04 Manual Administración de Sistemas de Ciberseguridad

CURSO ONLINE DE
CIBERSEGURIDAD
Unidad 4. Administración de
sistemas de ciberseguridad
1
Contenidos
PLANIFICACIÓN Y ADMINISTRACIÓN EN 5
1
REDES Y DIRECCIONES IP
PROTOCOLOS Y HERRAMIENTAS DE
2 41
SEGURIDAD EN REDES
3 GESTIÓN DE ACCESOS E IDENTIDADES 81
SISTEMAS DE DETECCIÓN DE SOFTWARE

4 102
MALICIOSO
5 CORTAFUEGOS 115
Unidad 1
Introducción a la tecnología
Contenidos
SISTEMAS DE DETECCIÓN Y PROTECCIÓN 125

6
CONTRA INTRUSIONES
SISTEMAS DE DETECCIÓN Y GESTIÓN DE

7 139
EVENTOS DE SEGURIDAD
8 PRINCIPALES ATAQUES A REDES 149
9 SEGURIDAD POR CAPAS 180
10
BUENAS PRÁCTICAS PARA EL
190
BASTIONADO DE SISTEMAS
Unidad 1
OBJETIVOS
Los principales objetivos de esta unidad son:
• Conocer los distintos aspectos relacionados con las redes y direcciones IP, analizar el Modelo OSI y las capas que lo
conforman, así como descubrir los protocolos de comunicación de redes más utilizados.
• Conocer las diferentes herramientas, dispositivos y mecanismos que podemos utilizar para proteger las redes y los
sistemas informáticos, así como los cortafuegos o firewalls y sus diferentes tipos, los sistemas de detección y
prevención contra intrusiones, como los IDS, IPS o los honeypots; analizar la gestión de accesos e identidades, los
sistemas de detección y la gestión de eventos, como el SIEM o el SOAR.
• Describir los principales ciberataques que pueden sufrir las redes, como los ataques de Denegación de Servicio
(DoS), envenenamiento DNS, ARP spoofing, etc., y entender cuáles son las mejores prácticas y medidas de
protección de estos sistemas.
Unidad 4
4
Administración de sistemas de ciberseguridad
PLANIFICACIÓN Y
ADMINISTRACIÓN
EN REDES Y
1
DIRECCIONES IP
Unidad 1
5
1 PLANIFICACIÓN Y ADMINISTRACIÓN EN REDES Y DIRECCIONES IP
Introducción
El término «Red» engloba el conjunto de sistemas informáticos independientes que están conectados entre sí,
permitiendo el intercambio de datos. El objetivo de la Red es transmitir datos de un sistema a otro o disponer de recursos
comunes, como puede ser un servidor o una base de datos, es decir, se puede utilizar para que el ordenador A envíe un
paquete de datos a B; o para que A y B puedan acceder a la misma base de datos.
Existen diferentes tipos de redes, pero las más comunes e importantes son las siguientes:
• Personal Area Networks (PAN) o red de área personal.

• Local Area Networks (LAN) o red de área local.
• Metropolitan Area Networks (MAN) o red de área metropolitana.
• Wide Area Networks (WAN) o red de área amplia.
• Virtual Private Networks (VPN) o red privada virtual.
Unidad 4
6
Tipos de redes informáticas: red de área personal o PAN
La red de área personal o PAN se utiliza para el intercambio de datos entre dispositivos de poco alcance
(aproximadamente, 10 metros) y normalmente está orientada al uso personal. Por ejemplo, una red PAN puede cubrir el
entorno de una casa o una oficina pequeña.
Esta red puede establecerse mediante el uso de una distribución cableada (que hace referencia a la conexión por cable
de los diferentes dispositivos que forman parte de la red PAN) o de forma inalámbrica, que es la más habitual y se
conoce como WPAN, del inglés Wireless Personal Area Network.
Unidad 4
7
Existen diferentes tecnologías Wireless como, por ejemplo:
• La tecnología del infrarrojo, que se basa en la aplicación de radiación de la longitud de onda del infrarrojo. Se
puede utilizar en impresoras, teléfonos móviles, etc. Su uso ha disminuido debido a la aparición de tecnologías más
modernas. Para que esta tecnología funcione correctamente, al funcionar con ondas de infrarrojos, requiere que los
dispositivos se «vean», es decir, que se encuentren cerca y uno frente al otro, sin ningún objeto por medio que
bloquee el paso de la luz de infrarrojos.
• Bluetooth: este tipo de tecnología funciona por frecuencias de radio y permite la
comunicación entre dispositivos que se encuentren en el mismo rango de actuación,
aunque no tienen por qué estar uno frente al otro. El Bluetooth hoy en día es muy
usado en los móviles tanto para conectarlos con los auriculares inalámbricos como
para conectarlo con el manos libres de los coches.
Unidad 4
8
• Zigbee: se trata de una alternativa al Bluetooth,
ya que permite la conexión de dispositivos de
manera inalámbrica. Esta tecnología se
encuentra en gran cantidad de dispositivos
relacionados con la domótica, como los sensores
de movimiento o las bombillas inteligentes.
Unidad 4
9
Tipos de redes informáticas: red LAN
La red LAN es una red local que conecta un mínimo de dos
dispositivos, aunque puede llegar a conectar miles de ellos.
Generalmente, se utiliza en hogares o empresas, permitiendo la
comunicación entre los dispositivos conectados a esta red.
Esto permite que, por ejemplo, si una impresora está conectada

a un ordenador a través de un cable, solo ese ordenador podrá
hacer uso de la impresora; pero si la impresora está dentro de la
red LAN, al igual que el resto de ordenadores, todos ellos podrán
hacer uso de ella al mismo tiempo.
Unidad 4
10
Tipos de redes informáticas: red WLAN y red VLAN
La Red se puede establecer de forma inalámbrica, lo que la convierte en un tipo de red WLAN (Wireless Local Area
Network), que actuaría de la misma forma, pero a través de un router inalámbrico, como el que hoy en día se tiene en
los hogares.
Por otro lado, las redes de área local virtuales o VLAN (Virtual LAN) permiten crear subredes independientes dentro de
una misma red. Las VLAN segmentan la red, lo que la hace más segura, ya que no se permite la comunicación directa
entre dos subredes y, además, es flexible, adaptándose a nuestras necesidades. Este tipo de red VLAN es muy utilizada
en las organizaciones para crear diferentes subredes, por ejemplo, en el caso de querer separar redes por
departamentos. Así, si se instala un virus en una VLAN de un departamento, este no afectará a otro.
Saber más: VLAN. [1] Saber más: WLAN. [2]
Unidad 4
11
Tipos de redes informáticas: red MAN
Las redes MAN o de área metropolitana hacen referencia a una
red de telecomunicaciones entre diversas redes LAN en una
zona geográfica cercana, cubriendo un rango de entre 50 y 60
kilómetros.
Por ejemplo, muchas empresas del sector textil tienen tiendas

físicas en una misma ciudad, lo cual permite al dependiente de
una de las tiendas buscar un producto en la tienda más cercana
a la suya pero, además, poder solicitarlo en otra al mismo
tiempo, en caso de que en la primera no esté disponible.
Saber más: LAN vs MAN vs WAN. [3]
Unidad 4
12
Tipos de redes informáticas: red WAN
Las redes WAN o redes de área amplia tienen como objetivo
cubrir una zona geográfica a gran escala, de entre 100 y miles
de kilómetros. Estas redes están formadas por redes LAN
ilimitadas.
Por ejemplo, en el caso de las redes empresariales

internacionales, que tienen sucursales en distintas partes del
mundo, utilizan las redes WAN exclusivas de la empresa para
poder intercambiar información entre ellas.
Unidad 4
13
Tipos de redes informáticas: redes globales GAN
Las redes globales (GAN) hacen uso de satélites o cables submarinos para permitir la comunicación. Internet es el
ejemplo por excelencia. Sin embargo, existen empresas que mantienen varias redes WAN que, al final, acaban formando
una red GAN.
Fuente: Ejemplo de cables submarinos Fuente: Red de cables submarinos del mundo.
[Captura de pantalla] Extraído del enlace: [Captura de pantalla] Extraído de enlace:
Unidad 4
14
Tipos de redes informáticas: red VPN
La VPN o red privada virtual es aquella red de comunicación virtual que se gestiona tomando una red física, pero se
utiliza de forma lógica, es decir, no se encuentra directamente conectado a esa red física. Una conexión VPN permite
crear una red LAN sin que sus integrantes estén físicamente conectados entre sí, sino que se conectan a través de
Internet. Además, ofrece cierta seguridad adicional, ya que una red VPN está protegida por procedimientos de
codificación y autenticación.
El ejemplo de uso de las VPN por excelencia es el teletrabajo, cuyo auge comenzó a raíz de la pandemia del COVID-19.
El uso de VPN permite a los trabajadores acceder a la red privada de la empresa, aunque el dispositivo no esté
físicamente conectado a dicha red, ya que actúa como si el empleado estuviera físicamente en la empresa.
Unidad 4
15
Tipos de redes informáticas: red VPN
Unidad 4
16
Tipos de redes informáticas: red TOR
En la unidad 3, conocimos la herramienta TOR (del inglés The Onion Router) que, si recordamos, es un software gratuito
que oculta la identidad del usuario cifrando el tráfico y dirigiéndolo a través de varios servidores, conocidos como nodos,
hasta llegar al último nodo, donde se descifra y se transmite a la página web que se pretende visitar, es decir, al utilizar
TOR y conectarse a la página web «hiddenwiki.onion», desde el ordenador se cifraría el tráfico y pasaría por el nodo A,
después al nodo B, luego al C y así hasta que el último nodo, que es el único que puede descifrar los datos, los descifra y
los transmite, dando acceso a la página web «hiddenwiki.onion».
La red TOR tiene un cifrado multicapa en la que los nodos o servidores solo pueden ver la dirección IP del nodo anterior,
salvo el nodo de entrada o inicial que puede ver la dirección IP real. Así, se evita que la actividad que un usuario realice
navegando con TOR pueda vincularse a dicho usuario. Esto no quiere decir que un usuario no pueda ver el tráfico que
sale de la Red, sino que no puede ver el origen del mismo.
Unidad 4
17
Tipos de redes informáticas: red TOR
¿Sabías qué?
Aquí puedes ver un mapa de todos los nodos de TOR. [4]
Por ello, TOR es un navegador basado en la privacidad, esto es, en proteger los datos y permitir una navegación de
forma anónima. Sin embargo, una VPN cifra la conexión de extremo a extremo, es decir, no solo cifra los datos sino que
evita que se filtre información y permite la conexión a la Red sin mostrar la dirección IP del usuario, además del acceso a
servicios que pueden estar bloqueados en un área geográfica, es decir, mientras que TOR solo protege los datos que se
transmiten a través del navegador, las VPN cifran todos los datos que viajan a través de la conexión del usuario.
Para llevar a cabo la obtención de una capa extra de privacidad se puede utilizar conjuntamente una VPN y TOR,
conocido como TOR over VPN o TOR sobre VPN; lo cual significa que un usuario se conectará a TOR a través de una
VPN, por lo que ese nodo inicial que sí podía conocer la dirección IP real del usuario, al estar haciendo uso de VPN, deja
de conocerla.
Unidad 4
18
Direcciones IP
Todos los dispositivos, para tener conectividad, deben tener asignada una dirección IP que lo identifique.
La dirección IP es un conjunto de números que representa a qué punto de Internet está conectado un dispositivo y
permite identificarlos en la Red.
Las direcciones IP pueden ser privadas o públicas:
• La dirección IP pública: es aquella dirección asignada a los dispositivos que se

conectan de forma directa a Internet, por ejemplo, el router que está instalado en
nuestros hogares. Estas IP son visibles desde Internet y, aunque pueden ser
fijas, lo normal es que sean dinámicas y vayan cambiando cada cierto tiempo, sin
apreciarse directamente.
Unidad 4
19
Direcciones IP
• La dirección IP privada: es aquella dirección asignada a cada dispositivo conectado en una red privada, es decir, es
la dirección que el router asigna a cada ordenador, dispositivo móvil inteligente, tableta, etc. Estas IP no son
accesibles desde Internet y habitualmente serán dinámicas. Dado que no son accesibles desde Internet, todo lo que
sale de la red interna al exterior lo hace a través de la IP pública del router y, cuando un servidor envía alguna
información al dispositivo, en realidad lo está enviando a la IP pública, siendo el router el que identifica el paquete y lo
envía de vuelta dentro de la red interna.
Sin embargo, el router cuenta con dos direcciones IP: una IP pública, que es la que
proporciona el proveedor para conectarse con el exterior a través de Internet; y una
IP privada, que se emplea para gestionar los dispositivos de la red del hogar.
Unidad 4
20
Direcciones IP
Sin embargo, el router cuenta con dos direcciones
IP: una IP pública, que es la que proporciona el
proveedor para conectarse con el exterior a través
de Internet; y una IP privada, que se emplea para
gestionar los dispositivos de la red del hogar.
Unidad 4
21
Direcciones IP
Existen dos tipos de direcciones IP:
• Las direcciones IP estáticas: aquellas direcciones que no varían. Son muy utilizadas por las empresas, dado que
sus páginas y sitios web deben estar siempre accesibles y la mejor forma es haciendo que su dirección IP sea siempre
la misma.
• Las direcciones IP dinámicas: aquellas direcciones que cambian y, normalmente, son las que encontramos en los
hogares, es decir, cada vez que se necesita utilizar Internet, se asigna una dirección IP dentro de esa red.
Es muy común ver direcciones IP que comiencen por 192 o por 192.168. porque es el formato predeterminado de las
direcciones IP privadas más comunes para los routers de red a nivel mundial.
Unidad 4
22
Direcciones IP: protocolo de Internet versión 4 o IPv4
El protocolo de Internet versión 4 (IPv4) se desarrolló en la década de 1980 y se compone de cuatro números,
comprendidos entre el 0 y el 255, separados entre sí por un punto.
Las redes IPv4 tienen un límite de direcciones IP de 4.300 millones. Como Internet ha crecido considerablemente y se ha
globalizado, la disponibilidad de estas direcciones que engloban las IPv4 ha disminuido. Por ello, se desarrolló la versión
IPv6, que está formada por ocho grupos de cuatro dígitos hexadecimales, es decir, utiliza los números comprendidos
entre el 0 y el 9, así como las letras desde la A hasta la F. Así, IPv6 tiene una capacidad de 340 decillones de direcciones.
Un ejemplo de dirección IPv6 sería 2002:0de6:0001:0042:0100:8c2e:0370:7234.
Saber más: IPv4 vs IPv6. [5]
Unidad 4
23
Direcciones IP: código binario del IPv4
Los dispositivos, para poder comunicarse, necesitan utilizar el lenguaje binario, es decir, en
DECIMAL BINARIO
base 2 y representado por bits. Recordemos que los bits son unos y ceros, por lo que las
0 0
direcciones IP están formadas por 4 grupos de bytes, donde cada byte es un conjunto de 8 1 1
bits. 2 10
Saber más: sobre el código binario. [6] 3 11
4 100
En IPv4, las direcciones están formadas por cuatro octetos de números, del 0 al 255, 5 101
6 110
representados en forma decimal en lugar de binaria, por simplicidad. Sin embargo, su
7 111
equivalente en binario es necesario, ya que nos permite conocer la clase de red de la
8 1000
dirección IP. Sabemos que pueden ir hasta el 255 porque si son grupos de 8 bits y el binario 9 1001
es un lenguaje en base 2, se puede representar hasta el número 28 -1 = 255. 10 1010
Unidad 4
24
Direcciones IP: rangos de las direcciones IP públicas
Una dirección IP puede dividirse en red y host, y en función de estos datos los que nos proporcionarán diferentes rangos
de direcciones IP. Estos rangos de direcciones son asignados por el organismo Internet Assigned Numbers Authority
(IANA).
• Rango clase A: el primer byte definirá la Red, y los otros tres bytes identifican el host (dispositivo) dentro de dicha
Red. El rango de direcciones clase A va desde la 1.0.0.0 hasta la 126.255.255.255. Este tipo clase A se utiliza para
redes muy grandes, ya que permite crear hasta 126 redes distintas y permite conectar más de 16 millones de
dispositivos a una de esas 126 redes.
Unidad 4
25
• Rango clase B: los dos primeros bytes definirán la Red, y los dos últimos definirán el host. El rango de red va desde
la 128.0.0.0 hasta la 191.255.255.255. Se suele utilizar en medianas empresas, ya que permite crear hasta 16.384
redes y conectar 65.534 dispositivos a cada una de esas redes.
• Rango clase C: es el tipo que se utiliza en pequeñas empresas y en los hogares, donde los tres primeros bytes
definen la Red y el último el host. El rango va de la 192.0.0.0 hasta la 223.255.255.255. Este tipo permite definir
2.097.152 redes pero solo conectar a cada red 254 dispositivos.
También existen los rangos de IP clase D y E. Sin embargo, no son muy comunes ni utilizados por lo usuarios.
Unidad 4
26
Por otro lado, si nos fijamos, en la clase A, hemos visto que va del 1 al 126 y la clase B del 128 al 191. Nos hemos
saltado los números 0 y 127, y esto es porque las redes 0 están reservadas para los dispositivos que no conocen su
dirección, es decir, si un dispositivo no conoce aún el número de red a la que está conectado, el número de host dentro
de dicha Red, o ambos. Las redes 127 hacen referencia al localhost, esto es, el mismo equipo que se está utilizando en
un momento determinado. Por ejemplo, si estás utilizando tu ordenador, este será también tu localhost. Todo localhost
tiene asignada la dirección IP 127.0.0.1.
Otro aspecto a tener en cuenta es que para identificar el router se suele utilizar la dirección IP acabada en .1, como, por
ejemplo, podría ser la dirección IP 192.168.0.1.
Unidad 4
27
¿Sabías qué?
Puedes conocer la IP con la que te conectas a Internet. Si utilizas Windows, en la
terminal de tu ordenador escribes el comando «ipconfig», verás la dirección IP privada
asignada a tu ordenador en la línea donde aparezca «dirección IPv6» o «dirección
IPv4»; mientras que, si utilizas Mac o Linux, escribiendo «ifconfig» en la terminal,
podrás ver la dirección IP en la línea que contenga las palabras «inet6» e «inet».
Unidad 4
28
Direcciones IP: rangos de las direcciones IP privadas
Sin embargo, debemos tener en cuenta que existen determinadas direcciones en cada clase (A, B y C) que el IANA ha
asignado para utilizar con las redes privadas. Esto significa que son direcciones IP no direccionables, es decir, cualquier
red privada que necesite utilizar direcciones IP de manera interna podría utilizar cualquier dirección dentro de los rangos
que veremos a continuación. Estas direcciones son exclusivas solo dentro de la red privada en la que se encuentran, es
decir, dos personas diferentes que viven en lugares diferentes y tienen redes distintas pueden tener la misma dirección IP
privada.
• Rango Clase A: va de 10.0.0.0 a 10.255.255.255. Se utiliza, al igual que las de rango Clase A públicas, para grandes
empresas que requieren de grandes redes privadas.
• Rango Clase B: va de 172.16.0.0 a 172.31.255.255. Se utiliza generalmente, para medianas empresas, como en el
caso de las direcciones de clase B públicas.
Unidad 4
29
Direcciones IP: rangos de las direcciones IP privadas
• Rango Clase C: va de 192.168.0.0 a 192.168.255.255 y
es la que se utiliza en los hogares. Por ejemplo, una
dirección IP 192.168.50.79 es una dirección IP clase C;
suelen ser muy comunes dado que las operadoras de
telefonía gestionan por lo general, asignan dirección IP de
clase C a los hogares.
Por lo tanto, si encontramos una dirección IP que no se

encuentra en estos rangos, estaremos ante una dirección IP
pública.
Unidad 4
30
Máscara de subred
Como hemos comentado, una dirección IP está compuesta por 32 bits (unos y ceros) que se agrupan en cuatro grupos,
es decir, los cuatro números que la componen. Cada uno de los números engloba 8 bits, lo que se conoce como un byte.
Por otro lado, como también hemos explicado, el número más grande que se puede representar en un byte es el 255,
que corresponde a poner todos los bits en valor 1.
La máscara de subred sirve para indicar qué parte de la dirección IP corresponde a la red y cuál al host. Esta máscara
tiene el mismo formato que las direcciones IP, es decir, 32 bits agrupados en cuatro grupos de 8 bits cada uno y
separados por puntos. No obstante, es muy fácil distinguir la máscara de subred de la dirección IP, ya que la máscara de
subred habitualmente solo tiene dos posibles números para cada byte: el 255 y el 0. El 255 está asociado a la parte de la
dirección correspondiente a la red, mientras que el 0 está relacionado con la parte correspondiente al host.
Unidad 4
31
Máscara de subred
Por ejemplo, para las redes domésticas lo más habitual es que su máscara de red sea 255.255.255.0. Al tener los 3
primeros bytes con el valor 255, vemos que se trata de una red de clase C, por lo que su dirección IP estará dentro de
los valores 192.0.0.0 y 223.255.255.255. Continuando con el ejemplo, si tenemos una dirección IP 192.168.1.79,
192.168.1 será el ID de red y 79 el ID de host, aunque recordemos que el .1 siempre se suele utilizar para identificar el
router.
Otra forma de representar la máscara de subred es escribiendo la dirección IP seguida de la barra «/» y el número de
bits que hacen referencia a la máscara. Utilizando como ejemplo la dirección IP de antes, 192.168.1.79, se puede
escribir su máscara de red de la siguiente forma: 192.168.1.79/24.
¿Sabías qué?
Si quieres saber tu máscara de red, si utilizas también el comando «ipconfig» o
«ifconfig», podrás averiguarlo en la línea que ponga «máscara de red».
Unidad 4
32
Máscara de subred
Unidad 4
33
Dirección IP Broadcast
Vamos a hablar ahora de la dirección IP Broadcast. El concepto «broadcast» hace referencia a un mensaje o paquete
que se transmite a todos los miembros de una red, es decir, a todos aquellos servidores o clientes que están en la misma
red. Cada red o subred dispone de su propia IP Broadcast a través de la cual todos los dispositivos o equipos de dicha
red o subred pueden enviar datos al resto.
La dirección IP Broadcast se genera asignando en la dirección IP el valor 1 a todos los bits de host.
Unidad 4
34
Dirección IP Broadcast
Veámoslo con un ejemplo. Si tenemos la
siguiente dirección IPv4 195.53.165.153/24, con
lo que sabemos hasta ahora, 195.53.165.153 es
la dirección IP y 24 es la máscara de subred que
corresponde a 255.255.255.0. Por lo tanto, el
host de esta IP es 153 y, como hemos indicado,
para obtener la dirección IP broadcast, todos los
bits del host deben estar en valor binario 1. Por
tanto, la IP broadcast de esta red será
195.53.165.255.
Saber más: dirección IP Broadcast. [7]

Unidad 4
35
Segregación o segmentación de redes
A pesar de integrar e implementar diferentes dispositivos, como los cortafuegos o firewalls, IPS e IDS, antivirus, etc., las
redes siguen siendo vulnerables y toda acción que pueda aumentar su seguridad y, por tanto, la seguridad de los
sistemas informáticos, debe tenerse en cuenta.
La segmentación de red consiste en la división de la red en pequeñas subredes; lo cual tiene dos consecuencias
inmediatas, ya que, por un lado, mejora el rendimiento de la red y, por otro, incrementa su seguridad.
La segmentación se puede llevar a cabo mediante el control del tráfico en la red, ya sea bloqueando todo el tráfico en
una parte de la red; o limitando el flujo del tráfico según el origen, destino, etc. En una organización, esta segmentación
en VLAN suele realizarse por departamentos.
Unidad 4
36
Unidad 4
37
Las ventajas que ofrece la segmentación de redes son las siguientes:
• Mejora la seguridad: la segmentación de redes provoca que una red LAN se divida en varias VLAN a través de
cortafuegos o firewalls, routers o switches. Si se produce un ataque y no tenemos la red segmentada, el ataque
puede llegar a infectar todos los dispositivos de la Red. Sin embargo, si se encuentra segmentada en redes, la
propagación del ataque estaría acotada a la parte de la subred donde se originó.
• Aumenta el rendimiento: ya que se reduce la congestión de Red al eliminarse tráfico innecesario de un segmento
concreto. Por ejemplo, en un hotel, los dispositivos que utilice el establecimiento para gestionar sus servicios pueden
estar en una subred diferente a la de los huéspedes, para que los servicios no se vean afectados por el tráfico que
generan los huéspedes al navegar por Internet.
Unidad 4
38
DMZ o Demilitarized Zone (Zona desmilitarizada)
La DMZ es un mecanismo que se utiliza generalmente en las empresas para proteger las conexiones de Red. Se trata
de una sección aislada de la Red donde se suelen ubicar los equipos que son accesibles desde Internet, ya que son los
más susceptibles a recibir un ataque.
Desde la DMZ se permiten las conexiones tanto de Internet como de la red local de la empresa, donde se encuentran los
equipos de los empleados. Sin embargo, las conexiones que van desde la DMZ hasta la red local de forma directa no
están permitidas debido al riesgo de recibir un ciberataque; ya que si se produjera uno, el atacante tendría menos
posibilidad de acceder a la red local completa. En su lugar, deberá existir una puerta de entrada de seguridad, como un
cortafuegos o firewall, que filtre el tráfico que pueda entrar a la red local.
Por ejemplo, aunque un ciberdelincuente comprometiera un servidor de la DMZ, sería mucho más complicado que
pudiera acceder a la red local, ya que la conexión entre la DMZ y la red local está bloqueada.
Unidad 4
39
DMZ o Demilitarized Zone (Zona desmilitarizada)
Unidad 4
40
PROTOCOLOS Y
HERRAMIENTAS DE
2
SEGURIDAD EN REDES
Unidad 1
41
2 PROTOCOLOS Y HERRAMIENTAS DE SEGURIDAD EN REDES
¿Qué es la seguridad de la red?
La seguridad de la red engloba todas aquellas tareas diseñadas para proteger el acceso, el uso y la integridad de la red,
así como la información y los datos que se transmiten. Pero antes de conocer todos los mecanismos y herramientas que
podemos utilizar para proteger las redes, debemos comprender algunos conceptos.
Antiguamente, los sistemas informáticos tenían procedencias muy dispares y cada uno utilizaba protocolos diferentes
para comunicarse o intercambiar datos entre sí. Este procedimiento dificultaba mucho la comunicación entre dos
sistemas que tuvieran distinta procedencia.
Unidad 4
42
¿Qué es el Modelo OSI?
Por ello, surgió la necesidad de interconectar estos sistemas y redes, ya que, en caso contrario, estarían muy limitados a
la hora de operar. Así, surgió el Modelo OSI (Open Systems Interconnection o Interconexión de Sistemas Abiertos),
que hace referencia a los diferentes protocolos de comunicación de las redes. Este modelo fue creado en la década de
1980 por la Organización Internacional de Normalización (ISO) con el objetivo de permitir que diferentes sistemas se
pudieran comunicar entre sí a través del uso de protocolos estándar.
Recordemos que un protocolo es un conjunto de reglas y normas que permiten a dos o más nodos, o dispositivos,
comunicarse entre sí para recibir y transmitir información.
Unidad 4
43
Modelo OSI
El Modelo OSI está formado por siete niveles o capas, donde cada uno de
7 Capa de aplicación
ellos es una fase a través de la que los datos viajan de un dispositivo a
otro, es decir, si A quiere mandar a B un paquete de datos, el paquete 6 Capa de presentación
tendrá que pasar por cada una de las capas del Modelo OSI para llegar al
5 Capa de sesión
receptor.
4 Capa de transporte
Cada capa tiene una función específica y se comunica con la capa
superior e inferior de forma exclusiva. 3 Capa de red
2 Capa de enlace de datos
Modelo OSI Modelo OSI I 1 Capa física
Unidad 4
44
Modelo OSI
1 Capa física
La capa más inferior se denomina capa física. Esta capa es la encargada de la topología de Red y de establecer las
conexiones entre el ordenador y la Red. Por ejemplo, sería el cableado o la red Wi-Fi.
La capa física también hace referencia a la capa en la que los datos se convierten en una secuencia de bits, es decir,
una secuencia numérica de unos y ceros, lo que permitirá su transmisión. Por lo que ambos dispositivos, el emisor y el
receptor, deben acordar qué protocolo van a utilizar para que ese paquete de datos sea legible por ambos dispositivos.
Unidad 4
45
Modelo OSI
La segunda capa, la capa de enlace de datos, recoge las señales binarias de la capa física y les dota de significado
gracias a los diferentes protocolos de los que está compuesta, permitiendo así establecer la comunicación entre dos
nodos, es decir, entre dos dispositivos que forman parte de una misma red. En esta capa podemos encontrar los switch,
que son los encargados de direccionar la información a cada nodo, dispositivo, de la red.
Esta capa además, se encarga de controlar el flujo, para que no se pierda información y los errores de comunicación de
esos nodos dentro de la red.
Unidad 4
46
Modelo OSI
3 Capa de red
La capa de red, es decir, la tercera capa, se encarga de posibilitar

las transferencias de datos entre diferentes redes. Si los
dispositivos se encontraran en la misma red, esta capa sería
prescindible, ya que solo se necesitaría la segunda capa.
La capa de red se encarga de fragmentar los datos, que llegan de la

capa de transporte, en unidades más pequeñas, denominadas
paquetes; pero también busca la ruta más adecuada, para que los
paquetes lleguen a su destino. Labor realizada por el router.
Unidad 4
47
Modelo OSI
La cuarta capa, la de transporte, facilita las comunicaciones de extremo a extremo entre dos dispositivos. Para
ello, recoge los datos de la capa de sesión y los fragmenta en partes más pequeñas, denominadas segmentos que,
posteriormente, en la capa de transporte del dispositivo receptor, se reconstruirán.
En esta capa también se controla el flujo y los errores. El control de flujo sirve para establecer la velocidad óptima con la
que se garantiza la transmisión. Por otro lado, el control de errores consiste en asegurarse de que todos los datos
recibidos están completos y, en caso contrario, solicitar su reenvío.
Unidad 4
48
Modelo OSI
5 Capa de sesión
La capa de sesión tiene como objetivo abrir y cerrar las comunicaciones entre dos dispositivos. La duración entre
la apertura y cierre de una comunicación se denomina sesión.
En esta capa se garantiza que la comunicación esté abierta el tiempo necesario para transferir todos los datos. También
establece los puntos de control para evitar la necesidad de reiniciar una transferencia de datos, si la conexión se ha
interrumpido a la mitad, ya que se partiría desde el último punto de control.
Unidad 4
49
Modelo OSI
6 Capa de presentación
La capa de presentación prepara los datos para la capa de aplicación, es decir, se encarga de traducir, cifrar y
comprimir los datos.
En caso de que el emisor esté utilizando un método de codificación diferente, la capa sexta del receptor traduciría esos
datos a una sintaxis comprensible para la capa séptima del mismo.
Sin embargo, en caso de que ambos dispositivos hayan acordado una conexión cifrada, la capa de presentación
añadiría el cifrado para su emisión, o los descodificaría en el momento de la recepción.
Por último, esta capa también comprime los datos para enviarlos a la quinta capa, consiguiendo aumentar la velocidad y
eficiencia de la comunicación.
Unidad 4
50
Modelo OSI
La última capa o capa de aplicación es la única que interactúa de forma directa con los datos de los usuarios, es
decir, se comunica con todas las aplicaciones de software que utilizamos los usuarios, como los navegadores web y
clientes de correo electrónico. Estas aplicaciones no forman parte de la capa de aplicación, sino que dependen de esta
capa para comunicarse.
Unidad 4
51
Modelo OSI
Tras comprender cada una de las capas y sus funciones, veamos gráficamente cómo se va transformando un paquete
de datos según pasa por cada capa, comenzando por la capa 7 de aplicación hasta la capa física y después a la inversa.
AH: Application Header (cabecera de

aplicación).
PH: Presentation Header (cabecera de
presentación).
SH: Session Header (cabecera de sesión).
TH: Transport Header (cabecera de
transporte).
NH: Network Header (cabecera de red).
DH: Data Header (cabecera de datos).
DT: Data Tail (cola de datos).
Unidad 4
52
Modelo OSI
El Modelo OSI funciona de forma que, cuando un dispositivo
emisor transmite a otro receptor unos datos, estos últimos
atraviesan primero la séptima capa del emisor hacia abajo y,
después, de la primera capa del receptor hasta la última.
Por ejemplo, Juan quiere enviarle a María un correo

electrónico, así que redacta el mensaje y lo envía. En ese
momento, el correo electrónico pasa a la capa de aplicación
y selecciona el protocolo de comunicación. En este caso,
utilizará el SMTP o protocolo para transferencia simple de
correo, y con esto definido pasará a la capa de presentación.
Unidad 4
53
PROTOCOLOS Y HERRAMIENTAS
2
DE SEGURIDAD EN REDES
Modelo OSI
La capa de presentación comprimirá los datos y los enviará a la capa
de sesión, que abrirá la comunicación. En ese momento, llegarán a la
capa de transporte, donde se segmentarán y pasarán a la capa de red,
donde volverán a segmentarse en paquetes más pequeños y llegarán
a la capa de enlace de datos. En esta capa volverán a segmentarse en
tramas y pasarán a la capa física, donde se convertirán en una
secuencia numérica de bits (unos y ceros) y viajarán a través de un
medio físico, como, por ejemplo, un cable, hasta el servidor del correo
electrónico de Juan. Desde el servidor de correo de Juan se enviará al
servidor de correo de María y desde ahí se producirá el mismo camino
a la inversa hasta que el correo llegue a María.
Unidad 4
54
Modelo OSI
A modo resumen, cada capa se encarga de: Capas de host
7. Aplicación
Se comunica con todas las aplicaciones de software que utilizamos 6 Capa de presentación
los usuarios.
5 Capa de sesión
Protocolos: SMTP, POP, IMAP, HTTP, HTTPS, DNS.
6. Presentación
Capas de medios
Estandariza la manera en la que los datos se presentan a las
3 Capa de red
aplicaciones. Se encarga de traducir, cifrar y comprimir los datos.
1 Capa física
Unidad 4
55
Modelo OSI
5. Sesión Capas de host
Gestiona las diferentes conexiones entre aplicaciones que cooperan 7 Capa de aplicación
entre sí. Abre y cierra las comunicaciones entre dos dispositivos.
Protocolo: SMB.
5 Capa de sesión
4. Transporte
Proporciona diferentes servicios de detección y corrección de errores. 4 Capa de transporte
Protocolo: TLS. Capas de medios
3. Red 3 Capa de red
Se encarga de posibilitar las transferencias de datos entre diferentes
redes.
Protocolos: ICMP, ARP. 1 Capa física
Unidad 4
56
Modelo OSI
2. Enlace de datos Capas de host
Permite el envío de datos a través del enlace físico ya que recoge 7 Capa de aplicación
las señales binarias.

1. Física
5 Capa de sesión
Se encarga de la topología de Red y de establecer las conexiones
entre el ordenador y la Red. 4 Capa de transporte
Capas de medios
3 Capa de red
1 Capa física
Unidad 4
57
Puertos de red
Antes de comenzar a comprender los distintos protocolos
de comunicación que podemos encontrar debemos
entender el concepto de puerto de red o puerto.
Un ordenador puede estar conectado con diferentes

servidores al mismo tiempo, por ejemplo, con un servidor
de correo electrónico y con un servidor de aplicaciones
web. Por esta razón, para distinguir las diferentes
conexiones que se realizan dentro de un mismo
ordenador se utilizan los puertos.
Unidad 4
58
Puertos de red
Un puerto se indica a través de 16 bits, por lo que existen 65536 puertos en
total (se empieza a contar desde el puerto 0, por lo que va hasta el número de
puerto 65535). En principio, se pueden utilizar indistintamente para cualquier
protocolo. Sin embargo, existe una entidad llamada IANA (del inglés Internet
Assigned Numbers Authority), que se encarga de la asignación de los puertos,
donde estableció tres categorías:
• Puertos bien conocidos: son aquellos que van hasta el puerto

1023 incluido y están reservados para el sistema operativo,
usados por los protocolos HTTP (puerto 80, servidor web), SMTP
(puerto 25, servidor de correo), etc.
Unidad 4
59
Puertos de red
• Puertos registrados: son aquellos que van desde el 1024 hasta el 49151 y son utilizados por cualquier
aplicación. En este listado, creado por IANA, puedes ver qué protocolo usa cada servicio [8]. Por ejemplo, el
servicio VNC utiliza el puerto 5900.
• Puertos dinámicos o privados: son aquellos que van hasta el 65535. Se trata de puertos temporales que el
sistema operativo asigna a las aplicaciones cuando lo requiere. Una vez que la conexión ha terminado, ese
puerto quedaría libre de nuevo y podría volver a ser utilizado por otra aplicación.
Unidad 4
60
Protocolos de comunicación de redes
Tal y como hemos descrito anteriormente, Protocolos de servicios
un protocolo es un conjunto de reglas y Capa 7. Capa 5. Capa 4. Capa 3.
normas que establecen la manera en la Aplicación Sesión Transporte Red
que deben comunicarse los diferentes SMTP SMB TLS ICMP
dispositivos. Vamos a establecer una POP ARP
clasificación de los distintos protocolos
IMAP
más comunes que vamos a analizar, en
HTTP
función de la capa del Modelo OSI en la
que actúan. Así, encontramos: HTTPS
DNS
Unidad 4
61
En la capa 7 de aplicación, podemos encontrar los siguientes protocolos de servicios:
• El protocolo SMTP: o Simple Mail Transfer Protocol, también denominado protocolo para transferencia simple de
correo. Se utiliza para enviar y recibir correos electrónicos. Lo encontramos en el puerto 25. Sin embargo, para la
recepción de correos se suelen utilizar otros protocolos, como IMAP y POP.
• POP: o Post Office Protocol. Se trata de un protocolo que se utiliza habitualmente para recuperar un mensaje de
correo electrónico de un servidor mail y proporcionárselo a un cliente. Este servicio se encuentra en el puerto 110.
• IMAP: o Internet Message Access Protocol. Este protocolo permite a los usuarios agrupar mensajes, guardarlos en
carpetas, organizarlos y también indicar cuándo se ha leído, borrado o reenviado un correo electrónico. Además,
también realiza búsquedas en el buzón de correo. Este servicio se encuentra en el puerto 143.
Generalmente, cada vez que utilizamos el correo electrónico, estamos haciendo uso de estos tres protocolos.
Unidad 4
62
• El protocolo HTTP: HTTP hace referencia a las siglas de HyperText Transfer Protocol, un protocolo de transferencia
de hipertexto. Es el protocolo que utiliza el navegador para acceder a una página web. Funciona en el puerto 80 y
8080.
• El protocolo HTTPS: o HyperText Transfer Protocol Secure, es decir, es el mismo protocolo que HTTP, pero esta
versión utiliza un cifrado seguro para la comunicación, evitando así que un tercero no autorizado pueda tener acceso
a esa información. Este protocolo es muy útil respecto al fraude, ya que el servidor web debe autenticarse antes del
comienzo de la transmisión de los datos. Funciona en el puerto 443.
Estos dos protocolos son propios de la capa 7 de aplicación.
Unidad 4
63
Ejemplo de petición de una página web:
Unidad 4
64
Fuente: Labelling of security standards in the browser address bar

[Captura de pantalla] Extraído de:
Unidad 4
65
• El protocolo DNS: para entender este protocolo, primero debemos comprender qué es una DNS. El término «DNS»
hace referencia a Domain Name System o Sistema de Nombres de Dominio. El protocolo DNS es el encargado de
vincular los nombres de los sitios web con direcciones IP. Por ejemplo, un usuario puede navegar por Internet y
acceder a una página web a través de su nombre de dominio, en este caso, «www.incibe.es». Sin embargo, los
navegadores web requieren de direcciones IP, es decir, «195.53.165.153». El protocolo DNS se encargaría de
traducir «www.incibe.es» a «195.53.165.153» para que el navegador pueda cargar la página web. Este servicio se
encuentra en el puerto 53.
Saber más: Protocolo DNS. [9]
Unidad 4
66
Otro concepto a tener en cuenta es la «caché». Cuando hablamos de caché de DNS nos referimos a la información
almacenada, temporalmente, de las búsquedas de DNS que se han realizado en el dispositivo, es decir, es un registro
de los sitios web que hemos visitado.
El caché de DNS es muy útil cuando accedemos, por segunda vez, a un sitio web ya que el proceso de acceso se
acelera debido a que la correspondencia entre el nombre del sitio y su dirección IP ya está almacenada. Por eso, la
primera vez que visitamos «www.incibe.es» necesitamos utilizar el protocolo DNS para saber la dirección IP; pero las
próximas veces no será necesario recurrir a esta consulta, ya que tendremos esa información guardada en la caché.
Saber más: Así funciona el protocolo DNS en Internet. [10]
Unidad 4
67
En la capa 4 de transporte, encontramos el siguiente protocolo:
• El protocolo TLS: se trata de un protocolo de cifrado que tiene como objetivo proporcionar una conexión segura. Este
protocolo es una evolución del antiguo protocolo SSL (Secure Sockets Layer). Así, las partes de la comunicación se
identifican y autentican entre sí, de manera que pueden comunicarse con la privacidad e integridad de los datos. Para
ello, los servidores web deben estar certificados. En el momento en que el cliente hace una petición y esta llega al
servidor web a través del navegador, el servidor debe enviar el certificado, junto con la clave pública. En este
momento, el navegador comprueba que la entidad que emitió el certificado es de confianza, en caso contrario, pedirá
al usuario que acepte bajo su responsabilidad.
Unidad 4
68
Así, el navegador genera otra clave que será cifrada
mediante la clave pública del servidor y la enviará al
mismo. De esta forma, se establece una conexión segura
y cifrada en ambos sentidos. HTTPS requiere que el sitio
web disponga de un certificado SSL, por lo que se podría
decir que HTTPS se basa en SSL. Por lo tanto, TLS no
tiene un puerto propio, como los servicios HTTP o SMTP,
si no que los diferentes servicios que lo usan, modifican su
puerto; por ejemplo, HTTPS emplea el puerto 443 en lugar
del 80 de HTTP, en el caso de SMTP, si se usa sobre TLS
tiene el 587 en lugar del 25, etc.
Unidad 4
69
En la capa 5 de sesión, encontramos el siguiente protocolo:
• El protocolo SMB: o Server Message Block. Se trata de un protocolo cliente-servidor que controla el acceso a los
archivos y directorios, y otros recursos de red, como pueden ser impresoras o routers. Este protocolo permite al
cliente comunicarse con otros participantes de la red para acceder a los archivos o servicios que se comparten en
dicha red. Para ello, requiere que el otro dispositivo también tenga implementado este protocolo. En ese momento, es
posible recibir la petición del cliente utilizando una aplicación del servidor SMB, como, por ejemplo, Samba, una
aplicación que permite compartir archivos. Es importante tener en cuenta que, primero, se debe establecer una
conexión entre ambos dispositivos. Este servicio se encuentra en el puerto 445.
Unidad 4
70
En la capa 3 de red, encontramos:
• El protocolo ICMP (Internet Control Messaging

Potrocol o Protocolo de Mensajes de Control de
Internet): se utiliza para informar de sucesos o errores
que ocurren en la Red. Este protocolo permite el
envío de mensajes, es decir, de paquetes ICMP Echo
Request, donde un nodo o usuario envía una petición
y el receptor responde enviando un paquete ICMP
Echo Reply. Aquí no encontramos ningún puerto,
dado que en estas capas tan bajas no existe el
concepto de puerto.
Unidad 4
71
Un concepto que forma parte del protocolo ICMP es «PING». Se trata de una unidad de medida de latencia, es decir,
mide el tiempo que tarda en transmitirse un paquete dentro de la Red; el tiempo que se tarda en recibir un paquete del
servidor y, además, permite saber si un dispositivo está disponible en la Red. Por ejemplo, si realizamos una búsqueda
en el navegador y tenemos una latencia de 80 milisegundos, este será el tiempo que ha tardado en llegar esa solicitud o
búsqueda desde el servidor del navegador hasta nuestro ordenador.
Saber más: Protocolo ICMP. [11]
Unidad 4
72
• El protocolo ARP (Address Resolution Protocol o
Protocolo de resolución de direcciones): se trata
de un protocolo encargado de vincular una dirección
MAC o dirección física con una dirección IP. Las
direcciones MAC son códigos identificadores únicos
con los que los fabricantes etiquetan a los
dispositivos. Así, cada dispositivo conectado a la red
cuenta con una dirección IP y una dirección MAC. Al
igual que en el caso anterior, no encontramos ningún Fuente: Tabla ARP [Captura de pantalla]
puerto. Extraído del enlace:
Unidad 4
73
Por ejemplo, si A quiere comunicarse con B en una red local, A necesita averiguar la dirección MAC asociada a la
dirección IP de B. Para ello, se utiliza la resolución de direcciones mediante ARP que funciona en base al modelo
petición-respuesta en la que, a través de la dirección IP de un dispositivo, es posible identificar su dirección MAC.
Saber más: Protocolo ARP. [12]
Saber más: ¿Qué es la dirección MAC? [13]
Unidad 4
74
En el ejemplo anterior, A hace una petición ARP Request a todos los dispositivos de la red local. Esta petición identificará
la dirección MAC de B. Lo que ocurre es que identificar la dirección MAC cada vez que A quiera comunicarse con B sería
muy costoso, por ello, todos los dispositivos de la red local disponen de una tabla de caché ARP donde se almacenan,
de forma temporal, las direcciones IP y las MAC asociadas que se conocen previamente.
Así, cuando A recibe la respuesta ARP Reply de B, anotará en su tabla tanto la dirección IP, como la dirección MAC de
B; permitiendo así que A y B puedan comunicarse sin la necesidad de realizar peticiones ARP Request constantemente.
Saber más: Descubre más servicios y sus protocolos. [14]
Unidad 4
75
2 PROTOCOLOS Y HERRAMIENTAS
DE SEGURIDAD EN REDES
Aunque para explicar Internet hemos empleado el Modelo OSI,
en la realidad, Internet funciona a través de los protocolos
TCP/IP y UDP/IP.
• El protocolo TCP: se trata de un protocolo de control de

transmisión que establece una conexión entre dos puntos
en una red informática común, permitiendo así el
intercambio de datos. Existe una secuencia específica
denominada «triple apretón de mano» o «three-way
handshake».
Unidad 4
76
En este caso, el cliente envía al servidor un paquete
SYN (en inglés, synchronize). Si el servidor lo recibe,
confirmará el establecimiento de la conexión
mediante el envío de un paquete SYN-ACK (en
inglés, acknowledgement). Por último, el cliente
confirmará la recepción del paquete SYN-ACK
mediante el envío de un paquete ACK propio. En
caso de que no responda con el envío ACK, el
servidor quedará en estado de espera; por ello, se
trata de una conexión semiabierta.
Saber más: Protocolo TCP. [15]

Unidad 4
77
• El protocolo UDP: o User Datagram Protocol. Este
protocolo permite la comunicación entre dispositivos sin
conexión y no es necesario esperar ningún tipo de
respuesta por parte del receptor, como en el caso del
protocolo TCP. En este caso, aunque permite que los
datos se envíen de forma rápida, no existe ninguna
garantía de que vayan a llegar completos, ni en orden.
Este protocolo permite transmitir datos de forma rápida y
sin interrupciones. Se utiliza principalmente para
consultas DNS, conexiones VPN y para streaming de
audio y vídeo.
Unidad 4
78
Unidad 4
79
La relación existente entre las capas del Modelo OSI y el protocolo TCP/IP sería:
Unidad 4
80
MODELO DE SEGURIDAD
EN REDES
Síntesis
Unidad 1
81
MODELO DE SEGURIDAD EN REDES
Seguridad de Red
Como hemos mencionado anteriormente, la seguridad de la red de una organización se basa en la protección de todos
los recursos informáticos de los posibles ataques y brechas de seguridad, siempre tratando de proteger la integridad,
confidencialidad y disponibilidad de la información. Este tipo de seguridad abarca diferentes controles, políticas y
herramientas de protección específicos que, integrándolos de forma correcta en las redes, aumentan su protección.
3. Gestión de 4. Sistemas de
accesos e detección de 5. Cortafuegos
identidades software malicioso
Tipos Antivirus Firewall
Controles EDR
XDR
Unidad 4
82
MODELO DE SEGURIDAD EN REDES
Seguridad de Red
6. Sistemas de 7. Sistemas de
8. Principales ataques a 9. Seguridad
detección y protección detección y gestión de
redes por capas
contra intrusiones eventos de seguridad
IDS SIEM Ataque de Denegación de

Servicio (DoS)
IPS SOAR
Ataque de Denegación de
Honeypots Servicio Distribuido
(DDoS)
ARP spoofing
Envenenamiento de
caché DNS
Escaneo de puertos
Unidad 4
83
GESTIÓN DE
3
ACCESOS E
IDENTIDADES
Unidad 1
84
3 GESTIÓN DE ACCESOS E IDENTIDADES
Introducción
La gestión de identidades y accesos (IAM, del inglés Identity and Access Management) es un método de
administración de los usuarios y sus privilegios, es decir, es un modo de conocer quién es un usuario, qué permisos tiene
y qué acciones puede llevar a cabo.
Así, este método está formado por:
• La gestión de identidades: la misión es verificar completamente cada usuario. Está relacionado con la autenticación,
es decir, cómo saber que un usuario es quien dice ser. Por ejemplo, se puede dar una tarjeta de empleado a cada
trabajador de una organización para gestionar su identidad y poder confirmar que dicha persona es quien dice ser.
• La gestión de accesos: hace referencia a aquellas acciones que un usuario puede realizar y qué datos puede
visualizar. La gestión de acceso se enfoca en la autorización, es decir, una vez que un usuario ha sido autenticado en
la gestión de identidades, en la gestión de accesos se determina a qué recursos puede acceder y/o utilizar.
Unidad 4
85
Principios básicos
Existen tres principios básicos que rigen la gestión de accesos:
• Identificar la identidad del usuario: por ejemplo, escribir el nombre de usuario de una organización.
• Autenticar: se trata de verificar que el usuario que se identifica es quien dice ser. En este caso, el
usuario debe aportar su contraseña, código de verificación, etc., que le permita autenticarse junto con el
nombre de usuario que ha facilitado antes.
• Autorizar: una vez se hayan confirmado los pasos previos de identificación y autenticación, se autoriza
el acceso, ya sea a las instalaciones físicas o a los sistemas. Siguiendo el ejemplo, la forma de verificar
los pasos previos será comprobar que el nombre de usuario se encuentra en la base de datos y la
contraseña facilitada corresponde a ese usuario. Entonces, se produciría la autorización.
Unidad 4
86
Principios básicos: identidad
¿Qué es la identidad en el mundo informático? Hace referencia a todas aquellas propiedades y características que se
pueden llegar a medir y registrar de forma digital. Por ejemplo, un carné de identidad o de conducir no contiene
absolutamente todos los datos de una persona, pero sí los suficientes para identificarla. En un sistema informático, el
planteamiento es el mismo, se trata de evaluar las características que sean propias de la persona, para poder cotejarlas
con dicho usuario y autenticarlo. Por ello, existen tres factores de autenticación que facilitan esta identificación:
Unidad 4
87
• Algo que sabe el usuario: se trata de una información que dispone únicamente el
usuario. Por ejemplo, una contraseña.
• Algo que tiene el usuario: en este caso, el usuario dispone de un objeto físico que
le autoriza, identifica o autentica. Por ejemplo, dispone de una tarjeta de acceso
identificativa con la que puede acceder.
• Algo que el usuario es: se trata de una característica física que tiene el usuario.
Por ejemplo, su iris o su huella dactilar. Ejemplos de este tipo de autenticación son
el factor de autenticación faceID de los teléfonos móviles, o el control por acceso
biométrico que hace uso de las huellas dactilares o de la retina.
Unidad 4
88
3 GESTIÓN DE ACCESOS E
IDENTIDADES
También existe la autenticación multifactor, que consiste en el uso
de diferentes opciones de identificación, por ejemplo, el uso de
una tarjeta identificativa junto con un código PIN o contraseña. El
uso de las diferentes opciones y combinaciones de identificación
dependerá de la criticidad del recurso que se protege. Así, por
ejemplo, para entrar físicamente a una empresa se puede usar
una tarjeta física (algo que se tiene) pero, si además se quiere
acceder al CPD (Centro de Procesamiento de Datos) puede que
sea necesario un control adicional, tal vez una contraseña (algo
que se sabe).
Unidad 4
89
Tipos o métodos de identificación
Existen diferentes métodos de identificación que se pueden
implementar, y varían en función de las necesidades y de la
seguridad que se desee. Los más habituales son los siguientes:
• Por teclado: es aquel método en el que el usuario debe

introducir un código a través de un teclado situado en las
puertas o aquellos códigos para la conexión de VPN, siendo
el código único e identificativo del empleado. Por ejemplo: un
código numérico aportado por una llave RSA o el OTP –
Contraseñas de un Solo Uso, del inglés One-Time Password-
para conectarse a una VPN.
Unidad 4
90
• Por controles biométricos: Los datos biométricos son aquellos datos personales fisiológicos, físicos y conductuales
que permiten identificar a los usuarios. Aquí podemos encontrar diferentes subtipos, entre los cuales destacan:
 Por huella dactilar: en el caso de las huellas dactilares, no existen dos huellas dactilares iguales, lo
que facilita la identificación. Un ejemplo sería el uso de la huella dactilar para desbloquear el teléfono
móvil o los controles de acceso por huella a una sala restringida.
 Reconocimiento facial: esta tecnología hace referencia a un software que analiza los rasgos físicos
del usuario y los coteja con la información almacenada en una base de datos. Por ejemplo, la
INTERPOL utiliza un software de reconocimiento facial para detectar a los delincuentes.
 Reconocimiento ocular o del iris: es aquel control biométrico que utiliza el reconocimiento del iris
para verificar la identidad del usuario, ya que los patrones del iris son exclusivos de cada individuo.
Unidad 4
91
• Tarjeta identificativa: son aquellas tarjetas que funcionan mediante la inserción de la tarjeta a un terminal, lo que
permite la identificación de quién accede y quién sale, por ejemplo, de la oficina o de áreas restringidas.
• Por RFID (Radio Frequency Identification o identificación por radiofrecuencia): se trata de un sistema muy
parecido al sistema de la tarjeta identificativa, con la diferencia de que, en este caso, no se requiere de su inserción
en un terminal, sino que se utilizan ondas de radio para comunicarse con un microchip que está implementado en el
objeto. Por ejemplo, es muy útil para realizar el seguimiento del equipaje facturado durante todo el viaje hasta que
llega a su destino.
¿Sabías qué es el reconocimiento facial informatizado y

por qué se utiliza en el ámbito de la investigación? [16]
Unidad 4
92
Gestión o control de accesos
La gestión o control de accesos, tal y como hemos mencionado, hace referencia a las acciones que los diferentes
usuarios pueden realizar en función de la información y los datos a los que pueden acceder. Sin embargo, aunque un
usuario haya verificado su identidad, no significa que tenga acceso a todo el sistema. Los objetivos del control de
acceso son los siguientes:
• Restringir o permitir el acceso de los usuarios a las áreas o instalaciones concretas, así como a los sistemas
informáticos, bases de datos y servicios de información. De este modo, solo pueden acceder los usuarios
autorizados.
• Proteger los recursos físicos y lógicos, ya sean equipos o sus configuraciones o la información, de posibles robos
o accesos no autorizados.
Unidad 4
93
Gestión o control de accesos
• Detectar los accesos no autorizados: por ejemplo, si un usuario intenta acceder a la sala de CPD (Centro de
Procesamiento de Datos), este acceso quedará registrado.
• Registrar y revisar los eventos críticos realizados por los usuarios: existe un control de quién ha accedido a
dónde, a qué hora y qué acciones ha realizado, por lo que si ocurre un incidente de seguridad, es posible saber quién
se encontraba en el lugar en ese momento o quién accedió al recurso o sistema.
• Facilitar la organización de la empresa y el control de los empleados: permite la supervisión de los empleados, saber
dónde están o cuándo han entrado en determinadas áreas o instalaciones, o han accedido a los recursos lógicos,
como la información, los sistemas, etc.
Unidad 4
94
Tipos de control de acceso
Existen diferentes tipos de control de acceso:
• El control de acceso basado en roles (RBAC, del inglés Role Based Access Control): es uno de los más
utilizados. Este tipo de control está centrado en la autorización de acceso en base a los roles que se les asigna a los
usuarios, es decir, cada usuario en función de las tareas que debe realizar, formará parte de uno o varios roles. A
estos roles se les asignan una serie de recursos y derechos sobre dichos recursos. En muchas ocasiones, este
procedimiento se realiza de forma jerárquica, donde las personas con cargos superiores tienen mayor privilegio sobre
los recursos de la empresa en comparación con los cargos inferiores. Por ejemplo, Juan y María son empleados de la
empresa ABC, por lo que tendrán el rol de empleado.
Unidad 4
95
A dicho rol se le asigna el recurso de acceso a las oficinas pero, además, Juan es consultor de ciberseguridad en el
departamento de Hacking, por lo que forma parte del rol del equipo de hacking y dicho rol tiene el derecho de acceso al
directorio de hacking, donde se encuentran los programas para realizar los pentest de los sistemas. Sin embargo, María
pertenece al departamento de Finanzas, por lo que no forma parte del rol de consultor de hacking y, por tanto, no tendrá
acceso a esta carpeta.
Saber más: Control RBAC. [17]
Unidad 4
96
• El control de acceso discrecional (DAC, del inglés Discretionary Access Control): en este caso, el control de
acceso viene determinado por las reglas que establezca el propietario del recurso, es decir, el propietario del recurso,
por ejemplo, una base de datos con información de clientes, es quien define quién tiene derecho a acceder a dicho
recurso y con qué permisos, por ello, se considera discrecional, porque, el acceso se realiza a discreción del
propietario del recurso. Este control puede combinarse con el control RBAC, en el que el propietario del recurso
podría dar acceso a un rol en lugar de únicamente a un usuario. En este control de acceso también sucede que, si el
propietario del recurso asigna a un usuario o a un rol permiso para otorgar permisos, este usuario o rol podría dar
permisos a un tercero sin la necesidad de que el propietario del recurso lo consienta.
Unidad 4
97
Aquí encontramos la lista de control de acceso (ACL), que hace referencia a
una lista de entradas de control de acceso en la que se identifican a los
usuarios o roles y sus derechos de acceso concedidos y denegados. El
ejemplo más visual y sencillo es el del directorio de un ordenador. Si creamos
un directorio y hacemos clic en las propiedades, dentro de la pestaña de
seguridad, nos permitirá seleccionar quién tiene acceso a dicho directorio y
qué permisos tendrá. Así, si Juan es propietario de un directorio en el que se
guarda información relevante para la realización de un proyecto y María
necesita acceso para realizar unos cambios en un documento, Juan debe darle
acceso para que María pueda realizar esos cambios. Pero si Juan, además de
darle acceso, le otorga permisos para otorgar a su vez permisos, María podría
Fuente: El control de acceso
darle acceso a Eva sin que Juan tuviera que consentirlo. discrecional (DAC) [Elaboración propia]
Unidad 4
98
• El control de acceso obligatorio (MAC, del inglés Mandatory Access Control): en este modelo, se otorgan los
accesos a través de una autoridad central o tercera reguladora, lo que requiere de una actualización continua y, por
tanto, es más agotador que otro tipo de controles de acceso. Los usuarios únicamente pueden acceder a aquellos
recursos e instalaciones que necesitan de forma imperativa. Además, no se pueden producir accesos no autorizados
por la autoridad central, ya que un usuario no puede otorgar permisos a otros usuarios. La filosofía que subyace a
este tipo de control es que la información pertenece a toda la organización, no únicamente a miembros individuales.
Sin embargo, al igual que en el control de acceso discrecional, es posible combinarlo con el control RBAC y otorgar
accesos a roles. Así, mientras DAC es descentralizado, MAC es centralizado y rígido.
Unidad 4
99
Por ejemplo, en la empresa ABC, tienen una clasificación de la información basada en tres niveles: público, restringido a
empleados y confidencial. Si hacemos uso de este modelo MAC, los documentos y recursos de información se
clasificarían en base a esos tres criterios, y se determinarían permisos para cada usuario o cada rol, según el grado al
que puedan acceder. Juan y María son empleados de dicha empresa, por lo que podrán acceder a la información tanto
pública como a la restringida a los empleados. Sin embargo, Eva es CEO de la empresa, por lo que tendrá acceso,
además, a la información confidencial.
Saber más: Control MAC. [18]
Unidad 4
100
• El control de acceso basado en atributos (ABAC, del inglés Attribute-Based Access Control): este tipo de
control utiliza atributos que se asignan tanto a los recursos como a los usuarios para definir reglas de control de
acceso y solicitudes de acceso. El sistema funciona de modo condicional «si-entonces», comparando los atributos con
valores estáticos definidos o con otros atributos. Por ejemplo, Juan y María trabajan en la empresa ABC, donde Juan
trabaja en el departamento de Ciberseguridad como consultor de hacking, por lo que tiene los atributos de
Departamento = Ciberseguridad, Rol = Consultor y Área = Hacking. María, por otro lado, trabaja en el departamento
de Finanzas y es gerente de dicho departamento; por lo que sus roles son Departamento = Finanzas y Rol = Gerente.
También se asignan atributos a los recursos, por ejemplo, el directorio de hacking dispone de los atributos
Departamento = Ciberseguridad y Área = Hacking, por lo que Juan, que dispone ambos atributos podría acceder a los
contenidos de dicho directorio; pero si María lo intenta, no podrá, dado que no dispone de dicho atributo. En resumen,
esta regla se trataría de permitir a los empleados el acceso al directorio de hacking siempre que pertenezcan al
departamento de Ciberseguridad y al área de Hacking.
• Unidad 4
101
4
SISTEMAS DE DETECCIÓN
DE SOFTWARE MALICIOSO
Unidad 1
102
4 SISTEMAS DE DETECCIÓN DE SOFTWARE MALICIOSO
Introducción
Cuando hablamos de software malicioso, o malware, como vimos en la Unidad 2, hacemos referencia a diferentes
formas de software malicioso diseñado para infiltrarse en un dispositivo sin el conocimiento ni el consentimiento del
usuario. Actualmente, se suelen utilizar software maliciosos para obtener un beneficio económico, robar información
confidencial, como, por ejemplo, a través del software spyware, realizar otras acciones maliciosas, como difundir spam a
través del correo electrónico, consumir los recursos del dispositivo infectado, como en el caso del minar criptomonedas,
o para extorsionar a través de ransomware. El ransomware es un tipo de malware especial por dos motivos: aunque
inicialmente se daña el dispositivo, es posible recuperar su uso después de pagar el rescate; por otro lado, es el único
malware que anuncia su presencia, a diferencia del resto que pretenden no ser detectados.
Unidad 4
103
Introducción
Recordemos que este tipo de ciberataques pueden ser lucrativos, ya sea directamente del usuario infectado o
convirtiendo al usuario infectado en un cesor del dispositivo desde el que realizar otras actividades delictivas.
¿Sabías qué? La primera botnet conocida públicamente fue

creada en el año 2000, por Khan C Smith, que llegó a ganar 3
millones de dólares enviando más de 1 millón de estafas de
phishing por correo electrónico. [19]
Unidad 4
104
Antivirus
Un antivirus o antimalware es una herramienta software de protección diseñada para evitar que ejecutemos algún tipo
de software malicioso en nuestro equipo que provoque la infección del equipo, es decir, se encarga de evitar la infección
del equipo e intenta evitar su ejecución tratando de bloquear las acciones maliciosas en el sistema o dispositivo
generadas por cualquier tipo de malware. Además, en el supuesto de que se haya producido cualquier infección, la
eliminaría.
Pero ¿cómo se detecta el malware? En este sentido, los antivirus protegen de forma reactiva y proactiva.
Unidad 4
105
Antivirus
• Reactiva o basada en firmas: por defecto, el antivirus tiene una serie de bases de datos con información de los
posibles software maliciosos. En el momento que tenemos un posible archivo malicioso, el antivirus lo analiza y lo
coteja con la base de datos. Si existe alguna coincidencia, se tratará de malware. El inconveniente de este análisis es
que solo es capaz de detectar aquel malware que ya ha sido identificado previamente y se ha añadido a esa base de
datos; por lo que si fuera un nuevo tipo de malware, no lo detectaría, de ahí la importancia y necesidad de mantener
el antivirus siempre actualizado.
Saber más: ¿Estás realmente

protegido por un antivirus? [20]
Unidad 4
106
Antivirus
¿Sabías qué? El primer virus informático se creó en 1971 y

se llamó Creeper, que significa enredadera. El mensaje que
mostraba era «soy la enredadera: atrápame si puedes». [21]
• Proactiva, por heurística o basada en anomalías: es un método complementario al análisis basado en firmas, ya
que pretende dar solución al malware que todavía no tiene una firma, es decir, que todavía no está descubierto; y,
por otro lado, del malware que sí está descubierto, pero el usuario todavía no dispone de la actualización de la base
de datos. El análisis heurístico descompone el archivo y analiza el código, es decir, analiza lo que ese código va
llevar a cabo, y se coteja con otros virus conocidos en la base de datos heurística. Si hay un porcentaje
determinado del código que coincide con los datos de la base de datos, se considerará malware.
Unidad 4
107
4 SISTEMAS DE DETECCIÓN
Sistemas EDR
Los sistemas EDR (del inglés Endpoint Detection Response)
son consecuencia de la evolución de los antivirus y antimalware.
Se trata de sistemas de protección tanto de los equipos como de
las infraestructuras. Se trata de una combinación del antivirus
junto con herramientas de monitorización, inteligencia artificial y
big data que permiten responder de forma rápida y eficaz frente
a las amenazas. Al realizar una monitorización, en el momento
en que se detecta un comportamiento sospechoso actúa de
forma inmediata y prácticamente automática, consiguiendo así
eliminar la amenaza o mitigar las consecuencias del mismo.
Unidad 4
108
Sistema EDR
Además de las herramientas propias del antivirus tradicional de detección, identificación y prevención de efectos; los
sistemas EDR también ofrecen:
• Herramientas de análisis de aprendizaje automático (o machine learning), que permiten mejorar la detección de
las amenazas.
• Sandbox: es un sistema virtual y aislado que permite realizar diferentes pruebas para comprobar si el archivo
sospechoso es malicioso. Sandbox (en castellano, «arenero» o «caja de arena»), hace referencia al entorno de
pruebas cerrado que permite realizar experimentos de forma segura, ya sea con proyectos de desarrollo web o
software, como, en este caso, para comprobar si un archivo contiene malware.
Unidad 4
109
Sistema EDR
• Escaneo de IOCs y reglas YARA: los IOC (del inglés Indicator of Compromise) o Indicadores de Compromiso, son
un conjunto de datos que ofrecen información acerca del comportamiento de alguna actividad sospechosa o
amenaza. YARA es una herramienta que permite identificar y clasificar malware y está basada en firmas, al igual que
el antivirus tradicional.
Saber más: Qué es IOC. [22] Saber más: Qué son las reglas YARA. [23]
¿Sabías qué? Según el creador de YARA, las siglas hacen

referencia «Yet Another Ridiculous Acronym», que significa
«otro acrónimo ridículo».
Unidad 4
110
4 SISTEMAS DE DETECCIÓN
Sistema EDR
• Uso de «whitelist» y «blacklist» de correos
electrónicos, páginas web e IP. El término «whitelist»
hace referencia, en este caso, a aquellos correos
electrónicos, páginas web e IP autorizadas; mientras que
«blacklist», identifica aquellos elementos que no están
autorizados.
Es posible utilizar sistemas EDR conjuntamente con otras

herramientas de seguridad, como SIEM, IDS e IPS, entre
otros.
Unidad 4
111
Sistemas XDR
Los sistemas XDR (del inglés Extended Detection and Response) son una versión extendida de los sistemas EDR, de
ahí que la X de XDR hace referencia a Extended y la E de EDR hace referencia a Endpoint. Estos sistemas se encargan
de la recolección y correlación automática de datos de diferentes fuentes, ya sean correos electrónicos, endpoints,
servidores, redes, etc., lo que permite una detección, investigación, respuesta y búsqueda de amenazas en tiempo real,
aún más rápida y completa que los sistemas EDR.
Cada vez encontramos amenazas más sofisticadas capaces de ejecutar y llevar a cabo diversas acciones de forma
paralela, por lo que puede ocurrir que una amenaza analizada de forma aislada por un sistema EDR, un análisis de
tráfico de red, el sistema de correo electrónico, etc., no sean detectadas por cada dispositivo de forma individual; pero el
uso de un sistema XDR, que realiza una recolección y correlación de datos de diversas fuentes, sí permite detectar estas
amenazas, es decir, trata de agrupar datos de diferentes herramientas para aportar mayor visibilidad de lo que está
ocurriendo en los sistemas y en la Red, para posibilitar una respuesta más rápida y eficaz.
Unidad 4
112
Sistemas XDR
Por lo general, un sistema XDR agrupa las características de recopilación de datos de un sistema EDR, la mitigación de
amenazas de un SOAR (Security Orchestration Automation and Response), la búsqueda de amenazas de un SIEM
(Security Information and Event Management) y el análisis de tráfico de la Red. Tanto el SOAR como el SIEM se
explicarán más adelante en esta unidad.
Métodos de prevención
Aunque el riesgo de que un software malicioso infecte nuestros dispositivos o sistemas nunca es cero, podemos tomar
una serie de medidas que aumenten la seguridad y nos protejan. Algunas de ellas son:
• Mantener los sistemas actualizados: las últimas versiones de los sistemas operativos y de las aplicaciones
instaladas siempre ofrecen parches o actualizaciones de seguridad que protegen de manera más efectiva.
Unidad 4
113
Métodos de prevención
• Uso de herramientas de seguridad: el uso de antivirus protege el sistema de la entrada de software malicioso.
• Descargar software legal: los software no legítimos pueden contener archivos maliciosos o malware que acabe
infectando nuestro sistema. Que un software sea legal no quiere decir que sea de pago, lo imprescindible es
descargar dicho software de la página oficial.
• Visitar enlaces seguros: es decir, que las páginas y sitios web que visitamos sean HTTPS y tengan certificados web
SSL o TLS, para evitar enlaces de URL maliciosas.
• Revisar el correo electrónico: el uso del correo electrónico es uno de los métodos más utilizados por los
ciberdelincuentes para realizar ataques de phishing, por lo que resulta esencial no acceder a las URL ni descargar o
abrir los archivos adjuntos que puedan encontrarse en el correo electrónico procedente de fuentes no fiables.
• Utilizar cuentas sin privilegios de forma habitual: únicamente utilizar la cuenta con privilegios para la instalación
de software que el usuario requiera o desee instalar.
Unidad 4
114
5
CORTAFUEGOS
Unidad 1
115
5 CORTAFUEGOS
Concepto
Un cortafuegos o firewall es un dispositivo de seguridad de la Red que se encarga de la monitorización del tráfico, ya sea
entrante o saliente, y permite o bloquea un tráfico específico en base a unas reglas o restricciones que se han definido
previamente al configurarlo, es decir, actúa como barrera entre la Red interna privada y la Internet pública.
Un cortafuegos puede ser un dispositivo hardware o software.
Unidad 4
116
5 CORTAFUEGOS
Políticas de cortafuegos
Los firewalls ofrecen dos tipos de políticas a la hora de permitir o denegar el tráfico; y siempre se aconseja aplicar una
política restrictiva para la adecuada protección de los equipos y la Red. Los cortafuegos se pueden configurar a través
de dos políticas:
• Política permisiva: este tipo permite todo el tráfico, salvo que esté expresamente definido que sea bloqueado. Por
ejemplo, podemos configurar el firewall para que bloquee todos los paquetes de datos que vengan de la IP
195.53.165.153. Entonces, el firewall dejará pasar todo el tráfico, salvo el que venga explícitamente de esa IP.
• Política restrictiva: esta política no permite el tráfico, salvo el que esté expresamente permitido, es decir, es el caso
contrario al anterior. En este sentido, si configuramos el firewall para que permita el tráfico de la IP 195.53.165.153,
bloqueará todo el tráfico, salvo el que provenga de esa IP.
Estas políticas permisivas y restrictivas funcionan de forma análoga a las blacklists y whitelists de los antivirus.
Unidad 4
117
5 CORTAFUEGOS
Tipos de cortafuegos
Existen diferentes tipos de firewall:
• Firewall de filtrado de paquetes: este cortafuegos funciona en la capa de red

del Modelo OSI (capa 3). El firewall compara las propiedades de los paquetes
de datos, es decir, compara la IP de origen, la IP de destino, el protocolo de
comunicación y el puerto. En base a la política, restrictiva o permisiva, con la
que se haya configurado el firewall, permitirá o no el tráfico, es decir, si
tenemos una política restrictiva, y el paquete no coincide con las reglas
definidas del firewall, se descartará. En cambio, si existe una política permisiva,
a no ser que el paquete esté expresamente prohibido, lo autorizará.
Unidad 4
118
5 CORTAFUEGOS
• Puerta de enlace a nivel de circuito: este firewall funciona en la capa de sesión del Modelo OSI (quinta capa). Este
tipo de cortafuegos detecta si una sesión de comunicación solicitada es válida, a través del protocolo «three-way
handshake» o TCP entre los paquetes. Este tipo de firewall no examina paquetes individuales, sino sesiones, es
decir, se encarga de verificar que el paquete que se recibe o envía proviene de una sesión legítima. Al no examinar el
contenido del paquete, se trata de una medida de seguridad insuficiente, ya que podrían pasar a través del firewall
paquetes que contienen malware provenientes de una sesión legítima. Otra característica de este tipo de firewall es
que funciona como un proxy transparente, permitiendo así que se oculte la red interna a la red pública, ya que parece
que todas las sesiones se originan en el propio firewall.
Unidad 4
119
5 CORTAFUEGOS
El inconveniente de este tipo de cortafuegos es que las reglas que definen las sesiones válidas prescriben y, una vez
ocurre la prescripción, se permite realizar esa sesión de comunicación. Por ejemplo, si Juan quiere descargar un
archivo, su firewall comprobaría en la capa de sesión (quinta capa del Modelo OSI), que el protocolo TCP es correcto,
es decir, que se ha producido el «three-way handshake», esto es, tanto el cliente (en este caso, Juan) como el servidor
(es decir, el servidor web desde donde se quiere descargar el archivo) deben haber enviado los tres paquetes para
confirmar el establecimiento de la conexión. Si esto no ocurre, el firewall desechará el paquete.
Unidad 4
120
5 CORTAFUEGOS
• Puerta de enlace a nivel de aplicación (firewall proxy): este cortafuegos opera en la capa de aplicación del Modelo
OSI (séptima y última capa). Este firewall analiza la información de la aplicación para tomar decisiones sobre la
transmisión de los paquetes, es decir, actúa como intermediario entre las redes externas y los equipos, evitando el
contacto directo. Un firewall proxy pide autenticación para pasar los paquetes porque trabaja en la capa de
aplicación. Un proxy con caché de contenido optimiza el rendimiento al almacenar en caché la información a la que
se accede con frecuencia, en lugar de enviar nuevas solicitudes de los mismos datos a los servidores. Por ejemplo, si
Juan quiere descargar un archivo de una página web, el firewall proxy actuará en la séptima capa, por lo que
analizará el paquete de datos y, en función de las reglas configuradas en el firewall, lo autorizará o lo bloqueará.
Unidad 4
121
5 CORTAFUEGOS
• Firewall Stateful Inspection: este tipo de cortafuegos se encuentra en la tercera y cuarta capa del modelo OSI, es
decir, las capas de red y transporte. Estas capas se encargan de examinar tanto el paquete como los protocolos de
comunicación que se utilizan para la conexión. La información sobre los paquetes previos se almacena y actualiza
dinámicamente, lo que favorece que, cuando un equipo ya autorizado inicia una conexión, el firewall dejará pasar
todos los paquetes. Por ejemplo, si Juan quiere descargar un archivo de un sitio web, se establece un protocolo TCP
para la conexión. A continuación, el firewall se encargará de examinar el paquete a la par que la conexión, es decir, el
protocolo que se ha utilizado. Si todo es correcto, autorizará el paquete de datos.
Unidad 4
122
5 CORTAFUEGOS
• Firewall Stateful Multilayer Inspection: este variante de cortafuegos combina las características de los otros tipos
de firewalls. Se encarga de filtrar los paquetes en la capa de red, para determinar si los paquetes de sesión son
legítimos y, además, evalúa el contenido de los paquetes en la capa de aplicación. Por ejemplo, si Juan quiere
descargar un archivo de una página web, el cortafuegos analizará el paquete en la séptima capa para comprobar si
hay algún contenido sospechoso, la legitimidad de la sesión, si se ha completado el protocolo TCP; y, por último, si
las características del paquete (la IP origen y destino, el puerto y el protocolo) coinciden con lo establecido en las
reglas del firewall.
Unidad 4
123
5 CORTAFUEGOS
• Firewall Next-generation: este tipo de cortafuegos combinan

las características de los firewalls tradicionales con sistemas de
prevención contra intrusiones en la Red. Suelen incluir las
características del Firewall Stateful Inspection, alguna variedad
de inspección profunda de paquetes (DPI), IDS/IPS, filtrado de
malware y antivirus, es decir, que no solo bloquea los paquetes,
sino que los inspecciona de forma profunda para detectar
cualquier actividad sospechosa, previene contra malware e
intrusiones.
Unidad 4
124
6
SISTEMAS DE
DETECCIÓN Y
PROTECCIÓN
CONTRA INTRUSIONES
Unidad 1
125
6 SISTEMAS DE DETECCIÓN Y PROTECCIÓN CONTRA INTRUSIONES
Introducción
Como ya hemos mencionado, la mejor forma de proteger las redes o los sistemas informáticos es con una configuración
segura que incluye la instalación de herramientas de detección y protección contra intrusiones en los puntos adecuados.
Como sistemas de detección y protección contra intrusiones, podemos destacar tres:
IDS – Sistema de IPS – Sistema de

Honeypots
detección de intrusiones prevención de intrusiones
NIDS – IDS basado en red NIPS – IPS basado en red
HIDS – IDS basado en host HIPS – IPS basado en host
WIPS – IPS para redes wifi
NBA – IPS basado en el

análisis de comportamiento
en la red
Unidad 4
126
Sistemas de Detección de Intrusiones (IDS)
Un IDS se encarga de la detección de todos aquellos accesos no autorizados a los sistemas o a la Red, es decir,
monitoriza el tráfico entrante y lo coteja con una base de datos actualizada de firmas de todos aquellos ataques
conocidos. En ese momento, en caso de detectar una actividad sospechosa, se emite una alerta para que los
encargados de seguridad puedan tomar las medidas adecuadas. Este tipo de sistemas solo se encarga de detectar
cualquier acceso sospechoso, pero no de mitigar la intrusión o prevenirla.
En el caso de descargar un archivo, el IDS cotejaría ese archivo con la base de datos de firmas y, si coincide con algún
ataque que se encuentre en dicha base de datos, emitiría una alerta que notificaría que ese archivo tiene software
malicioso.
Los sistemas IDS son muy utilizados de la mano de un firewall.
Unidad 4
127
Existen dos tipos principales de IDS, clasificados en función del sistema que monitorizan:
• Sistema de Detección de Intrusiones en la Red (NIDS, en inglés Network Intrusion Detection System): está
diseñado para inspeccionar cada paquete que atraviesa la Red, en busca de la presencia de un comportamiento
malicioso y, cuando se detecta actividad maliciosa, notifica una alerta.
• Sistema de Detección de Intrusiones en host (HIDS, en inglés Host Intrusion Detection System): como su
propio nombre indica, este tipo de IDS se instala en un host, es decir, un equipo o dispositivo conectado a la Red,
como un servidor u ordenador; y se encarga de monitorizar las actividades en ese sistema, en busca de actividades
maliciosas o sospechosas. El sistema HIDS es capaz de identificar el tráfico malicioso que entre en el host, pero
también aquel que se origina en el mismo. En caso de que el HIDS detecte tráfico malicioso, generará una alerta
inmediata que notifica al administrador, al equipo de seguridad o persona responsable para que puedan llevar a cabo
las acciones necesarias.
Unidad 4
128
Sin embargo, también encontramos dos métodos de detección diferentes, similares a los que vimos en el apartado de
antivirus:
• Basado en firmas (del inglés signatura detection): es aquel método en el que el sistema realiza una comparación
del tráfico con una base de datos donde coteja el paquete de datos y, si coincide con algún patrón de la base de
datos, lo califica de sospechoso.
• Basado en anomalías (del inglés anomaly detection): se trata analizar el tráfico de Red o los paquetes de datos,
en busca de comportamientos sospechosos o anómalos, es decir, aquellas actividades que no coincidan con la base
de datos de firmas, pero que se consideren extraños. Este sistema hace uso de machine learning (aprendizaje
automático) para la detección de nuevas amenazas.
Unidad 4
129
Sistema de Prevención contra Intrusiones (IPS)
Los Sistemas de Prevención contra Intrusiones (IPS, del inglés Intrusion Prevention System) se encargan de la
protección de los sistemas de todos los posibles ataques e intrusiones, es decir, analizan si está ocurriendo o va a
ocurrir un incidente, en tiempo real, siendo capaz de bloquear dicha actividad maliciosa. Esta es la principal
diferencia con los sistemas IDS, mientras estos simplemente detectan, analizan y generan alertas, los sistemas IPS son
capaces de bloquear los paquetes sospechosos.
Un IPS analiza, a través de una serie de filtros, los paquetes de datos que intentan entrar en la red o que ya están
viajando por ella. Dichos filtros, analizan, inspeccionan y clasifican los paquetes. En caso de detectar alguna actividad
sospechosa o contenido malicioso, los bloquean y detienen su progreso, además de generar una alerta para que se
puedan tomar las medidas adecuadas.
Si se transfieren datos de Internet, cuando llega a nuestro ordenador, el IPS lo analiza en base a esos filtros que le
caracterizan y, en caso de que lo califique como sospechoso, lo bloquea, detiene su progreso y alerta de ello.
Unidad 4
130
Podemos encontrar varios tipos de IPS:
• IPS basado en host (HIPS): al igual que los HIDS, se encargan del análisis y monitorización del tráfico de
Red de un host único. Analizan las conexiones, el acceso que realizan los usuarios, las modificaciones de
archivos, los registros del sistema, etc., buscando cualquier acción o actividad sospechosa y así poder
bloquearlas a tiempo.
• IPS basado en red (NIPS): como los NIDS, analizan y buscan tráfico de Red sospechoso, es decir, analizan
en tiempo real los paquetes de datos que entran en la Red y circulan por ella, así como los diferentes
protocolos de Red, de transporte y de aplicación, tal y como vimos en el Modelo OSI con sus diferentes
capas; y, al igual que HIPS, bloquea cualquier actividad sospechosa que detecte.
Unidad 4
131
• IPS para redes wifi (WIPS): se encarga de supervisar la red LAN inalámbrica en busca de aquellos
posibles puntos de accesos no autorizados y amenazas inalámbricas. Este tipo de IPS hace una
comparación con las direcciones MAC de los puntos de acceso inalámbricos de esa red, con las firmas
conocidas de la base de datos; y, en caso de encontrar alguna actividad sospechosa, alerta al administrador
para detener la actividad de forma automática.
Unidad 4
132
• Análisis del comportamiento de Red (NBA, del inglés Network Behavior Analysis): este tipo se utiliza
para analizar el comportamiento de la red. Se trata de examinar el tráfico para identificar amenazas que
puedan generar flujos de tráfico inusuales o anómalos. Por ejemplo, si un empleado realiza muchos
intentos de inicio de sesión al portal web de la empresa, porque no recuerda sus claves de acceso, este
IPS lo calificaría como intento de intrusión, dado que se trata de un comportamiento anómalo. Aunque es
muy parecido al NIPS, entre sus diferencias destaca que, mientras el NIPS profundiza en los paquetes y
verifica si algún dato no es válido, el NBA se centra en parámetros de comportamiento, como pueden ser
los paquetes por segundo que se envían desde una dirección IP, el número de conexiones por host
existentes, etc.
Unidad 4
133
En los IPS también encontramos diferentes métodos de detección. Además de los que vimos en los IDS (los métodos de
detección basados en firmas y basados en anomalías), destacan los siguientes métodos:
• Basado en políticas de seguridad: el sistema se encarga de reconocer los paquetes de datos que se hayan
definido en las políticas de seguridad, por lo que solo dejará pasar aquellos que coincidan y rechazará los que no lo
hagan, es decir, se establecen una serie de reglas o políticas de seguridad, que establecen qué tipos de paquetes
pueden viajar en el tráfico y cuáles no; en caso de que haya uno que no esté autorizado, se bloquearía y se detendría
su conexión.
Unidad 4
134
Honeypots
Los honeypots, también conocidos como «sistemas trampa» o «señuelo», simulan ser un sistema informático real
con el fin de hacer que los ciberdelincuentes crean que se trata de un objetivo legítimo. Este método se utiliza para
tender una trampa a los cibercriminales, ya que, al pensar que se trata de una víctima, tratarán de atacarla, pero en
realidad, es un señuelo. Esta buena práctica se puede utilizar para obtener información acerca de cómo actúan los
ciberdelincuentes, o simplemente para distraerlos y que no lleguen a atacar el objetivo real. Se trata de un sistema
proactivo, ya que pretende adelantarse a un posible ataque real, permitiendo no solo proteger el verdadero sistema, sino
también estudiar y analizar cómo realizan el ataque y así poder protegerse de antemano.
Unidad 4
135
Honeypots
Por ejemplo, si una empresa financiera establece un honeypot que imite un sistema de clientes inversores de dicha
empresa, dejarán ver una serie de vulnerabilidades para hacerlo más atractivo y que los atacantes traten de
comprometerlo para conseguir los datos de los clientes o de sus cuentas bancarias. Este método ayudará a observar el
comportamiento de los cibercriminales, lo que permitirá obtener pistas de cómo han podido acceder al sistema, y así
tomar ciertas acciones y medidas que ayuden a mejorar la seguridad.
¿Sabías qué?
Existe un mapa que recoge los ciberataques que están ocurriendo en tiempo real a nivel mundial. [24]
Saber más: El caso de Zhtrap. [25]
Unidad 4
136
Honeypots
Existen diferentes tipos de honeypots, clasificadas según el software específico que se intenta exponer y/o proteger,
que se utilizan para la detección de diferentes tipos de amenazas:
• Trampas de spam: se trata de establecer una dirección de correo electrónica falsa en algún lugar oculto, donde solo
un posible ciberdelincuente pueda llegar a encontrarla. Este atacante comenzará a realizar ataques de phishing, y
esa cuenta de correo falsa será una receptora de los ataques; por lo que existe una certeza total de que todos los
correos que lleguen a esa cuenta serán ciberataques.
• Base de datos señuelo: este método de detección tiene el objetivo de vigilar las vulnerabilidades del software y
detectar aquellos ataques que puedan realizarse contra la arquitectura del sistema, como pueden ser inyecciones
SQL o abuso de privilegios. Por ejemplo, si manipuláramos una base de datos falsa, podríamos aprender cómo se
realizan estos ataques y cómo podemos defendernos de ellos.
Unidad 4
137
Honeypots
• Honeypot de malware: trata de imitar aplicaciones y otros sistemas vulnerables que puedan ser susceptibles de
recibir un ataque de malware. Esto permitirá analizar las características del malware, ya sea para,
posteriormente, desarrollar software antimalware o incorporar esas características a la base de datos de firmas
de los diferentes dispositivos, para que sean capaces de detectarlo y bloquearlo, incluso para resolver las
vulnerabilidades.
• Spyder honeypot: se trata de la creación de páginas web y enlaces falsos a los que solo llegan a acceder los
rastreadores web, es decir, bots de búsqueda que descargan e indexan el contenido de Internet. Aunque estos
bots no tienen por qué ser maliciosos, este tipo de honeypot puede aprender a bloquear los que sí lo son.
Saber más: ¿Qué es una un rastreador web? [26]
Unidad 4
138
7
SISTEMAS DE DETECCIÓN
Y GESTIÓN DE EVENTOS
DE SEGURIDAD
Unidad 1
139
7 SISTEMAS DE DETECCIÓN Y GESTIÓN DE EVENTOS DE SEGURIDAD
Introducción
Cuando sucede un incidente de seguridad, uno de los mayores inconvenientes es la falta de visibilidad de la red, lo que
provoca que la respuesta a ese incidente no sea tan rápida y eficaz como podría y debería ser. Otro de los
inconvenientes es que, cuando un sistema detecta una anomalía o actividad sospechosa, genera una alerta. Sin
embargo, a lo largo del día se generan gran cantidad de alertas, por lo que es imposible atenderlas todas.
Para ello, existen sistemas de detección y gestión de eventos o SIEM (del inglés Security Information and Event
Management) y plataformas de automatización de seguridad y respuesta o SOAR (del inglés Security Orchestration
Automation and Response) que permiten aumentar la visibilidad para resolver estos inconvenientes.
Unidad 4
140
SIEM
Un SIEM o sistema de gestión de eventos e información de seguridad es una solución centralizada que abarca la
gestión de información de seguridad y la gestión de eventos; permitiendo un análisis en tiempo real de las alertas de
seguridad que se han generado por los diferentes dispositivos que se encuentran en la Red, ya sea un firewall, un IPS,
IDS, servidor, etc.
Este sistema se encarga de recoger los registros de actividad, es decir, los logs de esos dispositivos, y detectar
cualquier actividad sospechosa que pueda suponer el inicio de un ataque o incidente. En un SIEM, la información se
almacena y se estructura, además de establecer relaciones entre los diferentes datos recopilados para luego analizarlos
y detectar si se va a producir un ataque. En caso de que así sea, se generará una alerta que notifique al administrador
para que pueda tomar las medidas necesarias.
El SIEM es una herramienta que centraliza la información y se integra con diferentes herramientas de detección de
amenazas.
Unidad 4
141
SIEM
El SIEM es la herramienta por excelencia de la que hace uso equipo de Gestión de Incidentes, del que se profundizará
con detalle en la especialidad de Gestión de Incidentes.
Una de las principales ventajas del SIEM es que centraliza de toda la información y los eventos, lo que permite
automatizar tareas, ahorrando así tiempo y costes; y realizar el seguimiento de eventos de seguridad, ya sea por la
presencia de ransomware, accesos no autorizados o intentos de login fallidos que no coinciden con los habituales, entre
otros.
Sin embargo, también encontramos ciertos inconvenientes en el SIEM, como los costes de su implementación o el
tiempo de aprendizaje del sistema por parte de los empleados.
Unidad 4
142
SIEM
Por ejemplo, si un usuario está intentando acceder a
alguna aplicación en la red de la oficina, pero no consigue
iniciar sesión, podría tratarse de un empleado de la
empresa que no recuerda sus claves de acceso, pero
también es muy probable que detrás de este usuario haya
un ciberdelincuente realizando un ataque de fuerza bruta.
En este caso, el SIEM podría generar una alerta de intento

de sesión repetido, además de registrar ese evento o
posible incidente; y el administrador podrá tomar las
medidas necesarias.
Unidad 4
143
SOAR
Un SOAR (del inglés Security Orchestration, Automation, and Response) hace referencia a todas aquellas tecnologías
que se utilizan para que las operaciones de seguridad que realiza el equipo de Gestión de Incidentes sean más
eficientes, además de permitir la realización de tareas automatizadas, es decir, recopila los datos sobre amenazas y
alertas bajo una misma fuente, además de facilitar que los analistas del equipo de Gestión de Incidentes respondan de
manera más efectiva y rápida ante las amenazas y automatizar tareas. Un SOAR referencia a tres conceptos básicos:
• Orquestación: se enfoca en recopilar información de diversas fuentes y consolidarla de forma útil.
• Automatización: permite la realización de tareas, sin la necesidad de intervención humana, lo que reduce el
tiempo que se dedica a tareas mecánicas y repetitivas.
• Respuesta: hace referencia a la respuesta a incidentes de seguridad.
Unidad 4
144
SOAR
Cuando hablamos de SOAR, nos referimos a una plataforma que agrupa herramientas de automatización de procesos.
Un SOAR se suele implementar con el equipo de Gestión de Incidentes, ya que este último hace uso de la centralización
de la información sobre las amenazas para supervisar el sistema y les permite generar respuestas automáticas para
mitigar posibles problemas de seguridad.
El SOAR tiene dos funciones clave:
• Gestionar los flujos de trabajo y automatizar las tareas, lo que permite mejorar la eficiencia de las diferentes
actividades, incrementando el rendimiento y favoreciendo la transparencia de los procesos y de la información.
• Centralizar la información sobre amenazas, realizar consultas y difusión de información. Las herramientas de
SOAR recopilan información sobre amenazas a partir de diversas fuentes y las reúne en una sola, lo que facilita
que los equipos o administradores realicen consultas y activen desde un sitio único las tareas automatizadas.
Unidad 4
145
SOAR
Por otro lado, algunas de las principales las ventajas del SOAR son las siguientes:
• Mayor rendimiento y productividad: el SOAR permite que el equipo de Gestión de Incidentes pueda priorizar mejor
las tareas y responder de manera más efectiva.
• Mayor información sobre las amenazas: dado que el SOAR agrupa en un mismo lugar la información sobre las
amenazas y detalles de seguridad de fuentes muy variadas, facilita la capacidad de análisis y realización de informes
para favorecer la toma de decisiones.
• Reducción del impacto de las amenazas: si el SOAR realiza una detección y respuesta tempranas, se reducen y
limitan las consecuencias del incidente.
Unidad 4
146
SOAR
Sin embargo, el SOAR también tiene algunos inconvenientes como:
• El alto coste de su implementación.
• El tiempo dedicado a aprender su manejo y a la construcción de la automatización de tareas; pues se trata de un

período de aprendizaje largo y, a veces, los equipos de Gestión de Incidentes no disponen de tiempo suficiente.
• Muchos equipos SOAR requieren de programación y, en algunas ocasiones, las empresas no cuentan con los
profesionales que tengan conocimientos de programación.
Unidad 4
147
SIEM vs SOAR
Aunque ambos sistemas son utilizados por los equipos de Gestión de Incidentes, existen ciertas diferencias entre ellos:
• SIEM es capaz de recopilar, clasificar y correlacionar grandes volúmenes de información.

• SOAR tiene la capacidad de responder de forma automatizada ante un evento, mientras que SIEM se centra en la
detección de eventos y generación de alertas.
• SOAR puede combinar y utilizar herramientas diferentes, mientras que SIEM está más limitado.
• Una similitud entre SIEM y SOAR respecto al aprendizaje que se requiere para poder utilizar adecuadamente estas
herramientas, es que ambas se encuentran niveladas.
Unidad 4
148
8
PRINCIPALES ATAQUES
A REDES
Unidad 1
149
8 PRINCIPALES ATAQUES A REDES
Introducción
En la unidad 2 comprendimos que no existen dos ciberataques iguales, aunque los ciberdelincuentes sí utilizan
estrategias y técnicas similares de forma habitual, como el malware, que es un tipo de software malicioso que
aprovecha las vulnerabilidades de los sistemas con el objetivo de controlar, en remoto, el equipo de la víctima,
monitorizar sus acciones e incluso robar información confidencial; el ransomware, que está especializado en inutilizar
los dispositivos o sistemas hasta que la víctima cumple las exigencias de los atacantes; o el ataque de phishing, que
consiste en suplantar la identidad de una organización o persona legítima para así conseguir robar información y datos
personales o confidenciales.
Estos ejemplos son los ataques más comunes que se pueden llevar a cabo contra personas o equipos informáticos,
pero desde la perspectiva de las redes, existen otros tipos de ataques, como la Denegación de Servicio (DoS), el ataque
de Denegación de Servicio Distribuido (DDoS), el ARP spoofing, el envenenamiento de caché DNS y el escaneo de
puertos.
Unidad 4
150
Ataque de Denegación de Servicio (DoS)
El objetivo de los ataques de Denegación de Servicio (DoS) es inhabilitar el uso de un sistema, una aplicación o una
máquina haciendo que el servicio se bloquee o deje de estar disponible temporalmente.
Este ataque consiste en que el ciberdelincuente realiza múltiples peticiones a un sitio web a través de la Red, saturando
y bloqueando el sitio web debido a la sobrecarga, ya que este no puede hacer frente al inmenso volumen de peticiones
simultáneas. Esta saturación puede provocar que el sistema se ralentice o se paralice por completo. Por ejemplo, si se
realiza un ataque DoS a una página web, esta comenzará a cargar el contenido lentamente y algunas de sus funciones
pueden dejar de funcionar e incluso toda la página puede dejar de estar accesible.
Saber más: Ataque DoS. [27]
Unidad 4
151
Existen diferentes tipos de ataques de Denegación de Servicio. Veamos algunos de ellos:
• ICMP Flood o inundación de ICMP: consiste en enviar un gran volumen de información utilizando paquetes ICMP
Echo Request, pero modificados para que sean más grandes de lo habitual. Este tipo de ataque genera una
sobrecarga del ancho de banda debido a la cantidad de información que se puede transferir entre dos puntos de Red
en un tiempo específico. Esta sobrecarga se produce como consecuencia tanto de los paquetes ICMP Echo Request
que genera el atacante, como de los paquetes ICMP Echo Reply que genera la víctima, provocando así que el
sistema no pueda gestionar el tráfico, es decir, los paquetes de datos, y por tanto, se bloquee.
Saber más: Ataque ICMP Flood. [28]
Unidad 4
152
Sin embargo, para que este tipo de ataque sea efectivo,
el ancho de banda de la víctima debe ser de menor
tamaño que el ancho de banda del atacante, por lo que
no sirve para realizar un ataque contra grandes redes.
Tradicionalmente, se solía falsificar la dirección IP de
origen por lo que, cuando la víctima recibía estos
paquetes, enviaba la respuesta a otro usuario diferente
que también se convertía en víctima del ataque, al
recibir gran cantidad de información que no había
solicitado y saturaba sus recursos.
Unidad 4
153
Unidad 4
154
• PING «de la muerte»: se trata de un ataque similar al anterior, pero con la diferencia de que, en este caso, lo que se
hace es enviar un paquete PING con más de 65.536 bytes de datos, haciendo que el receptor no pueda manejar un
paquete tan grande, y por lo tanto, termine bloqueándose. PING forma parte del protocolo ICMP que, como
recordamos, se utiliza para conocer si la dirección IP de destino está disponible y la latencia del sitio de esa dirección
IP.
Sin embargo, este tipo de ataque dejó de ser efectivo en 1998 porque se realizaron modificaciones de algunas de las
características de software tanto del servidor como de los sistemas operativos, para que siempre se pudiera garantizar
que no se excede el tamaño máximo.
Saber más: PING «de la muerte». [39]
Unidad 4
155
En el ataque PING «de la muerte», el paquete Echo

ICMP suele tener un tamaño de 56 bytes. En este
caso, se pretende enviar un paquete de un tamaño mil
veces mayor, equivalente al límite permitido por el
protocolo de Internet o IP. Para crear este paquete, el
atacante realiza un PING a la víctima y crea el paquete
de 65.536 bytes, el cual se divide en fragmentos más
pequeños para poder enviarse. Al volver a unirlos en el
destino, al superarse el tamaño permitido, el sistema
se desborda y termina cayéndose o bloqueándose,
consiguiendo así denegar el servicio.
Unidad 4
156
• SYN Flood o inundación SYN: este ataque consiste en enviar cantidades masivas de paquetes SYN a un servidor,
con el objetivo de saturarlo por completo. Normalmente, se utiliza una IP de origen falso para que las respuestas a
esas solicitudes vayan a una IP que no existe, o a una IP víctima, que también se saturará. Si un atacante se hace
pasar por el cliente y comienza a enviar cantidades masivas de peticiones al servidor, el servidor las procesará como
solicitudes legítimas, dado que provienen del cliente, y comenzará a enviar paquetes SYN-ACK que no obtendrán
respuesta, ya que el cliente no enviará el paquete ACK final y, por lo tanto, la petición de conexión no llegará a
finalizar. Sin embargo, el servidor debe seguir gestionando y enviando paquetes SYN-ACK del resto de peticiones
que el cliente (atacante) ha enviado y, por otro lado, debe mantener en espera las conexiones que han sido iniciadas
y de las que está pendiente de recibir el ACK final, lo que provocará que se sature y no pueda estar disponible para
las peticiones que sí son legítimas.
Unidad 4
157
Unidad 4
158
• Smurf Attack: este ataque envía cantidades masivas de paquetes ICMP Echo Request a una dirección IP
«broadcast» indicando como IP de origen la de la víctima, así esta recibirá todas las respuestas de paquetes ICMP
Echo Reply. Este tipo de ataque se utiliza de manera conjunta con ICMP Flood.
En este caso, el ciberdelincuente establece la conexión a través de un «broadcast» e indica como dirección IP de origen
la de la víctima, por lo que se envía una cantidad masiva de paquetes a toda la red «broadcast» y las respuestas se
enviarán desde toda la red a la IP de la víctima, consiguiendo así que se sature.
Saber más:
Smurf Attack. [30]
Unidad 4
159
Ataque de Denegación de Servicio Distribuido (DDoS)
Este tipo de ataque es muy parecido al ataque de Denegación de Servicio (DoS), sin embargo, se diferencia en que el
ataque de Denegación de Servicio Distribuido (DDoS) utiliza múltiples dispositivos de origen, por ejemplo, una botnet
formada por miles de ordenadores. Debemos tener en cuenta que los servidores disponen de recursos limitados por lo
que, si se satura con entradas masivas de tráfico, el servidor deja de responder a más peticiones, lo que provoca que
los usuarios legítimos dejen de poder acceder a los recursos. Este tipo de ataques se utilizan para tirar sitios web y
servicios online, imposibilitando a los usuarios disfrutar de ellos. Mira este vídeo [31] para ver cómo funciona un ataque
DDoS.
Una botnet es una red de dispositivos que han sido infectados por software malicioso, permitiendo así su control de
forma remota, sin que los propietarios reales de los dispositivos lo sepan o den su consentimiento.
Por ejemplo, se puede hacer uso de la técnica de SYN Flood para realizar un ataque DDoS.
Unidad 4
160
Saber más: Botnet. [32]
Ordenadores
Bot
¿Sabías qué?
Meris es la nueva botnet que
Servidor ha conseguido batir dos veces

Atacante víctima
el récord del ataque DDoS más
grande de la historia. [33]
Unidad 4
161
Una variedad de ataque DDoS es el HTTP Flood o inundación HTTP. Es un tipo de ataque de Capa 7.
Este ataque consiste en saturar la aplicación o sitio web con una gran cantidad de visitas desde distintos lugares o IP,
con el objetivo de bloquear la página o sus recursos, pudiéndose utilizar, para ello, una botnet. En un funcionamiento
normal, el cliente envía una solicitud para acceder al sitio web, el servidor la procesa y envía la respuesta al cliente. El
ataque consiste en realizar una cantidad masiva de peticiones de forma simultánea y durante un período de tiempo
prolongado a fin de que el servidor se desborde y, por lo tanto, la aplicación o página web termine cayéndose o
bloqueándose.
Unidad 4
162
Saber más: Ataque HTTP Flood. [34]

Unidad 4
163
ARP spoofing
Se trata de un tipo de ataque muy popular en las redes, ya que permite atacar equipos que estén conectados a una
misma red local. En este caso, el ciberdelincuente se hace pasar por otro dispositivo de esa red, por ejemplo, un router,
permitiendo que todo el tráfico de la red, es decir, todos los paquetes de datos lleguen a él, lo que le permite leer,
modificar e incluso bloquear esos paquetes. En una red local, los dispositivos que están conectados no se comunican
entre sí empleando su dirección IP, sino que lo hacen a través de las direcciones MAC.
Los atacantes se benefician de las vulnerabilidades que presenta el protocolo ARP. Este tipo de ataques se realiza en
direcciones IPv4, ya que en IPv6 no existe ARP. Sin embargo, en IPv6 se incluye ICMPv6 que junto a su protocolo de
descubrimiento de vecinos (Neighbor Discovery Protocol, NDP) hace exactamente lo mismo que ARP.
Saber más: Ataque ARP Spoofing. [35]
Unidad 4
164
ARP spoofing
El uso más común para generar el escenario de envenenamiento de la caché ARP es a través de la distribución de
respuestas ARP no solicitadas que se almacenan en las cachés ARP de los clientes.
Imagina que A quiere comunicarse con B y no dispone de su dirección MAC, por lo que envía una petición ARP Request
para poder descubrirla. El ataque, entonces, consiste en adelantarse al ordenador de destino B, donde el
ciberdelincuente envía un paquete de respuesta con información falsa (normalmente, con la dirección MAC de un
dispositivo controlado por el ciberdelincuente), consiguiendo así manipular la tabla ARP del ordenador A. De esta forma,
la tabla ARP almacena la dirección MAC del ciberdelincuente pensando que es la dirección MAC legítima de B.
Unidad 4
165
ARP spoofing
En este momento, cuando el ciberdelincuente decide suplantar la identidad de B, pueden suceder dos opciones:
• Si el atacante decide permanecer de incógnito, se encargará de redirigir el tráfico para que llegue a su destino
correcto, mientras que ve y escucha lo que ocurre en ese momento. Este tipo de comportamiento también sería
una forma de ataque Man in the Middle (MitM).
• En el caso de que el ciberdelincuente no reenviara el tráfico, este ataque ARP spoofing podría derivar en un
ataque de Denegación de Servicio (DoS).
Unidad 4
166
ARP spoofing
Como vemos en la imagen de la derecha, el
atacante se posiciona en medio de la
comunicación, consiguiendo manipular las
tablas o caché ARP, tanto de A como B,
haciendo creer al ordenador A que es B y al
ordenador B, que es A; y asociando la dirección
IP de A y B con su dirección MAC.
Unidad 4
167
Envenenamiento de caché DNS
Como hemos visto, la caché de DNS es la información que se almacena de forma temporal de las búsquedas
realizadas, permitiendo así acelerar el proceso de acceso dado que no se requiere hacer uso del protocolo DNS para
saber la dirección IP de un sitio web, ya que está almacenada en la caché de DNS.
Así, el ataque por envenenamiento de la caché de DNS consiste introducir información falsa en dicha caché, para que
en el momento que se consulte, se devuelva una respuesta incorrecta y se dirija al usuario a un sitio web erróneo. Por
ejemplo, si tenemos guardado en la caché de DNS que la página web «www.incibe.es» corresponde a
«195.53.165.153», porque ya visitamos esa página anteriormente, el atacante introduciría información falsa,
modificando esa dirección IP por otra no legítima. Así, en que volvamos a escribir en el navegador «www.incibe.es», y
nuestro ordenador consulte la caché, no identificará que está asociada a «195.53.165.153», sino a la que el atacante
haya definido previamente.
La información de la caché de DNS permanece de forma temporal hasta que caduque o se elimine de forma manual.
Unidad 4
168
Saber más: Envenenamiento de la chaché DNS. [36]
Unidad 4
169
Podemos identificar dos tipos de respuesta de DNS, en función del almacenamiento:
• Respuesta de DNS no almacenada en la caché:
Unidad 4
170
• Respuesta de DNS almacenada en la caché:
Unidad 4
171
El proceso del ataque por envenenamiento de la caché DNS sería:
Unidad 4
172
Así, la caché DNS sería envenenada del siguiente modo:
Unidad 4
173
Escaneo de puertos o port scan
El escaneo de puertos se utiliza habitualmente en los test de penetración o pentest. Sin embargo, los
ciberdelincuentes también hacen uso de esta técnica, ya que les permite detectar y descubrir los servicios que se
encuentran expuestos, descubriendo así qué puertos están abiertos, cuáles no y cuáles están protegidos. Por ejemplo,
haciendo un escaneo de puertos se podría averiguar que el puerto 21 que es el que usa el protocolo FTP está abierto y,
por tanto, hay un servidor FTP escuchando y el ciberdelincuente podría decidir atacarlo.
El ciberdelincuente analiza de forma automática todos los puertos de un equipo que está conectado a la Red en busca
de posibles puertos abiertos y de aquellos que puedan tener protocolos de seguridad deficientes, pudiendo
llegar a obtener información sensible del dispositivo que esté analizando, conocer más datos del sistema operativo del
equipo, etc., todo ello con el objetivo de comprometer la privacidad y seguridad del dispositivo y, por tanto, del usuario
que se encuentra tras él.
Unidad 4
174
En este tipo de ataque, se enviarán paquetes de datos o de solicitudes a cada puerto, uno por uno y, en función de la
respuesta recibida, el puerto se encontrará abierto, cerrado o protegido. Tal y como describimos en la unidad 3, una de
las herramientas más utilizadas en las fases del pentest es Nmap.
• Si el puerto está cerrado, indica que el servidor ha recibido el paquete de solicitud, pero no hay ningún servicio
interceptando en ese puerto. Sin embargo, el puerto cerrado sigue siendo accesible y puede utilizarse para saber que
un servidor está en una dirección IP.
Unidad 4
175
• Si el puerto está filtrado, significa que está protegido por un cortafuegos o firewall, por ejemplo, es decir, los puertos
filtrados indican que se envió un paquete de solicitud, pero el servidor no respondió y no está interceptando. Esto
suele significar que el paquete fue filtrado y/o bloqueado por el cortafuegos o firewall. Si el paquete que intenta entrar
no está autorizado, el firewall lo rechazará.
Unidad 4
176
• Si el puerto está abierto, hay una aplicación o servicio interceptando ese puerto y será accesible por fuera de la red.
Por ejemplo, el protocolo SMTP se utiliza para enviar correos electrónicos a través del puerto 25, que está abierto. Si
estuviera cerrado, no se podría utilizar este servicio y, por tanto, no se podrían enviar correos.
Unidad 4
177
Podemos encontrar diversas técnicas de escaneo de puertos, algunas de las más utilizadas son:
• Escaneos de PING: es la más simple de todas y también se conoce como solicitud de protocolo ICMP. Consiste en
enviar mensajes PING a los diferentes servidores en un intento de obtener respuesta por alguno de ellos. Si
responden es que están escuchando y, por lo tanto, están abiertos.
Unidad 4
178
• Vanilla scan: esta técnica trata de conectarse a todos los 65.536 puertos que existen al mismo tiempo. Así, envía una
solicitud de conexión SYN y, cuando recibe la respuesta SYN-ACK, responde a su vez con ACK y así consigue
conectarse.
• Escaneo SYN o TCP semiabierto: está técnica es parecida a la anterior. Envía una solicitud SYN y espera la
respuesta SYN-ACK. Si esta llega, no responde con ACK, por lo que la conexión no se completa pero permite al
remitente saber si el puerto está abierto.
Unidad 4
179
9
SEGURIDAD POR CAPAS
Unidad 1
180
9 SEGURIDAD POR CAPAS
Introducción
Partiendo de los riesgos y amenazas a los que están expuestas las organizaciones y también de que no existe una
organización segura completamente, resulta imprescindible establecer una estrategia de seguridad que incluya
diferentes medidas de protección. Aquí es donde entra en juego lo que se conoce como seguridad por capas, que
consiste en el empleo de diferentes mecanismos o capas enfocadas a la protección de diferentes áreas, donde cada
capa ofrece una protección adicional de tal modo que, si se vulnera una de ellas, la siguiente capa proveerá protección
para evitar así una mayor exposición de los datos o la información de la organización.
Por otro lado, el mayor activo de una organización es la información de la que disponen por lo que todas las capas irán
enfocadas a proteger estos datos y la capa de datos conformará el núcleo de este modelo de seguridad por capas.
Unidad 4
181
Introducción
Este modelo de seguridad por capas tiene como
objetivo minimizar los vectores de ataque y protegerse
contra ataques específicos ya que, si un
ciberdelincuente se infiltra en una o dos de las capas,
todavía quedan más. Individualmente, las capas
pueden considerarse más débiles pero en conjunto son
una fuerte protección para la organización, además de
ser una fuente de disuasión para los atacantes.
Unidad 4
182
Modelo de seguridad por capas
No existe una normativa o un modelo establecido sobre cuáles deben ser las capas que deba establecer una
organización, de tal manera que cada una puede establecer las que considere adecuadas para su protección.
Podemos establecer siete capas diferentes, desde los datos que toda organización debe proteger hasta las personas
que deben estar concienciadas, formadas y actuar de acuerdo a las políticas de la organización.
• Factor humano: se trata de que todo el personal de la organización, además de terceros y proveedores, deben
cumplir con las políticas de seguridad de la información de la organización. Por ello, esta capa consiste en formar y
concienciar a los empleados para que sepan cómo deben disponer de la información y cómo deben tratarla. Por
ejemplo, concienciar en campañas de phishing para que sepan cómo actuar en caso de recibir un correo electrónico
sospechoso que pueda poner en riesgo la seguridad y la información de la organización.
Unidad 4
183
• Perímetro físico: hace referencia a todas aquellas acciones encaminadas a la protección de los accesos físicos,
restringiendo así su acceso a personas no autorizadas. Así, por ejemplo, el acceso a las instalaciones/oficinas de una
organización tiene que estar controlado por personal de seguridad o por un control de acceso con algún método de
identificación y autenticación.
• Perímetro lógico: representa la división entre lo que está fuera de la red de la organización y lo que está dentro de
ella, por ello, el perímetro lógico se caracteriza por su alto nivel de exposición y, por la misma razón es en esta capa
donde se despliegan los firewalls, servidores proxy, IDS e IPS, etc. Estas soluciones y herramientas no solo tratarán
de prevenir posibles intrusiones y accesos no autorizados, sino que, además, generarán alertas que avisarán al
personal correspondiente para que se puedan tomar las medidas oportunas.
Unidad 4
184
• Red: el objetivo de esta capa es prevenir y proteger las redes corporativas de los accesos no autorizados y evitar la
propagación de amenazas a través de la Red, en caso de que se lograra el acceso. Para ello, es necesaria una
correcta configuración y arquitectura de la Red. En esta capa encontramos diferentes herramientas y soluciones como
realizar una segmentación de red, uso de VLAN, esto es, dividir una LAN en redes virtuales más pequeñas, por
ejemplo, crear una VLAN para cada departamento de la organización; uso de una DMZ, uso de VPN (donde el
empleado pueda identificarse utilizando doble factor de autenticación), etc. Aquí también se pueden utilizar firewalls e
IDS e IPS en los segmentos de red que se considere para ofrecer una mayor protección y análisis del tráfico.
Unidad 4
185
• Dispositivos: esta capa hace referencia a los equipos y dispositivos que se utilizan para realizar las funciones
laborales, como los ordenadores, que suponen en muchos casos la vía de ejecución de muchas amenazas. Como
herramientas o soluciones de seguridad es necesario el uso de antivirus o antimalware, así como disponer de
controles de acceso, contraseñas seguras, protección contra sitios web maliciosos, acceder a páginas web seguras,
HTTPS, que hagan uso de certificados SSL, etc., además de como ya hemos mencionado, la concienciación y
formación de los empleados para que hagan uso de todas estas herramientas y actúen de forma adecuada cuando
estén utilizando estos dispositivos.
Unidad 4
186
• Aplicaciones/software: esta capa es de gran importancia debido a que muchas aplicaciones suelen estar disponibles
a través de Internet o de un proveedor de servicios en la nube, lo que amplia el espectro de amenazas de seguridad.
Por ejemplo, un atacante podría realizar un ataque DDoS, Man in the Middle, etc. Por esta razón, es necesario el uso
de herramientas de autenticación, autorización, cifrado de las comunicaciones y mensajes, llevar un registro de los
accesos y modificaciones, mantener las aplicaciones y programas actualizados, etc.
Unidad 4
187
• Datos: sería el núcleo de la organización, la parte más importante y sensible, el objetivo de la mayoría de ataques.
Los datos e información deben protegerse en todo momento, ya sea en su uso, tránsito o almacenamiento, a la par
que proteger su confidencialidad, integridad y disponibilidad. Por ello, es importante tomar medidas que protejan los
datos de accesos no autorizados, bloqueos, sustracciones y divulgaciones que puedan afectar a la organización. La
solución por excelencia que se puede llevar a cabo para proteger los datos es disponer de una política de seguridad
de la información que abarque diferentes aspectos, como el uso de copias de seguridad o backups, el cifrado la
información, disponer de un Plan de Recuperación ante Desastres (DRP), clasificar la información, etc.
Unidad 4
188
Por lo tanto, la seguridad por capas es una forma eficaz para prevenir y, en su defecto, combatir, posibles ataques a
través de las diferentes capas que se pueden establecer para la protección de los activos de la organización. Cada una
de las capas se encarga de una serie de tareas y, en conjunto, forman una barrera de protección que, como hemos
dicho, protege la organización y, además, disuade a los posibles atacantes.
Se debe destacar que, aunque la capa de datos es el corazón de la organización y uno de sus activos más valiosos, se
debe prestar gran atención al factor humano, dado que es el principal involucrado en la organización y el más
susceptible y vulnerable cuando se produce o se va a producir un ciberataque. Por ello, disponer de una formación y
concienciación adecuadas y fuertes, además de periódicas, puede suponer una gran diferencia en lo que respecta a la
seguridad de la información, y por tanto, de toda la organización.
Unidad 4
189
10
BUENAS PRÁCTICAS
PARA EL
BASTIONADO DE
SISTEMAS Unidad 1
190
10 BUENAS PRÁCTICAS PARA EL BASTIONADO DE SISTEMAS
Introducción
Hemos visto, tanto en el apartado anterior como en la unidad 3, diferentes tipos de ataques que se pueden realizar,
aprovechando las vulnerabilidades de los dispositivos o redes, por ello, realizar un bastionado de sistemas es
fundamental.
El bastionado o hardening es un proceso a través del que se implementan medidas técnicas y organizativas para
reducir las vulnerabilidades de los sistemas, es decir, se trata de protegerlos para que los ciberdelincuentes o
crackers no puedan acceder a ellos. Así, en el caso de que se produjera un incidente de seguridad, las consecuencias
serían mínimas. Por lo tanto, el objetivo del bastionado es eliminar todos los riesgos posibles y minimizar la exposición a
las amenazas.
Por ejemplo, un proceso de hardening sería deshabilitar los puertos que no son necesarios ni utilizados por nuestros
sistemas.
Unidad 4
191
Buenas prácticas
Todos los sistemas y equipos son susceptibles de ser atacados. Por ello, realizar todas las acciones posibles para
reducir los riesgos y vulnerabilidades de los mismos es muy importante. Veamos algunas de las mejores prácticas para
minimizar estos riesgos:
• La auditoría de sistemas: un primer paso, que resulta clave, es detectar los fallos y brechas de los sistemas, con el
objetivo de establecer qué puntos deben priorizarse.
• Fortalecer la red: esto es, asegurar las configuraciones de los cortafuegos o firewalls, bloquear o cerrar los puertos
que no sean necesarios o no se utilicen; e implementar IDS e IPS para mejorar la protección del tráfico de red. Por
ejemplo, configurar un cortafuegos o firewall bajo la regla «default deny rule» o regla de denegación por defecto para
que, si no se ha dado permiso o autorización, la petición se rechace por defecto.
Unidad 4
192
10 BUENAS PRÁCTICAS PARA EL
BASTIONADO DE SISTEMAS
Buenas prácticas
• Configurar el software de forma segura: y eliminar
el que ya no se utilice o que haya quedado obsoleto.
Esta práctica es muy importante, a la par que instalar
sistemas operativos y aplicaciones de manera
segura, es decir, descargados de páginas oficiales,
establecer una correcta configuración donde solo se
habiliten las funciones o módulos necesarios.
Además, mantenerlos actualizados en su
configuración estable más actual, dado que garantiza
las mejoras en materia de seguridad.
Unidad 4
193
Buenas prácticas
• Antivirus o antimalware: implementar herramientas antivirus o antimalware que prevengan o actúen eficazmente
ante un posible ataque externo, aunque hoy en día se ha avanzado hacia los sistemas EPP (Plataformas de
Protección Endpoint) y EDR.
• Crear políticas de seguridad de usuario:
 Contraseñas seguras: con una longitud mínima, incluyendo mayúsculas, minúsculas, números y caracteres;
además de cambiarlas de forma periódica.
 Políticas de privilegios mínimos: el acceso a la información y aplicaciones únicamente con los permisos
mínimos que permitan desempeñar un trabajo de forma correcta.
 Políticas de necesidad de saber: acceder solo a la información necesaria para desempeñar sus funciones.
Unidad 4
194
Buenas prácticas
• Clasificar la información: las organizaciones deben establecer unos niveles de clasificación de la información con el
objetivo de proteger la misma. La normativa ISO 27001, aunque no dicta de forma estricta los niveles de clasificación
concretos, sí establece unos niveles según el carácter confidencial de la información, pudiendo ser:
 Confidencial: el nivel de confidencialidad es el más alto que se requiera en la organización.
 Restringido: para niveles medios de confidencialidad.
 Uso interno: para niveles bajos de confidencialidad.
 Público: cuando no existe grado de confidencialidad, sino que la información puede ser conocida por todos.
Esta clasificación no es estricta e incluso cada organización puede nombrarla de la forma que desee. Otra
clasificación podría ser: secreta, reservada, confidencial, restringida, pública.
Unidad 4
195
RESUMEN,
CONCLUSIONES
Y REFERENCIAS
Unidad 1
196
RESUMEN
Administración de sistemas de seguridad
• Existen diferentes tipos de redes, las más importantes son la Personal Area Networks (PAN) o red de área personal,
Local Area Networks (LAN) o red de área local, Metropolitan Area Networks (MAN) o red de área metropolitana, Wide
Area Networks (WAN) o red de área amplia, Global Area Networks (GAN) o red de área global y Virtual Private
Networks (VPN) o red privada virtual.
• La dirección IP es un conjunto de números que representa a qué punto de Internet está conectado un dispositivo y
permite identificarlos en la Red. Existen dos tipos de direcciones IP: estáticas y dinámicas. Asimismo, la dirección IP
pública es aquella asignada a los dispositivos que se conectan de forma directa a Internet; mientras que la dirección
IP privada es aquella asignada a cada dispositivo conectado en una red privada.
• El Modelo OSI está formado por siete niveles o capas, donde cada uno de ellos es una fase a través de la cual los
datos viajan de un dispositivo a otro.
Unidad 4
197
RESUMEN
• Para distinguir las diferentes conexiones que se realizan dentro de un mismo ordenador se utilizan los puertos, que
se indican a través de 16 bits, por lo que existen 65536 puertos en total (se empieza a contar desde el puerto 0, por lo
que va hasta el número de puerto 65535).
• La entidad IANA se encarga de la asignación de los puertos, donde estableció tres categorías: puertos bien
conocidos, los puertos registrados, y, por último, los puertos dinámicos o privados.
• Un protocolo es un conjunto de reglas y normas que establecen la manera en la que deben comunicarse los
diferentes dispositivos. Algunos de los protocolos de comunicación más comunes son el protocolo HTTP, el protocolo
HTTPS, el protocolo TLS, el protocolo SMB, el protocolo TCP, el protocolo UDP, el protocolo ICMP, el protocolo ARP,
el protocolo DNS, el protocolo SMTP, el POP; y, por último, el IMAP.
Unidad 4
198
RESUMEN
• El término «DNS» hace referencia a Domain Name System o Sistema de Nombres de Dominio. Se trata de un
protocolo encargado de vincular los nombres de los sitios web con direcciones IP.
• Es muy importante realizar acciones para reducir los riesgos y vulnerabilidades, como la auditoría de sistemas,
fortalecer la Red, eliminar el software, implementar herramientas antivirus o antimalware que prevengan o actúen
eficazmente ante un posible ataque externo; utilizar contraseñas seguras; y, por último, establecer políticas de
privilegios mínimos.
• La gestión de identidades y accesos (IAM) es un método de administración de las identidades de los usuarios y sus
privilegios, es decir, es un modo de conocer quién es un usuario, qué permisos tiene y qué acciones puede llevar a
cabo.
Unidad 4
199
RESUMEN
• Algunos sistemas de detección de software malicioso son el antivirus o antimalware, los sistemas EDR, XDS, el
cortafuegos o firewall y, por último, los sistemas IDS e IPS y el honeypot.
• Los sistemas de detección y protección contra intrusiones más comunes el SIEM o sistema de gestión de eventos e
información de seguridad y el SOAR.
• Una de las estrategias de protección más amplias es la de seguridad por capas, que está basada en establecer
diferentes capas de protección encargadas de diferentes tareas específicas de cada capa, creando así un conjunto de
medidas de protección mayor para la organización y permitiendo así prevenir y/o combatir posibles ataques.
• El objetivo de los ataques de Denegación de Servicio (DoS) es inhabilitar el uso de un sistema, una aplicación o
una máquina para conseguir que el servicio se bloquee o deje de estar disponible temporalmente. El ciberdelincuente
realiza múltiples peticiones o inunda la Red con una gran cantidad de datos, saturándola y bloqueándola.
Unidad 4
200
RESUMEN
• El ataque ARP permite atacar equipos que estén conectados a una misma Red local. En este caso, el
ciberdelincuente se hace pasar por otro dispositivo de esa Red.
• El escaneo de puertos se utiliza en los test de penetración o pentest. Sin embargo, los ciberdelincuentes utilizan esta
técnica para detectar y descubrir los servicios que se encuentran expuestos con los puertos abiertos, cuáles no y
cuáles están protegidos.
Unidad 4
201
CONCLUSIONES
• Una red engloba el conjunto de sistemas informáticos independientes que están conectados entre sí, permitiendo el
intercambio de datos entre ellos.
• La red de área personal o PAN, se utiliza para el intercambio de datos entre dispositivos de poco alcance. Esta red
puede establecerse mediante el uso de una distribución cableada o señal wifi, que es la más conocida (WPAN o
Wireless Personal Area Network). La red LAN, es una red local que conecta un mínimo de dos dispositivos,
permitiendo así la comunicación entre los dispositivos conectados a esa Red. Se puede establecer la red de forma
inalámbrica, lo que la convierte en WLAN. Las VLAN (Virtual LAN) o redes de área local virtuales, permiten crear
subredes independientes dentro de una misma Red. La red MAN o red de área metropolitana, es una red de
telecomunicaciones que comunica diversas redes LAN en una zona geográfica cercana.
Unidad 4
202
CONCLUSIONES
• Las redes WAN o redes de área amplia, se encargan de cubrir una zona geográfica a gran escala, y está formado por
ilimitadas redes LAN. Por último, las redes globales (WAN) hacen uso de satélites o cables submarinos para permitir
la comunicación.
• La VPN o red privada virtual, es aquella red de comunicación virtual que se gestiona tomando una red física.
Permite crear una LAN sin que sus integrantes estén físicamente conectados entre sí. La segmentación de red
consiste en la división de la red en pequeñas subredes con el objetivo de mejorar el rendimiento de la Red y su
seguridad. Por último, la DMZ es un mecanismo que se utiliza para proteger las conexiones de Red. Se trata de una
sección aislada de la Red donde se suelen ubicar los equipos que son accesibles desde Internet.
• La máscara de subred indica al sistema cuál es el esquema de particionamiento de subred. Esta máscara de bits
está formada por la parte de la dirección de Red y la parte de la dirección de subred de la dirección Internet, es decir,
el ID de red e ID de host.
Unidad 4
203
CONCLUSIONES
• El Modelo OSI está formado por siete niveles o capas:
 Primera capa o física: es la encargada de la topología de Red y la conexiones entre el ordenador y la Red.
 Segunda capa o de enlace de datos: facilita la transferencia de los datos de nodo a nodo, siempre que estén
conectados a la misma Red.
 Tercera capa o de red: se encarga de posibilitar las transferencias de datos entre diferentes redes.
 Cuarta capa o de transporte: se encarga de las comunicaciones de extremo a extremo entre dos dispositivos.
 Quinta capa o de sesión: se encarga de abrir y cerrar las comunicaciones entre dos dispositivos.
 Sexta capa o de preparación: prepara los datos para la capa de aplicación, es decir, traduce, cifra y comprime los
datos.
 Séptima capa o de aplicación: es la única que interactúa de forma directa con los datos de los usuarios, es decir,
se comunica con todas las aplicaciones de software.
Unidad 4
204
CONCLUSIONES
• Los puertos se indican a través de 16 bits, por lo que existen 65536 puertos en total. La entidad IANA se encarga de
la asignación de los puertos, donde estableció tres categorías: puertos bien conocidos, que van hasta el puerto
1023 incluido y están reservados para el sistema operativo, usados por los protocolos HTTP (puerto 80, servidor web),
SMTP (puerto 25, servidor de correo), etc.; los puertos registrados, aquellos que van desde el 1024 hasta el 49151 y
son utilizados por cualquier aplicación; y, por último, los puertos dinámicos o privados, que van hasta el 65535 y
son puertos temporales que el sistema operativo asigna a las aplicaciones cuando lo requiere. Una vez que la
conexión ha terminado, ese puerto quedaría libre de nuevo y podría volver a ser utilizado por otra aplicación.
Unidad 4
205
CONCLUSIONES
• Un protocolo es un conjunto de reglas y normas que establecen la manera en la que deben comunicarse los
diferentes dispositivos. El protocolo HTTP se utiliza cuando, desde el navegador, se quiere acceder a una página
web; el protocolo HTTPS, similar al anterior, utiliza un cifrado seguro para la comunicación; el protocolo TLS es un
protocolo de cifrado que tiene como objetivo proporcionar una conexión segura. El protocolo SMB es un protocolo
cliente-servidor, que controla el acceso a archivos y directorios, y otros recursos de la Red. El protocolo TCP permite
establecer una conexión entre dos puntos en una red informática común, permitiendo así el intercambio de datos.
Hace uso del «three-way handshake», donde para establecer la comunicación.
Unidad 4
206
CONCLUSIONES
• El protocolo UDP permite la comunicación entre dispositivos sin conexión sin necesidad de esperar ningún tipo de
respuesta por parte del receptor. El protocolo ICMP se utiliza para informar de sucesos o errores que ocurren en la
Red. El protocolo DNS permite vincular los nombres de los sitios web con direcciones IP. El protocolo ARP permite
vincular una dirección MAC o dirección física con una dirección IP. El protocolo SMTP se utiliza para enviar y recibir
correos electrónicos. El POP se utiliza para la recuperación de mensaje de correo electrónico; por último, el IMAP
permite a los usuarios agrupar mensajes, guardarlos en carpetas, organizarlos, etc.
• La gestión de identidades y accesos (IAM) es un método de administración de las identidades de los usuarios y sus
privilegios a fin de conocer quién es un usuario y qué permisos tiene. Se rige por tres principios básicos: identificación,
autenticación y autorización. Existen diferentes métodos de identificación: por teclado, por huella dactilar,
reconocimiento facial, tarjeta identificativa o RFID, entre otros.
Unidad 4
207
CONCLUSIONES
• Existen diferentes tipos de control de acceso como el control de acceso basado en roles, control de acceso
discrecional, control de acceso obligatorio y control de acceso basado en atributos.
• El software malicioso, o malware, es un software desarrollado específicamente para obtener acceso a un sistema o
equipo para dañarlo, sin que el propietario o usuario de dicho equipo tenga conocimiento de ello.
• Un antivirus o antimalware es una herramienta software que se encarga de la detección y el bloqueo de acciones
maliciosas en el sistema o dispositivo, generadas por cualquier tipo de malware, y en el supuesto de que se haya
producido cualquier infección, la elimina. Los antivirus pueden protegen de forma reactiva o basada en firmas:
cuando compara los software maliciosos con los archivos de una base de datos; o proactiva, heurística o basada
en anomalías, cuyo objetivo es descomponer el archivo y analizar el código para cotejarlo con otros virus conocidos
en la base de datos heurística.
Unidad 4
208
CONCLUSIONES
• Los sistemas EDR son una combinación del antivirus junto con herramientas de monitorización, inteligencia artificial y
Big Data que permiten responder de forma rápida y eficiente ante las amenazas.
• Los sistemas XDR tratan de agrupar datos de diferentes herramientas para aportar mayor visibilidad de lo que está
ocurriendo en los sistemas y en la Red, para posibilitar una respuesta más rápida y eficaz.
• Un cortafuegos o firewall es un dispositivo de seguridad de la Red que se encarga de la monitorización del tráfico, ya
sea entrante o saliente, y permite o bloquea un tráfico específico en base a unas reglas o restricciones que se han
definido previamente al configurarlo. Existen dos tipos de políticas en cuanto al tráfico:
 Política permisiva: permite todo el tráfico, salvo que esté expresamente definido en el firewall que se bloquee.
 Política restrictiva: esta política no permite el tráfico, salvo el que esté expresamente permitido.
Unidad 4
209
CONCLUSIONES
• Por otro lado, existen diferentes tipos de cortafuegos:
 Firewall de filtrado de paquetes: compara las propiedades de los paquetes de datos, es decir, compara la IP de
origen, la IP de destino, el protocolo de comunicación y el puerto.
 Puerta de enlace a nivel de circuito: es capaz de detectar si una sesión de comunicación solicitada es válida, y
lo hace comprobando el protocolo «three-way handshake» TCP entre los paquetes.
 Puerta de enlace a nivel de aplicación (firewall proxy): analiza la información de la aplicación para tomar
decisiones sobre la transmisión de los paquetes, es decir, actúa como intermediario entre las redes externas y los
equipos, evitando el contacto directo.
Unidad 4
210
CONCLUSIONES
 Firewall Stateful Inspection: se encargan de examinar tanto el paquete como los protocolos de comunicación
que utilizan para la conexión.
 Firewall Stateful Multilayer Inspection: se encarga de filtrar los paquetes en la capa de red, para determinar si
los paquetes de sesión son legítimos y evaluar el contenido de los paquetes en la capa de aplicación.
 Firewall Next-generation: estos cortafuegos combinan las características de los firewalls tradicionales con
sistemas de prevención contra intrusiones en la Red.
Unidad 4
211
CONCLUSIONES
• Un IDS se encarga de la detección de todos aquellos accesos no autorizados a los sistemas o la Red. Existen dos
tipos de IDS, como el Sistema de Detección de Intrusiones en host, encargado de monitorizar las actividades en el
sistema en el que se instalan para buscar actividades maliciosas; y el Sistema de Detección de Intrusiones en la
Red, diseñado para inspeccionar cada paquete que atraviesa la Red, en busca de la presencia de un comportamiento
malicioso.
• Un IPS se encarga de la protección de los sistemas de todos los posibles ataques e intrusiones. Existen diferentes
tipos de IPS, como el IPS basado en host, encargado del análisis y monitorización del tráfico de Red de un host único;
el IPS basado en Red, que analiza y busca el tráfico de Red sospechoso; el IPS para redes wifi, encargado de
supervisar la red LAN inalámbrica en busca de aquellos posibles puntos de accesos no autorizados y amenazas
inalámbricas. Por último, el análisis del comportamiento de Red, que examina el tráfico para identificar amenazas que
puedan generar flujos de tráfico inusuales o anómalos.
Unidad 4
212
CONCLUSIONES
• Un honeypot se parece a un sistema informático real cuyo objetivo es hacer creer a los ciberdelincuentes que se trata
de un objetivo legítimo y, cuando lo atacan, el propietario del honeypot lo utiliza para arreglar las vulnerabilidades que
pueda tener en su sistema real o para obtener información acerca del ataque. Existen cuatro tipos de honeypot:
trampas de spam, base de datos señuelo, honeypot de malware y honeypot para arañas.
• Un SIEM o sistema de gestión de eventos e información de seguridad, es una solución centralizada que abarca la
gestión de información de seguridad y la gestión de eventos; permitiendo un análisis, en tiempo real, de las alertas de
seguridad que se han generado por los diferentes dispositivos que se encuentran en la Red.
• Un SOAR permite la recopilación de datos sobre amenazas y alertas bajo una misma fuente, además de favorecer
que los analistas del equipo de SOC respondan de manera más rápida y efectiva ante las amenazas y automatizar las
tareas.
Unidad 4
213
CONCLUSIONES
• El objetivo de los ataques DoS es inhabilitar el uso del sistema, aplicación o máquina para conseguir que el servicio
se bloquee. El atacante realiza gran cantidad de peticiones o inunda la Red con gran cantidad de datos, haciendo que
esta se sature y se bloquee debido a la sobrecarga, ya que no puede hacerles frente. Existen diferentes tipos de
ataques DoS, algunos de ellos son ICMP Flood, el PING de la muerte, SYN Flood o Smurf Attack.
• El ataque DDoS utiliza múltiples dispositivos de origen para conseguir que el sistema se bloquee.
• El ataque ARP spoofing permite atacar equipos que estén conectados en la misma red local.
• El envenenamiento de la caché DNS consiste en la introducción de información falsa en dicha caché para que, en el
momento que se consulte, devuelva una respuesta incorrecta y dirija al usuario a un sitio web erróneo.
Unidad 4
214
CONCLUSIONES
• El escaneo de puertos, aunque se usa en hacking ético, también lo utilizan los ciberdelincuentes, ya que permite la
detección y descubrimiento de los servicios que se encuentran expuestos con los puertos abiertos, cuáles no y cuáles
están protegidos.
• El bastionado o hardening es el proceso por el cual se implementan medidas técnicas y organizativas para reducir
las vulnerabilidades de los sistemas, es decir, trata de protegerlos para que los ciberdelincuentes o crackers no
puedan acceder a ellos, y que las consecuencias sean las mínimas posibles.
Unidad 4
215
REFERENCIAS
Enlaces de interés de la unidad
• Tipos de redes informáticas.
https://www.ionos.es/digitalguide/servidores/know-how/los-tipos-de-redes-mas-conocidos/
• Red VPN.
https://www.redeszone.net/tutoriales/vpn/usar-vpn-tor-mismo-tiempo/
• Modelo OSI.
https://www.cloudflare.com/es-es/learning/ddos/glossary/open-systems-interconnection-model-osi/
• Glosario de términos de ciberseguridad INCIBE.

https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciberseguridad_2021.pdf
• ¿Qué es el IDS e IPS?

https://www.incibe.es/protege-tu-empresa/blog/son-y-sirven-los-siem-ids-e-ips
Unidad 4
216
REFERENCIAS COMPLEMENTARIAS
[1] VLAN.
https://www.redeszone.net/tutoriales/redes-cable/vlan-tipos-configuracion/
[2] WLAN.
https://www.redeszone.net/tutoriales/redes-cable/lan-wlan-que-es-caracteristicas/
[3] LAN vs MAN vs WAN.

https://community.fs.com/es/blog/lan-vs-man-vs-wan-whats-the-difference.html
[4] Nodos de TOR.

https://tormap.void.gr/
[5] IPv4 vs IPv6.

https://www.avast.com/es-es/c-ipv4-vs-ipv6-addresses#gref
[6] Código binario.

https://www.youtube.com/watch?v=f9b0wwhTmeU
Unidad 4
217
[7] Dirección IP broadcast.
https://www.ionos.es/digitalguide/servidores/know-how/broadcast-ip/
[8] IANA: qué protocolo usa cada servicio.

https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
[9] Protocolo DNS.

https://www.cloudflare.com/es-es/learning/dns/what-is-
dns/#:~:text=El%20sistema%20de%20nombres%20de,el%20directorio%20telef%C3%B3nico%20de%20Internet.&t
ext=El%20DNS%20traduce%20los%20nombres,equipos%20pueden%20usar%20para%20encontrarlo
[10] Así funciona el protocolo DNS en Internet.

https://www.redeszone.net/tutoriales/internet/que-es-protocolo-dns/
[11] Protocolo ICMP.

https://sites.google.com/site/redeslocalesyglobales/6-arquitecturas-de-redes/6-arquitectura-tcp-ip/9-protocolos-tcp-
ip/protocolos-de-nivel-de-red/protocolo-icmp
Unidad 4
218
[12] Protocolo ARP.
https://www.ionos.es/digitalguide/servidores/know-how/arp-resolucion-de-direcciones-en-la-red/
[13] ¿Qué es la dirección MAC?

https://www.xataka.com/basics/que-direccion-ip-que-se-diferencia-direccion-
mac#:~:text=La%20direcci%C3%B3n%20MAC%20es%20el,televisor%20o%20incluso%20un%20Chromecast.
[14] Descubre más servicios y sus protocolos.

https://openwebinars.net/blog/protocolo-de-red-que-es-tipos-y-caracteristicas/
[15] Protocolo TCP.

https://www.ionos.es/digitalguide/servidores/know-how/que-es-tcp-transport-control-protocol/
Unidad 4
219
[16] ¿Sabías qué es el reconocimiento facial informatizado y por qué se utiliza en el ámbito de la investigación?
https://www.interpol.int/es/Como-trabajamos/Policia-cientifica/Reconocimiento-facial
[17] Control RBAC.

https://protecciondatos-lopd.com/empresas/control-de-acceso-basado-en-roles-
rbac/#Que_es_el_control_de_acceso_basado_en_roles
[18] Control MAC.

https://www.ionos.es/digitalguide/servidores/seguridad/que-es-el-mandatory-access-control-mac/
[19] La primera botnet conocida públicamente fue creada en el año 2000, por Khan C Smith.
https://www.avg.com/es/signal/what-is-botnet
[20] ¿Estás realmente protegido por un antivirus?

https://www.osi.es/es/actualidad/blog/2021/07/28/el-antivirus-es-necesario-pero-lo-tienes-funcionando
Unidad 4
220
[21] El primer virus informático se creó en 1971 y se llamo Creeper.
https://pandorafms.com/blog/es/creeper-y-reaper/
[22] Qué es IOC.

https://www.welivesecurity.com/la-es/2021/02/22/que-son-indicadores-compromiso-evidencia-puedes-haber-sido-
victima-malware/
[23] Qué son las reglas YARA.

https://ciberseguridad.blog/reglas-yara-y-la-deteccion-de-malware-basado-en-firmas/
[24] Mapa que recoge los ciberataques que están ocurriendo en tiempo real a nivel mundial.
https://cybermap.kaspersky.com/es
[25] El caso de Zhtrap.

https://unaaldia.hispasec.com/2021/03/honeypots-del-lado-del-mal-el-reciente-caso-de-zhtrap.html
Unidad 4
221
[26] Qué es una un rastreador web.
https://www.cloudflare.com/es-es/learning/bots/what-is-a-web-crawler/
[27] Ataque DoS.

https://www.ionos.es/digitalguide/servidores/know-how/que-es-un-ataque-dos/
[28] Ataque ICMP Flood.

https://www.ionos.es/digitalguide/servidores/seguridad/ataque-ping-flood/
[29] PING «de la muerte».

https://www.ionos.mx/digitalguide/servidores/seguridad/ping-de-la-muerte/
[30] Smurf Attack.

https://latam.kaspersky.com/resource-center/definitions/what-is-a-smurf-attack
[31] Cómo funciona un ataque DDoS.

https://www.youtube.com/watch?v=FLmF35Xs4bg
Unidad 4
222
[32] Botnet.
https://www.avast.com/es-es/c-botnet#gref
[33] Meris, es la nueva botnet que ha conseguido batir dos veces el récord del ataque DDoS más grande de la historia.
https://www.xataka.com/seguridad/asi-meris-nueva-botnet-que-ha-conseguido-batir-dos-veces-record-ataque-ddos-
grande-historia
[34] Ataque HTTP Flood.

https://www.ionos.es/digitalguide/servidores/seguridad/ataque-http-flood/
[35] Ataque ARP Spoofing.

https://www.ionos.es/digitalguide/servidores/seguridad/arp-spoofing-ataques-desde-la-red-interna/
[36] Envenenamiento de la chaché DNS.

https://www.cloudflare.com/es-es/learning/dns/dns-cache-poisoning/
Unidad 4
223
¡GRACIAS!
224

04 Manual Administración de Sistemas de Ciberseguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

04 Manual Administración de Sistemas de Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

CURSO ONLINE DE

3 GESTIÓN DE ACCESOS E IDENTIDADES 81

SISTEMAS DE DETECCIÓN DE SOFTWARE

SISTEMAS DE DETECCIÓN Y PROTECCIÓN 125

SISTEMAS DE DETECCIÓN Y GESTIÓN DE

8 PRINCIPALES ATAQUES A REDES 149

9 SEGURIDAD POR CAPAS 180

• Personal Area Networks (PAN) o red de área personal.

Esto permite que, por ejemplo, si una impresora está conectada

Saber más: VLAN. [1] Saber más: WLAN. [2]

Por ejemplo, muchas empresas del sector textil tienen tiendas

Saber más: LAN vs MAN vs WAN. [3]

Por ejemplo, en el caso de las redes empresariales

Las direcciones IP pueden ser privadas o públicas:

• La dirección IP pública: es aquella dirección asignada a los dispositivos que se

Saber más: IPv4 vs IPv6. [5]

Por lo tanto, si encontramos una dirección IP que no se

Saber más: dirección IP Broadcast. [7]

2 Capa de enlace de datos

Modelo OSI Modelo OSI I 1 Capa física

2 Capa de enlace de datos

La capa de red, es decir, la tercera capa, se encarga de posibilitar

La capa de red se encarga de fragmentar los datos, que llegan de la

AH: Application Header (cabecera de

Por ejemplo, Juan quiere enviarle a María un correo

las señales binarias.

2 Capa de enlace de datos

Un ordenador puede estar conectado con diferentes

• Puertos bien conocidos: son aquellos que van hasta el puerto

Estos dos protocolos son propios de la capa 7 de aplicación.

Fuente: Labelling of security standards in the browser address bar

Saber más: Protocolo DNS. [9]

Saber más: Así funciona el protocolo DNS en Internet. [10]

• El protocolo ICMP (Internet Control Messaging

Saber más: Protocolo ICMP. [11]

Saber más: Protocolo ARP. [12]

Saber más: ¿Qué es la dirección MAC? [13]

Saber más: Descubre más servicios y sus protocolos. [14]

• El protocolo TCP: se trata de un protocolo de control de

Saber más: Protocolo TCP. [15]

Tipos Antivirus Firewall

IDS SIEM Ataque de Denegación de

Así, este método está formado por:

• Por teclado: es aquel método en el que el usuario debe

¿Sabías qué es el reconocimiento facial informatizado y

Saber más: Control RBAC. [17]

Saber más: Control MAC. [18]

¿Sabías qué? La primera botnet conocida públicamente fue

Saber más: ¿Estás realmente

¿Sabías qué? El primer virus informático se creó en 1971 y

¿Sabías qué? Según el creador de YARA, las siglas hacen

Es posible utilizar sistemas EDR conjuntamente con otras

Un cortafuegos puede ser un dispositivo hardware o software.

Existen diferentes tipos de firewall:

• Firewall de filtrado de paquetes: este cortafuegos funciona en la capa de red

• Firewall Next-generation: este tipo de cortafuegos combinan

IDS – Sistema de IPS – Sistema de

NIDS – IDS basado en red NIPS – IPS basado en red

HIDS – IDS basado en host HIPS – IPS basado en host

WIPS – IPS para redes wifi

NBA – IPS basado en el

Los sistemas IDS son muy utilizados de la mano de un firewall.

Saber más: El caso de Zhtrap. [25]

Saber más: ¿Qué es una un rastreador web? [26]