Concientización Seguridad de la Información

Introducción Mayo 2022

OBJETIVO

Proporcionar información actual de lo que está pasando en CFE,

en materia de Seguridad informática para comprender la
importancia de implementar y mantener una CULTURA de
seguridad de la información sustentada en los tres entornos de la
seguridad: Gente, Procedimientos e Infraestructura, alineados a
la estrategia y metas de la CFE.
 ALCANCE

Al término de la presentación los asistentes

podrán identificar cuál puede ser su

contribución para difundir el Programa de
Concientización.
SEGURIDAD

¿Qué es seguridad de la información?

Proceso para asegurar que la información está resguardada con un
riesgo aceptable.

Objetivo de la Seguridad

Configurar, mantener y operar un ambiente de trabajo de

forma que se comporte como se espera cuidando la confidencialidad,

integridad y disponibilidad de la información.

IMPORTANCIA DE LA SEGURIDAD

• La seguridad no es un problema tecnológico → Es un problema

que debe atender el negocio.

• Los riesgos no se mitigarán si invertimos únicamente en tecnología

→ Es necesario definir una estrategia alineada a los objetivos
del negocio.

• Confiar en que la gente maneja la información de forma ética y

diligente no dará resultado → Se requiere una Normatividad.

• Pensar que “como hasta ahora no ha pasado nada, seguramente

nunca ocurrirá” impide ver los riesgos → Es importante generar
una Conciencia de la seguridad.
IMPORTANCIA DE LA SEGURIDAD

¡La seguridad involucra 3 dimensiones no sólo 1!

Gente

Procesos
Infraestructura
EL TRIÁNGULO PERFECTO DE LA SEGURIDAD

• Programa de Concientización

• Políticas de Seguridad
• Para todos los empleados.
• Aterrizadas mediante procedimientos.
• Vigiladas constantemente.

• Tecnología de seguridad
• Firewalls, Detectores/Preventores de Intrusos, Sistemas de filtrado,
Antivirus/Antispyware, Sistemas de Autenticación y Control de
Acceso, Encriptación, firma electrónica, etc.
¿POR QUÉ ES IMPORTANTE INVERTIR EN
SEGURIDAD INFORMÁTICA?

Para evitar o minimizar riesgos asociados con:

• Robo o pérdida de información

• Transacciones fraudulentas

• Mal uso de la información o los recursos informáticos

• Alteración no autorizada de la información

• Incumplimiento de leyes y regulaciones nacionales y/o
internacionales
¿QUÉ ESTÁ HACIENDO CFE PARA PROTEGER LA
INFORMACIÓN?

La CFE se dio a la tarea de incrementar los niveles de protección

de la información, mediante el proyecto:

orientado a diferentes ámbitos de la

organización y basados principalmente en la implantación de
Centros de Operación de Seguridad (SOC) para la CFE, instalados
tanto en la CST como en el CENACE, brindando así una
protección estratégica e integral de la información.

De igual forma, mediante la estrategia nacional de ciberseguridad

del gobierno federal, se trabajan en las recomendaciones
realizadas por la OEA (Organización de Estados Americanos)

http://www.oas.org/es/centro_noticias/comunicado_prensa.asp?sCodigo=C-082/17
LOS OBJETIVOS DE ESTAR CONECTADOS CON
SEGURIDAD

Gente
Programa de concientización y entrenamiento.
• Un adecuado programa de concientización y entrenamiento,
genera la cultura de la importancia de la seguridad de la
información en la GENTE, ayuda a cambiar hábitos malos por
hábitos buenos, provoca que la gente se comprometa con la
seguridad de la información, porque la gente es la única que
hace cambios en la empresa.
• “La GENTE ES LA LLAVE, las empresas no cambian -la gente
cambia-, entonces, la gente cambia a las empresas”.
LOS OBJETIVOS DE ESTAR CONECTADOS CON
SEGURIDAD

Gente
• Modificar hábitos inseguros en la operación diaria.
• Capacitar a un grupo de entrenadores líderes en la cultura de la
seguridad, quienes a su vez concientizarán al personal de la
CFE sobre los riesgos de no utilizar prácticas de seguridad.
• Diseñar e implantar un programa de comunicación a través de
medios de comunicación como: carteles, correo electrónico,
protectores de pantalla y trípticos, para fomentar la cultura a
toda la CFE.
Capacitación.
• Formar a personal representativo de la CFE en temas
especializados de seguridad informática, con base en las
necesidades de los tres planos (gente, procesos e
infraestructura).
LOS OBJETIVOS DE ESTAR CONECTADOS CON
SEGURIDAD

Procesos
Normatividad.
•Desarrollar los procedimientos que darán cumplimiento al manual
de políticas con que actualmente cuenta la CFE.

Tablero de control.
•Proporcionar una herramienta informativa que despliegue el
avance en la implantación de políticas y controles de seguridad en
la red de datos.

Ver documento “Lineamientos en materia de seguridad de la información”

LOS OBJETIVOS DE ESTAR CONECTADOS CON
SEGURIDAD

Infraestructura
SOC
•Administrar, monitorear, controlar, manejar incidentes de
seguridad y brindar soporte centralizado.

ZONAS SEGURAS
•Definir los lineamientos y controles de los sistemas y redes de la
CFE para reforzar la seguridad con diferentes tecnologías como
firewalls, detectores de intrusos, filtrado de contenido y VPN.

ENDURECIMIENTO
•Desarrollar y aplicar guías de configuración segura a una muestra
de equipos para prevenir ataques o amenazas de seguridad.
¿QUIÉNES DEBEMOS PARTICIPAR EN
CUIDARLA?

“La tecnología podrá forzar a un usuario a cambiar su

contraseña...
...pero nunca logrará cambiar su comportamiento”.

La seguridad no es un proyecto, con un inicio y un fin, es

un proceso continuo y lo más importante:

“ES RESPONSABILIDAD DE TODOS”

2.- La información esta siendo atacada

 SITUACIONES COTIDIANAS

Lo que se cree… REALIDAD

1. Préstales tu contraseña, la gente 1. La mayoría de ataques en las
aquí es muy confiable. organizaciones vienen del interior.

2. Cuando bajo juegos de Internet, 2. Puede que estés bajando código

no afecto a nadie porque lo hago malicioso.
fuera de horario de trabajo.

1. Como el equipo es nuevo, no tiene 3. Los equipos no necesariamente

vulnerabilidades. salen seguros de fábrica. Hay
vulnerabilidades nuevas todos los
días.

2. Deja el access point sin 4. Las redes wireless son altamente

contraseña, al fin sólo estamos inseguras y su alcance puede ir más
nosotros en este piso. allá de lo que imaginamos.

3-Ciberseguridad1-4
 SITUACIONES COTIDIANAS

Prácticas inseguras:

• Dejar “post-it” con contraseñas en

lugares visibles

• Compartir información confidencial con

personal no autorizado

• Enviar información confidencial sin

encriptar

• Dejar nuestra máquina sin bloquear

• No recoger documentos confidenciales

de faxes e impresoras
RECOMENDACIONES DE PROTECCIÓN

Recomendaciones para proteger tu identidad

• No seguir links enviados por correo

al menos que usted los solicite

• No dejar datos confidenciales en

sitios que no sean confiables

• No participar en “cadenas”

• Ignorar los correos que solicitan

datos confidenciales

4-Ciberseguridad 2-4
 RIESGOS ASOCIADOS CON LA GENTE

Vulnerabilidad
•Falta de capacitación a los usuarios “La vulnerabilidad es
una debilidad en un
recurso el cual puede
•Desconocimiento de las políticas al ser explotado para violar
ingreso (firmarlas) el comportamiento
normal del mismo.”
•Falta de un adecuado programa de
seguridad

•Utilizar contraseñas que se consideran

débiles

•Usar tecnología no probada

 RIESGOS ASOCIADOS CON LA GENTE

¿Qué riesgos existen?

Los riesgos están asociados con acciones u omisiones
no deseadas de parte de la gente:

• Divulgación de información sensible:

• Robo, espionaje, sustracción, mal uso, e
ingeniería social (¿cómo se enteraron de …?).
• Abuso de privilegios: Borrado de información
y fraude (transacciones falseadas).

• Ataques activos:
• Implantación de virus, caballos de Troya, etc.
• Provocación de caídas de servidores
(negación del servicio).
7-Robo_de_la_informacion
 RIESGOS ASOCIADOS CON LA GENTE

Algunos controles
• Portar gafetes, en general normar el acceso a
edificios y zonas de la empresa.

• Controles de seguridad física:

(notebooks, medios magnéticos, etc).

• Regular control de accesos y autorizaciones

(principio de mínimo acceso,
altas/bajas/cambio de contraseñas, etc).
 ADMINISTRACIÓN DE CONTRASEÑAS

¿Por qué la mayoría de los ataques se basan en adivinar

contraseñas?

•Existen muchas utilerías como

las basadas en fuerza bruta

• Las contraseñas son débiles

• Ausencia de normatividad

• Caducidad

• Asignación de contraseñas

por un responsable de la seguridad

 ADMINISTRACIÓN DE CONTRASEÑAS

Objetivos
Contraseñas difíciles de adivinar.
“Todos los usuarios de sistemas de cómputo deben elegir
contraseñas que no sean fácilmente adivinadas. Esto significa que
las contraseñas no deben estar relacionados al trabajo
desempeñado o a la vida personal del empleado. Por ejemplo, no
deben ser usadas fechas de nacimiento, nombres

de esposa o hijos, placas de automóvil o

direcciones personales. Esto significa que

las contraseñas no deben ser una palabra encontrada en los
diccionarios o un modismo”.
5-Ciberseguridad 3-4
 INGENIERÍA SOCIAL

Definicion
La Ingeniería social es la
práctica de obtener
información confidencial a
través de la manipulación
de usuarios legítimos. ... El
principio que sustenta
la ingeniería social es el
que en cualquier sistema
"los usuarios son el
eslabón más débil"
 INGENIERÍA SOCIAL

Los Ingenieros Sociales explotan la confianza de la gente

Nuestra tendencia a generar confianza –y creerle- hacia quién:

• Es amable (una voz sexy funciona muy bien)
• Es “empático” hacia nuestro estado de ánimo o problemas (“Oiga, debe
ser complicado estarle contestando el teléfono a muchos usuarios
enojados y mal educados ¿no?”)
• Suponemos que es de nuestra empresa, pues conoce datos que sólo
los de la empresa conocemos: nombres de las personas,
departamentos, sucursales, sistemas, aplicativos, claves que sólo
nosotros usamos o terminología propia (“Oye Pepe, tengo un 10-4 aquí en
la sucursal 30”)
• Quiere ayudarnos
• Necesita ayuda (empleado nuevo)
 INGENIERÍA SOCIAL

Ejemplo de ataque común

Previo al ataque “final” el atacante ha averiguado:
• Que mariana es la de Soporte Técnico.
• Que Gustavo es uno de los auditores
• Que recientemente hicieron una auditoria de sistemas en
la empresa…

8-Una_demostración_IS
 INGENIERÍA SOCIAL

Análisis del caso de auditoria de sistemas

El ataque requirió:
• Recabar información previamente: nombres de personas,
conocimiento de una “auditoria de sistemas” y que requiere la
clave de acceso a la red

• Planeación del diálogo.

• Llevar al atacado a una situación en la

que se ponga enojado (o frustrado) y el

atacante “se ponga de su lado” ofreciéndole ayuda.

• Sangre fría.
 INGENIERÍA SOCIAL

Pasos generales de un ataque

Determinar Recabar Establecer Obtener la
el objetivo. Información La información
Plan General Inicial Confianza definitiva

Empresa o persona Llamada a la recepcionista y de ahí a Hacerse pasar por otra persona
objetivo. distintos deptos., proveedores, etc. (soltando información que lo pruebe o
–incluso- contestando las preguntas
Determinar la Visita personal. Navegar por página
en forma natural).
estrategia general Web.
Forma(s) de recabar Establecer el escenario (la historia)
Buscar en la basura. Preguntarle a los
información para:
de limpieza
(telefónica, visita,
Pedir ayuda (P.ej. Preguntar por
revisión de basura, Objetivos:
cierta información; hacer que realice
hackeo vía Internet)
+ Construir organigrama. alguna acción).
+Datos “únicos”: El jefe está en Solicitar ayuda (“Podemos revisar su
París. La red acaba de ser migrada, cuenta ...”).
etc.
Ordenar algo a un subordinado
+ Saber terminología y (sobre todo en la milicia o en el
procedimientos propios de la empresa. gobierno).

9-2da_demostracion_IS
 INGENIERÍA SOCIAL

Algunos casos relevantes

“Para vencer las medidas de seguridad, un atacante, intruso o
ingeniero social debe encontrar una forma de engañar a un usuario
confiado para que éste revele información... Cuando los empleados
confiados son engañados, influenciados o manipulados para que
revelen información sensitiva, o realicen una acción para crear un
hueco de seguridad para ser aprovechado por el atacante, ninguna
tecnología en el mundo puede proteger al negocio”.

Kevin Mitnick, The Art of Deception.

 INGENIERÍA SOCIAL

Los 2 ingenieros sociales más famosos del mundo

Kevin D. Mitnick Frank W. Abagnale

 INGENIERÍA SOCIAL

Kevin D. Mitnick
Fue el pirata informático más buscado por el FBI. Después de cumplir una
condena cinco años por entrar a las computadoras de varias empresas y
dependencias oficiales estadounidenses -entre ellas el Pentágono y el FBI-,
hoy se dedica a dar conferencias sobre el “arte del engaño”.
 INGENIERÍA SOCIAL

Frank W. Abagnale
Frank W. Abagnale, fue uno de los estafadores, falsificadores, impostores y
artistas de la fuga más atrevidos de la historia. En su breve pero notoria carrera
criminal, Abagnale se enfundó el uniforme de piloto y copiloto un jet de la Pan
Am, se hizo pasar por médico en un hospital, ejerció de abogado y profesor
universitario de sociología sin título y se embolsó dos millones y medio de
dólares falsificando cheques, todo ello antes de cumplir los veintiún años.

Ver video “Atrápame si puedes”

 INGENIERÍA SOCIAL

Recomendaciones generales
“Pedir un favor a un colega o a un subordinado es una práctica
común. Los ingenieros sociales saben cómo explotar nuestro
deseo de ayudar y ser un buen jugador en equipo. Un atacante
explota este deseo natural para engañar a los empleados a hacer
lo que le convenga para su objetivo. Es importante entender este
concepto sencillo, de esa forma usted tendrá más posibilidades de
reconocer cuando otro trate de manipularlo”.

Otra recomendación de Mr. Mitnick.

 INGENIERÍA SOCIAL

Dos pasos básicos

Para evitar ser engañados, siga estos dos pasos:

• Verifique la identidad de la persona que hace la petición:

¿La persona es quién dice ser?
• Verifique si la persona está autorizada: ¿La persona tiene
la necesidad de saber o está autorizada a hacer esa
petición?
PROGRAMA DE CONCIENTIZACIÓN

Papel del grupo directivo

• Son los patrocinadores de la difusión del plan de concientización
• Son líderes en el apego a la Normatividad
• Difunden la importanciadela seguridad en sus respectivas
áreas para un mejor entendimiento y seguimiento de las
Políticas Institucionales

• Definen procesos de evaluación y desempeño periódico

• Transmiten el mensaje:
“La seguridad no es un proyecto, es un proceso continuo

responsabilidad de todos”
 PROGRAMA DE CONCIENTIZACIÓN

CASOS REALES EN CFE

Durante el evento anual Cisco-ROC 2017 donde participa personal de toda la CFE, se detectó
que equipos de Distribución accediendo a una dirección IP asociada a código malicioso bajo el
dominio www.cfemex.com que resuelve a la dirección IP: 69.172.201.153, asociada a una lista
considerable de dominios categorizados como maliciosos, por ejemplo:
• 060618.com
• 133556.com
• 32624.com
• vard.info
• 4.professionalsoft.com

Y a muestras de Malware como:

• Win.Worm.Pykspa
• Win.Trojan.Pykspa
• Win.Worm.Autorun
• Win.Trojan.Ramnit
• Win.Worm.Mytob
• Win.Trojan.Agent
• Win.Worm.Agent
 PROGRAMA DE CONCIENTIZACIÓN

CASOS REALES EN CFE

“Phishing”
“Es un término informático que denomina un modelo de
abuso informático y que se comete mediante el uso de un
tipo de ingeniería social, caracterizado por intentar
adquirir información confidencial de forma fraudulenta”
 PROGRAMA DE CONCIENTIZACIÓN

Ransomware "Nyetya" afectando sistemas a nivel mundial

• El vector inicial de infección es aún desconocido
• El malware intenta obtener privilegios de administración y reescribir el sector de
arranque de Windows
• Independientemente de si pudo reescribir el sector de arranque o no, el
malware crea una tarea automática para reiniciar el equipo una hora después
de la infección. En caso de una infección efectiva, el equipo no inicia con
normalidad y despliega un mensaje de consola solicitando el rescate al usuario
 PROGRAMA DE CONCIENTIZACIÓN

Ransomware "WannaCry"
Los ataques ransomware de la
variedad WannaCry, son ataques
informáticos que usan el
criptogusano conocido como
WannaCry dirigidos al sistema
operativo Windows de Microsoft.
Durante el ataque, los datos de la
víctima son encriptados, y se
solicita un rescate económico
pagado con la criptomoneda
Bitcoin, para permitir el acceso a
los datos

http://www.bbc.com/news/technology-39901382
 PROGRAMA DE CONCIENTIZACIÓN

“Industroyer” o “CrashOverRide”
En junio del 2017 aparecen noticias sobre un malware
dedicado a explotar brechas en protocolos
tradicionales de subestaciones eléctricas Ucranianas.

Según los investigadores, CrashOverRide es la mayor amenaza diseñada para

interrumpir los sistemas de control industrial, después de Stuxnet , el primer malware
supuestamente desarrollado por EE. UU. E Israel para sabotear las instalaciones
nucleares iraníes en 2009.
 PROGRAMA DE CONCIENTIZACIÓN

Nuevas amenazas
Malware Bad Rabit
El día de de Octubre de 2017, Cisco Talos fue alertado sobre una campaña de
ransomware de grande escala afectando organizaciones a lo largo de Europa
del Este y Rusia. Como en situaciones previas, nos movilizamos rápidamente
para valorar la situación y asegurar que los clientes permanecieran protegidos
de esta y otras amenazas conforme emergen a lo largo del panorama de
amenazas.
Este, aparenta tener algunas similitudes con el malware Nyetya que, a su vez,
está basado en el ransomware Petya. El mecanismo de distribución no
aparenta tener el nivel de sofisticación de otros ataques que hemos observado
recientemente. Basado en la información encontrada hasta el momento, el
malware aparenta haber estado activo por aproximadamente seis horas antes
de que el servidor huesped del malware hubiera sido apagado.
 PROGRAMA DE CONCIENTIZACIÓN

Este malware conocido

como Bad Rabbit modifica
el registro maestro de
arranque (MBR por sus
siglas en inglés) del sistema
afectado para redireccionar
el proceso de arranque a la
ejecución del código
infeccioso. La experiencia
del usuario infectado es la
presentación de una
pantalla solicitando rescate
para recuperar la
información y el acceso a
sus archivos.
 PROGRAMA DE CONCIENTIZACIÓN

Algunos datos
Existen más de 74 países afectados y diversos sectores de la industria.

VIDEO SAMSUNG KNOX

11-Entrevista_Chema Alonso
https://youtu.be/IrrfEISYT1A
PROGRAMA DE CONCIENTIZACIÓN

Algunos datos
• 71% de las organizaciones creen que son efectivos en la
detección de amenazas desconocidas

• 58% Cree que su infraestructura está actualizada

• 74% Cree que sus herramientas son efectivas contra

amenazas conocidas

Limitaciones
1. Presupuesto
2. Compatibilidad
3. Certificación
4. Talento

Fuente: www.cisco.com/go/acr2017
PROGRAMA DE CONCIENTIZACIÓN

Conclusiones

• La seguridad es una necesidad de todas las

organizaciones

• Es importante saber hacia donde enfocar los esfuerzos

(elementos críticos o sensibles)

• La seguridad es evolutiva, considerar la “velocidad de

cambio” de la organización

• La seguridad no se hace solamente por reacción, debe

hacerse por prevención
Recomendaciones para evitar el robo de información en las empresas
https://youtu.be/yHOymwvbX1U
PROGRAMA DE CONCIENTIZACIÓN

¡GRACIAS!

Creditos: CST-GTI