuencias de que se materialice un riesgo.
Criticidad
La importancia que tiene un recurso para el negocio.
Sensibilidad
El nivel de impacto que tendría una divulgación no autorizada.
Análisis de impacto al negocio
Evaluar los resultados y las consecuencias de la inestabilidad.
Controles
Cualquier acción o proceso que se utiliza para mitigar el riesgo.
Contra medidas
Cualquier acción o proceso que reduce la vulnerabilidad.
Políticas
Declaración de alto nivel sobre la intención y la dirección de la gerencia.
Normas
Establecer los límites permisibles de acciones y procesos para cumplir con las políticas.
Ataques
Tipos y naturaleza de inestabilidad en la seguridad.
Clasificación de datos
El proceso de determinar la sensibilidad y criticidad de la información".
IV. INTRODUCCIÓN A LA CIBERINTELIGENCIA

La ciberinteligencia es la inteligencia aplicada a la informática, es decir, es analizar aquellos riesgos
una vez conocemos nuestro sistema y nuestras vulnerabilidades para mitigarlos adecuadamente o
hacerlos no rentables de explotar por aquellas amenazas reales.
Para tener conciencia de cómo realizar un endurecimiento de nuestra seguridad ( hardening) debemos
realizar una gestión del riesgo.
9/70
El conocimiento adquirido a través de la recolección de la información sobre cómo está nuestro

sistema y cómo están nuestros enemigos preparados para ponerla en compromiso, más luego el análisis
de esa información y su procesamiento para la toma de las decisiones de cómo actuar en pro a
incorporar, modificar o eliminar elementos de nuestro entorno para aumentar la ciberseguridad es la
ciberinteligencia.
La mayoría de los problemas de seguridad tienen que ver con fallos de hardware y software, errores
de programación o administración, robo, fraude y extorsión, demandas legales, infracción de los
derechos de autor o ingeniería social, entre otras.
Los usuarios internos suponen la mayor fuente de amenazas, son los que mejor conocen el sistema,
poseen a veces acceso ilimitado, conocen los activos más valiosos.
Debemos hacer hincapié en que el riesgo no puede eliminarse completamente, pero sí que podemos
reducirlo.
La inteligencia informática es saber cómo adecuar nuestros recursos a una estrategia eficiente para
reducir los riesgos y en todo caso si se produce un incidente el poder reaccionar contra el mismo para
restablecer lo antes posible la situación y poder ejercer acciones contra las personas responsables si se
trata de un ataque intencionado o negligente.
4.1. Administración del riesgo

Para poder realizar una buena administración de los riesgos debemos:
Establecer el contexto y el propósito.

Identificar los activos a proteger, así como sus propietarios y el valor.
Clasificar los activos.
Identificar las amenazas y vulnerabilidades de los activos.
Identificar los riesgos que suponen las amenazas para los activos.
Valorar los impactos.
Priorizar los riesgos.
Tratar los riesgos.
Dar formación a los usuarios.
Monitorear y revisar.
Comunicar y consultar.
4.2. Gestión del riesgo, expectativas

Algunas de las expectativas que tenemos que definir serán en función de nuestra actividad y de
nuestros activos; por ejemplo, podrían ser:
El servidor de comercio electrónico no estará sin servicio más de cinco minutos al año.
10/70
Ningún empleado puede ejecutar más software que el autorizado en su puesto de trabajo.
Todos los usuarios deben cambiar su contraseña una vez al mes. Los usuarios del servidor de
base de datos utilizan un control de acceso más fuerte que el de contraseñas.
Toda la información relativa a proyectos como ofertas, estudios de viabilidad, informes
preliminares, etc., se mantendrán estrictamente confidencial tanto durante su almacenamiento
como en su transmisión a clientes.
Debemos tener presente la frase proverbial que "la cadena se rompe siempre por el eslabón más débil".
Y como ya dijimos anteriormente la seguridad absoluta no existe, el objetivo es agotar los recursos del
enemigo en las vertientes moral, temporal y económica.
Esta premisa solo es válida en las atacantes tradicionales como veremos más adelante en el curso no
es eficaz ante un tipo de las amenazas, las que se conocen como APT o APA (amenazas persistentes
avanzadas) cuyo factor de rentabilidad no está medido por las vertientes anteriormente citadas (moral,
tiempo y economía).
4.3. Principios básicos de actuación en ciberinteligencia

Como hemos visto el principio básico de actuación se basa en saber, conocer y entender que la
seguridad absoluta es una utopía y que lo máxime a lo que podemos optar es a ponérselo complicado al
atacante o que no le sea rentable el ataque, pero existe una serie de premisas que debemos conjugar para
minimizar los riesgos como son:
Seguridad mesurada
Asignar recursos de forma eficiente, buscando el equilibrio entre la seguridad y uso. De todos es
sabido que cuantas medidas de seguridad implantemos el servicio reducirá eficiencia en uso y ahí es
donde se debe emplear el sentido común, la inteligencia de buscar el punto exacto del equilibrio que
sea el más efectivo para el interés general.
Mínimo privilegio
Es uno de los principios fundamentales de la Seguridad y evidentemente también de la Seguridad

Informática. Todos los recursos deben tener los permisos mínimos necesarios para su funcionamiento
y los ejecutantes de esos recursos a su vez deben tener también los permisos mínimos para
manejarlos, también será un ejercicio intelectual definir esos privilegios en una primera instancia y
sobre todo no olvidar que deben ser constantemente revisados por ser variables en función del tiempo.
Seguridad en profundidad
Al iniciar este apartado introdujimos el verbo conjugar y de eso se trata. Este principio es que no
debemos depender de un solo sistema de seguridad, sino de emplear distintas capas de seguridad en
función al valor del activo o la probabilidad de que el riesgo se convierta en realidad.
11/70
Seguridad mediante oscuridad
La seguridad aplicada de esta forma, de manera que el atacante ignore la existencia del activo o
dónde localizarlo, implica una mayor dificultad para que el ataque se produzca, pero eso no garantiza
la eficacia de la medida porque esa oscuridad puede ser iluminada por un sinfín de factores. Esta
medida no implica aumentar la seguridad, porque el que las vulnerabilidades no sean conocidas no
aumenta la seguridad, porque siguen existiendo, la forma es, ya que sabemos de las mismas,
aminorarlas adecuadamente y, evidentemente, no se trata de publicar todas nuestras
implementaciones de seguridad ni las posibles vulnerabilidades que tengamos.
Seguridad homogénea
Cuando introdujimos la sentencia de que "la cadena siempre se rompe por el eslabón más débil",
nos obliga a reforzar por igual todos los eslabones para evitar que el ataque se produzca por uno
determinado. Del mismo modo, en la seguridad debemos reforzar todas las posibles vulnerabilidades
que puedan ser explotadas para no invertir recursos en algunas de ellas y luego la amenaza se
convierta en un ataque por cualquier otra donde no hayamos incidido en reforzar.
Seguridad evolutiva
Es muy importante el gran dinamismo de la tecnología. Los conceptos, protocolos, equipos,

software y muchísimos factores son constantemente cambiados y dichos cambios son factores que
afectan esa visión que adecúa una seguridad, por ello es necesario e imprescindible el mantener una
constante adecuación de la seguridad de acordes a las nuevas situaciones o datos de información que
tengamos.
Punto de control centralizado
Cuantos menos puntos de acceso tengamos a nuestro sistema y si conseguimos individualizarlo,

mucho mejor. De esa forma conseguiremos que cualquier ataque deba inexcusablemente de pasar por
el mismo, con lo que si fortificamos adecuadamente este simplificaremos nuestros sistemas de
defensa. De esa manera podemos monitorizar todos los accesos o eventos sospechosos que circulen
por el mismo.
Seguridad en caso de fallo
Cuando se produzca el fallo de la seguridad, debemos estar preparados para ello, de forma que
nuestro sistema quede en un estado seguro. Por ejemplo, si falla el control de autenticación quizá será
mejor que el sistema no deje acceder a ningún usuario que permitir el acceso a alguno que no esté
autorizado, pero en otros casos la situación puede ser totalmente inversa. Imaginemos que el fallo es
debido a una situación de riesgo, como un incendio, y franquear el control de acceso es para salir del
edificio; evidentemente, es preferible que el acceso de salida quede liberado para los usuarios que el
controlar la hora que abandonan el puesto de trabajo ante el riesgo para la vida que supondría el
bloquearlo en las instalaciones.
12/70
Participación universal
Si establecemos una normativa, una política de seguridad, uno de los retos de la misma es el
cumplimiento y la no oposición activa de los usuarios. Si las personas han participado en el
establecimiento de las medidas de seguridad estarán más abiertas en su cumplimiento, la participación
en la elaboración de estas medidas de seguridad será el componente más importante en su implicación
en las mismas. Si conseguimos que todos los usuarios sean partícipes en su creación e
implementación obtendremos un sistema más seguro.
Simplicidad
Dos fundamentos avalan este principio: el tener una seguridad simple la hace más entendible, y lo
que no se comprende o cuesta comprender es muy difícil de configurar adecuadamente. El segundo
fundamento es que cuanto más complicado es un sistema, más fácil es que incorpore vulnerabilidades,
errores o malas configuraciones por defecto. De nada vale el tener un cortafuego de última hornada
que incorpore las últimas innovaciones de seguridad si luego los que deban configurarlo no lo
entienden para parametrizarlo en condiciones y su implementación carece de la debida eficacia contra
los riesgos, es preferible el utilizar un cortafuego menos innovador, pero más simple para que el que
deba configurarlo, pueda optimizarlo convenientemente.
4.4. Ciclo de ciberinteligencia

El ciclo de la ciberinteligencia tiene diversas fases como podríamos encontrar en cualquier manual
sobre inteligencia, definamos como podríamos clasificar dichas fases en el entorno de la ciberseguridad:
Fase 1 - Planificación
En esta fase deberíamos acotar quién coordinaría la misma e identificaríamos las necesidades y la
información que demandan los destinatarios de todo el proceso de ciberinteligencia. Debemos en esta
fase definir cuál va a ser la estrategia para la recolección de la información, el tipo de información y el
contenido definiendo y clasificando la disponibilidad y fiabilidad de las fuentes y los cauces de la
comunicación.
Fase 2 - Recolección
En esta fase obtendríamos la información en bruto. Cuanto mayor información obtengamos mejor,
pero es importante tener los atributos relacionados con esa información, como puede ser la fuente, el
contexto, la fiabilidad de la fuente, la fiabilidad de la información, la fecha de la misma, etc. Todos
estos atributos serán necesarios para la fase siguiente a la del análisis. Esta recolección de información
es importante realizarla con todas las garantías procesales, es muy fácil franquear barreras legales y/o
normativas que pueden anular la eficacia del resultado de la ciberinteligencia.
13/70
Fase 3 - Análisis
En esta fase la información obtenida hay que depurarla, tratarla, procesarla, eliminar aquella
inservible, decodificarla y analizarla en un contexto global. Se trata de convertirla en inteligencia
estratégica, táctica u operativa destinada al propósito inicial establecido en la planificación. En esta
fase debemos también clasificar la información en función a los diversos atributos asociados como la
fiabilidad de la fuente, fiabilidad de la información, validez de los datos, oportunidad, pertinencia,
relevancia y utilidad.
Debemos también integrar y fusionar los datos de diversas fuentes, con la información debemos
también ser capaces de crear nueva información a través de la visión global de los datos adquiridos.
Y, sobre todo, debemos ser capaces de interpretar esa información, de forma que podamos gracias a
nuestro intelecto y la información tratada a poder crear en nuestras mentes la realidad y entrar en la
mente de nuestros enemigos para saber el porqué de sus acciones y adelantarnos a sus próximos
movimientos.
Fase 4 - Retroalimentación
En la fase anterior, durante el análisis fuimos capaces de crear inteligencia, tener nuevos
conocimientos que deben servir para corregir e introducir nuevas variantes en todas las fases
anteriores, es decir, definir nuevas estrategias y planificación, recolectar de nuevas fuentes o de las
anteriores nueva información, realizar nuevos cruces y procesamiento de análisis de la información
para generar nueva inteligencia. Esta fase de retroalimentación podría no finalizar nunca con base en
nuevos elementos que se introduzcan en la cadena, y el paso a la fase siguiente lo determinará la
estrategia o planificación en función de otros factores como puede ser la urgencia.
Fase 5 - Difusión
Es la última fase de este ciclo y se trata de suministrar la inteligencia a quien deba ejecutar las
acciones pertinentes con la misma con la suficiente urgencia para que la misma no sea demasiado
tarde para la toma de decisiones. A menudo en la primera criba de análisis deberemos facilitar la
difusión de la información, advirtiendo eso sí que continuaremos con un nuevo ciclo retroalimentado
de cuyos resultados también serán participados a los destinatarios de la inteligencia.
Es habitual en los esquemas que representan el ciclo de la inteligencia que el mismo sea un círculo
figura que no tiene fin.
Fase 6 - Ejecución
Podríamos incorporar una nueva fase fuera del ciclo de inteligencia, pero de cuyos resultados se
podrían extraer nueva información que serviría para alimentar la retroalimentación del ciclo de
inteligencia, esta fase sería la de explotación de la inteligencia y la evaluación de la misma.
14/70
Ciclo de la ciberinteligencia
Figura 1.1. Ciclo de la ciberinteligencia
Fuente: elaboración propia
V. AMENAZAS EN LA RED
Las amenazas de nuestros sistemas de información conectados a Internet deben ser interpretadas en el
contexto de los otros elementos que interaccionan con las mismas. No podemos hablar de amenazas, si
no se concibe que existan activos, vulnerabilidades, riesgos e impactos. La ausencia de solo uno de ellos
dejaría de tener sentido la amenaza.
¿Por qué deberíamos preocuparnos de una amenaza si no existiera un activo donde la misma
actuaría?
¿Por qué deberíamos preocuparnos de una amenaza si no existiera una vulnerabilidad para
explotarla?
¿Por qué deberíamos preocuparnos de una amenaza si no existiera un riesgo real de alguien o
algo para realizarla?
¿Por qué deberíamos preocuparnos de una amenaza si no existiera la posibilidad de que se
produjeran los impactos?
Así que definamos estos conceptos para poder entender la importancia de las amenazas en la Red.
Un activo es aquel valor material o inmaterial que poseemos y precisamos proteger.
15/70
Una vulnerabilidad es cualquier circunstancia del sistema que tiene la posibilidad de ser atacado con
éxito para poner en jaque la seguridad del mismo. Estas debilidades suponen que la confidencialidad,
disponibilidad y/o la integridad pueden ser comprometidas.
Las vulnerabilidades pueden ser de diversos tipos:
Conocidas y que existe una corrección para la misma
Es el caso de los fallos de software (bugs) en que el fabricante ha creado una corrección (parche) o
“patch” del comando de Unix creado por Larry Wall que actualizaba ficheros de texto de acuerdo a
unas instrucciones contenidas en un archivo separado. Si es el caso, debemos incorporar el parche
inmediatamente que tengamos el conocimiento de la vulnerabilidad.
Conocidas y que no existe una corrección para la misma
Es el caso de los fallos de software en que el fabricante todavía no ha creado una corrección, a
veces pueden haber soluciones intermedias o temporales (workaround), pero en estos casos es mejor
desactivar el servicio hasta la creación y la aplicación por nuestra parte del parche.
No conocidas
Es el peor de los casos, dado que el desconocimiento de la misma implicará que no podamos
realizar ninguna acción para mitigar o impedir un posible ataque.
Amenaza
Es la condición existente de que se comprometa el sistema. Esta puede proceder de una persona,
intencionadamente o no, un software malicioso (troyano, gusano, virus, exploit, rootkit...), o un
meteoro de la naturaleza (terremoto, rayos...) u otra circunstancia (incendios, sobretensiones
eléctricas...). Las amenazas las constituyen tanto los atacantes como las causas que puedan
aprovecharse de la existencia de las vulnerabilidades.
Riesgo
Es la estimación del grado de exposición de un activo, a que una amenaza sea efectiva contra él
poniendo en jaque la seguridad y al activo en sí.
Impacto
Es la consecuencia de la materialización de una amenaza explotando una vulnerabilidad accede a

poner en compromiso a un activo.
16/70
Contramedidas
Son las acciones implementadas a minimizar el riesgo, disminuyendo el impacto o la probabilidad

de que se produzca.
Riesgo intrínseco
Es el que resulta de estimar que se produzca el impacto sobre el activo, independientemente de que
hayamos implementados las contramedidas.
Riesgo residual
Es el riesgo que quedará una vez implementadas las contramedidas. Es evidente que este riesgo
residual siempre existirá.
5.1. Tipos de vulnerabilidades

La ciberseguridad es estar a cubierto ante algún riesgo o amenaza que explote alguna vulnerabilidad,
lo que significa que para optar a lograr la seguridad total deberíamos conocer todos los riesgos, amenazas
y vulnerabilidades posibles. Ya hemos visto que existen vulnerabilidades no conocidas y evidentemente
puede existir riesgos y amenazas también desconocidas por nosotros, lo que nos lleva a un estado de un
sistema inseguro o vulnerable.
Debemos de conocer que la seguridad absoluta no es posible, de esa manera nunca tendremos un
sistema informático totalmente seguro, el objetivo será el que no tengamos en el sistema vulnerabilidades
conocidas para que un atacante las explote.
Veamos seguidamente una clasificación de las diferentes vulnerabilidades que podemos encontrarnos:
Vulnerabilidad física
Es la referida cuando analizamos la seguridad física del inmueble que comprende el sistema. Podemos
relacionarlo con la existencia de debilidades en la seguridad que permitan el conseguir el acceso a las
instalaciones para dañarlo, modificarlo e incluso robar algún elemento relacionado con el mismo.
Instalaciones inadecuadas del espacio de trabajo o no disponer de recursos antiincendios, falta de
control del personal y del material.
Vulnerabilidad natural
La naturaleza y el ambiente puede causar daños en el sistema, tales como los meteoros atmosféricos,
tormentas solares, inundaciones, terremotos, pero también el polvo, la temperatura y la humedad
pueden ser aspectos de esta vulnerabilidad.
17/70
Vulnerabilidad del hardware
Defectos de fabricación de los componentes de hardware o de configuración de los mismos que los
hagan vulnerables a ataques. Ausencia de actualizaciones o falta de conservación. Inexistencia de
equipos de contingencia o configuración de respaldo.
Vulnerabilidad de software
Se refiere a cuando el software contiene debilidades de seguridad que permiten su explotación y

saltarse las condiciones de funcionamiento seguro y de acceso dirigido y controlado a la información.
Los fallos de software se denominan “bugs”, pero también la mala configuración de los aplicativos y
los sistemas operativos pueden dejar agujeros de seguridad.
Vulnerabilidad de los medios de almacenamiento
Los medios de almacenamiento de la información independientemente del sistema (óptico,

magnético, papel, etc.) pueden ser susceptibles de ser dañados, modificados, robados. También las
características de tiempo de vida o de protección ante daños son importantes.
Vulnerabilidad por emanación

Aquellos equipos físicos que en su funcionamiento irradian elementos en determinadas frecuencias
(lumínicas, térmicas, magnéticas, radio, infrarrojos…) son susceptibles de que, a través de
dispositivos y medios capaces de capturar e interpretar esas emanaciones, se acceda a información
sensible.
Vulnerabilidad de comunicación
La conexión de la información y los dispositivos a redes supone un factor de riesgo a poder explotar
las vulnerabilidades al tener mayor potencialidad de posibles atacantes y desde todos los puntos
accesibles a la comunicación. También esas comunicaciones pueden ser vulnerables a ser
interceptadas y existe la posibilidad de acceder a nuestro sistema a través de esa conexión desde el
exterior.
Vulnerabilidad humana
El ser humano no siendo un elemento tecnológico también es vulnerable y puede ser explotado o ser
la causa de un despropósito por ignorancia, errores o negligencia en sus actuaciones con el sistema. El
desconocimiento o la no correcta aplicación de las medidas de seguridad es una de las
vulnerabilidades más a tener en cuenta. La no existencia de parches a la estupidez humana que
corrijan esta vulnerabilidad hace que el esfuerzo para minimizar este riesgo sea uno de los más
importantes en pro de la ciberseguridad.
La gente que administra los sistemas es la mayor vulnerabilidad de los sistemas porque suelen tener
perfiles de máximo acceso y a través de ellos —o ellos mismos— son accesibles los recursos a proteger.
También los usuarios que tienen acceso a diversos recursos son objetivos de ser explotados por tener
ese rol que permite un primer acceso a ese recurso y desde ahí iniciar el ataque.
5.2. Tipos de amenazas
18/70
Las amenazas que pueden existir en un Sistema de Información pueden clasificarse en función de
distintos criterios. La clasificación en función a los efectos que puedan provocar en el sistema nos daría
cuatro grandes tipos:
Interceptación.
Modificación.
Interrupción.
Generación.
Interceptación
Cuando se logra el acceso a información no autorizada. Es un ataque a la confidencialidad. Por

ejemplo:
Escucha de una comunicación.

Copiar datos, software o código.
El conocer que alguien ha realizado esta amenaza es más complicado de saber, dado que la
observación de la información accedida no implica que esta haya variado o desaparecido.
Figura 1.2. Esquema de intercepción

19/70
Modificación
Cuando se realizan cambios parciales o totales de la información, configuración o funcionamiento.

Es un ataque contra la integridad. Por ejemplo:
Cambiar registros en una base de datos.

Realizar modificaciones en el código de un software.
Modificar la configuración de un cortafuegos.
Modificar la dirección del hardware servidor de DNS.
Figura 1.3. Esquema de modificación

Interrupción
Cuando impedimos el funcionamiento del sistema. Es un ataque contra la disponibilidad. Por

ejemplo:
Sobresaturar al procesador o a la memoria.

Eliminar o dañar algún dispositivo de hardware.
Eliminar o dañar el código de algún servicio del Sistema.
DoS. Denegación de Servicio.
Puede ser intencionada o accidental. Se detecta inmediatamente al ver que ha dejado de funcionar o
mal funcionar algún elemento del sistema.
Figura 1.4. Esquema de interrupción

20/70
Generación
Cuando se añade información, hardware o software en el sistema. Es un ataque contra la

autenticidad. Por ejemplo:
Crear usuarios de acceso al sistema.

Añadir entradas en la configuración de arranque del sistema para ejecutar malware.
Crear falsas alarmas para crear reacciones incorrectas por parte de los usuarios.
La detección es difícil, pero no del grado al de la interceptación, ya que los elementos generados
persisten y pueden ser detectados.
Figura 1.5. Esquema de generación

Desde el punto de vista del origen de las amenazas
Si clasificamos las amenazas por la forma en que se han generado tendríamos:
Naturales o físicas
Son aquellas que afectan a los componentes físicos del sistema. Estas las podemos subdividir en:
Provocadas por meteoros, son los desastres naturales, como los terremotos, lluvias
torrenciales, tormentas solares… y aquellas situaciones del entorno que pueda afectar a
los sistemas como partículas en suspensión, altas temperaturas, ambientes con alto
porcentaje de humedad…
Errores o daños en el hardware; donde podemos incluir mala praxis de los usuarios que
vuelque una bebida en el dispositivo, conecte un dispositivo a una frecuencia eléctrica
incorrecta, interrumpa una actualización de un Sistema o de una escritura en un medio de
almacenamiento…
También podemos agrupar en las producidas por acceso físico a un recurso por un tercero, las
radiaciones electromagnéticas emitidas, los desastres naturales y los desastres del entorno, como
los incendios y los cortes de suministro eléctrico.
21/70
Lógicas
Comprenden el software que puede dañar el sistema informático. Estos programas pueden haber
sido creados:
Intencionadamente: con el fin de hacer daño: software malicioso o “malware”

(“malicious software”)
Erróneamente: bugs o agujeros.
Así podemos clasificar el autor en una aproximación a las amenazas:
AMENAZA INTENCIONAL NO INTENCIONAL
Físicas
Terroristas Inundaciones
Empleados descontentos Terremotos
Fallos de hardware
Lógicas
Cibercriminales Fallos de sistema o de aplicaciones
Malware Empleados (errores o negligencia)
Empleados descontentos
5.3. Malware
Los programas maliciosos (malware) engloba a todo tipo de programa o código informático cuya
función es poner en compromiso la ciberseguridad en cualquiera de sus aspectos: privacidad, integridad
o disponibilidad.
Dentro de este grupo encontramos distintos términos pero debemos aclarar ya que muchos malware
pueden clasificarse dentro de más de una de estas habilidades, seguidamente veremos cómo definir estos
de una forma simple:
Virus
Los virus informáticos son sencillamente programas maliciosos (malwares) que “infectan” a otros
archivos del sistema.
Dicha infección consiste en añadir un código dentro del archivo víctima de forma que ese fichero
modificado se convierte a su vez en transporte de la infección.
22/70
Su nombre viene de la analogía de los virus biológicos que afectan a los seres vivos; el símil en
este caso a los antivirales serían los programas antivirus.
La función prioritaria de los virus informáticos es la propagación a través de un software y no se

replican a sí mismos como otras categorías, como el caso de los gusanos informáticos (worm), además
de esta función de propagarse incorporan una carga nociva o “payload” con el objetivo diseñado en su
creación, como la de poder robar información o causar modificaciones en el sistema.
Las fuentes de infección de los virus pueden ser inimaginables desde dispositivos de
almacenamiento externo como Sticks USB, tarjetas de memoria, soportes ópticos como por medio de
comunicaciones como correos electrónicos, mensajería directa, hasta publicaciones en foros, redes
sociales, blogs. También pueden propagarse a través de software pirata en descargas directas o redes
P2P o simulando ser otro tipo de software. Es decir, que los vectores de infección son múltiples y
variados.
Adware
(Advertising-Supported Software ): son aquellos programas que muestran publicidad utilizando

cualquier tipo de medio, por ejemplo: ventanas emergentes, banners, cambios en la página de inicio o
de búsqueda del navegador, etc.
Puede instalarse con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es
así. Lo mismo ocurre con el conocimiento o falta del mismo acerca de sus funciones.
El prefijo “Ad” proviene de la palabra “advertisement” (anuncio).
Muchos de los programas adware son también shareware dando el creador la posibilidad de
conseguir una versión de pago para eliminar esos anuncios.
Los más peligrosos o agresivos pueden incluir URL en los marcadores, favoritos de los
navegadores, abrir numerosas ventanas y pop-ups, instalar barras de herramientas.
Backdoors
Estos programas son diseñados para abrir una “puerta trasera” en nuestro sistema de tal modo que
permiten al administrador del backdoor acceder al sistema y hacer lo que desee con él.
El objetivo es lograr una gran cantidad de computadoras infectadas para disponer de ellas
libremente hasta el punto de formas redes como se describen en el apartado de Botnets.
Botnets
La palabra “botnet” proviene de la combinación de “robot” y de “network”.
Es una red de equipos que son controlados por un atacante, de forma que se pueden usar de forma
individual o conjunta para un propósito. Cuando un equipo pasa a formar parte de una botnet, ese
equipo se denomina máquina zombi o robot (“bot”).
23/70
Dropper
Se trata de un fichero ejecutable que contiene varios tipos de malware en su interior. Su diseño está
orientado en camuflarse a las detecciones de los sistemas de antimalware para ocultar el malware que
incorpora (simple etapa) o bien una vez en la máquina objetivo y activado en ella proceder a descargar
el malware para instalarlo (etapa doble).
Gusanos
La principal característica de este malware es que se puede ir propagando independientemente de la

actuación de la acción humana, a diferencia de la propagación de los virus.
Los gusanos suelen utilizar servicios automatizados del sistema operativo para pasar inadvertidos
por no ser comúnmente revisados esos servicios por los usuarios.
Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en tu

sistema, por lo que tu ordenador podría enviar cientos o miles de copias de sí mismo, creando un
efecto devastador a gran escala.
Muchos simplemente se propagan afectando por saturación la red o el almacenamiento, pero otros
pueden incorporar “payloads” dañinos.
El nombre proviene de la novela “The Shockwave Rider”.
Hoax
(En español: “bulo”, engaño”): es un intento de hacer creer a un grupo de personas que algo falso
es real; se ha popularizado por ser engaños masivos distribuidos por medios electrónicos, como el
correo electrónico.
Normalmente es distribuido por el efecto “cadena” por sus connotaciones de noticia impacto y/o
porque el propio mensaje solicita su difusión. El objetivo generalmente es el llegar al máximo de
receptores con el fin de propagar otro tipo de malware, revele información confidencial o
simplemente realizar acciones hacktivistas.
Hijacker
Son los encargados de secuestrar funciones de nuestro navegador web ( browser) modificando la
página de inicio y/o el motor de búsqueda por alguna de su red de afiliados maliciosos, entre otros
ajustes que bloquea para impedir sean vueltos a restaurar por parte del usuario. Generalmente suelen
ser parte de los adwares y troyanos.
24/70
Keylogger
(Del inglés: key ('tecla') y logger ('registrador'); 'registrador de teclas'): es un tipo de software o un
dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el
teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de Internet.
Suele usarse como malware del tipo servicio ( daemon), permitiendo que otros usuarios tengan
acceso a credenciales importantes, como los números de una tarjeta de crédito u otro tipo de
información privada que se quiera obtener.
El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software.
Existen dispositivos comerciales que pueden conectarse al cable del teclado o al teclado mismo.
Se aconseja el utilizar un teclado virtual para evitar los keyloggers, pero las aplicaciones más
nuevas también registran screenshots (capturas de pantalla) al realizarse un clic, que anulan la
seguridad de esta medida.
Phishing
El término de phishing proviene de la palabra inglesa “fishing” (pesca) haciendo alusión al engaño
a los peces mediante el “anzuelo”. Otras fuentes indican que proviene de la contracción de “password
hearvesting fishing” (cosecha y pesca de contraseñas).
Podemos asimilar el phishing a la captación de información, su acepción es acuñada a los servicios

informáticos, habitualmente con componentes de ingeniería social para conseguir la acción del
usuario para que inconscientemente se dirija a un sitio, ejecute un fichero, cumplimente un formulario
o cualquier otra acción con el fin de que el atacante adquiera información confidencial sin que el
usuario detecte esa interceptación. La información adquirida puede ir desde credenciales bancarias,
información de tarjetas bancarias, credenciales de acceso o cualquier otra información confidencial.
El cibercriminal que utiliza esta técnica es conocido como phisher, utiliza la psicología para
ganarse la confianza de la víctima, y mediante cualquier tipo de comunicación, no solo el correo
electrónico, pueda interactuar con el atacado para conseguir la realización de la acción que le permita
obtener la información.
Las técnicas de phishing son numerosas desde empleo de Scam hasta utilización de software
troyanizado.
25/70
PUP
Proviene del término inglés “Potentially Unwanted Program”, que viene a ser software
potencialmente no deseado, aunque el propio usuario ha consentido su descarga. También puede ser
llamado “grayware”, “riskware”, “offerware” o “bloatware”.
Son programas ofrecidos durante la instalación de programas gratuitos, en la mayoría de los casos
que se seleccionan por defecto su instalación o simplemente se ocultan para así instalarse.
Suelen ser barras de herramientas ( browse hijackers ) que modifican el comportamiento de los
navegadores web, spywares, adwares, scareware, dialers, etc.
RAT
(“Remote Administration Tool”): este tipo de malware permite a un atacante controlar de forma
remota un sistema informático y por lo general consiste en un servidor que se ejecuta de forma
invisible y escucha puertos de comunicación específicos en el equipo de la víctima.
Los atacantes también pueden ofuscar tales patrones del RAT utilizando puertos dinámicos,
mensajes cifrados, e incluso cambiar laas firmas del troyano.
Rogue
Se trata de un programa fraudulento que manifiesta el realizar algo y realmente no lo hace. Es

habitual encontrarlos en falsos programas de Antivirus, Antispyware, Optimizadores de Sistemas.
Cuando son ejecutados o cuando ellos mismos se autoinician, reproducen una falsa actividad de
chequeo o monitorización para concluir con falsas alertas y recomendaciones de reparación.
La forma de realizar esas reparaciones es solicitando la compra del falso producto que mostrara que
ha solucionado los falsos incidentes o descargando una carga maliciosa que repercutirá en un
beneficio indirecto para el distribuidor del rogue, como pueden ser otros malware.
Riskware
Programas originales, como las herramientas de administración remota, que contienen agujeros
usados por los crackers para realizar acciones dañinas.
Es decir, es un software que no fue programado inicialmente ni está en su intención ser un

malware, pero que puede servir a los ciberdelincuentes para llevar a cabo sus objetivos maliciosos.
Por ejemplo, un programa que tenga determinadas herramientas de seguridad, pero que carece de
ciertas protecciones, podría ser usado por otro programa para detener algún servicio o proceso que
sirve para la seguridad del sistema operativo. Esto dejaría al sistema vulnerable.
Rootkit
26/70
Es un malware que se esconde a sí mismo y a otros programas, procesos, archivos, directorios,

claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de
sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente
comandar acciones o extraer información sensible.
Típicamente, un atacante instala un rootkit en una computadora después de primero haber obtenido
un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber
obtenido una contraseña.
Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y
mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de
autenticación y autorización.
Se apropian de los recursos
Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad
fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las
computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios
de los sistemas afectados.
Los rootkits pueden estar dirigidos al firmware, al hipervisor, al núcleo o, más comúnmente, a
los programas del usuario.
Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que
funcionan a nivel de aplicación.
Kernel
Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para
ocultar el backdoor.
Normalmente, este procedimiento se complementa añadiendo nuevo código al kernel, ya sea

mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los
dispositivos del sistema de Windows.
Los más peligrosos
Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información
sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.
Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales
con versiones crackeadas que contengan algún troyano, o también pueden modificar el
comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.
Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el
atacante se conecte al sistema a través de un determinado puerto.
Los rootkits del kernel o núcleo pueden contener funcionalidades similares.
27/70
Scam
E l Scam es SPAM más un HOAX. Es “estafa” en inglés, término anglosajón que se emplea
familiarmente para referirse a una red de corrupción.
Hoy también se usa para definir los intentos de estafa a través de un correo electrónico fraudulento
(o páginas web fraudulentas).
Los falsos premios de sorteos, simulaciones de herencias, dictadores de países exóticos,

responsables de empresas con cambios de situación, pueden ser los pasaportes introductorios para
intentar engañar a la víctima mediante la posibilidad de poder conseguir una fuerte suma monetaria a
cambio de una pequeña inversión en el asunto.
Cuando hablamos de las clásicas cadenas de propagandas si la misma solo lleva la motivación del
engaño estaríamos hablando de un “hoax” pero cuando existen connotaciones económicas podrían
considerarse como “Scam”.
Como se ha dicho en el phishing, podríamos considerar el phishing bancario como Scam ya que
tiene incorporado el engaño (hoax) con el móvil económico y no solo puede establecerse la
comunicación por medio del correo electrónico sino también por otros medios de comunicación como
la mensajería instantánea, teléfono e incluso páginas de Internet que ofrecen productos o servicios que
luego no se corresponden con la realidad.
Spam
Los términos correo basura (“Junk Mail”) y mensaje basura hacen referencia a comunicaciones que
nos llegan sin una previa comunicación y aceptación de la misma, es decir, son comunicaciones no
solicitadas, no deseadas.
Generalmente este tipo de comunicaciones se viene realizando para publicidad, enviada de forma
masiva. Como esta práctica suele estar reglamentariamente y/o legalmente no permitida suelen
camuflar o variar el remitente de la comunicación.
El “spamming” sería la acción de enviar spam. La palabra equivalente en inglés, spam, proviene de
la época de la segunda guerra mundial, cuando los familiares de los soldados en guerra les enviaban
comida enlatada; entre estas comidas enlatadas se encontraba una carne enlatada llamada spam, que
en Estados Unidos era y sigue siendo muy común.
Este término comenzó a usarse en la informática décadas más tarde al popularizarse, gracias a un
sketch de 1970 del grupo de comediantes británicos Monty Python, en su serie de televisión Monty
Python's Flying Circus, en el que se incluía spam en todos los platos.
La forma de realizar spam, aunque la más general está asociada con el correo electrónico, puede
utilizar otros medios de comunicación, como los mensajes SMS (Spam SMS), sobre voz IP ( SPIT), a
través de mensajería instantánea (SPIM).
E l Spam, además de fines publicitarios, se está utilizando para difundir malware y/o utilizando
ingeniería social para romper la seguridad de la víctima.
28/70
Troyano
Es un pequeño programa generalmente alojado dentro de otra aplicación (un archivo) normal.
Su objetivo es pasar inadvertido al usuario e instalarse en el sistema cuando este ejecuta el archivo
“huésped”. Luego de instalarse, pueden realizar las más diversas tareas, ocultas al usuario.
Actualmente, se los utiliza para la instalación de otros malware como backdoors y permitir el
acceso al sistema al creador de la amenaza.
Los más conocidos son los denominados troyanos bancarios, diseñados para robar las credenciales
de acceso a la banca online.
Algunos troyanos, los menos, simulan realizar una función útil al usuario a la vez que también
realizan la acción dañina.
La similitud con el “caballo de Troya” de los griegos es evidente y debido a esa característica
recibieron su nombre.
Existen troyanos que incorporan en sí mismos una suite de herramientas de malware, por ejemplo
Zeus, SpyEye, Carberp o Citadel.
Spyware
Software espía o spyware es un software malicioso que recolecta información interesante de la

víctima o de los sistemas de esta, para después facilitarla al atacante o a terceros, todas estas acciones
pasan inadvertidas por el atacado.
El término spyware también se utiliza más ampliamente para referirse a otros productos que no son
estrictamente spyware.
Estos productos realizan diferentes funciones, como mostrar anuncios no solicitados ( pop-up),
recopilar información privada, redirigir solicitudes de páginas e instalar marcadores de teléfono.
Un spyware típico se autoinstala en el sistema afectado de forma que se ejecuta cada vez que se
pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del
ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y mostrando
anuncios relacionados.
Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que
funciona como un parásito.
Este nombre viene dado de las palabras en idioma inglés spy que significa espía, y ware (para este
caso) que significa programa.
29/70
Objetivo
El objetivo más común es distribuir la información capturada a empresas publicitarias u otras

organizaciones interesadas.
Normalmente, este software envía información a sus servidores, en función a los hábitos de
navegación del usuario.
También recogen datos acerca de las páginas de internet por las que se navegan y la información
que se solicita en esos sitios, así como direcciones IP y URL que se visitan.
Esta información es explotada para propósitos de mercadotecnia, y muchas veces es el origen de

otra plaga como el SPAM, ya que pueden encarar publicidad personalizada hacia el usuario
afectado.
Ransomware
De ransom (demanda de dinero, secuestro) y ware (software). Es un tipo de programa informático

malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide
un rescate a cambio de quitar esta restricción.
Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y
coaccionando al usuario a pagar el rescate.
La víctima, para obtener la contraseña que libera la información, debe pagar al atacante una suma
de dinero, según las instrucciones que este disponga. Su popularización llegó a través de la extendida
variante del “virus de la policía”, la cual se ha extendido por todo el mundo secuestrando los equipos
y bloqueando la pantalla con una imagen perteneciente de la policía de su país.
Ransomware existen desde hace tiempo: desde bloqueadores que solicitaban para el desbloqueo
una llamada o un SMS Premium hasta los últimos que utilizan sistemas de cifrado híbrido y pagos
con monedas virtuales como Bitcoins.
APT
Una de las amenazas más peligrosas, por no seguir las reglas del juego en cuanto a si fortificamos
nuestras vulnerabilidades para que no sea rentables el explotar nuestro sistema nos hace menos
apetecible para convertirnos en una víctima, son las APT “Advanced Persistent Threat” (Amenazas
Persistentes Avanzadas).
Son un conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por

humanos, dirigidos a penetrar la seguridad informática de una entidad específica.
Una APT, generalmente, fija sus objetivos en organizaciones o naciones por motivos de políticos
comerciales o de seguridad.
Los procesos de APT requieren un alto grado de cobertura durante un largo período de tiempo.
30/70
Técnicas sofisticadas
El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para
explotar vulnerabilidades en los sistemas.
El término "persistente" sugiere que existe un control y monitorización externos para la

extracción de datos de un objetivo específico de forma continua. Si existe resistencia al ataque,
cambiará a un nuevo tipo de ataque, e incluso pasará de ataques externos a internos.
El término "amenaza" indica la participación humana para orquestar el ataque.
La diferencia con otros ataques es la motivación, los recursos empleados y la perseverancia.
El tiempo y el dinero no preocupan para la realización del ataque; el resultado es compensado

con creces.
Automatización
La automatización en este tipo de ataque no está dirigida a atacar a múltiples objetivos, sino a
aumentar el poder de penetración en el objetivo.
APT, generalmente, involucra a un solo grupo de inicio a final del ataque, un solo grupo
controla todos los roles del ataque, tal como un gobierno, tanto con la capacidad como con la
intención de dirigirse de forma persistente y eficaz contra una entidad específica.
Objetivo
El objetivo de estos ataques es colocar un código personalizado malicioso en uno o varios

ordenadores para tareas específicas y para no ser detectados durante el período más largo posible.
Conocer las herramientas atacantes, así como el nombre del archivo, puede ayudar al profesional
a la búsqueda de todos los sistemas afectados en la red afectada.
5.4. Otras amenazas
31/70
Ingeniería social
Es una técnica basada en los sentimientos humanos para conseguir que voluntariamente e
inconscientemente realice la víctima una acción favorable al atacante, como facilitar información
confidencial, ejecutar un software, dirigirse a un sitio web. La forma de interactuar del atacante con la
víctima puede ser directa, llamada telefónica, mensajería instantánea, presencial o bien indirecta o no
instantánea, como “Web Spoofing”, correos electrónicos, mensajes en foros.
Se apoya en que en general la gente tiende a ayudar, en primera instancia es confiada, no les gusta
decir que no, les gustan los elogios y se dejan llevar por los sentimientos.
El sentimiento es la base de un buen ataque de ingeniería social, la ambición, la curiosidad, la

codicia, la compasión, el sexo, la vergüenza, la solidaridad, el miedo... son los vectores de esta
amenaza.
DoS
[“Denial of Service” (Denegación de Servicio)]: es un ataque al sistema que provoca un

compromiso a la disponibilidad, haciendo que el sistema, recurso o comunicación no sea funcional por
inoperatividad o "malfuncionamiento" por parte de los usuarios que quieren utilizarlos.
Ataques típicos de denegación de servicio es la saturación del ancho de banda impidiendo que otros
usuarios puedan comunicarse o la saturación de la memoria o de los procesos de los servidores para
que sea inoperativo su funcionamiento.
La denominación de “denegación” se debe a que al estar saturado el sistema deniegue las peticiones
del resto de usuarios por no poder cumplir su servicio. El objetivo del atacante es el provocar esta
situación en los servidores, el no funcionamiento o el mal funcionamiento de los mismos para los
usuarios.
Cuando esos ataques provienen de diferentes orígenes, para impedir que la víctima ponga reglas o
filtros de evitar las comunicaciones de un solo origen, es lo que se conoce como ataque DDoS (sus
siglas vienen del inglés: “Distributed Denial of Service”).
El uso de una Botnet, donde el atacante puede disponer de diferentes puntos de origen del atacante
a través de los computadores controlados, permite de una forma fácil y eficaz de realizar un DDoS.
ISQL
Proviene del inglés “SQL injection”. Es una técnica de aprovecharse de aquellas implementaciones
de consultas SQL a Bases de Datos donde no se filtran o validan los parámetros introducidos para
construir el comando de consulta, pudiendo mediante la inclusión de un código obtener respuestas al
mismo para ir extrayendo información de una forma progresiva.
Además de la vulnerabilidad se conoce también como inyección SQL al código inyectado, a la

acción de inyectar código y al método de incrustar el código.
32/70
VI. EJEMPLOS DE AMENAZAS

Veremos seguidamente una serie de ejemplos de las distintas amenazas expuestas en esta unidad.
6.1. Virus informáticos y otros malware
Gizmodo publicó en mayo de 2013 el artículo “Así se propagaron los virus más destructivos de
la historia”, disponible en: http://es.gizmodo.com/asi-se-programaron-los-virus-mas-
destructivos-de-la-his-678700816.
Jerusalem (alias Friday 13th), 1987
Figura 1.6. Jerusalem (alias Friday 13th), 1987.

Fuente: Jerusalem.
"Jerusalem, también conocido como Viernes 13, fue uno de los primeros virus de MS DOS. Si el
viernes coincidía en 13, este pequeño bastardo borraba todos los archivos de programa en ejecución,
supuestamente, por motivos religiosos".
33/70
Morris (alias Internet Worm), 1988
Figura 1.7. Morris (alias internet Worm), 1988.

Fuente: Morris.
"Este fue uno de los primeros gusanos, e infectó más de 6.000 ordenadores de la época, incluyendo
algunos de la NASA. Un error en el código del propio virus lo hizo replicarse como una peste por las
redes, causando unos 100 millones de dólares en daños".
Melissa, 1999
Figura 1.8. Melissa, 1999.

Fuente: Melissa.
"Creado por David L. Smith, alias Kwyjibo, en honor de una bailarina de Topless de Florida de la
que se enamoró, Melissa era un virus tipo macro que se reproducía en archivos Word y Excel y se
enviaba mediante Outlook. Provocó 80 millones de dólares en pérdidas. Su autor confesó más tarde
que no esperaba que fuera a ser tan dañino".
34/70
I Love You (alias Lovebug/Loveletter Virus), 2000
Figura 1.9. I love You (alias Lovebug/Loveletter Virus), 2000.

Fuente: Lovebug.
"Aunque de nombre romántico, el estudiante de Manila que lo programó no debía ser muy querido.
I Love You se transmitía como un correo electrónico con una presunta carta de amor. Al abrirlo,
borraba todos los archivos .jpg del disco duro".
The Code Red worm, 2001
Figura 1.10. The Code Red worm, 2001.

Fuente: Code Red.
"Code Red fue uno de los virus más dañinos por su capacidad de ejecutarse en memoria sin dejar
archivos a su paso. Enfocado a servidores con Windows NT y Windows 2000 Server Edition, Code
Red causó dos mil millones en pérdidas a no pocas empresas".
35/70
SQL Slammer, 2003
Figura 1.11. SQL Slammer, 2003.

Fuente: SQL Slammer.
"Este virus infectaba servidores web aprovechando un fallo de Microsoft SQL Server y después se
reproducía utilizando direcciones IP al azar. Es una pieza de código excepcional por su longitud. Cabe
en solo cinco tuits".
Blaster (alias Lovsan, alias MSBlast), 2003
Figura 1.12. Blaster (alias Lovsan, alias MSBlast), 2003.

Fuente: Blaster.
"Este virus de múltiples nombres hizo reiniciarse una y otra vez a cientos de miles de ordenadores
debido a un fallo en Windows XP y Windows 2000. Su autor dejó dos mensajes en el código: ‘Te
amo San’ y ‘Billy Gates, ¿por qué permites esto? Deja de ganar dinero y arregla tu software'.
Reivindicativo, el chico".
36/70
Bagle, 2004
Figura 1.13. Bagle, 2004.

Fuente: Bagle.
"Este gusano se transmitía en un archivo adjunto para abrir una puerta trasera en todas las versiones
de Windows. Después, esa puerta podía ser utilizada para tomar control del equipo. Su autor escribió
un poema en el código".
Sasser, 2004
Figura 1.14. Sasser, 2004.

Fuente: Sasser.
"Sasser fue creado por el programador alemán de solo 17 años Sven Jaschan. Al igual que sus
contemporáneos, aprovechaba un agujero de seguridad de Windows".
37/70
MyDooom (alias W32.MyDoom@mm, Novarg, Mimail.R, Shimgapi), 2004
Figura 1.15. MyDooom (alias W32.MyDoom@mm, Novarg, Mimail. R, Shimgapi), 2004.
Fuente: MyDooom.
"Aunque su código no es muy llamativo, MyDoom tiene el notable récord de ser el gusano que más
rápido se extendió por email. La infección fue tan fulminante que ralentizó un 10 % el tráfico de
Internet y algunas páginas redujeron su velocidad a la mitad".
Conficker (alias Downadup), 2008
Figura 1.16. Conficker (alias Downadup), 2008.
Fuente: Conficker.
"Su nombre lo dice todo. Este virus se ciscaba en la configuración del ordenador con caóticos
resultados".
38/70
Stuxnet, 2009-2010
Figura 1.17. Stuxnet, 2009-2010.
Fuente: Stuxnet.
"Stuxnet es conocida como la primera arma digital desarrollada por un gobierno. Era un gusano
creado a medias por los gobiernos estadounidense e israelí para atacar plantas nucleares en Irán. La
creación se les fue de las manos e infectó ordenadores por todo el mundo".
39/70
Flame (alias Flamer o sKyWIper), 2012
Figura 1.18. Flame (alias o skyWlper), 2012.
Fuente: Flame.
"Flame es otra herramienta de terror gubernamental contra países de Oriente Medio, y era una
sofisticada y enorme. De hecho era tan grande (20 MB) que se infiltraba en varios archivos
comprimidos. Cuando la opinión pública se hizo eco de su existencia, sus creadores ejecutaron una
‘Orden 66’ y el virus se autodestruyó. Kaspersky lo considera el virus más sofisticado y de mayor
capacidad destructiva de la historia".
CIH (alias Chernobyl), 1998
"En portada tenemos a Chernobyl, un virus de Windows 95, 98 y Me que sobreescribía datos de la
BIOS y dejaba el PC inservible. Encima se quedaba alojado en la memoria".
También podemos encontrar un top 10 de virus informáticos más destructivos de los últimos
años publicados en http://pijamasurf.com/2013/03/top-10-virus-informaticos-mas-destructivos-
de-los-ultimos-anos/.
10. Carta de amor/ I LOVE YOU (2000)
"En el año 2000, millones de personas cometieron el error de abrir lo que parecía ser un correo
electrónico de un admirador secreto. Llevaba por título simplemente “I Love You”, pero en vez de ser
una confesión amorosa, realmente era un “gusano”, que después de sobrescribir las imágenes de los
usuarios se mandaba por correo electrónico a 50 contactos de la agenda Windows del usuario. En tan
solo unas horas se convirtió en una infección global". [...]
40/70
9. Code Red (2001)
"Comparado al malware moderno Code Red parece no ser tan peligroso, sin embargo en el 2001
sorprendió a expertos de seguridad en línea al utilizar una falla en el Servidor de Información de
Microsoft, logrando bajar y cambiar algunos sitios web. El más memorable quizá fue el sitio de la
Casa Blanca: whitehouse.gov y obligó también a otros sitios gubernamentales a bajar sus páginas
momentáneamente". [...]
8. Slammer (2003)
"En enero del 2003, Slammer probó que tan dañino podía ser un gusano para los servicios públicos
y privados. El gusano liberaba una avalancha de paquetes de red, y la cantidad de datos que transmitía
a través del Internet causó que varios servidores suspendieran actividades casi inmediatamente. Entre
las víctimas del gusano se encontraron Bank of America, el servicio de emergencias estadounidense
911 y una planta nuclear en Ohio". [...]
7. Fizzer (2003)
"Los gusanos que se habían visto hasta el año 2004 eran principalmente para crear un poco de caos,
Fizzer iba tras el dinero. Muchos desestimaron al gusano ya que no se movía con la rapidez de Code
Red, pero lo que lo hacía más peligroso es que era un gusano creado para obtener ganancias –una vez
en tu correo electrónico enviaba correos no solo para propagarse, sino para enviar spam de porno y
pastillas". [...]
6. My Doom (2004)
"En el 2004 logró infectar alrededor de un millón de máquinas lanzando una negación masiva del
servicio de ataque, al hacer esto abruma a su objetivo al enviarle información de diversos sistemas. El
gusano se propagaba por correo electrónico y lo hizo con una rapidez jamás antes vista". [...]
5. PoisonIvy (2005)
"Es la pesadilla de todo sistema de seguridad, ya que permite que el virus controle la computadora
que ha infectado. PoisonIvy pertenece al grupo de malware conocido como “un troyano remoto”, ya
que le permite al creador del virus tener acceso completo a las máquinas que ha infectado usando una
especie de puerta trasera, al grado que permite grabar y manipular información del equipo.
Inicialmente se le consideró una herramienta de hackers principiantes, el virus ha llegado a afectar a
muchas compañías de Occidente". [...]
41/70
4. Zeus (2007)
"Actualmente es el malware más usado para obtener, de manera ilegal, información personal. Se
puede comprar por un precio de 50 centavos de dólar en el mercado del crimen virtual y permite robar
contraseñas y archivos. La información personal robada puede ser utilizada para hacer compras en
línea o crear cuentas bancarias a nombre de una identidad comprometida". [...]
3. agent.btz (2008)
"Este malware fue el responsable de la creación de un nuevo departamento militar en Estados

Unidos, el Cyber Command. El virus se propaga a través de memorias infectadas que instalan un
malware que roba información. Cuando se encontró agent.btz en computadoras del Pentágono,
sospecharon que era el trabajo de espías extranjeros". [...]
2. Virus Conficker (2009)
"En el 2009 este nuevo virus afectó a millones de máquinas con Windows en todo el mundo. Logró
crear una especia de ejército global que robaba todo tipo de información. Debido a que era realmente
difícil de parar, se creó un grupo de expertos dedicados específicamente a detenerlo, el virus se llegó a
conocer como el “súper bicho”, o “súper gusano”. Lo que ha dejado a los expertos realmente perplejos
es que nadie sabe para qué es exactamente, pues la información robada jamás se utilizó". [...]
1. Stuxnet (2009-2010)
"Este virus fue el primero en ser creado para causar daño en el mundo real y no solo en el mundo
virtual. El malware tenía como objetivo principal dañar sistemas industriales –se cree que el virus fue
responsable de causar daños al equipo que procesaba uranio en una planta de Natanz en Irán-.
Basándose en información de la Agencia Internacional de Energía Atómica, los expertos creen que el
virus fue responsable de causar que muchas centrifugues que procesaban uranio en Irán giraran hasta
perder el control y se autodestruyeran. El virus no se descubrió hasta el 2010, pero sospechan que
infectó computadoras desde el 2009". [...]
Debemos entender que en esta lista encontramos algunos que pueden ser catalogados más
acertadamente como otro tipo de malware, por ejemplo Stuxnet (APT), Zeus (troyano bancario),
Slammer, Morris y Bagle (gusanos).
6.2. Troyanos bancarios
En la información publicada sobre estos cuatros grandes troyanos bancarios en el Blog de la

firma de Seguridad de Kaspersky, http://blog.kaspersky.es/cuatro-ejemplos-de-troyanos-
bancarios/1696/.
42/70
Podemos leer en este análisis:
Carberp
"La versión original era el típico troyano diseñado para robar la información confidencial de los
usuarios como las credenciales bancarias o los accesos a diferentes páginas web. Carberp transmitía los
datos robados a un servidor C&C controlado por el creador del malware. Simple y directo. El único
componente “complicado” era el rootkit que permitía al troyano pasar desapercibido en el ordenador de
la víctima. La siguiente generación incluía plug-ins: uno que eliminaba el software antivirus del equipo
infectado y otro que intentaba “destruir” el resto de malware, en caso de que lo hubiera. [...]
Las cosas empezaron a ponerse más interesantes cuando se le confirió la habilidad de cifrar el tráfico
de información entre las máquinas infectadas y el servidor C&C. Además, este troyano empezó a
trabajar junto al famoso exploit Backhole, infectando a un gran número de equipos. Los creadores de
Carperb, a su vez, desarrollaron un módulo específico para Facebook que engañaba a los usuarios con
cupones en metálico, para secuestrar sus cuentas en una estafa de ransomware. [...]
A partir de ese momento, comenzó su declive. Las autoridades rusas arrestaron a ocho individuos
sospechosos de controlar este malware. A pesar de todo, Carperp sigue vivo. Aunque, en el pasado, los
ciberdelincuentes tuviesen que pagar hasta 40.000 dólares para tener acceso al troyano; en 2012, se
publicó el código fuente y, hoy en día, cualquiera que tenga los conocimientos suficientes puede tener
acceso a este programa. [...]
En el año 2011, se reveló el código fuente del troyano bancario Zeus".
Citadel
"Este malware es una versión del rey de los troyanos, Zeus. Surgió, junto con otros programas
maliciosos, después de que se publicara el código fuente de Zeus en el año 2011. Su popularidad se
debía a que los creadores desarrollaron un modelo de código fuente abierto que permitía a cualquiera
revisarlo y mejorarlo. [...]
El grupo de delincuentes responsable de Citadel creó una comunidad de clientes y colaboradores a

escala internacional, quienes conformaban una especie de red social criminal donde se intercambiaban
ideas: cifrado AES de los archivos, la capacidad de eludir las páginas de rastreo, bloqueo del acceso a
páginas de seguridad en el equipo de la víctima o eliminar los vídeos de los usuarios. Así, los miembros
de esta red continuaron aportando nuevas funciones, las cuales consiguieron que este troyano fuera más
rápido y flexible, convirtiéndose en una herramienta perfecta para el robo de credenciales. [...]
Citadel vivió una época dorada hasta que Microsoft, junto con otras compañías, lanzó una operación
que interrumpió el 88 % de las infecciones".
SpyEye
"Se supone que SpyEye se convertiría en el competidor del troyano Zeus. Pero, al final, no pudo ganar
la batalla y alzarse con el título de soberano, aunque también disfrutó de su minuto de gloria. [...]
43/70
De hecho, algunas partes de la operación SpyEye se unieron a Zeus en un gran botnet bancario, que
desapareció rápidamente, pero cosechando, mientras tanto, bastante éxito. Los atacantes utilizaron este
malware contra la entidad Verizon, robando la información personal de los usuarios durante una semana
sin que alguien se percatara del golpe. Además, SpyEye utilizaba los servicios de almacenamiento en la
nube de Amazon para difundir el malware en sus campañas maliciosas. [...]
Finalmente, tres hombres fueron arrestados en el verano de 2012 por usar SpyEye para robar
información bancaria. En mayo de este año, también se capturó, en Tailandia, a uno de los
desarrolladores del troyano para extraditarlo, después, a EE. U.U. donde se enfrenta a una treintena de
cargos por sus crímenes on-line. Desde entonces, no hemos sabido nada más sobre SpyEye".
Zeus
"Es el turno de Zeus. Bajo el nombre de un dios griego, este troyano es sinónimo de eficacia y
precisión. Desde que se hizo público su código fuente en 2011, parece que todos los troyanos bancarios
tienen algo de Zeus en ellos. No obstante, solo este dispone de su propio espacio en Wikipedia e,
incluso, en nuestro blog, Viruslist, existen más de 22 artículos relacionados con él. Tal es su popularidad
que se podría escribir una novela de la misma longitud que “El Quijote” narrando sus maldades; aunque
sería prácticamente imposible relatar cada una de ellas. Apareció en escena en 2007, tras un ataque
contra el Departamento de Transporte de EE. UU. Desde aquella primera campaña, Zeus ha infectado
diez millones de equipos y robado cientos de millones de dólares hasta que sus creadores revelaron su
código fuente. Desde entonces, cientos de individuos han dado con sus huesos en la cárcel por participar
en estafas donde Zeus era el protagonista. Además, este malware se convirtió en el azote de bancos,
agencias gubernamentales o instituciones públicas. La lista de víctimas es realmente extensa. [...]
Zeus también se ha hecho famoso por su hermano pequeño, la versión móvil ZitMo que es capaz de
sortear los sistemas dobles de verificación que envían el código de acceso a través de un sms. Por cierto,
sus compañeros, SpyEye y Carberp, también han desarrollado sus modelos móviles. [...]
Dejando a un lado su faceta de troyano bancario, Zeus se ha convertido en uno de los malware más
conocidos a escala internacional, solo precedido por Stuxnet".
6.3. URL de información sobre SCAM

Encontramos una relación actualizada de mensajes de SCAM para analizar cualquier texto sospechoso
y reportar aquellos nuevos que localicemos:
44/70
www.scam.com
Figura 1.19. URL de información sobre SCAM 1.
Fuente: http://www.scam.com/.
www.scamwatch.gov
Figura 1.20. URL de información sobre SCAM 2.
Fuente: http://www.scamwatch.gov.au/content/index.phtml/tag/Scamwatch/.
45/70
6.4. Ejemplos de adwares - spyware - rogueware

Podemos encontrar una relación de programas en:
Listado de programas de seguridad
Figura 1.21. Adware-spyware.
Fuente: http://outbytes.blogspot.com.es/2009/04/listado-de-programas-de-seguridad.html.
46/70
www.spywarewarrior.com
Figura 1.22. Aviso de spyware products.
Fuente: http://www.spywarewarrior.com/rogue_anti-spyware.htm.
6.5. Ejemplos de APT

Entre las distintas APT podemos destacar, como ejemplo, las siguientes:
AURORA
(Junio-diciembre de 2009): 30 Multinacionales (incluidas Yahoo, Google, Adobe Systems,

Symantec y Juniper Networks) sufrieron un robo de información confidencial.
El acceso se consiguió a través de correos "spear-phishing" (correos personalizados dirigidos) con

links a WebSites de Taiwan que alojaban malware 0Day en JavaScript.
47/70
GH0SNET
(Marzo 2009): 1295 equipos en 103 países. Objetivo espiar al Dalai Lama y embajadas, ministerios
de países del Sur/Sureste de Asia. Se sospecha que el gobierno chino está detrás de la operación.
Empleo de la herramienta Gh0st RAT.
Ejemplo APT
Figura 1.23. Ejemplo APT.

Fuente: elaboración propia.
STUXNET
(Junio de 2010): gusano- malware avanzado que afecta a sistemas SCADA de control y
monitorización.
Incluye un rootkit para PLC (sistemas reprogramables). Originalmente diseñado para

infraestructuras críticas iraníes con sistemas de control Siemens, introducido a través de memorias
Flash-USB.
Stuxnet es excesivamente grande (0,5 MB) escrito en distintos lenguajes incluyendo C . Firmado
digitalmente con dos certificados auténticos. Actualización por P2P.
Se sospecha que fue desarrollado entre Israel y EE. UU. para atacar las centrales nucleares de Irán.
48/70
NIGHT DRAGON
(Noviembre 2009): se observaron ataques cibernéticos contra las empresas petroleras y

petroquímicas globales. Utilizando correos electrónicos de ingeniería social, junto con las
vulnerabilidades del sistema operativo Microsoft Windows para obtener acceso a las computadoras.
Con el acceso de los hackers obtuvieron acceso a información sobre los sistemas de producción de
gas y petróleo y los documentos operativos y financieros.
SHADY RAT
(Desde 2006 a 2011): 72 organizaciones afectadas por el robo de información entre las que se
incluían Naciones Unidas, Comité Olímpico Internacional, gobiernos y diversas empresas en todo el
mundo.
NITRO
Orientada al ciberespionaje industrial y al robo de información (patentes, fórmulas, procesos de

manufacturación) de 29 empresas químicas y 19 del sector de defensa. Empleó una versión reciclada
del troyano (RAT) Poisonlvy.
THE FLAME
Descubierto en mayo 2012 y también conocido como Flamer y sKyWIper. Malware avanzado
utilizado para el ciberespionaje en países de Oriente Medio, entre los que se encuentran Irán, Israel,
Sudán, Siria, Líbano, Arabia Saudí y Egipto.
Se propaga por LAN y Memorias USB. Tamaño grande 20MB, C; usa cinco métodos diferente de
cifrado y BD SQLite. Aprovecha dos vulnerabilidades usadas por Stuxnet para infectar sistemas
(recurso 207 que era un plugin de Flame usado en 2009 cuando Flame ya existía para propagarse por
USB). Utilizaba un certificado generado mediante técnicas de colisión de la función hash MD5. Se
sospecha que Israel o EE. UU. estaban detrás del mismo.
GAUSS
(Mediados 2011): malware detectado en Oriente Medio y es un complejo kit de ciberespionaje,

modular y desarrollable remotamente, específico para el robo de credenciales y espionaje de
transacciones bancarias, afectando a grandes entidades bancarias.
Basado en Flame e intercambia funcionalidades con este como las subrutinas de infección USB.
Las víctimas principales fueron Líbano, Palestina e Israel.
49/70
APT1
(Febrero 2013): unidad militar del ejército chino encargada de la ciberinteligencia a nivel mundial,
especialmente en países de habla inglesa. Ataque a 141 organizaciones de EE. UU. y otros países de
habla inglesa desde el 2006. Robo de Propiedad Intelectual.
RED OCTOBER
(Enero 2013): robo de información a diplomáticos e instituciones gubernamentales de distintos

países. Activo desde el 2007; sus objetivos eran países del este de Europa y países del Asia Central.
Malware propio: "Rocra".
El control es a través de 60 dominios y servidores en diferentes países. Documentos robados de

diversas extensiones, destaca las "acid" que se refieren a "Acid Cryptofilier" usada por varias
entidades de la Unión Europea a la OTAN.
Uno de los comandos en Trojan dropper es el cambio del codepage a 1251, requerido para
renderizar las fuentes cirílicas y en las propiedades de los archivos Excel de todos los exploits indican
su edición con chino simplificado.
KIMSUKY
(Septiembre 2013): campaña activa de ciberespionaje principalmente centrada en 11

organizaciones en Corea del Sur y dos entidades en China como posibles blancos, incluyendo el
Instituto Sejong, el Instituto de Corea para Análisis de Defensa (KIDA), el Ministerio de Unificación
de Corea del Sur, Hyundai Merchant Marine y partidarios de la unificación coreana.
Primeros signos datan de abril de 2013. Se utiliza el troyano Kimsuky y utiliza una versión
modificada de TeamViewer como puerta de entrada. Todo apunta a que Corea del Norte está detrás de
la APT, por los objetivos, por las cadenas de ruta con palabras coreanas:
Ruta de la APT KIMSUKY
Figura 1.24. Ruta de la APT KIMSUKY.

Fuente: Kimsuky.
(Atacar, terminar), por las IP detrás de los emails origen del spar-phishing que son de las provincias
chinas de Jilin y Liaoning, cuyos ISP también abastecen zonas de Corea del Norte, el malware
Kimsuky solo desactiva herramientas de seguridad de AhnLab, una compañía anti malware de Corea
del Sur.
50/70
6.6. Ejemplos de botnets
Una muestra de Botnets o redes zombis famosas se encuentra en la relación extraída de

http://www.welivesecurity.com/la-es/2014/10/29/top-5-botnets-zombi/.
STORM
"Ha sido uno de los primeros en tener éxito usando tácticas que luego serían utilizadas por otras
botnets de esta lista. Fue masivo, logrando alcanzar diez millones de computadoras con Windows en
su cenit. También fue una de las primeras botnets increíblemente grandes usadas para el rédito
económico de sus autores. [...]
El gran tamaño de esta red les permitió fraccionarla para venderla a diferentes partes, con diversos
fines maliciosos. Y porque esto resultó un esfuerzo muy lucrativo, los creadores del malware lo
diseñaron para que pelee contra los investigadores antimalware: era capaz de tornar sus fuerzas
zombis contra quien intentara unirse a su canal de comando y control, desde donde los autores daban
órdenes a los bots, dejando a los investigadores offline y fuera de batalla".
CONFICKER
" E l malware es difícil de predecir. A veces una amenaza que en la superficie no parece ser
particularmente avanzada, puede terminar protagonizando un ataque abrumador. En su apogeo,
Conficker infectó millones de máquinas Windows: algunos dicen que el número llegó a 15 millones.
[...]
En las películas, cuando una amenaza complica el modo de vida cotidiano, un grupo de
especialistas se forma para derrotar al enemigo. Esto no fue diferente: la cantidad de infecciones fue
tan grande que se creó el equipo Conficker Working Group para pelear contra él. Y si bien tuvieron un
éxito disminuyendo el número de máquinas infectadas, según el sitio del grupo, hay todavía un millón
de computadoras aún afectadas en el mundo –seis años después de que fuera descubierto–".
ZEUS
"Zeus no solo fue una gran botnet en sistemas Windows, tenía también un componente que robaba
códigos de banca en línea de una variedad de dispositivos infectados (Symbian, Windows Mobile,
Android y Blackberry). En 2012, fuerzas estadounidenses y sus socios de la industria de la tecnología
dieron de baja la botnet. [...]
Pero los autores originales tomaron piezas de su creación original y la revivieron –tal como un
hechicero vuelve a la vida a un zombi resucitado– y nació lo que conocimos como Gameover Zeus, la
cual el FBI dio de baja hace unos meses. [...]
Sin embargo, ese tampoco fue el final de esta bestia informática: sus creadores están rearmando
nuevamente su red zombi. ¿Se acuerdan de Cryptolocker, que no nos daba respiro el año pasado? Esta
amenaza fue propagada por variantes de Zeus".
51/70
FLASHBACK
"Para aquellos que piensan que “Mac no se infecta con virus”, Flashback fue en cierta forma un
shock. Lo cierto es que las Macs pueden infectarse con malware –y lo hacen–. De hecho, máquinas
infectadas se han convertido en parte de esta botnet masiva. Mientras la red Conficker se hizo de un
mayor número de máquinas afectadas, Flashback tuvo un gran porcentaje del número total de
máquinas Apple, con cerca de 600 mil infectadas en su “mejor” momento. [...]
Hoy la botnet está abandonada, pero contemplando que aún hay computadoras infectadas, ¿quién
sabe qué deparará su futuro?"
WINDIGO
"En la superficie, este bot parece ser como muchos otros: roba credenciales de máquinas infectadas,
o usa su poder de procesamiento para enviar spam. Y con solo algunas decenas de miles de máquinas
infectadas en su pico, sería difícil equiparar esta amenaza con el resto de las botnets de esta lista. [...]
Sin embargo, los autores de este malware parecen haber creado su propio ejército zombi
lentamente, de modo que han logrado permanecer fuera del radar por un tiempo. [...]
Y esas decenas de miles de máquinas son Linux, en su mayoría servidores, y muchos alojan sitios
que visitan millones de personas. Windigo no se limita a afectar sistemas Linux: infecta computadoras
Windows con malware que se propaga a través de un exploit kit. También “sirve” a los usuarios de
Mac con avisos de sitios de citas, y redirige a los de iPhone a sitios pornográficos. [...]
El nombre viene de la leyenda algonquina que habla de un Wendigo asociado al canibalismo –la
representación “corporizada” de la gula, la avaricia y el exceso–. Esta bestia nunca estaba satisfecha
matando y consumiendo a una persona; siempre estaba buscando nuevas víctimas".
52/70
Centros de monitorización de Malware
Podemos ver la actividad de las Botnets en diversos centros de monitorización de Malware,

por ejemplo, en Fortiguard: http://www.fortiguard.com/botnet/.
Figura 1.25. Fortiguard Center.

Fuente: http://www.fortiguard.com/botnet/.
6.7. Ejemplos de ransomware

En el último informe de CCN-CERT de abril de 2015 se publica “Informes de Amenazas CCN-CERT
IA-21/14, Medidas de Seguridad contra el Ransomware” donde se explica esta tipología delictiva
además de las vías de propagación y medidas preventivas desarrollando una serie de ejemplos de los
diferentes malware de esta categoría además de difundir consejos para su desinfección y/o recuperación
de la información:
https://www.ccn-cert.cni.es/publico/dmpublidocuments/CCN-CERT_IA-21-
14_Ransomware.pdf.
Los ransomware desarrollados en esta guía son:
53/70
CRYPTOLOCKER
Uno de los ransomware más dañinos durante los años 2013/2014 para los sistemas Windows XP,
Windows Vista, Windows 7, y Windows 8 ha sido CryptoLocker. Sus primeras variantes se
identificaron en septiembre de 2013 y actualmente sigue contando con nuevas versiones que hacen
prácticamente imposible la recuperación de los ficheros cifrados. Para dicho cifrado CryptoLocker
utiliza una mezcla de RSA y AES, solicitando un pago al usuario entre 100$ y 300$ por medio de
BTC o MoneyPak para la recuperación de los mismos. Si dicho pago se demora más de 72 horas el
ransomware amenazará con eliminar la clave privada utilizada para el cifrado de los documentos.
Figura 1.26. Foto de cifrado de documentos.

Fuente: Internet.
CRYPTOWALL
Poco tiempo después del cierre de la infraestructura de Gameover Zeus y CryptoLocker mediante la
“Operación Tovar”, un ransomware similar a CryptoLocker y CryptoDefense (véase en el siguiente
punto) dio a conocerse utilizando también correos de phishing como vía de infección. Desde el blog
de McAffe [http://blogs.mcafee.com/mcafee-labs/cryptowall-ransomware-built-with-rc4-bricks]
pueden verse algunos ejemplos reales de este tipo de correos en los que se incita al usuario a
descargar y ejecutar un determinado fichero dañino.
Figura 1.27. Ejemplo de criptowall.

Fuente: Internet.
CRYPTODEFENSE
Los primeros focos de infección de CryptoDefense aparecieron en febrero de 2014.
54/70
Este ransomware emplea un enfoque muy parecido a CryptoWall y CryptoLocker. Utiliza RSA
2048 como sistema de cifrado y solicita al usuario un pago de 500$ USD por medio de BTC en un
intervalo de 4 días. Si el pago se demora más tiempo, el dinero solicitado se duplicará.
El portal de pago estará también localizado dentro del dominio “.onion”, por lo que el usuario
deberá utilizar un cliente Tor o bien usar una pasarela Web-to-Tor. Según información de Bromiun
Labs [Ref.-28] este tipo de ransomware ha sido distribuido por medio de exploits para versiones de
Java vulnerables.
Cada fichero cifrado contendrá una cabecera con la cadena "!crypted!" junto con un identificador
único para el host afectado (hash de 32 caracteres). Entre la lista de ficheros objetivo, el ransomware
también cifrará certificados SSL y ficheros correspondientes a código fuente.
Figura 1.28. Ejemplo criptodefense.

Fuente: Internet.
55/70
TORRENTLOCKER
Utilizando una metodología similar a CryptoLocker y CryptoWall, CryptoTorrent, cifrará una gran
variedad de ficheros y solicitará cierta cantidad de BTC para la recuperación de los mismos. Sin
embargo, el código utilizado por este espécimen es completamente diferente a dichas familias de
malware. El alias asociado a este espécimen se debe al uso de la cadena “Bit Torrent Application” en
determinadas entradas de registro; aunque este no presente ninguna relación con el protocolo
BitTorrent.
CryptoTorrent fue difundido a partir del mes de agosto de 2014, centrándose principalmente en
países como Australia e Inglaterra por medio de mensajes de phishing que emulaban determinados
servicios de paquetería. Una vez que el usuario descarga y ejecuta el fichero dañino comienza el
proceso de infección.
Figura 1.29. Ejemplo cryptolocker 1.

Fuente: Internet.
56/70
CRYPTOGRAPHIC LOCKER
Durante los meses de agosto y septiembre de 2014 se identificó un nuevo ransomware bajo el
nombre CryptoGraphic Locker que utilizaba exploits-kits como principal vía de infección
(posiblemente mediante exploits para Silverlight tal y como indican algunos usuarios en KernelMode
[http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3466]).
Figura 1.30. Ejemplo cryptolocker 2.

Fuente: Internet.
57/70
BAT_CRYPTOR
Durante los meses de julio y agosto de 2014 las compañías Symantec y Trend Micro informaban de
un nuevo tipo de ransomware, caracterizado por el uso de GPG (GNU Privacy Guard) para el cifrado
de los ficheros del sistema infectado. Dicho espécimen ha sido apodado como Trojan.Ransomcrypt.L
y BAT_CRYPTOR.A [Ref.-36] por ambas compañías respectivamente.
El vector de entrada de dicho malware se realiza principalmente por medio de mensajes de spam,
en el que se envía como adjunto un JScript que servirá de dropper de los ficheros dañinos, dentro de
los que se incluye una copia de la herramienta GnuPG. Dicha herramienta será renombrada a
svchost.exe.
Figura 1.31. Svchost.exe.

Fuente: elaboración propia.
58/70
CTB-LOCKER y CTB-LOCKER 2.0
Uno de los ransomware más sofisticados identificados durante el 2014 ha sido CTBLocker (Curve-
Tor-Bitcoin Locker), también conocido como Critroni. A diferencia de otros ransomware, este
espécimen [Ref.-38] se caracteriza por utilizar Tor para su comunicación con el servidor de control (el
cual es alcanzable únicamente dentro del dominio “.onion”), dificultando enormemente la localización
del mismo. Además, el esquema criptográfico utilizado hace realmente compleja la recuperación
(descifrado) de los ficheros, incluso si el tráfico entre el malware y el C2 es interceptado.
A finales de enero de 2015, se produjo una importante campaña de distribución de una versión
mejorada del original CTB-Locker. El vector de infección en este caso estaba íntimamente ligado al
conocido downloader Dalexis, que se propagaba a través de correo electrónico en el interior de
ficheros comprimidos con extensiones .zip o .cab.
Figura 1.32. Ejemplo CTB-Locker.

Fuente: Internet.
59/70
ZEROLOCKER
Es otro ransomware descubierto en agosto de 2014, el cual genera una clave aleatoria de 160 bits
para cifrar [Ref.-40] mediante AES todos los ficheros del disco duro (incluyendo binarios).
Únicamente quedarán exentos de dicho cifrado ficheros superiores a 20 MB, así como los directorios:
"Windows", "WINDOWS", "Program Files", "ZeroLocker" y "Desktop". Los ficheros cifrados por
ZeroLocker serán renombrados con la extensión “.encrypt”. Mientras que los ficheros originales serán
eliminados.
Figura 1.33. Ejemplo Zerolocker.

Fuente: Internet.
CRYPTOFORTRESS
Un nuevo tipo de ransomware denominado Cryptofortress fue distribuido masivamente a partir de

febrero de 2015 mediante dos vías: a través del conocido exploit kit Nuclear Pack, y utilizando
mensajes de spam.
En un primer momento se pensó que se trataba de una réplica del famoso ransomware
Torrentlocker (sección 7.3), ya que la página con las instrucciones de pago que se presenta al usuario
es idéntica en apariencia:
Figura 1.34. Ejemplo Cryptofortress.

Fuente: Internet.
60/70
VII. PRESENTACIONES ADICIONALES

En los siguientes enlaces encontrarán un apoyo didáctico a las amenazas explicadas concretamente a
las:
APT: ¡Te miro y no te veo!
http://prezi.com/xcjikhf9fuck/?utm_campaign=share&utm_medium=copy
Phishing - Troyanos - Botnets: casos Prácticos Cibercrimen
http://prezi.com/k2iaowfs26bc/?utm_campaign=share&utm_medium=copy
Ransomware - Exploits Kits - Troyanos: el negocio del Malware
http://prezi.com/b0tjrkiwgs79/?utm_campaign=share&utm_medium=copy
61/70
Ejercicios
Ejercicio propuesto 1
Analice la situación actual de las amenazas existentes por Botnets y geolocalice las conexiones de
origen y destino de estos ataques.
Para la realización del ejercicio puede ayudarse de las diversas herramientas on-line que facilitan
diversas empresas de seguridad en virtud de las monitorizaciones y reportes de usuarios.
Páginas de seguridad
Existen diversas páginas de seguridad que nos muestran en tiempo real los diversos ciberataques
que se están produciendo en el ciberespacio. Como muestra relacionaremos los siguientes:
http://www.sicherheitstacho.eu/
62/70
http://map.norsecorp.com/#/
https://www.fireeye.com/cyber-map/threat-map.html
63/70
http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&time=16239&view=map
http://cybermap.kaspersky.com/
64/70
http://globe.cyberfeed.net/
http://www.akamai.com/html/technology/dataviz1.html
65/70
http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-
map/index.html
https://apt.securelist.com/#secondPage
66/70
http://atlas.arbor.net/worldmap/index
http://map.honeynet.org/
67/70
http://www.team-cymru.org/malicious-activity-maps.html
http://www.shadowserver.org/wiki/pmwiki.php/Stats/DDoSMaps
68/70
http://worldmap3.f-secure.com/
https://labs.opendns.com/global-network/
69/70
Recursos
Enlaces de Interés
http://blogs.mcafee.com/mcafee-labs/cryptowall-ransomware-built-with-rc4-bricks
McAffe
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3466
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3466
70/70

01 Introduccion ALa Ciberinteligencia YCiberseguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

01 Introduccion ALa Ciberinteligencia YCiberseguridad

Cargado por

Copyright:

Formatos disponibles

Introducción a la ciberinteligencia y

ciberseguridad © ADR Infor SL

Conocer lo qué es la ciberseguridad y la ciberinteligencia.

III. INTRODUCCIÓN A LA CIBERSEGURIDAD

Cuando hablamos de ciberseguridad nos estamos refiriendo a la seguridad informática y no existe un

3.1. ¿Cómo debe ser la ciberseguridad?

Cada caso es distinto y no se puede aplicar las mismas técnicas de protección.

Si obligamos a nuestros empleados o clientes a usar contraseñas muy complejas como de 24

3.2. Definiciones de seguridad informática

Grupo de hackers Heineken Team, en su trabajo “SEGURIDAD Y PROTECCIÓN DE LA

No obstante, sí hay tres aspectos fundamentales que definen la seguridad informática:

En síntesis, hay tres aspectos primordiales en la ciberseguridad que son la confidencialidad, la

El propósito de este aspecto de la seguridad es garantizar el no acceso a la información por ninguna

En la norma ISO/IEC 27000:2014 Tercera edición está definida la confidencialidad como:

Para proteger la confidencialidad de estos accesos no autorizados se ha enfocado el uso de la

Como uno de los propósitos de la confidencialidad es la protección a la interceptación de la

(Del inglés “Integrity”). Mantenimiento de la exactitud y completitud de la información y sus

El propósito de este aspecto de seguridad es la de garantizar que la información no es modificada,

Existen dos aspectos relacionados con la integridad: la precisión ( accuracy) y la autenticidad

(Del inglés “Availability”). Acceso a la información y a los sistemas de tratamiento de la misma

Debemos entenderla en el aspecto de la ciberseguridad como el mantenimiento de la información en

Un sistema disponible debe garantizar el mínimo tiempo de no funcionamiento y, en el caso de que se

Lo opuesto a la disponibilidad sería la “Denegación de servicio” ( Denial of Service o DoS).

3.6. Otros aspectos relacionados

“Otros conceptos relacionados: […]

Métricas de seguridad, monitoreo

Áreas que son vulnerables a un impacto por parte de una amenaza.

Deficiencias que pueden ser explotadas por amenazas.

Cualquier acción o evento que puede ocasionar consecuencias adversas.

El riesgo que permanece después de que se han implementado contramedidas y controles.

Los resultados y consecuencias de que se materialice un riesgo.

La importancia que tiene un recurso para el negocio.

Análisis de impacto al negocio

Evaluar los resultados y las consecuencias de la inestabilidad.

Cualquier acción o proceso que reduce la vulnerabilidad.

El proceso de determinar la sensibilidad y criticidad de la información".

IV. INTRODUCCIÓN A LA CIBERINTELIGENCIA

El conocimiento adquirido a través de la recolección de la información sobre cómo está nuestro

4.1. Administración del riesgo

Establecer el contexto y el propósito.

4.2. Gestión del riesgo, expectativas

4.3. Principios básicos de actuación en ciberinteligencia

Es uno de los principios fundamentales de la Seguridad y evidentemente también de la Seguridad

Seguridad mediante oscuridad

Es muy importante el gran dinamismo de la tecnología. Los conceptos, protocolos, equipos,

Punto de control centralizado

Cuantos menos puntos de acceso tengamos a nuestro sistema y si conseguimos individualizarlo,

Seguridad en caso de fallo

4.4. Ciclo de ciberinteligencia

Figura 1.1. Ciclo de la ciberinteligencia

Fuente: elaboración propia

Un activo es aquel valor material o inmaterial que poseemos y precisamos proteger.

Las vulnerabilidades pueden ser de diversos tipos:

Conocidas y que existe una corrección para la misma

Conocidas y que no existe una corrección para la misma

Es la consecuencia de la materialización de una amenaza explotando una vulnerabilidad accede a

Son las acciones implementadas a minimizar el riesgo, disminuyendo el impacto o la probabilidad

5.1. Tipos de vulnerabilidades

Vulnerabilidad del hardware

Se refiere a cuando el software contiene debilidades de seguridad que permiten su explotación y

Vulnerabilidad de los medios de almacenamiento

Los medios de almacenamiento de la información independientemente del sistema (óptico,

Vulnerabilidad por emanación