República Bolivariana de Venezuela

Instituto Universitario Politécnico

“Santiago Mariño”

Ingeniería de Sistemas

Vulnerabilidades y
Riesgo

Autor:
Jeffrey Jiménez

C.I.: 26.257.432

Anzoátegui, octubre de 2022

 Introducción

Al hablar de términos de seguridad informática se debe entender a las bases que

conforman los cimientos de esta ciencia, para las partes más complejas de esta
disciplina, una de estas bases es el concepto de seguridad, la cual consiste en un
estado de bienestar, es la ausencia de riesgo por la confianza que existe en alguien
o algo, si la seguridad se aborda desde el tema disciplinario el concepto se puede
definir como una ciencia interdisciplinaria para evaluar y gestionar los riesgos a los
que se encuentra una persona, un animal, el ambiente o un bien.
Existen países en donde la seguridad es un tema nacional, aunque depende del tipo
de seguridad, existen muchos tipos de ésta, por ejemplo, la seguridad ambiental, la
seguridad económica, la seguridad sanitaria y en casi la mayoría de los países
cuando se hace un análisis de la palabra seguridad, se hace referencia a la
seguridad de las personas, por ejemplo, evitar el estado de riesgo de un robo, de un
daño físico o de un bien material.

2
 Vulnerabilidades y Riesgos

Una vulnerabilidad es un fallo o debilidad de un sistema de información que pone

en riesgo la seguridad de la misma. Se trata de un “agujero” que puede ser
producido por un error de configuración, una carencia de procedimientos o un fallo
de diseño. Los ciberdelincuentes aprovechan las vulnerabilidades de los sistemas
informáticos (por ejemplo, de los sistemas operativos) para poder entrar en los
mismos y realizar actividades ilegales, robar información sensible o interrumpir su
funcionamiento. 

Las vulnerabilidades son una de las principales causas por las que una empresa
puede sufrir un ataque informático contra sus sistemas. Por eso siempre es
recomendable actualizar a las últimas versiones, las aplicaciones informáticas,
sistemas de protección y sistemas operativos, pues esas actualizaciones contienen
muchas correcciones sobre vulnerabilidades descubiertas. 

Se denomina riesgo a la posibilidad de que un sistema sufra un incidente de

seguridad y que una amenaza se materialice causando una serie de daños. Para
medir el riesgo de un sistema informático se debe asumir que existe una
vulnerabilidad ante una amenaza. El riesgo es, por lo tanto, la probabilidad de que
la amenaza se materialice aprovechando una vulnerabilidad existente.
Los sistemas y aplicaciones informáticos siempre tienen algún error en su diseño,
estructura o código que genera alguna vulnerabilidad. Por muy pequeño que sea
ese error, siempre podrá generar una amenaza sobre los sistemas y la información,
siendo la puerta de entrada para recibir ataques externos o internos. Las
principales vulnerabilidades suelen producirse en: 

 Errores de configuración.
 
 Errores en la gestión de recursos. 

 Errores en los sistemas de validación. 

 Errores que permiten el acceso a directorios. 

 Errores en la gestión y asignación de permisos. 

3
 Privacidad

La privacidad en la informática es el derecho que todos tenemos de mantener de

forma reservada o privada los datos de la computadora y aquellos que intercambia
con las redes.
La privacidad es violada constantemente por virus informáticos, piratas, redes
inseguras, spyware entre otros.
Es el derecho de los individuos a no ser molestados y que no estén bajo la
vigilancia por parte de otros, incluyendo el estado.

Existen regulaciones para la privacidad a nivel nacional y europeo.

También existen una serie de principios honestos que la empresa debe cumplir. Son
las siguientes:

 Aviso/conciencia: Los sitios web deben divulgar sus prácticas de

información antes de recolectar datos.

 Elección/consentimiento: los consumidores pueden elegir la forma con la

que se utilizará su información.

 Acceso/participación: los consumidores deben ser capaces de reconocer

los datos aportados.

 Seguridad: los recolectores de datos toman las medidas necesarias para

conservar la información y que esté protegida.

 Aplicación: debe de haber un mecanismo para aplicar los principios FIP.

Pero estas medidas a veces no son suficientes, dado que existen los llamados
"hackers" que pueden destruir cualquier política de privacidad impuesta por las
empresas.

4
 Jerarquización de la Privacidad en un Sistema

Debido a que existen muchas maneras de vulnerar un sistema de información, la

infraestructura de la red y los recursos informáticos de toda organización deben
estar protegidos bajo un esquema de seguridad con cierta jerarquía para poder
garantizar en la mayoría de los casos la privacidad de los datos.
Las políticas de seguridad deben basarse en:

 Identificar y seleccionar lo que se debe proteger.

 Establecer niveles de prioridad e importancia sobre esta información.

 Conocer las consecuencias que traería a la compañía, en lo que se refiere a

costos y productividad, la pérdida de datos sensibles.

 Identificar las amenazas, así como los niveles de vulnerabilidad de la red.

 Realizar un análisis de costos en la prevención y recuperación de la

información, en caso de sufrir un ataque y perderla.

 Implementar respuesta a incidentes y recuperación para disminuir el impacto.

Si seguimos estas políticas las amenazas no desaparecerán, tampoco se irán las

vulnerabilidades, pero aumentará el nivel de seguridad y será más difícil de violar.

5
 Protección de un Sistema

Considerando vulnerabilidades producidas por Usuarios

Una de las principales causas de los ataques informáticos está relacionada con un

uso incorrecto o negligente por parte de un usuario. Una mala asignación de
privilegios o permisos puede hacer que un usuario tenga acceso a opciones de
administración o configuración para las que no está preparado, cometiendo errores
que suponen una amenaza para la empresa. 

El error humano es otra causa de riesgos en ciberseguridad. El usuario siempre

tiene el riesgo de cometer un error que pueda generar una vulnerabilidad que
suponga una amenaza informática. Por eso en ciberseguridad se tiende
a automatizar procesos críticos para minimizar o eliminar el factor de riesgo del
error humano. 

Las malas prácticas o la falta de formación en ciberseguridad también generan

vulnerabilidades, como la apertura de ficheros de dudosa procedencia, engaños por
publicidad falsa, apertura de correos fraudulentos y similares. Estas acciones son
una amenaza a sufrir ataques como el phishing (suplantación de identidad) o
similares. 

La mejor solución suele ser la prevención, y también en el caso de nuestros

sistemas de información es importante realizar un análisis previo para detectar
previamente posibles vulnerabilidades.

 Para ello, deberemos previamente realizar un inventario de nuestros activos

TI: servidores, infraestructura de redes, aplicaciones y periféricos
(impresoras, etc.).

 A continuación, deberemos realizar pruebas de penetración para detectar

posibles vulnerabilidades tanto externas como internas, simulando a un
hacker externo (lo también se conoce como hacking ético) o a personal
interno con determinados privilegios.

 Finalmente, deberemos determinar y aplicar las medidas

correctivas necesarias, para reparar vulnerabilidades o reducir las amenazas.

6
Por otro lado, no tenemos que olvidarnos de las buenas prácticas de seguridad
internas a la empresa, por lo cual deberemos concienciar constantemente a nuestro
personal para evitar vulnerabilidades informáticas de factor humano.

 Realizar copias de seguridad periódicas.

 Llevar una correcta gestión de contraseñas.

 Mantener nuestros sistemas informáticos siempre actualizados.

 Monitorizar constantemente los avisos de últimas vulnerabilidades conocidas.

Una herramienta útil en este sentido es el repositorio de vulnerabilidades
del CERTSI.

 Cumplir con normas como la ISO 27001.

Hoy en día, cualquier empresa se expone a vulnerabilidades y amenazas desde el

momento en que se crean. Por lo que un correcto análisis de riesgos y gestión de
vulnerabilidades nos ayuda a protegernos de las amenazas.

Considerando vulnerabilidades por acción de catástrofes naturales

Además de los posibles problemas causados por ataques realizados por personas,
es importante tener en cuenta que también los desastres naturales pueden tener
muy graves consecuencias, sobre todo si no los contemplamos en nuestra política
de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta:

 Terremotos y vibraciones.

 Tormentas eléctricas.

7
  Inundaciones y humedad.

 Incendios y humos.

Los terremotos son el desastre natural menos probable en la mayoría de países, por
lo que no se harán grandes inversiones en prevenirlos, aunque hay varias cosas
que se pueden hacer sin un desembolso elevado y que son útiles para prevenir
problemas causados por pequeñas vibraciones:

 No situar equipos en sitios altos para evitar caídas.

 No colocar elementos móviles sobre los equipos para evitar que caigan sobre
ellos.

 Separar los equipos de las ventanas para evitar que caigan por ellas o qué
objetos lanzados desde el exterior los dañen.

 Utilizar fijaciones para elementos críticos.

Colocar los equipos sobre plataformas de goma para que esta absorba las
vibraciones.

8
 Protección contra espionaje a través de Software

Es imperativo fortalecer la seguridad del ordenador, antes de afrontar un ataque

tecnológico. En este sentido, da atención a los siguientes puntos:

 Antivirus. Resulta insensato no instalar un antivirus a la computadora o

cualquier dispositivo informático; además es necesario que se actualice
constantemente, para enfrentar las amenazas cibernéticas que vayan
surgiendo.

 Backup. Efectúa frecuentemente puntos de restauración y copias de

seguridad a fin de resguardar información que pueda resultar comprometida
por corrupción de virus o hackeo.

 La nube. Ciertamente almacenar tus datos en la nube garantiza mayor

seguridad que hacerlo en dispositivos físicos, pues estos son susceptibles a
virus y hackers. Por otro lado, el almacenamiento virtual encripta las
conexiones entre la computadora y los servidores.

 E-mail. El correo es potencialmente apto para virus, malwares y hackers. Por

tanto, ten mucha cautela cuando revises tus correos, especialmente los de
spam. Al menor indicio de sospecha descárgalo al PC y escanéalo con el
antivirus, si aún desconfías elimínalos. Los enlaces y archivos adjuntos
fraudulentos, son idóneos para facilitar tus datos de acceso a redes y
servicios dejándote a disposición de los hackers.

 Contraseñas. Sin lugar a duda debes recordarla, pero no por eso es

aconsejable que sea deducible para quienes manejen un poco de tu
información. Cumple con las orientaciones agregando mayúsculas, números
y caracteres especiales, bien vale el esfuerzo.

9
 Virus

Un virus es un tipo de malware, un programa perjudicial creado por piratas

informáticos que puede infectar tu computadora o dispositivo en varias formas.
Pueden ser realmente difíciles de eliminar y se pueden propagar de un dispositivo a
otro.

Entre las fuentes contaminantes más frecuentes están las memorias USB. Los virus
informáticos pueden pasar de un elemento a otro, por lo que hay que ser precavidos
al ejecutar cualquier dispositivo en el ordenador. Es recomendable hacer un análisis
antes para prevenir cualquier amenaza.

También se pueden transmitir al descargar archivos que estén infectados o al

navegar por sitios inseguros. El correo electrónico es una de las formas más
comunes en las que se expande un virus informático. A través de estas plataformas
se puede hacer clic en enlaces maliciosos, por lo general, destinados a robar
información como contraseñas o datos financieros. 

Tipos de Virus

Gusano

Este virus está creado con la capacidad de replicarse entre ordenadores. A menudo
causa errores en la red, como consecuencia de un consumo anormal del ancho de
banda ocasionado por este malware. Los ciberdelincuentes suelen usar nombres
llamativos en los enlaces para que este virus sea descargado como, por ejemplo,
las palabras: sexo, apuestas, regalo o premio.
 
Adware

El adware también es denominado como software con publicidad. Los creadores de

adware incluyen anuncios o ayudan a distribuir otro software para ganar dinero.
Existen en todas las computadoras y dispositivos móviles. 
Aunque la mayoría de estos son perfectamente seguros y legítimos, algunos
pueden tener motivos oscuros como distribuir otros virus o abrir puertas traseras.

Spyware

10
 Es una clase de malware más especializada, ya que es básicamente un programa
espía. Su objetivo es robar toda la información de tu ordenador y hacérsela llegar a
su dueño.
Algunos spyware son puestos con intención en ordenadores corporativos o públicos
para monitorear a los usuarios. Pueden recolectar data de cualquier tipo, como
hábitos de navegación online, contraseñas, información bancaria, entre otros.
 
Ransomware

Este tipo de malware que es mucho más especializado que los anteriores. Amenaza
con publicar datos de la víctima o bloquear para siempre el acceso a su ordenador a
menos que se pague una suma. De ahí que la traducción del nombre sea secuestro de
datos.

Las técnicas más avanzadas son la extorsión criptoviral, que encriptan los archivos de
la víctima haciéndolos inaccesibles. Si se hace bien es imposible descifrar esa clave. Se
llevan a cabo usando troyanos, que parecen archivos legítimos.
 
Botnet

Son redes de dispositivos infectados que los ciberdelincuentes utilizan para lanzar

ataques, como el envío masivo de correos spam, ataques de denegación de servicio o
DDoS, robos de credenciales, etc. Una vez que un dispositivo está infectado, entrará a
formar parte de la red de botnets cuyo objetivo es seguir expandiéndose.
 
Rootkit

Este se esconde entre los procesos del sistema y no solo roba información, sino que
emplea los recursos de tu equipo para fines maliciosos, como el envío de SPAM o virus.
Son muy difíciles de detectar, pues se camuflan en el sistema operativo y pueden pasar
desapercibidos incluso para los antivirus. 
 
Troyanos

Un troyano es un tipo de malware que, para lograr infectar un equipo, se camufla como
un software legítimo. Una vez activados, los troyanos pueden permitir a los
cibercriminales espiarte, robar tus datos confidenciales y obtener acceso por una puerta
trasera a tu sistema, conocida como backdoor. Además, son capaces de eliminar
archivos, bloquear cuentas, modificar contraseñas e incluso ralentizar el rendimiento de
tu equipo.

11
 Prevención contra Virus Informáticos

El usuario de la computadora debe crear el hábito de analizar siempre cualquier

medio que introduzca en su computadora con el antivirus que posea perfectamente
actualizado, antes de ejecutar cualquier comando para acceder a la información del
mismo, ya que es el único responsable del control de la información venida del
exterior, así como de la posible introducción de virus en el equipo.

El usuario no deberá descargar ni ejecutar en su PC personal ningún programa

proveniente de medios externos, si no está completamente seguro de que es una
fuente confiable.

Hay que mantener la protección de escritura en todos los discos de programas

originales y de las copias de seguridad, en especial de los discos del sistema
operativo y de las herramientas antivirus.

Deberá realizar salvas de su información periódicamente, manteniéndola en medios

externos para en el caso de que sea infestado por algún tipo de virus, pueda
recuperarse la información.

Sólo los archivos de datos y no los programas ejecutables deberán ser copiados de
una computadora a otra. Todo medio externo debe, normalmente, estar protegido
contra escritura para evitar su posible infección al momento de la lectura.

Cuando las computadoras se encuentran conectadas a una Red, el virus se puede

propagar a través de ella y dañar las otras PC, incluyendo el servidor, por tal motivo
se deben extremar las medidas en este sentido.

12
 Solo el administrador de la Red tendrá los privilegios para descargar, instalar y
ejecutar cualquier programa en su computadora.

En caso de que se trabaje en red o en modo multiusuario, el administrador hará un

respaldo diario de la información útil del disco. Por ningún motivo deben usarse los
servidores de red como estaciones de trabajo.

Ingeniería Social

La ingeniería social es la práctica de utilizar técnicas psicológicas para manipular el

comportamiento. La ingeniería social se produce aprovechando el error humano y
animando a las víctimas a actuar en contra de sus intereses. En el ámbito de la
seguridad de la información, la definición de ingeniería social se refiere a conseguir que
las personas divulguen datos privados en línea, como datos de acceso o información
financiera.
Hoy en día, la ingeniería social se produce con frecuencia en línea, incluso a través
de estafas en las redes sociales, donde los atacantes se hacen pasar por un contacto
de confianza o una figura de autoridad para manipular a las personas para que
expongan información confidencial.

Phishing
El phishing es un tipo de ataque de ingeniería social en el que las comunicaciones se
disfrazan para que parezcan proceder de una fuente de confianza. Estos mensajes –a
menudo correos electrónicos– están diseñados para engañar a las víctimas y conseguir
que den información personal o financiera. Después de todo, ¿por qué habríamos de
dudar de la autenticidad de un mensaje que llega de un amigo, un familiar o una tienda
que visitamos a menudo? Las estafas de phishing se aprovechan de esta confianza.
Spear phishing
El spear phishing es un tipo de ataque de ingeniería social que se dirige a grandes
empresas o a personas concretas. Los ataques de spear phishing están muy dirigidos a
pequeños grupos o personas con poder, como ejecutivos de empresas y celebridades.
Los ataques de ingeniería social que utilizan este método suelen estar bien estudiados y
disfrazados de forma insidiosa, lo que dificulta su detección.
Vishing
El vishing, también conocido como «phishing por voz», es un tipo sofisticado de ataque
de phishing. En estos ataques, se suele falsificar un número de teléfono para que

13
parezca legítimo: los atacantes pueden presentarse como personal informático,
compañeros de trabajo o banqueros. Algunos atacantes también pueden utilizar
cambiadores de voz para ocultar aún más su identidad.
Smishing
El smishing es un tipo de ataque de phishing que llega en forma de mensaje de texto o
SMS. Habitualmente, estos ataques piden a la víctima que realice alguna acción
inmediata a través de enlaces maliciosos en los que hay que hacer clic o números de
teléfono a los que hay que llamar.
A menudo, solicitan a las víctimas que revelen información personal que los
atacantes pueden usar en beneficio propio. Los ataques de smishing suelen
transmitir una sensación de urgencia para que las víctimas actúen rápidamente y
caigan en la trampa.
Whaling
El whaling es uno de los ataques de phishing más ambiciosos que existen, con
consecuencias catastróficas. Este tipo de ataque de ingeniería social suele estar
dirigido a un objetivo de alto valor. A veces se habla de «fraude de los directores
generales», lo que da una idea de la marca típica. Los ataques de whaling son más
difíciles de identificar que otros ataques de phishing, porque adoptan con éxito un
tono de voz apropiado para los negocios y utilizan el conocimiento interno de la
industria en su beneficio.
Baiting
Los ataques de ingeniería social no siempre tienen su origen en Internet: también
pueden empezar fuera de las redes. El baiting se refiere al caso en el que un
atacante deja un dispositivo infectado con malware (por ejemplo, una unidad USB) en
algún lugar fácil de encontrar. Estos dispositivos suelen estar etiquetados de forma
especial para crear curiosidad. Si alguien especialmente curioso (o avaricioso) lo
recoge y lo conecta a su equipo, este podría infectarse involuntariamente
con malware.
Scareware
El scareware es un tipo de malware que utiliza la ingeniería social para asustar a las
personas y conseguir que descarguen un falso software de seguridad o visiten un
sitio infectado con malware. El scareware suele aparecer en forma de ventanas
emergentes, que dicen ayudar a eliminar un virus informático que supuestamente
existe en su dispositivo. Una vez que se hace clic en la ventana emergente, se le
redirige a un sitio malicioso o se instala aún más malware sin que lo sepa.

Si sospecha que tiene scareware, u otro tipo de ventana emergente molesta, analice

de forma periódica su PC con una herramienta de eliminación de virus de confianza.

14
 Analizar periódicamente su dispositivo en busca de amenazas es una buena higiene
digital. Puede evitar futuros ataques de ingeniería social, e incluso puede ayudar a
mantener sus datos privados a salvo.
Pretexting
El pretexting consiste en crear un escenario falso, o «pretexto», que los estafadores
utilizan para engañar a sus víctimas. Los ataques de pretexting pueden producirse en
línea o no, y son uno de los trucos más eficaces para un ingeniero social: los
atacantes investigan mucho para hacerse pasar por auténticos.
No es fácil descubrir las artimañas de un pretexto, así que tenga cuidado al compartir
información confidencial con extraños. Y si alguien le llama con un problema urgente,
póngase en contacto con la organización para descartar un ataque de ingeniería social.
Honey trap
Una honey trap es un tipo de esquema de ingeniería social en el que un atacante atrae a
una víctima a una situación sexual vulnerable. El atacante aprovecha la situación como
una oportunidad para la sextorsión u otro tipo de chantaje. Los ingenieros sociales
suelen tender trampas enviando correos electrónicos de spam en los que afirman haber
estado «observando a través de su cámara web» o algo igualmente siniestro.
Si recibe un correo electrónico como este, compruebe que su cámara web es segura.
Mantenga la calma y no responda: estos correos no son más que spam.

15