4

6 Unidad 4

RA4: Dar soporte a la plataforma tecnológica de la institución en materia de seguridad,

de acuerdo con los estándares de la industria y las normas de la institución.

vamos a conocer...
Ingeniería Social

Fuente de amenazas:

IoT (El internet de las cosas)

Uso seguro de las redes de

datos

Normativas y certificaciones

y al finalizar esta unidad...

Reconocerá diversos sistemas peligros
que enfrentan las redes de datos.

Entenderá el funcionamiento de IOT y su

impacto para la tecnologia de
automatización del hogar

Identificará las principales leyes y

reglamentos que regularizan las
telecomunicaciones en nuestro pais.
Módulo Formativo (MF): SEGURIDAD Y DOMÓTICA
Código: MF_068_3

RA7.4: Dar soporte a la plataforma tecnológica de la institución en materia de seguridad,

de acuerdo con los estándares de la industria y las normas de la institución.

INDICE

4.1.- Ingeniería Social ................................................................................................. 1

4.2.- Fuente de amenazas: ........................................................................................ 1
- Hacking ................................................................................................................ 1
- Malware ............................................................................................................... 2
- Phishing................................................................................................................. 2
- DNS Rebind .......................................................................................................... 3
- Keylogger ............................................................................................................. 3
- Spoofing ............................................................................................................... 3
- Heartbleed ........................................................................................................... 3
- Stuxnet .................................................................................................................. 3

4.3.- IoT (El internet de las cosas) .............................................................................. 4

4.4.- Uso seguro de las redes de datos..................................................................... 5

- Robo de información .............................................................................................. 5

- Destrucción de información ................................................................................... 6
- Denegación de servicios ........................................................................................ 6
- Suplantación de la identidad ................................................................................. 6
- Publicidad o venta de datos personales o confidenciales ................................. 6
- Redes sociales .......................................................................................................... 7
- Certificados .............................................................................................................. 7
4.5. - Protección física de acceso a las redes ......................................................... 7
Appliances.................................................................................................................. 7
Software de seguridad .............................................................................................. 8

4.6.- Normativas y certificaciones............................................................................. 8

- Auditorías .................................................................................................................. 8
- ISO 9001/2000 o equivalente .................................................................................. 9
- PCI-DSS ...................................................................................................................... 9
- Ley INDOTEL 53-07 .................................................................................................... 9
4.1.- INGENIERÍA SOCIAL

La Ingeniería Social es el acto de manipular a una persona a través de técnicas

psicológicas y habilidades sociales para cumplir metas específicas. Éstas contemplan entre
otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una
actividad más elaborada (como el robo de un activo), pudiendo ser o no del interés de la
persona objetivo.
La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el eslabón más débil”.
Dado que no hay un solo sistema en el mundo que no dependa de un ser humano, la
Ingeniería Social es una vulnerabilidad universal e independiente de la plataforma
tecnológica. A menudo, se escucha entre los expertos de seguridad que la única
computadora segura es la que esté desenchufada, a lo que, los amantes de la Ingeniería
Social suelen responder que siempre habrá oportunidad de convencer a alguien de
enchufarla.
La Ingeniería Social es un arte que pocos desarrollan debido a que no todas las personas
tienen “habilidades sociales”. Aún así, hay individuos que desde pequeños han
demostrado tener la aptitud y con un poco de entrenamiento convertirla en el camino
ideal para realizar acciones maliciosas. Por ejemplo, hay crackers que en vez de perder
horas rompiendo una contraseña, prefieren conseguirla preguntando por teléfono a un
empleado de soporte técnico.

4.2.- FUENTES DE AMENAZAS

Las formas de ataque son muy variadas y dependen de la imaginación del atacante y sus
intereses. En general, los ataques de Ingeniería Social actúan en dos niveles: el físico y el
psicosocial. El primero describe los recursos y medios a través de los cuales se llevará a cabo
el ataque, y el segundo es el método con el que se engañará a la víctima.

- Hacking
Un hacker en el ámbito de la informática, es una persona apasionada, curiosa,
dedicada, LIBRE, comprometida con el aprendizaje y con enormes deseos de mejorar
sus habilidades y conocimientos. En muchos casos, no solamente en el área de la
informática. La filosofía de esta cultura se extiende a cualquier área del conocimiento
humano donde la creatividad y la curiosidad son importantes.
Existen diferentes clasificaciones de “Hackers” en la medida que esta cultura se ha ido
consolidando y dando a conocer, estas son:
Black Hats:
Un Black Hat, es una clase de hacker dedicada a la obtención y explotación de
vulnerabilidades en sistemas de información, bases de datos, redes informáticas,
sistemas operativos, determinados productos de software, etc. Por lo tanto son también
conocidos como atacantes de sistemas y expertos en romper la seguridad de los

DOMOTICA Y SEGURIDAD / 1
mismos para diversos fines (normalmente en busca de su propio beneficio).

White Hats:
Un white hat es una clase de hacker dedicado a la corrección de vulnerabilidades de
software, definición de metodologías, medidas de seguridad y defensa de sistemas por
medio de distintas herramientas, son aquellas personas que se dedican a la seguridad
en aplicaciones, sistemas operativos y protección de datos sensibles, garantizando de
esta forma la confidencialidad de la información de los usuarios.
Gray Hats:
Un Gray Hat es una clase de hacker que se dedica tanto a la obtención y explotación
de vulnerabilidades como a la defensa y protección de sistemas, por lo tanto puede
decirse que un Gray Hat, frecuentemente esta catalogado como un hacker con
habilidades excepcionales y que sus actividades se encuentran en algún punto entre
las desempeñadas por los white hat hackers y los black hat hackers.

- Malware
Malware o “software malicioso” es un término amplio que describe cualquier programa
o código malicioso que es dañino para los sistemas.
El malware hostil, intrusivo e intencionadamente desagradable intenta invadir, dañar
o deshabilitar ordenadores, sistemas informáticos, redes, tabletas y dispositivos móviles,
a menudo asumiendo el control parcial de las operaciones de un dispositivo. Al igual
que la gripe, interfiere en el funcionamiento normal.
La intención del malware es sacarle dinero al usuario ilícitamente. Aunque el malware
no puede dañar el hardware de los sistemas o el equipo de red —con una excepción
que se conozca (vea la sección Android de Google)—, sí puede robar, cifrar o borrar
sus datos, alterar o secuestrar funciones básicas del ordenador y espiar su actividad en
el ordenador sin su conocimiento o permiso.

- Phishing.
El termino Phishing es utilizado para referirse a uno de los métodos mas utilizados por
delincuentes cibernéticos para estafar y obtener información confidencial de forma
fraudulenta como puede ser una contraseña o información detallada sobre tarjetas
de crédito u otra información bancaria de la victima.
El estafador, conocido como phisher, se vale de técnicas de ingeniería social,
haciéndose pasar por una persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema
de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso
utilizando también llamadas telefónicas.

DOMOTICA Y SEGURIDAD / 2
- DNS Rebind
La revinculación de DNS o DNS rebinding es un ataque informático basado en DNS
donde el atacante aprovecha una vulnerabilidad para transformar el equipo en un
proxy de red.1 Para esto utiliza código embebido en páginas web aprovechándose
de la política del mismo origen de los navegadores.

- Keylogger
Un keylogger, también conocido como keystroke logging, puede ser un software o
dispositivo que se encarga de registrar y almacenar todas las pulsaciones del teclado
que un usuario realiza en una computadora o dispositivo móvil a medida que escribe.
La información obtenida por un keylogger puede ser almacenada en un archivo de
texto o en la memoria de la computadora, para luego ser enviada hacia el servidor de
un atacante de diferentes maneras.

- Spoofing
La suplantación de identidad no es algo nuevo; el intento de hacerse pasar por otra
persona para sacar provecho de alguna manera es algo que siempre ha estado
presente. En la era de la comunicación, como no podía ser de otra manera, también
existe y se conoce con el nombre de spoofing, un anglicismo que podríamos traducir
como burla o pantomima.
El spoofing consiste en una serie de técnicas hacking, por lo general, con intenciones
maliciosas, creadas para suplantar la identidad de entidades o personas en la red, con
el objetivo de obtener información privada o para conseguir acceder a páginas con
una credencial falsa.

- Heartbleed
Heartbleed (español: hemorragia de corazón) es un agujero de seguridad de software
en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que
permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por
ejemplo, conseguir las claves privadas SSL de un servidor.1 Investigaciones de
auditorías muestran que, al parecer, algunos atacantes han explotado este error
desde al menos cinco meses antes de que fuera descubierto y publicado.

- Stuxnet
Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en
junio de 2010 por VirusBlokAda, una empresa de seguridad ubicada en Bielorrusia. Es el
primer gusano conocido que espía y reprograma sistemas industriales,1 en concreto
sistemas SCADA de control y monitorización de procesos, pudiendo afectar a
infraestructuras críticas como centrales nucleares.2
Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los

DOMOTICA Y SEGURIDAD / 3
 cambios realizados.3 También es el primer gusano conocido que incluye un rootkit para
sistemas reprogramables PLC.

4.3.- IoT (El internet de las cosas)

La internet de las cosas (en inglés,
Internet of things, abreviado IoT;1 IdC,
por sus siglas en español) es un
concepto que se refiere a una
interconexión digital de objetos
cotidianos con internet. Es, en
definitiva, la conexión de internet más
con objetos que con personas.
También se suele conocer como
internet de todas las cosas o internet en
las cosas. Si los objetos de la vida
cotidiana tuvieran incorporadas
etiquetas de radio, podrían ser
identificados y gestionados por otros
equipos de la misma manera que si lo
fuesen por seres humanos.

Constituye un cambio radical en la

calidad de vida de las personas en la
sociedad, ofrece una gran cantidad
de nuevas oportunidades de acceso a
datos, servicios específicos en la educación, seguridad, asistencia sanitaria y en el transporte,
entre otros campos.

El concepto de internet de las cosas fue propuesto en 1999, por Kevin Ashton, en el Auto-ID
Center del MIT,7 en donde se realizaban investigaciones en el campo de la identificación
por radiofrecuencia en red (RFID) y tecnologías de sensores.

Por ejemplo, si los libros, termostatos, refrigeradores, la paquetería, lámparas, botiquines,

partes automotrices, entre otros, estuvieran conectados a internet y equipados con
dispositivos de identificación, no existirían, en teoría, artículos fuera de stock o medicinas
caducas; sabríamos exactamente la ubicación, cómo se consumen en el mundo; el extravío
pasaría a ser cosa del pasado, y sabríamos qué está encendido y qué está apagado en
todo momento.

Se calcula que todo ser humano está rodeado, al menos, por un total de aproximadamente
1000 a 5000 objetos. Por un lado, según la empresa Gartner, en 2020 habrá en el mundo
aproximadamente 26 mil millones de dispositivos con un sistema de conexión al internet de
las cosas. Abi Research, por otro lado, afirma que para el mismo año existirán 30 mil millones
de dispositivos inalámbricos conectados a internet. Con la próxima generación de
aplicaciones de internet (protocolo IPv6) se podrían identificar todos los objetos, algo que no

DOMOTICA Y SEGURIDAD / 4
se podía hacer con IPv4. Este sistema sería capaz de identificar instantáneamente por medio
de un código a cualquier tipo de objeto.

La empresa estadounidense Cisco, que es quien está detrás de la iniciativa de la internet de

las cosas, ha creado un “contador de conexiones” dinámico que le permite estimar el
número de “cosas” conectadas desde julio del 2013 hasta 2020.16La conexión de dispositivos
a la red a través de señales de radio de baja potencia es el campo de estudio más activo
de la internet de las cosas. Este hecho explica por qué las señales de este tipo no necesitan
wi-fi ni bluetooth. Sin embargo, se están investigando distintas alternativas que necesitan
menos energía y que resultan más económicas, con el nombre Chirp Networks.

A la fecha de este artículo, el término internet de las cosas se usa con una denotación de
conexión avanzada de dispositivos, sistemas y servicios que va más allá del tradicional M2M
(máquina a máquina) y abarca una amplia variedad de protocolos, dominios y
aplicaciones.

El servicio touchatag de Alcatel-Lucent y el gadget Violeta Mirror pueden proporcionar un

enfoque de orientación pragmática a los consumidores de la internet de las cosas, por el
que cualquiera puede enlazar elementos del mundo real al mundo en línea utilizando las
etiquetas RFID (y códigos QR, en el caso de touchatag).

4.4.- USO SEGURO DE LAS REDES DE DATOS

Lo primero y más importante es evitar intrusos en nuestras cuentas. Hablamos de redes

sociales, correo electrónico, dispositivos… Siempre debemos cifrar correctamente nuestras
cuentas y registros. De esta forma crearemos una primera barrera para evitar la entrada de
intrusos que puedan hacerse con nuestros datos o información.

Para ello es vital tener una buena contraseña, que contenga letras (mayúsculas y
minúsculas), números y otros caracteres. También, siempre que sea posible, debemos activar
la autenticación en dos pasos. De esta forma aunque alguien lograra nuestra contraseña no
podría acceder sin ese segundo paso.

Estoy hay que aplicarlo también a los propios dispositivos. Es importante que no puedan
acceder a información confidencial en caso de tener acceso físico o remoto a un equipo.
Podemos utilizar herramienta de cifrado o crear copias de seguridad en dispositivos seguros.

- Robo de información
Los delincuentes pueden acceder fácilmente a tus los si logran conectarse a la red de una
empresa.

Para evitarlo, se deben llevar a cabo medidas de prevención para protegerla como permitir
que solo los empleados puedan conectarse a ella, no compartir la clave de acceso,
configurar una red independiente para tus clientes y proveedores, utilizar sistemas de

DOMOTICA Y SEGURIDAD / 5
seguridad como WEP, WPA y WPA2 en la red, entre otras.

- Destrucción de información
Cuando la información deja de ser necesaria para las empresas llega a la última fase de su
ciclo de vida y es necesario su destrucción de forma segura. Esta opción es indispensable si
queremos que la información no vuelva a ser accesible y cumplir con la Ley de Protección
de Datos, cuando contenga datos de carácter personal.

También debemos utilizar el borrado seguro cuando queremos reutilizar un soporte o

deshacernos de un soporte que se ha quedado obsoleto.

- Denegación de servicios
Un ataque de denegación de servicio, tiene como objetivo inhabilitar el uso de un sistema,
una aplicación o una máquina, con el fin de bloquear el servicio para el que está destinado.
Este ataque puede afectar, tanto a la fuente que ofrece la información como puede ser una
aplicación o el canal de transmisión, como a la red informática.

Los servidores web poseen la capacidad de resolver un número determinado de peticiones

o conexiones de usuarios de forma simultánea, en caso de superar ese número, el servidor
comienza a ralentizarse o incluso puede llegar a no ofrecer respuesta a las peticiones o
directamente bloquearse y desconectarse de la red.

- Suplantación de la identidad
La Suplantación de Identidad es una expresión informática que se emplea para referirnos a
los abusos informáticos cometidos por delincuentes para estafar, obtener información
personal, contraseñas, etc. de forma ilegal.

El Pisher o delincuente cibernético mediante el uso de la ingeniera social (Seguridad

Informática), suplanta la identidad de una persona o empresa de confianza en una
aparente comunicación oficial electrónica, como puede ser Email, WhatsApp, Redes
Sociales, llamadas telefónicas o SMS.

- Publicidad o venta de datos personales o confidenciales

Para evitar este tipo de fraude, el usuario debe quedarse atento a las solicitudes de
consentimiento hechas por las organizaciones con quienes tiene contacto. Es igualmente
importante saber cómo se recopilará y manejará las informaciones.

Para protegerse, debes comprender exactamente a qué da su consentimiento. Cada

autorización tiene un propósito específico y se debe aplicar en general.

También es importante que el usuario evalúe la relevancia de los datos solicitados para la
operación que se realiza. Observe si, de hecho, tiene sentido transmitir la información. Así
evitas de compartir datos innecesarios para la actividad virtual.

DOMOTICA Y SEGURIDAD / 6
- Redes sociales
En cuanto a la protección de la Redes Sociales debe tener en cuenta que, si lo hacemos sin
tomar una serie de precauciones, toda la información que publicamos puede terminar
siendo accesible por otros usuarios de la red social, quienes si se lo propusieran podrían
realizar una radiografía de nuestras vidas, y perjudicar nuestra identidad digital. Esta es una
táctica muy utilizada por los ciberdelincuentes. Ellos utilizan nuestras publicaciones para
conseguir información personal, suplantar identidades, robar credenciales o incluso
chantajearnos pidiéndonos algo a cambio de no distribuir una imagen o publicación.

- Certificados
Los certificados actúan como prueba de identidad vinculante y suele contener información
con la que el navegador y el servidor pueden elaborar el cifrado ya no tienen que trabajar
con el protocolo SSL, sino con TLS (Transport Layer Security), más nuevo y más seguro.

No obstante, en la práctica se habla sobre todo de certificados SSL para hacer referencia a
la protección de la página web y del servidor mediante la tecnología de encriptación. En sí,
un certificado es un simple registro: un archivo contiene abundante información, entre la que
se encuentra el nombre del expedidor, el número de serie o la huella dactilar para el cifrado.
Los certificados adoptan diversos formatos de archivo y si el gestor de una página web quiere
utilizar uno determinado, tiene que instalarlo en el servidor.

4.5.- PROTECCIÓN FÍSICA DE ACCESO A LAS REDES

La Protección física se refiere a los controles y mecanismos de seguridad dentro y alrededor

del Centro de computo así como los medios de acceso remoto del mismo; implementados
para proteger el hardware y medios de almacenamiento de datos. Es muy importante, que
por más que nuestra organización sea la más segura desde el punto de vista de ataques
externos, hackers, virus, etc; la seguridad de la misma será nula si no se ha previsto como
combatir un incendio.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema
informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como
la detección de un atacante interno a la empresa que intenta acceder físicamente a una
sala de operaciones de la misma. Esto puede derivar en que para un atacante sea mas fácil
lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

• Appliances
Los appliances son dispositivos de hardware dedicados (se encargan de realizar un
número determinado de funciones), habitualmente diseñados para instalarse en un
rack, que funcionan con software específicamente diseñado para ellos. No están
restringidos a las tareas de seguridad, pueden realizar cualquier otra función (servidor
DOMOTICA Y SEGURIDAD / 7
de ficheros, de búsquedas, de correo, copias seguridad, etc.), pero en este caso
únicamente vamos a tratar sobre los que realizan tareas relacionadas con la
protección.

En contra de lo que se pudiera pensar, estos equipos no son únicamente adecuados

para grandes corporaciones, dependiendo su uso más de las características de
funcionamiento de nuestra empresa que del tamaño de esta.

• Software de Seguridad
El software de seguridad está diseñado para proteger los ordenadores de los
programas maliciosos, como virus y malware. Es importante contar con un software
de seguridad instalado en su equipo para protegerlo. Dicho esto, cuando no está
configurado correctamente, el software de seguridad puede causar problemas de
interacción con sus juegos WildTangent.

Problemas tales como sesiones libres bloqueados de juegos, mensajes de error,

descargas fallidas, juegos de cerrar de forma inesperada, los datos guardados
"desaparecen", y de manera entera de otras cosas.

El software de seguridad se actualiza continuamente. Semanales, mensuales,

trimestrales - todo el tiempo. Y para la mayoría de los usuarios se realiza en segundo
plano, por lo que no se dan cuenta; hasta que empiece a recibir notificaciones
cuando usted no lo hizo antes.

4.6.- NORMATIVAS Y CERTIFICACIONES

- Auditorías
La auditoría de redes es el conjunto de medidas que se toman con el fin de realizar un análisis
completo de la situación general y los datos de una determinada red o de un conjunto de
redes. El objetivo de este estudio es determinar que la red en cuestión cumple con todos los
requisitos de seguridad y está protegida mediante las nuevas amenazas así como ante
posibles ataques o problemas propios de un sector concreto. Una auditoría de red, por tanto,
nos da información relevante sobre la situación de los datos y el cumplimiento de políticas,
regulaciones y medidas de seguridad recomendadas.

DOMOTICA Y SEGURIDAD / 8
- ISO 9001/2000 o equivalente
La norma ISO 9001 es una norma internacional donde se especifican los requisitos que debe
cumplir una empresa u organización para establecer un sistema de gestión de la Calidad.
Se centra en los elementos de Calidad con los que una empresa debe contar para tener un
sistema efectivo permitiéndole administrar y mejorar la Calidad de sus productos y servicios.

- PCI-DSS
Es un estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card
Industry Data Security Standard – PCI DSS) que fue desarrollado por un comité conformado
por las marcas de tarjeta (débito y crédito) más importantes, comité denominado PCI SSC
(Payment Card Industry Security Standards Council). Implica el cumplimiento de los requisitos
establecidos en el estándar a través de controles para la protección de los datos del titular
de la tarjeta y/o datos confidenciales de autenticación durante su procesamiento,
almacenamiento y/o transmisión.

- Ley INDOTEL 53-07

Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología.

El Instituto Dominicano de las Telecomunicaciones (INDOTEL), por órgano de su

Consejo Directivo y de conformidad con las disposiciones de la Ley General de
Telecomunicaciones, No. 153- 98, de fecha 27 de mayo de 1998, publicada en la
Gaceta Oficial No. 9983, reunido válidamente, previa convocatoria, dicta la
presente RESOLUCIÓN: Con motivo del inicio del proceso de consulta pública para
dictar el “Reglamento para la obtención y preservación de datos e informaciones
por parte de los proveedores de servicios, en aplicación de las disposiciones de la
Ley No. 53-07, sobre Crímenes y Delitos de Alta Tecnología.

En fecha 23 de abril de 2007, fue promulgada la Ley No. 53-07 sobre Crímenes y Delitos
de Alta Tecnología, que tiene por objeto la protección integral de los sistemas que
utilicen tecnologías de información y comunicación y su contenido, así como la
prevención y sanción de los delitos cometidos contra éstos o cualquiera de sus
componentes o los cometidos mediante el uso de dichas tecnologías en perjuicio de
personas física o morales, en los términos previstos en esta ley. La integridad de los
sistemas de información y sus componentes, la información o los datos, que se
almacenan o transmiten a través de éstos, las transacciones y acuerdos comerciales
o de cualquiera otra índole que se llevan a cabo por su medio y la confidencialidad
de éstos, son todos bienes jurídicos protegidos.

DOMOTICA Y SEGURIDAD / 9