Introducción

1.0.1

Primera vez en este curso

CyberOps Associate v1.0 abarca las destrezas y los conocimientos necesarios para asumir
con éxito las tareas, los deberes y las responsabilidades de los analistas en ciberseguridad
de nivel del asociado que trabajan en los centros de operaciones de seguridad (SOC).

Cuando los estudiantes finalicen CyberOps Associate v1.0, serán capaces de realizar las
siguientes tareas:

• Instalar máquinas virtuales para crear un entorno seguro para la implementación y el

análisis de los eventos de amenazas de ciberseguridad.
• Explicar el rol del analista de operaciones de ciberseguridad en la empresa.
• Explicar las funciones y las características del sistema operativo Windows necesarias
para el análisis de ciberseguridad.
• Explicar las funciones y las características del sistema operativo Linux.
• Analizar el funcionamiento de los protocolos y servicios de red.
• Explicar el funcionamiento de la infraestructura de red.
• Clasificar los diversos tipos de ataques a la red.
• Emplear herramientas de monitoreo de redes para identificar ataques a servicios y
protocolos de red.
• Explicar cómo evitar el acceso malicioso a las redes informáticas, los hosts y los datos.
• Explicar el impacto de la criptografía en el monitoreo de la seguridad de redes.
• Explicar cómo investigar los ataques y las vulnerabilidades de los terminales.
• Evaluar alertas de seguridad de la red.
• Analizar datos de intrusiones en redes para identificar vulnerabilidades y hosts
afectados.
• Aplicar modelos de respuesta ante incidentes para administrar los incidentes
relacionados con la seguridad de la red.
1.0.2

Recursos del Estudiante

Hay una serie de herramientas y recursos disponibles para usted que le ayudarán en su
viaje a medida que desarrolle sus habilidades de CyberOps y se prepare para oportunidades
de trabajo.

Entorno de Laboratorio

En este curso, se utilizan dos máquinas virtuales: CyberOps Workstation y Security Onion.
Estas máquinas virtuales proporcionan todas las aplicaciones y las últimas funciones de
supervisión de seguridad y análisis de intrusiones de red necesarias para el curso.

El requisito mínimo de memoria RAM para ejecutar máquinas virtuales CyberOps

Workstation es de 1 GB. Sin embargo, para la máquina virtual Security Onion, se recomienda
4 GB de RAM. Los requisitos de memoria RAM permiten que los servicios, tales como el
monitoreo de seguridad de red (Network Security Monitoring, NSM) en Security Onion,
funcionen correctamente.

Los laboratorios de instalación están disponibles en el curso y proporcionan pasos

detallados para configurar correctamente las máquinas virtuales y el entorno de laboratorio.

Acerca de Security Onion

Security Onion es desarrollada por Security Onion Solutions. Security Onion está disponible
bajo Licencia General Pública. Este curso utiliza una formación básica en el uso de Security
Onion para validar los objetivos de este curso. Para obtener más información sobre
necesidades de formación, visite el sitio para desarrolladores de Security Onion Solutions

Packet Tracer
Packet Tracer simula el funcionamiento interno de una red y es utilizado en este curso.
Descargue e instale la última versión de Packet Tracer aquí: Packet Tracer Resources.

Si es nuevo en Packet Tracer, tome ahora este curso gratuito, corto y en línea: Introducción
al Curso de Tracer de Paquetes.

Puede hacer uso de su smartphone, tablet o PC para acceder al curso; sin embargo, para
las actividades de Packet Tracer, así como también para otras actividades, pruebas y
exámenes, obtendrá una mejor experiencia si usa una PC.

Participe en nuestras comunidades

Conéctese y obtenga ayuda de otros estudiantes de Networking Academy de todo el mundo

con nuestra página de Facebook de Cisco Networking Academy.

Conecte con sus pares en nuestra página de LinkedIn de Cisco Networking Academy.

Obtenga un trabajo.

Acceda a Recursos de Carrera los recursos profesionales específicamente diseñados para

ayudar a que los estudiantes de NetAcad tengan éxito en el lugar de trabajo.

Busque excelentes oportunidades de trabajo con Cisco y partners de Cisco. Regístrese

ahora con Talent Bridge.

Obteniendo un certificado de industria es garantizado para los empleadores que usted tiene
las habilidades técnicas para realizar el trabajo. Echa un vistazo a nuestra
página Certificaciones y Vales.

Más cursos

Elija un curso, practique lo que aprendió y conviértase en un profesional de TI. Echa un

vistazo a nuestro Catálogo de cursos.

1.0.3

Declaración de Hacking ético

El Programa Cisco Networking Academy se enfoca en formar a los encargados de resolver
problemas globales que se necesitan para desarrollar, escalar, asegurar y defender las
redes que utilizamos en nuestras empresas y vidas diarias. La necesidad de contar con
especialistas bien capacitados en ciberseguridad sigue creciendo a un ritmo exponencial.
Capacitarse para convertirse en especialista en ciberseguridad requiere comprender
profundamente mediante la exposición cómo funcionan los ciberataques, además de saber
cómo detectarlos e impedirlos. Estas habilidades naturalmente también incluyen aprender
las técnicas que utilizan los actores de amenazas para eludir la seguridad de los datos, la
privacidad y la seguridad informática y de redes.

En este curso, los alumnos utilizarán herramientas y técnicas en un entorno de máquinas

virtuales de “sandbox”, es decir: un entorno con máquinas virtuales que les permite crear,
implementar, monitorear y detectar diversos tipos de ciberataques. La capacitación práctica
se realiza en este entorno para que los estudiantes pueden adquirir las habilidades y los
conocimientos necesarios para frustrar tanto estos ciberataques como los del futuro. Las
brechas de seguridad y las vulnerabilidades que se crean en este curso solo deben
emplearse de una manera ética y solamente en este entorno virtual de “sandbox”.
Experimentar con estas herramientas, técnicas y recursos fuera del entorno virtual de
sandbox provisto queda a criterio exclusivo del instructor y de la institución local. Si el alumno
tiene alguna duda sobre los sistemas informáticos y las redes que forman parte del entorno
virtual de sandbox, debe ponerse en contacto con su instructor antes de realizar cualquier
experimento.

El acceso no autorizado a datos, computadoras y sistemas de redes es un delito en muchas

jurisdicciones y, a menudo, está acompañado por graves consecuencias,
independientemente de qué motive al delincuente. En su carácter de usuario de este
material, la responsabilidad del alumno es conocer y cumplir las leyes de uso de las
computadoras.

1.0.4

¿Por qué debería tomar este módulo?

¿Alguna vez te han robado algo? Tal vez le robaron una billetera o le robaron su casa. ¡No
solo necesita proteger su propiedad física, sino que también debe proteger su información!
¿Quién está robando información y por qué lo están haciendo? Tal vez es un individuo sólo
viendo si son capaces de hackear la información. A menudo es para obtener ganancias
financieras. Hay muchas razones. Siga leyendo este módulo para obtener más información
sobre las amenazas y los actores responsables de estos ataques.

1.0.5

Qué aprenderás en este módulo?

Título del módulo: El peligro
Objetivo del módulo: Explicar sobre como las redes son atacadas.

Título del tema Objetivo del tema

Historias de guerra Explique por qué se atacan las redes y los datos.

Agentes de Explique las motivaciones de los actores maliciosos detrás de incidentes de

amenazas seguridad específicos.

Impacto de la
Explique el impacto potencial de los ataques de seguridad de la red.
amenaza
1.0.6

Actividad de clase: Top hacker experto

nos muestra cómo se hace
En esta actividad de clase, se ve un video de TED Talk que analiza diversas vulnerabilidades
en la seguridad. También se investigará una de las vulnerabilidades mencionadas en el
video.
Historias de guerra
1.1.1

Personas secuestradas

Sarah pasó por su cafetería favorita para tomar su bebida de la tarde. Realizó el pedido, le
pagó al empleado y esperó mientras los baristas trabajaban sin descanso para cumplir con
los pedidos pendientes. Sarah sacó su teléfono, abrió el cliente inalámbrico y se conectó a
lo que ella suponía que era la red inalámbrica libre de la cafetería.

Sin embargo, sentado en un rincón de la tienda, un hacker acababa de configurar una zona
de cobertura inalámbrica abierta “falsa” como si fuera la red inalámbrica de la cafetería.
Cuando Sarah se conectó al sitio web de su banco, el hacker le usurpó la sesión y obtuvo
acceso a las cuentas bancarias. Otro término para los puntos de acceso inalámbricos no
fiables es los puntos de acceso "gemelos malvados".

Busque en Internet en "puntos de acceso gemelos malvados" para obtener más información
sobre esta amenaza a la seguridad.

1.1.2

Empresas a las que se piden rescates

Rashid, un empleado en el departamento financiero de una empresa importante que cotiza

en bolsa, recibe un correo electrónico de su CEO con un PDF adjunto. El PDF es sobre las
ganancias del tercer trimestre de la empresa. Rashid no recuerda que su departamento haya
creado ese PDF. Esto despierta su curiosidad y decide abrir el archivo adjunto.

La misma situación ocurre en toda la organización, ya que decenas de otros empleados se

ven tentados a hacer clic en el archivo adjunto. Cuando se abre el PDF, el ransomware se
instala en las computadoras de los empleados y comienza el proceso de recopilación y
encriptación de datos corporativos. El objetivo de los atacantes es ganar dinero, ya que
piden un rescate por regresarle a la empresa sus datos.
1.1.3

Naciones objetivo

Algunos de los programas de malware actuales son tan sofisticados y costosos de crear que
los expertos en seguridad creen que solamente un estado nacional o un grupo de naciones
podrían tener la influencia y financiación para crearlo. Este malware puede tener como
objetivo atacar la infraestructura vulnerable de una nación, como el sistema de agua o la red
eléctrica.

Este fue el propósito del gusano Stuxnet, que infectó unidades USB. Estas unidades fueron
transportadas por cinco proveedores iraníes de componentes a una instalación segura a la
que apoyaban. Stuxnet fue diseñado para infiltrar sistemas operativos Windows y, luego,
atacar el software Step 7. Step 7 fue desarrollado por Siemens para sus controladores
lógicos programables (Programmable Logic Controllers, PLC). Stuxnet estaba buscando un
modelo específico de los PLC Siemens que controlaran las centrífugadoras en las
instalaciones de procesamiento de Uranio. El gusano se transmitió de las unidades USB
infectadas a los PLC y, finalmente, dañó muchas de las centrífugas.

Zero Days, una película estrenada en 2016, busca documentar el desarrollo e

implementación de los ataques dirigidos mediante el malware Stuxnet. Busque Zero Days
para encontrar la película o información sobre la película.

1.1.4

Video: anatomía de un ataque

Mira este vídeo para ver los detalles de un ataque complejo.

3:38
1.1.5

Práctica de laboratorio: Instalar las máquinas virtuales

En esta práctica de laboratorio, es necesario instalar VirtualBox en sus computadoras

personales. Luego, es necesario descargar e instalar la máquina virtual (VM) de CyberOps
Workstation.

Instalando las máquinas virtuales

1.1.6

Práctica de laboratorio: Casos prácticos de

ciberseguridad

En esta práctica de laboratorio, se analizarán los casos y se responderán preguntas al

respecto.

Casos prácticos de ciberseguridad

Agentes de amenazas
1.2.1

Agentes de amenazas

Los actores maliciosos incluyen, entre otros, a aficionados, hacktivistas, grupos del crimen
organizado, agentes patrocinados por el estado y grupos terroristas. Los actores maliciosos
son individuos o un grupo de personas que realizan ciberataques. Los ciberataques son
actos intencionales y maliciosos que tienen como objetivo afectar negativamente a otra
persona u organización.

Aficionados

Hacktivistas
Beneficio financiero
Secretos comerciales y la política global
Los aficionados, también conocidos como script kiddies, tienen poca o ninguna habilidad. A
menudo utilizan herramientas ya existentes o instrucciones que encuentran en Internet para
iniciar ataques. Algunos solo son curiosos, mientras que otros intentan provocar daños para
demostrar sus habilidades. A pesar de que usan herramientas básicas, los resultados
pueden ser devastadores.
1.2.2

¿Cuán segura es Internet de las cosas?

Internet de las cosas (IoT) se encuentra a nuestro alrededor y se expande con rapidez.
Apenas estamos comenzando a aprovechar los beneficios de IoT. Constantemente se están
desarrollando nuevas maneras de utilizar elementos conectados. IoT ayuda a los individuos
a conectar elementos para mejorar la calidad de vida. Por ejemplo, muchas personas utilizan
actualmente dispositivos portátiles conectados para realizar el seguimiento de su actividad
física. ¿Cuántos dispositivos poseen actualmente que se conecten a su red doméstica o a
Internet?

¿Qué grado de seguridad ofrecen estos dispositivos? Por ejemplo, ¿quién escribió el
firmware? ¿Prestó atención el programador a los defectos de seguridad? ¿Es vulnerable a
ataques el termostato conectado en sus hogares? ¿Qué hay de su grabadora de video digital
(DVR)? Si se encuentran vulnerabilidades de seguridad, ¿es posible aplicar un parche en el
firmware del dispositivo para eliminar la vulnerabilidad? Muchos dispositivos en Internet no
se actualizan con el firmware más reciente. Algunos dispositivos más antiguos ni siquiera se
desarrollaron para actualizarse con parches. Estas dos situaciones crean oportunidades
para los actores maliciosos y riesgos de seguridad para los propietarios de estos
dispositivos.

En octubre de 2016, un ataque de DDoS contra el proveedor de nombres de dominio Dyn

interrumpió el funcionamiento de muchos sitios web populares. El ataque provino de una
gran cantidad de cámaras web, DVR, routers y otros dispositivos de IoT afectados por
software malicioso. Estos dispositivos formaron una “botnet” que los hackers pudieron
controlar. Este botnet se usó para crear un ataque enorme de DDoS que desactivó servicios
esenciales de Internet. Dyn publicó una entrada de blog para explicar el ataque y su reacción
ante el problema. Busque en "Resumen de análisis de Dyn del ataque del viernes 21 de
octubre" para obtener más información sobre este ataque que rompe récord.

Para obtener una explicación de los peligros de no proteger los dispositivos IoT, busque la
charla TED de Avi Rubin, "Todos sus dispositivos pueden ser hackeados" or "All your
devices can be hacked". El Dr. Rubin es profesor de Ciencias de la Computación en la
Universidad Johns Hopkins.

1.2.3

Práctica de laboratorio: Averiguar los detalles de los

ataques

En esta práctica de laboratorio, se investigarán y analizarán vulnerabilidades de aplicaciones

de IoT.

Averiguar los detalles de los ataques

Impacto de la amenaza
1.3.1

PII, PHI y PSI

El impacto económico de los ciberataques es difícil de determinar con precisión Sin

embargo, se estima que las empresas perderán cerca de $5 trillones anualmente hasta el
2024 por ciberataques.
La información que permite identificar personas (Personally Identifiable Information, PII) es
cualquier dato que pueda utilizarse para identificar inequívocamente a una persona. Algunos
ejemplos de PII son los siguientes:

• Nombre
• Número de seguridad social
• Fecha de nacimiento
• Números de tarjetas de crédito
• Números de cuentas bancarias
• Identificación emitida por el gobierno
• Información sobre dirección (calle, correo electrónico, números de teléfono)

Uno de los objetivos más lucrativos de los ciberdelincuentes es obtener listas de PII que
puedan vender en la web oscura. Solamente es posible tener acceso a la web oscura con
software especializado y la utilizan los ciberdelincuentes para proteger sus actividades. Las
PII robada puede utilizarse para crear cuentas financieras falsas, como tarjetas de crédito y
préstamos a corto plazo.

La Información confidencial sobre la salud (Protected Health Information, PHI) es un

subconjunto de la PII. La comunidad médica crea y mantiene registros médicos electrónicos
(EMR) que contienen PHI. En los Estados Unidos, la manipulación de la PHI está regulada
por la Ley de Transferibilidad y Responsabilidad del Seguro Médico (HIPAA). En la Unión
Europea, el Reglamento General de Protección de Datos (RGPD) protege una amplia gama
de información personal incluyendo registros médicos.

La información de seguridad personal (Personal Security Information, PSI) es otro tipo de

información personal. Esta información incluye nombres de usuario, contraseñas y otra
información relacionada con la seguridad que los individuos utilizan para acceder a
información o servicios de la red. Según un informe de Verizon de 2019, la segunda forma
más común de que los actores de amenazas violaron una red fue mediante el uso de PSI
robado.

La mayoría de los ataques a empresas y organizaciones informados en las noticias

involucran el robo de PII o PHI. Ejemplos recientes son:

• En 2019, un sitio web de herramientas de diseño gráfico en línea experimentó una

violación de datos en la que la PII de aproximadamente 137 millones de usuarios fue
vista por piratas informáticos con detalles de usuario de 4 millones de cuentas
apareciendo en Internet.
• En 2020, una importante empresa china de medios sociales fue pirateada, lo que
provocó el robo de PII, incluidos números de teléfono, a 172 millones de usuarios. El
robo no incluyó contraseñas, por lo que los datos estaban disponibles a un precio bajo
en Internet.
• En 2019, una empresa que hace juegos que se juegan en Facebook fue pirateada y
la PII de 218 millones de usuarios fue robada.
1.3.2

Pérdida de la ventaja competitiva

Las empresas están cada vez más preocupadas por el espionaje corporativo en el
ciberespacio. La pérdida de propiedad intelectual de los competidores es motivo de grave
preocupación. Una importante preocupación adicional es la pérdida de confianza que surge
cuando una empresa es incapaz de proteger los datos personales de sus clientes. La
pérdida de la ventaja competitiva puede deberse más a esta falta de confianza que al hecho
de que otra empresa o país robe secretos comerciales.

1.3.3

Política y seguridad nacional

No solo las empresas sufren ataques. En febrero de 2016, un hacker publicó los datos
personales de 20 000 empleados de la Oficina Federal de Investigaciones (FBI) de EE. UU.
y de 9000 empleados del Departamento de Seguridad Nacional (DHS) de EE. UU.
Aparentemente, el hacker tuvo motivos políticos.
El gusano Stuxnet se diseñó específicamente para impedir el avance de Irán en el
enriquecimiento de uranio que podría usarse en un arma nuclear. Stuxnet es un claro
ejemplo de un ataque a la red motivado por asuntos de seguridad nacional. La ciberguerra
es una posibilidad concreta. Los hackers guerreros patrocinados por el estado pueden
causar interrupciones y destrucciones de servicios y recursos vitales dentro de una nación
enemiga. Internet se ha tornado esencial como medio para actividades comerciales y
financieras. La interrupción de estas actividades puede devastar la economía de una nación.
Los controladores, similares a los atacados por Stuxnet, también se utilizan para controlar
el caudal de agua en diques y la alimentación en redes eléctricas. Los ataques contra estos
controladores pueden tener graves consecuencias.

1.3.4

Práctica de laboratorio: Visualizar a los Hackers de

Sombrero Negro

En esta práctica de laboratorio, se investigarán y analizarán incidentes de ciberseguridad

para crear situaciones sobre cómo las organizaciones pueden evitar o mitigar el impacto de
un ataque.

Visualizar a los hackers de sombrero negros

1. El Peligro
2. Resumen del peligro

Resumen del peligro

1.4.1

¿Qué aprendí en este módulo?

Historias de guerra

Los actores de amenazas pueden secuestrar sesiones bancarias y otra información

personal mediante el uso de puntos de acceso "gemelos malvados". Los actores de
amenazas pueden dirigirse a las empresas, como en el ejemplo donde abrir un pdf en el
equipo de la empresa puede instalar ransomware. Las naciones enteras pueden ser
atacadas. Esto ocurrió en el ataque de malware Stuxnet.

Agentes de amenazas

Los actores maliciosos incluyen, entre otros, a aficionados, hacktivistas, grupos del
crimen organizado, agentes patrocinados por el estado y grupos terroristas. El aficionado
puede tener poca o ninguna habilidad y a menudo utiliza la información que se encuentra
en Internet para lanzar ataques. Los hacktivistas son hackers que protestan contra una
variedad de ideas políticas y sociales. Gran parte de la actividad de los hackers es en busca
de beneficios financieros. Los estados de una nación también están interesados en utilizar
el ciberespacio para espionaje industrial. El robo de la propiedad intelectual puede otorgar
una ventaja significativa a un país en el comercio internacional. A medida que el Internet
de las cosas (Internet of Things, IoT) se expande, las cámaras web, los routers y otros
dispositivos en nuestros hogares también están bajo ataque.

Impacto de la amenaza

Se estima que los negocios perderán cerca de $5 trillones anualmente hasta el 2024 por
ciberataques La información de identificación personal (Personal Identificable
Information, PII), la información de salud protegida (Personald Health Information, PHI)
y la información de seguridad personal (Personal Security Information, PSI) son formas
de información protegida que a menudo se roban. Una empresa puede perder su ventaja
competitiva cuando se roba esta información, incluidos los secretos comerciales. Además,
los clientes pierden la confianza en la capacidad de la empresa para proteger sus datos.
Los gobiernos también han sido víctimas de hackeos.

1.4.2

Módulo 1: El concurso de peligro

1.
Un atacante envía un fragmento de malware como un archivo adjunto de correo
electrónico a los empleados de una empresa. ¿Cuál es el propósito probable de este
ataque?

denegar el acceso externo a un servidor web abierto al público

sondeo de puertos abiertos en el firewall de la red fronteriza

búsqueda y obtención de secretos comerciales

descifrar la contraseña de administrador para un servidor crítico

2.
 ¿Qué es la guerra cibernética?

Es un ataque diseñado para interrumpir, corromper o manipular los intereses

nacionales.

Es un ataque contra una corporación importante.

Es un ataque que solo involucra robots y bots.

Es un ataque solo contra objetivos militares.

3. ¿Qué tipo de malware tiene como objetivo principal propagarse a toda la red?

botnet

Virus

gusano

Caballo de Troya
4. ¿Cuál es un riesgo potencial del uso de una zona de cobertura inalámbrica abierta y
libre en un lugar público?

El hecho de que muchos usuarios intenten conectarse a Internet puede provocar una
congestión de tráfico de red.

El tráfico de red podría secuestrarse y podría robarse información.

La conexión a Internet puede volverse muy lenta cuando muchos usuarios acceden
a la zona de cobertura inalámbrica.

Es posible que se requiera la compra de productos de proveedores a cambio del

acceso a Internet.
5. A pedido de los inversionistas, una compañía realiza la determinación de la atribución
de un ataque cibernético especial que se llevó a cabo desde una fuente externa. ¿Qué
término en materia de seguridad se utiliza para describir a la persona o el dispositivo
responsable del ataque?
 Esqueleto

Actor de la amenaza

Responsable de tunelizado

Responsable de fragmentación
6. ¿Qué nombre se le asigna a un hacker aficionado?

Equipo azul

Sombrero rojo

Sombrero negro

Script kiddie
7. ¿Qué motiva comúnmente a los cibercriminales para atacar las redes comparado con
los hacktivistas o los patrocinados por el estado?

Reconocimiento entre pares

Búsqueda de fama

Razones políticas

Beneficio financiero
8.

¿Qué es un botnet?

Un grupo de servidores web que ofrece equilibrio de carga y tolerancia a fallos

Una red que permite a los usuarios usar su propia tecnología

Un videojuego en línea diseñado para varios jugadores

Una red de computadoras infectadas que son controladas como un grupo

9. ¿Qué es una zona de cobertura inalámbrica dudosa?

Es una zona de cobertura que no implementa mecanismos sólidos de autenticación

de usuario.

Es una zona de cobertura que no cifra el tráfico de red del usuario.

Es una zona de cobertura que parece ser de una empresa legítima, pero que, en
realidad, fue configurada por una persona que no tenía el permiso de la empresa.

Es una zona de cobertura que se creó con dispositivos obsoletos.

10. ¿Cuál es la mejor definición de la información de carácter personal (PII)?

Datos recopilados por las compañías para rastrear el comportamiento digital de los
consumidores
 Datos recopilados de servidores y sitios web para la navegación anónima

Datos recopilados de servidores y navegadores web a través de cookies con el

objetivo de rastrear a un consumidor

Datos recopilados por las compañías para distinguir las identidades de las personas
11. ¿Qué se utilizó como arma de guerra cibernética para atacar una instalación de
enriquecimiento de uranio en Irán?

DDoS

Inyección SQL

Stuxnet

PSYOPS
12. Una empresa paga una suma importante de dinero a los hackers con el fin de
recuperar el control de un servidor de correo electrónico y datos. ¿Qué tipo de ataque
de seguridad utilizaron los hackers?

Spyware

Caballo de Troya

Ransomware

DoS