Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CertiProf® es un Instituto examinador fundado en los Estados Unidos en el año 2015 y que se
encuentra actualmente localizado en Sunrise, Florida.
Nuestra filosofía se basa en la creación de conocimiento en comunidad y para ello su red colaborativa
está conformada por:
• Los candidatos a la certificación CLL (CertiProf Lifelong Learners) se identifican como Aprendices
Continuos, lo que demuestra su compromiso inquebrantable con el aprendizaje permanente, que es
de vital importancia en el mundo digital en constante cambio y expansión de hoy. Independientemente
de si ganan o no el examen
• Las universidades, centros de formación y facilitadores de ATP (Accredited Trainer Partners) en
todo el mundo conforman nuestra red de socios
• Los autores (co-creadores) son expertos de la industria o practicantes que, con su conocimiento,
desarrollan contenidos para la creación de nuevas certificaciones que respondan a las necesidades
de la industria.
• Personal Interno: Nuestro equipo distribuido con operaciones en India, Brasil, Colombia y Estados
Unidos está a cargo de superar obstáculos, encontrar soluciones y entregar resultados excepcionales
2
Agile Alliance
https://www.agilealliance.org/organizations/
certiprof/
Credly
CertiProf® es socio de Credly.
3
Insignia
https://www.credly.com/org/certiprof/badge/cyber-security-foundation-professional-certificate-
csfpc
Lifelong Learning
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Criterios de Adquisición:
• Ser candidato a la certificación CertiProf
• Ser un aprendiz continuo y enfocado
• Identificarse con el concepto de aprendizaje
permanente
• Creer e identificarse realmente con el concepto
de que el conocimiento y la educación pueden
y deben cambiar el mundo
• Quiere impulsar su crecimiento profesional
4
¿Quién debe asistir a este taller de certificación?
• Todos
• Usuarios Finales
• Gerentes
CSFPC™
• Duración: 12 horas
• Idioma: Español
• Formatos de la Clase:
• Instructor-guiada
• Autoestudio
• Prerrequisitos:
• Ninguno — Nivel Inicial
• Exámenes Aplicables:
• CertiProf Certified Cyber Security Foundation
Presentación
Compañía
Cargo
Experiencia
Expectativas
5
Metodología del Curso
Presentación Videos
Ejemplos
Actividades
Contenido
• Módulo 0: NIST - Ciberseguridad para Negocios Pequeños
• Módulo 1: CyBOK – Fundamentos de la Ciberseguridad
• Módulo 2: Gestión de Riesgos
• Módulo 3: Leyes/Reglamentación
• Módulo 4: Factores Humanos
• Módulo 5: Privacidad & Derechos en Línea
• Módulo 6: Malware(programas malignos) & Tecnologías de Ataque
• Módulo 7: Conductas Adversas
• Módulo 8: Operaciones de Seguridad y Gestión de Incidentes
• Módulo 9: Examen de Certificación
6
Objetivos de Aprendizaje
7
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
8
AGENDA
9
Recuperar 36
Muestra de Actividades de Recuperación 37
Marco de Trabajo 37
Tips Cotidianos 38
Recursos 38
Módulo 1: CyBOK – Fundamentos de Ciberseguridad 39
Definición de Ciberseguridad 40
Áreas de Conocimiento CyBOK 41
Cómo Desplegar Conocimiento CyBOK para Resolver Problemas de Protección (Security) 43
Funciones Dentro de un Sistema de Gestión de Protección (Security) 45
Principios 45
Tema Interdisciplinario 47
Ciberespacio 50
Módulo 2: Gestión de Riesgos 51
Temas a Tratar en esta Lección 52
¿Qué es el riesgo? 52
¿Por qué la evaluación y la gestión del riesgo son importantes? 53
¿Qué es la evaluación y gestión del riesgo cibernético? 55
Gobernanza de Riesgo 55
El Factor Humano y Comunicación del Riesgo 56
Cultura de Seguridad y Conciencia 57
Promulgación de la Política de Seguridad 57
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
10
Fuera del Alcance 68
Principios Introductorios de la Ley e Investigación Legal 69
“Para Probar” Algo 69
“Niveles” de Pruebas 70
Aplicando el Derecho al Ciberespacio y las Tecnologías de la Información 70
Distinguiendo el Derecho Penal y Civil 71
Jurisdicción 71
Una Taxonomía de Jurisdicción 72
Jurisdicción Legislativa (Prescriptiva) 72
Jurisdicción de Ejecución 72
El Problema de la Soberanía de los Datos 73
Leyes de Privacidad en General e Interceptación Electrónica 73
Interceptación Estatal (Acceso Legal) 74
Interceptación No Estatal 74
Protección de Datos 75
Los “Jugadores” 75
¿Qué se regula? 76
“Datos Personales” vs “PII” 76
Puntos Destacados de la Protección de Datos 77
Delitos Informáticos 77
Crímenes en Contra de los Sistemas de Información 78
Desafíos Recurrentes 78
11
Otras Cuestiones Normativas 86
Ley Pública Internacional 87
Atribución Estatal 87
Operaciones de un Único Lugar 87
Ética 88
Códigos de Conducta 88
Pruebas de Vulnerabilidad y Divulgación 89
Gestión del Riesgo Legal 89
Módulo 4: Factores Humanos 90
Introducción 91
Factores Humanos 91
La Protección (Security) Debe Ser Utilizable 91
Adaptar la Tarea al Ser Humano 92
Capacidades y Limitaciones Humanas 92
STM Y One-time password (OTPs) 93
Capacidades y Limitaciones Humanas Generales 93
CAPTCHA 93
Metas y Tareas 94
Capacidades y Limitaciones del Dispositivo 94
Error Humano 95
Condiciones de Diseño Latentes 95
Conciencia y Educación 95
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Sensibilización y Educación 96
¿Qué problemas de utilización enfrentan los desarrolladores? 97
¡Los Desarrolladores no son el Enemigo! La Necesidad de APIs de Protección (Security) xxxxxxx
xxxxxxxUtilizables 97
La Utilización Huele: Un Análisis de la Lucha de los Desarrolladores con las Bibliotecas
xxxxxxx Criptográficas 98
Módulo 5: Privacidad y Derechos en Línea 99
Introducción 100
Visión General 100
Privacidad como Confidencialidad 100
¿Cuál es el problema? 101
¿Qué es la privacidad? 101
Definiendo la Privacidad 102
Privacidad como… 102
Privacidad como Transparencia 102
Privacidad como Control 102
Límites del Control y Transparencia 103
12
Privacidad como Confidencialidad 103
Panorama de Amenazas a la Privacidad 103
Enfoque Formal para el Control de Inferencia 103
Privacidad como Confidencialidad 104
Confidencialidad de Datos 104
Confidencialidad de Metadatos 107
Privacidad como Control 108
Privacidad como Transparencia 108
Tecnologías de Privacidad 108
Ingeniería de la Privacidad 109
Evaluación de la Privacidad 110
Conclusiones 110
Módulo 6: Malware y Tecnologías de Ataque 111
Introducción 112
Malware 112
Taxonomía del Malware 112
Taxonomía del Malware: Dimensiones 113
Taxonomía: Ejemplos 113
Programas Potencialmente No Deseados (PUPs) 114
Actividades Maliciosas del Malware 114
El Modelo Cyber Kill Chain 115
Ecosistema Clandestino 116
13
Respuesta del Malware 124
Interrupción de las Operaciones de Malware 125
Atribución 125
Evasión y Contramedidas 126
Conclusión 126
Módulo 7: Comportamiento Adverso 128
Introducción 129
Una Caracterización de Adversarios 129
Agresores Interpersonales 130
Delincuentes Organizados Cibernéticos 130
Hacktivistas 131
Actores Estatales 131
Los Elementos de una Operación Maliciosa 132
Servicios Especializados 132
Servicios Humanos 133
Métodos de Pago 133
Modelos para Entender las Operaciones Maliciosas 133
Árboles de Ataque: Ejemplo de un Ataque 134
Cyber Kill Chain 134
Criminología Ambiental 135
Atribución de Ataque 136
Módulo 8 : Operaciones de Seguridad y Gestión de Incidentes 137
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Introducción 138
¿De qué se trata? 138
Cronología y Alcance 138
Blucle MAPE-K General 139
Componentes de MAPE-K Supervisar-Analizar-Planificar-Ejecutar 139
Despliegues de las Tecnologías SOIM 140
Principios de Arquitectura - Arquitectura Típica 140
Detección de Intrusos y Sistemas de Prevención 141
MONITOR: Fuentes de Datos 141
Fuentes de Datos de Red: Posibles Detecciones 142
Fuentes de Datos de Aplicación 142
Fuentes de Datos del Sistema 142
Syslog 143
Problemas Frecuentes de Fuentes de Datos 143
Análisis de Rastros 143
Del Evento al Incidente 144
Detección de Uso Indebido 144
14
Detección de Anomalías 145
Problemas Generales en la Detección de Intrusos 145
Arquitectura Típica Información de Seguridad y Gestión de Eventos 145
Recolección de Datos en SIEM 146
Correlación de Alerta 146
Mitigación y Contramedidas Herramientas y Técnicas 147
Inteligencia y Análisis 147
Ciclo de Vida de la Gestión de Incidentes 148
Conclusión 148
Módulo 9: Examen de Certificación 149
Insignia 150
Condiciones del Examen 150
15
Módulo 0: NIST -
Ciberseguridad para
Negocios Pequeños
Ciberseguridad para Pequeños Negocios
Más
Informe Entre Agencias NIST 7621, revisión 1
Seguridad de la Información de un Negocio Pequeño : Los Fundamentos
Sección 1: Panorama General: ¿Qué es Seguridad de Información y
Ciberseguridad?
https://doi.org/10.6028/NIST.IR.7621r1
17
Objetivos de Ciberseguridad
A D Más
I A LID Publicación
C
FI DEN Especial de NIST
CON
800-12, revisión 1
INT Una introducción a la
EG R
IDA Protección (security)
D de Información
Sección 1.4
ID AD
IBIL
P O N
DIS
Confidencialidad
Ejemplo:
El criminal roba los nombres
de usuarios, contraseñas o la
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
18
Integridad
Ejemplo:
Alguien altera la información
de la nómina o de un diseño
de producto propuesto.
INT
EG R
IDA
D
Disponibilidad
Ejemplo:
ID AD
IBIL
PO N
DIS
19
Pequeño Negocio, Alto Impacto
Los atacantes pueden Los ataques pueden ser Los clientes y los
ver a los negocios extremadamente costosos empleados esperan y
pequeños como y amenazar la viabilidad creen en usted para
objetivos fáciles. de su negocio. mantener su
información segura.
20
Amenazas a la Ciberseguridad
Ejemplo:
Un correo electrónico sobre un envío atrasado hace que usted haga click a un enlace y descargue un
malware a su red.
Ransomware
• Tipo de software con una intención maliciosa y una amenaza de hacer daño a sus datos
• El autor o el distribuidor solicita un rescate para deshacer el daño
• El pago del rescate no garantiza que funcionará
• El rescate a menudo se necesita pagar en cripto-moneda
Ejemplo:
WannaCry fue uno de los ataques de ransomware más devastadores en la historia, afectó a varios
cientos de miles de máquinas y bancos paralizados, organismos policiales, y otras infraestructuras.
21
Hacking
Ejemplo:
Se hackeó el sistema de punto de ventas del kiosco para diarios; se instaló malware. La información de
las tarjetas de crédito de cada cliente se envió a criminales.
Ejemplo:
Estafas del Servicios de Rentas Internas (IRS, por sus siglas en inglés) – Recibe una llamada telefónica
asegurando ser el IRS, reportando que usted debe dinero y que debe pagar de lo contrario recibirá una
multa.
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Amenazas Naturales
• Amenazas naturales tales como incendios, sismos, inundaciones que pueden causar daños a
computadoras o interrumpir el acceso al negocio
• Los esfuerzos de recuperación atraen estafas tales como fraudes financieros
• Los tiempos de paro pueden provocar pérdidas de compradores, clientes que no pueden esperar
Ejemplo:
La inundación de la ciudad de Ellicott barrió con los negocios y sus computadoras.
22
Elementos de Riesgo
Impacto de un Incidente
23
Amenazas Vulnerabilidades
Ambiental
Debilidades en las protecciones
Recursos de Negocios
de seguridad (security)
Hackers/Criminales
RIESGO
Figura 2: Cómo se determina el riesgo de las Amenazas, Vulnerabilidades, Probabilidades e Impacto
24
1. Identifique los Activos de su Negocio
Liste los tipos de información, procesos, personas importantes y tecnología de los que dependa su
negocio.
Información del
Empleados clave
cliente También considere los
procesos de negocios
Información bancaria Proceso de fabricación críticos como las
ventas y el
presupuesto.
Tecnología patentada
25
Identifique los valores de los activos en la hoja de
Activo Valor de los Activos
cálculo.
• Seleccione una escala de valor para el activo
que le funcione a usted (Ej., bajo, medio, alto o Información sobre la Alto, debido a las
salud del paciente regulaciones
un rango numérico como 1-5)
Dispositivos que
almacenan información
del paciente (laptops, Medio
servidores en closet,
dispositivos móviles)
Procesamiento de
reclamos de los pacientes Alto
para el seguro
Proveedor de correo
electrónico por parte de Medio
un tercero
Dispositivos que
almacenan información
del paciente (laptops, Medio Alto
servidores en closet,
dispositivos móviles)
Procesamiento de Medio (puede instituir
reclamos de los pacientes Alto procesos manuales de
para el seguro forma temporal)
Proveedor de correo
electrónico por parte de Medio Medio
un tercero
26
4. Identifique la Probabilidad de Pérdida o Daño al Activo
Proveedor de correo
electrónico por parte de Medio Medio Phising, malware Media
un tercero
27
Matriz de Riesgos
Alto Medio Alto Alto
Probabilidad
Proveedor de correo
electrónico por parte de Medio Medio Phising, malware Media Media
un tercero
28
Marco de Trabajo de la Ciberseguridad NIST
Para organizaciones de
Proporciona un proceso cualquier tamaño, en
continuo para la gestión cualquier sector, ya sea Ha probado ser útil para
del riesgo de la que ya tienen un programa una variedad de públicos
ciberseguridad de gestión de riesgo
cibernético o no
Más
Marco de trabajo para Mejorar Infraestructura Crítica para la Ciberseguridad versión 1.1
29
Funciones del Marco de
Trabajo de la Ciberseguridad
Objetivos de Aprendizaje
• Conceptos fundamentales de la
ciberseguridad NIST 1.1 (Marco de Trabajo de
la ciberseguridad)
• Introducción al Marco de Trabajo de la
ciberseguridad.
• Gestión del riesgo y marco de trabajo de la
ciberseguridad
• Implementación del marco de trabajo de la
ciberseguridad
• Establecer o mejorar la ciberseguridad
comunicativa
• Metodología para proteger la privacidad y las
libertades civiles CertiProf® Lead Cybersecurity Professional Certificate – LCSPC™
• Auto evaluación del riesgo de la ciberseguridad
con el marco de trabajo
Identificar
Responder
Recuperar
31
Un Extracto del Núcleo del Marco de Trabajo
Identificar
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
32
Muestra de Actividades de Identificación
Ambiente de Administración
• Identifica los procesos críticos del negocio
Negocios de Activos
• Documenta los flujos de información
[ID.BE] [ID.AM]
• Establece políticas para la ciberseguridad que
incluyen roles y responsabilidades
• Mantiene un inventario de hardware y
software
Evaluación de
Gobernanza • Identifica contratos con socios externos
Riesgos
[ID.GV] • Identifica los procesos de la Gestión de Riesgos
[ID.RA]
Proteger
52
Desarrollar e implementar las salvaguardas
correspondientes para asegurar la entrega de
servicios.
33
Muestra de Actividades de Protección
Protección de
información de
Mantenimiento procesos y • Gestión del acceso a activos e información
[PR.MA] procedimientos • Realizar respaldos regulares
Sensibilización [PR.IP]
y
• Proteger los datos sensibles
Entrenamiento • Reparar (colocar parches) a sistemas
Gestión de [PR.AT]
identidad y Seguridad de operativos y aplicaciones
Control de los datos • Crear respuestas y planes de recuperación
Acceso [PR.DS] • Proteger su red
[PR.IP] Tecnología
de • Entrenar a sus empleados
Protección
[PR.PT]
Detectar
34
Muestras de Actividades de Detección
Anomalías y
Eventos
[DE.AE] • Instalar y actualizar el antivirus y otro
software de detección de malware
• Saber cuáles son los flujos de datos esperados
para su negocios
Mantener y monitorear registros
Monitoreo •
Continuo
[DE.CM]
Responder
Desarrollar e implementar las actividades
35
Muestra de Actividades de Respuesta
Ordenación
de la
Respuesta
[RS.RP] • Coordinar con las partes interesadas
internas y externas
• Asegurar que los planes de respuesta se
prueben
• Asegurar que los planes de respuesta estén
Comunicaciones actualizados
[RS.CO]
Recuperar
36
Muestra de Actividades de Recuperación
Ordenación de
la
• Administrar relaciones públicas y la
Recuperación
reputación de la compañía
[RC.RP]
• Comunicarse con las partes interesadas
internas y externas
• Asegurar que los planes de recuperación
estén actualizados
• Considerar un seguro cibernético
Comunicaciones
[RC.CO]
Marco de Trabajo
37
Tips Cotidianos
• Tenga cuidado con los archivos adjuntos en el correo electrónico, los enlaces (vínculos) de la red y
llamadas de voz de números desconocidos
• No haga click en un enlace ni abra los archivos adjuntos que no espera
• Use computadoras, dispositivos móviles, y cuentas separadas, unos para cuestiones personales y
otros para negocios
• Donde sea posible utilice autenticación multi-factorial
• No descargue el software de una página de internet desconocida
• Nunca comparta su nombre de usuario o contraseña
• Considere utilizar una aplicación de administración de contraseñas para almacenar sus contraseñas
Más
Informe Interinstitucional NIST 7621, revisión 1
Seguridad de la Información para Negocios Pequeños: Los Fundamentos,
sección 4
Recursos
NIST Small Business Cybersecurity Corner
https://www.nist.gov/itl/smallbusinesscyber
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
NIST Interagency Report 7621, revision 1 | Small Business Information Security: The Fundamentals
https://doi.org/10.6028/NIST.IR.7621r1
38
Módulo 1: CyBOK
– Fundamentos de
Ciberseguridad
Definición de Ciberseguridad
40
Áreas de Conocimiento CyBOK
Aspectos Humanos, Organizacionales, y Regulatorios.
Ley y Regulación
• Requisitos reglamentarios y regulatorios de orden internacional y nacional, obligaciones de
cumplimiento, y ética de seguridad, incluyendo la protección de datos y el desarrollo de doctrinas
en armas cibernéticas (cyberwarfare)
Factores Humanos
• Seguridad utilizable, factores sociales y conductuales que impactan la seguridad, cultura de
seguridad y la sensibilización, así como el impacto de los controles de seguridad en las conductas de
los usuarios
Ataques y Defensas
Malware y Tecnologías de Ataque
• Los detalles técnicos de vulnerabilidades de seguridad y sistemas maliciosos distribuidos, junto con
el descubrimiento asociado y enfoques de análisis
Conductas Adversas
• Las motivaciones, conductas y métodos utilizados por atacantes, incluyendo las cadenas de
suministro de malware, vectores de ataques, y transferencias de dinero
Investigación Forense
• La recopilación, el análisis y el reporte de evidencia digital en apoyo de incidentes o eventos
criminales
41
Protección (security) de Sistemas
Criptografía
• Primitivos nucleares de criptografía como actualmente se práctica y algoritmos emergentes,
técnicas parta el análisis de éstos, y los protocolos para usarlos
42
Seguridad de la Infraestructura
43
Fallas e Incidentes
• Cuando los adversarios logran su meta (por completo o de forma parcial)—cuando los ataques tienen
éxito—se puede decir que el conjunto de controles de protección (security) ha fallado
• Un tema recurrente en el análisis de protección (security) es que no es suficiente como para
proporcionar buenos controles de protección (security) solamente dentro de una abstracción
particular o marco de referencia: también es necesario considerar qué pasará si un adversario opta
por ignorar dicha abstracción o marco
• Las teorías matemáticas de refinación (y los contratos de desarrollo de software) exploran la relación
de una expresión de ‘abstracto’ de un algoritmo y una versión más ‘concreta’ que se implementa: sin
embargo, las propiedades de protección (security) probadas para uno podrían no ser aplicables para
otro
• El ‘Black-box testing’ (pruebas de caja negra) depende del mismo concepto y como no puede
probar cada dato de entrada, fácilmente pudiese pasar por alto la combinación de circunstancias
que — por accidente o diseño — destruyen la protección (security) del programa
• Estos — y un arreglo sin fin de otros — problemas de protección (security) surgen porque es necesario
pensar (y diseñar sistemas) mediante abstracciones
Riesgos
• No hay límite en el principio de la cantidad de esfuerzo o dinero que se pudiese gastar en controles
de protección (security)
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
• Para poder equilibrarlos con los recursos disponibles y riesgos y oportunidades que pudiesen surgir
de las amenazas emergentes a la protección (security), un enfoque común general para el análisis de
protección (security) es un proceso de Evaluación de Riesgo — y selección de controles, un proceso
de Gestión de Riesgos
• Cualquier proceso de la gestión de riesgos, un cálculo clave se relaciona con el impacto esperado, que
se calcula a partir de cierto estimado de probabilidad de eventos que pudiesen llevar al impacto, y
un estimado del impacto que pudiese surgir de dichos eventos. La probabilidad tiene dos elementos:
1. La presencia de vulnerabilidades (conocida o desconocida—la última no siempre es capaz de
poder mitigarse)
2. La naturaleza de la amenaza
44
Funciones Dentro de un Sistema de Gestión de Protección (Security)
• Las funciones dentro de un sistema de gestión de seguridad se pueden agrupar en Físicas, del
Personal, de Sistemas de Información y Gestión de Incidentes y son una mezcla de funciones de
gestión del sistema de tecnología de información estándar y aquellas que son específicas de la
ciberseguridad
• La protección (security) física incluye la protección del sistema, incluyendo el control de acceso,
la gestión de activos y el manejo y protección de los medios de comunicación de almacenamiento
de los datos. Estos aspectos están fuera del alcance del CyBOK
• La protección (security) del personal se ocupa de un amplio rango del uso y del modelado de
conducta, incluyendo la educación y la capacitación (vea el Área de Conocimiento de los Factores
Humanos)
• La gestión de sistema de información incluye gestión del acceso (vea la Autenticación,
Autorización y Rendición de Cuentas (AAA, por sus siglas en inglés) el el Área de Conocimiento
y cómo conectarse al sistema
• Las funciones de gestión de incidentes son específicas de la ciberseguridad e incluyen el
monitoreo de la protección (security), detección y respuesta a incidentes
Principios
Principios de Saltzer y Schroeder. Los ocho principios que enumeran son los siguientes:
45
Principios NIST
• En NIST se enumeran los principios más contemporáneos en el diseño de sistemas. Incorporan y
extienden los principios de Saltzer y Schroeder
• Están categorizados dentro de tres amplias familias que se relacionan con:
• ‘Arquitectura y Diseño de Arquitectura’ (Ej., organización, estructura e interfaces)
• ‘Capacidad de Protección (security) y Conductas Intrínsecas ‘ (Ej. De qué se tratan las protecciones)
• ‘Protección (security) del Ciclo de Vida’ (Ej. Aquellos que se relacionan con el proceso y la gestión)
El Principio Cautelar
• El Principio Cautelar — al reflexionar sobre el efecto dañino potencial de las opciones de diseño
ante las innovaciones tecnológicas se implantan en un despliegue a gran escala— lo cual también es
pertinente
• Desviación de uso: cuando el sistema evoluciona sobre su tiempo de vida y su impacto en general
en la sociedad también se deben considerar
46
Tema Interdisciplinario
Economía de la Seguridad
• El modelo Bell-LaPadula proporciona un modelo abstracto de las reglas que determinan si cierta
autorización de protección (security) debería tener un tipo particular de acceso a un objeto con
cierta clasificación de protección (security)
• El propósito de este modelo es prevenir la desclasificación de los datos; un trabajo posterior
generalizó esto en métodos para prevenir ciertos flujos de información
• Se han propuesto otros modelos de control de acceso con el fin de lograr otras propiedades, tales
como integridad (Ej. El modelo Biba, o el modelo Clark-Wilson)
• Los métodos formales habilitan propiedades clave de protección (security) para expresarse y
probarse en el modelo formal
47
Enfoques para el Modelado Formal. Hay dos enfoques principales del modelaje formal:
Modelaje Cibernético:
• Este enfoque se acerca al sistema real:
• Es una metodología formal a un nivel matemático más fundamental, en donde los mensajes son
cadenas binarias, funciones criptográficas que se definen como funciones en cadenas binarias,
los participantes del sistema son por lo general máquinas Turing interactivas, y los parámetros de
seguridad proporcionan métricos asintomáticos para esta metodología :
• La longitud de las llaves, la complejidad de los algoritmos o la medición de probabilidades
• Varían con los parámetros de seguridad
Modelado Simbólico:
• Este enfoque es más abstracto que el enfoque cibernético, y se ha aplicado en varios “sabores” al
modelado y al análisis de los protocolos de protección (security)
• Las secuencias de interacciones entre representantes para lograr una meta de seguridad como
medio de autenticación o intercambio de llave
• Los enfoques con base en lógica tales como el BAN logic
• Enfoques basados en lenguajes tales como Applied Pi
• La verificación que utiliza los enfoques de modelado cibernético han sido más matemáticos en su
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
naturaleza, aunque ahora se han desarrollado herramientas tales como CryptoVerif y EasyCrypt
para dar soporte a pruebas cibernéticas
• Los enfoques simbólicos y cibernéticos se pueden usar juntos:
• Un ataque en un modelo simbólico típicamente dará origen a un ataque en el modelo cibernético,
así que es valioso realizar primero un análisis simbólico de un sistema con el fin de verificar y
diseñar de forma exclusiva para cualquier ataque identificado
• Una vez que se verifica un modelo simbólico, entonces algo adicional se necesita para establecer
la seguridad en el modelo cibernético
• Esto se puede realizar de forma directa, o a través de la aplicación de técnicas generales tales
como la solidez cibernética que proporciona las condiciones de los resultados simbólicos para
aplicarlos al modelo cibernético
48
Arquitectura de Seguridad y Ciclo de Vida
49
Ciberespacio
El ciberespacio se entiende mejor como un ‘lugar’ en el que se realiza el negocio, en donde se realizan
comunicaciones humanas, en donde se hace y se disfruta el arte, en donde se forman y desarrollan
relaciones, y más.
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
50
Módulo 2: Gestión de
Riesgos
Temas a Tratar en esta Lección
• ¿Qué es el riesgo?
• ¿Por qué la evaluación y la gestión del riesgo son importantes?
• ¿Qué es la evaluación y gestión del riesgo cibernético?
• Gobernanza de Riesgo
• ¿Qué es la Gobernanza de Riesgo y por qué es imprescindible?
• El Factor Humano y Comunicación del Riesgo
• Cultura y conciencia de seguridad
• Promulgación de la política de seguridad
¿Qué es el riesgo?
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
• La definición práctica de Renn del riesgo es la posibilidad de que las acciones humanas o eventos
llevan a consecuencias que tienen un impacto sobre lo que el humano valora
• La definición práctica del impacto sobre valores genera otra pregunta sobre cómo definir el valor y
capturar indicadores que se pueden utilizar para medir y gestionar el riesgo
• Renn define tres elementos abstractos básicos que se requieren para esto:
1. Los resultados que tienen un impacto sobre lo que los humanos valoran
2. La posibilidad de ocurrencias (incertidumbre)
3. Una fórmula para combinar ambos elementos
52
Un desafío clave en la evaluación y gestión del riesgo es realizar suposiciones explicitas y encontrar el
equilibrio entre las percepciones subjetivas de riesgo y la evidencia objetiva
• Evaluación de riesgos
• Es usar procesos analíticos y estructurados para capturar información, percepciones y evidencia
que relacione lo que está en juego, el potencial de eventos deseables e indeseables, y una medida
de los posibles resultados e impacto
El proceso de gestión de riesgos implica revisar la información recopilada como parte de la evaluación
de riesgos y conduce a una de (3) tres decisiones posibles:
53
3. Aceptable: La reducción del riesgo no es necesaria y puede proceder sin intervención. Además,
el riesgo también se puede utilizar para buscar oportunidades (también conocido como "riesgo al
alza"), por lo que el resultado puede ser aceptar y aceptar el riesgo en lugar de reducirlo.
Más allá de este marco de trabajo de decisiones, Renn define cuatro tipos de riesgo que requieren
diferentes planes de gestión de riesgo. Estos incluyen:
1. Riesgos de rutina: Estos siguen un proceso normal de toma de decisiones para la gerencia. Se
proporcionan estadísticas y datos relevantes, se definen los resultados deseables y los límites de
aceptabilidad, y se implantan y se hacen cumplir las medidas de reducción de riesgos
2. Riesgos Complejos: En donde los riesgos son menos claros, pudiese existir la necesidad de incluir una
evidencia más amplia y considerar un enfoque comparativo tal como el análisis de costo-beneficio o
efectividad de costos. La discrepancia científica tal como los efectos de un tratamiento medico o el
cambio climático son ejemplos de esto
3. Riesgos Indeterminados: En donde existe una falta de predictibilidad, factores tales como la
reversibilidad, persistencia y ubicuidad se convierten en consideraciones útiles. Un método
preventivo se debe tomar con un enfoque continuo y administrado para el desarrollo del sistema en
donde los efectos secundarios negativos se puedan contener y retraer. La resiliencia ante resultados
indeterminados es clave aquí
4. Riesgos ambiguos: En donde las partes involucradas más en general, tales como el personal
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
operacional o la sociedad civil, interpretan el riesgo de forma diferente (Ej. Existen diferentes puntos
de vista o falta de acuerdo en los controles de la gestión), la gestión del riesgo deberá afrontar las
causas para diferentes puntos de vista
• Sin una consideración efectiva de la aceptabilidad del riesgo y un plan de reducción de riesgo
adecuado, es probable que la respuesta a los resultados adversos sea desorganizada, ineficaz y
probablemente provoque una mayor propagación de los resultados no deseados
• El propósito de la evaluación y gestión de riesgos es comunicar estos valores y garantizar que se
tomen decisiones para minimizar los riesgos a un conjunto acordado de valores al gestionarlos
adecuadamente mientras se maximiza la “aceptación” del proceso de gestión de riesgos
54
• La evaluación y la gestión de riesgos también consisten en presentar información de manera
transparente, comprensible y de fácil interpretación para diferentes audiencias, de modo que
las partes interesadas responsables estén al tanto de los riesgos, cómo se gestionan, quién es
responsable de gestionarlos y estén de acuerdo. sobre cuál es el límite aceptable de exposición al
riesgo
Gobernanza de Riesgo
La evaluación del riesgo y el desarrollo de principios de mitigación para gestionar el riesgo solo
55
Cuatro (4) elementos influyen en la percepción del riesgo:
• Esto destaca que el riesgo no se puede mitigar solo con tecnología, y que la evaluación de
preocupaciones es importante
• Educar a las personas dentro de una organización es vital para garantizar la adopción cultural de los
principios definidos en el plan de gestión de riesgos y la política de gobierno de seguridad asociada
• Las personas no siguen el comportamiento de seguridad requerido por una de dos razones (Sasse y
Flechais):
Weirich y Sasse estudiaron Cumplimiento de las reglas de contraseña como un ejemplo de cumplimiento de la política
de seguridad y descubrieron que la falta de cumplimiento estaba asociada con personas que no creían que estaban
personalmente en riesgo o que serían responsables por no seguir las reglas de seguridad.
56
La comunicación de riesgos, por lo tanto, juega un papel importante en la gobernanza, incluidos aspectos
como:
• Educación: Particularmente en torno a la conciencia del riesgo
• Capacitación e inducción al cambio de comportamiento: Tomando la conciencia que brinda la
educación y cambiando prácticas y procesos internos
• Creación de confianza: Tanto en torno a la gestión de riesgos organizacionales como en individuos
clave
• Implicación: Particularmente en el proceso de toma de decisiones de riesgo
• Si las personas son conscientes de los caminos y los resultados que siguen a las violaciones de
seguridad, se reducirá la ansiedad sobre lo que sucederá y, por lo tanto, se generará una cultura de
seguridad más abierta
Algunas preguntas que pueden considerarse indicadores útiles para mejorar la cultura de seguridad:
57
Parte de los resultados finales de la evaluación y gestión de riesgos debe ser una lista de riesgos
aceptados con los propietarios asociados que supervisan los objetivos y activos de la organización que
sustentan los procesos en riesgo.
Pre-evaluación
Aspectos transversales
Caracterización
y evaluación
Decidir Entender
Figura 2.1: Marco de trabajo de una Gobernanza de Riesgo de IRGC – tomada de [66]
Las personas deben estar capacitadas para operar de manera segura y no ser objeto de una cultura de la
culpa cuando las cosas fallan. Es muy probable que haya brechas de seguridad, pero la mayoría de ellas
no serán intencionales.
Por lo tanto, la política de seguridad debe ser reflexiva y reactiva a los problemas, responder a la agenda
de Cultura Justa y crear una política de rendición de cuentas para el aprendizaje, y usar los errores para
refinar la política de seguridad y los procesos de apoyo, no culpar ni penalizar a las personas.
La educación en seguridad debe ser una parte formal de todos los empleados desarrollo profesional
continuo.
Los principios del riesgo de comunicación son un aspecto importante del factor humano en la educación
en seguridad.
58
Principios de Evaluación y Gestión de Riesgos
• La guía del NCSC del Reino Unido desglosa la gestión de riesgos en:
1. Gestión de riesgos basada en componentes, que se centra en los componentes técnicos y las
amenazas y vulnerabilidades a las que se enfrentan
2. Gestión de riesgos impulsada por el sistema, que analiza los sistemas como un todo
Adecuado para
Propósito Abstracto Saldos, flujos, principios de gobierno Evaluaciones de
Riesgo Con Base en
Función General Procesos, interacción de componentes Sistemas
Adecuado para
Función Física Capacidades, equipo y componentes
Evaluaciones de Riesgo
Con Base en
Forma Física Dimensiones, ubicación, propiedades físicas
Componentes
Hay cuatro conceptos que son centrales para una evaluación de riesgo en la mayoría de los modelos.
1. Vulnerabilidad: Una Vulnerabilidad es algo abierto que se puede atacar o mal utilizar que podría
llevar a un resultado indeseado
2. Amenaza: Una Amenaza es un evento o acción individual que tiene la capacidad de explotar
(vulnerar) una vulnerabilidad de protección (security). Las amenazas también son socio-técnicas
y pudiesen incluir hackers, empleados descontentos o empleados capacitados deficientemente,
software diseñado pobremente, un proceso operacional mal expresado o comprendido, etc.
3. Probabilidad: La probabilidad representa una medida que captura el grado de posibilidad de que una
amenaza hará explotar (vulnerar) una vulnerabilidad, y por tanto producirá un resultado indeseable
que afectará los valores en el núcleo del sistema
4. Impacto: Impacto es el resultado de que una amenaza explote (vulnere) una vulnerabilidad, lo cual
tiene un impacto negativo en el éxito de los objetivos para los cuales estamos evaluando el riesgo
59
Métodos de Evaluación y Gestión de Riesgos
Las pautas del NIST del gobierno de EE. UU. capturan los elementos de vulnerabilidad, amenazas,
probabilidad e impacto dentro de la prueba (evaluación previa), conducción (evaluación y caracterizar),
comunicación (transversal) y manutención (gestión) del ciclo.
Determinar el riesgo
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
La Preparación implica identificar el propósito (p. ej., establecer una línea base de riesgo o identificar
vulnerabilidades, amenazas, probabilidad e impacto) y el alcance (p. ej., ¿qué partes de un sistema/
organización deben incluirse en la evaluación de riesgos?; ¿qué decisiones informan los resultados?).
La Comunicación es una de las fases más importantes y, a menudo, se pasa por alto. La realización
de la evaluación de riesgos le brinda a uno los datos para poder informar acciones que mejorarán la
seguridad del sistema.
Mantenimiento es una fase continua que es esencial para actualizar continuamente la evaluación de
riesgos a la luz de los cambios en el entorno y la configuración del sistema.
60
Marcos de Gestión de Riesgos Cibernéticos Basados en Componentes
Establecer el contexto
Valoración de riesgo
Aceptación de riesgo
61
Evaluación y Gestión de Riesgos en Sistemas Ciberfísicos y Tecnología Operativa
Métricas de Seguridad
• A menudo es difícil cuantificar, con confianza, qué tan segura es o podría ser una organización
• Las representaciones cualitativas como bajo, medio, alto o rojo, ámbar, verde se utilizan normalmente
en ausencia de datos cuantitativos confiables, pero a menudo existe la preocupación de que dichos
valores sean subjetivos y signifiquen diferentes cosas para diferentes partes interesadas
Malas métricas
• Se miden de manera inconsistente, generalmente porque se basan en juicios subjetivos que varían
de persona a persona
• No se puede recopilar a bajo costo, como es típico de las encuestas que requieren mucha mano de
obra y las hojas de cálculo únicas
• No expresa los resultados con números cardinales y unidades de medida. En su lugar, se basan en
calificaciones cualitativas altas/medias/bajas, semáforos y calificaciones con letras
62
Continuidad del Negocio
• Una parte esencial del proceso de evaluación, gestión y gobierno de riesgos incluye la consideración
y planificación del proceso de gestión de incidentes y respuesta rápida al ciberataque
• El objetivo es comprender el impacto en el sistema y minimizarlo, desarrollar e implementar un
plan de remediación y utilizar esta comprensión para mejorar las defensas para proteger mejor
contra la explotación exitosa de vulnerabilidades en el futuro (bucle de retroalimentación)
• Por lo general, las organizaciones prefieren mantener anónima la información sobre las infracciones
de seguridad cibernética para evitar daños a la reputación y encubrir fallas en la seguridad
• Sin embargo, es probable que otras organizaciones puedan beneficiarse del conocimiento previo
del incidente ocurrido
• Ciertas industrias, como los sectores financiero y farmacéutico, tienen acuerdos para compartir
dicha inteligencia
ISO/IEC 27035-1:2016
ISO/IEC 27035-1:2016 es un estándar internacional que define los principios para la gestión de
• Planificar y preparar
• Detección y Reporte
• Evaluación y Decisión
• Respuesta
• Aprendizaje
63
NCSC- ISO/IEC 27035
El NCSC también proporciona diez (10) pasos para ayudar a guiar el proceso de gestión de incidentes
que, en términos generales, se relacionan con las fases Planificar, Detectar, Evaluar, Responder y
Aprender de ISO/IEC 27035. En resumen, los pasos incluyen:
•
• Analizar los riesgos enfrentados por los componentes técnicos individuales
• Descomponer en menos sistemas complejos, con conexiones bien comprendidas entre las partes
interesadas de los componentes
• Trabajar a niveles de abstracción en donde la función física del sistema ya se ha acordado entre
las partes involucradas
• Métodos basados en sistemas
• Explorar las violaciones a la protección (security) que surgen de la interacción compleja de
muchas partes de su sistema
• Establecer requisitos de protección (security) del sistema antes de que usted decida en el diseño
físico exacto del sistema
• Conjugar múltiples visiones de las partes involucradas de lo que debería y no debería hacer el
sistema (Ej. Seguridad (safety) y protección (security), puntos de vista legales)
• Analizar las violaciones a la protección (security) que no se pueden rastrear de regreso a un solo
punto de falla
64
Conclusión
• Definición práctica de la posibilidad de que las acciones o eventos humanos puedan tener
consecuencias que tengan un impacto en el valor de los humanos y colocarlo en el contexto de la
gestión y gobernanza del riesgo cibernético
• La Gobernanza de Riesgo es el conjunto general de procesos y principios en curso que sustentan
la toma colectiva de decisiones y abarca tanto la evaluación como la gestión de riesgos, incluida la
consideración de los contextos legal, social, organizacional y económico en los que se evalúa el riesgo
• Un aspecto importante del riesgo es la percepción humana y la tolerancia al riesgo y las hemos
enmarcado en la literatura existente para argumentar su importancia en la Gobernanza de Riesgo
alineada con varios tipos de riesgo: rutinario, complejo, incierto y ambiguo
• La Gobernanza de Riesgo es un proceso cíclico e iterativo, y no algo que se puede realizar una vez
• Los aspectos interdisciplinarios de la comunicación, la participación de las partes interesadas y
el contexto vinculan los procesos de evaluación y gestión de riesgos y son fundamentales para la
reflexión y revisión continuas de las prácticas de la Gobernanza de Riesgo
• Los incidentes, cuando ocurren, deben informar la política de gestión de riesgos para mejorar
la seguridad cibernética en el futuro, y debemos aceptar que probablemente nunca estaremos
completamente seguros
• Inculcar el desarrollo profesional continuo a través de la educación y la cultura justa donde se
pueden aprender lecciones y mejorar los métodos de gobierno
65
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
66
Módulo 3: Ley y Regulación
Introducción
Desafíos
Universalidad
Alcance
• Un amplio alcance de actividades identificadas como práctica
de “protección (security)" lleva a un amplio alcance de
problemas legales
Accesibilidad
67
Respuesta
Metas
Ejemplos:
• Reglas de evidencia
• Reglas de procedimiento civil
• Reglas de procedimiento penal
• Leyes de contenido penal
68
Principios Introductorios de la Ley e Investigación Legal
Principios Básicos
Dinámica
Grado de Incertidumbre
Ciber ambiente
69
“Niveles” de Pruebas
Más allá de
duda
Evidencia razonable
clara y
convincente
Preponderancia de
evidencia; equilibrio de
probabilidades
Causa
Sospecha Probable
razonable
El nacimiento del ciberespacio generó mucha inquietud en cuanto a la aplicación de leyes y reglamentos
a este nuevo dominio.
• La primera escuela postuló que el ciberespacio es tan radicalmente diferente de cualquier cosa
en la experiencia humana, que las leyes antiguas no eran adecuadas y deberían ser ampliamente
inaplicables a las acciones realizadas utilizando este nuevo dominio
• La segunda escuela sostenía, en cambio, que Internet es, como tantas herramientas desarrolladas en
la historia humana, simplemente un instrumento de la acción humana. Como tal, las leyes podrían, y
tal vez deberían, continuar aplicándose a las personas que usan el ciberespacio en la mayoría de los
aspectos tal como se aplicaban antes de que existiera
70
Distinguiendo el Derecho Penal y Civil
• Derecho Penal
El derecho penal es el cuerpo de leyes que prohíbe comportamientos generalmente aborrecidos por la
sociedad.
Términos como 'culpable' e 'inocente' normalmente se reservan como descripciones de veredictos
(resultados) en un caso penal.
• Derecho Civil (No Penal)
El derecho civil es el área del derecho que regula las relaciones privadas entre las personas. Los ejemplos
incluyen las leyes de contrato y negligencia.
• Una ley: dos tipos de responsabilidad y dos tribunales
Un solo acto o una serie de actos conexos pueden generar responsabilidad simultáneamente tanto en
el derecho penal como en el civil.
Jurisdicción
Ambiente Multinacional
Prioridades estatales
• Cada estado está interesado en aplicar sus propias leyes para
el beneficio de sus residentes y nacionales
71
Una Taxonomía de Jurisdicción
Jurisdicción de Ejecución
72
El Problema de la Soberanía de los Datos
73
Interceptación Estatal (Acceso Legal)
Ciertos acuerdos
Sistemas legales
internacionales
heterogéneos
sobre normas técnicas
Los proveedores de
El estado sigue su acceso servicio típicamente
de gobierno legal (En los requieren invertir en
EE.UU. es complicado instalaciones y
debido al Sistema Federal) proporcionar ayuda
técnica
Varios grados de
secrecía
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Interceptación No Estatal
• Sistemas legales heterogéneos
• Las restricciones a veces varían con la relación con el objetivo
• A la mayoría de las personas se le prohíbe interceptar mensajes en un servicio de
telecomunicaciones público (ver también las leyes de anti-intromisión informática)
• Las personas que operan un sistema privado (empleadores, etc.) normalmente se les brinda
cierta flexibilidad de interceptar tráfico, sujeto a una variedad de reglas legales
74
Protección de Datos
Opinión
Los “Jugadores”
75
¿Qué se regula?
“Procesamiento”
“Datos Personales”
76
Puntos Destacados de la Protección de Datos
Delitos Informáticos
Taxonomía de un crimen informático
77
Crímenes en Contra de los Sistemas de Información
Desafíos Recurrentes
La aplicación y las sanciones de los delitos contra los sistemas de información
• [ Falta de universalidad]
• [Extradición]
• Las excepciones mínimas y medición del daño
• Intercepción estatal garantizada
• (También ley pública internacional)
• Investigación y desarrollo por personas no el estado
• Análisis técnico remoto no invitado
• Análisis de amenazas encubierto
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
• Auto-ayuda
• Candados de software
• Re-hackear (re-piratear)
Contrato
NO es un pedazo de
papel
Principio de Relatividad
(sistemas de derecho
común)
78
Contrato como un Medio para Incentivar Conductas de Protección (Security)
• Cadena de suministro
• Participantes en los sistemas comerciales/pago
Mecanismos Típicos
Límites de Influencia
Ejemplos
79
Influencia Relacionada con el Contrato Sobre Comportamiento de Protección
(Security)
Fuerte Influencia
• La protección (security) es un cimiento para reducir
parte de la mayoría del más grande riesgo comercial
de la parte actuante
• Un contrato soportado por la regulación externa
• Ej. Sistemas de pago
Influencia Media
En el caso de un incumplimiento de contrato, varios recursos proporcionados por los tribunales a las
partes que no incumplen generalmente se clasifican en las siguientes categorías:
• Daños y perjuicios
• recisión
• Declarar que el contrato ha llegado a su fin y excusar a la parte incumplidora de seguir cumpliendo
• Desempeño específico
• Remedios estipulados contractualmente
80
Delito
Ejemplos de Delito
81
Negligencia (Responsabilidad Culposa)
Obligación de Diligencia
• ¿Bajo qué circunstancias somos responsables ante otros?
• Concepto nuclear: previsibilidad
• Ejemplos de ciberseguridad en la Tabla
Idea Central
• Los fabricantes de producto (y/o los socios de la cadena de suministro pertinentes) deberían compensar a las
víctimas que sufren una muerte o lesión personal provocada por defectos del producto
• El enfoque de la ”falla” se traslada de la persona al producto
Aumento de la Importancia
• El IoT (Internet de las cosas) está creando más casos de uso en donde las fallas de
ciberseguridad pueden llevar a lesiones personales o la pérdida de la vida (desde automóviles
que se auto conducen hasta termostatos de control remoto)
• Esta norma no aplicaría a los socios de la cadena de suministro que suministran un componente
defectuosos solamente de software
82
Cuantía de Pérdida (Q)
Responsabilidad Indirecta
83
Propiedad Intelectual
• Derechos negativos
• Cada derecho de PI (propiedad intelectual) es un tipo de “tarjeta roja” que está diciendo deje de
hacer una acción definida
• Ser propietario de PI no garantiza la libertad de actuar
• Catálogo resumido
• Derechos de autor
• Patentes
• Marcas registradas
• Secretos comerciales
Ingeniería Inversa
84
Blindaje de los Intermediarios de Internet de los Procedimientos de
Responsabilidad y Remoción (Bajar el Contenido)
• Básicos
• Blinda a una persona calificada que de lo contrario sería responsable por el contenido ofensivo
de un mensaje
• Originalmente diseñado para proteger ISPs y telcos
• Cada vez más polémico (Ej., US FOSTA-SESTA)
• Debate actual sobre los medios de re-comunicación y plataformas de búsqueda
• Remoción / bloqueo
• Como una de las condiciones de la protección de blindaje a algunas personas que califican se les
requiere retirar (bajar) el contenido ofensivo de forma “expedita” después de la notificación de
la persona que emite la queja
• Otros que no son sujetos a la notificación de remoción se les pudiese ordenar estatalmente (de
forma judicial o ejecutiva) bloquear o filtrar el tráfico
85
Emergen Cambios Legales
86
Ley Pública Internacional
Atribución Estatal
• Norma legal (substancia)
• Acto de un agente del estado
• El Estado insta o dirige el acto a través de un no-agente
• No ejerce “la debida diligencia”
• Prohibiciones
• Violación de soberanía
• Uso de la fuerza
• Ataque armado
• Contra-medidas
• Debe ser proporcional
• Cibernético o no cibernético
• Ley del conflicto armado
• Necesidad militar
• Humanidad
• Distinción
• Proporcionalidad
87
Ética
Posición de confianza
Códigos de Conducta
Códigos de Conducta
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
88
Pruebas de Vulnerabilidad y Divulgación
Pruebas de Vulnerabilidad
y Divulgación Realización de Pruebas
• Falta de consenso sobre la diferencia entre
“investigación” y “crimen cibernético”
Divulgación
• Falta de consenso de los practicantes de la industria
en el proceso de divulgación “responsable”, y un
potencial de retraso indefinido para la publicación
• Debate en marcha de los organismos de seguridad
estatal (que equilibran equidades, liberación
responsable, etc.)
89
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
90
Humanos
Módulo 4: Factores
Introducción
• Seguridad utilizable
• Adaptar la tarea al ser humano
• Error humano
• Concientización y educación en seguridad cibernética
• Seguridad Positiva
• Participación de los interesados
Factores Humanos
• ¡Menos del 0.1 % del correo electrónico está encriptado de principio a fin!
• ¡Los usuarios no son el Enemigo!
• A. Whitten and J. D. Tygar, "Why johnny can't encrypt: A usability evaluation of pgp 5.0." in USENIX
METAS
metas?
EP
ESE
ISÓ
LOGRALO
M
ÁN
ICD
TIC
O
TOMA DE PERCEPCIÓN
DECISIONES
hacerlo? DESTREZAS
MOTRICES LLEVAR A CABO
TAREAS
COGNITIVAS
ERA
A)
OVECH
TA(APR
EXPLO
91
Adaptar la Tarea al Ser Humano
Elementos clave:
Hay capacidades y limitaciones generales -físicas y mentales- que se aplican a la mayoría de los seres humanos.
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
• Con los dispositivos informáticos generales de hoy en día, la capacidad física que pueden superar
las tareas de seguridad es probablemente la capacidad de detectar señales: muchos sistemas de
seguridad proporcionan mensajes de estado, recordatorios o advertencias
• Los seres humanos solo pueden centrar su atención principalmente en una tarea en un momento
dado
VS.
92
STM Y One-time password (OTPs)
STM y One-time passwords (OTP)
El uso de PIN o contraseñas de un solo uso (OTP) en seguridad ha aumentado a medida que la
autenticación de dos factores (2FA) se ha vuelto más común.
Enfocamos nuestra atención en el número que se muestra y lo repetimos (mentalmente o en voz alta).
1. Con las contraseñas, las personas intentan elegir las que son más fáciles de recordar, por ejemplo,
aquellas que tienen significado para ellos, como nombres o fechas memorables
2. Cuando los usuarios tienen que elegir imágenes como credenciales, prefieren colores y formas
fuertes a otros más difusos.
3. Cuando se trate de imágenes de seres humanos, elegirán imágenes de personas 'más atractivas' y de
personas de su propio origen étnico
4. Cuando la credencial es una ubicación particular dentro de una imagen, las personas prefieren las
CAPTCHA
Algunos trabajos sobre las Completely Automated Public Turing test to tell Computers and Humans
Aparts (CAPTCHA) por ejemplo, han investigado el apoyo a los usuarios con discapacidades sensoriales.
Sin embargo, se debe tener en cuenta que los CAPTCHA agregan más esfuerzo para el usuario legítimo, lo que
impide el logro del objetivo previsto, es decir, el acceso. Deben tenerse en cuenta las limitaciones de uso de estos
mecanismos que tienen como objetivo "verificar" a los usuarios humanos legítimos, y su contribución a la fatiga
de la seguridad.
93
Metas y Tareas
La usabilidad de los mecanismos de seguridad puede verse afectada por las siguientes características
físicas:
1. Luz: Con mucha luz, las pantallas pueden ser difíciles de ver, lo que puede afectar la autenticación
gráfica en particular. Los sistemas biométricos, como el iris y el reconocimiento facial, dependen de
la entrada de las cámaras. La luz brillante puede provocar deslumbramiento, lo que significa que las
imágenes capturadas no son lo suficientemente buenas para ser procesadas
2. Es evidente que el ruido interferirá con el rendimiento de los sistemas de reconocimiento de voz.
Pero los altos niveles de ruido también afectan el desempeño humano en general debido a un mayor
estrés y, a su vez, a una mayor probabilidad de error. Los ruidos fuertes inesperados desencadenan
una respuesta de sobresalto humano, que desvía la atención de la tarea
3. La temperatura ambiente puede afectar el desempeño tanto de la tecnología como de los humanos.
Los sensores de huellas dactilares pueden dejar de funcionar cuando hace frío, y los humanos son
más lentos para señalar y seleccionar. Es posible que también necesiten usar ropa protectora, como
guantes, que imposibiliten o dificulten las operaciones físicas de las pantallas táctiles. Del mismo
modo, un ambiente demasiado caluroso puede provocar molestias y el sudor puede interferir con
los sensores
4. La contaminación puede afectar los equipos que funcionan al aire libre. Esta es una preocupación
particular para los sensores de huellas dactilares y las pantallas táctiles. Los lípidos que quedan
se combinan con las partículas y la grasa oscura resultante puede obstruir los sensores o dejar un
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Algunas características del dispositivo pueden hacer que los mecanismos de seguridad resulten difíciles
de utilizar en cualquier circunstancia.
Introducir contraseñas largas y complejas en los teclados virtuales de un teléfono móvil lleva mucho
más tiempo y es más propenso a errores que en un teclado normal. Y aunque con el uso frecuente de
un teclado, la mayoría de las personas pueden llegar a ser muy hábiles para ingresar una contraseña
compleja, el rendimiento no mejora cuando los humanos se encuentran con una limitación básica.
Lo que es particularmente preocupante desde el punto de vista de la seguridad es que (sin colusión)
una población de usuarios comienza a converger en una pequeña cantidad de contraseñas que son más
fáciles de ingresar con la cantidad mínima de alternancias, lo que facilita que los atacantes adivinen una
contraseña válida.
94
Error Humano
Cuatro tipos de fallas latentes que tienen más probabilidades de hacer que las personas cometan
errores.
1. Los factores individuales incluyen la fatiga, pero también la inexperiencia y una actitud de asunción
de riesgos
2. Los factores humanos incluyen las limitaciones de la memoria pero también los hábitos comunes y
las suposiciones ampliamente compartidas
3. Los factores de la tarea incluyen la presión del tiempo, la alta carga de trabajo y múltiples tareas, pero
la monotonía y el aburrimiento son igualmente inductores de errores porque las personas desvían
su atención hacia las distracciones. La incertidumbre acerca de los roles, las responsabilidades y las
reglas también conduce a elecciones incorrectas
4. Los factores del entorno de trabajo incluyen interrupciones en las tareas y equipos e información
deficientes. Las personas también son particularmente propensas a cometer errores cuando
cambian las reglas y los procedimientos
Educación en seguridad.
Capacitación en seguridad. La capacitación ayuda a las personas a adquirir habilidades, por ejemplo,
cómo usar correctamente un mecanismo de seguridad en particular y cómo reconocer y responder a
un ataque de ingeniería social.
95
Las simulaciones y los juegos se utilizan cada vez más, tanto para hacer que la conciencia sobre la seguridad
sea más atractiva como para ayudar con medidas educativas más complejas y cambios de comportamiento.
Las simulaciones antiphishing diseñadas para enseñar a los empleados a no hacer clic en enlaces
sospechosos son probablemente las más utilizadas en las organizaciones hoy en día.
Modelo de
Alto Comportamiento Fogg
BehaviorModel.org
B=MAPA
El modelo de comportamiento de Fogg tiene Al mismo tiempo
Motivación
Indica
desencadenantes Triunfo aquí
Lí
ne
a
de
https:// behaviormodel.org
Ac
ci
ón
Indica
Fallo aquí
Bajo
Difícil de hacer Habilidad Fácil de hacer
Sensibilización y Educación
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Conducta segura
Cubierto por
Aceptación un compromiso
extra de la
Implementación (destrezas / habilidades)
compañía
Compromiso Personal
Comprensión/Conocimiento
96
¿Qué problemas de utilización enfrentan los desarrolladores?
¿Debería utilizar esto? Falta
Documentación
¿Cómo podría utilizar Problemas de Uso
esto? Buscar el Código Información
Ejemplo
Problema de
faltante
Construcción Claridad de la
Problemas del Documentación
Desempeño
Sistema
Problema de Abstracción
Pasar el balón
¿Qué salió mal aquí?
La
No saber Qué programación es
Falta de Conocimiento
Hacer difícil
Mal Uso de la API
Características no
Problema de
soportadas
Compatibilidad Problemas a
No saber si lo
través de
Modelos Mentales puede
Prestados
Característica Obsoleta tiempo y
hacer
espacio
N. Patnaik, J. Hallet y A. Rashid, “Usability smell: an analysis of developers’ struggle with crypto libraries” (La Utilización Huele: un
análisis de la lucha de los desarrolladores con las cripto-bibliotecas), en el Decimoquinto Simposio sobre Privacidad y Protección
(Security) Utilizable (SOUPS, por sus siglas en inglés), Santa Clara, EE.UU, Asociación USENIX, 2019
• Abstracta: Integrar la funcionalidad criptográfica dentro de la Norma APIs para que, para empezar,
los desarrolladores regulares no tengan que interactuar con APIs criptográficas
• Poderosa: Suficientemente poderoso para satisfacer tanto los requisitos de protección (security)
como los de no protección
• Entendible: Fácil de aprender, aún sin experiencia técnica criptográfica
• Ergonómica: No rompe el paradigma de los desarrolladores. Intuitiva: Fácil de utilizar, aún sin
documentación
• Fallo: Difícil de usar mal. El uso incorrecto debería llevar a errores visibles
• Segura(safe): Los valores por omisión deberían ser seguros y nunca ambiguos
• Comprobable “Testable”: Modo de prueba. Si los desarrolladores necesitan correr pruebas ellos
pueden reducir la protección por conveniencia
• Legible: Fácil de leer y mantener el código que lo utiliza/Actualizable
• Explicada: Ayuda con /maneja la interacción con el usuario final, y proporciona mensajes de error
en donde es posible
Matthew Green and Matthew Smith IEEE Security & Privacy 14(5), Sept.-Oct. 2016.
97
La Utilización Huele: Un Análisis de la Lucha de los Desarrolladores con las
Bibliotecas Criptográficas
Cirugía de Escopeta de Fowler
Clase B Clase C Clase D Clase E
98
Derechos en Línea
Módulo 5: Privacidad y
99
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Introducción
• El objetivo de esta área de conocimiento es introducir a los diseñadores de sistemas a los conceptos
y tecnologías que se utilizan para diseñar sistemas que protegen inherentemente la privacidad de
los usuarios
• La privacidad es reconocida como un derecho humano fundamental
• “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honor y reputación”
Visión General
En una reinterpretación técnica de la definición de privacidad del "derecho a que lo dejen en paz",
una conceptualización común de la privacidad es evitar que la información personal sea accesible a
cualquier entidad, en particular a un público más amplio.
Bajo esta definición, el objetivo de las tecnologías de privacidad es permitir el uso de servicios mientras
se minimiza la cantidad de información expuesta. Aquí, la información se refiere tanto a los datos
intercambiados explícitamente con el servicio como a la información implícitamente disponible en los
Metadatos asociados con estos intercambios (p. ej., la identidad de los usuarios o la frecuencia de uso).
100
¿Cuál es el problema?
• Intercambio de Datos
• Llenar un cuestionario de salud en el consultorio médico
• Revelar la ubicación y la hora de la gran fiesta que harás en casa a tus amigos cercanos
• Contextual: La misma información en otro entorno puede ser una fuga de privacidad
• Probablemente a sabiendas del alcance y las partes involucradas
• Recolección de datos
• Como consecuencia de una actividad o
interacción
¿Qué es la privacidad?
• Sobre las Personas
101
Definiendo la Privacidad
• Más Artículos:
• “Autodeterminación de la información”
• “El derecho a estar solo”
• “La libertad de restricciones irrazonables en la construcción de la propia identidad”
Privacidad como…
• Transparencia
• Control
• Confidencialidad
• Políticas de Privacidad
• Reportes de Transparencia
• Control
• Si los datos pueden ser usados/compartidos
• Qué tipo de acceso se otorga
• Qué tipo de procesamiento se puede hacer
• Formulario de Consentimiento
102
Límites del Control y Transparencia
• Meta-datos
• Tiempo, duración de los mensajes, direcciones IP
• Huellas digitales de dispositivos/aplicaciones
• Dos variantes
• Local: El ruido se agrega antes de que se agregue a la base de datos
• Global: Se agrega ruido a la respuesta de la consulta y hay un controlador de solicitud de base
de datos que media entre el solicitante de la consulta y la base de datos
• Compare el caso en el que la base de datos se desinfecta y luego se publica públicamente,
como antes
103
Privacidad como Confidencialidad
Confidencialidad de datos
Control de acceso basado en criptografía
• Nos gustaría mantener nuestros datos privados (no compartidos), pero también usarlos para realizar
cálculos útiles en colaboración con otros
• ¿Es eso posible?
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Confidencialidad de Datos
• Control de inferencia basado en ofuscación
• Existen cuatro técnicas principales para ofuscar datos, como se describe a continuación. Observamos
que estas técnicas están mayormente orientadas a ofuscar campos numéricos o categóricos. Ocultar
contenido más complejo, como el texto libre, es una tarea mucho más difícil debido a las correlaciones
que son difíciles de eliminar de manera sistemática
104
• Control de inferencia basado en ofuscación
Anonimización:
Una técnica común utilizada para permitir el procesamiento de datos sin riesgo para las personas es la
anonimización de datos. La anonimización, como su nombre indica, busca desvincular la identidad de la
información
105
Tabla 1: Base de datos de ejemplo
106
Tabla 1: Base de datos de ejemplo
Confidencialidad de Metadatos
Hay tres tipos de metadatos que han demostrado ser extremadamente vulnerables a los ataques a la
privacidad: los metadatos de tráfico, asociados a la infraestructura de comunicación; metadatos del
dispositivo, asociados con la plataforma que genera los datos, y metadatos de ubicación, asociados con
la ubicación física desde la que se generan los datos.
Tráfico de metadatos
La información de la capa de red, como las identidades de los participantes en la comunicación
(direcciones IP), la cantidad y el tiempo de los datos transferidos o la duración de la conexión, es
Ubicación de metadatos
Finalmente, la ubicación geográfica de un usuario revelada a los servicios en línea se puede utilizar para
inferir información confidencial. Esta información puede revelarse de manera explícita, por ejemplo,
cuando el usuario realiza consultas a servicios basados en la ubicación para encontrar puntos de interés
cercanos o amigos; o implícitamente, por ejemplo, cuando se asocian coordenadas GPS a fotografías
o contenidos publicados en redes sociales, o se infieren del punto de acceso utilizado para acceder a
Internet.
107
Privacidad como Control
Soporte para la configuración de los ajustes de privacidad
La configuración de privacidad son esos controles en un servicio web que permiten a los usuarios
expresar sus preferencias con respecto a cómo los datos deben ser revelados a otros usuarios,
compartidos con terceros y procesados por los proveedores de servicios.
comentarios sobre las implicaciones de sus acciones o realizar auditorías para verificar que no haya
habido una violación de la privacidad.
Tecnologías de Privacidad
La protección de la privacidad es crucial para sustentar los valores que sustentan nuestras sociedades
democráticas.
Dos ejemplos que resaltan la importancia de las tecnologías de privacidad para apoyar la democracia
108
Resistencia a la censura en la publicación de datos.
Resistencia a la censura de acceso a datos.
Ingeniería de la Privacidad
La creciente preocupación por la privacidad en la sociedad ha hecho que el concepto de "privacidad por
diseño" sea muy popular entre los responsables políticos.
Este concepto aboga por el diseño y desarrollo de sistemas que integren valores de privacidad para
abordar las preocupaciones de los usuarios.
Para minimizar tanto la confianza como el riesgo, los expertos en privacidad suelen diseñar sistemas de
acuerdo con las siguientes estrategias:
• Mantener los datos locales: Realizar cualquier cálculo sobre datos confidenciales del lado del
usuario y solo transmitir el resultado de la operación. Puede ser necesaria información adicional,
como pruebas de conocimiento cero o compromisos, para garantizar la corrección de las operaciones
109
• Encriptar los datos: Cifrar los datos localmente y enviar solo la versión cifrada a otras entidades. Si
es necesario realizar alguna operación sobre los datos, consultar el siguiente punto
• Utilzar protocolos criptográficos que preserven la privacidad: Procesar datos localmente para
obtener entradas a un protocolo en el que, al interactuar con las entidades que no son de confianza
utilizando uno de los protocolos presentados en las secciones anteriores, el usuario puede obtener
o probar información mientras limita la información disponible para esas entidades
• Ofuscar los datos: Usar técnicas para controlar la inferencia para procesar los datos localmente y
solo envíe la versión perturbada a la entidad que no es de confianza
• Anonimizar los datos: Procesar los datos localmente para eliminar información identificable y
enviarla a la parte que no es de confianza a través de un canal anónimo
Evaluación de la Privacidad
Esta evaluación tiene como objetivo cuantificar el nivel de privacidad que la tecnología y,
respectivamente, el sistema, pueden proporcionar.
Por el contrario, para las técnicas de privacidad basadas en ofuscación, es necesario realizar un análisis
para validar que la combinación de técnicas proporciona el nivel de privacidad deseado.
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Conclusiones
Preservar la privacidad y los derechos en línea no solo es importante para las personas, sino que es
esencial para apoyar las sociedades democráticas.
El despliegue de tecnologías de privacidad es clave para permitir a los usuarios el libre acceso al
contenido y la libertad de expresión.
110
Módulo 6: Malware y
Tecnologías de Ataque
111
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Introducción
Malware
Malware es la abreviatura de 'software malicioso,
es decir, cualquier programa que realiza
actividades maliciosas. Usamos los términos
malware y código malicioso indistintamente.
ransomware, etc.
112
Taxonomía del Malware: Dimensiones
Taxonomía: Ejemplos
¿Autopropagación?
dinámicamente
Pila de capas de
independiente
¿Coordinado?
Persistente o
Actualizable
anfitrión o
transitorio
Programa
sistemas
113
Programas Potencialmente No Deseados (PUPs)
Un programa potencialmente no deseado (PUP) suele ser un fragmento de código que forma parte de
un programa útil descargado por un usuario.
Por ejemplo, cuando un usuario descarga la versión gratuita de una aplicación de juego móvil, puede
incluir adware, una forma de PUP que muestra anuncios publicitarios en la ventana del juego.
A menudo, el adware también recopila datos del usuario (como ubicación geográfica, tiempo dedicado
al juego, amigos, etc.) sin el conocimiento y consentimiento del usuario, con el fin de mostrar anuncios
más dirigidos al usuario para mejorar la eficacia de la publicidad.
Los PUP están en un área gris porque, si bien el acuerdo de descarga a menudo contiene información
sobre estos comportamientos cuestionables, la mayoría de los usuarios tienden a no leer los detalles
más finos y, por lo tanto, no entienden exactamente lo que están descargando.
Confidencialidad: Puede robar datos valiosos, por ejemplo, información de autenticación del usuario
y datos financieros y de salud.
Integridad: Puede inyectar información falsificada (por ejemplo, enviar correos electrónicos no
deseados y de phishing, crear clics fraudulentos, etc.) o modificar datos.
Disponibilidad: Puede enviar tráfico como parte de un ataque de denegación de servicio distribuido
(DDoS), utilizar una gran cantidad de recursos informáticos (por ejemplo, para extraer criptomonedas)
o cifrar datos valiosos y exigir el pago de un rescate.
114
El Modelo Cyber Kill Chain
Paso Actividades
115
Ecosistema Clandestino
• Cibercrimen Organizado
• Promueve todo el ciclo de vida del malware
• Desarrollo
• Despliegue
• Operaciones
• Monetización
• Roles Especializados
• Negación Plausible
• Malware más efectivo
• Desarrollo de 9 a 5 malwares
• Mercados Clandestinos
Objetivos de Acción
• Toolkits
• Herramientas automatizadas intuitivas (ej., keyloggers)
Campañas
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
•
• Ataques a gran escala (ej., botnet)
• De larga ejecución
• Amenazas Avanzadas Persistentes
• Organización específica al objetivo
• Bajo y lento
• Movimiento lateral y filtración de datos
116
¿Por qué analizar el Malware?
Análisis Estático
• Examinar el código del Malware sin ejecutarlo
Análisis del
• Código Binario programa
• Código Intermedio(ej., código de bytes)
• Código fuente
• Pros
• Mejor cobertura de Comportamientos
• Seguro
• Limitantes
• Comportamientos sobreestimados
• Débil a la ofuscación
117
Análisis Dinámico
118
Entorno de Análisis
Entornos Comunes
• Emulador de Maquina
• Emulación de arquitectura basada en código
• Hipervisor Tipo 2
Facilidad de uso
• Ejecución en el sistema operativo anfitrión, proporciona
ility
Visib
un servicio de virtualización para el hardware
Hipervisor Tipo 1
Se ejecuta en el sistema
Se ejecuta directamente Sin virtualización
operativo anfitrión,
Emulación de en el hardware del
proporciona servicio de
arquitectura basada en sistema
virtualización para
código hardware
Introspección de grano Transparencia media, Alta transparencia,
Introspección de grano
fino fácil de usar introspección de grano Sin artefactos de entorno
fino fácil de usar,
Poderoso control sobre fino, virtual
Potente control sobre el
el estado del sistema Baja sobrecarga para la
estado del sistema
interacción del hardware
Falta de introspección de
Baja transparencia, grano fino,
Artefactos de baja
Soporte en la falta de Menos control sobre el Problemas de
transparencia de la
fiabilidad de la estado del sistema escalabilidad y costes,
paravirtualización
semántica de la Más lento para restaurar
arquitectura. al estado limpio
119
Seguridad y Entornos Vivos
• Seguridad
• El malware puede realizar acciones Internet?
maliciosas. ¿Podemos permitirlo? C&C
Vivo?
• También Implicaciones Legales
• Entornos de Red virtualizados
• Entorno Vivo
• ¿Exhibe el malware comportamientos
maliciosos previstos?
• Conectividad de la red
• Usuarios Reales en la maquina
• C&C/servidores de actualización en
línea
• Anti-desmontaje
• Ofuscación
• Empaquetado
• Ofuscación del Flujo de control
• Emulación de código
• Identificando los entornos de análisis
• Pruebas de pastillas rojas (p. ej.,
discrepancias en las instrucciones de la
CPU)
• Entorno Vivo
• Eventos de usuario, registros,
historial
• Aplicaciones instaladas
120
Objetivo de la Detección de Malware
Firma
Evasión y Contramedidas
121
Detección de Ataque de Malware
Para la detección de ransomware, los enfoques principales incluyen monitorear las actividades del
host involucradas en el cifrado. Si hay un proceso que realiza una gran cantidad de modificaciones
significativas en una gran cantidad de archivos, esto es indicativo de un ataque de ransomware [82]. Las
modificaciones "significativas" reflejan el hecho de que cifrar un archivo hará que su contenido cambie
drásticamente de su contenido original.
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Dado que las redes de bots llevan a cabo muchas actividades maliciosas, es importante incluir métodos
de detección de redes de bots.
Los bots de la misma botnet están controlados por el mismo atacante y realizan actividades maliciosas
coordinadas.
• Machine Learning
• Funciones estáticas y dinámicas
• Construir modelos a partir de datos
• Distinguir objetos benignos de maliciosos
122
Detección de Malware Basada en ML
Contramedidas parciales
123
Deriva Conceptual
Tiempo
• Soluciones:
• Aprendizaje Activo
• Aprendizaje En Línea
• El malware también se ha vuelto cada vez más resistente al incluir planes de contingencia
124
Interrupción de las Operaciones de Malware
125
• Identificación de los autores del malware
• Identificar al atacante virtual es un primer paso importante hacia este objetivo. Un atacante puede
tener estilos de codificación consistentes, reutilizar los mismos recursos o infraestructuras, o
usar prácticas de C&C similares
Evasión y Contramedidas
Muchos autores de malware reutilizan diferentes kits por la comodidad que ofrece el modelo de
negocio de la economía clandestina.
Los autores también pueden evadir la atribución colocando intencionalmente "señales falsas" en el
malware.
La información de registro de dominio, WHOIS, es una fuerte señal para la atribución de ataques. El
mismo atacante a menudo usa un nombre, dirección e información de la empresa falsos siguiendo un
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
patrón.
La interrogación de malware ayuda a recuperar más dominios de C&C utilizados por el mecanismo de
respaldo, lo que ofrece más oportunidades para la atribución.
Conclusión
• Los atacantes usan malware para llevar a cabo actividades maliciosas en su nombre
• Diferentes capas de la pila del sistema
• Posiblemente haya infraestructura de apoyo
• Botnets
• Buscan evitar la detección y atribución
• Análisis de detección de entorno
• Ofuscación
126
• Técnicas basadas en ML
• Estrategias de respuesta al malware (p. ej., eliminación)
127
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
128
Adverso
Módulo 7: Comportamiento
Introducción
Esta lección brinda una descripción general de las actividades maliciosas que ocurren en Internet hoy
en día, centrándose en los elementos que necesitan los adversarios para tener éxito en sus operaciones.
Delitos Cibernéticos
Delitos que existían antes de Internet, pero que aumentaron en alcance y escala (por ejemplo, fraude).
Delitos cibernéticos dependientes
Crimenes que solo son posibles mediante el uso de las computadoras (ej., DDoS).
129
Agresores Interpersonales
Ciberbullying: Enviar o publicar material dañino o participar en otras formas de agresión social
utilizando Internet u otras tecnologías digitales.
Sextorción: Atraer a las víctimas para que realicen actos sexuales frente a una cámara y amenazar con
publicarlos a menos que se pague un rescate.
Depredación de niños: Los delincuentes encuentran a sus víctimas a través de salas de chat, redes
sociales o plataformas de juegos en línea.
Fraude de pago por adelantado: A la víctima se le promete una recompensa (económica o de otro tipo),
pero para obtenerla primero debe pagar una pequeña tarifa al estafador. Después de que se realiza
el pago, la víctima a menudo no vuelve a tener noticias del estafador. Las pérdidas pueden ascender a
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
240k USD.
Tráfico de Drogas: Gracias a las tecnologías de anonimización como Tor y las criptomonedas, han
surgido mercados en línea donde los usuarios consumidores de drogas pueden comprar sustancias
ilícitas y recibirlas directamente en sus hogares.
Delitos que tienen un objetivo financiero y se llevan a cabo a través de infraestructuras técnicas
complejas (por ejemplo, botnets).
Spam vía email: El correo electrónico masivo no solicitado ha estado al frente de operaciones criminales
muy exitosas, que han logrado monetizar la venta de productos farmacéuticos y productos falsificados
al llegar a miles de millones de clientes potenciales a través de mensajes maliciosos.
Phishing: Un tipo particular de spam es el phishing, donde los delincuentes envían correos electrónicos
que fingen ser de servicios genuinos (por ejemplo, banca en línea, sitios web de redes sociales)
Malware Financiero: Los delincuentes intentan instalar malware en las computadoras de sus víctimas y
robar credenciales financieras, como números de tarjetas de crédito y nombres de usuario y contraseñas
de banca en línea.
Click fraud: Los anuncios web son la forma principal en que se monetiza la web.
130
Minería no autorizada de criptodivisas. Con la creciente popularidad de las criptomonedas, se ha
abierto una nueva oportunidad para los delincuentes: usar computadoras infectadas para minar una
moneda.
Ransomware. La última tendencia en malware es Ransomware. Como parte de esta operación, los
delincuentes infectan los sistemas de sus víctimas con malware que encripta los archivos personales
del usuario (por ejemplo, documentos) y envía la clave de cifrado al delincuente, quien luego solicita un
rescate a cambio de que el usuario vuelva a tener acceso a sus datos.
Negación de servicio. Una característica que tienen todos los dispositivos conectados a Internet es la
conectividad de red. Un delincuente puede aprovechar el ancho de banda de un dispositivo infectado
para realizar un ataque de denegación de servicio distribuido (DDoS) contra un objetivo.
Hacktivistas
Definimos el acto de delito informático motivado por un fin político como hacktivismo.
Fugas de datos: liberación de documentos robados al dominio público, por ejemplo, para crear
conciencia sobre los programas secretos de vigilancia de los gobiernos.
Actores Estatales
En los últimos años, hemos observado una escalada en el uso de ataques informáticos por parte de
actores estatales para lograr sus objetivos.
Sabotaje: Se lanzan ataques (por ejemplo, malware) para sabotear la infraestructura crítica de un país.
Espionaje: Se utiliza malware sofisticado para infiltrarse en organizaciones y robar datos confidenciales.
Desinformación. En los últimos dos años, ha surgido evidencia de que actores patrocinados por el
estado han estado involucrados en la difusión de desinformación en las redes sociales. Esto se ha hecho
a través de cuentas troll que actuaron para polarizar la discusión en línea sobre temas delicados.
131
Los Elementos de una Operación Maliciosa
Para garantizar que las necesidades de los delincuentes se satisfagan en este escenario, en los últimos
años hemos sido testigos de una especialización en el ecosistemade ciberdelincuentes, donde diferentes
actores se especializan en elementos específicos necesarios para que la operación tenga éxito.
Programas de afiliados: Esquema en el que la organización principal proporciona una 'marca' y todos
los medios necesarios para realizar pedidos, envíos y pagos.
Servicios Especializados
Servicios que ayudan a los delincuentes a establecer sus operaciones.
Exploit kits: Herramientas que recopilan una gran cantidad de vulnerabilidades y se venden en el
mercado negro para que las utilicen otros delincuentes.
Los clientes pueden enfocar a sus víctimas hacia él al comprometer sitios web o usar anuncios maliciosos.
Servicios de pago por instalación (PPI): los operadores de PPI son expertos en configurar una botnet
y hacer que funcione correctamente. Luego, otros delincuentes pueden pagar al operador de PPI para
que instale malware en las computadoras infectadas en su nombre.
132
Servicios Humanos
Se necesitan servicios auxiliares para que una operación cibercriminal de extremo a extremo tenga
éxito.
• Servicios de resolución de captchas
• Cuentas falsas
• Generación de contenido
• Mulas de dinero
Métodos de Pago
Como los delincuentes necesitan que se les transfiera dinero, pueden utilizar varios métodos de pago
diferentes, cada uno de los cuales conlleva un nivel de riesgo diferente y es más o menos familiar para
las víctimas.
133
Árboles de Ataque: Ejemplo de un Ataque
Entrar al servidor
Explotar la
Robar contraseña
vulnerabilidad
Una vez entregado, el código del arma se activa, explotando en aplicaciones o sistemas
Explotación vulnerables.
Instalación El arma instala una puerta trasera en el sistema de un objetivo que permite el acceso
persistente
Comando y
El servidor externo se comunica con las armas demostrando "acceso directo al teclado"
Control dentro de la red del objetivo.
Acciones sobre El atacante trabaja para lograr el objetivo de la intrusión, que puede incluir la exfiltración o
objetivos destrucción de datos, o la intrusión de otro objetivo.
134
Criminología Ambiental
La criminología ambiental, en particular, es una rama de la criminología que se enfoca en los patrones
delictivos en relación con el espacio donde se cometen y con las actividades de los actores involucrados
(víctimas, perpetradores y tutores)
1. Incrementar el esfuerzo del ataque. Las mitigaciones aquí incluyen la implementación de firewalls
y la configuración de actualizaciones automáticas para el software instalado en las computadoras.
2. Aumentar el riesgo de delincuencia. Las mitigaciones aquí incluyen la reducción del anonimato de
pago (por ejemplo, solicitar una identificación cuando alguien cobra dinero de Western Union).
3. Reducir las recompensas. Las mitigaciones aquí incluyen el bloqueo de pagos o paquetes sospechosos
o la penalización de resultados de búsqueda maliciosos.
4. Reducir las provocaciones. Los ejemplos aquí incluyen la aplicación de presión de los pares a los ISP
135
y bancos deshonestos.
5. Eliminar las coartadas. Las mitigaciones típicas en esta categoría incluyen ejecutar campañas
educativas o configurar redireccionamientos automáticos para desviar a las víctimas que hayan
visto contenido malicioso, explicarles lo que sucedió e instarles a proteger sus sistemas.
Otra técnica útil que puede ayudar al análisis de actividades maliciosas en Internet desde el campo de la
criminología es la secuencia de comandos del crimen.
Atribución de Ataque
Las fuerzas del orden están interesadas en comprender qué delincuentes están detrás de una
determinada operación y, en particular, atribuir operaciones delictivas cibernéticas aparentemente no
relacionadas a los mismos actores podría ayudar a construir un caso legal contra ellos.
De manera similar, los gobiernos están interesados en identificar a los culpables de los ataques que
reciben. En particular, están interesados en encontrar qué estados-nación (es decir, países) están detrás
de estos ataques.
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
136
Módulo 8 : Operaciones
de Seguridad y Gestión de
Incidentes
137
Introducción
• Conceptos fundamentales
• Supervisar: Fuentes de datos
• Analizar: Métodos de análisis
• Plan: Seguridad de la información y gestión de eventos
• Ejecutar: Mitigación y contramedidas
• Conocimiento: Inteligencia y analítica
• Factores humanos: Gestión de incidentes
Cronología y Alcance
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Grupo de trabajo de
detección de instrusos
Las necesidades han evolucionado para @IETF
Información de seguridad y
gestión de eventos
satisfacer la creciente complejidad de
los sistemas, servicios y ataques. Inteligencia de amenazas cibernéticas
Orquestación de
seguridad análisis e
informes
138
Blucle MAPE-K General
Or
qu
es
ta
c i ón
de
Informa se
ción de gu
segurid ri d
ad y ge ad
stión de ,a
eventos ná
. lis
is
yg
en
er
ac
i ón
de
i nf
or
m
es
tru res
e i n se nso
so s
Análisis
c i ó os /
ven ntrus
nd
i
ra n d e
Conocimiento
p re
ó
-Configuraciones
tem e det
-Firmas (IOC)
pa
-Inteligencia de amenazas
cibernéticas (CTI)
de as d
tem
si s
Si s
Confir.
Eventos De
Activos
Foros nacionales, transnacionales o industriales (CERT, ISAC), reguladores, proveedores de tecnología y otras organizaciones de intercambio de información
139
Despliegues de las Tecnologías SOIM
Zona delimitada
Red Privada (red de intercambio) Red Pública
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
140
Detección de Intrusos y Sistemas de Prevención
Fuentes de datos
Red Anfitrión
Data sources
Panorama landscape
de las fuentes de datos
141
Fuentes de Datos de Red: Posibles Detecciones
• Paquetes de red
• Portadores de ataques (ejemplo, malware en carga dañina)
• Síntomas de compromiso (ejemplo, conexión a la infraestructura Command & Control)
• Agregados de red
• Desviaciones en patrones de tráfico (puertos, conversaciones, volumen)
• Infraestructura de red
• Uso del Sistema de Nombres de Dominio (DNS) para comando y control
• Manipulación de la infraestructura de enrutamiento para redirigir el tráfico u ocultar actividad
maliciosa
142
Syslog
Análisis de Rastros
• Objetivo: Generar incidentes a partir de alertas y eventos
• Sensores de detección de intrusión
• Desplegado en el campo
• Recolección de información del evento
• Producir alertas
• Técnicas de análisis
• Detección de uso indebido
• Detección de anomalías
143
Del Evento al Incidente
Rastreo
Alerta 1
Evento m
Evento n Adquisición
Alerta 2
Evento o
Actividad Análisis
del sistema Evento x
o de la red Alerta …
(paquetes, Adquisición
programa, Incidente
ejecución,
Rastreo 2
Análisis
…)
Evento i
Alerta 3
Evento j
Adquisición
Evento k
Análisis
Evento l
144
Detección de Anomalías
304
145
Recolección de Datos en SIEM
• Definición de
• Esquema: Estructura y semántica de los mensajes
• Codificación: Transformación de un mensaje en una cadena de bits
• Protocolo de transporte
Correlación de Alerta
• Objetivos
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
146
Mitigación y Contramedidas Herramientas y Técnicas
Inteligencia y Análisis
CWE referencia
Descripción de la vulnerabilidad
CVE
CVSS
Producto software,
Impacto: Vector, puntaje
proveedor, versión
147
Ciclo de Vida de la Gestión de Incidentes
Mitigar
Conclusión
148
Certificación
Módulo 9: Examen de
149
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
Insignia
https://www.credly.com/org/certiprof/badge/cyber-security-foundation-professional-certificate-
csfpc
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
• Opción múltiple
• 40 preguntas
• 24 puntos necesarios para aprobar - 60%
• 60 minutos de duración
• A libro cerrado
Dispondrá de dos intentos en los 180 días naturales siguientes a la recepción del correo electrónico inicial de
bienvenida para superar la prueba sin coste alguno.
150
www.certiprof.com
151
CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM