Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción y Preliminares
Andrés del Villar León
Acerca del profesor
• Informe 1, semana 10
• Descripción general de la institución. Explicación de los
principales desafíos.
• Malware detectados y posibles.
• Vulnerabilidades de seguridad detectadas
• Elementos de Criptografía que propone utilizar y su
forma de uso
• Vulnerabilidades en las redes de la empresa y posibles
vulnerabilidades detectadas en el Software que utiliza
la empresa.
Trabajo Semestral
• Informe 2, semana 14
• Información del informe 1, considerando el feedback
entregado
• Sugerencias para la Gestión de Seguridad
• Manejo de Datos Personales
• Tópicos modernos de seguridad en la empresa y sus
vulnerabilidades
• Factor humano en la seguridad de la empresa
Trabajo Semestral
• Informe final
• Información del informe 2, considerando el feedback
entregado, haciendo énfasis en las propuestas y
recomendaciones.
• Video de 3 minutos con las propuestas
Trabajo Semestral
Evaluación
• Informe 1 = Informe (35%) + Presentacion (45%) +
feedback a los otros grupos (25%)
• Informe 2 = Informe (35%) + Presentacion (45%) +
feedback a los otros grupos (25%)
• Informe final = Informe (40%) + Presentacion (45%)
+ Video (15%)
Capture the Flag
• Se publicarán en Webcursos
• Se realizan en la plataforma root.me
Noticias del Mes
• Wireshark
• Kali Linux
• Cyberchef
En esta sesión
• Es un bien
• Tiene valor
• Requiere almacenamiento
• Requiere ser transmitida
• Puede ser clasificada
• Requiere ser protegida
¿Qué es la Seguridad de la Información?
Seguridad de la Información
Confidencialidad
Disponibilidad
secreto, privado Integridad
exactitud, autenticidad accesibilidad, recuperación
La triada CIA
Seguridad de la Información
Confidencialidad
Disponibilidad
• La información sólo puede ser visible para Integridad
• La información no debe ser alterada por • La información debe estar siempre disponible
quien corresponda. terceros • Uptime
• Control de acceso • Autenticidad • Redundancia
• Encriptación • No repudiación
• SLA
• Esteganografía • DoS
La triada CIA
Seguridad de la Información
Confidencialidad
Disponibilidad
Divulgación Alteración Destrucción
• Prevenir
• Proteger porque la organización fue comprometida
• Otros me lo exigen:
• Auditorias internas
• SOX
• PCI
• Otras certificaciones
Excusas clásicas para no aplicar
seguridad
𝐵! + 𝐵" > 𝐶# + 𝐶$ 𝑃% 𝑃$
𝐵! + 𝐵" > 𝐶# + 𝐶$ 𝑃% 𝑃$
⇒ 𝐵! + 𝐵" > 𝐶#
Seguridad 100% es una falacia
𝐵! + 𝐵" > 𝐶#
• Seguridad 100%: 𝐶# → ∞
• Spoofing
• Tampering
• Repudiation
• Information Disclosure
• Denial of Service
• Elevation of Privilege
• Identidad
• Paquetes de red
• Archivos
• Software
• Paquetes de red
• Archivos
• Software
• Imposibilidad de demostrar
que no se realizó una
determinada acción
• Registros de log alterados
• Apagado de sistema
• Consumo excesivo de
recursos
• XSS
• SQL Injection
• Mal diseño de privilegios
• Hacker
• Alguien que logra ingresar a un sistema informático ajeno.
• Cracker
• Lo hace con fines ilícitos
• Script Kiddie
• Logró introducirse a un sistema informático ajeno, utilizando
herramientas, tutoriales e información generada por otro,
normalmente no tiene conocimiento técnico detallado
¿Quiénes son los atacantes?
• Empleado (o ex-empleado)
• Cibercriminal
• Ciberactivista
• Auspiciador Estatal
• Espía Corporativo
¿Qué facilita un ataque?