CCT Dia #5

CTIA – ACADEMIA DE CIBERSEGURIDAD
Técnicas y
Herramientas
Threat Hunting
La caza de amenazas, o "Threat Hunting", es una estrategia proactiva en la ciberseguridad

que busca identificar y neutralizar amenazas antes de que causen daño. A diferencia de las
soluciones de seguridad tradicionales que reaccionan ante incidentes, la caza de amenazas se
anticipa a las amenazas potenciales.
Threat Hunting
Pasos de la Caza de Amenazas:
Hipótesis:
Todo comienza con una hipótesis sobre una posible amenaza. Esta hipótesis puede surgir de
la inteligencia de amenazas, patrones de comportamiento inusual o conocimiento sobre TTPs
(Tácticas, Técnicas y Procedimientos) de atacantes.
Recolección y Procesamiento de Datos:

Para validar o refutar una hipótesis, es esencial recopilar y procesar datos relevantes. Esto
puede incluir registros de servidores, logs de tráfico de red, registros de aplicaciones, entre
otros. Herramientas como SIEM pueden ser útiles en esta etapa para consolidar y analizar
estos datos.
Threat Hunting
Disparador (Trigger):
Si los datos recopilados respaldan la hipótesis, se puede identificar una anomalía o actividad
sospechosa que sirve como disparador para una investigación más profunda.
Investigación:
Una vez identificada la anomalía, se inicia una investigación detallada. Esto puede implicar el
rastreo de la actividad del atacante, identificar puntos de entrada, y determinar el alcance
del compromiso. Herramientas como EDR pueden ser cruciales en esta fase para obtener una
visión detallada de las actividades en los endpoints.
Respuesta/Resolución:
Una vez que se ha investigado y confirmado la amenaza, se toman medidas para contener y
neutralizar el ataque. Esto puede incluir la eliminación de malware, la restauración de
sistemas comprometidos y la implementación de medidas para prevenir futuros ataques
similares. Además, se documentan los hallazgos y se ajustan las defensas para mejorar la
postura de seguridad general.
Threat Hunting
Importancia de la Caza de Amenazas:
La caza de amenazas es esencial en el panorama actual de ciberseguridad debido a la

naturaleza avanzada y persistente de las amenazas. Los atacantes están utilizando técnicas
cada vez más sofisticadas y evasivas, lo que hace que la detección y prevención tradicionales
no sean suficientes. Al adoptar un enfoque proactivo, las organizaciones pueden identificar y
responder a las amenazas antes de que causen daño significativo.
Además, la caza de amenazas proporciona una comprensión más profunda de las tácticas y
técnicas de los atacantes, lo que permite a las organizaciones adaptar y fortalecer sus
defensas en consecuencia. Es una estrategia esencial para las organizaciones que buscan
mejorar su postura de seguridad y protegerse contra las amenazas cibernéticas avanzadas.
Tipos de Caza de Amenazas (Threat Hunting)
La caza de amenazas es una actividad proactiva que busca identificar amenazas antes de que
causen daño. Existen diferentes métodos de caza de amenazas, cada uno con un enfoque y
propósito específico:
Caza Basada en Datos (Data-driven Hunting):

Se basa en la observación y análisis de datos existentes, como registros y logs. Por ejemplo,
las organizaciones pueden revisar datos de DNS y registros de proxy para identificar
actividades sospechosas.
Caza Basada en Inteligencia (Intel-driven Hunting):

Utiliza feeds o datos de inteligencia de amenazas para anticipar y buscar amenazas. Es
esencial que las empresas tengan diferentes niveles de confianza en las fuentes de
inteligencia.
Caza Basada en Entidades (Entity-driven Hunting):

Se centra en activos de alto valor o entidades específicas dentro de una organización, como
servidores, cuentas privilegiadas y controladores de dominio. Esta caza prioriza la protección
de activos críticos.
Caza Basada en TTP (TTP-driven Hunting):

Se enfoca en entender y anticipar las tácticas, técnicas y procedimientos (TTPs) que los
atacantes podrían usar. Al comprender cómo operan los atacantes, las organizaciones
pueden anticipar y contrarrestar sus movimientos.
Caza Híbrida (Hybrid Hunting):

Combina varios de los enfoques anteriores para crear un método de caza más completo y
efectivo. Por ejemplo, un proceso que combina inteligencia sobre un ataque específico, con
conocimiento sobre TTPs y entidades objetivo, sería una forma de caza híbrida.
Características de la Caza de Amenazas:
Caza Previsora (Prescient hunting): Se centra en identificar amenazas inminentes, en lugar

de simplemente confiar en alertas automáticas.
Confiar en la Hipótesis: Los cazadores de amenazas no se basan únicamente en alertas

automáticas, sino que analizan datos, investigan basándose en hipótesis y crean nuevas
reglas basadas en sus hallazgos.
Seguir Rastros: Los cazadores de amenazas analizan sistemas comprometidos y rastros

dejados por atacantes. Siguen estos rastros para profundizar en su investigación.
Crear Nuevos Métodos: Los cazadores de amenazas no están limitados a reglas o métodos
existentes. Pueden innovar y adoptar nuevos enfoques para mantenerse un paso adelante de
los atacantes.
Modelo de Madurez de Caza de Amenazas (HMM)
El modelo de madurez de caza de amenazas (HMM) se define por la calidad y cantidad de

información recopilada de la red de la organización. Proporcionar más información a los
analistas ayudará en la investigación para encontrar amenazas existentes. El HMM se
describe en diferentes niveles según la cantidad de información recopilada desde el nivel 0
hasta el nivel 4.
Nivel 0: Inicial
En este nivel, los analistas confían en herramientas automatizadas de monitoreo y alerta
como SIEM, sistemas de detección de intrusiones (IDS) y soluciones antimalware para
detectar actividades maliciosas. Pueden integrar indicadores de inteligencia de amenazas y
actualizaciones de firmas, y hasta podrían construir sus propios indicadores; todos estos se
cargan directamente en sistemas de monitoreo para detectar amenazas. La eficiencia de
identificación de amenazas es limitada debido a la escasa recopilación de datos.
Nivel 1: Mínimo
En el nivel mínimo, las organizaciones utilizan inteligencia de amenazas para buscar
anomalías en la red, siguen los últimos informes de amenazas y utilizan herramientas de
código abierto para el análisis. Dependen de la recopilación rutinaria de datos de TI y datos
de inteligencia de amenazas.
Nivel 2: Procedural
En este nivel, las organizaciones adoptan procedimientos de análisis de datos creados por
otras entidades. Aunque pueden recopilar una gran cantidad de información, pueden no ser
capaces de crear sus propios procedimientos en cada ocasión.
Nivel 3: Innovador
En el nivel innovador, la organización cuenta con un grupo de analistas de seguridad que
conocen los programas de análisis de datos existentes. Estos analistas se encargan de
descubrir actividades maliciosas. Las organizaciones crean y aplican sus propios
procedimientos en este nivel.
Nivel 4: Líder
El nivel líder es similar al innovador, pero permite la automatización. Las organizaciones
automatizan la recopilación de datos, detección y procedimientos de análisis. Esto permite a
los analistas centrarse en mejorar los procedimientos existentes y crear nuevos, en lugar de
gastar tiempo en procesos rutinarios.
Consideraciones para la Caza de Amenazas
Para llevar a cabo la caza de amenazas, el analista necesita una gran cantidad de datos de
múltiples fuentes que contengan información histórica, registros de seguridad, feeds, etc. Los
cazadores de amenazas deben considerar las siguientes medidas para recopilar información y
cazar amenazas de manera efectiva.
Fusión de Inteligencia (Intelligence fusion):

La caza manual de amenazas puede realizarse investigando datos de registros y redes de
diferentes fuentes, lo cual puede ser una tarea tediosa. La fusión de inteligencia es un
enfoque para integrar la seguridad con la inteligencia de amenazas y otras fuentes de
inteligencia cibernética para aumentar la capacidad de detectar, gestionar y mitigar
amenazas en evolución. Es un enfoque presciente para abordar las posibles amenazas
cibernéticas identificando su impacto con anticipación.
Feeds de Amenazas (Threat feeds):

Los feeds de amenazas o feeds de inteligencia de amenazas son flujos en tiempo real
recopilados de ataques en tiempo real. Estos feeds incluyen indicadores de compromiso
(IoCs), indicadores de ataque (IoAs), amenazas potenciales, vulnerabilidades y riesgos
existentes. La información que se puede adquirir de un feed de amenazas incluye direcciones
IP, URLs maliciosas, URLs de phishing, firmas de malware, información de bots e indicadores
de ransomware.
Avisos y boletines (Advisories and bulletins):

Los avisos de seguridad y boletines son blogs o noticias informativas de proveedores o
especialistas en seguridad que proporcionan información sobre las últimas amenazas y
ataques de seguridad. Los boletines de seguridad publican los últimos ataques y amenazas
cibernéticas para todos los clientes documentando las amenazas y vectores de ataque con
sus efectos y técnicas de mitigación. Mientras que los avisos son parte del mismo equipo, no
publican sobre los ataques; más bien, abordan y proporcionan consejos sobre los cambios de
seguridad requeridos para el software utilizado por los clientes.
Maniobra (Maneuver):
Un atacante puede esperar programas de caza de amenazas e intentar evadir métodos de
detección implementando contramedidas contra el cazador de amenazas. Una maniobra es
una técnica utilizada en la guerra cibernética que se basa en el conocimiento de algunos
ataques recientes y la naturaleza de esos ataques. La maniobra está entre las técnicas y
procedimientos utilizados para tomar represalias y proteger los recursos de TI, ya que se
inicia para dar a un actor una ventaja competitiva sobre otro actor.
Herramientas para la Caza de Amenazas
Las herramientas de caza de amenazas monitorean proactivamente una red o sistema en

busca de amenazas inminentes y proporcionan alertas de comportamientos anormales y
soluciones para abordar las amenazas con anticipación. Estas herramientas están integradas
con todos los recursos necesarios para cazar amenazas de manera efectiva.
MVISION EDR
Fuente: McAfee
Descripción: MVISION EDR es una herramienta de investigación de amenazas basada en IA
que ayuda a los analistas de seguridad a priorizar rápidamente las amenazas y minimizar la
interrupción potencial. La herramienta reduce el tiempo para detectar y responder a
amenazas. Facilita la detección de amenazas de alta calidad y accionables en todo el espacio
de trabajo sin ruido.
Algunas herramientas adicionales de caza de amenazas incluyen:
Cognito Recall
Fuente: Vectra
Descripción: Cognito Recall es una solución que proporciona visibilidad detallada del
comportamiento de la red, permitiendo a los cazadores de amenazas investigar incidentes y
buscar amenazas persistentes.
Infocyte
Fuente: Infocyte
Descripción: Infocyte es una plataforma diseñada para la detección y respuesta de amenazas,
facilitando la identificación rápida de amenazas en tiempo real y la respuesta a incidentes.
Exabeam
Fuente: Exabeam
Descripción: Exabeam es una plataforma de gestión de seguridad de la información y eventos (SIEM)
que utiliza análisis de comportamiento para detectar y responder a amenazas.
ValueMentor
Fuente: ValueMentor
Descripción: ValueMentor es una empresa de ciberseguridad que ofrece una variedad de servicios,
incluida la caza de amenazas, para ayudar a las organizaciones a protegerse contra amenazas
avanzadas.
FlowTraq
Fuente: FlowTraq
Descripción: FlowTraq es una solución de análisis de tráfico de red que proporciona visibilidad
completa del tráfico de red y permite a los cazadores de amenazas identificar patrones anómalos.
Inteligencia de Amenazas Cibernéticas (CTI)
De acuerdo con el diccionario Oxford, una amenaza se define como "[l]a posibilidad de un
intento malicioso de dañar o interrumpir una red o sistema informático". Una amenaza es
una posible ocurrencia de un evento no deseado que puede dañar e interrumpir las
actividades operativas y funcionales de una organización. Una amenaza puede afectar los
factores de integridad y disponibilidad de una organización. El impacto de las amenazas es
muy alto y puede afectar la existencia de los activos físicos de TI en una organización. La
existencia de amenazas puede ser accidental, intencional o debido al impacto de alguna otra
acción.
La inteligencia de amenazas, comúnmente conocida como CTI, se define como la recopilación

y análisis de información sobre amenazas y adversarios y la identificación de patrones que
proporcionan la capacidad de tomar decisiones informadas para las acciones de preparación,
prevención y respuesta contra diversos ciberataques. Es el proceso de reconocer o descubrir
cualquier "amenaza desconocida" a la que una organización pueda enfrentarse para que se
puedan aplicar los mecanismos de defensa necesarios para evitar tales ocurrencias. Implica
recopilar, investigar y analizar tendencias y desarrollos técnicos en el campo de las amenazas
cibernéticas (es decir, cibercrimen, hacktivismo, espionaje, etc.). Cualquier conocimiento
sobre amenazas que resulte en la planificación y toma de decisiones en una organización
para manejarlo es una Inteligencia de Amenaza.
El principal objetivo de la CTI es hacer que la organización esté al tanto de las amenazas
existentes o emergentes y prepararla para desarrollar una postura de seguridad cibernética
proactiva con anticipación antes de que estas amenazas puedan explotarlas. Este proceso,
donde las amenazas desconocidas se convierten en posiblemente conocidas, ayuda a
anticipar el ataque antes de que pueda ocurrir y, en última instancia, resulta en un sistema
mejor y más seguro en la organización. Por lo tanto, la Inteligencia de Amenaza es útil para
lograr el intercambio y las transacciones de datos seguros entre organizaciones a nivel
mundial.
El proceso de inteligencia de amenazas puede utilizarse para identificar los factores de riesgo
responsables de ataques de malware, inyecciones SQL, ataques a aplicaciones web,
filtraciones de datos, phishing, ataques de denegación de servicio, etc. Estos riesgos, una vez
filtrados, pueden ser incluidos en una lista de verificación y manejados adecuadamente. La
inteligencia de amenazas es beneficiosa para una organización para manejar amenazas
cibernéticas con una planificación y ejecución efectivas, junto con un análisis exhaustivo de la
amenaza; también fortalece el sistema de defensa de la organización, crea conciencia sobre
los riesgos inminentes y ayuda a responder contra dichos riesgos.
Tipos de Inteligencia de Amenazas Cibernéticas
Inteligencia de Amenazas Estratégicas

La inteligencia de amenazas estratégicas proporciona información de alto nivel sobre la
postura de ciberseguridad, amenazas, detalles sobre el impacto financiero de diversas
actividades cibernéticas, tendencias de ataques y el impacto de decisiones empresariales de
alto nivel. Esta información es consumida por ejecutivos de alto nivel y la dirección de la
organización, como la gestión de TI y el CISO. Ayuda a la dirección a identificar riesgos
cibernéticos actuales, riesgos futuros desconocidos, grupos de amenazas y atribución de
violaciones. La inteligencia obtenida proporciona una visión basada en el riesgo que se centra
principalmente en conceptos de alto nivel de riesgos y su probabilidad. Se centra
principalmente en problemas a largo plazo y proporciona alertas en tiempo real de amenazas
en activos críticos de la organización, como infraestructura de TI, empleados, clientes y
aplicaciones. Esta inteligencia es utilizada por la dirección para tomar decisiones
empresariales estratégicas y analizar el efecto de tales decisiones. Basándose en el análisis, la
dirección puede asignar un presupuesto y personal suficientes para proteger los activos
críticos de TI y los procesos empresariales. Esta inteligencia se recopila de fuentes como
OSINT, proveedores de CTI y ISAO/ISACs.
Inteligencia de Amenazas Tácticas

La inteligencia de amenazas tácticas juega un papel importante en la protección de los
recursos de la organización. Proporciona información relacionada con las TTP utilizadas por
los actores de amenazas (atacantes) para realizar ataques. La inteligencia de amenazas
tácticas es consumida por profesionales de ciberseguridad como gerentes de servicios de TI,
gerentes de operaciones de seguridad, personal del centro de operaciones de red (NOC),
administradores y arquitectos. Ayuda a los profesionales de ciberseguridad a comprender
cómo se espera que los adversarios realicen el ataque en la organización, identificar la fuga
de información de la organización y las capacidades técnicas y objetivos de los atacantes
junto con los vectores de ataque. Utilizando la inteligencia de amenazas tácticas, el personal
de seguridad desarrolla estrategias de detección y mitigación con anticipación al actualizar
productos de seguridad con indicadores identificados, parchear sistemas vulnerables, etc. Las
fuentes de recolección para la inteligencia de amenazas tácticas incluyen informes de
campañas, malware, informes de incidentes, informes de grupos de ataque, inteligencia
humana, etc.
Inteligencia de Amenazas Operacionales

La inteligencia de amenazas operacionales proporciona información sobre amenazas
específicas contra la organización. Proporciona información contextual sobre eventos y
incidentes de seguridad que ayudan a los defensores a revelar riesgos potenciales,
proporcionar una mayor visión de las metodologías de los atacantes, identificar actividades
maliciosas pasadas y realizar investigaciones sobre actividades maliciosas de manera más
eficiente. Es consumida por gerentes de seguridad o jefes de respuesta a incidentes,
defensores de redes, seguridad forense y equipos de detección de fraude. Ayuda a las
organizaciones a comprender los posibles actores de amenazas y su intención, capacidad y
oportunidad de ataque, activos de TI vulnerables y el impacto del ataque si tiene éxito. En
muchos casos, solo las organizaciones gubernamentales pueden recopilar este tipo de
inteligencia, que también ayuda a los equipos de IR y forenses a desplegar activos de
seguridad con el objetivo de identificar y detener ataques próximos, mejorar la capacidad de
detectar ataques en una etapa temprana y reducir su daño en los activos de TI. La
inteligencia de amenazas operacionales se recopila generalmente de fuentes como humanos,
redes sociales y salas de chat, y también de actividades y eventos del mundo real que
resultan en ciberataques.
Inteligencia de Amenazas Técnicas

La inteligencia de amenazas técnicas proporciona información sobre los recursos de un
atacante que se utilizan para realizar el ataque; esto incluye canales de comando y control,
herramientas, etc. Tiene una vida útil más corta en comparación con la inteligencia de
amenazas tácticas y se centra principalmente en un IoC específico. Proporciona distribución y
respuesta rápidas a las amenazas. Por ejemplo, un malware utilizado para realizar un ataque
es inteligencia de amenazas tácticas, mientras que los detalles relacionados con la
implementación específica del malware caen bajo la inteligencia de amenazas técnicas. Otros
ejemplos de inteligencia de amenazas técnicas incluyen direcciones IP específicas y dominios
utilizados por puntos finales maliciosos, encabezados de correos electrónicos de phishing,
sumas de comprobación de hash de malware, etc. La inteligencia de amenazas técnicas es
consumida por el personal de SOC y los equipos de IR. Los indicadores de la inteligencia de
amenazas técnicas se recopilan de campañas activas, ataques que se realizan en otras
organizaciones o feeds de datos proporcionados por terceros externos.
Capas de Inteligencia de Amenazas
La inteligencia de amenazas se organiza y se entrega en diferentes capas para satisfacer las

diversas necesidades de las organizaciones y los profesionales de seguridad. Estas capas
ayudan a las organizaciones a comprender y consumir la inteligencia de amenazas de manera
más efectiva. Las capas de inteligencia de amenazas son:
Fuentes Abiertas (OSINT)

Descripción: La Inteligencia de Fuentes Abiertas se refiere a la información que se recopila de fuentes
públicamente disponibles, como blogs, foros, informes y noticias.
Proveedores: Comunidades de investigación, blogs de seguridad, informes de seguridad publicados,
medios de comunicación.
Uso: Ideal para obtener una visión general de las amenazas emergentes, tendencias y técnicas de
ataque.
Inteligencia Comercial
Descripción: Estos proveedores ofrecen soluciones de inteligencia de amenazas basadas en sus
propias investigaciones y análisis. A menudo, esta inteligencia es más detallada y específica que
OSINT.
Proveedores: Empresas de seguridad cibernética, proveedores de soluciones de inteligencia de
amenazas.
Uso: Ideal para organizaciones que buscan información detallada y actualizada sobre amenazas
específicas y técnicas de ataque.
Inteligencia Gubernamental
Descripción: La inteligencia proporcionada por agencias gubernamentales se basa en la
recopilación y análisis de amenazas que pueden afectar a la seguridad nacional o económica.
Proveedores: Agencias de inteligencia gubernamentales, organismos de aplicación de la ley.
Uso: Especialmente útil para organizaciones críticas y sectores de infraestructura esencial.
Inteligencia de la Comunidad
Descripción: Esta capa se refiere a la inteligencia compartida dentro de comunidades
específicas, como industrias o grupos de interés.
Proveedores: Grupos de intercambio de información sobre amenazas (TIPs), asociaciones
industriales, foros de discusión especializados.
Uso: Ideal para organizaciones que buscan información relevante para su industria o sector
específico.
Consideraciones al Elegir un Proveedor de Inteligencia de Amenazas:
Relevancia: La inteligencia proporcionada debe ser relevante para la industria, región y

tamaño de la organización.
Actualización: La frecuencia con la que se actualiza la inteligencia y la rapidez con la que se
identifican las nuevas amenazas.
Integración: La capacidad del proveedor para integrarse con las herramientas y sistemas
existentes de la organización.
Soporte y Capacitación: El nivel de soporte ofrecido por el proveedor y si ofrecen
capacitación para ayudar a las organizaciones a utilizar la inteligencia de manera efectiva.
Inteligencia de Amenazas en Tiempo Real (Feeds de Inteligencia de Amenazas)
Los feeds de inteligencia de amenazas (TI feeds) son flujos continuos de datos empaquetados
relacionados con amenazas potenciales o actuales para una organización. Estos feeds son
esenciales para mantener a las organizaciones informadas sobre las amenazas emergentes y
actuales en tiempo real.
Usos de los TI Feeds:
Integración con herramientas de seguridad: Por ejemplo, algunos firewalls pueden aceptar
feeds y bloquear automáticamente direcciones IP maliciosas.
Generación de alertas: Herramientas como SIEM y UEBA pueden correlacionar datos de TI
feeds con eventos de seguridad internos para generar alertas.
Revisión manual: Los analistas de seguridad pueden revisar los feeds para investigar
amenazas que parezcan relevantes para la postura de seguridad de la organización.
Factores a considerar antes de obtener TI Feeds:
Infraestructura de red.
Postura de seguridad actual.
Finanzas disponibles para implementar inteligencia de amenazas.
Capacidad de gestión de inteligencia de amenazas.
Si la información es suficiente para construir una estrategia sólida para la organización.
Fuentes de TI Feeds:
Feeds públicamente disponibles: Estos feeds son de acceso libre y se pueden encontrar en
Internet. Ejemplos incluyen SHODAN, Threat Connect, Virus Total, entre otros.
Proveedores comerciales: Estos feeds suelen ser de pago y son proporcionados por
organizaciones especializadas. Ejemplos incluyen Microsoft Cyber Trust Blog, SecureWorks
Blog, Kaspersky Blog, entre otros.
Ejemplo de proveedores de TI Feeds gratuitos y de código abierto:
threatfeeds.io: Es un proveedor de inteligencia de amenazas gratuito y de código abierto que

ofrece feeds y fuentes populares. También proporciona enlaces para descargas directas y
resúmenes en vivo.
Otros proveedores incluyen IPSpamList, Darklist, SSL BL, entre otros.
Ejemplo de proveedores de TI Feeds gubernamentales:
Automated Indicator Sharing (AIS): Proporcionado por el Departamento de Seguridad

Nacional de EE. UU., permite el intercambio de indicadores de amenazas cibernéticas entre el
gobierno federal y el sector privado a velocidad de máquina.
Otros proveedores gubernamentales incluyen el Departamento de Defensa Cyber Crime
Center (DC3), US-CERT, ENISA, entre otros.
Fuentes de Inteligencia de Amenazas
Las fuentes de inteligencia son esenciales para diseñar un sistema de inteligencia eficiente.
Estas fuentes proporcionan una gran cantidad de información a los analistas para identificar
amenazas potenciales y en evolución, permitiendo a una organización tomar decisiones
estratégicas a tiempo.
Algunas de las fuentes de recolección de inteligencia incluyen:
Inteligencia de Fuentes Abiertas (OSINT): Información recopilada de fuentes públicamente

disponibles. Ejemplos de fuentes OSINT incluyen medios de comunicación, internet, datos
gubernamentales públicos, publicaciones académicas, entre otros.
Inteligencia Humana (HUMINT): Información recolectada a través de la comunicación

interpersonal. Los ejemplos incluyen personal de defensa extranjera, diplomáticos
acreditados, ONGs, prisioneros de guerra, entre otros.
Inteligencia de Señales (SIGINT): Involucra la recopilación de información interceptando

señales. Subcategorías incluyen Inteligencia de Comunicación (COMINT), Inteligencia
Electrónica (ELINT) e Inteligencia de Señales de Instrumentación Extranjera (FISINT).
Inteligencia Técnica (TECHINT): Información recolectada de equipos del adversario o

material enemigo capturado. Ejemplos incluyen equipos extranjeros, sistemas de armas
extranjeras, satélites, entre otros.
Inteligencia de Medios Sociales (SOCMINT): Información recolectada de sitios de redes

sociales y otras fuentes de medios sociales. Ejemplos incluyen Facebook, LinkedIn, Twitter,
entre otros.
Contrainteligencia Cibernética (CCI): Utilizada como mecanismo de seguridad para proteger

a la organización contra las operaciones de inteligencia del adversario. Se divide en CCI
defensiva y CCI ofensiva.
Indicadores de Compromiso (IoCs): Son los artefactos de incidentes de seguridad de red.

Representan amenazas de seguridad y brechas como hashes de malware, ataques DNS,
firmas de virus, entre otros.
Asociación de la Industria y Comunidades Verticales: Comunidades que comparten recursos

y datos dentro de su sector empresarial.
Fuentes Comerciales: Proveedores que hacen disponibles comercialmente los feeds y otros
tipos de datos de inteligencia a las organizaciones. Ejemplos incluyen FortiGuard,
SecureWorks, Cisco, entre otros.
Gobierno y Fuentes de Aplicación de la Ley: Departamentos gubernamentales y de

aplicación de la ley que facilitan funciones que pueden requerir compartir datos con las
organizaciones. Ejemplos incluyen US-CERT, ENISA, FBI Cyber Crime, entre otros.
Búsqueda en la Deep Web y Dark Web
La web superficial o Surface Web es la capa visible del ciberespacio que permite al usuario
encontrar páginas web y contenido utilizando navegadores web convencionales. Sin
embargo, más allá de esta capa superficial, existen regiones más profundas y ocultas del
ciberespacio conocidas como Deep Web y Dark Web.
Deep Web: Es una capa del ciberespacio que consiste en páginas web y contenido que están
ocultos y no indexados. A diferencia de la Surface Web, el contenido de la Deep Web no
puede ser localizado usando un navegador web tradicional. La Deep Web es vasta y se
extiende a casi todo el World Wide Web. Esta capa incluye bases de datos gubernamentales,
archivos académicos, foros privados y otros recursos que no están disponibles para el público
general. Aunque la Deep Web es inmensa, no toda ella es nefasta; gran parte de ella consiste
en bases de datos y recursos legítimos.
Dark Web: Es una subcapa de la Deep Web donde las actividades se llevan a cabo de forma
anónima. Es conocida por ser un refugio para actividades ilegales, incluyendo la venta de
drogas, armas, datos robados y otros bienes y servicios ilícitos. La Dark Web sólo puede ser
accedida a través de herramientas especializadas que permiten el anonimato, como el
navegador Tor.
Herramientas para la búsqueda en la Deep Web y Dark Web:
Tor Browser: Es el navegador más popular para acceder a la Dark Web. Proporciona anonimato al rebotar la
dirección IP del usuario a través de varios servidores antes de interactuar con la web. Permite a los usuarios
acceder a contenido oculto, sitios web no indexados y bases de datos cifradas presentes en la Deep Web y Dark
Web.
ExoneraTor: Una herramienta que permite a los usuarios consultar si una dirección IP estuvo involucrada en la
red Tor en una fecha específica.
Freenet: Una plataforma de comunicación resistente a la censura que permite a los usuarios publicar y
compartir archivos de forma anónima.
GNUnet: Una red de pares segura que ofrece privacidad a sus usuarios.
I2P (Invisible Internet Project): Una red anónima que permite a los usuarios enviar mensajes, participar en
foros y acceder a sitios web de forma anónima.
OneSwarm: Una herramienta de intercambio de archivos peer-to-peer que ofrece privacidad a sus usuarios.
IA y Análisis Predictivo para la Caza de Amenazas
La caza de amenazas en el ciberespacio ha evolucionado con el tiempo, y con la introducción

de la Inteligencia Artificial (IA) y el Aprendizaje Automático (ML, por sus siglas en inglés), la
capacidad de predecir y contrarrestar amenazas ha alcanzado nuevos niveles.
Inteligencia Artificial (IA) y Aprendizaje Automático (ML): Estas tecnologías no solo mejoran
las operaciones en los Centros de Operaciones de Seguridad (SOCs) para detectar y prevenir
amenazas, sino que también aceleran la capacidad de respuesta ante incidentes de
seguridad. La IA permite crear sistemas con capacidades similares a las humanas, mientras
que el ML, una subcategoría de la IA, apoya la infraestructura de seguridad detectando
patrones de comportamiento y mapeando superficies de ataque en tiempo real a través de
algoritmos derivados de análisis estadísticos y conjuntos de datos previos.
Análisis Predictivo respaldado por IA: En lugar de adoptar un enfoque reactivo, el análisis
predictivo impulsado por IA permite a las organizaciones ser proactivas. Al utilizar
inteligencia de amenazas basada en IA, los equipos de seguridad pueden analizar los signos
de ataques anteriores, examinar las herramientas de ataque existentes y identificar posturas
de brecha. Al realizar un análisis predictivo a través de la inteligencia respaldada por IA, se
pueden tomar medidas reactivas con anticipación, permitiendo que los equipos de seguridad
estén un paso adelante de los atacantes.
IA y ML con capacidades de detección de riesgos: Estas tecnologías pueden predecir riesgos

o amenazas con anticipación, algo que puede ser desafiante para los humanos y los sistemas
de seguridad basados en reglas. Al combinar la capacidad de la IA para procesar grandes
cantidades de datos con la habilidad del ML para aprender y adaptarse a nuevos patrones, las
organizaciones pueden identificar amenazas emergentes y adaptar sus defensas en
consecuencia.
Frameworks de Inteligencia de Amenazas
MISP - Plataforma de Inteligencia de Amenazas de Código Abierto
Fuente: MISP Project

Descripción: MISP es una plataforma de inteligencia de amenazas de código abierto diseñada
para compartir, almacenar y correlacionar Indicadores de Compromiso (IoCs) de ataques
dirigidos, inteligencia de amenazas, información de fraude financiero, información de
vulnerabilidad o incluso información contra el terrorismo. MISP se utiliza en múltiples
organizaciones no solo para almacenar, compartir y colaborar en indicadores de
ciberseguridad y análisis de malware, sino también para utilizar los IoCs e información para
detectar y prevenir ataques o amenazas contra infraestructuras TIC, organizaciones o
personas.
TC Identify TM
Fuente: ThreatConnect
Descripción: TC Identify TM es una plataforma que permite a las organizaciones identificar,
gestionar y bloquear amenazas. Proporciona una visión unificada de las amenazas y los
actores, y permite la colaboración en tiempo real entre equipos de seguridad.
Yeti
Fuente: Yeti Platform
Descripción: Yeti es una plataforma diseñada para organizar observables, indicadores y
conocimientos sobre amenazas en una única estructurada base de datos. Yeti permite a los
analistas y operadores de seguridad colaborar y compartir sus conocimientos para detectar y
responder a amenazas.
ThreatStream
Fuente: Anomali
Descripción: ThreatStream es una plataforma de inteligencia de amenazas que combina la
inteligencia de amenazas avanzada con la colaboración en una solución integrada. Ayuda a las
organizaciones a identificar y responder a las amenazas más relevantes.
IBM X-Force Exchange

Fuente: IBM X-Force Exchange
Descripción: IBM X-Force Exchange es una plataforma de intercambio de inteligencia de amenazas
basada en la nube que permite a los usuarios investigar amenazas, colaborar con sus pares y tomar
medidas correctivas.
IntelMQ
Fuente: ENISA
Descripción: IntelMQ es una solución para la recopilación y procesamiento de datos de seguridad. Es
una herramienta para CERTs (Computer Emergency Response Teams) para recopilar datos y mejorar
la situación de la ciberseguridad dentro de una organización.
Estándares y Formatos para Compartir Inteligencia de Amenazas
Para un intercambio efectivo de inteligencia, es necesario el uso de estándares y formatos

comunes. El uso de formatos de datos estándar para el intercambio de indicadores de
amenazas mejora la interoperabilidad y respalda la diseminación oportuna de la inteligencia.
A continuación, se describen algunos de los estándares y formatos importantes utilizados en
la compartición de inteligencia de amenazas
CybOX
Fuente: CybOX Project
Descripción: CybOX permite a las organizaciones compartir indicadores y detecciones de
ataques a redes informáticas entrantes en un formato estándar. La Expresión Observable
Cibernética (CybOXTM) es un lenguaje estandarizado para codificar y comunicar información
de alta fidelidad sobre observables cibernéticos. CybOX es flexible y apunta a soportar una
amplia gama de dominios de ciberseguridad relevantes, como inteligencia de amenazas,
caracterización de malware, operaciones de seguridad, respuesta a incidentes, intercambio
de indicadores, y forense digital.
STIX
Fuente: STIX Project
Descripción: STIX (Structured Threat Information Expression) es un lenguaje y formato de
serialización utilizado para intercambiar inteligencia de amenazas cibernéticas (CTI). Permite
a las organizaciones compartir CTI de manera consistente y legible por máquina. STIX está
diseñado para mejorar muchas capacidades diferentes, como el análisis colaborativo de
amenazas, el intercambio automático de amenazas, la detección y respuesta automatizadas,
y más.
TAXII
Fuente: TAXII Project
Descripción: TAXII (Trusted Automated Exchange of Intelligence Information) es un protocolo
de capa de aplicación para la comunicación de información de amenazas cibernéticas de
manera simple y escalable. Es un protocolo utilizado para intercambiar CTI a través de HTTPS.
TAXII define dos servicios principales para soportar una variedad de modelos de compartición
comunes:
Colección: Una interfaz para un repositorio lógico de objetos CTI proporcionados por un
Servidor TAXII.
Canal: Mantenido por un Servidor TAXII, un canal permite a los productores empujar datos a
muchos consumidores y a los consumidores recibir datos de muchos productores.
Investigación de Vulnerabilidades
La investigación de vulnerabilidades es un proceso esencial en el ámbito de la ciberseguridad.

Se centra en descubrir las vulnerabilidades y fallos de diseño que podrían exponer un sistema
operativo y sus aplicaciones a explotaciones, ataques o mal uso. A continuación, se detallan
las razones y métodos asociados con la investigación de vulnerabilidades:
Importancia de la Investigación de Vulnerabilidades para un Administrador:
Información sobre Tendencias de Seguridad: Mantenerse informado sobre las últimas

tendencias de seguridad, amenazas recién descubiertas, superficies de ataque y técnicas de
ataque.
Identificación de Debilidades: Detectar debilidades en el sistema operativo y las aplicaciones
antes de que ocurra un ataque, permitiendo tomar medidas preventivas.
Prevención de Problemas de Seguridad: Comprender y utilizar la información que ayuda a
prevenir problemas de seguridad.
Recuperación de Ataques: Estar preparado con estrategias y soluciones para recuperarse
rápidamente de un ataque a la red.
Métodos de Investigación de Vulnerabilidades:
Descubrimiento de Fallos de Diseño: Identificar fallos en el diseño del sistema y debilidades

que podrían permitir a los atacantes comprometer un sistema.
Mantenerse Actualizado: Estar al tanto de los nuevos productos y tecnologías, y leer noticias
relacionadas con explotaciones actuales.
Sitios Web de Hacking: Visitar sitios web de hacking en la Deep Web y Dark Web para
conocer vulnerabilidades y explotaciones recién descubiertas.
Alertas de Seguridad: Estar atento a las alertas recién publicadas sobre innovaciones
relevantes y mejoras de productos para sistemas de seguridad.
Clasificación de Vulnerabilidades:
Los expertos en seguridad y los escáneres de vulnerabilidades suelen clasificar las

vulnerabilidades según:
Nivel de Gravedad: Puede ser bajo, medio o alto, dependiendo del impacto potencial de la
vulnerabilidad.
Rango de Explotación: Determinar si la vulnerabilidad puede ser explotada localmente (en la
misma red o dispositivo) o de forma remota (a través de Internet).
Recursos para la Investigación de Vulnerabilidades
La investigación de vulnerabilidades es esencial para mantenerse al día con las últimas

amenazas y vulnerabilidades que pueden afectar a los sistemas y aplicaciones. Hay una serie
de recursos en línea que ofrecen información actualizada y detallada sobre vulnerabilidades,
exploits y amenazas de seguridad.
Microsoft Vulnerability Research (MSVR): https://www.microsoft.com

Ofrece información sobre vulnerabilidades relacionadas con productos de Microsoft y
proporciona parches y soluciones.
Dark Reading: https://www.darkreading.com
Proporciona noticias, análisis y opiniones sobre amenazas y vulnerabilidades de seguridad.
SecurityTracker: https://securitytracker.com
Rastrea y notifica sobre vulnerabilidades y exposiciones de seguridad.
Trend Micro: https://www.trendmicro.com
Ofrece investigaciones y análisis sobre amenazas y vulnerabilidades emergentes.
Security Magazine: https://www.securitymagazine.com
Publica artículos sobre tendencias de seguridad y mejores prácticas.
PenTest Magazine: https://pentestmag.com
Se centra en pruebas de penetración y técnicas de hacking ético.
SC Magazine: https://www.scmagazine.com
Proporciona noticias y análisis sobre ciberseguridad.
Exploit Database: https://www.exploit-db.com
Una base de datos de exploits y vulnerabilidades conocidas.
SecurityFocus: https://www.securityfocus.com
Ofrece noticias, discusiones y una base de datos de vulnerabilidades.
Help Net Security: https://www.helpnetsecurity.com
Publica noticias, análisis y opiniones sobre seguridad informática.
HackerStorm: http://www.hackerstorm.co.uk
Proporciona herramientas y recursos para la investigación de vulnerabilidades.
Computerworld: https://www.computerworld.com
Ofrece noticias y análisis sobre tecnología y ciberseguridad.
Evaluación de Vulnerabilidad Explicada
Una evaluación de vulnerabilidad es una revisión sistemática de las debilidades de seguridad

en un sistema de información. Evalúa si el sistema es susceptible a cualquier vulnerabilidad
conocida, asigna niveles de gravedad a esas vulnerabilidades y recomienda correcciones o
mitigaciones, si es necesario y cuando sea necesario.
Puntos Clave de la Evaluación de Vulnerabilidad:
Propósito: El objetivo principal es identificar puntos potenciales donde un atacante podría

ingresar al sistema o los datos podrían salir del sistema sin la autorización adecuada.
Alcance: Puede llevarse a cabo en cualquier aplicación de software, sistema o red. Sin
embargo, el alcance está definido por las necesidades de la organización, que podrían variar
desde una sola aplicación hasta toda la red de la organización.
Metodología: Las evaluaciones de vulnerabilidad a menudo utilizan herramientas

automatizadas, como escáneres de vulnerabilidad, para identificar vulnerabilidades
conocidas. Estas herramientas comparan el estado actual del sistema con bases de datos de
vulnerabilidades conocidas (como el índice CVE).
Resultado: El resultado suele ser un informe que enumera las vulnerabilidades encontradas,
su gravedad y soluciones potenciales o estrategias de mitigación.
Frecuencia: Las evaluaciones de vulnerabilidad deben realizarse regularmente para detectar

vulnerabilidades recién descubiertas en el sistema o el entorno.
Limitaciones de la Evaluación de Vulnerabilidad:
Aunque las evaluaciones de vulnerabilidad son cruciales, tienen ciertas limitaciones:
Instantánea en el Tiempo: Las evaluaciones de vulnerabilidad proporcionan una instantánea

de las vulnerabilidades presentes en un momento específico. Pueden surgir nuevas
vulnerabilidades y las antiguas pueden ser corregidas, haciendo que la evaluación quede
desactualizada.
Dependencia de Actualizaciones: La efectividad de las herramientas de evaluación de

vulnerabilidad depende de la frecuencia con la que se actualizan. Como se descubren nuevas
vulnerabilidades a diario, las herramientas que no se actualizan pueden perder estas.
Falsos Positivos/Negativos: Ninguna herramienta es perfecta. Puede haber casos en los que
se señalen vulnerabilidades que no representan una verdadera amenaza (falsos positivos) o
se pasen por alto vulnerabilidades reales (falsos negativos).
Falta de Contexto: Las herramientas automatizadas pueden no entender el contexto

empresarial. Una vulnerabilidad puede ser calificada como de baja gravedad por la
herramienta, pero podría tener implicaciones significativas para un proceso empresarial
particular.
No mide la fortaleza: Las evaluaciones de vulnerabilidad identifican debilidades, pero no

necesariamente miden la fortaleza o efectividad de los controles de seguridad existentes.
Elemento Humano: Si bien las herramientas pueden identificar vulnerabilidades, se necesita

juicio humano para interpretar, validar y priorizar estos hallazgos. La experiencia y
experiencia del evaluador juegan un papel crucial en esto.
Vulnerabilidades de la Herramienta: Irónicamente, las herramientas de evaluación de

vulnerabilidad mismas pueden tener vulnerabilidades. Si no están debidamente aseguradas,
pueden convertirse en un objetivo.
Información Obtenida del Escaneo de Vulnerabilidades
Los escáneres de vulnerabilidades son capaces de identificar la siguiente información:
Versión del Sistema Operativo: Pueden detectar qué versión del sistema operativo está en
funcionamiento en computadoras o dispositivos.
Puertos IP y TCP/UDP: Identifican puertos que están escuchando o abiertos.
Aplicaciones Instaladas: Enumeran las aplicaciones que están instaladas en las

computadoras.
Cuentas con Contraseñas Débiles: Detectan cuentas que tienen contraseñas que pueden ser
fácilmente adivinadas o que no cumplen con las políticas de seguridad.
Información Obtenida del Escaneo de Vulnerabilidades
Archivos y Carpetas con Permisos Débiles: Identifican directorios y archivos que tienen
configuraciones de permisos inseguras.
Servicios y Aplicaciones Predeterminados: Señalan servicios y aplicaciones que están

instalados por defecto y que podrían necesitar ser desinstalados por razones de seguridad.
Errores en la Configuración de Seguridad: Detectan configuraciones incorrectas en

aplicaciones comunes que podrían ser explotadas por atacantes.
Computadoras Expuestas a Vulnerabilidades Conocidas: Identifican sistemas que son

susceptibles a vulnerabilidades que han sido públicamente reportadas o son ampliamente
conocidas.
Enfoques de Escaneo de Vulnerabilidades
Existen dos enfoques para el escaneo de vulnerabilidades en redes:
Escaneo Activo: En este enfoque, el atacante interactúa directamente con la red objetivo
para encontrar vulnerabilidades. El escaneo activo ayuda a simular un ataque en la red
objetivo para descubrir vulnerabilidades que el atacante podría explotar. Este tipo de
escaneo también se conoce como escaneo intrusivo.
Ejemplo: Un atacante envía sondas y solicitudes especialmente diseñadas al host objetivo en

la red para identificar vulnerabilidades.
Enfoques de Escaneo de Vulnerabilidades
Escaneo Pasivo: En este enfoque, el atacante intenta encontrar vulnerabilidades sin

interactuar directamente con la red objetivo. El atacante identifica vulnerabilidades a través
de la información expuesta por los sistemas durante las comunicaciones normales. El
escaneo pasivo identifica los sistemas operativos activos, aplicaciones y puertos en toda la
red objetivo, monitoreando la actividad para determinar sus vulnerabilidades. Este enfoque
proporciona información sobre debilidades pero no ofrece un camino directo para combatir
ataques. Este tipo de escaneo también se conoce como escaneo no intrusivo.
Ejemplo: Un atacante adivina la información del sistema operativo, aplicaciones y versiones

de servicios y aplicaciones observando la configuración y finalización de la conexión TCP.
Sistemas y Bases de Datos de Puntuación de Vulnerabilidades
Debido a la creciente gravedad de los ciberataques, la investigación de vulnerabilidades se ha

vuelto crítica, ya que ayuda a mitigar la posibilidad de ataques. La investigación de
vulnerabilidades proporciona conciencia de técnicas avanzadas para identificar fallos o
lagunas en el software que pueden ser explotados por atacantes. Los sistemas de puntuación
de vulnerabilidades y las bases de datos de vulnerabilidades son utilizados por analistas de
seguridad para clasificar vulnerabilidades en sistemas de información y proporcionar una
puntuación compuesta de la gravedad y el riesgo asociado con las vulnerabilidades
identificadas. Las bases de datos de vulnerabilidades recopilan y mantienen información
sobre diversas vulnerabilidades presentes en sistemas de información.
Common Vulnerability Scoring System (CVSS)

Fuente: first.org, nvd.nist.gov
CVSS es un estándar publicado que proporciona un marco abierto para comunicar las
características e impactos de las vulnerabilidades de TI. El sistema cuantitativo del CVSS
garantiza una medición repetible y precisa, mientras permite a los usuarios ver las
características subyacentes de la vulnerabilidad que se utilizaron para generar las
puntuaciones. El CVSS ayuda a capturar las características principales de una vulnerabilidad y
produce una puntuación numérica para reflejar su gravedad.
Common Vulnerabilities and Exposures (CVE)

Fuente: cve.mitre.org
CVE® es una lista o diccionario de identificadores estandarizados para vulnerabilidades y
exposiciones de software comunes. El uso de CVE garantiza confianza entre las partes al
discutir o compartir información sobre una vulnerabilidad de software única.
National Vulnerability Database (NVD)

Fuente: nvd.nist.gov
El NVD es el repositorio del gobierno de EE. UU. de datos de gestión de vulnerabilidades
basados en estándares. Utiliza el Protocolo de Automatización de Contenido de Seguridad
(SCAP). El NVD realiza un análisis sobre los CVE que han sido publicados en el Diccionario
CVE.
Common Weakness Enumeration (CWE)

Fuente: cwe.mitre.org
CWE es un sistema de categoría para vulnerabilidades y debilidades de software. Tiene más
de 600 categorías de debilidades, lo que le da la capacidad de ser empleado efectivamente
por la comunidad como una base para la identificación, mitigación y prevención de
debilidades.
Tipos de Evaluación de Vulnerabilidades
Evaluación Activa
Utiliza escáneres de red para identificar los hosts, servicios y vulnerabilidades presentes en
una red. Los escáneres activos pueden reducir la intrusividad de las comprobaciones que
realizan.
Evaluación Pasiva
Analiza el tráfico presente en la red para identificar los sistemas activos, servicios de red,
aplicaciones y vulnerabilidades. También proporciona una lista de los usuarios que están
accediendo a la red actualmente.
Evaluación Externa
Examina la red desde el punto de vista de un hacker para identificar exploits y
vulnerabilidades accesibles desde el exterior. Estima la amenaza de ataques de seguridad de
red desde fuera de la organización.
Evaluación Interna
Implica examinar la red interna para encontrar exploits y vulnerabilidades. Se centra en
aspectos como puertos abiertos, configuraciones de routers, vulnerabilidades del sistema
operativo y presencia de troyanos.
Evaluación Basada en el Host

Realiza una comprobación a nivel de configuración para identificar configuraciones del
sistema, directorios de usuarios, sistemas de archivos, configuraciones del registro y otros
parámetros.
Evaluación Basada en la Red

Determina los posibles ataques de seguridad de red que pueden ocurrir en el sistema de una
organización. Identifica recursos de red y mapea los puertos y servicios.
Evaluación de Aplicaciones
Se centra en aplicaciones web transaccionales, aplicaciones cliente-servidor tradicionales y
sistemas híbridos. Analiza todos los elementos de una infraestructura de aplicación.
Evaluación de Bases de Datos

Se centra en probar las bases de datos para la presencia de cualquier configuración errónea o
vulnerabilidades conocidas.
Evaluación de Redes Inalámbricas

Determina las vulnerabilidades en las redes inalámbricas de una organización. Intenta atacar
mecanismos de autenticación inalámbrica y obtener acceso no autorizado.
Evaluación Distribuida
Empleada por organizaciones que poseen activos en diferentes ubicaciones, implica evaluar
simultáneamente los activos distribuidos de la organización.
Evaluación con Credenciales

En este tipo de evaluación, el profesional de seguridad posee las credenciales de todas las
máquinas presentes en la red evaluada.
Evaluación sin Credenciales

Proporciona una visión general rápida de las debilidades analizando los servicios de red que
los hosts exponen.
Evaluación Manual
Después de realizar el footprinting y el escaneo de red y obtener información crucial, si el
profesional de seguridad realiza una investigación manual para explorar las vulnerabilidades,
se considera una evaluación manual.
Evaluación Automatizada
Donde un profesional de seguridad utiliza herramientas de evaluación de vulnerabilidades
para realizar una evaluación de vulnerabilidad del objetivo.
Ciclo de Vida de la Gestión de Vulnerabilidades
El ciclo de vida de la gestión de vulnerabilidades es un proceso crucial que ayuda a identificar

y remediar debilidades de seguridad antes de que puedan ser explotadas. Este proceso
incluye:
Identificar Activos y Crear una Línea Base

En esta fase, se identifican activos críticos y se priorizan para definir el riesgo basado en la
criticidad y valor de cada sistema. Esto establece una buena línea base para la gestión de
vulnerabilidades. Se recopila información sobre los sistemas identificados para comprender
los puertos aprobados, software, controladores y configuración básica de cada sistema.
Escaneo de Vulnerabilidades
Esta fase es crucial en la gestión de vulnerabilidades. Aquí, el analista de seguridad realiza un
escaneo de vulnerabilidades en la red para identificar las vulnerabilidades conocidas en la
infraestructura de la organización. También se pueden realizar escaneos de vulnerabilidades
en plantillas de cumplimiento aplicables.
Evaluación de Riesgos
En esta fase, todas las incertidumbres graves asociadas con el sistema se evalúan y priorizan,
y se planifica la remediación para eliminar permanentemente los defectos del sistema. La
evaluación de riesgos resume la vulnerabilidad y el nivel de riesgo identificado para cada uno
de los activos seleccionados.
Remediación
Es el proceso de aplicar soluciones en sistemas vulnerables para reducir el impacto y la
gravedad de las vulnerabilidades. Esta fase se inicia después de la implementación exitosa de
las etapas de línea base y evaluación.
Verificación
En esta fase, el equipo de seguridad realiza un nuevo escaneo de los sistemas para evaluar si
la remediación requerida está completa y si las soluciones individuales se han aplicado a los
activos afectados.
Monitoreo
Las organizaciones deben realizar un monitoreo regular para mantener la seguridad del
sistema. Utilizan herramientas como IDS/IPS y cortafuegos. El monitoreo continuo identifica
amenazas potenciales y cualquier nueva vulnerabilidad que haya surgido.
Herramientas de Evaluación de Vulnerabilidades
Un atacante realiza escaneos de vulnerabilidades para identificar brechas de seguridad en la

red objetivo que pueden explotar para lanzar ataques. Los analistas de seguridad pueden
usar herramientas de evaluación de vulnerabilidades para identificar debilidades presentes
en la postura de seguridad de la organización y remediar las vulnerabilidades identificadas
antes de que un atacante las explote.
Los escáneres de vulnerabilidades de red ayudan a analizar e identificar vulnerabilidades en

la red objetivo o recursos de red utilizando evaluación de vulnerabilidades y auditoría de red.
Estas herramientas también ayudan a superar las debilidades en la red sugiriendo varias
técnicas de remediación.
Qualys Vulnerability Management

Fuente: https://www.qualys.com
Qualys VM es un servicio basado en la nube que ofrece visibilidad inmediata y global sobre
dónde los sistemas de TI podrían ser vulnerables a las últimas amenazas de Internet y cómo
protegerlos. Ayuda a identificar continuamente amenazas y monitorear cambios inesperados
en una red antes de que se conviertan en brechas.
OpenVAS
Fuente: https://www.openvas.org
OpenVAS es un marco de varios servicios y herramientas que ofrecen una solución de
escaneo y gestión de vulnerabilidades completa y poderosa. El marco es parte de la solución
comercial de gestión de vulnerabilidades de Greenbone Networks, cuyos desarrollos han sido
contribuidos a la comunidad de código abierto desde 2009. El escáner de seguridad real va
acompañado de un feed actualizado regularmente de Pruebas de Vulnerabilidad de Red
(NVTs), más de 50,000 en total.
GFI LanGuard
Fuente: https://www.gfi.com
GFI LanGuard escanea, detecta, evalúa y rectifica vulnerabilidades de seguridad en una red y
sus dispositivos conectados. Esto se hace con un esfuerzo administrativo mínimo. Escanea los
sistemas operativos, entornos virtuales y aplicaciones instaladas a través de bases de datos
de verificación de vulnerabilidades. Permite analizar el estado de la seguridad de la red,
identificar riesgos y ofrecer soluciones antes de que el sistema pueda ser comprometido.
¿Qué es el Hacking Ético?
El hacking ético es la práctica de utilizar habilidades informáticas y de red para ayudar a las
organizaciones a probar la seguridad de su red en busca de posibles lagunas y
vulnerabilidades. Los White Hats (también conocidos como analistas de seguridad o hackers
éticos) son las personas o expertos que realizan el hacking ético. Hoy en día, la mayoría de las
organizaciones (como empresas privadas, universidades y organizaciones gubernamentales)
contratan a White Hats para ayudarles a mejorar su ciberseguridad. Realizan hacking de
manera ética, con el permiso del propietario de la red o sistema y sin la intención de causar
daño. Los hackers éticos informan de todas las vulnerabilidades al propietario del sistema y
de la red para su remediación, aumentando así la seguridad del sistema de información de
una organización.
El hacking ético implica el uso de herramientas, trucos y técnicas de hacking que un atacante
suele utilizar para verificar la existencia de vulnerabilidades explotables en la seguridad del
sistema. Hoy en día, el término hacking está estrechamente asociado con actividades ilegales
y no éticas. Existe un debate continuo sobre si el hacking puede ser ético o no, dado que el
acceso no autorizado a cualquier sistema es un delito. Considera las siguientes definiciones:
El sustantivo "hacker" se refiere a una persona que disfruta aprendiendo los detalles de los
sistemas informáticos y ampliando sus capacidades.
El verbo "hackear" describe el desarrollo rápido de nuevos programas o la ingeniería inversa

de software existente para mejorarlo o hacerlo más eficiente de formas nuevas e
innovadoras.
Los términos "cracker" y "atacante" se refieren a personas que emplean sus habilidades de
hacking con fines ofensivos.
El término "hacker ético" se refiere a profesionales de seguridad que emplean sus

habilidades de hacking con fines defensivos.
La mayoría de las empresas emplean profesionales de TI para auditar sus sistemas en busca
de vulnerabilidades conocidas. Aunque esta es una práctica beneficiosa, los crackers suelen
estar más interesados en usar vulnerabilidades más nuevas y menos conocidas, por lo que
estas auditorías de sistema no son suficientes. Una empresa necesita a alguien que pueda
pensar como un cracker, mantenerse al día con las vulnerabilidades y exploits más recientes,
y reconocer posibles vulnerabilidades donde otros no pueden. Este es el papel del hacker
ético.
Los hackers éticos suelen emplear las mismas herramientas y técnicas que los hackers, con la
importante excepción de que no dañan el sistema. Evalúan la seguridad del sistema,
actualizan a los administradores sobre cualquier vulnerabilidad descubierta y recomiendan
procedimientos para parchear esas vulnerabilidades. La distinción importante entre hackers
éticos y crackers es el consentimiento. Los crackers intentan obtener acceso no autorizado a
los sistemas, mientras que los hackers éticos siempre son completamente abiertos y
transparentes sobre lo que están haciendo y cómo lo están haciendo. Por lo tanto, el hacking
ético es siempre legal.
¿Por qué es Necesario el Hacking Ético?
A medida que la tecnología crece a un ritmo acelerado, también lo hace el crecimiento de los
riesgos asociados con ella. ¡Para vencer a un hacker, es necesario pensar como uno!
El hacking ético es necesario ya que permite contrarrestar ataques de hackers maliciosos

anticipando los métodos utilizados por ellos para infiltrarse en un sistema. El hacking ético
ayuda a predecir diversas posibles vulnerabilidades con anticipación y rectificarlas sin incurrir
en ningún tipo de ataque externo. Dado que el hacking implica pensamiento creativo, las
pruebas de vulnerabilidad y las auditorías de seguridad por sí solas no pueden garantizar que
la red esté segura. Para lograr la seguridad, las organizaciones deben implementar una
estrategia de "defensa en profundidad" penetrando en sus redes para estimar y exponer
vulnerabilidades.
Razones por las cuales las organizaciones reclutan hackers éticos:
Para prevenir que los hackers accedan a los sistemas de información de la organización.
Para descubrir vulnerabilidades en los sistemas y explorar su potencial como un riesgo.
Para analizar y fortalecer la postura de seguridad de una organización, incluyendo políticas,
infraestructura de protección de red y prácticas de usuarios finales.
Para proporcionar medidas preventivas adecuadas con el fin de evitar violaciones de
seguridad.
Para ayudar a proteger los datos del cliente.
Para mejorar la conciencia de seguridad en todos los niveles de un negocio.
La evaluación de un hacker ético sobre la seguridad del sistema de información de un cliente

busca responder tres preguntas básicas:
¿Qué puede ver un atacante en el sistema objetivo?

¿Qué puede hacer un intruso con esa información?
¿Se están notando los intentos de los atacantes en los sistemas objetivo?
Después de llevar a cabo ataques, los hackers pueden borrar sus rastros. Los hackers éticos
deben investigar si tales actividades han sido registradas y qué medidas preventivas se han
tomado. El proceso completo de hacking ético y la posterior corrección de las
vulnerabilidades descubiertas dependen de preguntas como:
¿Qué está tratando de proteger la organización?

¿Contra quién o qué están tratando de protegerlo?
¿Están todos los componentes del sistema de información adecuadamente protegidos,
actualizados y parcheados?
¿Cuánto tiempo, esfuerzo y dinero está dispuesto a invertir el cliente para obtener una
protección adecuada?
¿Cumplen las medidas de seguridad de la información con los estándares de la industria y
legales?
A veces, para ahorrar recursos o prevenir un mayor descubrimiento, el cliente podría decidir
terminar la evaluación después de encontrar la primera vulnerabilidad; por lo tanto, es
importante que el hacker ético y el cliente acuerden un marco adecuado para la investigación
de antemano. El cliente debe estar convencido de la importancia de estos ejercicios de
seguridad. El hacker ético también debe recordar transmitir al cliente que nunca es posible
proteger completamente los sistemas, pero que siempre pueden mejorarse.
Alcance y Limitaciones del Hacking Ético
Los expertos en seguridad categorizan ampliamente los delitos informáticos en dos

categorías: delitos facilitados por una computadora y aquellos en los que la computadora es
el objetivo. El hacking ético es una evaluación de seguridad estructurada y organizada,
generalmente como parte de una prueba de penetración o auditoría de seguridad, y es un
componente crucial de la evaluación de riesgos, auditoría, lucha contra el fraude y las
mejores prácticas de seguridad de sistemas de información. Se utiliza para identificar riesgos
y destacar acciones correctivas. También se utiliza para reducir los costos de Tecnologías de
la Información y Comunicación (TIC) al resolver vulnerabilidades.
Los hackers éticos determinan el alcance de la evaluación de seguridad según las

preocupaciones de seguridad del cliente. Muchos hackers éticos son miembros de un
"Equipo Tigre". Un equipo tigre trabaja en conjunto para realizar una prueba a gran escala
que cubre todos los aspectos de la red, así como la intrusión física y del sistema.
Un hacker ético debe conocer las penalidades del hacking no autorizado en un sistema. No se
deben comenzar actividades de hacking ético asociadas con una prueba de penetración de
red o auditoría de seguridad antes de recibir un documento legal firmado que otorgue al
hacker ético permiso expreso para realizar las actividades de hacking por parte de la
organización objetivo.
Los hackers éticos deben ser juiciosos con sus habilidades de hacking y reconocer las
consecuencias de abusar de esas habilidades. El hacker ético debe seguir ciertas reglas para
cumplir con sus obligaciones éticas y morales. Deben hacer lo siguiente:
Obtener autorización del cliente y tener un contrato firmado que otorgue al tester permiso
para realizar la prueba.
Mantener la confidencialidad al realizar la prueba y seguir un Acuerdo de No Divulgación
(NDA) con el cliente para la información confidencial revelada durante la prueba.
Realizar la prueba hasta, pero no más allá de los límites acordados.
Los siguientes pasos proporcionan un marco para realizar una auditoría de seguridad de una
organización:
Hablar con el cliente y discutir las necesidades a abordar durante las pruebas.
Preparar y firmar documentos NDA con el cliente.
Organizar un equipo de hacking ético y preparar el horario para las pruebas.
Realizar la prueba.
Analizar los resultados de las pruebas y preparar un informe.
Presentar los hallazgos del informe al cliente.
Habilidades de un Hacker Ético
Es esencial que un hacker ético adquiera el conocimiento y las habilidades para convertirse
en un experto hacker y usar este conocimiento de manera legal. Las habilidades técnicas y no
técnicas para ser un buen hacker ético se discuten a continuación:
Habilidades Técnicas
Conocimiento profundo de los principales entornos operativos, como Windows, Unix, Linux y
Macintosh.
Conocimiento profundo de conceptos de redes, tecnologías y hardware y software
relacionados.
Un experto en informática adepto a dominios técnicos.
Conocimiento de áreas de seguridad y problemas relacionados.
Alto conocimiento técnico sobre cómo lanzar ataques sofisticados.
Habilidades de un Hacker Ético
Habilidades No Técnicas
La capacidad de aprender rápidamente y adaptar nuevas tecnologías.

Una fuerte ética de trabajo y buenas habilidades de resolución de problemas y comunicación.
Compromiso con las políticas de seguridad de una organización.
Conciencia de las normas y leyes locales.
Fundamentos de las Pruebas de Penetración y sus Beneficios
Las pruebas de penetración, también conocidas como "pentesting" o "ethical hacking", son
una evaluación de seguridad que simula un ataque a un sistema, red o aplicación para
identificar vulnerabilidades antes de que los atacantes maliciosos puedan explotarlas. Estas
pruebas son esenciales para mantener una postura de seguridad sólida y proteger los activos
de información de una organización.
Tipos de pruebas de penetración:
Pruebas externas: Se dirigen a los activos de la empresa que son visibles en Internet, como el
sitio web, las aplicaciones y los servidores de correo.
Pruebas internas: Simulan un ataque de un actor interno o un atacante que ya ha penetrado
en la red.
Pruebas ciegas: La organización proporciona solo información limitada al equipo de
pentesting.
Pruebas de doble ciego: Los defensores de la seguridad no son informados de la prueba,
simulando un ataque real.
Pruebas basadas en escenarios: Se basan en un escenario específico, como un ataque
dirigido a una aplicación o sistema específico.
Fases de las pruebas de penetración:
Reconocimiento: Recopilación de información sobre el objetivo.

Escaneo: Identificación de vulnerabilidades mediante herramientas de escaneo.
Ganar acceso: Explotar las vulnerabilidades identificadas.
Mantener acceso: Simular la actividad de un atacante que crea una presencia persistente en
la red.
Análisis: Reportar los hallazgos, las vulnerabilidades explotadas y las recomendaciones para
la remediación.
Metodologías de pruebas de penetración:
OWASP: Se centra en las aplicaciones web y aborda sus 10 principales vulnerabilidades.
PTES (Penetration Testing Execution Standard): Proporciona una serie de fases para llevar a
cabo pruebas de penetración.
OSSTMM (Open Source Security Testing Methodology Manual): Se centra en la seguridad de

la información y la integridad de los sistemas.
Beneficios de las pruebas de penetración:
Identificación de vulnerabilidades: Antes de que los atacantes las exploten.

Cumplimiento normativo: Ayuda a las organizaciones a cumplir con normativas y estándares
de seguridad.
Protección contra interrupciones: Al identificar y corregir vulnerabilidades, se reduce el
riesgo de interrupciones en los servicios y operaciones.
Preservación de la reputación y la confianza: Al evitar brechas de seguridad, las
organizaciones pueden mantener la confianza de sus clientes y proteger su reputación.
Reducción de costos: Al identificar y corregir vulnerabilidades antes de que se conviertan en
brechas, se pueden evitar costos significativos asociados con la recuperación de incidentes de
seguridad.
¿Qué es la Prueba de Penetración?
La prueba de penetración, también conocida como "pen testing", va un paso más allá del
escaneo de vulnerabilidades en la evaluación de seguridad. A diferencia del escaneo de
vulnerabilidades, que examina la seguridad de computadoras individuales, dispositivos de
red o aplicaciones, la prueba de penetración evalúa el modelo de seguridad de la red en su
conjunto. La prueba de penetración puede revelar las posibles consecuencias de un atacante
real ingresando a las cuentas de administradores de red, gerentes de TI y ejecutivos. También
arroja luz sobre las debilidades de seguridad que se pasan por alto en el escaneo de
vulnerabilidades típico.
La prueba de penetración es un tipo de prueba de seguridad que evalúa la capacidad de una

organización para proteger su infraestructura, como la red, aplicaciones, sistemas y usuarios,
de amenazas externas e internas. Es una forma efectiva de determinar la eficacia de las
políticas, controles y tecnologías de seguridad de la organización. Implica la evaluación activa
de la seguridad de la infraestructura de la organización simulando un ataque similar a los
realizados por atacantes reales. Durante una prueba de penetración, las medidas de
seguridad se analizan activamente en busca de debilidades de diseño, defectos técnicos y
vulnerabilidades. Los resultados de la prueba se documentan y se entregan en un informe
completo a la dirección ejecutiva y al público técnico.
Beneficios de realizar una prueba de penetración:
Revelar vulnerabilidades: Además de revelar debilidades existentes en una configuración de

sistema o aplicación, una prueba de penetración investiga la acción y comportamiento del
personal de una organización que podría llevar a una violación de datos. Finalmente, el
evaluador proporciona un informe con actualizaciones sobre vulnerabilidades de seguridad,
así como recomendaciones y políticas para mejorar la seguridad general.
Mostrar riesgos reales: El evaluador explota las vulnerabilidades identificadas para verificar
cómo se comportaría un atacante real.
Asegurar la continuidad del negocio: Una pequeña interrupción puede tener un gran
impacto en un negocio. Puede costar a la empresa decenas a miles de dólares. Por lo tanto, la
disponibilidad de la red, el acceso a los recursos y las comunicaciones 24/7 son necesarios
para operar el negocio. Una prueba de penetración revela amenazas potenciales y
recomienda soluciones para asegurar que la operación del negocio no se vea afectada por un
tiempo de inactividad inesperado o una pérdida de accesibilidad.
Reducir ataques en el extremo del cliente: Un atacante puede ingresar a los sistemas de una
organización desde el lado del cliente, especialmente a través de servicios web y formularios
en línea. Las empresas deben estar preparadas para proteger sus sistemas de tales ataques.
Si una organización sabe qué tipo de ataques puede esperar, entonces sabe las señales a
buscar y debe poder actualizar la aplicación.
Establecer el estado de la empresa en términos de seguridad: La prueba de penetración

proporciona conocimiento del nivel de seguridad de una empresa y su estado en términos de
seguridad. El evaluador proporciona un informe sobre el sistema de seguridad general de la
empresa y las áreas que necesitan mejoras, y el informe incluye detalles sobre la protección
de su infraestructura y la eficacia de las medidas de seguridad existentes.
Proteger la reputación de la empresa: Es importante que una empresa mantenga una buena
reputación con sus socios y clientes. Ganar la confianza y el apoyo de incluso los socios leales
es difícil si la empresa se ve afectada por una violación de datos o ataque. Las organizaciones
deben realizar pruebas de penetración regularmente para proteger sus datos y la confianza
de sus socios y clientes.
ROI para la Prueba de Penetración
La prueba de penetración ayuda a las empresas a identificar, comprender y abordar cualquier

vulnerabilidad, lo que ahorra mucho dinero y, a su vez, produce un buen ROI. El propósito de
la prueba de penetración es descubrir y exponer vulnerabilidades en el sistema de seguridad
de una organización mientras se considera la IA de la empresa y cómo esos activos están
relacionados con el valor comercial de la organización. A través de una prueba de
penetración, la empresa adquiere conocimiento de posibles riesgos, vulnerabilidades o
amenazas para la IA, así como la información necesaria para mitigar esos riesgos.
Las empresas invierten recursos en pruebas de penetración solo si tienen un conocimiento

adecuado de sus beneficios. Por lo tanto, la demostración del ROI es un proceso crítico para
la exitosa "venta" de una prueba de penetración. El ROI para las pruebas de penetración se
demuestra con la ayuda de un escenario de caso de negocio, que incluye el gasto y las
ganancias involucradas. Debido a que el ROI es una medida financiera convencional basada
en datos históricos, es una métrica retrospectiva que no ofrece ideas sobre cómo mejorar los
resultados comerciales en el futuro. En la práctica, la mayoría de las organizaciones utilizan
una o más "métricas financieras" y se refieren a ellas individual o colectivamente como "ROI".
Estas métricas incluyen lo siguiente:
Período de recuperación: Tiempo requerido para que el retorno de una inversión "repague"
la suma de la inversión original.
Valor presente neto: Valor presente de los flujos de efectivo futuros menos el precio de
compra.
Tasa interna de retorno: Beneficios repetidos como una tasa de interés.
ROI: Relación entre la ganancia neta de un proyecto planificado dividida por sus costos
totales, es decir, ROI = (Retornos Esperados − Costo de Inversión) / Costo de Inversión.
Seguridad en
Aplicaciones
¿Qué es una Aplicación Segura?
Una aplicación segura garantiza la confidencialidad, integridad y disponibilidad de sus

recursos restringidos a lo largo del ciclo de vida de la aplicación. El proceso de aseguramiento
implica algunas herramientas y procedimientos para proteger la aplicación de ciberataques.
Los ciberdelincuentes están motivados para atacar y explotar vulnerabilidades en una
aplicación para robar datos confidenciales, manipular código y comprometer toda la
aplicación
Necesidad de la Seguridad de Aplicaciones
Las organizaciones están utilizando cada vez más aplicaciones web para proporcionar
funciones comerciales de alto valor a sus clientes, como ventas en tiempo real,
transacciones, gestión de inventario entre múltiples proveedores, incluyendo comercio
electrónico B-B y B-C, gestión de flujo de trabajo y cadena de suministro, etc.
Un ataque exitoso a nivel de aplicación puede resultar en:
Pérdida financiera
Afectar la continuidad del negocio
Cierre del negocio
Divulgación de información empresarial
Dañar la reputación
Transacciones fraudulentas
Administración de Seguridad de Aplicaciones
Las organizaciones deben monitorear continuamente sus aplicaciones en busca de

vulnerabilidades para reducir los riesgos potenciales y mantener la seguridad de las
aplicaciones. La administración de seguridad de aplicaciones implica un conjunto de acciones
para gestionar la seguridad de las aplicaciones instaladas en los ordenadores y redes de una
organización.
las responsabilidades típicas de la administración de seguridad de aplicaciones incluyen:
• Proteger a los usuarios de descargar e instalar aplicaciones potencialmente dañinas.

• No permitir que las aplicaciones creen y modifiquen archivos ejecutables.
• Las aplicaciones no deben acceder, crear o modificar recursos del sistema operativo
innecesariamente.
• Las aplicaciones no deben permitirse desencadenar en varios procesos.
• Las aplicaciones deben actualizarse regularmente con los últimos parches y para
seguridad.
• Las aplicaciones deben configurarse de manera segura.
Acciones de Diseño Seguro
Las acciones de diseño seguro incluyen:
• Especificaciones de Requisitos de Seguridad

• Principios de Diseño Seguro
• Modelado de Amenazas
• Arquitectura de Aplicación Segura
Proceso de Modelado de Amenazas
Identificar Objetivos de Seguridad

Descripción General de la Aplicación
Descomponer la Aplicación
Identificar Amenazas
Identificar Vulnerabilidades
Análisis de Riesgo e Impacto
Open Web Application Security Project (OWASP)
Es una organización centrada en mejorar la seguridad del software. La misión de esta

organización es hacer visible la seguridad del software para que individuos y organizaciones
puedan tomar decisiones informadas. OWASP es una comunidad dedicada a permitir que las
organizaciones conciban, desarrollen, adquieran, operen y mantengan aplicaciones en las
que se pueda confiar.
Marco de Seguridad de Software: Modelo de Madurez de
Aseguramiento de Software (SAMM)
El Modelo de Madurez de Aseguramiento de Software (SAMM) es un marco abierto que

ayuda a las organizaciones a formular e implementar estrategias de seguridad de software
adaptadas a los riesgos específicos que enfrentan. SAMM ayuda en las siguientes tareas:
• Evaluar las prácticas de seguridad de software existentes de una organización.

• Construir un programa equilibrado de aseguramiento de seguridad de software en
iteraciones bien definidas.
• Demostrar mejoras concretas en el programa de aseguramiento de seguridad.
• Definir y medir actividades relacionadas con la seguridad en toda una organización.
Acciones de Diseño Seguro
Las acciones de diseño seguro incluyen:
• Especificaciones de Requisitos de Seguridad

• Principios de Diseño Seguro
• Modelado de Amenazas
• Arquitectura de Aplicación Segura
Web Application Fuzz Testing
Application Whitelisting
Application Blacklisting
Isolation-based sandbox
Bug Bounty Programs
Web Application Security Scanners
Virtualización y Cloud
Computing
Ataque de Suplantación DHCP (DHCP Spoofing Attack)
Como resultado, la dirección IP del atacante recibe todo el tráfico del cliente. Luego, el
atacante captura todo el tráfico y lo reenvía a la puerta de enlace predeterminada adecuada.
El cliente piensa que todo está funcionando correctamente. Este tipo de ataque es difícil de
detectar por el cliente durante largos períodos. A veces, el cliente utiliza un servidor DHCP
falso en lugar del estándar. El servidor falso dirige al cliente a visitar sitios web falsos en un
intento de obtener sus credenciales.
Para mitigar un ataque de servidor DHCP falso, configure la conexión entre la interfaz y el
servidor falso como no confiable. Esta acción bloqueará todos los mensajes entrantes del
servidor DHCP desde esa interfaz.

CCT Dia #5

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCT Dia #5

Cargado por

Copyright:

Formatos disponibles

CTIA – ACADEMIA DE CIBERSEGURIDAD

La caza de amenazas, o "Threat Hunting", es una estrategia proactiva en la ciberseguridad

Pasos de la Caza de Amenazas:

Recolección y Procesamiento de Datos:

Importancia de la Caza de Amenazas:

La caza de amenazas es esencial en el panorama actual de ciberseguridad debido a la

Caza Basada en Datos (Data-driven Hunting):

Caza Basada en Inteligencia (Intel-driven Hunting):

Caza Basada en Entidades (Entity-driven Hunting):

Caza Basada en TTP (TTP-driven Hunting):

Caza Híbrida (Hybrid Hunting):

Características de la Caza de Amenazas:

Caza Previsora (Prescient hunting): Se centra en identificar amenazas inminentes, en lugar

Confiar en la Hipótesis: Los cazadores de amenazas no se basan únicamente en alertas

Seguir Rastros: Los cazadores de amenazas analizan sistemas comprometidos y rastros

El modelo de madurez de caza de amenazas (HMM) se define por la calidad y cantidad de

Fusión de Inteligencia (Intelligence fusion):

Feeds de Amenazas (Threat feeds):

Avisos y boletines (Advisories and bulletins):

Las herramientas de caza de amenazas monitorean proactivamente una red o sistema en

Algunas herramientas adicionales de caza de amenazas incluyen:

La inteligencia de amenazas, comúnmente conocida como CTI, se define como la recopilación

Inteligencia de Amenazas Estratégicas

Inteligencia de Amenazas Tácticas

Inteligencia de Amenazas Operacionales

Inteligencia de Amenazas Técnicas

La inteligencia de amenazas se organiza y se entrega en diferentes capas para satisfacer las

Fuentes Abiertas (OSINT)

Consideraciones al Elegir un Proveedor de Inteligencia de Amenazas:

Relevancia: La inteligencia proporcionada debe ser relevante para la industria, región y

Usos de los TI Feeds:

Factores a considerar antes de obtener TI Feeds:

Ejemplo de proveedores de TI Feeds gratuitos y de código abierto:

threatfeeds.io: Es un proveedor de inteligencia de amenazas gratuito y de código abierto que

Ejemplo de proveedores de TI Feeds gubernamentales:

Automated Indicator Sharing (AIS): Proporcionado por el Departamento de Seguridad

Algunas de las fuentes de recolección de inteligencia incluyen:

Inteligencia de Fuentes Abiertas (OSINT): Información recopilada de fuentes públicamente

Inteligencia Humana (HUMINT): Información recolectada a través de la comunicación

Inteligencia de Señales (SIGINT): Involucra la recopilación de información interceptando

Inteligencia Técnica (TECHINT): Información recolectada de equipos del adversario o

Inteligencia de Medios Sociales (SOCMINT): Información recolectada de sitios de redes

Contrainteligencia Cibernética (CCI): Utilizada como mecanismo de seguridad para proteger

Indicadores de Compromiso (IoCs): Son los artefactos de incidentes de seguridad de red.

Asociación de la Industria y Comunidades Verticales: Comunidades que comparten recursos

Gobierno y Fuentes de Aplicación de la Ley: Departamentos gubernamentales y de

Herramientas para la búsqueda en la Deep Web y Dark Web:

La caza de amenazas en el ciberespacio ha evolucionado con el tiempo, y con la introducción

IA y ML con capacidades de detección de riesgos: Estas tecnologías pueden predecir riesgos

MISP - Plataforma de Inteligencia de Amenazas de Código Abierto

Fuente: MISP Project

IBM X-Force Exchange

Para un intercambio efectivo de inteligencia, es necesario el uso de estándares y formatos

La investigación de vulnerabilidades es un proceso esencial en el ámbito de la ciberseguridad.

Importancia de la Investigación de Vulnerabilidades para un Administrador:

Información sobre Tendencias de Seguridad: Mantenerse informado sobre las últimas

Métodos de Investigación de Vulnerabilidades:

Descubrimiento de Fallos de Diseño: Identificar fallos en el diseño del sistema y debilidades

Los expertos en seguridad y los escáneres de vulnerabilidades suelen clasificar las

La investigación de vulnerabilidades es esencial para mantenerse al día con las últimas

Microsoft Vulnerability Research (MSVR): https://www.microsoft.com

Una evaluación de vulnerabilidad es una revisión sistemática de las debilidades de seguridad

Puntos Clave de la Evaluación de Vulnerabilidad:

Propósito: El objetivo principal es identificar puntos potenciales donde un atacante podría