Principios de Seguridad Informátca Ágil V1.0 Mayo2022

PRINCIPIOS DE SEGURIDAD
INFORMÁTICA ÁGIL
Dr. Sergio Castro Reynoso
www.ciberdefensa.org
Versión 1.0, Mayo 2022
Descarga la versión más reciente en: https://ciberdefensa.org/forma-

libro-sia
INTRODUCCIÓN
Bienvenid@ al libro “Principios y Práctica de Seguridad Informática

Ágil”.
El objetivo de este libro es darte los conocimientos fundamentales

de seguridad informática, bajo una metodología ágil. Cubriremos los
siguientes temas:
1. Los sistemas de tecnología de información

2. Los ciberataques
3. Los principios de ciberdefensa
4. Controles de Ciberdefensa
5. Soluciones de Seguridad Informática
El tema de la seguridad informática es mucho más amplio que esto;

no hay forma que te podamos enseñar todo en un solo libro. Al
terminar este libro, depende de ti el incrementar tu conocimiento en
los temas específicos que más necesites en tus proyectos.
Una característica de este libro es su enfoque práctico. Hay muchos

temas teóricos que se pueden cubrir en el área de seguridad
informática, y muchos otros libros y cursos lo cubren, sin que sean
necesariamente útiles. Este libro se enfoca en conocimiento
inmediatamente útil para un gerente o director de seguridad
informática como tú, que se tiene que enfocar en la visión global de
cómo implementar una serie de controles, con un conjunto de
soluciones, y utilizando un equipo de trabajo con cierto diseño
organizacional.
CAPÍTULO 1: LOS SISTEMAS DE TECNOLOGÍA DE LA
INFORMACIÓN
En este capítulo cubriremos los siguientes temas:
Los sistemas de TI como herramienta de las empresas

Los recursos de una organización
Los datos
LOS SISTEMAS DE TI COMO HERRAMIENTA DE LAS
EMPRESAS
Una organización o empresa es un conjunto de personas trabajando

en forma organizada con un objetivo en específico. El objetivo de las
empresas es obtener un retorno sobre inversión adecuado. Otro tipo
de organizaciones pueden no tener un fin de lucro, tal como
agencias de gobierno y organizaciones sociales. Pero casi todas las
organizaciones tienen algo en común: utilizan sistemas de
tecnología de información para administrar sus procesos.
Prácticamente no existen las organizaciones que no utilicen
computadoras y algún tipo de software para comunicación interna y
externa (tal como correo electrónico y sistemas de mensajería),
escribir, y llevar las cuentas de la empresa. De hecho, podemos
decir que la vasta mayoría de las organizaciones dependen 100%
de las tecnologías de información, y sin éstas, sus operaciones se
ven severamente afectadas, o se detienen totalmente.
Y es por esto por lo que es tan importante la seguridad informática.

El objetivo de la misma en asegurar que los sistemas de tecnología
de información no sean afectados por ciberataques, y puedan llevar
los datos correctos, a la persona o sistema correcto, en el momento
correcto. Una organización sin seguridad informática quedaría
paralizada en cuestión de poco tiempo.
Específicamente, los objetivos formales de la seguridad informática
son mantener la confidencialidad, integridad, y disponibilidad de
datos en la organización. Esto se conoce como la Triada de la
Seguridad Informática, y más adelante analizaremos cada concepto
en detalle.
Por otro lado, el objetivo del ciberdelincuente es extraer recursos de
la organización. Veamos a detalle cuáles son estos recursos.
Desde el punto de seguridad informática, las organizaciones o

individuos tienen 3 recursos que pueden ser objetivos de un
ciberataque: dinero, recursos tecnológicos, y datos. Analicemos
cada uno de ellos.
El primer objetivo que se nos viene en mente es el dinero, por

razones obvias. Hay tres formas fundamentales de extraer dinero de
las víctimas: a través de algún ataque a las tarjetas de crédito, a las
cuentas bancarias, o por medio de extorsión.
Dado que las tarjetas bancarias eran un blanco tan común, las
emisoras de tarjetas de crédito han incrementado significativamente
sus medidas de seguridad, tal como el uso de tarjetas de crédito
digitales con CVV dinámicos. Sin embargo, los casos de fraudes
cibernéticos a tarjetas de crédito siguen siendo altos. Otra forma de
extraer valor de una víctima es tomando control de sus cuentas de
comercio electrónico (Amazon, Mercado Libre, etc.) y ordenar
productos con cargo a su tarjeta de crédito.
LOS RECURSOS DE UNA ORGANIZACIÓN
El otro blanco son las cuentas bancarias. Los bancos también han
incrementado significativamente sus ciberdefensas, por ejemplo,
con la implementación de autenticación de doble factor para todos
los usuarios. Aún así este tipo de ataque sigue ocurriendo. Esto se
debe a que es relativamente fácil enviar decenas miles de correos
electrónicos de phishing; un porcentaje muy bajo de las víctimas
caerán en la trampa, pero con que caigan unos cuantos, el esfuerzo
más que lo vale para el ciberdelincuente.
También tenemos los ataques de ransomware. En este tipo de

ataque, el ciberdelincuente encripta los datos de la organización, y
luego exige dinero a cambio de la contraseña. Este tipo de ataque
es predominante en este momento, y ha sido habilitado por la
existencia de criptomonedas, ya que éstas permiten que el
ciberdelincuente reciba dinero en forma rápida y anónima.
El segundo tipo de recurso que puede ser el objetivo de un

ciberataque son los recursos tecnológicos. En este escenario, el
ciberdelincuente toma control de algún recurso para aprovecharlo a
su conveniencia, tal como tiempo de CPU, o ancho de banda. El
caso más común es cuando un ciberdelincuente toma control de
computadoras para utilizarlas para minar criptomonedas. Otro
escenario es tomar control de computadoras para convertirlas en
bots, y utilizarlas en ataques de denegación de servicio, para enviar
spam, o para simular clics a publicidad.
El tercer tipo de recurso que es atacado por ciberdelincuentes son

los datos. El objetivo de este tipo de ataque es la extracción de los
datos, con fines ya sea económicos (información tecnológica, planes
de negocios, proyecciones financieras, etc.), o de ciberespionaje de
estado.
LOS DATOS
Los datos de una organización se dividen en tres categorías:
1. Datos en reposo
2. Datos en tránsito
3. Datos en procesamiento
Los datos en reposo son aquellos que se encuentran almacenados.

Este almacenaje puede ser de dos tipos: datos no estructurados, y
datos estructurados. Todos los archivos de Word, Excel,
PowerPoint, texto, imágenes, etc., que tiene almacenados en tu
computadora, son del tipo no estructurado. Los datos estructurados,
por otro lado, son los que residen en bases de datos. Se le llaman
“estructurados” porque residen en una estructura, o sea, una o
varias tablas en la base de datos, y tienen índice y campos que
pueden ser buscados programáticamente (usando SQL, por
ejemplo).
Los datos en tránsito son aquellos que están siendo transmitidos

entre un usuario y un CPU, entre un medio de almacenamiento y un
CPU, o entre dos CPUs. Esta transmisión puede estar ocurriendo
localmente, por USB, WiFi, Bluetooth, o Ethernet. O también puede
estar ocurriendo a mayores distancias, vía Internet.
Los datos en procesamiento son aquellos que están dentro del CPU,
y están siendo activamente manipulados y transformados por el
CPU, mientras éste corre algún tipo de software para procesarlos.
CAPÍTULO 2: LOS CIBERATAQUES
Errores que permiten los ciberataques

Las tres posibles acciones de un ciberataque
Superficies de ataque
Métodos de ciberataque
ERRORES QUE PERMITEN LOS CIBERATAQUES
Hay tres grandes categorías de errores que permiten que ocurran

los ciberataques:
Errores de programación
Errores de configuración
Errores humanos
Veamos cada uno en detalle.
ERRORES DE PROGRAMACIÓN
Los errores de programación son los más complejos. Estos ocurren

por los paradigmas de ingeniería de software que tenemos
actualmente. Veamos por qué.
Un lenguaje de programación, entre más cercano esté al lenguaje

“madre” de las computadoras, llamado “ensamblador”, es más
rápido y poderoso.
Por ejemplo, el lenguaje C es el más usado en proyectos de
software grandes que requieren altos niveles de eficiencia, ya que,
al ser compilado, se traduce directamente a ensamblador. Esto le
permite al CPU procesar el programa a velocidades máximas. A
este tipo de lenguajes se les conoce como “lenguajes compilados”.
“Compilar” es el proceso de traducir el código del programa a
ensamblador, el lenguaje madre del CPU. Algunos de los lenguajes
compilados son C, C++, C#, BASIC, Erlang, Fortran, Go, Java, Julia,
Lisp, Pascal, Rust, y varios otros.
Por otro lado, tenemos los lenguajes “interpretados”. Este tipo de

lenguajes no son compilados directamente a ensamblador, sino que
son leídos y ejecutados línea por línea por código escrito en otros
lenguajes, tal como C. Por ejemplo, Python está escrito en el
lenguaje C. Cuando escribes un programa en Python, éste no es
traducido a ensamblador, sino Python lee tu código línea por línea, y
hace los cálculos necesarios para ejecutarlo.
Entonces, la ventaja principal de los lenguajes compilados es su

velocidad. Pero a cambio de esa velocidad, la gran desventaja es su
complejidad. Es mucho más difícil programar en esto lenguajes que
en los lenguajes interpretados. Una de las dificultades principales en
los lenguajes compilados es que hay que administrar el uso de
memoria. Cada vez que se declara una variable en un programa, se
abre un espacio de memoria. Dentro del código, debemos
administrar su tamaño y su uso. Si esto no es hecho
adecuadamente, se generan vulnerabilidades.
Veamos un ejemplo. Digamos que un programa de contabilidad

escrito en C, contiene una variable llamada “inventario”. El objetivo
de esta variable es obvio: recibir la cantidad de inventario, y
procesarla de alguna forma. Pero el programador no administró
adecuadamente el tamaño de la memoria asignada a este número,
por lo que, en lugar de poder recibir números, digamos del 0 al
1,000,000, puede recibir cualquier cantidad de datos, de cualquier
tipo. Como este software es comercial y muy usado, los
ciberdelincuentes se ponen a investigar si tiene alguna
vulnerabilidad, y lo comienzan a analizar. Una técnica de análisis
consiste en tratar de meter todo tipo de datos de varios tamaños
dentro de las variables. En un programa bien diseñado, si tratamos
de meter una variable incorrecta, el programa lo detecta, y rechaza
lo datos. Entonces, si nuestro programa de contabilidad estuviera
bien diseñado, a la hora de tratar de ponerle datos incorrectos, por
ejemplo, un hilo de texto muy largo, a la variable “inventario”, el
programa simplemente nos alertaría que los datos son incorrectos, y
que solo se pueden ingresar números en el rango de 0 a 1,000,000.
Pero como el programador cometió el error de no determinar el
tamaño de memoria para la variable, entonces lo que ocurre en
realidad es que, a la hora de introducir un hilo de texto a la variable
“inventario”, el programa deja de funcionar; se estrella. Esto es una
indicación para el ciberdelincuente de que el programa tiene una
vulnerabilidad de memoria. Como siguiente paso, el
ciberdelincuente programa un pequeño paquete de software que
cabe dentro de esta variable, y la introduce en el espacio de
memoria. El CPU, a la hora de procesar ese espacio de memoria,
en lugar de procesar la variable “inventario” dentro de nuestro
programa de contabilidad, procesa el programa del ciberdelincuente;
esto le da al ciberdelincuente control total y remoto de la máquina en
cuestión. De ahí puede proceder a descubrir qué otras máquinas
hay en la red, y comenzar su ciberataque.
Hay muchas otras razones por la cual puede haber vulnerabilidades

en el software, pero en general ocurren cuando los programadores
no administran correctamente la memoria, el input, o hasta la lógica
de sus programas. Estos errores no ocurren con mucha frecuencia;
se dice que se cometen entre 1 y 50 errores de código por cada
1,000 líneas programadas. Y no todos estos errores son
vulnerabilidades atacables. Así que la frecuencia no es alta. Pero
hay que tomar en cuenta que cada año se programan miles de
millones de líneas de código en todo el mundo. Entonces, si
multiplicamos la baja frecuencia de errores, por esta enorme
cantidad de líneas de código, terminamos con miles de
vulnerabilidades al año.
Para el caso de software comercial, nuestra única defensa es el uso

de soluciones de administración de vulnerabilidades, las cuales
detectan las vulnerabilidades y les asigna un nivel de riesgo, para
poder así priorizar su remediación. Por otro lado, si tu organización
crea programas propios, es recomendable que uses una solución de
análisis de código de aplicaciones. Este tipo de solución ayuda a
detectar errores de programación en el código. Desafortunadamente
no es 100% infalible, por lo que el riesgo siempre estará presente.
ERRORES DE CONFIGURACIÓN
A diferencia de los errores de programación, los errores de

configuración no son causados por el programador, sino por quien
configura y opera el software.
La cantidad de errores de configuración que pueden resultar en un

ciberataque es enorme. Por eso hay toda una categoría de
soluciones llamada “administración de configuración”, la cual
veremos más adelante. Este tipo de soluciones nos ayudan a
detectar y corregir estos errores de configuración. Veamos algunos
casos muy comunes.
Un error común es dejar las contraseñas predeterminadas con las

que viene configurado un sistema. Simplemente busca en Google
“default password list”, y verás la cantidad de contraseñas
predeterminadas que existen. Lo primero que va a hacer un
ciberdelincuente es revisar si nuestros sistemas tienen contraseñas
predeterminadas. De hecho, muchas herramientas de ciberataque
ya vienen con estas bases de datos configuradas. Es por esto que
es fundamental cambiar las contraseñas en cuanto adquirimos un
nuevo sistema. Y una variante aún peor de este caso, es dejar a los
sistemas sin contraseña alguna, lo cual ocurre con demasiada
frecuencia con datos almacenados en servicios en la nube.
Otro error de configuración común es dejar servicios abiertos en

forma innecesaria, ya sea dentro de la red interna, o aún peor, en la
Internet. Todo puerto abierto es una vulnerabilidad potencial. Por
esto, debemos tener un catálogo completo de todos los servicios
con acceso dentro y fuera de la red, justificar su uso, y asegurarnos
que no contengan software vulnerable.
Otro problema de configuración común son los usuarios con

demasiados permisos. Hay usuarios que tienen todo tipo de acceso
a sistemas y datos, sin que haya justificación para ello. Si sus
cuentas son hackeadas, el ciberdelincuente tendrá acceso a todo
eso. Por esta razón, debemos restringir el acceso del usuario solo a
recursos que realmente requiera para cumplir con su trabajo.
El no encriptar información importante también es un error de

configuración peligroso. Si todos nuestros datos importantes están
adecuadamente encriptados, aunque un ciberdelincuente logre
extraerlos, no tendrá acceso a los mismos.
La mejor forma de controlar el riesgo de errores de configuración es

implementar y revisar constantemente los controles de seguridad
informática adecuada. Esto lo cubriremos en la sección sobre la
Metodología NIST.
ERRORES HUMANOS
Los errores humanos son de hecho, la causa principal de los

incidentes de ciberataque.
El error humano ocurre cuando un usuario es engañado por el

ciberdelincuente de alguna forma. El ciberdelincuente contacta al
usuario generalmente por email, pero a veces por mensajería (como
Whatsapp), por teléfono, y hasta en persona. Durante este contacto,
el ciberdelincuente engaña y convence al usuario ya sea a que le
entregue sus credenciales de acceso, o que instale malware.
El método más común se llama “phishing”. Este tipo de ciberataque

comienza con un email malicioso que intenta hacer una de dos
cosas: o convencer al usuario que ingrese su nombre de usuario y
contraseña, o que instale alguna aplicación de malware. Para que
este tipo de ataque funcione, el ciberdelincuente tiene que
convencer al usuario que el email es legítimo.
Otra forma de ataque común es una llamada telefónica, donde el

ciberdelincuente se hace pasar por alguien de soporte, y le pide al
usuario que le pase sus credenciales, para “cambiar su contraseña”.
Hay soluciones de seguridad informática que nos ayudan a mitigar

este tipo de ataques. Por ejemplo, las soluciones de seguridad de
email tienen cierta capacidad de detectar emails de phishing y
filtrarlos, para que el usuario no los vea. Otras soluciones remueven
todas las ligas externas dentro del mensaje.
El otro método de mitigación que debemos implementar es el

entrenamiento a usuarios. Debemos enseñarles a los usuarios a
reconocer este tipo de ataques para que no caigan en ellos. Esto
tipo de programas tienen cierto nivel de efectividad, pero no llega al
100%. Los ciberdelincuentes envían millones de emails en cada
campaña, y conque un porcentaje bajo de usuarios caigan, es
suficiente para ellos.
LAS TRES POSIBLES ACCIONES DE UN CIBERATAQUE
Con anterioridad vimos que los objetivos formales de la seguridad

informática son mantener la confidencialidad, integridad, y
disponibilidad de datos en la organización.
La confidencialidad se mantiene cuando solos los usuarios
autorizados tienen acceso a los datos asignados.
Mantener la integridad quiere decir que solo los usuarios

autorizados tienen la capacidad de modificar los datos.
La disponibilidad se mantiene cuando los datos correctos están

disponibles a los usuarios correctos, en el momento correcto.
Por lógica, cada uno de estos conceptos tienen su opuesto.
El concepto opuesto a la confidencialidad es la extracción de datos.

Esto ocurre cuando alguien que no es un usuario autorizado tiene
acceso a datos.
El concepto opuesto a la integridad es la modificación de datos. Esto

ocurre cuando alguien que no debería de poder modificar los datos,
logra obtener el acceso y procede a hacer cambios no autorizados.
El concepto opuesto a disponibilidad de datos es cuando un

ciberdelincuente ataca los sistemas de una organización, para que
los usuarios legítimos no puedan acceder a los programas, datos, o
capacidad de transmisión.
El tipo de ciberataque más común es del tipo extracción. En este
caso el objetivo del ciberdelincuente es extraer datos con fines
económicos o políticos (espionaje). Los objetivos de los ataques de
modificación de datos pueden ser varios. Por ejemplo, cuando un
ciberdelincuente cambia la página web de algún órgano de gobierno
y pone un mensaje de índole político. También se puede realizar
este tipo de ataque como un acto de sabotaje de ciberguerra. Por
ejemplo, el atacante puede modificar configuraciones de sistemas
para causar caos en los sistemas bancarios de un país contrincante.
Finalmente, los ataques de denegación de servicio (conocidos en
inglés “denial of service attacks”) se hacen comúnmente para
extorsionar a la organización. Por ejemplo, el ciberdelincuente
puede inundar el sitio web de comercio electrónico de una compañía
para que los usuarios no puedan realizar compras, y a cambio de
detener el ataque, exige un pago. La denegación de servicio
también se puede utilizar en caso de ciberguerra, para inutilizar
servicios en línea del país contrincante.
En resumen, toda acción de ciberdefensa debe estar enfocada

siempre a por lo menos uno de los tres objetivos: incrementar la
confidencialidad, integridad, y disponibilidad de los datos de la
organización.
SUPERFICIES DE ATAQUE
En términos generales, hay cuatro grandes superficies de ataque

que pueden ser utilizados por un ciberdelincuente:
La mente del usuario

Los puntos de acceso
La red y comunicaciones
La cadena de suministro
Tanto los errores de programación, errores de configuración, y
errores humanos pueden ser aprovechados por el ciberdelincuente
en los puntos de acceso, red y comunicaciones, y cadena de
suministro. Para el caso de la mente del usuario, por lógica solo los
errores humanos son aplicables. Veamos cada caso
La mente del usuario es generalmente el eslabón más débil de la

cadena. La forma como se ataca esta superficie es a través de
ataques de phishing y de ingeniería social en general.
Después tenemos los puntos de acceso. Los puntos de acceso son

cualquier aparato que tenga un CPU, e interactúe con usuarios:
computadoras, servidores, y plataformas móviles, principalmente. La
forma como se ataca este tipo de superficie es a través de la
instalación de malware, el cual le da control remoto del aparato al
ciberdelincuente. Comúnmente, para lograr instalar el malware,
primero se ataca la mente del usuario, y se le convence de instalarlo
con algún engaño.
También tenemos la red y las comunicaciones. La forma de atacar
esta superficie es a través de puertos abiertos. Los
ciberdelincuentes están constantemente escaneando todos los
puertos de todas las IPs expuestas a Internet, buscando
vulnerabilidades. Las redes pueden ser redes locales, dentro de la
organización, o redes en la nube.
Y finalmente tenemos la cadena de suministro. Esto se refiere al

hardware y software aparentemente legítimo que la organización
podría adquirir, pero que en realidad viene infectada con malware.
En el caso de software, por ejemplo, un ciberdelincuente podría
introducir malware en algún paquete de software comercial, o de
código abierto. En el caso de hardware, el ciberdelincuente podría
introducir por ejemplo teclados que se ven normales, pero que
tienen la capacidad de capturar todo lo que escribe un usuario y
enviárselo al ciberdelincuente. Para casos de ciberespionaje de
estado, es posible que un país contrincante intercepte envíos de
PCs, inserte malware, y luego proceda a entregar el equipo en la
organización víctima.
MÉTODOS DE CIBERATAQUE
En esta sección veremos qué software y hardware se puede utilizar

para realizar ciberataques, las técnicas de ingeniería social, y
hablaremos de la Matriz de Ataque de Mitre (Mitre Att&ck).
LA MATRIZ DE ATAQUE DE MITRE
La Matriz de Ataque de Mitre una base de conocimiento de tácticas

y técnicas de ciberataque, basadas en observaciones del mundo
real. Esta base de conocimientos se puede utilizar como
fundamento para el desarrollo de metodologías y modelos de
amenazas cibernéticas. Además, estudiar esta matriz nos permite
entender a detalle cómo se comporta un ciberdelincuente durante un
ciberataque.
Estas fases ocurren más o menos en secuencia, pero no siempre. A

veces algunas de ellas ocurren en forma simultánea, de acuerdo a
la situación. Veamos cada fase.
Reconocimiento
Durante esta fase, el ciberdelincuente está tratando de recopilar

información que pueda usar para planificar operaciones futuras.
El reconocimiento consiste en técnicas de recopilación de

información de forma activa o pasiva, que se puede utilizar para la
selección de objetivos. Dicha información puede incluir detalles de la
organización, la infraestructura o el personal.
El ciberdelincuente puede aprovechar esta información para

desarrollar las futuras fases del ciberataque, como el uso de la
información recopilada para planificar y ejecutar el acceso inicial,
para determinar el alcance y priorizar los objetivos posteriores al
acceso inicial, o para impulsar esfuerzos de reconocimiento
adicionales.
A nivel técnico, durante esta fase, el ciberdelincuente puede realizar

varias acciones. Por ejemplo, como primer paso, descubrirá todos
los rangos de IP de la organización; después podrá realizar
escaneos de puertos, para determinar cuáles están abiertos, y
potencialmente vulnerables. También procederá a investigar lo que
pueda sobre el tipo de hardware y software utilizado. Otro paso es
identificar todo lo que se pueda sobre los empleados de la
organización: nombres, puestos, correos electrónicos, teléfonos,
etc., los cuales podrá utilizar para ataques de phishing e ingeniería
social más adelante. Otra táctica es descubrir toda la información
disponible sobre los dominios de la organización.
Desarrollo de Recursos
Durante esta fase, el ciberdelincuente está tratando de obtener

recursos que se puedan usar para apoyar el ciberataque. Dichos
recursos incluyen infraestructura como servidores y dominios
comprados para realizar procesos de comando y control, cuentas de
correo electrónico y de redes sociales para phishing, o el robo de
certificados de firma de código. Durante esta fase, el
ciberdelincuente también prepara su malware, ya sea desarrollo
propio, o malware comprado a otros ciberdelincuentes.
Acceso Inicial
Durante esta fase, el ciberdelincuente está tratando de entrar en la

red de la organización. El vector de ataque más común durante esta
fase es el phishing, ya sea con el objetivo de robar las credenciales
del usuario, o engañarlo para que instale malware. Una vez robadas
las credenciales, el ciberdelincuente tendrá acceso a un sistema o
más, y de ahí intentará expandir su penetración de la red. Si por otro
lado pudo engañar al usuario para que instale malware, el malware
se conectará a un servidor bajo control del ciberdelincuente, y éste
logrará tener un acceso remoto de la máquina del usuario, y desde
ahí intentará expandir su nivel de acceso. De igual forma, el
ciberdelincuente puede utilizar credenciales de fábrica (default) para
acceder a equipos y paquetes de software. Otra técnica es utilizar
puertos con software vulnerable para utilizar exploits que
aprovechen dicha vulnerabilidad, y así tomar control remoto de la
máquina. De igual forma, se pueden atacar sitios web que puedan
tener vulnerabilidades, con el mismo fin de tomar control de la
máquina. Otro posible ataque es engañar al usuario para que instale
algún hardware con malware; por ejemplo, el ciberdelincuente le
puede enviar de “regalo” al usuario hardware con malware
integrado, tal como USBs o teclados.
Ejecución
Durante esta fase, el ciberdelincuente intentará activar malware

dentro de la red, para así tener una presencia remota en la misma.
El nivel de control que puede llegar a tener sobre la primera
máquina infectada puede variar mucho. Tal vez solo sea capaz de
escanear puertos en la misma subred; en el otro extremo, puede
llegar a tener control total del sistema, y así pasar a las siguientes
fases.
Persistencia
Durante esta fase, el ciberdelincuente está intentando mantener su

presencia inicial dentro de la red. Para lograr esto, aplicará técnicas
que le permiten mantener el control de la máquina infectada, a pesar
de que se reinicie la máquina, o se cambien contraseñas, o se
ejecuten otras acciones de ciberdefensa. Una táctica común es
tratar de crear cuentas de usuario nuevas, por si cambia la
contraseña actual. Hay muchas otras tácticas altamente técnicas
que se pueden realizar.
Escalación de Privilegios
Durante esta fase, el ciberdelincuente está intentando obtener
permisos de acceso más elevados. Para lograr esto, se aprovecha
de errores de configuración y vulnerabilidades en los sistemas para
subir sus privilegios (permisos) de nivel de usuario común, a nivel
administrador.
Evasión de Defensas
Durante esta fase, el ciberdelincuente está tratando de no ser

detectado. Una táctica utilizada es desinstalar software de seguridad
informática. Otra táctica es encriptar las transmisiones de datos,
para dificultar su análisis. Otra más es ocultar adecuadamente el
malware que se instala, para que no sea detectado por software
antimalware.
Acceso a Credenciales
Durante esta fase, el ciberdelincuente está intentando robar más

credenciales. Una vez que tiene acceso a la máquina inicial, y que
logra escalar privilegios a nivel administrador, el ciberdelincuente
podrá encontrar los archivos donde se guardan las contraseñas de
las demás cuentas, e intentará descifrarlas. De igual forma, podrá
interceptar la transmisión de datos entre máquinas, para detectar
usuarios y contraseñas en flujo, y así descifrarlas.
Descubrimiento
Durante esta fase, el ciberdelincuente está mapeando el ambiente

de red. Las tácticas implementadas le permitirán observar el medio
ambiente de la red, y orientarse adecuadamente antes de continuar
sus acciones. Los objetivos son dos: encontrar más máquinas que
pueda vulnerar, y más importante, encontrar los datos que busca
extraer.
Movimiento Lateral
Durante esta fase, el ciberdelincuente se está moviendo a través de

la red hacia nuevas máquinas, utilizando la información obtenida
durante la fase de descubrimiento. Esto lo puede hacer, por ejemplo,
atacando puertos internos que contengan vulnerabilidades, o
utilizando credenciales descubiertas en la fase de Acceso a
Credenciales.
Recolección
Durante esta fase, el ciberdelincuente está identificando y
preparando los datos que quiere extraer. Una táctica común es
comprimirlos en archivos ZIP o TAR, y moverlos a alguna máquina
bajo su control dentro de la red, en preparación para su extracción.
Comando y Control
Durante esta fase, el ciberdelincuente está estableciendo y

manteniendo comunicación desde su máquina de ataque, hacia las
máquinas que tiene bajo su control dentro de la red objetivo. Hay
varias tácticas para mantener este flujo de datos, y evitar que los
defensores lo detecten. Por ejemplo, los datos pueden estar
encriptados. Es común utilizar el protocolo HTTPS, el cual es tan
común dentro de la red, que muchas veces el comportamiento
anómalo de las transmisiones de comando y control no son
detectadas. También se pueden utilizar los protocolos SSH, FTP,
DNS, y varios otros.
Exfiltración
Durante esta fase, el ciberdelincuente está extrayendo los datos.

Dentro de las posibles acciones de ciberataque que vimos con
anterioridad, esta acción sería la de extracción.
Para esta fase, se pueden utilizar los mismos protocolos utilizados
durante la fase de Comando y Control: SSH, FTP, DNS, etc. De
igual forma, se puede utilizar WiFi, o Bluetooth, o varias otras
técnicas.
Impacto
Durante esta fase, el ciberdelincuente está intentando modificar de

alguna forma los datos o sistemas invadidos. Esta fase sería los
tipos de ciberataque de modificación o denegación. Aquí el objetivo
no es exfiltrar datos, sino afectar la operación de organización con el
ciberataque. Como vimos, las posibles motivaciones pueden ser
económicas, como la extorsión con ransomware, o políticas, como
en el caso de ciberguerra.
En resumen, podemos decir que la Matriz de Ataque de Mitre es una

herramienta esencial que debemos utilizar para entender los
procesos utilizados por los ciberdelincuentes. Es importante que
entres al sitio web y revises a detalle cada una de las tácticas
utilizadas, y hacer esto periódicamente, porque constantemente le
agregan información a la matriz. La puedes acceder aquí:
https://attack.mitre.org/
SOFTWARE DE CIBERATAQUE
La cantidad de software de ciberataque utilizado es enorme, y

cubrirlos todos está fuera del alcance de este libro. Para cada una
de las fases de la Matriz de Ataque de Mitre, hay decenas de
herramientas, si no es que cientos. El objetivo de esta sección es
darte a conocer algunos recursos donde puedes ver listas muy
completas de herramientas de ciberataque, para que, si te interesa
profundizar en el tema, las puedas estudiar.
Kali Linux es una distribución de Linux especializada en

ciberataques. Puedes ver la lista completa de herramientas en esta
liga:
https://www.kali.org/tools/
Otra fuente importante es Mitre, que lista varias herramientas de

ciberataque, y las correlaciona con las tácticas de las fases del a
Matriz de Ataque de Mitre:
https://attack.mitre.org/software/
HARDWARE DE CIBERATAQUE
Hay varias herramientas de hardware que se pueden utilizar para
ciberataques. Veamos algunas.
Una herramienta muy utilizada es el USB infectado. El

ciberdelincuente agrega algún tipo de malware dentro del USB, y se
lo hace llegar a la víctima de alguna manera. Por ejemplo, puede
dejar los USBs tirados en el piso afuera de la organización, o puede
enviar por paquetería decenas de USBs con el logo de la
organización, sabiendo que los usuarios pensarán que es un regalo,
y los introducirán a sus máquinas. En el momento que hacen esto,
sus máquinas quedan infectadas con malware.
Otra categoría de hardware de ciberataque se puede conectar a

puertos de USB, Bluetooth o Ethernet, aparentando ser equipo
inocuo, como eliminadores, teclados, ratones, etc. Pero en realidad
estos equipos están interceptando los datos de la red y enviándolos
al ciberdelincuente. El envío se puede hacer por la red misma, por
WiFi, o hasta por telefonía celular. Para implementar este tipo de
ataque, el ciberdelincuente necesita tener acceso físico a la red,
para instalar el equipo. También se pueden enviar como regalos.
Una tercera categoría son los puntos de acceso falsos. Estos son
ruteadores de WiFi, que aparentan ser de la organización, para que
los usuarios se conecten a ellos. Al intentarlo, el punto de acceso
falso pide credenciales de acceso, robándolas. De igual forma,
puede dar acceso sin requerir credenciales de acceso, y entonces
interceptar todo el tráfico de usuario, con el objetivo de intentar
descifrar sus contraseñas.
TÉCNICAS DE INGENIERÍA SOCIAL
La ingeniería social consiste en engañar al usuario para que revele

sus credenciales, entregue datos, instale malware, o haga alguna
acción de ciberataque en forma involuntaria.
Hay varios tipos de técnicas de ingeniería social:
1. Phishing: como hemos visto, el phishing consiste en enviar

correos electrónicos engañosos a las víctimas con el objetivo de
robar sus credenciales de acceso, o de engañarlos para que
instalen malware en sus máquinas. Una subcategoría del
phishing se le conoce como “spear phishing”, que consiste en
enviar correos electrónicos fraudulentos muchos hechos
totalmente a la medida de la víctima, usando su nombre, y datos
relevantes, que pudieron ser obtenidos de las redes sociales. De
esta forma el correo electrónico de ataque se ve auténtico, y hay
más probabilidades que la víctima caiga en el engaño.
2. Vishing: el vishing es similar al phishing, pero en lugar de usar
correo electrónico, el ciberdelincuente utiliza el teléfono.
“Vishing” viene de “Voice Phishing”.
3. Smishing: el smishing utiliza mensajes de texto. Originalmente
viene de “SMS phishing”, pero ahora se utiliza en cualquier
plataforma de mensajería, como Whatsapp.
4. Extorsión: en este tipo de técnica, el ciberdelincuente extorsiona
al usuario con algún tipo de amenaza, para que éste realice
alguna parte del ciberataque.
Soborno: en esta técnica, el ciberdelincuente le paga al usuario para

que realice la acción de ciberataque.
CAPÍTULO 3: LOS PRINCIPIOS DE CIBERDEFENSA
Introducción
Objetivos
Políticas
Recursos
Diseño organizacional
Grencia de proyectos
INTRODUCCIÓN
Hay una diferencia entre seguridad informática (o ciberseguridad) y

ciberdefensa. La seguridad informática es el estado que queremos
lograr en nuestra red. Queremos que nuestros datos y sistemas
estén seguros de ciberataques. Por otro lado, la ciberdefensa es el
conjunto de estrategias y tácticas que implementamos para
acercarnos a ese estado deseado de seguridad informática.
En esta sección cubriremos los 5 principios de ciberdefensa:
1. Objetivos
2. Políticas
3. Recursos
4. Diseño organizacional
5. Gerencia de proyectos
Los objetivos de seguridad informática se dividen en objetivos
internos y objetivos externos.
Para cumplir los objetivos, debemos implementar políticas de

seguridad informática, los cuales pueden ser procesos manuales o
procesos automatizados, y se implementan utilizando varias
metodologías (NIST, ISO, COBIT, CIS, PCI DSS, etc.)
Para ejecutar las políticas, necesitamos definir e implementar los

recursos necesarios, tal como recursos humanos, hardware, y
software.
Para administrar adecuadamente los recursos humanos,

necesitamos un diseño organizacional especializado en seguridad
informática.
De igual forma, para administrar tanto los recursos humanos como

el software y hardware adquirido, necesitamos implementar una
gerencia de proyectos con una filosofía ágil, que nos permita
mantenernos al día con todos los cambios en nuestra red, y los
cambios en las ciberamenazas.
Entonces, en resumen, con los objetivos establecemos qué
queremos lograr; con las políticas determinamos cómo lo
lograremos; y los recursos determinan con qué lo lograremos.
OBJETIVOS INTERNOS Y OBJETIVOS EXTERNOS
Ya habíamos visto cuáles son los objetivos internos: mantener la

confidencialidad, integridad, y disponibilidad de los datos dentro de
nuestra red.
Repasando, vimos lo siguiente.

La confidencialidad se mantiene cuando solos los usuarios
autorizados tienen acceso a los datos asignados. Mantener la
integridad quiere decir que solo los usuarios autorizados tienen la
capacidad de modificar los datos. Y la disponibilidad se mantiene
cuando los datos correctos están disponibles a los usuarios
correctos, en el momento correcto.
Entonces, todos los controles de seguridad informática que

implementemos deben cubrir uno o más de estos objetivos.
Por otro lado, también tenemos objetivos externos. Los objetivos

externos son aquellos que se deben cumplir como una obligación
legal, impuesta por el gobierno. En otras palabras, los controles
externos son los cumplimientos con normas que debemos seguir.
Hay dos grandes categorías de cumplimiento con normas (o sea,

objetivos externos): normas de confidencialidad, y normas de
privacidad.
Las normas de confidencialidad son mandatos del gobierno cuyo

objetivo es proteger los datos de nuestros empleados y clientes de
ataque externo.
Por otro lado, las normas de privacidad de datos son mandatos del
gobierno cuyo objetivo es proteger del mal uso que nosotros, como
organización, podríamos darles a los datos de nuestros empleados y
sobre todo de nuestros clientes.
Tanto las normas de confidencialidad, como las normas de

privacidad de datos varían mucho de país a país. Te invito a que
investigues por tu cuenta las normas que se aplican en tu país.
POLÍTICAS
Como vimos con anterioridad, para cumplir los objetivos de

ciberdefensa, debemos implementar políticas de seguridad
informática, los cuales pueden ser procesos manuales o procesos
automatizados, y se implementan utilizando varias metodologías.
Los procesos manuales se refieren a pasos que debemos

implementar sin la ayuda directa de alguna solución de seguridad
informática. Por ejemplo, más adelante veremos un control de NIST
que pide que se mapeen todos los flujos de datos entre sistemas y
aplicaciones. Para hacer esto, no usamos una solución de seguridad
informática específica. Para hacer estos diagramas, podemos usar
algún software de diseño de procesos, o algo tan simple como
ponerlos en un documento de Word o PowerPoint.
Por otro lado, los procesos automatizados utilizan alguna solución

de seguridad informática. Por ejemplo, otro control de NIST indica
que debemos inventariar todos los dispositivos y sistemas físicos
dentro de nuestra organización. No tendría sentido hacer esto
manualmente, por lo que utilizamos un sistema de administración de
activos, que detecta y cataloga los dispositivos automáticamente.
Con respecto a las metodologías, veremos a grandes rasgos en qué
consisten algunas de ellas (ISO 27001, COBIT y CIS), y veremos en
detalle el NIST Cyber Security Framework, que es la metodología
que estamos utilizando para implementar el concepto de seguridad
informática ágil. Es importante mencionar que la metodología de
decidas implementar depende de las necesidades específicas de tu
organización. La razón por la cual recomiendo el uso de la
metodología de NIST es porque esa organización genera una gran
cantidad de documentos extremadamente útiles y gratuitos, los
cuales podemos utilizar para implementar nuestra ciberdefensa. Por
ejemplo, la metodología que utilizaremos para el diseño
organizacional de equipos de trabajo de seguridad informática,
NICE, fue creado por NIST.
NIST CYBER SECURITY FRAMEWORK
Esta metodología fue diseñada y es mantenida por el National

Institute of Standards and Technology (NIST), un órgano del
gobierno de Estados Unidos que depende del Departamento de
Comercio.
Esta metodología es extremadamente detallada y está lógicamente

ordenada en cinco fases de implementación de controles: Identificar,
Proteger, Detectar, Responder, y Recuperar. Cada fase a su vez
tiene varias categorías de controles, para un total de 107 controles.
A su vez, cada control tiene mapeado los controles del documento
de NIST 800-53. NIST 800-53 contiene más de 1,000 controles
altamente detallados. Eso quiere decir que podemos implementar
los 107 controles de NIST, y utilizar el documento NIST 800-53 para
ver cómo implementar cada control a detalle.
La metodología NIST es la que estaremos utilizando en este libro, y

más adelante veremos cada uno de los controles a detalle.
Este es el sitio oficial del NIST Cyber Security Framework:
https://www.nist.gov/cyberframework
ISO 27001
Esta metodología y estándar fue diseñada por la International

Organization for Standardization (ISO) y por la International
Electrotechnical Commission (IEC). Por eso a también se le nombra
ISO/IEC 27001.
Esta metodología cuenta con 114 controles, divididos en 14
categorías:
1. Políticas de seguridad informática

2. Organización de la seguridad informática
3. Seguridad de los recursos humanos
4. Administración de activos
5. Control de acceso
6. Criptografía
7. Seguridad física y ambiental
8. Seguridad operacional
9. Seguridad de comunicaciones
10. Adquisición, desarrollo, y mantenimiento de sistemas
11. Relación con proveedores
12. Administración de incidentes de seguridad informática
13. Aspectos de seguridad informática relacionados con la
continuidad de negocios
14. Cumplimiento con normas
Puedes ver más información sobre ISO 27001 aquí:
https://www.iso.org/isoiec-27001-information-security.html
COBIT
COBIT quiere decir “Control Objectives for Information and related
Technology” (objetivos de control para la información y tecnologías
relacionadas”. Esta metodología fue diseñada por ISACA
(Information Systems Audit and Control Association) y el ITGI (IT
Governance Institute).
COBIT consiste en 40 objetivos de administración de TI, y contiene

los siguientes elementos:
Metodología: ayuda a organizar los objetivos del gobierno de TI

y vincular los requisitos comerciales
Descripciones de procesos: incluye la planificación, el
desarrollo, la activación y la gestión de todos los procesos de TI
Objetivos de control: ofrece una lista completa de requisitos para
un control empresarial de TI eficaz
Modelos de Madurez: Permite a las empresas acceder a la
capacidad y madurez de todos los procesos
Directrices de gestión: ayuda a agilizar la asignación de
responsabilidades
Puedes ver más información sobre COBIT aquí:
https://www.isaca.org/resources/cobit
CIS
Los CIS Critical Security Controls fueron creados por el Center for
Internet Security (CIS).
Esta metodología cuenta con 18 controles, divididos en 153

subcontroles (llamados “safeguards”). Estos subcontroles están
organizados en 3 grupos de implementación, organizados en base
al perfil de riesgo de la organización, y los recursos disponibles para
su implementación. El primer grupo de implementación,
“ciberhigiene esencial”, cuenta con los controles y subcontroles
mínimos que se deben implementar. El segundo grupo de
implementación agrega un nivel intermedio de seguridad, y el tercer
grupo de implementación completa todos los niveles de seguridad.
Estos son los 18 controles:
1. Inventario y control de activos de la empresa

2. Inventario y control de activos de software
3. Protección de datos
4. Configuración segura de activos de la empresa y del software
5. Gerencia de cuentas
6. Gerencia de control de acceso
7. Gerencia continua de vulnerabilidades
8. Gerencia de bitácoras
9. Protección del correo y navegador
10. Defensa antimalware
11. Recuperación de datos
12. Gerencia de la infraestructura de la red
13. Monitoreo y defensa de la red
14. Concientización de seguridad y entrenamiento de habilidades
15. Gerencia de proveedores
16. Seguridad de aplicaciones de software
17. Gerencia de respuesta a incidentes
18. Pruebas de penetración
Puedes ver más sobre esta metodología aquí:
https://www.cisecurity.org/
RECURSOS
Tenemos tres grandes categorías de recursos de ciberdefensa:

recursos humanos, hardware, y software:
Los recursos humanos es el equipo de gente que tenemos para

implementar y operar la ciberdefensa de nuestra organización, y es
sin duda el recurso más importante que tenemos, y al mismo
tiempo, el más difícil de administrar; uno de los grandes retos es
entrenar al personal de seguridad informática, y mantenerlos
actualizados. Por otro lado, muchas organizaciones no ponen
suficiente cuidado en el diseño organizacional del área de seguridad
informática. Más adelante veremos a detalle cómo podemos crear
una organización de seguridad informática en forma metódica.
El hardware son todos los equipos físicos que tenemos para

implementar nuestra operación de ciberdefensa. Consiste en
equipos físicos como laptops y servidores, así como servidores
virtuales en la nube. También consiste de equipos especializados
que vienen con el hardware y software integrado, tal como los
firewalls.
El software es la herramienta principal con la que interactuamos al

implementar nuestra operación de ciberdefensa. Más adelante
veremos a detalle más de 60 categorías de soluciones de software
de seguridad informática.
DISEÑO ORGANIZACIONAL
La metodología para el diseño organizacional del área de seguridad

informática que vamos a aprender está basada en parte en la
metodología NICE desarrollada por el NIST. Esta metodología ha
cambiado con el tiempo, pero nos quedamos con los elementos más
pragmáticos de la misma, y la nombraremos Diseño Organizacional
de Seguridad Informática, o metodología DOSI.
Puedes ver el documento de NICE en esta liga:
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-
181.pdf
En la metodología DOSI, contamos con siete categorías funcionales:
1. Suministros seguros de TI
2. Operación y Mantenimiento
3. Supervisión y Administración
4. Protección y Defensa
5. Análisis
6. Colección y Operación
7. Investigación
A su vez, cada una de las áreas de divide en varias áreas
funcionales. En las siguientes secciones veremos cada una de ellas.
El objetivo del método DOSI es proveer una estructura ordenada

alrededor de la cual podemos contratar y entrenar a nuestro
personal de seguridad informática. En un mundo ideal, tendríamos
una o más personas asignadas a cada una de estas áreas
funcionales. Pero en nuestra realidad de presupuestos limitados, la
verdad es que tendremos que asignarle varias funciones a una sola
persona. Lo importante es tener en mente en qué consisten estas
funciones, y utilizarlas durante la fase de reclutamiento,
entrenamiento, y gerencia del personal, siempre adaptándonos a la
realidad de nuestro medio ambiente de seguridad informática, y a
nuestros presupuestos.
Es importante notar que los puestos descritos en esta metodología

son exclusivamente del área de seguridad informática. Por ejemplo,
si hablamos de funciones de administración de sistemas, nos
referimos exclusivamente a la administración de sistemas que sean
relevantes para la operación de seguridad informática
exclusivamente, y no está relacionado con la administración de
sistemas general de la empresa.
Veamos a continuación cada área, sus especializaciones, y sus

funciones. La mayoría de las funciones se entienden por sí mismas;
en caso de que no, se agrega una explicación.
SUMINISTRO SEGURO DE TI
El personal del área de suministro seguro de TI diseña, adquiere el

software y hardware, e implementa los sistemas de seguridad de TI.
Estas son sus áreas de especialización:
1. Administración de Riesgo
2. Desarrollo de Software
3. Arquitectura de Sistemas
4. Investigación y Desarrollo de Tecnología
5. Planeación de Requerimientos de Sistemas
6. Pruebas y Evaluación
7. Implementación de Sistemas
Veamos cada uno de ellos.
1) ADMINISTRACIÓN DE RIESGO
El personal de esta área supervisa, evalúa y respalda los procesos

de documentación, validación, evaluación y autorización necesarios
para garantizar que los sistemas de tecnología de la información
existentes y nuevos cumplan con los requisitos de ciberseguridad y
riesgo de la organización. También garantiza el tratamiento
adecuado del riesgo, el cumplimiento y la garantía desde las
perspectivas interna y externa.
Esta especialización cuenta con las siguientes funciones:
A) Oficial de autorización de riesgo: personal de alto rango que tiene

la autoridad para asumir la responsabilidad por la operación de TI en
los niveles de riesgo aceptados.
B) Auditor de control de seguridad: evalúa en forma continua los

controles de seguridad informática implementados, para determinar
su nivel de madurez y efectividad.
2) DESARROLLO DE SOFTWARE
El personal de esta área desarrolla software utilizado para mejorar la

seguridad informática, y también se asegura que el resto del
software desarrollado por la organización sea seguro.
Esta especialización cuenta con las siguientes funciones:

A) Desarrollador de software
B) Auditor de software seguro
3) ARQUITECTURA DE SISTEMAS
Esta área se encarga de diseñar los sistemas y procesos de

seguridad informática, tomando en cuenta los requerimientos de
seguridad, los requerimientos normativos, y la tecnología disponible.
Esta especialización cuenta con la siguiente función:
A) Arquitecto de seguridad informática: diseña a nivel técnico la

arquitectura de seguridad informática para la organización.
4) INVESTIGACIÓN Y DESARROLLO DE TECNOLOGÍA
Esta área se encarga de analizar y desarrollar nuevas técnicas de

ciberdefensa, analizando software existente, y desarrollando la
creación de nuevo software y procedimientos.

A) Especialista de investigación y desarrollo
5) PLANEACIÓN DE REQUERIMIENTOS DE SISTEMAS
Esta área interactúa con los clientes internos de la organización

para recolectar y evaluar las necesidades funcionales, y traducirlas
a soluciones técnicas. De igual forma, les comunica a los clientes
internos el funcionamiento de dichos sistemas.
A) Gerente de planeación de requerimientos de sistemas
6) PRUEBAS Y EVALUACIÓN
Esta área desarrolla y realiza pruebas de sistemas para evaluar el

cumplimiento de las especificaciones y los requisitos establecidos,
tomando en cuenta sus características técnicas, funcionales,
rendimiento, e interoperabilidad.

A) Especialista de pruebas y evaluación
7) IMPLEMENTACIÓN DE SISTEMAS
Esta área se encarga de hacer la implementación inicial de los

sistemas de seguridad informática que hayan sido adquiridos o
desarrollados.
A) Implementador de sistemas de seguridad informática

OPERACIÓN Y MANTENIMIENTO
El personal de operación y mantenimiento provee el soporte, la

gerencia, y el mantenimiento necesario para asegurar el desempeño
adecuado de las operaciones de seguridad informática.
1. Administración de Datos
2. Administración de Conocimiento
3. Soporte Técnico
4. Servicios de Red
5. Administración de Sistemas
6. Análisis de Sistemas
1) ADMINISTRACIÓN DE DATOS
Esta área desarrolla y administra bases de datos y sistemas de

administración de datos con el propósito de almacenar, buscar,
proteger, y utilizar los datos relevantes para la operación de
seguridad informática.
Esta área cuenta con las siguientes funciones:

A) Administrador de bases de datos
B) Analista de datos
2) ADMINISTRACIÓN DE CONOCIMIENTO
Esta área administra los procesos y herramientas que le permiten a

la organización de seguridad informática el identificar, ordenar, y
utilizar información relevante para la operación.
Esta área cuenta con la siguiente función:
A) Gerente de conocimiento
3) SOPORTE TÉCNICO
Esta área se encarga de resolver problemas técnicos relevantes a la

seguridad informática. Se encarga de instalar, configurar, corregir
errores, y dar mantenimiento a software y equipos de la operación.
Interactúa con el equipo de respuesta a incidentes en la detección
temprana de anomalías que puedan ser un indicador de ataque.
A) Especialista de soporte técnico
4) SERVICIOS DE RED
Esta área se encarga de instalar y mantener elementos de red

(switches, ruteadores, firewalls, proxies, etc.) relacionados con la
operación de seguridad informática.
A) Especialista de operaciones de red
5) ADMINISTRACIÓN DE SISTEMAS
Esta área se encarga de instalar y operar la infraestructura de

servidores, tanto hardware, como nube y software operativo,
relacionados con la operación de seguridad informática.

A) Gerente de sistemas
6) ANÁLISIS DE SISTEMAS
Esta área estudia los sistemas y procedimientos informáticos

actuales de una organización y diseña soluciones de sistemas de
información para ayudar a la organización a operar de manera más
segura, eficiente y eficaz.
A) Analista de sistemas de seguridad informática

SUPERVISIÓN Y ADMINISTRACIÓN
El personal del área de supervisión y administración aporta el

liderazgo, gerencia, y dirección necesaria para que la organización
realice su trabajo de seguridad informática en forma más efectiva.
1. Apoyo legal
2. Entrenamiento
3. Administración de Seguridad Informática
4. Planeación Estratégica y Políticas
5. Liderazgo Ejecutivo de Ciberdefensa
6. Administración de Adquisiciones
1) APOYO LEGAL
Esta área brinda consejos y recomendaciones legalmente sólidos al

liderazgo y al personal sobre una variedad de temas relevantes
dentro del dominio de la seguridad informática, cumplimiento con
normas, y privacidad de datos, y apoya al área de seguridad
informática en todos los temas legales.
A) Asesor legal de seguridad informática
B) Gerente de privacidad de datos
2) ENTRENAMIENTO
Esta área se encarga desarrolla e implementa planes de

entrenamiento en temas de seguridad informática. Desarrolla
entrenamiento avanzado para el equipo de seguridad informática,
así como entrenamiento en concientización de seguridad informática
para todo el personal de la organización.
A) Desarrollador de currículum
B) Instructor
3) ADMINISTRACIÓN DE LA SEGURIDAD INFORMÁTICA
Esta se encarga de diseñar el plan estratégico de seguridad

informática, obtener los recursos necesarios para su
implementación, y asegurarse que se cumpla de acuerdo a lo
planeado.
A) Gerente de sistemas de seguridad informática: encargado de

implementar programas específicos de seguridad informática.
B) Gerente de seguridad de comunicaciones: encargado de

asegurar las comunicaciones de la organización, incluyendo los
procesos de encriptación.
4) PLANEACIÓN ESTRATÉGICA
Esta área se encarga de diseñar los planes y políticas específicos

para llevar a cabo los objetivos del plan estratégico de seguridad
informática.
A) Gerente de talento humano de seguridad informática: encargado

del diseño organizacional del área de seguridad informática, y de
trabajar con el área de recursos humanos para mantener un proceso
efectivo de reclutamiento de personal para el área-
B) Gerente de planeación de políticas: encargado de diseñar y

mejorar las políticas de seguridad informática para la organización.
5) LIDERAZGO EJECUTIVO DE CIBERDEFENSA
Esta área se encarga de liderar al área de seguridad informática.
A) Líder de seguridad informática: este puesto es el director o

vicepresidente de toda el área de seguridad informática.
6) ADMINISTRACIÓN DE ADQUISICIONES
Esta área se encarga de administrar el proceso de adquisición de

software y hardware para el área de seguridad informática.

A) Gerente de programa: liderea y coordina el programa global de
adquisiciones.
B) Gerente de proyecto: se encarga de administrar los proyectos de

adquisiciones.
C) Gerente de activos: se encarga de administrar el catálogo de

activos de software y hardware del área de seguridad informática.
D) Auditor de adquisiciones: conduce auditorías sobre los procesos

de adquisiciones para asegurar que se realizan de acuerdo a las
normas establecidas.
PROTECCIÓN Y DEFENSA
El personal de protección y defensa identifica, analiza, y mitiga las

amenazas en contra de las tecnologías de TI.
1. Análisis de Ciberdefensa
2. Soporte a la Infraestructura de Ciberdefensa
3. Respuesta a Incidentes
4. Análisis y Administración de Vulnerabilidades
1) ANÁLISIS DE CIBERDEFENSA
Esta área recolecta datos de varias fuentes para identificar, analizar

y reportar eventos relevantes que puedan ser una amenaza para la
seguridad informática de la organización.
Esta área cuenta con una función:
A) Analista de ciberdefensa
2) SOPORTE A LA INFRAESTRUCTURA DE CIBERDEFENSA
Esta área prueba, implementa, mantiene, y administra la

infraestructura de hardware y software requerido para mantener la
seguridad informática de la organización.
A) Especialista de soporte de infraestructura de ciberdefensa
3) RESPUESTA A INCIDENTES
Esta área responde a crisis o situaciones urgentes para mitigar

amenazas potenciales o inmediatas. Utiliza procesos de mitigación,
respuesta, y recuperación para la defensa de la seguridad
informática de la organización.
A) Analista de respuesta a incidentes
4) ANÁLISIS Y ADMINISTRACIÓN DE VULNERABILIDADES

Esta área realiza análisis de amenazas y vulnerabilidades, y detecta
desviaciones de las configuraciones aceptables; con esta
información desarrolla contramedidas para mitigar estas
vulnerabilidades.
A) Analista de vulnerabilidades
ANÁLISIS
El personal del área de análisis revisa y evalúa información de

temas de ciberinteligencia, y emite recomendaciones para mejorar la
ciberdefensa.
1. Análisis de Amenazas
2. Análisis de Explotaciones
3. Análisis de Fuentes Externas
4. Análisis Lingüístico
1) ANÁLISIS DE AMENAZAS
Esta área identifica y valora las capacidades y actividades de los

cibercriminales o servicios de inteligencia extranjeros, y genera
reportes que son utilizados por el área de ciberinteligencia y
agencias policiales.

A) Analista de amenazas
2) ANÁLISIS DE EXPLOTACIONES
Esta área recolecta datos de vulnerabilidades que puedan ser

utilizados en ataques de explotación (exploits).
A) Analista de explotaciones
3) ANÁLISIS DE FUENTES EXTERNAS
Esta área analiza información de amenazas de fuentes múltiples, tal

como información pública, y reportes gubernamentales e industriales
de ciberinteligencia. Sintetiza la información y la presenta en el
contexto de la organización.
A) Analista de fuentes externas

4) ANÁLISIS LINGÜÍSTICO
Esta área utiliza conocimientos de lenguajes y culturas para apoyar

el proceso de recolección de información para su uso en el proceso
de ciberinteligencia.
A) Analista de lenguaje
COLECCIÓN Y OPERACIÓN
El personal del área de colección y operación provee operaciones

especializadas de negación de acceso y ofuscación en contra de
ciberdelincuentes, y recolecciona datos de los resultados para
fortalecer la ciberinteligencia.
1. Operación de Recolección
2. Planeación de ciber operaciones
3. Ciber operaciones
1) OPERACIÓN DE RECOLECCIÓN
Esta área se encarga de ejecutar la recolección de datos tales como

los indicadores de posible intrusión (indicators of compromise).
A) Gerente de recolección de datos

2) PLANEACIÓN DE CIBER OPERACIONES
Esta área se encarga de desarrollar planes detallados para la

identificación de objetivos de ciberinteligencia, protección en contra
de amenazas internas, negación de acceso, y ofuscación.
Esta área cuenta con dos funciones:
A) Gerente de planeación de ciberinteligencia
B) Gerente de coordinación con socios de inteligencia: se encarga

de mantener la comunicación y flujo de datos con agencias de
gobierno y compañías privadas proveedoras de productos de
ciberinteligencia; trabaja con homólogos en otras empresas en el
intercambio de datos de ciberinteligencia.
3) CIBER OPERACIONES
Esta área se encarga de ejecutar los planes de ciberinteligencia,

protección en contra de amenazas internas, negación de acceso, y
ofuscación.
Esta área cuenta con dos funciones:

A) Operador de ciberinteligencia: encargado de recolectar y ordenar
todos los datos de ciberinteligencia.
B) Investigador de ciberinteligencia: toma los datos recolectados, los

analiza, y genera propuestas de ciberdefensa para neutralizarlos.
INVESTIGACIÓN
El personal del área de investigación investiga los eventos de

seguridad informática después de que ocurrieron.
1. Ciber investigación
2. Análisis Forense
1) CIBER INVESTIGACIÓN
Esta área se encarga de aplicar tácticas, técnicas y procedimientos

tal como entrevistas, vigilancia de actividades físicas, y monitoreo de
actividades cibernéticas, para así tomar medidas de ciberinteligencia
o acciones legales.
A) Investigador de cibercrimen
2) ANÁLISIS FORENSE
Esta área se encarga de recolectar, procesar, analizar evidencia
técnica de actividades cibercriminales dentro de los sistemas de la
organización, para su utilización en operaciones de ciberinteligencia,
respuesta a incidentes, recuperación, y acciones legales.
A) Analista forense
ORGANIGRAMAS DE SEGURIDAD INFORMÁTICA
En un mundo ideal, el organigrama de seguridad informática de tu

organización se debería ver así:
Donde debajo del director de seguridad informática, se tiene a un

subdirector para cada una de las áreas de la metodología de Diseño
Organizacional de Seguridad Informática (DOSI).
Después, debajo de cada subdirector, tendrías los puestos

correspondientes a las áreas de especialización.
Pero en la realidad, son pocas las organizaciones que tienen el

presupuesto para contratar a todo el personal requerido. Por lo
tanto, si la situación de tu organización es tal que no puedan
contratar a todo el personal indicado en DOSI, entonces lo que se
hace es que una sola persona tenga múltiples roles. Lo importante
después de todo es que las funciones se cumplan. Por ejemplo, en
la categoría de Suministro Seguro de TI, tenemos los puestos de
arquitecto de seguridad informática, y especialista en investigación y
desarrollo. Es factible que una sola persona realice estas dos
funciones, si maneja bien su tiempo. Otro ejemplo: En la categoría
de Supervisión y Administración, tenemos los puestos de
desarrollador de currículum, e instructor. También es factible que la
misma persona desarrolle estas dos funciones. Lo importante es
que el trabajo esté bien planeado, y todas las funciones se realicen
cabalmente.
También es poco probable que estés comenzando una organización

de seguridad informática desde cero, o que te den autorización de
hacer un gran rediseño organizacional. Tu diseño organizacional se
puede ver muy diferente al que mostramos aquí; eso realmente no
es un problema. Lo que debes hacer es revisar cada una de las
funciones descritas, y asegurarte que estén asignadas a alguna
persona de la organización. Después, si tienes presupuesto y la
autorización, poco a poco puedes ir cambiando el diseño
organizacional para que se asemeje más al DOSI.
GERENCIA DE PROYECTOS
¿QUÉ SON LAS METODOLOGÍAS ÁGILES?
Fundamentalmente, una metodología ágil es una técnica de

gerencia de proyectos que se caracteriza en dividir el trabajo en
tareas discretas, y ejecutarlas lo más rápido posible, moviéndolas de
fases como “pendiente”, “en proceso”, y “terminado”. También
incluye la disciplina de tener juntas diarias muy cortas, para revisar
el avance de las tareas, y enfocarse en aquellas que tengan
problemas para avanzar a la siguiente fase.
Las metodologías ágiles se usan mucho en el desarrollo de

software, pero se pueden aplicar para cualquier tipo de proyectos,
incluyendo los procesos de implementación y mantenimiento de
controles de seguridad informática.
Hay dos metodologías distintas usadas en gerencia de proyectos

ágiles: scrum, y Kanban. Nosotros nos enfocaremos en Kanban, ya
que se adapta mejor a proyectos operacionales como la
implementación de controles de seguridad informática. La
metodología scrum es ideal para el desarrollo de software. Te invito
a investigar el concepto de scrum por tu cuenta si es de tu interés.
Los tableros Kanban son herramientas de visualización de flujos de
trabajo. A veces estos tableros son implementados físicamente, con
notas autoadheribles donde se escriben las tareas; pero en general
se usan soluciones de software.
Un tablero Kanban típico se ve así:
Cada una de las tareas avanzan en el tablero a través de fases.

Aquí estamos mostrando las tres fases más básicas, pero puedes
dividirla en más fases si lo encuentras útil. Por ejemplo, podrías
agregar la fase “En revisión”, si es necesario que alguien haga una
revisión o aprobación final a una tarea antes de pasarla a la fase de
“Terminado”.
Cada tarea puede contar con varios datos: el responsable de la

tarea, su prioridad, fecha de inicio, fecha objetivo, subtareas,
comentarios y ligas, documentos adjuntos, etc. Por eso es mejor
usar soluciones de software que tableros físicos.
EL CONCEPTO DE LA SEGURIDAD INFORMÁTICA ÁGIL
La seguridad informática ágil es conceptualmente muy sencilla:

consiste en implementar los controles de seguridad informática que
hayamos elegido (NIST, ISO 27001, PCI DSS, CIS, etc.) utilizando
tableros de Kanban.
Uno de los grandes problemas de la seguridad informática es que

muchas veces sí, se implementan los controles, pero no se revisan
continuamente que éstos sigan siendo válidos. Ponte a pensar lo
mucho que cambia la red de TI de una organización:
constantemente se están agregando y quitando equipos, software, y
usuarios. De un día a otro, ya no tienes la misma red. Si
implementamos todos los controles una sola vez, y solo los
revisamos de vez en cuando (si es que los revisamos), en cuestión
de poco tiempo nuestras configuraciones de seguridad ya no serán
válidas. Por lo tanto, es fundamental para la seguridad informática
de nuestra organización que estemos revisando los controles
constantemente, en un ciclo permanente.
Pensemos en un ejemplo. En NIST, tenemos el control “Se realizan

escaneos de vulnerabilidades.” Perfecto. Implementas ese control, y
el equipo ejecuta el proceso de escaneo de vulnerabilidades como
indica el control. Pero si no revisas el control periódicamente, ¿cómo
sabes que sigue siendo igual de efectivo? Es posible que se hayan
agregado hardware nuevo, y el equipo de análisis de
vulnerabilidades no se enteró porque ese equipo tiene un rango de
IPs nuevo, y nunca fue descubierto. Si no hay alguien como tú
revisando continuamente que el control esté implementado y
funcionando, es posible que esos cambios nunca sean detectados, y
el riesgo para la organización se incremente significativamente. Es
muy fácil caer en una rutina operativa, creyendo que uno está
haciendo todo correcto, sin darse cuenta de que el ambiente
cambió, y los proceso que estamos siguiendo ya son deficientes.
Por esto la revisión constante, cíclica, y disciplinada de cada uno de
los controles es fundamental para la seguridad.
Los controles que estaremos viendo en este libro son los de NIST,
los cuales cubriremos en el siguiente capítulo. Al final del capítulo
verás cómo implementar los controles utilizando una solución
llamada Smartsheet, la cual es ideal para implementar tableros
Kanban. Después de aprender a usar esta solución, puedes usarla
para implementar cualquier otra colección de controles; de igual
forma, hay todo tipo de soluciones de Kanban en el mercado que
puedes utilizar.
CAPÍTULO 4: CONTROLES DE CIBERDEFENSA
Introducción
Identificar
Proteger
Detectar
Responder
Recuperar
Implementación de NIST en Kanban
INTRODUCCIÓN
EL MÉTODO NIST
El NIST es una agencia creadora de estándares de Estados Unidos,
y son los creadores del método de ciberseguridad NIST. Puedes ver
la página del NIST Cyber Security Framework aquí:
https://www.nist.gov/cyberframework
Este método consiste de cinco funciones de ciberseguridad, que se

implementan en forma continua: identificar, proteger, detectar,
responder, y recuperar. Estas funciones nos ayudan a organizar los
controles en una forma lógica.
En cada control verás con qué frecuencia se debe revisar.
Veamos los detalles de cada funcionalidad.

IDENTIFICAR
El objetivo de la función de Identificar es desarrollar un

entendimiento organizacional de nuestros recursos desde el punto
de vista de la seguridad informática.
Esta función se divide en seis categorías de controles: gestión de

activos, entorno empresarial, gobernanza, evaluación de riesgo,
estrategia de gestión de riesgos, y gestión de riesgos de la cadena
de suministro.
GESTIÓN DE ACTIVOS
Los datos, el personal, los dispositivos, los sistemas y las

instalaciones que permiten a la organización lograr los objetivos
comerciales se identifican y gestionan de acuerdo con su
importancia relativa, tomando en cuenta los objetivos de la
organización y la estrategia de riesgo de la organización.
ID.AM-1 Los dispositivos y sistemas físicos dentro de la

organización están inventariados
Usa una solución de administración de activos de hardware y

software para inventariar todo el hardware en la organización. Este
proceso debe de ser automático, para que en cuanto llegue un
equipo nuevo, se agregue automáticamente al catálogo. En general
queremos inventariar todo el equipo que esté conectado a la red,
porque es precisamente esta conexión lo que lo hace vulnerable.
Sin embargo, toma en cuenta que puede haber equipo de cómputo
altamente confidencial que no esté conectado a la red por
seguridad. Tendrás que inventariar estos equipos a mano,
preferentemente en el mismo sistema que cataloga a los equipos en
forma automática.
Soluciones: administración de activos.
Frecuencia: mensual.
ID.AM-2 Las plataformas de software y las aplicaciones dentro

de la organización están inventariadas
Usa una solución de administración de activos de hardware y

software para inventariar todo el software en la organización. Este
proceso debe de ser automático.
Soluciones: administración de activos.
ID.AM-3 La comunicación organizacional y los flujos de datos

están mapeados
a) Crea un diagrama mapeando los flujos de información entre los

sistemas de cada área. Por ejemplo, qué datos son enviados del
CRM a contabilidad, recursos humanos, logística, etc. Los datos
pueden fluir directamente de aplicación a aplicación, o por otros
métodos, tal como reportes enviados por correo electrónico.
b) Utiliza un sistema de análisis de bitácoras, o revisa manualmente

las bitácoras de tus firewalls para ver cuáles servidores se envían
datos entre sí.
c) Cataloga cada flujo de datos, y asegúrate que sean flujos

aprobados por el director del área de donde salen los datos, y el
director del área hacia donde llegan los datos. El catálogo de flujo
de datos debe incluir la naturaleza de los datos, qué tan sensibles
son los datos, qué procedimientos de seguridad informática se les
aplicarán a los datos, y qué grupos de usuarios tendrán acceso a los
mismos.
Soluciones: análisis de bitácoras, proceso manual.
ID.AM-4 Los sistemas de información externos están

catalogados
a) Crea un catálogo de todos los flujos de datos desde y hacia los
sistemas internos de cada área, y sistemas externos. Los flujos con
sistemas externos pueden ser por ejemplo conexiones directas a
servidores de clientes o proveedores, o pueden ser el acceso
manual a las plataformas de Software as a Service (SaaS).
b) Utiliza un sistema de análisis de bitácoras para detectar todos los

flujos de datos externos, y una solución de control de acceso a la
nube (CASB) para detectar todas las aplicaciones SaaS que están
siendo utilizadas.
c) Cataloga cada flujo de datos, y asegúrate que sean flujos

aprobados por el director del área de donde salen los datos, y el
director del área hacia donde llegan los datos. El catálogo de flujo
de datos debe incluir la naturaleza de los datos, qué tan sensibles
son los datos, qué procedimientos de seguridad informática se les
aplicarán a los datos, y qué grupos de usuarios tendrán acceso a los
mismos.
Soluciones: análisis de bitácoras, control de acceso a la nube,

proceso manual.
ID.AM-5 Los recursos (por ejemplo, hardware, dispositivos,
datos, tiempo, personal y software) se priorizan en función de
su clasificación, criticidad y valor comercial
Califica los activos de acuerdo al impacto que tendría si fueran

hackeados y el nivel de probabilidad de que esto ocurra, para así
calcular su nivel de riesgo.
Soluciones: gerencia integrada de riesgos, proceso manual.
Frecuencia: trimestral.
ID.AM-6 Los roles y las responsabilidades de la seguridad

informática para toda la fuerza de trabajo y terceros interesados
(por ejemplo, proveedores, clientes, socios) están establecidas
Define categorías de usuarios, y qué permisos y responsabilidades

tienen con respecto al acceso de los datos, y cuáles categorías de
datos pueden acceder (públicos, internos, confidenciales,
restringidos). Cuando se agreguen nuevos usuarios a la red,
asegúrate que sean agregados al grupo de acceso correcto. Esto
también se aplica a organizaciones externas que tengan acceso a tu
red.
Soluciones: administración de identidad y acceso, proceso manual.
AMBIENTE DE NEGOCIOS
La misión, los objetivos, las partes interesadas y las actividades de

la organización se entienden y priorizan; esta información se utiliza
para informar a los roles de seguridad informática, las
responsabilidades y las decisiones de gestión de riesgos.
ID.BE-1 Se identifica y se comunica la función de la

organización en la cadena de suministro
El objetivo de este control es identificar todos los flujos de material y

servicios que entran y salen de la organización, e identificar cómo
puede ser afectada la cadena de suministro en caso de una pérdida
de confidencialidad, integridad, o disponibilidad de datos.
Soluciones: proceso manual.
Frecuencia: semestral.
ID.BE-2 Se identifica y se comunica el lugar de la organización

en la infraestructura crítica y su sector industrial
El objetivo de este control es identificar el papel de la organización
en el ecosistema económico, particularmente si se pertenece a un
sector crítico (infraestructura, energía, servicios financieros,
telecomunicaciones, logística, manufactura, comercio, gobierno) y
analizar el impacto a nivel nacional en caso de una pérdida de
confidencialidad, integridad, o disponibilidad de datos, y el impacto a
la organización en caso de un ciberataque a la infraestructura crítica
del país.
ID.BE-3 Se establecen y se comunican las prioridades para la

misión, los objetivos y las actividades de la organización
En base a lo establecido en los controles ID.BE-1 y ID.BE-2, y crea

un análisis de criticidad, creando una matriz de riesgo vs.
probabilidad de falla para cada sistema de la organización. Para
cada sistema, indica cuál es la probabilidad de que sea afectado en
un ciberataque con un número entre 0 y 1, y cuál sería el nivel de
impacto para la organización, utilizando la escala mencionada en
ID.AM-5. Multiplica ambos valores, y usa el valor resultante para
establecer una jerarquía de importancia de los sistemas, el cual
puedes utilizar para asignar recursos financieros y humanos.
ID.BE-4 Se establecen las dependencias y funciones

fundamentales para la entrega de servicios críticos
En base al análisis de criticidad, determina qué procesos son claves

para la entrega de servicios determinados como críticos, y
asegúrate que éstos sean robustos. Por ejemplo, asegúrate tener
sistemas alternos de telecomunicaciones en caso de fallas en la
infraestructura, y sistemas eléctricos de emergencia y cableado
redundante.
ID.BE-5 Los requisitos de resiliencia para respaldar la entrega
de servicios críticos se establecen para todos los estados
operativos (por ejemplo, bajo coacción o ataque, durante la
recuperación y operaciones normales)
Agrega al análisis de criticidad requerimientos operativos ajustados

a los casos de operaciones normales, durante ciberataque, y
durante la fase de recuperación.
GOBERNANZA
Las políticas, los procedimientos y los procesos para administrar y

monitorear los requisitos regulatorios, legales, de riesgo,
ambientales y operativos de la organización se comprenden y
transmiten a la administración del riesgo de seguridad informática.
ID.GV-1 Se establece y se comunica la política de seguridad

informática organizacional
Revisa el plan de seguridad informática y distribúyelo al personal

relevante con la frecuencia indicada.
Frecuencia: anual.
ID.GV-2 Los roles y las responsabilidades de seguridad

informática están coordinados y alineados con roles internos y
socios externos
a. Asegúrate que el plan de seguridad informática tenga las
siguientes secciones:
- La lista de los controles cubiertos en la metodología NIST
- Quién es responsable de implementar cada control
- Con qué frecuencia se debe revisar cada control, y la fecha de

entrega de cada iteración para el año en curso
- Qué software se va a utilizar para implementar el control, y qué

presupuesto se requiere
b. Crea una versión del plan de seguridad informática con los

procesos y controles relevantes para proveedores externos, y
distribúyelo.
Frecuencia: anual.
ID.GV-3 Se comprenden y se gestionan los requisitos legales y

regulatorios con respecto a la seguridad informática, incluidas
las obligaciones de privacidad y libertades civiles
Identifica todas las regulaciones gubernamentales relacionadas a la
protección de datos, y asegúrate que sean atendidas por los
controles implementados. Colabora con el área legal para
mantenerte al tanto de estas regulaciones.
Soluciones: cumplimiento con normas, privacidad de datos.
ID.GV-4 Los procesos de gobernanza y gestión de riesgos

abordan los riesgos de seguridad informática
Si tu organización tiene un área de gobernanza y gestión de

riesgos, coordinar esfuerzos para convertir sus políticas en
controles de seguridad informática cuando sea relevante.
EVALUACIÓN DE RIESGO
La organización comprende el riesgo de ciberseguridad para las

operaciones de la organización (incluida la misión, las funciones, la
imagen o la reputación), los activos de la organización y las
personas.
ID.RA-1 Se identifican y se documentan las vulnerabilidades de

los activos
Lista todos los activos informáticos de la organización (hardware,

software, y datos), y sus posibles vulnerabilidades estructurales:
software desactualizado, errores en el software, falta de control de
acceso, demasiados privilegios, error humano, falta de controles
adecuados, puertos abiertos, hardware expuesto al público, etc.
Esta es una lista parcial de vulnerabilidades estructurales posibles:
Software desactualizado
Software con errores
Usuarios con privilegios excesivos
Máquinas accesibles desde Internet

Passwords inseguros
Falta de autenticación de doble factor
Puertos abiertos
Puertos USB y de datos seriales
Puertos ethernet
Conexiones WiFi
Acceso al público
Falta de encriptación
Falta de segmentación de red
Protocolos inseguros (telnet, FTP, HTTP, etc.)
Falta de reglas de firewall
Accesos remotos
Falta de control de acceso físico
Soluciones: administración de activos de hardware y software;

administración de vulnerabilidades, proceso manual.
Es importante notar que esto NO es equivalente a un escaneo de

vulnerabilidades; estamos hablando de vulnerabilidades en el
sentido estructural, no en el sentido técnico de vulnerabilidades que
emergen por la falta de parcheo de software.
Por ejemplo, una vulnerabilidad estructural es la falta de

segmentación en la red. Esto ciertamente no va a aparecer en un
escaneo de vulnerabilidades técnicas, sin embargo, presenta un
riesgo significativo.
Por eso diferenciamos entre vulnerabilidades estructurales, y

vulnerabilidades técnicas. Las vulnerabilidades estructurales están
utilizando el concepto genérico y universal del término. Una puerta
sin control de acceso en el centro de datos es una vulnerabilidad
estructural. Por otro lado, las vulnerabilidades técnicas son aquellas
que emergen por errores de programación, y que pueden ser
vulneradas específicamente por malware y/o herramientas de
hackeo.
ID.RA-2 La inteligencia de amenazas informáticas se recibe de

foros y fuentes de intercambio de información
Utiliza servicios gratuitos y de paga de ciberinteligencia para

mantenerte al tanto de las ciberamenazas actuales, y ajusta los
controles de acuerdo a las mismas.
Soluciones: ciberinteligencia, monitoreo de riesgo digital.
ID.RA-3 Se identifican y se documentan las amenazas, tanto

internas como externas
Mantén una lista de posibles ciberamenazas relevantes a tu

organización. Toma en cuenta pueden surgir nuevas
ciberamenazas, por lo que es importante mantenerte al día sobre el
tema.
Esta es una lista parcial:
- Botnets
- Ataques de denegación de servicio
- Exploits
- Malware
- Phishing
- Ransomware
- Sitios web maliciosos

- Empleados maliciosos
Soluciones: ciberinteligencia, monitoreo de riesgo digital, proceso

manual.
ID.RA-4 Se identifican los impactos y las probabilidades del

negocio
Para cada una de las ciberamenazas que hayas determinado en

ID.RA-3, indica cuál sería el impacto si ocurre ese tipo de ataque, y
cuál es la probabilidad de que ocurra.
ID.RA-5 Se utilizan las amenazas, las vulnerabilidades, las

probabilidades y los impactos para determinar el riesgo
Determina cuál es el nivel de riesgo para cada activo en base a sus
vulnerabilidades, impactos, y probabilidades de incidencia.
Soluciones: gerencia integrada de riesgos.
Frecuencia mensual.
ID.RA-6 Se identifican y priorizan las respuestas al riesgo
En base a lo determinado en ID.RA-5, establece planes de

contingencia para cada caso.
Soluciones: gerencia integrada de riesgos.
GERENCIA DE RIESGO
Las prioridades, restricciones, tolerancias al riesgo y suposiciones

de la organización se establecen y utilizan para respaldar las
decisiones de riesgo operativo.
ID.RM-1 Los actores de la organización establecen, gestionan y

acuerdan los procesos de gestión de riesgos
Documenta todo lo determinado en ID.RA y comunícalo a las áreas

relevantes.
ID.RM-2 La tolerancia al riesgo organizacional se determina y se

expresa claramente
Determina cuánta tolerancia al riesgo tiene la organización para

cada activo expuesto a ciberamenazas, y divulga la información.
ID.RM-3 La determinación de la tolerancia del riesgo de la

organización se basa en parte en su rol en la infraestructura
crítica y el análisis del riesgo específico del sector
Toma en cuenta este control a la hora de implementar ID.RM-2.
GERENCIA DE RIESGO DE LA CADENA DE SUMINISTRO
Las prioridades, restricciones, tolerancias al riesgo y suposiciones

de la organización se establecen y utilizan para respaldar las
decisiones de riesgo asociadas con la gestión del riesgo de la
cadena de suministro. La organización ha establecido e
implementado los procesos para identificar, evaluar y gestionar los
riesgos de la cadena de suministro.
ID.SC-1 Los actores de la organización identifican, establecen,

evalúan, gestionan y acuerdan los procesos de gestión del
riesgo de la cadena de suministro cibernética
El objetivo de la gestión de riesgo en la cadena de suministro es

asegurarnos que nuestros proveedores no introduzcan riesgos
cibernéticos a nuestra organización, que puedan afectar la
confidencialidad, integridad, o disponibilidad de datos.
Soluciones: Gerencia de riesgo de proveedores, proceso manual.
ID.SC-2 Los proveedores y socios externos de los sistemas de
información, componentes y servicios se identifican, se
priorizan y se evalúan mediante un proceso de evaluación de
riesgos de la cadena de suministro cibernético
Como primer paso, identifica a todos los proveedores y cómo la

interacción con ellos podría presentar una amenaza a los sistemas
de la organización.
Soluciones: gerencia de riesgo de proveedores, proceso manual.
ID.SC-3: Los contratos con proveedores y socios externos se

utilizan para implementar medidas apropiadas diseñadas para
cumplir con los objetivos del programa de seguridad
informática de una organización y el plan de gestión de riesgos
de la cadena de suministro
a) Una vez que hayas determinado el riesgo cibernético potencial de

cada proveedor, establece controles de mitigación, e inclúyelos en
un contrato que será firmado por el proveedor. Lo ideal es pedirles a
tus proveedores que implementen el método NIST. Incluye
penalizaciones económicas en caso de no cumplir con los controles
establecidos.
b) Si tu empresa desarrolla código, analiza qué paquetes de

software se están integrando al software que están desarrollando,
en especial código abierto, y analiza su riesgo.
ID.SC-4 Los proveedores y los socios externos se evalúan de

forma rutinaria mediante auditorías, resultados de pruebas u
otras formas de evaluación para confirmar que cumplen con
sus obligaciones contractuales
Realiza una auditoría con la frecuencia indicada de los controles

implementados de acuerdo al contrato establecido en ID.SC-3. Si
tienes los recursos, puedes realizar la auditoría con tu propio
personal. Si no, puedes enviarles a tus proveedores un formato de
autoevaluación, y solo hacer auditorías sorpresa de vez en cuando.
Soluciones: gerencia de riesgo de proveedores, proceso manual.

ID.SC-5 Las pruebas y la planificación de respuesta y

recuperación se llevan a cabo con proveedores
Diseña un plan de respuesta a incidentes con tus proveedores, y

realiza simulacros con la frecuencia indicada.
PROTEGER
El objetivo de la función de Proteger es desarrollar e implementar

medidas de seguridad para poder mantener la confidencialidad,
integridad, y disponibilidad de los sistemas y datos de nuestra
organización. Esta función contiene seis categorías de controles:
gestión de identidad, autenticación, y control de acceso,
concienciación y capacitación, seguridad de los datos, procesos y
procedimientos de protección de la información, mantenimiento, y
tecnología de protección.
CONTROL DE ACCESO
El acceso a los activos físicos, digitales y las instalaciones

relacionadas está limitado a usuarios, procesos y dispositivos
autorizados, y se administra de acuerdo con el riesgo evaluado.
PR.AC-1 Las identidades y credenciales se emiten, se

administran, se verifican, se revocan y se auditan para los
dispositivos, usuarios y procesos autorizados
a) Identifica todos los sistemas de hardware, software, y bases de

datos, y determina qué grupos de usuarios deben tener acceso. En
base a esto, establece procesos para dar, modificar, y remover
permisos de acceso.
b) Asegúrate que haya una lógica de negocio detrás de cada

permiso de acceso. Haz la pregunta, ¿por qué esta categoría de
usuario requiere acceso a este sistema? Asegúrate que el proceso
tenga la capacidad de modificar los derechos de acceso si un
usuario cambia de status (despedido, cambio de departamento,
cambio de puesto, etc.)
c) Asigna a un responsable de gerencia de acceso para cada
sistema.
d) Revisa que las cuentas de acceso temporales tengan una

caducidad definida.
e) Checa que el proceso tenga la capacidad de detectar cuentas de

acceso inactivas.
f) No permitas que haya cuentas compartidas; es una cuenta

específica por persona, para poder auditar comportamiento.
g) Asegúrate que el proceso tenga la capacidad de detectar

comportamiento anómalo en las cuentas, y que este
comportamiento sea investigado por el área de respuesta a
incidentes.
h) No permitas que los usuarios tengan permisos de administrador

sobre sus computadoras personales.
i) Asegúrate que los accesos a aplicaciones web sean a través de

sistemas de login único (single sign on).
j) Asegúrate que las contraseñas utilicen algoritmos de encriptación
fuertes (por ejemplo, no utilizar SHA-1).
k) Asegúrate que no haya sistemas que solo puedan ser accedidas

por la contraseña de una sola persona; en caso de que esa persona
falte, debe haber por lo menos otra persona con capacidad de
acceder el sistema.
l) Asegúrate que no haya contraseñas de fábrica (default

passwords) en los aparatos y paquetes de software.
Soluciones: administración de identidad y acceso, administración de

activos de hardware y software, administración de certificados
digitales, control de acceso a la red, control de acceso de transporte.
PR.AC-2 Se gestiona y se protege el acceso físico a los activos
a) Divide el espacio físico en categorías de seguridad, y asigna

permisos de acceso a categorías de personal y visitantes.
b) Asigna pases de acceso permanentes a empleados, y temporales
a proveedores y visitantes.
c) Implementa un control de acceso con tarjeta magnética a zonas

restringidas, y agrega reconocimiento biométrico y de contraseña a
zonas altamente restringidas.
d) Mantén una bitácora computarizada de todos los accesos

detectados.
e) Coordina la generación y revocación de accesos con el área de

recursos humanos.
f) Pide identificación oficial para todos los accesos de visitantes.
g) Asegúrate que visitantes siempre sean acompañados por

personal de la organización cuando visiten zonas restringidas.
h) Revisa que el sistema de control de acceso de las tarjetas

magnéticas pueda emitir alertas cuando detecte comportamiento
anómalo; por ejemplo, cuando una tarjeta de visitante entre a una
zona restringida sin que una tarjeta de personal de la organización
entre al mismo tiempo, o cuando el tiempo de permanencia en una
zona restringida sobrepase un umbral determinado.
i) Asegúrate que haya cámaras en todas las áreas, que cámaras

apunten a equipos restringidos, que tengan la resolución para
grabar caras claramente, y que todas las grabaciones se guarden
por lo menos durante 3 meses.
j) Revisa que no haya puertos de ethernet abiertos en zonas

públicas del edificio, como la sala de espera.
k) Asegúrate que las conexiones de cables de ethernet de

computadoras, teléfonos IP, impresoras, pantallas, etc., no puedan
ser desconectados.
l) Revisa que haya alarmas de seguridad y procesos de respuesta a

intrusiones.
m) Revisa que los racks de servidores estén bajo llave, y que tengan
alarma de apertura, con notificación instantánea al área de
seguridad física.
Soluciones: administración de seguridad física, proceso manual.
PR.AC-3 Se gestiona el acceso remoto
a) El acceso remoto ocurre cuando un usuario se conecta a la red

sin estar físicamente presente en la organización.
b) Documenta los métodos de acceso remoto permitidos y sus

requerimientos técnicos.
c) Establece un procedimiento para pedir permiso para tener acceso

remoto.
d) Monitorea y registra todo acceso remoto.
e) Implementa encriptación fuerte para los accesos remotos.
f) Rutea todos los accesos remotos a puntos de acceso

determinados.
g) Asegúrate que los accesos remotos caduquen automáticamente
después de cierto periodo.
h) Implementa autenticación de doble factor en los accesos remotos.
i) Asegúrate que todos los equipos que van a tener acceso remoto
sean administrados por tu organización; no permitas accesos
remotos desde equipos no administrados.
j) Asegúrate que las restricciones de acceso remoto también se

apliquen a plataformas móviles.
k) Implementa un sistema de seguridad móvil, y no permitas que

celulares que no sean administrados por el área de seguridad
informática se conecten a la red.
Soluciones: seguridad móvil, firewalls, administración de identidad y

acceso.
PR.AC-4 Se gestionan los permisos y autorizaciones de acceso
con incorporación de los principios de menor privilegio y
separación de funciones
a) Asegúrate que se documente por escrito por qué requiere acceso

cada persona a cada sistema.
b) Asegúrate que el acceso permitido al usuario sea el mínimo

necesario para cumplir con la tarea por la cual requiere el acceso.
c) Si es necesario, separa los sistemas de tal forma que se le pueda

dar acceso a diferentes niveles de autorización.
d) Revisa que la autorización de acceso a sistemas tenga una doble

autorización, tanto por el gerente del área, como por alguien
asignado como responsable en el área de seguridad informática.
Soluciones: administración de identidad y acceso.
PR.AC-5 Se protege la integridad de la red (por ejemplo,
segregación de la red, segmentación de la red)
a) Segmenta la red por nivel de riesgo, utilizando categorías como

acceso al público, acceso a empleados, acceso restringido, acceso
altamente restringido, y restricciones por departamentos.
b) Implementa ruteadores, switches, y firewalls para restringir el flujo

de datos entre las diferentes áreas de la red.
c) Asegúrate que el área de acceso al público( por ejemplo, para dar

acceso a visitantes), no tenga ningún tipo de conexión con la red.
Contrata un servicio de Internet con WiFi exclusivo para visitantes.
d) Si tu organización tiene aparatos expuestos al público tal como

quioscos interactivos, aparatos de escaneo de productos pantallas,
o puntos de venta que puedan ser robados, asegúrate que estos
aparatos estén en un segmento de red separado.
e) Asegúrate que el área de acceso altamente restringido no tenga

ningún tipo de acceso desde los demás segmentos de red; mantén
una separación física (air gap). Si tienes que transferir grandes
cantidades de datos entre el segmento de acceso altamente
restringido y otros segmentos, utiliza diodos de datos.
f) Implementa microsegmentación.
g) Asegura el sistema de DNS.
Soluciones: firewalls , administración unificada de amenazas,

seguridad de DNS, microsegmentación, diodo de datos.
PR.AC-6 Las identidades son verificadas y vinculadas a

credenciales y afirmadas en las interacciones
Revisa que todas las cuentas de acceso a la red correspondan con

personas verdaderas.
Soluciones: administración de identidad y acceso.
PR.AC-7: Se autentican los usuarios, dispositivos y otros
activos (por ejemplo, autenticación de un solo factor o
múltiples factores) acorde al riesgo de la transacción (por
ejemplo, riesgos de seguridad y privacidad de individuos)
a) Establece un límite de fallos de autenticación de acceso a las

cuentas de los usuarios; después de cierta cantidad de fallos, el
sistema debe emitir una alerta de incidente, y bloquea la cuenta.
b) Cuando un usuario haga login a un sistema, muestra lo siguiente:
- Una notificación de que las acciones se están monitoreando, y

cuáles son las consecuencias legales de usar la información en
forma no autorizada.
- Cuándo fue el último acceso a la cuenta.
- Cuántos intentos fallidos ocurrieron antes de este acceso exitoso.
- Cómo contactar al área de seguridad informática si detecta

cualquier uso indebido de su cuenta.
c) No permitas que la misma cuenta se esté utilizando al mismo
tiempo en más de una sesión.
d) Desconecta automáticamente la sesión después de cierto tiempo

sin actividad.
e) Identifica y administra cuentas que no hayan sido usadas más de

30 días.
f) Implementa autenticación de doble factor para cuentas que tengan

privilegios de administrador.
g) Implementa autenticación de doble factor cuando un usuario

requiera acceso a áreas restringidas.
h) Establece una longitud mínima para las contraseñas.
i) Asegúrate que las contraseñas caduquen cada 30 días.
j) No utilices DHCP, solo IP estáticas. Mantén un record de qué IP

está asignada a qué hardware.
activos de hardware y software.
CONCIENTIZACIÓN Y ENTRENAMIENTO
El personal la organización y empresas asociadas reciben

educación sobre seguridad informática y están capacitados para
desempeñar sus funciones y responsabilidades relacionadas con la
seguridad informática, de conformidad con las políticas, los
procedimientos y los acuerdos establecidos.
PR.AT-1 Todos los usuarios están informados y capacitados
a) Implementa cursos de capacitación en seguridad informática de

acuerdo al nivel del personal (cursos técnicos para los analistas, y
cursos gerenciales para gerentes y directores). Crea una matriz de
habilidades en seguridad informática requerida para cada categoría
de personal, y desarrolla un catálogo de cursos presenciales y en
línea.
b) Implementa cursos de concientización sobre procesos de

seguridad informática para todos los empleados (por ejemplo, cómo
no caer en ataques de phishing, y cómo reportar actividad
sospechosa).
Soluciones: entrenamiento a usuarios.

Frecuencia :mensual.
PR.AT-2 Los usuarios privilegiados comprenden sus roles y

responsabilidades
Crea un curso en línea para entrenar a usuarios con acceso

privilegiado, explicando qué procedimientos deben seguir para
mantener la seguridad de los sistemas, y cómo proceder en caso de
problemas. No les des acceso a los sistemas hasta que hayan
pasado un examen de certificación en línea.
PR.AT-3 Los terceros interesados (por ejemplo, proveedores,

clientes, socios) comprenden sus roles y responsabilidades
a) Crea un curso en línea para proveedores, clientes, y socios que

requiera acceso a los sistemas de la organización.
b) No permitas el acceso hasta que no hayan pasado el examen de
certificación en línea.
PR.AT-4 Los ejecutivos superiores comprenden sus roles y

responsabilidades
a) Crea un curso en línea para ejecutivos.

PR.AT-5 El personal de seguridad física e informática
comprende sus roles y responsabilidades
a) Crea un curso en línea para personal de seguridad física e

informática.

SEGURIDAD DE DATOS
Los datos se gestionan de acuerdo con la estrategia de riesgo de la

organización para proteger la confidencialidad, integridad y
disponibilidad de la información.
PR.DS-1 Los datos en reposo están protegidos
a) Encripta todos los datos confidenciales.
b) Establece un periodo determinado para archivar fuera de línea

todos los datos que ya no se estén utilizando.
c) Implementa un firewall de base de datos.
Soluciones: respaldo de datos, encriptación de datos en reposo,

firewall de base de datos, ocultación de datos, seguridad de Big
Data, seguridad de contenido de archivos.
PR.DS-2 Los datos en tránsito están protegidos
a) Encripta todos los datos en tránsito a través de la red.
b) Encripta todo el correo electrónico.
c) Utiliza protocolos de comunicación seguros (HTTPS, SSH, SFTP,

etc.)
d) Encripta todos los datos subidos a la nube.
e) Implementa un programa de detección de robo de identidad para

los empleados de la organización.
Soluciones: encriptación de datos en movimiento, aislamiento de

navegadores, detección de robo de identidad.
PR.DS-3 Los activos se gestionan formalmente durante la

eliminación, las transferencias y la disposición
a) Asegúrate que la base de datos de activos físicos (que tengan
impacto en seguridad informática) contenga información sobre su
status y ubicación física.
b) Cada activo físico debe tener dos responsables asignados: la

persona que lo usa, y alguien del área de seguridad informática.
c) Establece un proceso para detectar automáticamente hardware

nuevo agregado a la red, y revisar si está autorizado por la persona
responsable del área, y la persona responsable de seguridad
informática.
d) Establece un proceso para registrar la entrada y salida de todo

equipo de las instalaciones.
e) Establece un procedimiento para borrar en forma segura los

datos de equipos que se vayan a vender o desechar.
Soluciones: administración de activos de hardware y software,

borrado seguro de datos.
PR.DS-4 Se mantiene una capacidad adecuada para asegurar la

disponibilidad
a) Establece un plan de contingencia que cubra la pérdida de cada

activo de hardware y software, y cada servicio externo
(telecomunicaciones, electricidad, etc.)
b) Monitorea la capacidad de disco duro disponible de todos los

servidores y establece procesos para incrementar la capacidad si se
requiere.
c) Establece planes para usar máquinas virtuales de proveedores de

PaaS (tal como AWS, Azure, o Google Cloud) en caso de requerirse
más capacidad de procesamiento de datos.
d) Establece sistemas de telecomunicación alternos en caso de falla

del proveedor principal.
e) Establece un mecanismo para soportar ataque de denegación de

servicio (DOS).
protección de denegación de servicio.
PR.DS-5 Se implementan protecciones contra las filtraciones de

datos
a) Implementa una solución de prevención de pérdida de datos

(DLP).
b) Implementa un sistema de control de acceso a la nube (CASB).
c) Analiza a qué servidores externos se están conectando los

equipos de tu red.
d) Analiza los flujos de datos ente equipos propios, y detecta flujos

anómalos.
e) Analiza el tráfico encriptado.

f) Establece un proceso para firmar contratos de confidencialidad de
datos con empleados y proveedores que tengan acceso a datos
restringidos.
g) Establece un procedimiento para identificar canales de

comunicación encubiertos.
h) Implementa un firewall de bases de datos.
I) Administra los derechos digitales de la organización.
Soluciones: sistemas de prevención de intrusión, seguridad

inalámbrica, firewall de base de datos, prevención de pérdida de
datos, control de acceso a la nube, administración de derechos
digitales.
PR.DS-6 Se utilizan mecanismos de comprobación de la

integridad para verificar el software, el firmware y la integridad
de la información
a) Implementa un sistema de monitoreo de integridad de datos.
b) Implementa un proceso para revisar todo cambio a archivos,

paquetes de software, y bases de datos, que no hayan sido
previamente autorizados.
c) Implementa un proceso para detectar cambios en el firmware.
d) No permitas que se utilice software que no tenga una firma digital

válida de la compañía que lo produjo.
e) Revisa que el hash de un paquete de software sea el correcto de

acuerdo a la compañía que lo produjo.
Soluciones: Monitoreo de integridad de archivos.
PR.DS-7 Los entornos de desarrollo y prueba(s) están

separados del entorno de producción
Crea un área de red separada para los ambientes de desarrollo,
pruebas, y producción.
Soluciones: firewalls.
PR.DS-8 Se utilizan mecanismos de comprobación de la

integridad para verificar la integridad del hardware
Revisa la integridad del firmware de todos los equipos.
Soluciones: monitoreo de integridad de archivos.
PROCESOS Y PROCEDIMIENTOS DE PROTECCIÓN DE DATOS
Las políticas de seguridad, los procesos y los procedimientos se

mantienen y utilizan para gestionar la protección de los sistemas y
activos de información.
PR.IP-1 Se crea y se mantiene una configuración de base de los

sistemas de control industrial y de tecnología de la información
con incorporación de los principios de seguridad (por ejemplo,
el concepto de funcionalidad mínima)
Establece una configuración estándar (golden image) para cada tipo

de equipo.
Soluciones: administración de configuración.
PR.IP-2 Se implementa un ciclo de vida de desarrollo del

sistema para gestionar los sistemas
Implementa un ciclo de vida de desarrollo de sistemas (System
Development Lifecycle, SDLC)
PR.IP-3 Se encuentran establecidos procesos de control de

cambio de la configuración
a) Implementa un sistema de control de configuración para

administrar la configuración estándar de cada sistema.
b) Establece un proceso de autorización de cambios de

configuración; el cambio debe ser autorizado por el responsable del
área, y por el responsable de seguridad informática.
c) En el proceso de autorización, registra la causa por la cual se

requiere el cambio, qué riesgos puede producir el cambio, y qué
controles se tienen que implementar para mitigar el riesgo.
d) Detecta en forma automática cambios no autorizados a los
sistemas e implementa un proceso de respuesta a incidentes.
e) Mantén una bitácora de todos los cambios realizados.
Soluciones: administración de configuración.
PR.IP-4 Se realizan, se mantienen y se prueban copias de

seguridad de la información
a) Establece un proceso de respaldo automático de datos hacia la

nube.
b) No guardes los respaldos en la misma nube donde residen los

datos. Por ejemplo, si tu red virtual está en Amazon Web Services,
asegúrate que tu proveedor de respaldo en la nube no esté también
en Amazon Web Services.
c) Para datos importantes, además del respaldo automático de

datos hacia la nube, haz un respaldo físico local, y mantén esos
datos físicamente desconectados de la red. Usa un diodo de datos.
d) El respaldo debe ser incremental; guarda datos de hace un año, 6

meses, 1 mes, 1 día, 1 hora, etc., de acuerdo a la importancia y
necesidad de acceso.
e) Asegúrate que los datos estén encriptados.
f) Realiza una prueba de restauración de datos, para asegurarte que

el proceso esté funcionando correctamente.
Soluciones: respaldo de datos, diodo de datos.
PR.IP-5 Se cumplen las regulaciones y la política con respecto

al entorno operativo físico para los activos de la organización
a) Implementa la capacidad de desconectar de la red eléctrica a

cualquier equipo en caso de emergencia.
b) Protege esta capacidad de desconexión para que solo personal
autorizado la pueda utilizar.
c) Implementa sistemas de energía de emergencia temporal (no-

breaks).
d) Implementa un sistema de energía de emergencia de larga

duración (generador).
e) Implementa luces de emergencia.
f) Implementa sistemas de supresión de incendio especiales para

equipo de cómputo.
g) Monitorea y controla la temperatura y humedad del cuarto donde

estén los equipos de cómputo.
h) Implementa métodos para prevenir inundaciones en el cuarto de

equipos de cómputo.

PR.IP-6 Los datos son eliminados de acuerdo con las políticas
a) Destruye los datos de los equipos antes de venderlos o tirarlos a

la basura.
b) Detecta los datos que no se hayan utilizado en cierto tiempo, haz

una copia de seguridad separada de la red, y elimina los datos de la
red.
Soluciones: respaldo de datos, borrado seguro de datos,

administración de riesgo de datos.
PR.IP-7 Se mejoran los procesos de protección
a) Implementa un sistema de Pruebas de penetración

automatizadas
para detectar fallas en la arquitectura de seguridad informática.

b) Corrige inmediatamente las fallas detectadas.
c) Prueba nuevas soluciones de seguridad informática utilizando el

sistema de Pruebas de penetración automatizadas
, y selecciona aquellas que den mejores resultados.
d) Haz pruebas de phising a tus usuarios, y entrena a aquellos que

caigan.
f) Haz pruebas de ingeniería social por teléfono y en persona.
Soluciones: pruebas de penetración automatizadas, simulación de

intrusión y ataque, pruebas de phishing, proceso manual.
PR.IP-8 Se comparte la efectividad de las tecnologías de

protección
Genera y publica un reporte con todas las métricas de seguridad

informática relevantes.
Soluciones: administración de métricas de seguridad.
PR.IP-9 Se encuentran establecidos y se gestionan planes de

respuesta (Respuesta a Incidentes y Continuidad del Negocio) y
planes de recuperación (Recuperación de Incidentes y
Recuperación de Desastres)
a) Asegúrate que haya un Plan de Respuesta a Incidentes y

Continuidad de Negocios, y Un Plan de Recuperación, y que
cumplan con los siguientes puntos.
b) Identifica las misiones esenciales de la organización, qué

procesos son usados para cumplir estas misiones, y qué hardware,
software y datos son necesarios para ejecutar los procesos.
c) Para las misiones esenciales, establece los objetivos de

recuperación (qué funciones, en cuánto tiempo), y la prioridad de
recuperación.
d) Establece métricas de recuperación.
e) Establece responsables para cada objetivo de recuperación.
f) Establece planes para mover la operación a sitios alternos si es

necesario.
g) Coordina el plan con proveedores externos (por ejemplo,

electricidad, telecomunicaciones).
h) Ajusta el plan conforme las misiones esenciales, los procesos, y

los requerimientos de hardware, software, y datos cambien.
i) Asegúrate que el Plan de Respuesta a Incidentes y Continuidad

de Negocios esté disponible en papel y puesto bajo llave, y solo
pueda ser accedido por personal autorizado. La copia digital debe
estar encriptada.
Soluciones: orquestación y automatización de incidentes, respuesta

a incidentes.
PR.IP-10 Se prueban los planes de respuesta y recuperación
a) Realiza simulacros para poner a prueba los planes de respuesta y

recuperación.
b) Analiza los resultados, y ajusta el plan de ser necesario.
PR.IP-11 La seguridad informática se encuentra incluida en las

prácticas de recursos humanos (por ejemplo,
desaprovisionamiento, selección del personal)
a) Asegúrate que el proceso de contratación incluya una revisión de

antecedentes no penales, y una revisión en línea del candidato.
b) Asigna un nivel de riesgo de seguridad informática a cada tipo de

puesto. Aquellos puestos que tengan acceso a datos restringidos
deben de ser revisados con más frecuencia y escrutinio.
c) Asegúrate que el sistema de administración de recursos humanos
notifique al área de seguridad informática en forma automática
cuando un empleado va a ser despedido.
d) Bloquea acceso a la red, servidores, y aplicaciones en la nube a

empleados antes de que sean notificados que van a ser despedidos,
y recupera tokens de autenticación, llaves, y tarjetas magnéticas.
e) Asegúrate que el área de recursos humanos les comunique a los

empleados los requerimientos de cumplimiento se seguridad
informática, y que haya consecuencias si dichos requerimientos no
son cumplidos.
PR.IP-12 Se desarrolla y se implementa un plan de gestión de

las vulnerabilidades
a) Ejecuta scans de vulnerabilidades diarios.

b) Remedia las vulnerabilidades críticas inmediatamente.
c) Remedia las vulnerabilidades altas en el transcurso de la semana.
d) Remedia las demás vulnerabilidades en el transcurso del mes.
e) Antes de instalar un parche, pruébalo en un solo equipo y analiza

sus efectos.
f) Si no se puede aplicar un parche por alguna razón operativa,

implementa controles compensatorios (por ejemplo, aislando el
software en cuestión, o incrementando la atención a incidentes para
este equipo y segmento de red).
g) Cuando se descubra una vulnerabilidad crítica o alta, investiga si

no ha sido explotada ya.
h) Configura los equipos de PCs y laptops para que los sistemas

operativos y aplicaciones se actualicen automáticamente.
i) Usa una solución de control de acceso a la nube (CASB) para
analizar el riesgo estructural de las aplicaciones de la nube que se
están utilizando. Si el riesgo es significativo en aplicaciones críticas,
sustitúyelas.
j) Analiza y reporta las tendencias de descubrimiento de

vulnerabilidades, y el tiempo entre descubrimiento y remediación.
k) Identifica software que no se esté utilizando y remuévelo antes de

que haga vulnerable.
l) Realiza escaneo de las aplicaciones web.
m) Si tu organización desarrolla código, implementa un proceso de

análisis de código.
Soluciones: administración de vulnerabilidades, administración de

parcheo, análisis de código, escaneo de aplicaciones web.
MANTENIMIENTO
El mantenimiento y las reparaciones de los componentes de los

sistemas de información y control industrial se realizan de acuerdo
con las políticas y los procedimientos.
PR.MA-1 El mantenimiento y la reparación de los activos de la

organización se realizan y están registrados con herramientas
aprobadas y controladas
a) Agenda el mantenimiento preventivo de equipos de cómputo de

acuerdo a las recomendaciones del fabricante.
b) Crea una lista de revisión de mantenimiento para cada tipo de

equipo, tanto de su hardware como de su sistema operativo.
c) Documenta toda reparación al equipo.
d) Establece un procedimiento formal para reparar equipo, el cual

debe ser autorizado por el responsable del área y alguien de
e) Si un equipo va a salir de las instalaciones para reparación, borra
todos los datos.
f) Al terminar la reparación de un equipo, corre un escaneo de

malware inmediatamente, y déjalo aislado de la red, pero con salida
a Internet, y monitorea si intenta conectarse servidores externos no
autorizados.
g) Antes de conectar equipo de diagnóstico y reparación a un equipo

que requiera mantenimiento, corre un scan de malware en el equipo
de diagnóstico.
h) Una vez que el equipo de diagnóstico y reparación haya sido

utilizado, revisa que no contenga información extraída del equipo
reparado.
Soluciones: borrado seguro de datos, proceso manual.
PR.MA-2 El mantenimiento remoto de los activos de la

organización se aprueba, se registra y se realiza de manera que
evite el acceso no autorizado
a) Si a un equipo se le va a hacer mantenimiento remoto, asegúrate
que la conexión es segura (VPN, SSH).
b) Analiza todo el flujo de datos entre el equipo de diagnóstico y

reparación y el equipo en mantenimiento, para detectar fugas de
datos.
Soluciones: firewalls, análisis de tráfico, prevención de pérdida de

datos.
TECNOLOGÍA DE PROTECCIÓN
Las soluciones de seguridad informática se gestionan para

garantizar la seguridad y la resiliencia de los sistemas y activos, de
conformidad con las políticas, los procedimientos y los acuerdos
relacionados.
PR.PT-1 Los registros de auditoría o archivos se determinan, se

documentan, se implementan y se revisan en conformidad con
la política
a) Audita las bitácoras de los sistemas para detectar configuraciones

riesgosas.
b) Audita las bitácoras de los sistemas para detectar

comportamiento anómalo.
c) Audita todo el tráfico de red para detectar comportamiento

anómalo.
d) Audita el uso de soluciones en la nube para detectar

comportamiento anómalo.
e) Todo comportamiento anómalo debe enviar alertas al sistema de
administración de incidentes.
f) Establece un proceso para asegurar que las bitácoras siempre

tengan suficiente espacio de disco para ser grabadas.
g) Crea respaldos de todas las bitácoras en un sistema separado a

la red.
h) Encripta las bitácoras respaldadas.
i) Establece un proceso de autorización doble para el borrado de

bitácoras.
j) El acceso a las bitácoras debe de ser solo de lectura; no permitas

modificaciones.
k) Asegúrate que las bitácoras estén registrando qué usuario está

ejecutando la acción registrada.
l) Implementa una cadena de custodia de las bitácoras.

Soluciones: administración de información y eventos de seguridad,
análisis de bitácoras, administración de activos de hardware y
software, análisis de tráfico.
PR.PT-2 Los medios extraíbles están protegidos y su uso se

encuentra restringido de acuerdo con la política
a) Los medios extraíbles son todas aquellas formas de grabar

información de forma portátil: discos duros portátiles, USBs, CDs,
DVDs, cintas magnéticas, etc.
b) No permitas el uso de medios extraíbles sin que haya una razón

de negocios aprobada por el responsable del área y el responsable
c) Establece un procedimiento para automáticamente detectar

aparatos de medios extraíbles en la red, y determinar que estén
autorizados.
d) Implementa un sistema de prevención de pérdida de datos (DLP)
para evitar que datos sean copiados a medios extraíbles sin
autorización.
e) Desactiva los puertos USB de todos los equipos, y sólo actívalos

cuando haya una justificación de negocios autorizada por el
responsable del área y el responsable de seguridad informática.
f) Registra toda entrada y salida de medios extraíbles.
g) Si se utilizan medios extraíbles para transportar datos dentro o

fuera de la organización, encripta los datos.
h) Etiqueta todo equipo de medio extraíble indicando quién es el

responsable del equipo, y su número de serie. Mantén estos datos
en una base de datos. Si un equipo de medio extraíble no tiene
estos datos, no permitas su uso.
Soluciones: prevención de pérdida de datos, proceso manual.
PR.PT-3 Se incorpora el principio de menor funcionalidad
mediante la configuración de los sistemas para proporcionar
solo las capacidades esenciales
a) Detecta el hardware instalado en la red, y remueve todo hardware

que no tenga una función de negocios documentada por escrito y
autorizada por el responsable del área y el responsable de
b) Detecta el software instalado en cada equipo, y remueve todo

software que no tenga una función de negocios documentada por
escrito y autorizada por el responsable del área y el responsable de
c) Establece un procedimiento para la instalación de software nuevo

autorizado por escrito por el responsable del área y el responsable
d) Detecta todos los puertos abiertos en cada equipo, y cierra todo

puerto que no tenga una función de negocios documentada por
escrito y autorizada por el responsable del área y el responsable de
e) Utiliza un web proxy para bloquear acceso a toda aplicación en la
nube, excepto aquellas que tengan una función de negocios
documentada por escrito y autorizada por el responsable del área y
el responsable de seguridad informática.
f) Utiliza un sistema de administración de identidad y acceso para

proveer funcionalidad mínima necesaria a cada usuario.

activos de hardware y software, proxies.
PR.PT-4 Las redes de comunicaciones y control están

protegidas
a) Analiza todo el tráfico de red para detectar patrones anómalos

usando un sistema de prevención de intrusión (IPS).
b) Implementa un web proxy para toda conexión a Internet, y filtra
contenido malicioso.
c) Implementa un sistema de administración de reglas de firewall

para centralizar todas las políticas de entrada y salida.
d) Analiza los flujos de tráfico entre equipos y paquetes de software

para detectar flujos anómalos.
e) Establece en los firewalls reglas de “deny all”, y luego permite

flujos que tengan una justificación de negocios, autorizado por el
responsable del área y el responsable de seguridad informática.
f) Analiza hacia con qué servidores externos se están conectando

los equipos y checa su status en un servicio de ciberinteligencia y
monitoreo de riesgo digital.
g) Revisa que los puntos de acceso de WiFi tengan contraseñas

fuertes.
h) Revisa que la señal de WiFi no sea detectada fuera de las

instalaciones.
i) Detecta cuando se activen puntos de acceso de WiFi no
autorizados.
j) Desactiva la función de WiFi en todos los equipos que no la

requieran.
k) Pon todo servidor accesible desde Internet en una zona

desmilitarizada.
l) Implementa un firewall de aplicaciones web.
m) Implementa un sistema de seguridad de email.
n) Protege las redes IOT y SCADA.
o) Protege las redes en la nube.
Soluciones: firewalls, administración de reglas de firewall, sistemas

de prevención de intrusión, proxies, seguridad inalámbrica, análisis
de tráfico, ciberinteligencia, monitoreo de riesgo digital, firewall de
aplicaciones web, seguridad de email, detección y respuesta de red,
detección y respuesta extendida, gateway de seguridad de la web,
seguridad de Internet de las Cosas, seguridad SCADA, seguridad de
la nube.
PR.PT-5 Se implementan mecanismos (por ejemplo, a prueba de

fallas, equilibrio de carga, cambio en caliente (“hot swap”) para
lograr los requisitos de resiliencia en situaciones normales y
adversas
a) Establece balanceadores de carga en equipos de misión crítica.
b) Establece un procedimiento para lanzar máquinas virtuales de

emergencia en caso de falla o saturación de demanda.

DETECTAR
El objetivo de la función de Detectar es implementar las actividades

adecuadas para identificar cuando haya ocurrido un evento de
ciberataque. Esta función cuenta con tres categorías de controles:
anomalías y eventos; monitoreo continuo de la seguridad; y
procesos de detección.
ANOMALÍAS Y EVENTOS
Se detecta actividad anómala y se comprende el impacto potencial

de los eventos.
DE.AE-1 Se establece y se gestiona una base de referencia para

operaciones de red y flujos de datos esperados para los
usuarios y sistemas
a) Utiliza el documento creado en ID.AM-4.A como guía para los

controles de la sección DE.AE.
b) Implementa un sistema de prevención de intrusión.
c) Implementa un sistema de orquestación y automatización de

incidentes.
d) Implementa un sistema de administración de información y

eventos de seguridad.
e) Implementa un sistema de análisis de tráfico y un sistema de

análisis de tráfico encriptado.
f) Implementa un sistema de administración de identidad y acceso a
aplicaciones.
g) Implementa un sistema de ofuscación.
h) Implementa un sistema de control de acceso a la nube (CASB)

para detectar comportamiento anómalo en aplicaciones en la nube.
i) Implementa un sistema de seguridad de máquinas virtuales y

contenedores.
j) Analiza todo el tráfico de salida, y analiza con qué servidores

externos se están conectando las máquinas de tu red para detectar
servidores externos hostiles (de exfiltración de datos, comando y
control, phishing, etc.)
Soluciones: sistemas de prevención de intrusión, administración de

identidad y acceso, administración de información y eventos de
seguridad, análisis de tráfico, ofuscación, orquestación y
automatización de incidentes, control de acceso a la nube,
seguridad de máquinas virtuales, seguridad de contenedores.
DE.AE-2 Se analizan los eventos detectados para comprender

los objetivos y métodos de ataque
a) Establece un procedimiento para revisar a detalle cada incidente.

Crea un reporte por incidente que incluya un análisis de causa y
efecto tomando en cuenta los siguientes puntos:
- Analiza si el incidente tuvo un factor de falta de seguridad física.
- Analiza si el incidente está relacionado a vulnerabilidades sin

parchar.
- Utiliza un sistema de ciberinteligencia y monitoreo de riesgo digital

para expandir el análisis.
b) Utiliza un sistema de caza de amenazas.
c) Ajusta las políticas de seguridad informática para evitar que el

incidente ocurra de nuevo.
d) Pon a prueba el sistema de orquestación y automatización de

incidentes creando incidentes de prueba para cada escenario y
monitoreando la respuesta. Ajusta los procesos si hay deficiencias
en la respuesta.
Soluciones: ciberinteligencia, monitoreo de riesgo digital,

orquestación y automatización de incidentes, caza de amenazas,
proceso manual.
DE.AE-3 Los datos de los eventos se recopilan y se

correlacionan de múltiples fuentes y sensores
Utiliza el sistema de administración de eventos para recopilar y

correlacionar los datos.
Soluciones: administración de información y eventos de seguridad.
DE.AE-4 Se determina el impacto de los eventos

Analiza cada evento y determina el impacto real que tuvo si fue un
ataque completado, o el impacto que pudo haber tenido si fue un
evento que se pudo detener. Incluye esta información en el reporte
de incidentes descrito en DE.AE-2.a.
DE.AE-5 Se establecen umbrales de alerta de incidentes
a) Utiliza un sistema de orquestación y automatización de incidentes

para automatizar todos los procesos de respuesta.
b) Asegúrate que el nivel de atención a los incidentes sea el

adecuado al nivel de riesgo presentado por los mismos, y evita que
haya “fatiga de alertas” en los operadores.
Soluciones: orquestación y automatización de incidentes, respuesta

a incidentes.
MONITOREO CONTINUO
El sistema de información y los activos son monitoreados para

identificar eventos de ciberseguridad y verificar la efectividad de las
medidas de protección.
DE.CM-1 Se monitorea la red para detectar posibles eventos de

seguridad informática
a) Revisa que el sistema de administración de información y eventos

de seguridad (SIEM) y sistema de orquestación y automatización de
incidentes (SOAR) estén funcionando adecuadamente.
b) Establece un proceso para detectar indicadores de intrusión

(IOCs) y programa playbooks en el SOAR para atenderlos. Investiga
continuamente nuevos tipos de IOCs reportados por fuentes
fidedignas.
c) Implementa y prueba un sistema de prevención de denegación de

servicio (DDOS).
d) Utiliza un sistema de análisis de tráfico para detectar ataques de
denegación de servicio que puedan estar saliendo de tu
organización para atacar a otros.
Soluciones: administración de información y eventos de seguridad,

análisis de tráfico, protección de denegación de servicio,
orquestación y automatización de incidentes.
DE.CM-2 Se monitorea el entorno físico para detectar posibles

eventos de seguridad informática
Revisa los procedimientos de acceso físico a áreas que tengan

impacto en la seguridad informática.
DE.CM-3 Se monitorea la actividad del personal para detectar

posibles eventos de seguridad informática
a) Implementa un sistema de seguridad de redes sociales para
detectar comportamiento anómalo de los usuarios en esos medios.
b) Implementa un sistema de análisis de comportamiento de

usuarios para detectar comportamiento anómalo de los usuarios
dentro de la red.
c) Implementa un sistema de control de acceso a la nube para

detectar comportamiento anómalo de usuarios en aplicaciones en la
nube.
Soluciones: análisis de comportamiento de usuarios, seguridad de

redes sociales, control de acceso a la nube.
DE.CM-4 Se detecta el código malicioso
a) Implementa antimalware en todos los servidores de la red y de la

nube.
b) Si tienes aparatos IoT, implementa una solución de seguridad
para IoT.
c) Implementa un sistema de control de acceso a aplicaciones para

bloquear la ejecución de software no autorizado.
Soluciones: antimalware, Detección y respuesta en el punto de

acceso, seguridad de Internet de las Cosas, control de acceso a
aplicaciones, seguridad integrada a hardware, seguridad de Internet
de las Cosas.
DE.CM-5 Se detecta el código móvil no autorizado
Implementa una plataforma de seguridad móvil.
Soluciones: seguridad móvil.
DE.CM-6 Se monitorea la actividad de los proveedores de
servicios externos para detectar posibles eventos de seguridad
informática
Implementa un sistema de análisis de comportamiento de usuarios

para detectar comportamiento anómalo de los proveedores externos
que tengan acceso a la red.
Soluciones: análisis de comportamiento de usuarios.
DE.CM-7 Se realiza el monitoreo del personal, conexiones,

dispositivos y software no autorizados
Utiliza un sistema de análisis de tráfico y de comportamiento de

usuarios para monitorear conexiones, dispositivos, y software no
autorizado.
Soluciones: análisis de tráfico, análisis de comportamiento de

usuarios.
DE.CM-8 Se realizan escaneos de vulnerabilidades
a) Implementa un sistema de análisis de vulnerabilidades y escaneo

de aplicaciones web, y realiza scans diario.
b) Remedia las vulnerabilidades altas la misma semana en que

fueron detectadas.
c) Remedia las vulnerabilidades medias durante el mes.
d) Remedia las vulnerabilidades bajas durante el trimestre.
Soluciones: Administración de vulnerabilidades, escaneo de

aplicaciones web, administración de parcheo.
PROCESOS DE DETECCIÓN
Los procesos y procedimientos de detección se mantienen y

prueban para asegurar el conocimiento de eventos anómalos.
DE.DP-1 Los roles y los deberes de detección están bien

definidos para asegurar la responsabilidad
Establece responsables para cada indicador de intrusión y para

cada métrica de desempeño.
DE.DP-2 Las actividades de detección cumplen con todos los

requisitos aplicables
Asegúrate que todos los responsables de indicadores de

compromiso y de métricas de desempeño tengan acceso a los
sistemas necesarios, estén bien entrenados, y tengan los recursos
necesarios para cumplir con su trabajo.
DE.DP-3 Se prueban los procesos de detección
Pon a prueba todos los playbooks establecidos en el sistema de

orquestación y automatización.
Haz las pruebas necesarias para medir la velocidad de respuesta

del equipo de trabajo a cada indicador de intrusión.
Soluciones: orquestación y automatización de incidentes
DE.DP-4 Se comunica la información de la detección de eventos
Genera un reporte de desempeño de las pruebas realizadas en

DE.DP-3 y distribúyelo al personal relevante.
DE.DP-5 los procesos de detección se mejoran continuamente
Identifica las deficiencias en las pruebas realizadas en DE.DP-3.
Realiza un análisis de causa y efecto para cada deficiencia y corrige

los procesos.
RESPONDER
El objetivo de la función de Responder es implementar las

actividades adecuadas para tomar acción cuando se detecte un
incidente de ciberataque. Esta función cuenta con cinco categorías
de controles: planificación de respuesta, comunicaciones, análisis,
mitigación, y mejoras.
COMUNICACIÓN
Las actividades de respuesta se coordinan con las partes

interesadas internas y externas (por ejemplo, apoyo externo de los
organismos encargados de hacer cumplir la ley).
RS.CO-1 El personal conoce sus roles y el orden de las

operaciones cuando se necesita una respuesta
Haz un examen de conocimiento al personal responsable para

revisar si conocen sus respectivas responsabilidades y procesos
plasmados en el Plan de Respuesta a Incidentes y Continuidad de
Negocios. Si no es así, entrénalos de nuevo.
Soluciones: Proceso manual.
RS.CO-2 Los incidentes se informan de acuerdo con los

criterios establecidos
Revisa los incidentes ocurridos en el periodo y asegúrate que éstos
hayan sido reportados de acuerdo al plan establecido. Si no fue el
caso, modifica los procesos para que sea así.
RS.CO-3 La información se comparte de acuerdo con los planes

de respuesta
Revisa los incidentes en el periodo, y asegúrate que los reportes de

incidente y respuesta delineados en el Plan de Respuesta a
Incidentes y Continuidad de Negocios hayan sido creados y
distribuidos correctamente. Si no es el caso, modifica los procesos.
RS.CO-4 La coordinación con las partes interesadas se realiza

en consonancia con los planes de respuesta
Revisa los incidentes en el periodo, y asegúrate que el proceso de
coordinación delineado en el Plan de Respuesta a Incidentes y
Continuidad de Negocios hayan sido creados y distribuidos
correctamente. Si no es el caso, modifica los procesos.
RS.CO-5 El intercambio voluntario de información se produce

con las partes interesadas externas para lograr una mayor
conciencia situacional de seguridad informática
a) Establece contacto con organizaciones de seguridad informática

para que el equipo se mantenga al tanto de nuevas amenazas y
técnicas de defensa.
b) Establece un programa de entrenamiento de seguridad

informática para el personal del área, y asegúrate que los miembros
del equipo vayan progresando de acuerdo al plan.
ANÁLISIS
Se realizan análisis continuamente para garantizar una respuesta

eficaz y apoyar las actividades de recuperación.
RS.AN-1 Se investigan las notificaciones de los sistemas de

detección
Audita el sistema de orquestación y automatización de incidentes

para comprobar que todos los incidentes hayan sido atendidos de
acuerdo a su nivel de riesgo. Si no es el caso, modifica los
procesos.
Soluciones: orquestación y automatización de incidentes.
RS.AN-2 Se comprende el impacto del incidente
Genera un reporte de lecciones aprendidas de cada incidente

ocurrido durante el periodo, y ajusta procesos si es necesario.
RS.AN-3 Se realizan análisis forenses
Realiza un análisis forense de los incidentes graves, y ajusta

controles y procesos.
Soluciones: software de análisis forense.
RS.AN-4 Los incidentes se clasifican de acuerdo con los planes

de respuesta
Asegúrate que el nivel de riesgo de los incidentes se esté

clasificando y atendiendo de acuerdo al Plan de Respuesta a
Incidentes y Continuidad de Negocios.
RS.AN-5 Se establecen procesos para recibir, analizar y

responder a las vulnerabilidades divulgadas a la organización
desde fuentes internas y externas (por ejemplo, pruebas
internas, boletines de seguridad o investigadores de seguridad)
a) Asegúrate que los resultados presentados por el sistema de

Pruebas de penetración automatizadas
estén siendo corregidos.
b) Asegúrate que las notificaciones del servicio de ciberinteligencia y

monitoreo de riesgo digital se tomen en cuenta para modificar
controles.

ciberinteligencia, monitoreo de riesgo digital, pruebas de penetración
automatizadas.
MITIGACIÓN
Se realizan actividades para prevenir la expansión de eventos,

mitigar sus efectos y resolver los incidentes.
RS.MI-1 Los incidentes son contenidos
Revisa los incidentes ocurridos en el periodo, y asegúrate que se

hayan contenido, y cuánto tiempo se tomó en hacerlo. Si hubo un
impacto negativo (pérdida de confidencialidad, integridad, o
disponibilidad), modifica los procesos.
RS.MI-2 Los incidentes son mitigados
Revisa los incidentes del periodo que no se hayan contenido, o sea

que generaron pérdidas de confidencialidad, integridad, o
disponibilidad, y analiza cómo fueron mitigados, o sea cómo se
restauró la confidencialidad, integridad o disponibilidad, y en qué
tiempo. Ajusta los procesos si es necesario.
RS.MI-3 Las vulnerabilidades recientemente identificadas son

mitigadas o se documentan como riesgos aceptados
Revisa las vulnerabilidades detectadas por el sistema de análisis de

vulnerabilidades, por el sistema de Pruebas de penetración
automatizadas
, por el proceso de caza de amenazas, y reportadas por el sistema

de ciberinteligencia monitoreo de riesgo digital, y asegúrate que
hayan sido mitigadas o documentadas como riesgos aceptados.
Soluciones: ciberinteligencia, monitoreo de riesgo digital, proceso

manual.
MEJORAS
Las actividades de respuesta de la organización se mejoran,

incorporando las lecciones aprendidas de las actividades de
detección y respuesta.
RS.IM-1 Los planes de respuesta incorporan las lecciones

aprendidas
Incorpora los reportes de lecciones aprendidas en RS.AN-2 al Plan

de Respuesta a Incidentes y Continuidad de Negocios.
RS.IM-2 Se actualizan las estrategias de respuesta
Revisa el Plan de Respuesta a Incidentes y Continuidad de

Negocios y ajústalo para reflejar los cambios en la organización y el
medio ambiente.
RECUPERAR
El objetivo de la función de Recuperar es implementar las

actividades adecuadas para mantener un plan de resiliencia y
restaurar la confidencialidad, integridad, y disponibilidad de datos y
sistemas después de un ciberataque. Esta categoría contiene tres
categorías de controles: planificación de la recuperación, mejoras, y
comunicaciones.
PLANEACIÓN DE LA RECUPERACIÓN
Los procesos y procedimientos de recuperación se ejecutan y

mantienen para garantizar la restauración de los sistemas o activos
afectados por incidentes de ciberseguridad.
RC.RP-1: El plan de recuperación se ejecuta durante o después

de un incidente de seguridad informática
Revisa los incidentes del periodo, y asegúrate que el Plan de

Recuperación establecido en PR.IP-9 se haya cumplido de acuerdo
al plan.
MEJORAS
La planificación y los procesos de recuperación se mejoran al

incorporar las lecciones aprendidas en las actividades futuras.
RC.IM-1: Los planes de recuperación incorporan las lecciones

aprendidas
Asegúrate que las lecciones aprendidas durante el periodo sean

agregadas al Plan de Recuperación.
RC.IM-2: Se actualizan las estrategias de recuperación
Asegúrate de que el Plan de Recuperación sea actualizado para

reflejar cambios en la organización y en el medio ambiente.

COMUNICACIONES
Las actividades de restauración se coordinan con partes internas y

externas (por ejemplo, centros de coordinación, proveedores de
servicios de Internet, propietarios de sistemas atacantes, víctimas, y
proveedores).
RC.CO-1 Se gestionan las relaciones públicas
Coordina con el área de marketing o relaciones públicas para crear

un plan de gestión de relaciones públicas que se activará en caso
de un incidente de ciberseguridad visible.
RC.CO-2 La reputación se repara después de un incidente
Coordina con el área de marketing o relaciones públicas para crear

un plan de recuperación de la reputación después de que un
incidente de ciberseguridad visible haya ocurrido.
RC.CO-3 Las actividades de recuperación se comunican a las

partes interesadas internas y externas, así como también a los
equipos ejecutivos y de administración
Asegúrate que los planes establecidos en RC.CO-1 y RC.CO-2 sean

comunicados a todo el personal interno y externo relevante.
IMPLEMENTACIÓN DE LOS CONTROLES NIST EN KANBAN
Ahora veamos cómo podemos implementar los controles de NIST

usando Smartsheet y la metodología Kanban.
Para empezar, activa una cuenta demo en Smartsheet en esta liga:
https://www.smartsheet.com/try-it
Después, puedes descargar los controles de NIST en formato de

Excel de aquí:
https://ciberdefensa.org/controles-nist
Después, sigue las instrucciones en este video para subir los

controles NIST a Smartsheet:
Una vez que tengas los controles en Smartsheet, o en alguna otra
herramienta de Kanban que hayas elegido, sigue este
procedimiento:
1. Revisa con tu equipo de trabajo cada uno de los controles a

detalle.
2. Agrega las subtareas requeridas a cada control, de acuerdo a la
retroalimentación del equipo.
3. Desecha controles que consideres irrelevantes para tu
organización (siempre y cuando no sea ISO 27001 y tengas el
objetivo de conseguir la certificación).
4. Si lo consideras necesario, agrega controles nuevos.
5. Asigna un responsable para cada control.
6. Cada control de NIST tiene una frecuencia recomendada de
revisión; ajusta esa frecuencia si es necesario, pero toma en
cuenta que entre más seguido revises los controles, menor
riesgo.
7. Asigna la fecha objetivo de implementación del control.
8. Comienza a trabajar con tu equipo en la implementación de
cada control, y utiliza la sección de comentarios para mantener
una bitácora y conversaciones sobre el proceso de
implementación. Esto es muy importante, porque el
conocimiento implícito de cómo implementar el control se irá
acumulando en esta sección, la cual podrás consultar en futuras
iteraciones de revisión del control.
9. Cada que se implemente o revise un control, puedes anexar
pruebas de tareas completadas (imágenes de pantalla) dentro
del control.
10. Ten una reunión diaria de no más de 20 minutos para revisar el
avance de los controles en proceso y de los obstáculos para su
implementación o revisión.
11. Mueve los controles en lo que estés trabajando de la fase de
“Pendiente” a la fase “En Proceso”. Procura no tener más
controles en proceso de lo que el equipo pueda procesar en una
semana o dos. Opcionalmente puedes poner un límite al número
de controles en la fase de “En Proceso”.
12. Todos los lunes, los controles que estén en la fase de
“Completado”, pásalos de nuevo a la fase de “Pendiente”,
ajustando su fecha de entrega. No olvides agregar comentarios
dentro del control, para que vayas viendo su historial. Por
ejemplo, agrega el comentario “control implementado en fecha
X, reciclado a fase “Pendiente” en fecha Y”. Documenta todo, y
no dejes nada a la memoria.
CAPÍTULO 5: SOLUCIONES DE SEGURIDAD INFORMÁTICA
En este capítulo veremos cada una de las categorías de soluciones

de seguridad informática disponible en el mercado.
ADMINISTRACIÓN DE ACTIVOS
Nombre en inglés: Asset Management
Acciones de ciberdefensa: identificar
Es común que los usuarios agreguen tanto hardware como software

sin comunicárselo al área de TI y seguridad informática. A este
problema se le llama “shadow IT”, o sea “activos sombra”.
El software de administración de activos de hardware y software nos

permite mantener un inventario en tiempo real de todas las
máquinas y de todo el software presente en nuestra red. El tener
este inventario es fundamental, ya que no podemos asegurar lo que
no sabemos que existe.
ADMINISTRACIÓN DE AUTENTICACIÓN, IDENTIDAD, Y
ACCESO
Nombre en inglés: Authentication, Identity, and Access Management

(IAM)
Acciones de ciberdefensa: proteger
De Acuerdo a VMWare, la administración de identidad y acceso

garantiza que solo las personas autorizadas tengan acceso a los
recursos tecnológicos que necesitan para realizar sus funciones
laborales. Incluye políticas y tecnologías que abarcan un proceso de
toda la organización para identificar, autenticar y autorizar
adecuadamente a personas, grupos de personas o aplicaciones de
software a través de atributos que incluyen derechos de acceso de
usuario y restricciones basadas en sus identidades.
Un sistema de administración de identidad y acceso evita el acceso

no autorizado a los sistemas y recursos, ayuda a prevenir la
filtración de datos empresariales o protegidos y genera alertas y
alarmas cuando personal o programas no autorizados realizan
intentos de acceso, ya sea desde dentro o fuera del perímetro de la
empresa.
Hay dos subcategorías de sistemas de administración de identidad y
acceso. La que se conoce en inglés como “Identity Access
Management”, o sea “Administración de Identidad”, y “Privileged
Access Management”, o “Administración de Acceso Privilegiado”.
Ambos son similares en función; la diferencia es que la primera se
enfoca en controlar a usuarios en general, y la segunda se enfoca
en controlar el acceso de administradores de sistemas.
ADMINISTRACIÓN DE BITÁCORAS
Nombre en inglés: Log Management
Acciones de ciberdefensa: detectar
El software de administración de bitácoras (log management)

permite recopilar y almacenar datos de bitácoras generados por los
sistemas de la organización.
Este tipo de soluciones recopila datos de bitácoras que provienen

de múltiples máquinas y proporciona una ubicación centralizada
para almacenarlos. Esta ubicación centralizada facilita que los
analistas de seguridad accedan y analicen los registros según sea
necesario.
Los sistemas de análisis de bitácoras se caracterizan por su

recopilación de datos de bitácoras, retención de datos, indexación
de registros, generación de informes y capacidades de búsqueda.
Esta categoría de software no solo alberga grandes cantidades de
datos de bitácoras, sino que también permite buscar en la base de
datos para encontrar rápidamente la información necesaria.
Los sistemas de análisis de eventos (SIEM) son una evolución de
los sistemas de análisis de bitácoras. Los sistemas de análisis de
bitácoras son más generales, en el sentido de que almacenan
bitácoras no sólo de seguridad, sino de todo tipo de eventos
generados por el equipo de la organización. Por otro lado, los
sistemas de análisis de eventos son usados específicamente para
fines de seguridad informática.
Estas dos categorías son complementarias. Generalmente el precio

de las soluciones de análisis de eventos es proporcional a la
cantidad de datos que se procesan. Por esta razón, a veces tiene
sentido usar un sistema análisis de eventos sólo para procesar las
bitácoras directamente relacionadas a seguridad informática, y
aparte tener un sistema de análisis de bitácoras que puedan ser
utilizados para analizar más a profundidad las posibles amenazas.
ADMINISTRACIÓN DE CERTIFICADOS DIGITALES
Nombre en inglés: SSL and Digital Certificate Authority Management
Los certificados digitales son el método principal mediante el cual se

identifican y autentican personas y máquinas. A medida que crece la
cantidad de identidades en una empresa, también aumenta la
dificultad de administrar y proteger los certificados a escala.
Una autoridad de certificación (CA) es responsable de certificar la

identidad de los usuarios, las computadoras y las organizaciones. La
CA autentica una entidad y garantiza esa identidad mediante la
emisión de un certificado firmado digitalmente. La CA también
puede administrar, revocar y renovar certificados.
Un sistema administración de certificados digitales nos permite

descubrir, analizar, supervisar y gestionar todos los certificados
digitales implementados por la autoridad de certificación.
ADMINISTRACIÓN DE CONFIGURACIÓN
Nombre en inglés: Configuration Management
La administración de la configuración de seguridad implica la

detección continua de cambios de configuración y configuraciones
incorrectas en varios componentes en sus endpoints, y volverlos a
alinear con la configuración segura. Los sistemas de control de
configuración (security configuration management), nos permite
administrar este proceso.
ADMINISTRACIÓN DE DERECHOS DIGITALES
Nombre en inglés: Information Rights Management
Acciones de ciberdefensa: Identificar, proteger
La administración de derechos digitales se utiliza para proteger

documentos que contienen información confidencial del acceso no
autorizado. A diferencia de la gestión de derechos digitales (DRM)
tradicional que se aplica a medios producidos en masa como
canciones y películas, la administración de derechos digitales se
aplica a documentos, hojas de cálculo y presentaciones creadas por
individuos. Esta tecnología protege los archivos de la copia,
visualización, impresión, reenvío, eliminación y edición no
autorizados.
Esta tecnología generalmente encripta los archivos para hacer

cumplir las políticas de acceso. Una vez encriptados, se pueden
aplicar reglas adicionales a un documento para permitir o denegar
actividades específicas. En algunos casos, esto significa que un
documento solo se puede ver y el usuario no puede copiar o pegar
el contenido dentro del documento. En otros casos, la regla puede
impedir que un usuario tome capturas de pantalla del documento, lo
imprima o lo edite.
Una de las ventajas de esta tecnología es que estas protecciones
persisten incluso cuando los archivos se comparten con terceros. Un
usuario puede estar fuera de la red de la empresa, pero las reglas
de seguirán protegiendo el documento. Esto significa que los
documentos sellados pueden permanecer seguros sin importar
desde dónde se acceda.
ADMINISTRACIÓN DE INFORMACIÓN Y EVENTOS DE
SEGURIDAD
Nombre en inglés: Security Information and Event Management

(SIEM)
Acciones de ciberdefensa: responder
Los sistemas de administración de eventos, conocidos en inglés

como “Security, Information, and Event Management” (SIEM),
agrega datos de bitácoras, alertas de seguridad, y eventos de TI en
una plataforma centralizada, para proveer análisis en tiempo real.
Al tener todos los datos centralizados y correlacionados, podemos

hacer análisis detallados en caso de un ciberataque, y entender
cómo ocurrió, para poder detenerlo, y evitar que vuelva a ocurrir en
el futuro.
De acuerdo a Logrhythm, estos son los beneficios de utilizar un

sistema de administración de eventos:
Visibilidad en tiempo real en todo el entorno.

Solución de gestión centralizada para sistemas y datos de
registro dispersos.
Menos alertas de falsos positivos.
Reducción del tiempo medio de detección (MTTD) y del tiempo
medio de respuesta (MTTR).
Recopilación y normalización de datos para permitir un análisis
preciso y confiable.
Facilidad de acceso y búsqueda en datos sin procesar y
analizados.
Capacidad para mapear operaciones con marcos existentes
como MITRE ATT&CK.
Garantiza la adherencia al cumplimiento con normas y con
visibilidad en tiempo real y módulos de cumplimiento
prediseñados.
Cuadros de mando personalizados e informes efectivos.
ADMINISTRACIÓN DE MÉTRICAS DE SEGURIDAD
Nombre en inglés: Information Security Metrics
La administración de métricas de seguridad ayuda a los líderes de

seguridad y riesgos a adoptar un enfoque basado en el riesgo y
orientado a los resultados para evaluar y gestionar el rendimiento
del programa de ciberseguridad de la organización. Con este tipo de
software, se puede monitorear y evaluar continuamente el estado de
seguridad actual de la organización, analizar cómo el desempeño de
la seguridad se compara con otras organizaciones, y crear planes
de mejora que reducen el riesgo cibernético.
ADMINISTRACIÓN DE PARCHEO
Nombre en inglés: Patch Management
La administración de parcheo es el proceso que ayuda a adquirir,

probar e instalar varios parches (cambios de código) en aplicaciones
y herramientas de software existentes en una computadora, lo que
permite que los sistemas se mantengan actualizados con los
parches existentes y determinen qué parches son los adecuados.
La administración de parcheo la realizan principalmente las

empresas como parte de sus esfuerzos internos para solucionar
problemas con las diferentes versiones de los programas de
software y también para ayudar a analizar los programas de
software existentes y detectar cualquier posible falta de funciones de
seguridad u otras actualizaciones.
ADMINISTRACIÓN DE REGLAS DE FIREWALL
Nombre en inglés: Firewall Configuration and Management
La documentación manual de todas las reglas del firewall y su

revisión periódica es una tarea que requiere mucho tiempo. Para
resolver este problema, el software de análisis de reglas de firewall
obtiene todo el conjunto de reglas escritas en el firewall, y las
clasifica de acuerdo a categorías como las siguientes:
Reglas permitidas y denegadas

Reglas de entrada y salida
Reglas inactivas
Reglas con registro deshabilitado
Reglas excesivamente permisivas
En base a esto, el software hace recomendaciones de cambios para

simplificar las reglas y hacerlas más seguras.
ADMINISTRACIÓN DE RIESGO
Nombre en inglés: Risk Management
Gartner define a la administración de riesgos como un conjunto de

prácticas y procesos respaldados por una cultura consciente del
riesgo y tecnologías habilitadoras que mejoran la toma de
decisiones y el desempeño a través de una visión integrada de qué
tan bien una organización maneja sus conjuntos únicos de riesgos.
El software de administración de riesgos nos permite administrar
estos procesos.
ADMINISTRACIÓN DE RIESGO DE DATOS
Nombre en inglés: Data Risk Management
Acciones de ciberdefensa: identificar, proteger
La administración de riesgos de datos es el proceso controlado que

utiliza una organización al adquirir, almacenar, transformar y utilizar
sus datos, desde la creación hasta el retiro, para así reducir el
riesgo de estos datos.
Las soluciones de administración de riesgo de datos nos permiten

identificar qué datos tenemos, en qué zonas geográficas,
almacenados en qué equipos, qué tipo de datos son, y su nivel de
riesgo. De esta manera, podemos administrar en forma ordenada su
creación, transferencia, utilización, almacenamiento, y destrucción.
ADMINISTRACIÓN DE RIESGO DE PROVEEDORES
Nombre en inglés: Vendor Risk Management
La administración de riesgos de proveedores es una disciplina de

gestión de riesgos que se centra en identificar y mitigar los riesgos
asociados con los proveedores. Esta categoría de software brinda a
las empresas visibilidad de los proveedores con los que trabajan,
cómo trabajan con ellos y qué proveedores han implementado
suficientes controles de seguridad.
Cada vez más, las empresas subcontratan tareas críticas a sus

proveedores, lo que conlleva tanto beneficios como riesgos. Si bien
trabajar con un tercero puede ahorrarnos dinero y ayudarnos a
operar de manera más eficiente, también crea vulnerabilidades. Por
esto es importante mitigar este tipo de riesgo.
ADMINISTRACIÓN DE VULNERABILIDADES
Nombre en inglés: Vulnerability Management
La administración de vulnerabilidades es el proceso de identificar,

evaluar, remediar y reportar sobre las vulnerabilidades de seguridad
en los sistemas. Esto, implementado junto con otras tácticas de
seguridad, es vital para que las organizaciones prioricen posibles
amenazas y minimicen su superficie de ataque. Las
vulnerabilidades, a su vez, se refieren a debilidades tecnológicas
que permiten a los atacantes tomar control de un sistema y la
información que contiene.
Este proceso debe realizarse continuamente para mantenerse al día

con los nuevos sistemas que se agregan a las redes, los cambios
que se realizan en los sistemas y el descubrimiento de nuevas
vulnerabilidades a lo largo del tiempo.
ADMINISTRACIÓN UNIFICADA DE AMENAZAS
Nombre en inglés: Unified Threat Management (UTM)
Acciones de ciberdefensa: proteger, detectar
La administración unificada de amenazas es un término de

seguridad de la información que se refiere a una solución de
seguridad integrada en un sólo paquete, generalmente en un
aparato (appliance), que proporciona múltiples funciones de
seguridad en un único punto de la red. Un dispositivo UTM
generalmente incluirá funciones como antivirus, anti-spyware, anti-
spam, firewall de red, detección y prevención de intrusiones, filtrado
de contenido y prevención de fugas. Algunas unidades también
brindan servicios como enrutamiento remoto, traducción de
direcciones de red (NAT) y soporte de red privada virtual (VPN). El
atractivo de la solución se basa en la simplicidad, por lo que las
organizaciones que pueden haber tenido proveedores o dispositivos
individuales para cada tarea de seguridad separada ahora pueden
tenerlos todos bajo el paraguas de un proveedor, respaldados por
un equipo o segmento de TI, y ejecutarlos a través de una consola.
Este tipo de solución puede ser ideal para pequeñas empresas con
un equipo de seguridad informática reducido.
Esta categoría es muy similar a los firewalls de siguiente generación
(next generation firewalls). La diferencia es que los sistemas de
protección unificada de amenazas vienen ya con muchas
preconfiguraciones listas y son más fáciles de implementar, mientras
que los firewalls de siguiente generación son más configurables.
AISLAMIENTO DE NAVEGADORES
Nombre en inglés: Browser Isolation
Estados de datos: tránsito usuario-máquina, en proceso, tránsito

máquina-máquina
El software de aislamiento de navegadores funciona de la siguiente

manera. El software del navegador, en lugar de estar instalado en la
máquina del usuario, se encuentra en la nube. Cuando un usuario
navega hacia un sitio web, todo el código se ejecuta en ese
ambiente virtual. Lo que se envía a la PC del usuario es sólo la
imagen gráfica del navegador y su contenido, pero nada de código
ejecutable. El usuario no nota la diferencia. De esta forma, si el sitio
web tiene algún código malicioso, éste sólo se ejecuta en el
ambiente virtual en la nube, y nunca en la PC del usuario.
De acuerdo a McAfee, estas son las ventajas de utilizar un sistema
de aislamiento de navegadores:
Protección contra sitios web maliciosos: debido a que no se

ejecuta ningún código local en la computadora del usuario, los
usuarios están protegidos de todos los sitios web maliciosos.
Protección contra enlaces maliciosos: dado que las URL se
abren automáticamente en el navegador web aislado, ya sea
que se encuentren en páginas web, correos electrónicos,
documentos, redes sociales, etc., los usuarios están protegidos,
independientemente de la fuente.
Protección contra correos electrónicos maliciosos: todos los
correos electrónicos basados en la web se procesan de manera
inofensiva en el servidor remoto, y los enlaces en los clientes de
correo electrónico también se abren automáticamente en el
servidor remoto.
Protección contra descargas maliciosas: los administradores
pueden controlar con precisión qué archivos pueden descargar
los usuarios, y se analizan todas las descargas permitidas para
eliminar las amenazas.
Protección contra anuncios maliciosos: los anuncios y los
rastreadores se bloquean automáticamente. Si se muestran
anuncios, se muestran de forma remota, lo que protege al
usuario de contenido malicioso.
Navegación anónima: las capacidades avanzadas de
navegación anónima enmascaran las verdaderas identidades de
los usuarios.
Prevención de pérdida de datos: las capacidades de DLP
integradas protegen los datos corporativos para que no sean
exfiltrados accidental o intencionalmente. Estas capacidades
permiten a un administrador restringir los archivos que un
usuario puede cargar en Internet.
Análisis del comportamiento del usuario: las organizaciones
pueden obtener análisis de las actividades web de los usuarios,
que se pueden utilizar para supervisar el cumplimiento con
normas y para detectar amenazas internas y empleados
improductivos.
Reducción de alertas de seguridad: aislar todo el contenido web
en un servidor remoto da como resultado menos alertas de
seguridad y falsos positivos que deben investigarse.
Elimina el costo del software malicioso basado en la web: los
efectos de una infección de software malicioso pueden ser
graves y su reparación requiere una cantidad considerable de
dinero y tiempo. La navegación aislada protege su red por
completo del malware basado en la web.
ANÁLISIS DE CÓDIGO DE APLICACIONES
Nombre en inglés: Application Security Testing
Acciones de ciberdefensa: probar
Las soluciones de análisis de código nos permiten determinar si el

código que producimos tiene errores que podrían llevar a un
ciberataque.
Hay dos tipos de análisis de código: estático y dinámico. El análisis

de código estático (static application security testing, SAST) se
utiliza para detectar errores de programación en el código en sí. La
aplicación escanea el contenido del código, y determina estructuras
de programación vulnerables a ciberataques.
El análisis de código dinámico (dynamic application security testing,

DAST), analiza el input y output del programa mientras éste está
corriendo, para detectar si es vulnerable a ciberataques.
ANÁLISIS DE COMPORTAMIENTO DE USUARIOS
Nombre en inglés: Behavior Analytics
Los sistemas de análisis de comportamiento de usuarios (user

behavior analysis, UBA), son programas de software que analizan
las bitácoras de computadoras y sistemas, así como sistemas de
defensa de la red, para entender cómo los usuarios están
interactuando con los sistemas. De esta forma, se pueden
establecer patrones de comportamiento que se consideran
normales, y en base a esto, activar alarmas cuando un usuario se
desvíe de este comportamiento, lo cual puede ser una indicación de
un ciberataque.
El sistema de análisis de comportamiento de usuarios recopila

varios tipos de datos, como roles y títulos de usuarios, incluido el
acceso, las cuentas y los permisos; actividad del usuario y ubicación
geográfica; y alertas de seguridad. Estos datos se pueden recopilar
de la actividad pasada como la actual, y el análisis toma en
consideración factores como los recursos utilizados, la duración de
las sesiones, la conectividad y la actividad de los usuarios similares
para comparar el comportamiento anómalo. También se actualiza
automáticamente cuando se realizan cambios en los datos, como
cambio de puesto de los usuarios, o cambio de permisos en los
sistemas.
ANÁLISIS DE TRÁFICO DE RED
Nombre en inglés: Network Behavior Análisis
El análisis de tráfico de red es un método de monitoreo de la

disponibilidad y actividad de la red para identificar anomalías,
incluidos problemas operativos y de seguridad.
Estos son los casos de uso más comunes:
Recopilar un registro histórico y en tiempo real de lo que sucede

en la red.
Detectar malware por medio del tráfico que genera.
Detectar el uso de protocolos y cifrados vulnerables.
Detectar causas de lentitud en la red.
Mientras que otras herramientas de seguridad de red, como los

firewalls y los sistemas de prevención de intrusión (IPS) se centran
en el seguimiento del tráfico vertical que cruza el perímetro de un
entorno de red, las soluciones de análisis de tráfico de red se
centran en todas las comunicaciones, ya sean paquetes de estilo
TCP / IP tradicionales, tráfico de red virtual, tráfico desde y dentro
de cargas de trabajo en la nube y llamadas API a aplicaciones SaaS
o instancias de computación sin servidor (serverless). Estas
soluciones también se centran en la tecnología operativa y las redes
de Internet de las cosas (IoT) que, de otro modo, serían
completamente invisibles para el equipo de seguridad. Las
herramientas avanzadas de análisis de tráfico son incluso efectivas
cuando el tráfico de la red está encriptado.
Esta categoría de software está evolucionando, comenzando a

convertirse en lo que se llama “Network Detection and Response''
(NDR), o “detección y respuesta de red”.
ANÁLISIS FORENSE
Nombre en inglés: Computer Forensics
La informática forense es una rama de la ciencia forense que se

ocupa de la aplicación de técnicas de análisis de investigación en
computadoras para recuperar y preservar evidencia de una manera
que sea legalmente admisible. Esto significa que un aspecto
importante de la ciencia de la informática forense radica en la
capacidad del experto forense para presentar los hallazgos de una
manera que sea aceptable y utilizable por un tribunal de justicia.
El software de análisis forense nos permite realizar una

investigación estructurada en un dispositivo informático para
averiguar qué sucedió o quién fue el responsable de lo sucedido, al
mismo tiempo que se mantiene una cadena de evidencia
debidamente documentada en un informe formal.
ANTIMALWARE
Nombre en inglés: Antimalware
El malware es cualquier tipo de software que realiza acciones

dañinas en un sistema informático de forma intencionada.
Junto con los firewalls, la categoría de software antimalware,

también conocido como “antivirus”, es el más antiguo de la
seguridad informática, por lo que es una categoría muy madura y
con muchas opciones.
El antimalware funciona básicamente de dos formas. Tiene la

capacidad de detectar malware en base a un análisis estático, y en
base a un análisis dinámico. El análisis estático consiste en analizar
el código de aplicaciones para detectar malware previamente
identificado, o patrones de programación típicamente utilizados en
malware. El análisis dinámico consiste en monitorear el
comportamiento de las aplicaciones una vez que están siendo
ejecutadas, para detectar comportamientos anómalos típicos del
malware.
Este tipo de antimalware es conocido formalmente como “Endpoint
Protection Platform” (EPP por sus siglas en inglés). Un “endpoint” es
cualquier máquina con la que interactúan los humanos: PCs,
laptops, celulares, y servidores.
El antimalware está evolucionando hacia el concepto de Endpoint

Detection and Response (conocida por sus siglas en inglés, EDR).
EL EDR tiene las siguientes funciones, que no están presentes en

un EPP:
Machine learning: tienen la capacidad de aprender y adaptarse

a nuevas amenazas.
Sandboxing: pueden aislar a programas sospechosos en un
ambiente virtual y observar su comportamiento.
Alertas generadas por sistemas externos: tienen la capacidad de
recibir alertas de otros sistemas y tomar acción específica.
Análisis de bitácoras: tiene la capacidad de analizar datos
históricos para detectar patrones de comportamiento de
malware.
Herramientas de remediación: los ingenieros de seguridad
informática pueden acceder al sistema remotamente para hacer
remediación.
Otra categoría relacionada se llama “Extended Detection and
Response”, o XDR. Este tipo de software no sólo cubre los puntos
de acceso (endpoints) sino también, email, servidores, la red, y la
nube. Es una nueva categoría de software de seguridad informática
que está emergiendo.
CAZA DE AMENAZAS
Nombre en inglés: Threat Hunting
Acciones de ciberdefensa: detectar, responder
El software de caza de amenazas (cyber threat hunting) nos permite

realizar una búsqueda de seguridad proactiva a través de redes,
equipos y datos para buscar actividades maliciosas, sospechosas o
riesgosas que han eludido la detección de las herramientas
existentes.
La caza de amenazas es necesaria simplemente porque ninguna

protección de ciberseguridad es siempre 100% efectiva. Se necesita
una defensa activa para detectar evidencias de ciberataques que se
hayan colado por nuestras defensas automáticas.
CIBERINTELIGENCIA
Nombre en inglés: Threat Intelligence
Según la definición de Gartner, la ciberinteligencia (threat

intelligence) es conocimiento basado en evidencia, que incluye
contexto, mecanismos, indicadores, implicaciones y consejos
orientados a la acción sobre una ciberamenaza o peligro existente o
emergente para los activos de la organización. Esta inteligencia se
puede utilizar para tomar decisiones sobre la respuesta a esa
amenaza o peligro.
Las mejores soluciones utilizan aprendizaje de máquina para

automatizar la recopilación y el procesamiento de datos, integrarse
con sus soluciones existentes, tomar datos no estructurados de
fuentes dispares y luego conectar los puntos al proporcionar
contexto sobre los indicadores de compromiso (IoC) y las tácticas,
técnicas y procedimientos. (TTP) de los ciberdelincuentes.
CONTROL DE ACCESO A APLICACIONES
Nombre en inglés: Application Access Control
De acuerdo a Digital Guardian, el control de aplicaciones es una

práctica de seguridad que bloquea o restringe la ejecución de
aplicaciones no autorizadas de formas que ponen en riesgo los
datos. Las funciones de control varían según el propósito comercial
de la aplicación específica, pero el objetivo principal es ayudar a
garantizar la privacidad y seguridad de los datos utilizados y
transmitidos entre aplicaciones.
Las aplicaciones no autorizadas pueden ser aplicaciones

comerciales válidas, o malware. Aunque una aplicación no sea
malware, al no estar autorizada, puede presentar riesgos de fuga de
datos, e incrementa la superficie de ataque, si ésta llega a tener
vulnerabilidades. Por eso la importancia de controlarlas.
FUNCIONES
Estas son las funciones de un sistema de control de aplicaciones:

1. Verificación de integridad: revisión del procesamiento de
records, desde comienzo a fin.
2. Verificación de validez: revisa que sólo datos válidos sean
ingresados y procesados.
3. Identificación: identifica en forma irrefutable a todos los usuarios.
4. Autenticación: provee un mecanismo para que las aplicaciones
se autentifiquen como válidas.
5. Autorización: controla que sólo los usuarios autorizados tengan
acceso a la aplicación
6. Control de acceso de datos: se asegura que los datos
ingresados vengan íntegros.
7. Controles forenses: registra todo el ingreso y egreso de datos
para su análisis en caso de ser necesario.
Son varias las ventajas de utilizar software de control de

aplicaciones. Primero que nada, nos permite identificar todas las
aplicaciones que están corriendo en nuestra red. Recordemos que
los usuarios constantemente están instalando aplicaciones sin
notificar al área de sistemas y seguridad informática. Al saber qué
aplicaciones están instaladas, podemos identificar cuáles están
autorizadas para ejecutarse, y cuáles no. Esto nos permite
regularizar o eliminar a las que no estén autorizadas.
Ya que la función de esta categoría de software también es proteger

el endpoint, es común que los fabricantes de antimalware también
ofrezcan este tipo de solución.
CONTROL DE ACCESO A LA NUBE
Nombre en inglés: Cloud Access Security Broker (CASB)
El software de control de acceso a la nube (cloud access security

broker, CASB), nos permite regular quién tiene acceso a información
almacenada en sistemas hospedados en la nube, y qué datos se
pueden subir y descargar de estas aplicaciones en la nube. Es muy
similar a un sistema de prevención de pérdida de datos, pero 100%
enfocado en aplicaciones en la nube. Algunas soluciones también
proveen una calificación de riesgo para las aplicaciones en la nube.
CONTROL DE ACCESO A LA RED
Nombre en inglés: Network Access Control
El control de acceso a la red nos permite mantener a los usuarios y

dispositivos no autorizados fuera de una red privada. Las
organizaciones que brindan acceso ocasional a la red a ciertos
dispositivos o usuarios externos a la organización pueden usar el
control de acceso a la red para asegurarse de que estos dispositivos
cumplan con las normas de cumplimiento de seguridad corporativa.
De esta forma, la solución solo permite el acceso a recursos de TI
específicos, basados en reglas que filtran por tipo de usuario y tipo
de aparato.
De acuerdo con Cisco, un sistema de control de acceso a la red

tiene las siguientes funciones:
Gestión del ciclo de vida de las políticas: hace cumplir las

políticas para todos los escenarios operativos sin requerir
productos separados o módulos adicionales.
Creación de perfiles y visibilidad: reconoce y perfila a los
usuarios y sus dispositivos antes de que el código malicioso
pueda causar daños.
Acceso a redes de invitados: Administre invitados a través de un

portal de autoservicio personalizable que incluye registro de
invitados, autenticación de invitados, patrocinio de invitados y un
portal de administración de invitados.
Verificación de postura de seguridad: evalúa el cumplimiento de

la política de seguridad por tipo de usuario, tipo de dispositivo y
sistema operativo.
Respuesta ante incidentes: mitiga las amenazas de la red

mediante la aplicación de políticas de seguridad que bloquean,
aíslan y reparan las máquinas no conformes sin la atención del
administrador.
Integración bidireccional: integre con otras soluciones de red y

seguridad a través de la API abierta/RESTful.
CUMPLIMIENTO CON NORMAS
Nombre en inglés: Compliance Management
La gestión del cumplimiento con normas es el proceso continuo de

monitoreo y evaluación de los sistemas para garantizar que cumplan
con los estándares de seguridad y de la industria, así como con las
políticas y los requisitos normativos y corporativos. Este tipo de
soluciones nos ayudan a administrar este proceso.
DESTRUCCIÓN SEGURA DE DATOS
Nombre en inglés: Secure Data Destruction
El software de destrucción segura de datos nos permite administrar

el proceso de eliminación de datos de las computadoras y
servidores, antes de que nos deshagamos de ellos. Cuando
“borramos” un dato de un disco duro, en realidad no desaparece
totalmente, sino que el sistema operativo deja de indexarlo. Es
posible que nueva información se escriba encima, pero es posible
que permanezca. Si tiramos o vendemos esa computadora, alguien
puede utilizar software forense para extraer la información. Lo que el
software de borrado de datos hace es escribir datos al azar sobre
los datos grabados en el disco duro.
DETECCIÓN DE ROBO DE IDENTIDAD
Nombre en inglés: Identity Theft Detection
Los servicios de robo de identidad monitorean la información de

identificación personal en las solicitudes de crédito, registros
públicos, sitios web y otros lugares en busca de cualquier actividad
inusual que pueda ser un signo de robo de identidad.
Generalmente este tipo de servicios es para el consumidor final, ya

que generalmente el robo de identidad tiene fines económicos. Pero
también es importante implementar esta solución para los
empleados de la organización, sobre todo para aquellos con acceso
privilegiado a sistemas y datos sensibles, ya que, si un
ciberdelincuente logra robar su identidad, potencialmente podría
tener el poder de restaurar contraseñas en diferentes servicios en la
nube.
DETECCIÓN Y RESPUESTA EN EL PUNTO DE ACCESO
Nombre en inglés: Endpoint Detection and Response (EDR)
Esta es una solución integrada de seguridad que combina el

monitoreo continuo en tiempo real y la recopilación de datos de
puntos de acceso con capacidades de análisis y respuesta
automatizadas basadas en reglas. Estas soluciones detectan e
investigan actividades sospechosas en las máquinas, empleando un
alto grado de automatización para permitir que los equipos de
seguridad identifiquen y respondan rápidamente a las amenazas.
Las funciones principales de un sistema de seguridad EDR son:
Supervisión y recopilación de datos de actividad en puntos de

acceso que podrían indicar una amenaza.
Análisis de estos datos para identificar patrones de amenazas.
Respuesta automática a las amenazas identificadas para
eliminarlas o contenerlas, y notificar al personal de seguridad.
Análisis forense para investigar amenazas identificadas y buscar
actividades sospechosas.
DETECCIÓN Y RESPUESTA DE RED
Nombre en inglés: Network Detection and Response (NDR)
Este tipo de soluciones monitorean y analizan continuamente el

tráfico de red generar una base del comportamiento normal de la
red. Cuando se detectan patrones de tráfico de red sospechosos
que se desvían de esta línea base, las herramientas NDR alertan a
los equipos de seguridad sobre la posible presencia de amenazas
dentro de su entorno, para poder entonces responder a la amenaza.
DETECCIÓN Y RESPUESTA EXTENDIDA
Nombre en inglés: Extended Detection and Response (XDR)
Los sistemas de detección y respuesta extendida recolectan y

correlaciona eventos de seguridad tanto en puntos de acceso como
en la red, para así poder analizarlos, priorizarlos, y responder a
ellos. Se puede decir que este tipo de solución es la evolución de los
sistemas de detección y respuesta en el punto de acceso.
DIFERENCIAS ENTRE EDR, NDR, Y XDR
Vale la pena hacer la diferencia entre las soluciones de detección y

respuesta en el punto de acceso (EDR), detección y respuesta de
red (NDR), y detección y respuesta extendida (XDR).
Lo que hace similar a estas categorías de soluciones es la parte de

“detección y respuesta”. Su objetivo es detectar patrones inusuales
de comportamiento, y proveer los procesos para responder a las
amenazas, para neutralizarlas.
El diferenciador principal de estas soluciones es su alcance. Las

soluciones EDR cubren exclusivamente puntos de acceso,
principalmente PCs y servidores. Por otro lado, las soluciones NDR
se enfocan en el tráfico en la red. Y finalmente, XDR cubre tanto
puntos de acceso, tráfico de red, y aplicaciones.
DIODO DE DATOS
Nombre en inglés: Data diode
Estados de datos: tránsito máquina-máquina
Un diodo de datos es un dispositivo de hardware que a menudo se

denomina "firewall unidireccional". Se coloca entre dos redes con
diferentes niveles de seguridad y controla el flujo de información,
pero la información sólo puede viajar en una sola dirección. Esta
restricción de flujo no es controlada por software, sino por el
hardware mismo, por lo que no es susceptible a ser hackeado.
Una fibra óptica con un emisor en un lado y un receptor en el otro

asegura que los datos solo se puedan transferir hacia una dirección
y nunca de regreso. Esto significa que no hay transferencia
bidireccional, lo que evita que se produzcan fugas y manipulaciones.
El caso de uso principal es la transferencia de datos desde una red

de alta seguridad, usualmente una red de tecnología operacional
(operational technology, OT) a una red de menor seguridad que
puede estar expuesta a Internet.
Ve el siguiente diagrama:
La parte más sensible de esta organización es la red operacional de

las fábricas. Un ciberataque en este segmento de la red puede
causar disrupciones de manufactura, y hasta daños físicos. El
personal que opera la red de las fábricas tiene que enviar los datos
de la operación a la red corporativa, pero asegurarse que no pueda
haber ataques desde la red corporativa, la cual está expuesta a la
Internet. Al tener diodos de datos instalados entre la red de las
fábricas y la red corporativa, los datos operativos pueden fluir de las
fábricas al corporativo, pero no pueden fluir paquetes de
ciberataques desde la red corporativa hacia las fábricas, ya que el
diodo de datos es un aparato físico que sólo permite el flujo de
datos, en forma de luz, en una sola dirección. En dirección de salida,
al llegar los paquetes de TCP/IP al diodo de datos, sólo la
información es transferida, más no los paquetes. Y en dirección de
entrada, simplemente no puede fluir ni paquetes ni datos, porque a
nivel físico, la luz no puede fluir del receptor al emisor.
Hay otra categoría similar llamada “gateway unidireccional” que

cumple con la misma función, con la diferencia de que no utiliza un
diodo de datos, sino software. Esto la hace, en teoría, susceptible a
un ciberataque, a diferencia del diodo de datos , que, por ser
hardware, no puede ser hackeado.
ENCRIPTACIÓN DE DATOS EN MOVIMIENTO
Nombre en inglés: Data-in-motion Encryption
La encriptación de datos es la conversión de datos de un formato

legible a un formato codificado. Los datos encriptados sólo se
pueden leer o procesar una vez que se han descifrado.
El proceso de encriptado es el componente básico de la seguridad

de los datos. Es la forma más sencilla e importante de garantizar
que la información de un sistema informático no pueda ser robada ni
leída por alguien que quiera utilizarla con fines malintencionados.
Los datos se pueden encriptar en tránsito, y en reposo. La

encriptación en tránsito se hace cuando los datos se están
transmitiendo de un sistema a otro.
ENCRIPTACIÓN DE DATOS EN REPOSO
Nombre en inglés: Data-at-Rest Encryption
Como vimos en la sección de encriptación de datos en movimiento,

la encriptación de datos es la conversión de datos de un formato
legible a un formato codificado. Los datos encriptados sólo se
pueden leer o procesar una vez que se han descifrado.
La encriptación en reposo se hace cuando los datos se encriptan ya

sea cuando están en forma de archivo, o en una base de datos.
ENTRENAMIENTO A USUARIOS
Nombre en inglés: Security Training
El objetivo del entrenamiento a usuarios es reducir al mínimo el

factor del error humano en la seguridad informática.
Los ataques de phishing son la forma más común de ciberataque.

Hay reportes indicando que desde el 30% al 90% de todo
ciberataque comienza con un phishing. Es por esto que el
entrenamiento a usuarios es una de las prioridades más importantes
en la seguridad informática. El phishing es técnicamente un tipo de
ingeniería social, pero por su prevalencia y características técnicas
se clasifica por separado.
La ingeniería social también es común, y es cuando el usuario es

engañado para que revele sus contraseñas.
El mal uso de contraseñas ocurre cuando el usuario utiliza

contraseñas débiles, no cambia las contraseñas de fábrica, usa la
misma contraseña para diferentes sistemas, y nunca cambia sus
contraseñas.
Los errores de configuración son muchos y muy variados. Estos

ocurren cuando el personal técnico configura sistemas en forma
deficiente, permitiendo ciberataques o fugas de información.
Para mitigar los riesgos presentados por estos tipos de errores

humanos, debemos implementar un plan de concientización en
seguridad informática para los empleados.
Para el entrenamiento en contra de los ataques de phishing, hay

sistemas que pueden simular los ataques para entrenar a los
usuarios a no caer en ellos. Este tipo de software lo cubriremos en
la sección de “Pruebas de Phishing”, más adelante.
Con respecto a los cursos, hay muchos proveedores disponibles

que ofrecen cursos sobre el tema. Sin embargo, lo que se requiere
es tener una colección de cursos en un sistema de aprendizaje en
línea (LMS), por dos razones. Primero, porque es importante medir
los resultados y asegurarnos de que los usuarios realmente estén
aprendiendo, y segundo, porque este entrenamiento se tiene que
realizar dos veces al año. Esto se debe a que los usuarios tienden a
olvidar los principios de seguridad informática, y tienen que ser
entrenados continuamente para que mantengan estos principios en
mente.
Otro reto es que cada empresa puede tener necesidades diferentes

en cuestión de entrenamiento en seguridad informática. Hay
diferentes tipos de usuarios, de sistemas, y de niveles de riesgo, y
esto se tiene que tomar en cuenta a la hora de elaborar el plan.
Por lo tanto, la recomendación es contratar a una empresa de

consultoría especializada, y pedirle que desarrolle un plan de
concientización en seguridad informática diseñado específicamente
para la empresa.
ESCANEO DE APLICACIONES WEB
Nombre en inglés: Web Application Scanning
El software de escaneo de aplicaciones web escanea un sitio web

en busca de vulnerabilidades dentro de las aplicaciones web.
Después de analizar todas las páginas web y archivos detectables,
el escáner crea un mapa de la estructura de software de todo el sitio
web. Los escáneres de aplicaciones web realizan ataques
simulados contra una aplicación y analizan los resultados.
FIREWALL DE APLICACIONES WEB
Nombre en inglés: Web Application Firewall (WAF)
Un firewall de aplicaciones web bloquea ataques en contra de

aplicaciones web del tipo de inyección de SQL, cross-site scripting, y
varios más.
FIREWALL DE BASE DE DATOS
Nombre en inglés: Database Firewall
Los firewalls de bases de datos son un tipo de firewalls que

monitorean las bases de datos para identificar y proteger contra
ataques específicos. Los firewalls de bases de datos también
permiten monitorear y auditar todo el acceso a las bases de datos a
través de los registros que mantienen.
Los firewalls de base de datos incluyen un conjunto de políticas de

auditoría de seguridad personalizables y predefinidas y pueden
identificar ataques a bases de datos en función de incidentes o
patrones de amenazas anteriores llamados "firmas". Por lo tanto, las
consultas y declaraciones de SQL se comparan con estas firmas,
que los proveedores actualizan con frecuencia para identificar
ataques conocidos en la base de datos.
De igual forma, los firewalls de bases de datos tienen una lista de

comandos y declaraciones SQL aprobados que son seguros
(whitelist). Todos los comandos SQL se comparan con esta lista
aprobada, y solo aquellos que ya están presentes en la lista se
envían a la base de datos. Los firewalls de bases de datos también
pueden mantener una lista de ciertos comandos y declaraciones
SQL específicos y potencialmente dañinos y no permiten este tipo
de comandos (blacklist).
Algunos firewalls de bases de datos también pueden identificar

vulnerabilidades en el software de la base de datos, el sistema
operativo y el protocolo en las bases de datos. Algunos firewalls de
base de datos también pueden monitorear las respuestas de la base
de datos para bloquear posibles fugas de datos. Los firewalls de
bases de datos también pueden notificar las actividades
sospechosas, en lugar de bloquearlas de inmediato.
FIREWALL DE RED
Nombre en inglés: Network Firewall
Junto con el antimalware, los firewalls son la categoría más antigua

de software de seguridad informática.
Básicamente, Un firewall es un dispositivo de seguridad de red que

monitorea el tráfico de red entrante y saliente y permite o bloquea
paquetes de datos según un conjunto de reglas de seguridad. Su
propósito es establecer una barrera entre la red interna y el tráfico
entrante de fuentes externas (como Internet) para bloquear el tráfico
malicioso.
Los firewalls se dividen en 6 categorías:
1. Firewalls de filtrado de paquetes

2. Firewalls proxy
3. Firewalls NAT
4. Firewalls de aplicaciones web
5. Firewalls de siguiente generación
6. Firewalls de bases de datos
Los firewalls de filtrado de paquetes, el tipo de firewall más básico,

examinan los paquetes y evitan que se muevan si no se cumple la
regla de seguridad específica. La función de este firewall es realizar
una verificación simple de todos los paquetes de datos que llegan
del enrutador de la red e inspeccionar los detalles como la dirección
IP de origen y destino, el número de puerto, el protocolo y otros
datos a nivel protocolo de comunicación.
Los firewalls de filtrado de paquetes no abren paquetes de datos

para inspeccionar su contenido. Se descarta cualquier paquete de
datos que no supere la inspección simple.
Estos firewalls no consumen muchos recursos y tienen un bajo

impacto en el rendimiento del sistema. Su principal inconveniente es
que solo brindan protección básica y, por lo tanto, son más
vulnerables.
Los firewalls de filtrado de paquetes pueden ser con estado o sin

estado. Los cortafuegos sin estado solo analizan cada paquete
individualmente, mientras que los cortafuegos con estado, la opción
más segura, tienen en cuenta los paquetes previamente
inspeccionados.
Los firewalls proxy, también conocidos como firewalls a nivel de
aplicación, filtran el tráfico de red en la capa de aplicación del
modelo de red OSI. Como intermediarios entre dos sistemas, los
firewalls proxy monitorean el tráfico en la capa de aplicación (los
protocolos en esta capa incluyen HTTP y FTP). Para detectar tráfico
malicioso, se aprovechan tanto la inspección profunda como la de
estado.
Los firewalls de proxy normalmente operan en la nube o a través de

otro dispositivo de proxy. En lugar de permitir que el tráfico se
conecte directamente, se establece una conexión con la fuente del
tráfico y se inspecciona el paquete de datos.
La velocidad puede ser una debilidad clave de los firewalls proxy, ya

que el proceso de transferencia crea pasos adicionales que pueden
reducir la velocidad de transmisión de datos.
Los firewalls de traducción de direcciones de red (NAT) funcionan

asignando una dirección pública a un grupo de dispositivos dentro
de una red privada. Con NAT, las direcciones IP individuales están
ocultas. Por lo tanto, los atacantes que buscan direcciones IP en
una red no pueden descubrir detalles específicos.
Los firewalls NAT y los cortafuegos proxy actúan como
intermediarios que conectan grupos de dispositivos con tráfico
externo.
Los firewalls de aplicaciones web (WAF) son responsables de filtrar,

monitorear y bloquear paquetes de datos mientras viajan dentro y
fuera de sitios web o aplicaciones web. Un WAF puede residir en la
red, en el host o en la nube y normalmente se coloca delante de uno
o varios sitios web o aplicaciones. Los WAF están disponibles como
complementos de servidor, servicios en la nube o dispositivos de
red.
Un WAF es más similar al firewall proxy, pero tiene un enfoque más

específico en la defensa contra los atacantes basados en la web de
la capa de aplicación. Por esta razón, consideramos que las WAF
son una categoría aparte, por lo que las veremos a detalle más
adelante.
A medida que se intensifica el panorama de amenazas, el firewall de

próxima generación (NGFW) es el tipo de firewall más popular
disponible en la actualidad.
Gracias a las principales mejoras en el espacio de almacenamiento,

la memoria y las velocidades de procesamiento, los NGFW se
basan en las características de los firewalls tradicionales y agregan
otras funciones de seguridad críticas como prevención de
intrusiones, VPN, anti-malware e incluso inspección de tráfico
encriptado. La capacidad de NGFW para manejar la inspección
profunda de paquetes significa que el firewall puede descomprimir
los datos del paquete para evitar que los paquetes con datos
maliciosos avancen.
En comparación con los firewalls tradicionales, estos firewalls

brindan un amplio control y visibilidad de las aplicaciones, distinguen
entre aplicaciones seguras y peligrosas y evitan que el malware
ingrese a la red.
Los firewalls de base de datos filtran comandos de SQL maliciosos.

Ya que son un tipo de firewall especializado, lo consideramos como
una categoría por sí misma, y la estudiaremos más adelante.
GATEWAY DE SEGURIDAD DE LA WEB
Nombre en inglés: Secure Web Gateway (SWG)
Los gateway de seguridad de la web son soluciones de software o

hardware que actúan como intermediarios entre los usuarios y la
Internet, filtrando todo el contenido malicioso que pueda provenir del
uso de la web. También son conocidos como “proxies”.
Este tipo de soluciones filtra software no deseado del tráfico web

iniciado por el usuario y hace cumplir las políticas corporativas y
normativas. Incluyen funciones tal como filtrado de URL, detección y
filtrado de códigos maliciosos y controles de aplicaciones web.
Algunas soluciones también incluyen funciones de control de
pérdida de datos.
Los proxies se instalan como un componente de software o un

dispositivo de hardware en el borde de la red o en las máquinas de
los usuarios. Todo el tráfico hacia otras redes debe pasar a través
del proxy. El proxy monitorea este tráfico en busca de códigos
maliciosos, el uso de aplicaciones web y todas las conexiones URL
intentadas por usuarios o aplicaciones.
El proxy entonces comprueba o filtra las direcciones URL de los

sitios web con las listas almacenadas de sitios web conocidos y
aprobados; todos los demás que no están en las listas aprobadas
pueden bloquearse automáticamente, así como los sitios maliciosos
conocidos. Los filtros de URL que mantienen las direcciones web
permitidas se mantienen en listas blancas, mientras que los sitios
conocidos y prohibidos que están explícitamente bloqueados se
mantienen en listas negras.
MICROSEGMENTACIÓN
Nombre en inglés: Microsegmentation
La microsegmentación es un método de creación de zonas en redes

y entornos de nube para aislar el tráfico entre aplicaciones. Con la
microsegmentación, los administradores de sistemas pueden crear
políticas que limiten el tráfico de red entre aplicaciones según un
enfoque de Zero Trust. Las organizaciones utilizan la
microsegmentación para reducir la superficie de ataque de la red,
mejorar la contención de ciberataques y fortalecer el cumplimiento
normativo.
MONITOREO DE INTEGRIDAD DE ARCHIVOS
Nombre en inglés: File Integrity Monitoring (FIM)
El software de monitoreo de integridad de archivos nos permite

implementar un proceso que prueba y verifica el sistema operativo,
las bases de datos y los archivos de software de aplicación para
determinar si han sido manipulados o dañados. El software verifica y
valida estos archivos comparando las últimas versiones de ellos con
una versión base conocida y confiable. Si el software detecta que
los archivos se han alterado, actualizado o comprometido, genera
alertas para garantizar una mayor investigación y, si es necesario,
que se lleve a cabo una reparación. El monitoreo de la integridad de
los archivos abarca tanto la auditoría reactiva (forense) como el
monitoreo proactivo basado en reglas.
MONITOREO DE RIESGO DIGITAL
Nombre en inglés: Digital Risk Monitoring
Las soluciones de monitoreo de riesgo digital nos permiten revisar

constantemente recursos en Internet donde pueda haber algún tipo
de riesgo para la organización, ya sea fuga de datos, o algún riesgo
para la marca o usuarios. Por ejemplo, podemos monitorear
recursos como GitHub, sitios de pegado de datos (Pastebin, por
ejemplo), la dark web, dominios similares al nuestro, redes sociales,
buckets S3 de AWS, etc.
OCULTACIÓN DE DATOS
Nombre en inglés: Data Masking
La ocultación de datos es una forma de crear una versión falsa, pero

realista, de los datos de la organización. El objetivo es proteger los
datos confidenciales y, al mismo tiempo, brindar una alternativa
funcional cuando no se necesitan datos reales, por ejemplo, en la
capacitación de usuarios, demostraciones de ventas o pruebas de
software.
Los procesos de ocultación de datos cambian los valores de los

datos mientras usan el mismo formato. El objetivo es crear una
versión que no se pueda descifrar ni realizar ingeniería inversa. Hay
varias formas de alterar los datos, incluida la combinación aleatoria
de caracteres, la sustitución de palabras o caracteres y el cifrado.
OFUSCACIÓN
Nombre en inglés: Deception-Based Security
Las soluciones de ofuscación tienen la capacidad de implementar

redes simuladas para detectar ciberataques, y confundir a los
atacantes. La red simulada consiste en máquinas virtuales que se
ven idénticas a las máquinas reales dentro de la red, pero no
contienen procesos o datos reales, sino simulados. En otras
palabras, estas máquinas virtuales son señuelos. Cuando un
atacante entra a una red, su primera acción es explorar el entorno
con herramientas de ataque. Estas herramientas generan tráfico.
Cuando una de las máquinas virtuales señuelo del sistema de
ofuscación detecta tráfico, podemos estar 100% seguros que es
tráfico malicioso, porque no hay razón para que esa máquina virtual
esté recibiendo tráfico. Estas máquinas virtuales también pueden
ser interactivas, por lo que el atacante perderá tiempo intentando
hackearlas, lo que nos dará tiempo de responder y bloquear el
ataque.
ORQUESTACIÓN Y AUTOMATIZACIÓN DE INCIDENTES
Nombre en inglés: Security Orchestration, Automation and

Response (SOAR)
Los sistemas de automatización y orquestación de seguridad

(security orchestration, automation, and response, SOAR)
soluciones que permiten a las organizaciones optimizar las
operaciones de seguridad en tres áreas clave: gestión de amenazas
y vulnerabilidades, respuesta a incidentes y automatización de
operaciones de seguridad.
La automatización de la seguridad es el manejo automático de las

tareas relacionadas con las operaciones de seguridad. Es el
proceso de ejecutar estas tareas, como el análisis de
vulnerabilidades o la búsqueda de registros, sin intervención
humana. La orquestación de seguridad se refiere a un método para
conectar herramientas de seguridad e integrar sistemas de
seguridad dispares. Es la capa conectada la que agiliza los
procesos de seguridad y potencia la automatización de la seguridad.
PREVENCIÓN DE PÉRDIDA DE DATOS
Nombre en inglés: Data Loss Prevention (DLP)
Los sistemas de prevención de pérdida de datos bloquean la

exfiltración de información confidencial de nuestros sistemas. Estos
sistemas pueden ser configurados para detectar palabras clave y
patrones de datos, para detectar y bloquear cuando éstos están
siendo extraídos ya sea de computadoras y servidores en nuestra
red local, o en la nube. También procesos de aprendizaje de
máquina, los cuales aprenden los patrones normales de uso de
datos por parte de usuarios, y detecta y bloquea cualquier
desviación de este comportamiento base.
PRIVACIDAD DE DATOS
Nombre en inglés: Data Privacy
Acciones de ciberdefensa: identificar, proteger, detectar, responder,

recuperar
Las soluciones de administración de privacidad de datos nos

permiten administrar los procesos para el cumplimiento con las
regulaciones de privacidad de datos. Con estas soluciones podemos
administrar la implementación de cookies, notificaciones de
privacidad, detección de datos personales en la empresa, dar
respuesta a los requerimientos de información sobre datos de los
usuarios, y administrar eventos de filtración de datos.
PROTECCIÓN EN CONTRA DE DENEGACIÓN DE SERVICIO
Nombre en inglés: DDOS Protection
Un ataque de denegación de servicio (Denial of Service, DoS) es un

ataque destinado a inhabilitar una máquina o red, haciéndola
inaccesible para los usuarios legítimos. Los ataques de denegación
de servicio logran esto inundando el objetivo con tráfico o
enviándole información que desencadena un bloqueo. En ambos
casos, el ataque priva a los usuarios legítimos (es decir, empleados,
miembros o titulares de cuentas) del servicio o recurso que
esperaban.
Los ataques de denegación de servicio a menudo se dirigen a

servidores web de organizaciones de alto perfil, como empresas
bancarias, comerciales y de medios, u organizaciones
gubernamentales y comerciales. Aunque estos ataques no suelen
resultar en el robo o la pérdida de información importante u otros
activos, su manejo puede costarle a la víctima una gran cantidad de
tiempo y dinero. El objetivo de hacer estos ataques puede ser
extorsión, o puede ser con fines políticos.
PRUEBAS DE PENETRACIÓN AUTOMATIZADAS
Nombre en inglés: Automated Penetration Testing
Los sistemas de pruebas de penetración automatizadas nos

permiten automatizar los procesos de prueba de penetración. En
lugar de que un hacker ético haga la prueba de penetración, ésta es
hecha por el software. La ventaja de esto es que la prueba de
penetración es mucho más detallada (utilizando casi todos los
ataques catalogados en Mitre ATT&CK), rápida, y de menor costo.
Además, ya que es una prueba de penetración real, prácticamente
no tiene falsos positivos. El único detalle es que este tipo de
software no puede hacer la parte de ingeniería social.
Hay otra categoría similar (simulación de intrusión y ataque), que no

hace la prueba de penetración automática en sí, sino que la simula.
Este tipo de soluciones es más bien parecido un scanner de
vulnerabilidades, que además tiene la capacidad de simular si un
atacante tuviese la capacidad de acceder a los servidores
vulnerables, y llegar hasta servidores con información valiosa. Pero
en ningún momento implementa exploits reales, por lo que no es
una prueba de penetración real.
PRUEBAS DE PHISHING
Nombre en inglés: Anti-phishing Testing
El software de protección de email no es 100% efectivo. Esto quiere

decir que un porcentaje de los ataques de phishing podrán pasar los
filtros, y llegarán a los usuarios. El software de pruebas de phishing
nos permite enviar ataques de phishing simulados a nuestros
usuarios, para ver quién cae en el engaño, y poderlos educar al
respecto. Algunas de estas soluciones también incluyen lecciones
en línea de seguridad informática para el usuario.
RESPALDO DE DATOS
Nombre en inglés: Data Backup
Acciones de ciberdefensa: recuperar
El respaldo de datos es una actividad fundamental de administración

de sistemas. No sólo nos protege de pérdida accidental de datos
causada por fallas en equipos, sino también de ataques de
ransomware, cuyo objetivo es encriptar intencionalmente nuestra
información, para luego extorsionarnos para obtener la contraseña
de recuperación.
De acuerdo a Cloudian, tenemos 6 opciones para implementar un

proceso de respaldo de datos:
1. Medios extraíbles. Una opción simple es almacenar los datos en

medios como CDs, DVDs, USB drives, o cintas magnéticas.
Esto sólo es práctico para operaciones muy pequeñas.
2. Sistemas redundantes. Se puede configurar un disco duro
adicional con una copia exacta del sistema que se está
protegiendo. Esta es una técnica muy robusta, pero requiere
mucha administración.
3. Disco duro externo. Se puede instalar un disco duro externo en
la red para almacenar los respaldos, lo cual se puede hacer
manualmente o con software.
4. Dispositivos especializados (hardware appliances). Muchos
fabricantes ofrecen dispositivos especializados que se pueden
instalar en un rack. Se instalan agentes en los sistemas que se
van a respaldar, y se programan las frecuencias y datos de
respaldo.
5. Software de respaldo. Tienen la misma funcionalidad que el
dispositivo especializado, pero es sólo el software, por lo que
tenemos que instalarlo en nuestro propio hardware.
6. Respaldo en la nube. Muchos fabricantes ofrecen servicios de
respaldo en la nube (Backup as a Service, BaaS), lo que te
permite respaldar los datos en la nube. Para este tipo de
solución, hay que tomar en cuenta regulaciones en cuestión de
almacenamiento de datos fuera de sus instalaciones.
Una estrategia de respaldo 3-2-1 es un método que podemos utilizar

para asegurarnos que nuestros datos estén adecuadamente
duplicados y que sean fáciles de recuperar. En esta estrategia, tres
copias de los datos son creadas en por lo menos dos medios de
almacenamiento, y por lo menos una copia está almacenada en una
red remota.
Con las tres copias de los datos, nos aseguramos en contra del
riesgo de que una de las copias se dañe. De igual forma, al utilizar
dos medios de almacenamiento, nos protegemos del riesgo de que
uno de ellos falle. Y es muy importante tener una copia en una red
remota. Esto nos protege de desastres físicos en nuestra red local,
así como de ataques de ransomware, donde los ciberdelincuentes
podrían encriptar no sólo nuestros datos originales, sino también las
copias, lo cual ha ocurrido.
RESPUESTA A INCIDENTES
Nombre en inglés: Incident Response
El software de respuesta a incidentes nos permite administrar el

proceso de identificar, gestionar, registrar y analizar amenazas o
incidentes de seguridad en tiempo real. Busca brindar una visión
sólida y completa de cualquier problema de seguridad dentro de una
infraestructura de TI. Un incidente de seguridad puede ser cualquier
cosa, desde una amenaza activa hasta un intento de intrusión, un
ciberataque exitoso o una extracción de datos.
La respuesta a incidentes se centra en gran medida en resolver

incidentes rápidamente para garantizar que tanto los empleados
como los usuarios no se vean afectados por demasiado tiempo de
inactividad. Al identificar, gestionar, registrar y analizar amenazas o
incidentes de seguridad en tiempo real, la respuesta a incidentes de
seguridad proporciona una visión sólida y completa de cualquier
problema de seguridad dentro de una infraestructura de TI.
El proceso generalmente comienza con una alerta de que ha

ocurrido un incidente. Esto impulsa a la organización a reunir a su
equipo de respuesta a incidentes para investigar y analizar el
incidente a fin de determinar su alcance, evaluar los daños y
desarrollar un plan de mitigación.
Una vez que el equipo de respuesta a incidentes está en su lugar, el

plan de gestión de incidentes de seguridad ayuda a guiar al equipo
para detectar correctamente los incidentes de seguridad y
proporcionar una respuesta técnica para abordar los problemas con
prontitud. Los planes de gestión de incidentes de seguridad también
tienen en cuenta que otros departamentos trabajan en conjunto con
los equipos técnicos para garantizar que se realice un esfuerzo
coordinado para abordar el servicio o los problemas legales que
puedan surgir durante un ataque.
SEGURIDAD DE CONTENEDORES
Nombre en inglés: Container Security
El software de seguridad de contenedores (container security) nos

permite asegurarnos que la infraestructura sobre la cual están
instalados nuestros contenedores, tal como Docker, esté
configurada correctamente y no tenga vulnerabilidades o accesos
indebidos. También nos permite asegurarnos que los contenedores
en sí estén adecuadamente configurados, que no contengan
software vulnerable, y que la comunicación entre contenedores sea
segura.
SEGURIDAD DE DNS
Nombre en inglés: DNS Security
El software de seguridad de DNS nos permite proteger la integridad

y disponibilidad del servicio DNS, y evitar así ataques que puedan
cambiar su configuración, y redireccionar a usuarios a sitios web con
malware, o realizar una denegación de servicio.
SEGURIDAD DE EMAIL
Nombre en inglés: Email Security
El email es el vector de ciberataque principal. El objetivo del

software de protección de email es detener el spam, el envío de
archivos con malware, y los ataques de phishing. Este tipo de
software detecta estos ataques, y los filtra.
Las soluciones de email en la nube como Gmail y Office 365 ya

traen filtros bastante efectivos en contra de spam y ataques de
phishing. En el caso de las soluciones de email de instalación local
(on premise), algunas traen integradas funciones de antispam y anti
phishing, o se puede comprar software aparte.
SEGURIDAD DE INTERNET DE LAS COSAS y SCADA
Nombre en inglés: Internet of Things (IOT) Security
Acciones de ciberdefensa: detectar, proteger
La “Internet de las Cosas”, “Internet of Things, IOT” en Inglés, es un

concepto que se refiere a una interconexión digital de objetos
cotidianos con por medio de la Internet. Estos objetos pueden ser
cosas como ruteadores, cámaras, televisiones, termostatos,
alarmas, aparatos de cocina, aparatos médicos, vehículos, etc. La
cantidad de objetos IOT se cuenta en los miles de millones.
SCADA, por otro lado, es el acrónimo de “Supervisory Control and

Data Acquisition”, o “Supervisión, Control, y Adquisición de Datos”.
Este tipo de software y hardware es utilizado para supervisar y
controlar procesos industriales a distancia. Se puede decir que es
un tipo de IOT, pero especializado para funciones industriales. Los
ciberataques a sistemas SCADA son particularmente peligrosos, ya
que pueden causar daños en el mundo físico, como explosiones de
calderas, fugas de químicos, fallas eléctricas, etc.
De acuerdo a Thales, hay 6 grandes retos de seguridad en

IOT/SCADA:
1. Passwords débiles. Esto se debe a que en muchas ocasiones
los aparatos IOT vienen con contraseñas de fábrica, las cuales
no son cambiadas, o peor aún, contraseñas de hardware
(hardcoded) que no se pueden cambiar.
2. Falta de procesos de remediación de vulnerabilidades. La gran
ventaja, y al mismo tiempo, el gran riesgo de los aparatos IOT
es que están por todas partes. Por esto mismo, es fácil
perderles la pista, y olvidar que están conectados a la red. Si no
sabemos que los tenemos, no podemos remediar sus
vulnerabilidades. Y aun conociendo dónde están, es un reto,
porque muchos de ellos tienen sistemas operativos mínimos, o
propietarios, muchos de ellos firmware, lo cual complica el
proceso de escaneo y remediación. Como ejemplo, en una
ocasión, un ciberataque a un casino se hizo a través de un
termostato IOT dentro de una pecera.
3. Interfaces inseguras. Todos los aparatos IOT tienen algún tipo
de interfaz de administración, ya sea tipo línea de comandos,
API, o interfaz web. Muchas veces estas interfaces tienen un
proceso de autenticación débil, y los datos se transmiten sin
encriptar, por lo que las contraseñas pueden ser interceptadas.
4. Falta de protección de datos. Algunos aparatos IOT no encriptan
el flujo de datos adecuadamente, haciéndolos vulnerables a su
intercepción.
5. Falta de administración de aparatos IOT. Es común que
empleados conecten aparatos IOT sin informarles al área de
sistemas o seguridad informática. Por eso es importante tener
un proceso de descubrimiento de aparatos IOT continuo.
6. Falta de entrenamiento en IOT. Por lógica, una causa
fundamental de estos problemas es la falta de capacitación en
temas de seguridad de IOT/SCADA.
SEGURIDAD DE LA NUBE
Nombre en inglés: Cloud Security
Acciones de ciberdefensa: detectar, proteger
Las soluciones de seguridad de la nube nos ayudan a proteger los

sistemas y datos que tengamos implementados en la nube. Esta es
una categoría de soluciones cada vez más amplia, ya que cada vez
más los sistemas de las organizaciones están migrando hacia la
nube. Hasta cierto punto, esta categoría es ya demasiado genérica,
cubriendo todo tipo de soluciones, inclusive aquellas que con
anterioridad solo se utilizaban en redes locales. Llegará un momento
en que prácticamente todas las organizaciones tendrán el 100% de
TI en la nube, y la categoría de “seguridad en la nube” será lo
mismo que “seguridad informática”, por lo que se dejará de utilizar.
Por el momento la incluimos ya que se sigue tomando como una
categoría independiente.
Cada una de las plataformas PaaS (AWS, Azure, Google Cloud)

tienen soluciones de seguridad integradas a sus ofertas, tal como
cloud firewall, CASB, antimalware, etc. Muchas de estas soluciones
son partes integrales de la oferta del proveedor. De igual forma, un
alto porcentaje de los proveedores de software de seguridad
informática ofertan sus soluciones en forma virtualizada, para ser
usados dentro de Azure, AWS, y Google Cloud.
SEGURIDAD DE MÁQUINAS VIRTUALES
Nombre en inglés: Virtual Machine Security
El software de seguridad de máquinas virtuales (cloud workload

security), nos permite asegurarnos que las aplicaciones que
tenemos instaladas y corriendo en máquinas virtuales estén
adecuadamente configuradas, no tengan vulnerabilidades, y sólo
puedan ser accedidas por usuarios y procesos autorizados.
SEGURIDAD DE REDES SOCIALES
Nombre en inglés: Social Network Security
Estados de datos: tránsito usuario-máquina
La seguridad en redes sociales consiste en mantener la información

de nuestra organización y usuarios segura cuando éstos accedan a
redes sociales como Facebook, LinkedIn, Instagram, etc. Es
básicamente un proceso de ciberinteligencia enfocada a redes
sociales. Queremos asegurarnos de que nuestros usuarios no estén
publicando información confidencial sobre nuestra organización, o
información que pueda afectar a nuestras marcas. De igual manera,
queremos asegurarnos de que nadie esté haciéndose pasar por uno
de nuestros empleados, o tratando de engañarlos con ataques de
ingeniería social por medio de las redes sociales.
Algunas soluciones están especialmente diseñadas para resolver

este problema. Pero también se pueden utilizar soluciones más
generales de ciberinteligencia. De igual manera, algunas soluciones
de entrenamiento de phishing también incluyen lecciones de cómo
permanecer seguros en redes sociales.
SEGURIDAD FÍSICA
Nombre en inglés: Physical Security
Las soluciones de seguridad física nos ayudan a regular el flujo de

personas y equipo dentro de nuestra organización. Este tipo de
soluciones se dividen en:
Sistemas de control de acceso (uso te tarjetas, biométricos,

contraseñas, etc.)
Sistemas de video vigilancia
Sistemas de alarmas
Sistemas de gerencia de visitantes
SEGURIDAD INALÁMBRICA
Nombre en inglés: Wireless Security
Los sistemas de seguridad inalámbrica ayudan a prevenir el acceso

no autorizado a redes inalámbricas. Aparte de los mismos riesgos
de una red alámbrica (ethernet, por ejemplo), las redes inalámbricas
tienen el riesgo extra de que los paquetes de datos están volando
por el aire, y pueden ser capturados por cualquiera.
Por esta razón, las redes inalámbricas nos presentan tres grandes
retos:
1. Debemos asegurarnos de que los protocolos de encriptación

sean robustos, y que las contraseñas sean fuertes.
2. Debemos asegurarnos de que la señal de WiFi no salga de
nuestros edificios, y esté disponible para ser accedida por
atacantes potenciales. Se han realizado ciberataques
importantes con el atacante sentado en un coche en el
estacionamiento de la compañía objetivo, con una laptop,
leyendo y atacando el tráfico WiFi.
3. Debemos asegurarnos de que los atacantes no instalen puntos
de acceso WiFi falsos dentro o cerca de nuestras instalaciones,
que puedan engañar a nuestros usuarios para luego robarles
sus contraseñas.
Hay dos grandes categorías de sistemas de seguridad inalámbrica:
1. Sistemas activos: este tipo de soluciones bloquean tráfico

sospechoso en la red WiFi.
2. Sistemas pasivos: este tipo de soluciones detectan y reportan
tráfico sospechoso en la red WiFi.
SEGURIDAD MÓVIL
Nombre en inglés: Mobile Security
Las características de las soluciones de seguridad móvil son

básicamente el mismo que la categoría de software de antimalware;
después de todo, los celulares y tablets también son endpoints
(aparatos con los que interactúan los usuarios). Por lo tanto, no es
sorpresa que muchos de los proveedores de antimalware también
tienen versión para plataformas móviles, aunque también hay
fabricantes especializados en esta categoría.
SIMULACIÓN DE INTRUSIÓN Y ATAQUE
Nombre en inglés: Breach and Attack Simulation
Este tipo de soluciones nos permiten simular ciberataques en

nuestra red, para poder analizar cuál podría ser la ruta del ataque.
La solución consiste en agentes que se instalan en los servidores, y
detectan sus vulnerabilidades. De igual forma, detectan las
conexiones de red, por lo que pueden deducir que, si un servidor es
vulnerable, y está conectado a otros servidores vulnerables, un
atacante podría brincar a esos servidores. De esta forma deduce
líneas de ataque posibles.
Esta categoría no debe confundirse con la categoría de pruebas de

penetración automatizadas, un error común. Las soluciones de
simulación de intrusión y ataque solo simulan el ataque, deduciendo
las vulnerabilidades de vectores servidor-servidor. Por otro lado, las
soluciones de pruebas de penetración automatizadas realizan
ciberataques 100% reales, como un hacker ético.
SISTEMA DE PREVENCIÓN DE INTRUSIÓN
Nombre en inglés: Intrusion Prevention and Detection System
Un sistema de prevención de intrusión analiza el tráfico de la red,

tanto de lo que entra y sale, como lo que se transmite internamente,
para detectar patrones de tráfico sospechosos que puedan ser un
ciberataque. Además de detectar, estos tipos de sistemas también
tiene la opción de bloquear el tráfico del ciberataque.
Hay dos tipos de sistemas de prevención de intrusión: basados en

patrones (signatures), y basados en comportamiento anómalo.
Los sistemas de prevención de intrusión basados en patrones son

programados para detectar secuencias específicas dentro de los
protocolos de comunicación de red, ya que hay ciertas secuencias
típicas de un ciberataque.
Por otro lado, los sistemas de prevención de intrusión basados en

comportamiento anómalo utilizan aprendizaje de máquina para
reconocer qué patrones de comunicación son normales dentro de la
red, y así poder detectar desviaciones que puedan indicar un
ciberataque. Esta subcategoría está evolucionando, y también se le
conoce como “User and Entity Behavior Analytics (UEBA)”, o
“Analítica de Comportamiento de Entidades y Usuarios”.
De acuerdo a NIST, los sistemas de prevención de intrusión también

se pueden clasificar en las siguientes cuatro categorías:
1. Sistema de prevención de intrusiones basado en la red (NIPS):

monitorea toda la red en busca de tráfico sospechoso mediante
el análisis de la actividad del protocolo.
2. Sistema inalámbrico de prevención de intrusiones (WIPS):
supervisa una red inalámbrica en busca de tráfico sospechoso
mediante el análisis de los protocolos de red inalámbrica.
3. Análisis del comportamiento de la red: examina el tráfico de la
red para identificar amenazas que generan flujos de tráfico
inusuales, como ataques distribuidos de denegación de servicio
(DDoS), ciertas formas de malware y violaciones de políticas.
Sistema de prevención de intrusiones basado en host (HIPS): un

paquete de software instalado que monitorea una sola máquina
(host) en busca de actividad sospechosa mediante el análisis de
eventos que ocurren dentro de la misma.
CONCLUSIÓN
Espero que este libro te haya sido de utilidad. Recuerda que el

conocimiento no es útil, hasta que no lo pones en práctica. Con lo
que has aprendido en este libro, podrás implementar un programa
de seguridad informática ágil en tu organización.
Si tienes cualquier comentario, duda o sugerencia, nos puedes

contactar en info@ciberdefensa.org
Estaremos actualizando el libro con cierta frecuencia. Te

notificaremos por email cuando haya versiones nuevas, o puedes
descargar la versión más reciente aquí:
https://ciberdefensa.org/forma-libro-sia
Si encontraste este libro útil, tal vez quieras hacer una pequeña
donación para ayudar al Instituto de Ciberdefensa a seguir creando
contenido:
https://ciberdefensa.org/donacion
También nos puedes ayudar recomendándole a tus colegas que

descarguen el libro. Les puedes enviar esta liga:
https://ciberdefensa.org/forma-libro-sia
En esta liga puedes ver los cursos ofrecidos por el Instituto de
Ciberdefensa:
https://campus.ciberdefensa.org/
Este es nuestro canal de YouTube:
https://www.youtube.com/c/InstitutodeCiberdefensa
Y nos puedes contactar en LinkedIn aquí:
https://www.linkedin.com/company/instituto-de-ciberdefensa
Y seguir en Twitter:
https://twitter.com/InstitutoCiber

Principios de Seguridad Informátca Ágil V1.0 Mayo2022

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Principios de Seguridad Informátca Ágil V1.0 Mayo2022

Cargado por

Copyright:

Formatos disponibles

PRINCIPIOS DE SEGURIDAD

Versión 1.0, Mayo 2022

Descarga la versión más reciente en: https://ciberdefensa.org/forma-

Bienvenid@ al libro “Principios y Práctica de Seguridad Informática

El objetivo de este libro es darte los conocimientos fundamentales

1. Los sistemas de tecnología de información

El tema de la seguridad informática es mucho más amplio que esto;

Una característica de este libro es su enfoque práctico. Hay muchos

En este capítulo cubriremos los siguientes temas:

Los sistemas de TI como herramienta de las empresas

Una organización o empresa es un conjunto de personas trabajando

Y es por esto por lo que es tan importante la seguridad informática.

Desde el punto de seguridad informática, las organizaciones o

El primer objetivo que se nos viene en mente es el dinero, por

También tenemos los ataques de ransomware. En este tipo de

El segundo tipo de recurso que puede ser el objetivo de un

El tercer tipo de recurso que es atacado por ciberdelincuentes son

Los datos de una organización se dividen en tres categorías:

Los datos en reposo son aquellos que se encuentran almacenados.

Los datos en tránsito son aquellos que están siendo transmitidos

En este capítulo cubriremos los siguientes temas:

Errores que permiten los ciberataques

Hay tres grandes categorías de errores que permiten que ocurran

Veamos cada uno en detalle.

Los errores de programación son los más complejos. Estos ocurren

Un lenguaje de programación, entre más cercano esté al lenguaje

Por otro lado, tenemos los lenguajes “interpretados”. Este tipo de

Entonces, la ventaja principal de los lenguajes compilados es su

Veamos un ejemplo. Digamos que un programa de contabilidad

Hay muchas otras razones por la cual puede haber vulnerabilidades

Para el caso de software comercial, nuestra única defensa es el uso

A diferencia de los errores de programación, los errores de

La cantidad de errores de configuración que pueden resultar en un

Un error común es dejar las contraseñas predeterminadas con las

Otro error de configuración común es dejar servicios abiertos en

Otro problema de configuración común son los usuarios con

El no encriptar información importante también es un error de

La mejor forma de controlar el riesgo de errores de configuración es

Los errores humanos son de hecho, la causa principal de los

El error humano ocurre cuando un usuario es engañado por el

El método más común se llama “phishing”. Este tipo de ciberataque

Otra forma de ataque común es una llamada telefónica, donde el

Hay soluciones de seguridad informática que nos ayudan a mitigar

El otro método de mitigación que debemos implementar es el

Con anterioridad vimos que los objetivos formales de la seguridad

Mantener la integridad quiere decir que solo los usuarios

La disponibilidad se mantiene cuando los datos correctos están

Por lógica, cada uno de estos conceptos tienen su opuesto.

El concepto opuesto a la confidencialidad es la extracción de datos.

El concepto opuesto a la integridad es la modificación de datos. Esto

El concepto opuesto a disponibilidad de datos es cuando un

En resumen, toda acción de ciberdefensa debe estar enfocada

En términos generales, hay cuatro grandes superficies de ataque

La mente del usuario

La mente del usuario es generalmente el eslabón más débil de la

Después tenemos los puntos de acceso. Los puntos de acceso son

Y finalmente tenemos la cadena de suministro. Esto se refiere al

En esta sección veremos qué software y hardware se puede utilizar

LA MATRIZ DE ATAQUE DE MITRE

La Matriz de Ataque de Mitre una base de conocimiento de tácticas

Estas fases ocurren más o menos en secuencia, pero no siempre. A

Durante esta fase, el ciberdelincuente está tratando de recopilar

El reconocimiento consiste en técnicas de recopilación de

El ciberdelincuente puede aprovechar esta información para