“TRABAJO DE

INVESTIGACIÓN”
Instituto de Educación Superior
tecnológico

tokio
Seguridad
informática

DOCENTE: Harvey Santana

Tenazoa

CURSO: Desarrollo de sistemas

de informació n

CICLO: l
TURNO: Tarde

2022
DEDICATORIA

PRIMERAMENTE, A DIOS POR HABERME PERMITIDO LLEGAR A ESTE

PUNTO Y HABERME DADO SALUD, SER EL MANANTIAL DE VIDA Y
DARME LO NECESARIO PARA SEGUIR DIA A DIA PARA LOGRAR MIS
OBJETIVOS, ADEMAS DE SU INFINITA BONDAD Y AMOR

A MIS PADRES POR HABERME APOYADO EN TODO EN TODO

MOMENTO, POR SUS CONSEJOS, SUS VALORES, POR LA MOTIVACION
CONSTANTE QUE ME HA PEMITIDO SER UNA PERSONA DE BIEN, PERO
MAS QUE NADA.

AGRADEZCO A MI MADRE SU CONTINUO APOYO. POR SUS CONSEJOS,

SUS VALORES Y SU CONSTANTE MOTIVACIÓN, ESTO ME CONVIERTE
EN UNA BUENA PERSONA, PERO LO MÁS IMPORTANTE ES EL AMOR
POR ÉL. TOMEMOS COMO EJEMPLO A MI PADRE, ÉL MOSTRÓ SU
PERSEVERANCIA Y EL VALOR PARA SEGUIR ADELANTE.
 INDICE
CAPITULO I: AMENAZAS.....................................................................................................5
1.1 INGENIERIA SOCIAL.....................................................................................................5
1.2 TIPOS DE AMENAZAS..................................................................................................5
1.2.1 AMENAZAS POR EL ORIGEN..............................................................................6
1.2.3 AMENAZAS POR EL EFECTO.............................................................................6
1.2.4 AMENAZAS POR EL MEDIO UTILIZADO...........................................................6
1.3 AMENAZA INFORMATICA DEL FUTURO.................................................................7
CAPITULO II: ANALISIS DE RIESGO.................................................................................8
2.1 ELEMENTOS DE UN ANALISIS DE RIESGO............................................................8
2.2 TIPOS DE RIESGOS......................................................................................................8
2.2.1 RIESGO ESTRATEGICO.......................................................................................8
2.2.3 RIESGO DE IMAGEN.............................................................................................8
2.2.4 RIESGO OPERATIVO............................................................................................8
2.2.5 RIESGO FINANCIERO...........................................................................................8
2.2.6 RIESGO DE CUMPLIMIENTO..............................................................................9
2.2.7 RIESGO TECNOLOGICO......................................................................................9
CAPITULO III: ANALISIS DE IMPACTOAL NEGOCIO................................................10
CAPITULO IV: MECANISMO DE SEGURIDAD...............................................................11
4.1 TIPOS.............................................................................................................................11
4.1.1 MECANISMOS DE SEGURIDAD GENERALIZADOS.....................................11
4.1.2 MECANISMOS DE SEGURIDAD ESPECIFICOS............................................11
4.1.3 CONTROLES DISUASIVOS................................................................................11
4.1.4 CONTROLES PREVENTIVOS............................................................................11
4.1.5 CONTROLES CORRECTIVOS...........................................................................11
CAPITULO V: PUESTO EN MARCHA DE UNA POLITICA DE SEGURIDAD............12
SUGERENCIAS.......................................................................................................................13
BIBLIOGRAFIAS....................................................................................................................14
OBJETIVOS

La seguridad informática debe establecer normas que minimicen los riesgos a

la información o infraestructura informática. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles
de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen
nivel de seguridad informática minimizando el impacto en el desempeño de
los trabajadores y de la organización en general y como principal contribuyente al uso
de programas realizados por programadores.
La seguridad informática está concebida para proteger los activos informáticos, entre
los que se encuentran los siguientes:

 La infraestructura computacional: es una parte fundamental para el

almacenamiento y gestión de la información, así como para el funcionamiento
mismo de la organización. La función de la seguridad informática en esta área es
velar por que los equipos funcionen adecuadamente y anticiparse en caso de
fallos, robos, incendios, sabotajes, desastres naturales, fallos en el suministro
eléctrico y cualquier otro factor que atente contra la infraestructura informática.

 Los usuarios: son las personas que utilizan la estructura tecnológica, zona de
comunicaciones y que gestionan la información. Debe protegerse el sistema en
general para que el uso por parte de ellos no pueda poner en entredicho la
seguridad de la información y tampoco que la información que manejan o
almacenan sea vulnerable.
 La información: esta es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios.
CAPITULO I: AMENAZAS

En este capítulo se analizará los tipos de amenazas relacionados a la seguridad

informática, las bases principales, sus componentes, términos usados, criptografía y
los diferentes mecanismos de prevención, corrección en seguridad informática.
1.1 INGENIERIA SOCIAL

La ingeniería social funciona aprovechando los prejuicios cognitivos de las personas.

Un atacante de ingeniería social se hace pasar por alguien simpático, digno de
confianza o con autoridad y engaña a la víctima para que confíe en él. Una vez que la
víctima confía en el atacante, es manipulada para que revele información privada.
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para
engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna
otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa,
adicionalmente, el envío de solicitudes de renovación de permisos de acceso a
páginas web o correos electrónicos falsos que solicitan respuestas e incluso las
famosas cadenas, llevando así a revelar sus credenciales de acceso o información
sensible, confidencial o crítica.
Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente
a reaccionar de manera predecible en ciertas situaciones, por ejemplo proporcionando
detalles financieros a un aparente funcionario de un banco, en lugar de tener que
encontrar agujeros de seguridad en los sistemas informáticos.

 La ingeniería Social está definida como un ataque basado en engañar a un usuario

o administrador de un sitio en la internet, para poder ver la información que ellos
quieren.
 Se hace para obtener acceso a sistemas o información útil.
 Los objetivos de la ingeniería social son fraude, intrusión de una red.

1.2 TIPOS DE AMENAZAS

Encontramos dos tipos de amenazas de seguridad informática, las intencionales y las
no intencionales.

 Las amenazas informáticas intencionales son las que se producen como

consecuencia de un intento deliberado de robo de información. Los ataques D-
DOS de denegación de servicio, las técnicas de ingeniería social y la
propagación del código malicioso serían, por tanto, amenazas informáticas
deliberadas e intencionales.
 También existen las amenazas informáticas no intencionales. Son aquellas en
las que por acción u omisión se expone una vulnerabilidad que pone en riesgo
la información de la que dispones en tu computadora. Por ejemplo, un incendio
en el lugar en el que se encuentra tu servidor puede dar lugar a la pérdida de
información, aunque éste sea completamente accidental.

En este sentido, hay que entender que incluso si tenemos los mejores sistemas de
seguridad para evitar que otras personas puedan aprovechar nuestras
vulnerabilidades, aun así, existe el riesgo de pérdida de información, como
consecuencia de las catástrofes naturales, que son también una amenaza para la
integridad de los datos
 1.2.1 AMENAZAS POR EL ORIGEN
El hecho de conectar un sistema a un entorno externo nos da la posibilidad de que
algún atacante pueda entrar en ella y hurtar información o alterar el funcionamiento de
la red. Sin embargo el hecho de que la red no esté conectada a un entorno externo,
como Internet, no nos garantiza la seguridad de la misma. De acuerdo con
el Computer Security Institute (CSI) de San Francisco, aproximadamente entre el 60 y
80 por ciento de los incidentes de red son causados desde dentro de la misma.
Basado en el origen del ataque podemos decir que existen dos tipos de amenazas:

 Amenazas internas: generalmente estas amenazas pueden ser más serias que las
externas, por varias razones como:

 Si es por usuarios o personal técnico, conocen la red y saben cómo es su

funcionamiento, ubicación de la información, datos de interés, etc. Además,
tienen algún nivel de acceso a la red por las mismas necesidades de su
trabajo, lo que les permite mínimos movimientos.
 Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos
no efectivos en amenazas internas por no estar, habitualmente, orientados
al tráfico interno. Que el ataque sea interno no tiene que ser
exclusivamente por personas ajenas a la red, podría ser por
vulnerabilidades que permiten acceder a la red directamente: rosetas
accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc.

 Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al

no tener información certera de la red, un atacante tiene que realizar ciertos
pasos para poder conocer qué es lo que hay en ella y buscar la manera de
atacarla. La ventaja que se tiene en este caso es que el administrador de la
red puede prevenir una buena parte de los ataques externos.

1.2.3 AMENAZAS POR EL EFECTO

El tipo de amenazas según el efecto que causan a quien recibe los ataques podría
clasificarse en:

 Robo de información.
 Destrucción de información.
 Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.
 Suplantación de la identidad, publicidad de datos personales o confidenciales,
cambio de información, venta de datos personales, etc.
 Robo de dinero, estafas...

1.2.4 AMENAZAS POR EL MEDIO UTILIZADO

Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser
distinto para un mismo tipo de ataque:

 Virus informático: malware que tiene por objeto alterar el normal funcionamiento de

la computadora, sin el permiso o el conocimiento del usuario. Los virus,
habitualmente, reemplazan archivos ejecutables por otros infectados con
el código de este. Los virus pueden destruir, de manera intencionada,
los datos almacenados en un computadora, aunque también existen otros más
inofensivos, que solo se caracterizan por ser molestos.
 Phishing.
 Ingeniería social.
 Denegación de servicio.
 Spoofing: de DNS, de IP, de DHCP, etc.

1.3 AMENAZA INFORMATICA DEL FUTURO

Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnológicas,
ahora las tendencias cibercriminales indican que la nueva modalidad es manipular los
certificados que contienen la información digital. El área semántica, era reservada para
los humanos, se convirtió ahora en el núcleo de los ataques debido a la evolución de
la Web 2.0 y las redes sociales, factores que llevaron al nacimiento de la generación
3.0.
Se dice que “la Web 3.0 otorga contenidos y significados de manera tal que pueden
ser comprendidos por las computadoras, las cuales -por medio de técnicas de
inteligencia artificial- son capaces de emular y mejorar la obtención de conocimiento,
hasta el momento reservada a las personas”. Es decir, se trata de dotar de significado
a las páginas web, y de ahí el nombre de web semántica o sociedad del conocimiento,
como evolución de la ya pasada sociedad de la información.
En este sentido, las amenazas informáticas que viene en el futuro ya no son con la
inclusión de troyanos en los sistemas o softwares espías, sino con el hecho de que los
ataques se han profesionalizado y manipulan el significado del contenido virtual.

 “La Web 3.0, basada en conceptos como elaborar, compartir y significar, está
representando un desafío para los hackers que ya no utilizan las plataformas
convencionales de ataque, sino que optan por modificar los significados del
contenido digital, provocando así la confusión lógica del usuario y permitiendo de
este modo la intrusión en los sistemas”, La amenaza ya no solicita la clave de
homebanking del desprevenido usuario, sino que directamente modifica el balance
de la cuenta, asustando al internauta y, a partir de allí, sí efectuar el robo del
capital”.
 Obtención de perfiles de los usuarios por medios, en un principio, lícitos:
seguimiento de las búsquedas realizadas, históricos de navegación, seguimiento
con geo posicionamiento de los móviles, análisis de las imágenes digitales subidas
a Internet, etc.
Para no ser presa de esta nueva ola de ataques más sutiles, se recomienda:

 Mantener las soluciones activadas y actualizadas.

 Evitar realizar operaciones comerciales en computadoras de uso público o en redes
abiertas.
 Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso
de duda.
 DMS en el Data Center.
CAPITULO II: ANALISIS DE RIESGO

Es un proceso que comprende la identificación de activos informáticos,

sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas
financieras o administrativas a una empresa u organización, se tiene la necesidad de
poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta
mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben
ser implementados en conjunto formando una arquitectura de seguridad con la
finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad
de los recursos objetos de riesgo.

2.1 ELEMENTOS DE UN ANALISIS DE RIESGO

El proceso de análisis de riesgo genera habitualmente un documento al cual se le
conoce como matriz de riesgo. En este documento se muestran los elementos
identificados, la manera en que se relacionan y los cálculos realizados. Este análisis
de riesgo es indispensable para lograr una correcta administración del riesgo. La
administración del riesgo hace referencia a la gestión de los recursos de la
organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total,
así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo
entre otras. La fórmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los
controles podremos obtener el riesgo residual

2.2 TIPOS DE RIESGOS

2.2.1 RIESGO ESTRATEGICO
Se asocia con la forma en que se administra la organización. El manejo del riesgo
estratégico se enfoca en asuntos globales relacionados con la misión y el
cumplimiento de los objetivos estratégicos, la clara definición de las políticas de diseño
y conceptualización de la organización por parte de la alta gerencia.

2.2.3 RIESGO DE IMAGEN

Está relacionado con la percepción y confianza por parte de la sociedad hacia la
organización.

2.2.4 RIESGO OPERATIVO

Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas
de información, de la definición de procesos de negocio, de la estructura de la
organización y de la articulación entre áreas o dependencias.

2.2.5 RIESGO FINANCIERO

Se relacionan con el manejo de los recursos de la organización que incluyen:

 La ejecución presupuestal.
 La elaboración de los estados financieros.
 Los pagos.
 Los manejos de excedentes y el manejo sobre los bienes.

2.2.6 RIESGO DE CUMPLIMIENTO

Se asocian con la capacidad de la organización para cumplir con los requisitos legales,
estructurales, de ética y en general con su compromiso ante la sociedad y el estado.

2.2.7 RIESGO TECNOLOGICO

Están relacionados con la capacidad tecnológica de la organización para satisfacer
sus necesidades actuales y futuras, y el cumplimiento de la misma
CAPITULO III: ANALISIS DE IMPACTOAL NEGOCIO

El reto es asignar estratégicamente los recursos para cada equipo de seguridad y

bienes que intervengan, basándose en el impacto potencial para el negocio, respecto
a los diversos incidentes que se deben resolver.4
Para determinar el establecimiento de prioridades, el sistema de gestión de incidentes
necesita saber el valor de los sistemas de información que pueden ser potencialmente
afectados por incidentes de seguridad. Esto puede implicar que alguien dentro de la
organización asigne un valor monetario a cada equipo y un archivo en la red o asignar
un valor relativo a cada sistema y la información sobre ella. Dentro de los valores para
el sistema se pueden distinguir: confidencialidad de la información, la integridad
(aplicaciones e información) y finalmente la disponibilidad del sistema. Cada uno de
estos valores es un sistema independiente del negocio, supongamos el siguiente
ejemplo, un servidor web público pueden poseer la característica de confidencialidad
baja (ya que toda la información es pública) pero necesita alta
disponibilidad e integridad, para poder ser confiable. En contraste, un sistema
de planificación de recursos empresariales (ERP) es, habitualmente, un sistema que
posee alto puntaje en las tres variables.
Los incidentes individuales pueden variar ampliamente en términos de alcance e
importancia.
CAPITULO IV: MECANISMO DE SEGURIDAD

Un mecanismo de seguridad (también llamado herramienta de seguridad o control) es

una técnica que se utiliza para implementar un servicio, es decir, es aquel mecanismo
que está diseñado para detectar, prevenir o recobrarse de un ataque de seguridad.
Los mecanismos de seguridad implementan varios servicios básicos de seguridad o
combinaciones de estos servicios básicos, los servicios de seguridad especifican "qué"
controles son requeridos y los mecanismos de seguridad especifican "cómo" deben
ser ejecutados los controles.
No existe un único mecanismo capaz de proveer todos los servicios, sin embargo, la
mayoría de ellos hace uso de técnicas criptográficas basadas en el cifrado de la
información. Los mecanismos pueden ser clasificados como preventivos, detectivos, y
recuperables.
4.1 TIPOS
De forma general, los mecanismos de seguridad se pueden clasificar en dos
categorías:

4.1.1 MECANISMOS DE SEGURIDAD GENERALIZADOS

Se relacionan directamente con los niveles de seguridad requeridos y algunos de
estos mecanismos están relacionados al manejo de la seguridad y permiten
determinar el grado de seguridad del sistema ya que se aplican a este para cumplir la
política general.

4.1.2 MECANISMOS DE SEGURIDAD ESPECIFICOS

Definen la implementación de servicios concretos. Los más importantes son los
siguientes: confidencialidad, no repudio, integridad, autenticación, control de acceso y
disponibilidad.

4.1.3 CONTROLES DISUASIVOS

Reducen la probabilidad de un ataque deliberado

4.1.4 CONTROLES PREVENTIVOS

Protegen vulnerabilidades y hacen que un ataque fracase o reduzca su impacto.

4.1.5 CONTROLES CORRECTIVOS

Reducen el efecto de un ataque.
CAPITULO V: PUESTO EN MARCHA DE UNA
POLITICA DE SEGURIDAD

Actualmente las legislaciones nacionales de los Estados, obligan a las empresas,

instituciones públicas a implantar una política de seguridad. Por ejemplo, en España,
la Ley Orgánica de Protección de Datos de carácter personal (LOPD) y su normativa
de desarrollo, protege ese tipo de datos estipulando medidas básicas y necesidades
que impidan la pérdida de calidad de la información o su robo. También en ese país,
el Esquema Nacional de Seguridad establece medidas tecnológicas para permitir que
los sistemas informáticos que prestan servicios a los ciudadanos cumplan con unos
requerimientos de seguridad acordes al tipo de disponibilidad de los servicios que se
prestan.
Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los
datos y recursos con las herramientas de control y mecanismos de identificación.
Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se
les dio.
La seguridad informática debe ser estudiada para que no impida el trabajo de los
operadores en lo que les es necesario y que puedan utilizar el sistema informático con
toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene:

 Elaborar reglas y procedimientos para cada servicio de la organización.

 Definir las acciones a emprender y elegir las personas a contactar en caso de
detectar una posible intrusión.
 Sensibilizar a los operadores con los problemas ligados con la seguridad de los
sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables
jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir
que los recursos y derechos de acceso sean coherentes con la política de seguridad
definida. Además, como el administrador suele ser el único en conocer perfectamente
el sistema, tiene que derivar a la directiva cualquier problema e información relevante
sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así
como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y
recomendaciones en término de seguridad informática.
SUGERENCIAS

1.  «¿Qué es la ciberseguridad?». kaspersky.com. Consultado el 5 de abril de

2019.
2. "What is Computer security?", Matt Bishop, IEEE Security and Privacy
Magazine 1(1):67 - 69, 2003. DOI: 10.1109/MSECP.2003.1176998
3. «Phishing: Qué es, Cómo funciona y Cómo identificarlo - Mailjet». Email
marketing software - Mailjet. 10 de diciembre de 2019. Consultado el 3 de
septiembre de 2021.
4. Noticias Vigo. «La inversión en ciberseguridad crecerá hasta los 250 mil
millones de dólares en 2023». https://www.noticiasvigo.es. Consultado el 14 de
noviembre de 2018.
5. Un Enfoque en la Protección de Sistemas de Agentes. Antonio Muñoz Gallego.
Departamento de Lenguaje y Ciencias de la Computación. Universidad de
Málaga
6. IMPLEMENTACION DE UN GESTOR DE SEGURIDAD DE LA INFORMACION
Y GESTION DE EVENTOS (SIEM). Juan David Pedroza Arango. Universidad
de San Buenaventura. Medellín 2016
7. Diariocritico.com. «Sale a la luz la guía nacional de estrategia de
ciberseguridad». Consultado el 18 de octubre de 2018.
8. «POLÍTICA NACIONAL DE SEGURIDAD DIGITAL EN COLOMBIA». 2016.
9. Ar, José Luis (11 de junio de 2018). «Al usuario, ¿cómo le afecta el nuevo
Reglamento de Protección de Datos?». Canal Jurídico. Consultado el 4 de
septiembre de 2019.
10.Rochina, Paula (12 de julio de 2016). 
11.«Ciberseguridad: Perfil profesional y salidas laborales». Canal Informática y
TICS. Consultado el 4 de septiembre de 2019.
BIBLIOGRAFIAS
Aguirre, J. R. (2006). Libro electrónico de seguridad Informática y Criptografía.
Madrid, España: Universidad Politécnica de Madrid.
Aguilera, P. (2011). Redes seguras (Seguridad informática). Madrid, España: Editex.
Beynon-Davies, P. (2015). Sistemas de información: introducción a la informática en
las organizaciones. Barcelona, España: Editorial Reverté.
Cañon Parada, L. J. (2015). Ataques informáticos, Ethical Hacking y conciencia de
seguridad informática en niños. (Trabajo de Fin de Grado). Universidad Piloto,
Colombia.
Carpentier, J. F. (2016). La seguridad informática en la PYME: Situación actual y
mejores prácticas. Barcelona, España: Ediciones ENI.
CERTSI. (2014). OSINT - La información es poder. España. Recuperado de: https://
www.certsi.es/blog/osint-la-informacion-es-poder.
Costas Santos, J. (2011). Seguridad informática. Bogotá, Colombia: Ra-ma Editorial.
Hadnagy, C. (2011). Ingeniería social: el arte del hacking personal. Murcia, España:
Ediciones Anaya Multimedia.
INCIBE. (7 septiembre del 2015). Comparativa de empresas sobre la concienciación
en ciberseguridad [Archivo de vídeo]. Recuperado de: https://www.youtube.com/
watch?v=Y6vO2HxrEPc
López, P. A. (2010). Seguridad informática. Madrid, España: Editex.
Marrero Travieso, Y. (2003). La Criptografía como elemento de la seguridad
informática. Acimed, 11(6).
Rodríguez, S. (2018). Ciberseguridad práctica: Servidores y estaciones de trabajo
[Archivo de vídeo]. Recuperado de: https://www.video2brain.com/mx/cursos/
ciberseguridad-practica-servidores-y-estaciones-de-trabajo
Santos, J. C. (2014). Seguridad y alta disponibilidad. Bogotá, Colombia: Ra-ma
Editorial.
Tejada, E. C. (2015). Auditoría de seguridad informática. IFCT0109. Antequera,
España: IC Editorial.
Tovar Valencia, O. (2015). Inyección de SQL, tipos de ataques y prevención en ASP.
NET C++ (Trabajo de Fin de Grado). Universidad Piloto, Colombia.
Vieites, Á. G. (2013). Auditoría de seguridad informática. Bogotá, Colombia: Ediciones
de la U.