Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fundamentos de ciberseguridad
Ciberseguridad- Sobre la defensa
Impacto financiero
10 Minutos
Ya conoce los aspectos básicos de la ciberseguridad y los distintos tipos de amenaza a los que se enfrenta una organización. Este módulo se
centra en el aspecto "defensivo" de la ciberseguridad, es decir, las organizaciones y sus técnicas y herramientas. Cómo detectan, se protegen y
responden a los ataques. Se incluyen los siguientes temas:
• Madurez de la seguridad
• Un enfoque de estrategia de seguridad que las organizaciones pueden utilizar para defenderse de ciberataques utilizando los 10 pasos de
seguridad del Centro de Ciberseguridad Nacional
• Evitar ciberataques
• Detectar ciberataques
En el informe anual sobre el Coste de las infracciones de datos (https://www.ibm.com/security/data-breach), realizado por Ponemon Institute y patrocinado
por IBM Security, se analizan los costes de las infracciones de datos aportados por cientos de organizaciones de todo el mundo y todas las industrias. Según
el informe de 2021,el coste medio total global de una infracción de datos es de 4,24 millones de $. El coste de una infracción de datos ha aumentado un
11,9 % desde 2015. Revise este diagrama para conocer más datos importantes sobre los costes de las infracciones de datos. Los importes son en USD.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 1/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Fuente: Informe sobre el coste de una infracción de datos 2021 (https://www.ibm.com/downloads/cas/OJDVQGRY), IBM Security, estudio realizado por
Ponemon Institute
Las infracciones de datos pueden provocar terribles pérdidas financieras y afectar a la reputación de una organización durante años. La máxima contribución
a estos costes era la pérdida de negocios. Es algo que puede perdurar durante años después de un ataque. Asimismo, hay sanciones por incumplimiento y
costes de remediación que pueden afectar a la organización.
EJEMPLO
En Europa, la reciente introducción del Reglamento General de Protección de Datos (GDPR) ha complicado significativamente la labor de las
organizaciones. El límite máximo de las sanciones para las organizaciones negligentes es considerablemente mayor que en la legislación anterior. En julio
de 2019, el Comisionado de Información del Reino Unido intento sancionar a British Airways con 183,39 millones de libras (aproximadamente, 240
millones USD) por una infracción de datos de 2018. Esta es la mayor sanción propuesta hasta la fecha y constituye una referencia para las próximas
incidencias.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 2/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Estos elevados costes debidos al impacto directo y a las sanciones actúan como un factor clave en la industria de la ciberseguridad. En los próximos años,
cuando otras partes del mundo adopten estándares de datos igual de estrictos que en Europa, es probable que el número de casos de alto impacto aumente
significativamente.
• Laproporción de empresas que declararon haber sufrido ataques aumentó del 38 % en 2020 al 43 % en 2021, y muchas de ellas sufrieron varios ataques.
• Los objetivos favoritos de los hackers fueron los sectores de tecnología, medios y telecomunicaciones (TMT), servicios financieros y energía.
• Las empresas han reorientado radicalmente sus presupuestos en IT. Una empresa media dedica actualmente más de una quinta parte (21 %) de su
presupuesto en TI a la ciberseguridad.
• El 16 % de las empresas que declararon haber sufrido ciberataques se enfrentaron a una demanda de ransomware y solo algo más de la mitad (58 %)
pagaron un rescate, ya fuera para recuperar sus datos o para evitar la publicación de información confidencial.
Pueden ver que los ciberataques son un coste inevitable de hacer negocios hoy día. Las organizaciones todavía tienen que hacer algunos progresos antes de
estar ciberpreparadas y también deben desarrollar estrategias de seguridad.
Una buena metáfora de un ciberataque es el de un contaminante del medio ambiente. La acumulación de ataques es algo que todos debemos gestionar, no
se pueden ignorar para siempre y el problema empeora con la inacción.
Estrategia de seguridad
10 Minutos
Para combatir los ciberataques y protegerse, las organizaciones deben diseñar e implementar una estrategia de seguridad. Son dos caras de la misma
moneda: ¿cómo puede la organización mitigar las amenazas y aumentar su preparación frente a una infracción de seguridad? En esta lección, analizaremos la
madurez de la seguridad, diez pasos que se deben implementar como parte de la estrategia de seguridad de una organización, y consideraciones adicionales.
Determinadas organizaciones puede que no se hayan centrado en la ciberseguridad y que sean más inmaduras desde el punto de vista del sistema. También
hay organizaciones maduras que están más "curtidas en la batalla" porque han dado prioridad a la ciberseguridad desde hace más tiempo.
En la tabla siguiente, se proporcionan varios ejemplos para entender el grado de madurez de la seguridad de una organización a partir de varias métricas.
Nota: en lugar del obvio sí o no, es importante resaltar que la madurez en ciberseguridad es una escala. Una organización puede mostrar desarrollo en un
área y no ser madura en otra. Preferencias sobre cookies
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 3/20
25/8/22, 18:30 Fundamentos de ciberseguridad
¡COMPRUÉBELO!
Si desea obtener más información, a continuación se describen los cinco niveles de madurez de seguridad que ofrecen la Revisión del Programa de Asistencia
de Seguridad de la Información (PRISMA) de NIST.
Niveles de madurez de seguridad: Revisión del Programa de Asistencia de Seguridad de la Información (PRISMA)
(https://csrc.nist.gov/Projects/Program-Review-for-Information-Security-Assistance/Security-Maturity-Levels)
Comienza con el establecimiento de un método de gestión de riesgos. En el siguiente diagrama se muestra este primer paso y los otros nueve. En este
módulo encontrará más información sobre un par de estos pasos, como la supervisión y la gestión de incidencias.
Aumente o descargue el diagrama y dedique un par de minutos a revisar los 10 pasos para obtener una visión general.
• Gestión de riesgos
• Compromiso y formación
• Gestión de activos
• Arquitectura y configuración
• Gestión de vulnerabilidades
Preferencias sobre cookies
•
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 4/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Gestión de identidad y acceso
• Seguridad de datos
• Registro y supervisión
• Gestión de incidencias
Revisar la guía en línea sobre los 10 pasos para abordar la ciberseguridad (https://www.ncsc.gov.uk/collection/10-steps)
El primer interés de una organización respecto a la ciberseguridad es evitar que un ataque tenga éxito. En esta lección, veremos cómo puede conseguirse en
la práctica y analizaremos algunos enfoques comunes que siguen las organizaciones.
¿Cuál es el objetivo?
Una seguridad absoluta en el mundo real, donde sea imposible realizar un ataque, desgraciadamente es poco factible. Aunque se puede garantizar el perfecto
funcionamiento de programas pequeños o sencillos, un sistema interconectado realista es mucho más complejo. Por lo tanto, el énfasis se pone en dificultar
al máximo los ciberataques. Si un responsable de defensa sabe que se necesitan 100.000 USD de recursos para poner en peligro un sistema que solo vale
80.000 USD para un atacante, no es probable que se produzca el ataque y la defensa puede "funcionar" a pesar de sus imperfecciones.
El objetivo en ciberseguridad es reducir el riesgo operativo a un nivel aceptable mediante la introducción de la combinación correcta de personas,
procesos y tecnologías.
Teniendo en cuenta este objetivo, vamos a examinar algunas estrategias generales con las que las organizaciones pueden evitar los ciberataques.
Examinar el perímetro
Uno de los primeros conceptos a tener en cuenta es el de la superficie de ataque. En ciberseguridad, este término hace referencia a la suma total de la
infraestructura de una organización y el entorno de software expuesto donde el atacante puede decidir atacar. La protección de la superficie de ataque era
mucho menos complicada cuando las organizaciones tenían un "perímetro" definido que separaba claramente sus activos del mundo exterior. Actualmente,
mantener la superficie de ataque lo más pequeña posible es una medida de seguridad básica. Esto puede hacerse limitando qué servicios son
extremadamente accesibles, qué dispositivos pueden conectarse, etc.
EJEMPLO
Supongamos que una organización tiene un sistema de registro de pagos. Desea que los empleados puedan acceder a él desde un pequeño número de
oficinas. Una buena estrategia de seguridad sería restringir el acceso a un número fijo de puntos de acceso que son necesarios. El tráfico externo, por
ejemplo, el de la Internet más amplia puede ignorarse en el perímetro. Esta regla simple reduce drásticamente el alcance de los atacantes. En lugar de
tener miles de millones de direcciones de Protocolo Internet (IP) desde las que lanzar un ataque, el atacante se verá obligado a poner en peligro un
dispositivo de confianza y utilizarlo para realizar los ataques. Esto aumenta la dificultad para el atacante.
En los últimos años, las organizaciones han aumentado su complejidad con métodos de acceso remoto, WiFi de invitado, políticas de Traiga su propio
dispositivo (BYOD), etc. Es difícil conseguir tener un perímetro seguro. Como mínimo, las organizaciones deben considerar su perímetro y supervisarlo como
parte de una estrategia de ciberseguridad mayor y más completa.
Segregación de red
Preferencias sobre cookies
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 5/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Un enfoque importante cuando se diseña un sistema más seguro es utilizar una zona desmilitarizada (DMZ). Este término proviene del lenguaje militar. En
una red, se utiliza para hacer referencia al área intermedia en la red que se controla y gestiona parcialmente. Los servidores de la DMZ pueden ser utilizados
por aplicaciones internas y externas.
La arquitectura a menudo se configura para que una parte externa pueda acceder a los datos en la DMZ, pero no al área de red confidencial. Por ejemplo, un
cliente externo puede realizar pedidos en un sistema de pago digital o acceder al correo, pero no a la información confidencial de la compañía.
Si un área de una organización se ve afectada durante un ataque, este no se propaga inmediatamente a los otros sistemas más confidenciales. Un atacante
que pone en peligro un servidor en la DMZ necesitará un segundo ataque con éxito para avanzar en la organización.
Este diagrama muestra que un usuario externo legítimo puede acceder a las aplicaciones y los servidores de color azul verdoso, pero no a las aplicaciones y
los servidores de color azul, que son más confidenciales.
Menor privilegio
Para las organizaciones, es importante decidir los niveles de permiso de las aplicaciones y las personas dentro de una organización. Para ello, un elemento
clave es introducir el concepto de menor privilegio. Esto significa que se otorgan los menores permisos para poder completar un rol.
EJEMPLO
Una organización configura su base de datos de recursos humanos (HR) de forma que los gestores tienen acceso de solo lectura a los datos para los roles
de trabajo que gestionan. Si un atacante roba las credenciales de un determinado gestor, el atacante solo podrá poner en peligro la confidencialidad de
esos registros específicos. El atacante no podrá modificarlos, ya que son de solo lectura. Tampoco podrán acceder a las aplicaciones de otras áreas del
negocio.
Al introducir este control, la organización reduce las consecuencias de un ataque con éxito cuando se compara con un sistema menos restringido. En
términos de riesgo, reducimos las consecuencias en este ejemplo. También puede que oiga el término militar "radio de explosión" aplicado en este contexto,
donde el radio indica el área de efecto de un ataque. La reducción de permisos es una buena forma de limitar el "radio de explosión".
Cuando el software llega al final de su vida y ya no está soportado, su gestión se convierte en un problema para los empleados de seguridad. Si se descubre
una vulnerabilidad, el proveedor de software puede que no emita un parche de remediación.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 6/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Para evaluar qué software es vulnerable a un ataque específico, una organización puede utilizar un escáner de vulnerabilidades. Es un software que evalúa si
hay vulnerabilidades en un servidor o una aplicación. Los escáneres de vulnerabilidades pueden basarse en la red para examinar las vulnerabilidades
mediante pruebas activas, o bien pueden escanear el código fuente estático en busca de posibles errores. Ambos escáneres generan información útil para
identificar los puntos débiles antes que el atacante.
En relación con la idea de gestión de vulnerabilidades, también existen controles compensatorios. Si se identifica una vulnerabilidad para la que no hay
disponible un parche, puede buscarse una solución temporal. Incluye la opción de revertir una aplicación a una versión anterior o inhabilitar una
característica.
Defensa en profundidad
Una consideración clave final de defensa es que las organizaciones utilicen un método por capas. El término defensa en profundidad proviene originalmente
del ejército y hace referencia a no utilizar una única forma de defensa, sino disponerlas en capas. En TI, esto significa que una organización puede aplicar
defensas de red como, por ejemplo, cortafuegos; defensas de dispositivos como, por ejemplo, escáneres de malware; y controles en datos clave mediante el
uso del cifrado.
Para que un ataque tuviera éxito, deberían burlarse todas las capas de la defensa, lo cual es bastante difícil.
Este es el final de la lección. Asegúrese de seleccionar el recuadro "Actividad finalizada" para realizar un minicuestionario y demostrar los conocimientos que
ha adquirido en esta lección. Se mostrarán tres preguntas. Esto es necesario para terminar la lección.
Detección de ataques
10 Minutos
Si las defensas de una organización no consiguen evitar con éxito un ciberataque, la siguiente prioridad de la organización será detectarlo. Esto se realiza
idealmente mientras el ataque está en curso o, en el mejor de los casos, cuando la infracción no se ha producido todavía. En esta lección, examinaremos los
conceptos básicos de la detección de ataques.
Registro
Lo más importante que debe establecer una organización para detectar un ataque es alguna forma de registro. El registro es el proceso por el que las
acciones se registran con precisión en una ubicación segura. Los registros deben estar a prueba de manipulaciones y actuar como un registro permanente de
lo que ha ocurrido en una red. Este proceso de registro puede realizarse en aplicaciones o máquinas individuales.
Aunque una entrada de registro individual puede que no sea muy útil de manera aislada, la organización puede utilizar una mayor recopilación para realizar
un seguimiento de los usuarios legítimos y los atacantes.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 7/20
25/8/22, 18:30 Fundamentos de ciberseguridad
EJEMPLO
Este es un ejemplo de un formato de registro utilizado por los servidores web Apache:
Puede ver que esta entrada de registro describe a un usuario llamado "bob" que accede a una determinada página web con una anotación del estado y la
hora.
Supervisión de red
Además de registrar los sucesos que ocurren en los servidores, las organizaciones también pueden supervisar las comunicaciones en su red. Este enfoque se
conoce como análisis de tráfico. El análisis de tráfico puede utilizase para identificar qué se está haciendo en una red, incluso de manera pasiva, mientras se
utiliza el cifrado.
Determinados tipos de software malicioso que cambian de un dispositivo a otro a menudo se detectan en una buena solución de supervisión de red porque
son demasiado obvios.
EJEMPLO
Si un dispositivo se está utilizando para transmitir vídeo, tendrá un elevado consumo de ancho de banda en un periodo largo.
En comparación, si un dispositivo está descargando un archivo grande, se observará un gran pico de demanda y después poco o nada.
Esta es una captura de pantalla de un servicio SIEM denominado IBM QRadar on Cloud (https://www.ibm.com/products/hosted-security-intelligence). Es
un software de análisis e información de seguridad de red para supervisar amenazas y ataques internos.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 8/20
25/8/22, 18:30 Fundamentos de ciberseguridad
EJEMPLO
Un equipo de ciberseguridad que utiliza un producto SIEM puede decidir que desea detectar un intento de inicio de sesión de fuerza bruta para una
determinada cuenta. Pueden definir un umbral de cinco inicios de sesión fallidos por minuto. Si un atacante intenta comprometer una cuenta del sistema
probando millones de combinaciones de nombre de usuario y contraseña, el atacante excederá el umbral y desencadenará una alerta en SIEM, que avisa
al equipo de ciberseguridad.
Los analistas de seguridad forman el equipo de personas responsable de evaluar la seguridad de una organización en el SOC. Si se detecta un ataque o
posible ataque, los analistas de seguridad decidirán cómo responder a la situación siguiendo procedimientos de la organización.
Esta fotografía muestra el Centro de operaciones de ciberdefensa de Microsoft. Opera 24×7 para defenderse de ciberamenazas.
Fuente: Microsoft’s Cyber Defense Operations Center shares best practices (https://www.microsoft.com/security/blog/2017/01/17/microsofts-cyber-
defense-operations-center-shares-best-practices/), Microsoft Secure Blog Staff, enero de 2017
Falsas alarmas
Uno de los equilibrios más difíciles en un SOC es ajustar la confidencialidad de distintos umbrales. Hay casos en los que puede desencadenarse una alerta
aunque la acción sea legítima. Esto se denomina un falso positivo, en el que se registra un suceso como malicioso cuando no lo es.
Confirmar si una alerta es un falso positivo es responsabilidad del analista de seguridad. Si una alerta desencadena demasiados falsos positivos, deberán
ajustarse los umbrales en valores más altos.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 9/20
25/8/22, 18:30 Fundamentos de ciberseguridad
EJEMPLO
Puede provocarse un falso positivo cuando una empleada vuelve al trabajo de sus vacaciones y olvida su contraseña. Si la empleada intenta adivinar su
contraseña incorrectamente, sus repetidos intentos pueden exceder el umbral y desencadenar una alerta.
Actividad
En esta actividad, puede ponerse el sombrero de detective para revisar atentamente el siguiente conjunto de datos. La tabla muestra un registro de los
archivos de una organización que se modifican en un periodo de tiempo fijo, desde las 12 de la medianoche. Por su experiencia, sabe que esta actividad es
bastante predecible con elevados niveles de automatización. ¿Puede identificar un intervalo de tiempo en el que se haya producido una gran cantidad de
actividad de manera inesperada? Una inusual cantidad de cambios puede indicar una actividad desconocida o no autorizada.
Número de archivos
Hora
actualizados
01:00 AM 12
02:00 AM 23
03:00 AM 33
04:00 AM 47
05:00 AM 62
06:00 AM 75
07:00 AM 92
08:00 AM 104
09:00 AM 114
10:00 AM 128
11:00 AM 173
12:00 PM 207
13:00 PM 220
14:00 PM 232
15:00 PM 243
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 10/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Incluso aunque dispongan de las mejores defensas, es inevitable que todas las organizaciones deban responder a un ataque cibernético en algún momento.
Diseñar unos sistemas resistentes a través de preparación y procesos bien definidos resulta una parte fundamental de la planificación de la seguridad. En
esta lección, presentaremos los conceptos básicos de respuesta a incidencias.
1. Preparación
• En esta fase, una organización debe comenzar a planificar qué hará en caso de producirse una incidencia.
2. Identificación
• El primer paso para responder a una incidencia es detectarlo.
• Una vez que se ha confirmado una incidencia, el proceso continúa a la siguiente fase.
3. Contención
• Tan pronto como se detecta una incidencia, la prioridad es evitar que la situación empeore.
• Los pasos pueden incluir segregar redes o cerrar rutas de acceso o determinados sistemas.
4. Erradicación
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 11/20
25/8/22, 18:30 Fundamentos de ciberseguridad
• Al igual que una enfermedad en el cuerpo humano, determinados tipos de malware o atacantes deben
eliminarse por completo para mantener la seguridad.
• Durante el paso de erradicación, los dispositivos se pueden borrar o restaurar a estados seguros.
• Hay innumerables ejemplos en los que la erradicación incompleta provoca la reaparición de malware, por lo
que ser exhaustivo resulta fundamental.
5. Recuperación
• Una vez que se resuelva la incidencia, se requiere volver al funcionamiento normal.
6. Reflexión
• Después de la incidencia, es importante tener la oportunidad de reflexionar no solo sobre aquello que ha
causado la incidencia, sino el nivel de efectividad de la respuesta.
• Comúnmente, esta fase puede denominarse fase de las "Lecciones aprendidas". Sin embargo, "Lecciones
identificadas" puede ser un título más adecuado si no se realizan cambios.
Puede ver que este marco de incidencias proporciona un buen punto de partida para empezar a crear una estructura. Ciertas formas de ataque o incidencias
pueden requerir la ampliación de determinadas etapas. Por ejemplo, un evento de infracción de datos desde un dispositivo de almacenamiento perdido
puede no tener muchos pasos de erradicación, pero el proceso de recuperación pude ser más largo, con un mayor número de partes interesadas implicadas.
1. Continuidad del negocio: se basa en la capacidad de una organización para continuar funcionando a pesar de una incidencia. Puede implicar tener sitios
de copia de seguridad para hacerse cargo de la prestación de servicios o una tecnología de copia de seguridad para asumir la responsabilidad si se
produce un error general.
2. Recuperación tras desastre: se basa en la capacidad de una organización para recuperarse en caso de producirse un desastre. Un desastre de
ciberseguridad puede suponer el borrado de todos los sistemas de una organización o la eliminación de bases de datos completas. En este proceso de
planificación de recuperación, las organizaciones deben estar preparadas para comenzar prácticamente sin nada.
Tanto los procesos de planificación de continuidad como los de recuperación tienen altos niveles de superposición con otras funciones de seguridad. Si bien
antiguamente las preocupaciones se centraban principalmente en desastres naturales, como inundaciones, terremotos o incendios, cada vez resulta más
evidente que los ataques cibernéticos pueden ser igual o más perjudiciales que los desastres naturales. Mientras que para una organización multinacional es
extremadamente improbable que todos sus sitios se vean afectados por un corte de energía simultáneamente, resulta mucho más plausible que se produzca
un ataque cibernético que apague los servicios globales clave, como los archivos compartidos de una organización o sus sistemas de administración de
dominio.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 12/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Actividad
¡Es el momento de diseñar un plan personal de respuesta a incidencias! Seamos creativos y operativos. Imagine que su equipo portátil, sistema o tableta
tiene un error y ya no se enciende. ¿Cuál sería su proceso de respuesta?
Escriba su respuesta a cada pregunta en los cuadros. Sus respuestas son solo para usted y solo se guardan en este curso para usted. Asegúrese de hacer clic
en Guardar texto.
1. El primer paso podría ser identificar la situación. ¿Cómo diagnosticaría la causa del problema? ¿Intentaría hacer esto? ¿Con qué rapidez debería suceder?
2. El paso siguiente podría ser determinar las acciones necesarias para responder. ¿Tiene planificado reemplazar el dispositivo? ¿Dispone de algún
dispositivo de recambio que pueda introducir rápidamente?
Guardar texto
3. Un último paso podría ser reflexionar. ¿Cómo podría minimizar el impacto de esta situación si volviera a ocurrir en el futuro?
Guardar texto
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 13/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Introducción de la criptografía
15 Minutos
En esta lección, presentaremos el campo matemático de la criptografía. La criptografía es fundamental para comprender los conceptos vitales dentro de la
seguridad de la información y es algo que todos los profesionales de ciberseguridad deben dominar para tener éxito.
Al comienzo de este curso, ya expusimos que mantener la información como confidencial es una de los objetivos clave de la seguridad de la información.
Guardar y compartir secretos han sido retos que han existido durante miles de años. Si bien los métodos para lograrlo han cambiado significativamente a lo
largo de los años, los objetivos han seguido siendo prácticamente los mismos.
Hay tres propiedades clave que deben tenerse en cuenta para efectuar unas comunicaciones seguras de confianza.
Propiedad 1: Confidencialidad
Alice puede enviar un mensaje a Bob sin que Eve pueda entender su contenido. Esta propiedad significa que el mensaje es privado.
Propiedad 2: Autenticidad
Eve no puede enviar un mensaje a Bob haciéndose pasar por Alice. Esta propiedad se relaciona con el hecho de garantizar que la suplantación de identidad
sea imposible.
Propiedad 3: Integridad
Si Eve modifica un mensaje entre Alice y Bob, el receptor podrá identificar que el mensaje ha sido modificado. Es posible manipular los mensajes sin conocer
su contenido. Por ejemplo, las personas pueden hablar en voz alta para interrumpir una conversación presencial en un idioma que no entienden.
Estas tres propiedades se logran mediante una variedad de algoritmos matemáticos y otras técnicas. ¡Antiguamente, podrían ser cajas precintadas y sellos de
cera, pero para este curso, nos centraremos más en las opciones matemáticas!
Preferencias sobre cookies
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 14/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Cifrado
El cifrado es el proceso mediante el cual un mensaje se convierte en algo que no se puede entender, excepto para quien tenga una clave de descifrado para
revertir el proceso. Cuando un mensaje se ha convertido a un estado ilegible, se dice que está cifrado. A nivel general, hay dos formas de cifrado en uso para
el mundo actual: simétrico y asimétrico.
Cifrado simétrico
En el cifrado simétrico, el algoritmo para cifrar la información utiliza la misma clave que el proceso de descifrado. El cifrado simétrico es rápido y fácil de
implementar. Se basa en que tanto el remitente como el receptor tienen acceso a la misma clave, como una contraseña o "secreto compartido", para
mantener un enlace de información privada.
EJEMPLO
Un ejemplo simple es el cifrado basado en la rotación, donde los caracteres aumentan o disminuyen en un número fijo de posiciones en el alfabeto. El
número de posiciones para avanzar y retroceder actúa como la clave. Si el remitente está usando una clave de +1, los caracteres rotan hacia adelante 1
posición y el receptor luego usa una rotación de -1 para recibir el mensaje original. En este cifrado, la palabra "FIESTA" se cifra mediante un
desplazamiento +1 en el alfabeto, para pasar a ser "GJFTUB".
Los algoritmos en uso actualmente que siguen los modelos simétricos incluyen versiones del Estándar de cifrado avanzado (AES). ¡Es lo que probablemente
usa su navegador para ver esta página de forma segura!
Cifrado asimétrico
En el cifrado asimétrico, el proceso para cifrar la información utiliza una clave distinta para descifrar la información. Estas claves se conocen como claves
públicas y claves privadas. Se generan de forma simultánea. Cuando se genera una clave pública, puede compartirse con cualquier usuario. Cualquier
persona que tenga una copia de la clave pública puede cifrar un mensaje, que solo el titular de la clave privada podrá descifrar.
EJEMPLO
En este diagrama, Alice es el remitente y Bob es el receptor. Representa el proceso de transmisión. Alice cifra un mensaje mediante la clave pública de
Bob. Cuando el mensaje está cifrado, solo puede descifrarse usando la clave privada de Bob. El mensaje cifrado se envía a Bob. Bob puede descifrar el
mensaje utilizando su clave privada. Resulta esencial que Bob no comparta su clave privada con nadie, ya que de lo contrario, podrían leer todos sus
mensajes entrantes.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 15/20
25/8/22, 18:30 Fundamentos de ciberseguridad
La principal ventaja que ofrece el cifrado asimétrico es que las organizaciones pueden comunicarse de forma segura con una entidad con la que no han
intercambiado previamente una "clave". Además, puede garantizar que se está enviando un mensaje al destinatario correcto.
EJEMPLO
Una de las ventajas de la criptografía asimétrica puede ejemplificarse mediante las compras en línea. Los clientes pueden comprar productos en tiendas
sin tener que ir físicamente a la ubicación para crear una clave simétrica, única y compartida.
Si la criptografía simétrica fuera la única opción, la clave simétrica acordada debería usarse para cifrar y descifrar todas las transacciones futuras entre el
cliente y la tienda.
En comparación, usar la criptografía asimétrica es cómodo y ahorra tiempo, ya que no es necesario el encuentro presencial. Sin esta ventaja, sería
prácticamente imposible utilizar las compras en línea de manera segura.
Actividad
¡Una de las mejores maneras de aprender cosas acerca del cifrado es probarlo personalmente! La herramienta CyberChef
(https://gchq.github.io/CyberChef/) es un programa basado en la web escrito por la GCHQ (Central de Comunicación del Gobierno) del Reino Unido como
herramienta de ayuda en las operaciones de tratamiento de datos, como el cifrado. En CyberChef, un mensaje cifrado es el ingrediente para "hornear" una
receta, tras aplicar una serie de pasos. Siga estos pasos.
2. Copie y pegue este mensaje cifrado en el campo Input: ftue ue m fqef eqzfqzoq
3. En las operaciones etiquetadas de la navegación de la izquierda, desplácese hacia abajo para buscar la sección Encryption / Encoding y expandirla.
4. Seleccione y arrastre ROT13 al espacio vacío del cuadro Recipe. Esto significa que la herramienta rotará los caracteres del alfabeto hacia adelante 13
posiciones. La opción Auto Bake está habilitada de manera predeterminada, por lo que observará que el campo Output ha cambiado.
5. Ahora, haga clic en las flechas hacia arriba y hacia abajo en el campo Amount para ver el cambio de mensaje en el campo Output. Desea descifrar el
mensaje. Deténgase cuando encuentre un mensaje Output que tenga sentido como oración corta en inglés.
¿Cuál es el mensaje descifrado? Escriba su respuesta en el cuadro. Su respuesta es solo para usted y solo se guarda en este curso para usted. Asegúrese de
hacer clic en Guardar texto.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 16/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Cuando esté listo, haga clic aquí para ver el mensaje descifrado.
Visite esta página web de CyberChef
(https://gchq.github.io/CyberChef/#recipe=ROT13(true,true,true,14)&input=ZnR1ZSB1ZSBtIGZxZWYgZXF6ZnF6b3Eg) para comprobar su respuesta.
Tradicionalmente, en las operaciones militares, la inteligencia a menudo se percibe como un multiplicador de fuerza. Permite a un general usar los recursos
que tiene a su disposición para lograr su mayor impacto.
En esta lección, trataremos brevemente sobre cómo se benefician las organizaciones de estar al corriente de la inteligencia de amenazas y las fuentes que
usan comúnmente.
Fuente: Joint Doctrine Publication (JDP) 2-00: Understanding and intelligence support to joint operations
(https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/311572/20110830_jdp2_00_ed3_with_change1.pdf),
tercera edición, agosto de 2011
Posteriormente, la inteligencia de amenazas cibernéticas son datos recopilados y analizados por una organización para comprender los motivos y el
comportamiento de los ciberatacantes. Este es un subconjunto del panorama de la inteligencia, que exploraremos más a fondo.
Dentro de la ciberseguridad, la inteligencia generalmente se centra en las tácticas, técnicas y procedimientos (TTP) del atacante u otros indicadores de
compromiso (IOCs). ¿Qué significan estos términos?
• Tácticas son el "por qué", que significa el objetivo táctico del adversario o el motivo para realizar una acción. Por ejemplo, un adversario puede querer
aumentar sus privilegios.
• Técnicas son el "cómo", es decir, las formas en que un adversario logra un objetivo táctico realizando una acción. Por ejemplo, un adversario puede omitir
los controles de acceso para aumentar sus privilegios.
• Procedimientos son la implementación específica que el adversario utiliza para las técnicas. Por ejemplo, un adversario puede usar una herramienta o un
programa específico para aumentar sus privilegios.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 17/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Indicadores de compromiso (IOCs) son firmas relacionadas con la actividad del atacante. Por ejemplo, determinadas direcciones IP pueden estar
asociadas con grupos de amenazas o con ciertos archivos. La presencia de un IOC puede indicar que una organización ya ha quedado en riesgo en algún
momento, de ahí el nombre.
Provisión de una advertencia • Una ventaja clave de la inteligencia de amenazas es que permite a las organizaciones
prepararse para los ataques.
• Disponer de algún tipo de aviso previo para que las organizaciones puedan preparar mejor
sus defensas de cara a evitar que ocurra un ataque.
Provisión de indicadores de • La inteligencia de amenazas ayuda a las actividades de detección gracias a la provisión de
compromiso (IOCs) indicadores de compromiso.
• Un defensor dentro de una organización puede buscar estos signos y agregar reglas de
detección para alertar cuando se detecten.
Provisión de contexto • Si una organización descubre que ha sido atacada desde una ubicación o un grupo
desconocido, la organización puede usar fuentes de inteligencia para empezar a conocer al
atacante.
Aprendizaje a partir de • Hay algunas cosas que se aprenden mejor a partir de otras experiencias.
experiencias similares
• Las organizaciones pueden compartir información sobre cómo han sido atacadas por sus
atacantes, cómo se han defendido y qué efectividad han tenido sus enfoques.
• Estas historias compartidas son un método excelente para fortalecer a toda a la industria.
Plataformas de intercambio de • Existen varias plataformas en línea que permiten a los profesionales de la ciberseguridad
amenazas acceder a bases de datos de información y análisis recopilados.
• Pueden variar desde plataformas gratuitas hasta otras que se proporcionan bajo un modelo
de suscripción o en grupos sectoriales cerrados.
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 18/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Conferencias • Las conferencias son un buen método para que los profesionales de la seguridad
cibernética compartan los últimos avances en el sector.
Artículos y noticias • Algunos medios de comunicación dedican esfuerzos considerables a cubrir los desarrollos
en el mundo de las TI. Un ejemplo es Security Intelligence
(https://securityintelligence.com/).
• A medida que ciertos problemas de seguridad se han vuelto más importantes, la cantidad
de cobertura ha aumentado significativamente.
• También existe una buena colección de sitios más pequeños, además de los medios
tradicionales, destinados a un público más especializado. Entre los ejemplos de blogs se
incluye Krebs on Security (https://krebsonsecurity.com/) y Graham Cluley
(https://www.grahamcluley.com/).
Proveedores de productos • Organizaciones como Microsoft, Google y Apple, que producen una gran cantidad de
software, con frecuencia generan avisos de seguridad periódicos relacionados con sus
productos.
• Estos avisos pueden incluir información muy importante y son lecturas esenciales para los
administradores de sistemas.
Roles profesionales
Dentro del mundo de la inteligencia de amenazas cibernéticas, los roles profesionales generalmente se pueden dividir en dos áreas: producción e
interpretación.
• En el lado de la producción, hay una variedad de roles profesionales implicados en la recopilación y el enriquecimiento de la información. Algunos de estos
roles tienen un enfoque técnico, como los relacionados con el desarrollo de analizadores o rastreadores web, o la realización de análisis de software. Otros
roles pueden implicar más subterfugios y la infiltración en mercados y bandas criminales. Finalmente, hay roles involucrados en la traducción, el análisis
lingüístico y la psicometría (la ciencia de medir las capacidades y los procesos mentales). Todos estos roles recopilan información y producen inteligencia a
partir de ella.
• En el lado de la interpretación, a menos que el desarrollo de la inteligencia se realice internamente o de forma comisionada, es muy raro que la inteligencia
les diga a los analistas todo lo que a ellos les gustaría. Los analistas de seguridad pueden recibir varias advertencias relacionadas con una variedad de
temas. Posteriormente, deben revisar los descubrimientos y decidir las mejores acciones recomendables para llevar a cabo. La interpretación debe tener
en cuenta atributos organizativos únicos, como los requisitos de eficacia de la información confidencial o propia. ¡No hay un modelo único global!
Información clave
A modo de conclusión, la inteligencia de amenazas permite a las organizaciones actuar de manera sistemática y planificada en lugar de utilizar estimaciones
o confiar en estándares. Esto significa que las defensas han sido diseñadas para afrontar los ataques que experimentarán en lugar de diseñarse para cumplir
con un estándar sectorial o normativo. Esto es especialmente importante para las organizaciones que operan de forma compleja o anómala, para las cuales
las normativas a menudo son una orientación insuficiente.
Actividad
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 19/20
25/8/22, 18:30 Fundamentos de ciberseguridad
Supongamos que está en un equipo de seguridad y se
le ha pedido que presente un informe de inteligencia
de amenazas para resumir lo que ha sucedido en las
últimas 24 horas. Pruebe y busque información sobre
la plataforma IBM X-Force Exchange
(https://exchange.xforce.ibmcloud.com/).
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 20/20