Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. SOC ................................................................................................................................................................................ 2
1.1. Definición: ........................................................................................................................................................... 2
1.2. Funciones y Componentes ................................................................................................................................. 2
1.3. Niveles ................................................................................................................................................................. 3
1.4. Triaje.................................................................................................................................................................... 4
1.5. Modelos SOC....................................................................................................................................................... 5
1.6. Tecnologías y Herramientas: .............................................................................................................................. 6
2. SIEM............................................................................................................................................................................... 7
2.1. Funciones y Características del SIEM: ................................................................................................................ 7
2.2. Beneficios del SIEM: ........................................................................................................................................... 7
2.3. Ejemplos de Herramientas SIEM:....................................................................................................................... 8
2.4. Exfiltración de Datos........................................................................................................................................... 8
2.5. Reglas .................................................................................................................................................................. 9
3. Splunk:.........................................................................................................................................................................10
3.1. Funciones de Splunk: ........................................................................................................................................10
3.2. Cómo Usar Splunk: ...........................................................................................................................................11
3.3. Ventajas de Splunk: ..........................................................................................................................................11
3.4. Desventajas de Splunk:.....................................................................................................................................11
4. Threat hunting ............................................................................................................................................................11
4.1. Características del Threat Hunting:..................................................................................................................12
4.2. Beneficios del Threat Hunting: .........................................................................................................................12
4.3. Herramientas y Técnicas de Threat Hunting: ..................................................................................................12
5. Equipos de Ciberseguridad.........................................................................................................................................13
5.1. Blue Team .........................................................................................................................................................13
5.2. Red Team ..........................................................................................................................................................13
5.3. Purple Team ......................................................................................................................................................14
6. Fases del Ciclo de Vida del Ethical Hacking ...............................................................................................................14
7. OWASP ........................................................................................................................................................................15
7.1. OWASP Top Ten ................................................................................................................................................15
7.2. Herramientas OWASP.......................................................................................................................................16
7.3. Diferencia NMAP y las herramientas de OWASP ............................................................................................17
8. Tipos de ataques cibernéticos....................................................................................................................................18
SECURITY OPERATION CENTER
1. SOC
1.1. Definición:
Un Security Operations Center (SOC) es un equipo y una infraestructura dedicados a supervisar y
gestionar la seguridad cibernética de una organización. Se encarga de detectar, analizar y responder
a posibles amenazas y incidentes de seguridad en tiempo real. El SOC utiliza una combinación de
tecnologías, procesos y personal especializado para cumplir sus funciones. Aquí tienes una
descripción más detallada de las funciones de un SOC y algunas de las herramientas y software que
se utilizan para cada una:
4) Gestión de Incidentes:
6) Coordinación Interdepartamental:
7) Capacitación y Desarrollo:
8) Mejora Continua:
Cabe destacar que las herramientas y software pueden variar según el tamaño y las necesidades
específicas de cada SOC. Además, la industria de ciberseguridad sigue evolucionando, por lo que
constantemente se introducen nuevas herramientas y enfoques para abordar las amenazas
emergentes.
1.3. Niveles
Un Security Operations Center (SOC) generalmente tiene tres niveles principales, cada uno con un
enfoque y responsabilidades específicas en la detección, respuesta y mitigación de amenazas
cibernéticas. Estos niveles son:
• Nivel 1 - Monitorización y Detección: En este nivel, los analistas del SOC monitorean
continuamente los eventos y registros de seguridad provenientes de diversas fuentes,
como firewalls, sistemas de detección de intrusos y sistemas de prevención de
intrusiones. Realizan análisis preliminares para identificar patrones y anomalías, y
generan alertas en tiempo real cuando se detecta actividad sospechosa. Además de la
monitorización, también pueden llevar a cabo tareas como la revisión de registros, la
verificación de falsos positivos y la documentación inicial de los incidentes.
• Nivel 2 - Análisis y Respuesta: Los analistas de nivel 2 profundizan en las alertas
generadas por el nivel 1. Realizan investigaciones más exhaustivas para determinar la
gravedad y la autenticidad de los incidentes. Esto implica correlacionar datos de
múltiples fuentes, recopilar evidencia digital, realizar análisis forenses y evaluar el
impacto potencial en la organización. Los analistas de nivel 2 también son responsables
de la coordinación de la respuesta a incidentes, colaborando con equipos internos y
externos para tomar medidas y mitigar las amenazas.
• Nivel 3 - Investigación Avanzada y Gestión de Amenazas: El nivel 3 está compuesto
por analistas de seguridad altamente especializados. Se centran en la investigación en
profundidad de amenazas más complejas y persistentes. También se encargan de la
gestión de amenazas, lo que implica la identificación de tendencias, patrones y tácticas
utilizadas por atacantes. Además, participan en la mejora continua del SOC,
proponiendo ajustes en las políticas de seguridad, la optimización de herramientas y la
capacitación del personal. En algunos casos, el nivel 3 también puede ser responsable
de la gestión de inteligencia de amenazas y la colaboración con agencias de seguridad.
Cabe destacar que la estructura y la nomenclatura de los niveles pueden variar según la organización
y el tamaño del SOC. Algunos SOCs pueden tener más niveles o ajustar las responsabilidades de cada
nivel de acuerdo con sus necesidades específicas. La colaboración y la comunicación efectivas entre
estos niveles son fundamentales para garantizar una detección y respuesta eficientes a las amenazas
cibernéticas.
1.4. Triaje
En el contexto de un Security Operations Center (SOC), el término "triage" se refiere a un proceso
de priorización y clasificación de incidentes y alertas de seguridad. El objetivo principal del triaje en
el SOC es identificar rápidamente la gravedad y el alcance de un incidente o alerta, para determinar
cómo debe gestionarse y responderse de manera eficiente.
El proceso de triaje implica evaluar y categorizar las alertas o incidentes en función de ciertos
criterios predefinidos. Estos criterios pueden incluir factores como la criticidad del activo afectado,
el impacto potencial en la organización, la autenticidad de la amenaza, la probabilidad de un ataque
exitoso y la urgencia de la respuesta.
• Triage de Nivel 1: En este nivel, los analistas de seguridad de nivel 1 evalúan las alertas
iniciales generadas por las herramientas de monitoreo. Determinan si una alerta
merece una mayor investigación o si puede descartarse como un falso positivo. Si la
alerta se considera válida, se pasa al nivel 2 para una revisión más detallada.
• Triage de Nivel 2: Los analistas de nivel 2 realizan un análisis más profundo de las
alertas o incidentes que han pasado el nivel 1. Correlacionan datos adicionales y
realizan investigaciones más exhaustivas para comprender mejor la naturaleza de la
amenaza. En este punto, se determina si se trata de un incidente real y si requiere una
respuesta inmediata.
• Triage de Nivel 3: Los analistas de nivel 3, que son expertos en seguridad altamente
especializados, pueden llevar a cabo un triaje aún más detallado y avanzado en caso de
incidentes altamente complejos o persistentes. Esto puede implicar la investigación en
profundidad de amenazas, la identificación de tácticas de ataque y la determinación de
posibles consecuencias a largo plazo.
El proceso de triaje es esencial para asegurarse de que los recursos y el tiempo del equipo de
seguridad se asignen de manera efectiva a las amenazas más críticas. Al priorizar adecuadamente
los incidentes y alertas, el SOC puede garantizar una respuesta más rápida y eficiente a las amenazas
cibernéticas y minimizar el impacto potencial en la organización.
7) SOC Virtual 24/7: Ofrece monitoreo y respuesta constante en todas las zonas horarias
mediante recursos internos y externos.
Estos modelos de SOC ofrecen diferentes enfoques para satisfacer las necesidades únicas de
seguridad cibernética de una organización. La elección del modelo adecuado dependerá de factores
como el tamaño de la organización, los recursos disponibles, las regulaciones de la industria y la
estrategia de seguridad general.
1.6. Tecnologías y Herramientas:
Un Security Operations Center (SOC) utiliza una variedad de herramientas y tecnologías para
monitorear, detectar y responder a amenazas cibernéticas. Aquí hay una lista de algunas de las
herramientas y tecnologías comunes que se utilizan en un SOC:
¿Qué es el SIEM? SIEM (Security Information and Event Management) es una solución tecnológica
que permite recopilar, correlacionar, analizar y visualizar eventos y registros de seguridad de
múltiples fuentes en una organización. Su objetivo principal es proporcionar una visión integral de
la postura de seguridad de una organización al identificar y responder a posibles amenazas
cibernéticas y actividades maliciosas.
4) Generación de Alertas: El SIEM puede generar alertas en tiempo real en función de las
reglas de detección configuradas. Las alertas informan al personal de seguridad sobre
eventos sospechosos o potencialmente maliciosos.
➢ IBM QRadar
➢ Sumo Logic
➢ AlienVault USM
2. Túneles Encubiertos: Los atacantes pueden utilizar túneles cifrados o canales encubiertos
para enviar datos a través de protocolos de red no convencionales que eviten la detección.
6. Dispositivos USB y Otros Dispositivos Externos: Los atacantes pueden copiar datos en
dispositivos de almacenamiento portátiles como unidades USB y luego retirarlos
físicamente de las instalaciones.
7. Esteganografía: Los atacantes pueden ocultar datos en imágenes, archivos de audio u otros
archivos digitales aparentemente normales.
8. Acceso Remoto: Los atacantes pueden obtener acceso remoto a sistemas comprometidos
y copiar datos a través de la conexión.
2.5. Reglas
Las reglas en un Sistema de Gestión de Información y Eventos de Seguridad (SIEM) son conjuntos
de condiciones lógicas y criterios que se utilizan para detectar eventos o patrones específicos en los
datos recopilados de diversas fuentes de seguridad. Estas reglas permiten al SIEM identificar y
alertar sobre posibles amenazas o comportamientos anómalos en tiempo real. Aquí tienes un
ejemplo básico de cómo podrían ser las reglas en un SIEM:
• Acción: Generar una alerta y notificar al equipo de seguridad para tomar medidas.
Estos son solo ejemplos de reglas típicas en un SIEM. Cada organización personaliza sus reglas de
acuerdo con su entorno, necesidades de seguridad y riesgos específicos. Las reglas pueden ser
simples o altamente complejas, y la eficacia del SIEM depende en gran medida de la precisión y la
relevancia de las reglas configuradas.
3. Splunk:
4. Threat hunting
El "threat hunting" (caza de amenazas) es una metodología proactiva de ciberseguridad que implica
la búsqueda activa y manual de amenazas y actividades maliciosas que podrían haber pasado
desapercibidas para las soluciones de seguridad tradicionales, como firewalls y sistemas de
detección de intrusiones. En lugar de esperar a que las alertas se activen, los analistas de seguridad
realizan investigaciones proactivas para descubrir signos de actividad sospechosa o posibles
amenazas que podrían estar presentes en la red o en los sistemas.
El threat hunting se basa en la idea de que los atacantes pueden evadir las medidas de seguridad
convencionales y ocultar su presencia utilizando técnicas avanzadas. Al llevar a cabo la caza de
amenazas, los analistas buscan identificar patrones, comportamientos anómalos y otros indicadores
que puedan sugerir la presencia de atacantes o actividades maliciosas.
4.1. Características del Threat Hunting:
• Proactividad: A diferencia de la respuesta a incidentes basada en alertas, el threat
hunting es una actividad proactiva que busca descubrir amenazas antes de que se
activen las alarmas.
• Investigación Manual: Implica un enfoque manual y altamente especializado para
buscar y analizar datos, eventos y registros en busca de indicios de actividad maliciosa.
• Contextualización: Los analistas de threat hunting buscan comprender el contexto
detrás de los eventos para distinguir entre actividades normales y anomalías
sospechosas.
• Uso de Inteligencia de Amenazas: Se aprovecha la inteligencia de amenazas externa e
interna para guiar la búsqueda y identificar posibles vectores de ataque.
• Análisis Forense: El threat hunting puede implicar análisis forenses detallados para
reconstruir la secuencia de eventos y determinar la naturaleza de la amenaza.
El Certified Ethical Hacker (CEH) es una certificación que se enfoca en la ciberseguridad y la ética en
la realización de pruebas de penetración y evaluaciones de seguridad. El CEH presenta una
metodología de pruebas de penetración llamada "Fases del Ciclo de Vida del Ethical Hacking", que
consta de las siguientes etapas:
6) Análisis de Datos (Analysis): En esta fase, se recopilan y analizan los datos obtenidos
durante el proceso de hacking ético para comprender mejor la infraestructura y la
información del objetivo.
Es importante destacar que el enfoque del CEH es ético y legal, ya que los profesionales que poseen
esta certificación realizan pruebas de penetración con el permiso y la cooperación del propietario
del sistema o la red, con el propósito de mejorar la seguridad y prevenir ataques cibernéticos
maliciosos. Las fases del Ciclo de Vida del Ethical Hacking del CEH son una guía para llevar a cabo
pruebas de penetración responsables y efectivas.
7. OWASP
La "OWASP Top Ten" es una lista de las diez vulnerabilidades de seguridad más críticas y comunes
que se encuentran en las aplicaciones web. Esta lista es mantenida y actualizada por el proyecto
OWASP, una organización sin fines de lucro que se dedica a mejorar la seguridad de las aplicaciones
web y del software en general. La OWASP Top Ten sirve como una guía importante para los
desarrolladores, profesionales de seguridad y organizaciones en general, para identificar y mitigar
las amenazas más significativas en el ámbito de la seguridad de aplicaciones.
1. Inyección (Injection): Estas vulnerabilidades ocurren cuando los datos no confiables son
ingresados en una aplicación, lo que puede llevar a la ejecución no deseada de comandos y
operaciones.
7. Cross-Site Scripting (XSS): Implica la inserción de scripts maliciosos en páginas web, lo que
permite a los atacantes ejecutar código en el navegador de los usuarios y robar datos.
10. Falta de Registro y Monitoreo (Insufficient Logging & Monitoring): Implica la falta de
registros adecuados y supervisión de eventos, lo que dificulta la detección y respuesta a
incidentes de seguridad.
Es importante tener en cuenta que estas vulnerabilidades son comunes en aplicaciones web y deben
abordarse con medidas de seguridad adecuadas durante el desarrollo y la implementación. La
OWASP Top Ten brinda orientación valiosa para mejorar la postura de seguridad de las aplicaciones
y prevenir ataques cibernéticos.
1. OWASP ZAP (Zed Attack Proxy): ZAP es una herramienta de proxy de seguridad que se
utiliza para realizar pruebas de penetración, escanear vulnerabilidades y analizar la
seguridad de aplicaciones web. Permite identificar vulnerabilidades como inyecciones, XSS,
CSRF, entre otros.
8. OWASP Juice Shop: Juice Shop es una aplicación web de seguridad intencionadamente
insegura diseñada para que los desarrolladores practiquen y mejoren sus habilidades en
seguridad.
9. OWASP Security Headers: Esta herramienta ofrece una guía y recursos para implementar
cabeceras de seguridad HTTP en aplicaciones web, lo que ayuda a mitigar ciertos tipos de
ataques.
10. OWASP Web Security Testing Guide: Aunque no es una herramienta en sí, esta guía
proporciona un enfoque completo y detallado para probar la seguridad de las aplicaciones
web.
Estas son solo algunas de las muchas herramientas y recursos que OWASP ofrece para mejorar la
seguridad de las aplicaciones web. Cada herramienta aborda aspectos específicos de la seguridad,
lo que permite a los profesionales de seguridad y desarrolladores elegir las herramientas adecuadas
para sus necesidades de evaluación y mitigación de vulnerabilidades.
Nmap: Nmap (Network Mapper) es una herramienta de código abierto ampliamente utilizada para
el escaneo y el descubrimiento de redes. Su principal objetivo es mapear redes y sistemas, identificar
dispositivos en línea, puertos abiertos y servicios que se ejecutan en esos puertos. Nmap es
conocido por su capacidad para realizar escaneos rápidos y precisos de hosts y redes, y es muy útil
para administradores de sistemas y profesionales de seguridad para comprender la topología de la
red y las posibles exposiciones a amenazas.
En resumen, la diferencia clave entre un escaneo de Nmap y las herramientas de OWASP radica en
su enfoque y aplicación:
1. Phishing:
• Qué es: Un ataque de ingeniería social donde se envían mensajes falsificados para
engañar a las víctimas y obtener información confidencial.
• Fases: Preparación, envío del mensaje, interacción de la víctima.
• Herramientas: Herramientas de creación de correos electrónicos falsos, generadores
de sitios web phishing.
• Detección: Implementar soluciones de filtrado de correo electrónico, educar a los
usuarios sobre las señales de phishing y verificar los enlaces antes de hacer clic.
• Mitigación: Uso de autenticación de dos factores (2FA), monitoreo de sitios web falsos,
educación continua de usuarios.
2. Malware:
• Qué es: Software malicioso diseñado para dañar sistemas, robar datos o realizar
acciones no autorizadas.
• Fases: Distribución, ejecución, explotación.
• Herramientas: Kits de exploit, malware personalizado.
• Detección: Utilizar soluciones antivirus y antimalware actualizadas, escaneo regular de
archivos y sistemas.
• Mitigación: Mantener software y sistemas actualizados, evitar la descarga de archivos
sospechosos, implementar políticas de seguridad.
3. Ataques de Fuerza Bruta y Ataques de Diccionario:
• Qué es: Intentos repetidos de adivinar contraseñas utilizando fuerza bruta o listas de
palabras clave.
• Fases: Generación de combinaciones, prueba de contraseñas.
• Herramientas: Herramientas de fuerza bruta, diccionarios de contraseñas.
• Detección: Monitorear registros de intentos de acceso fallidos, implementar bloqueos
temporales después de varios intentos fallidos.
• Mitigación: Implementar políticas de contraseñas fuertes, utilizar autenticación de dos
factores (2FA), utilizar bloqueos automáticos.
4. Inyecciones:
• Qué es: Inserción de código malicioso a través de entradas de datos para explotar
vulnerabilidades en sistemas.
• Fases: Identificación de puntos de entrada, inserción de código, explotación.
• Herramientas: Herramientas de prueba de seguridad web (OWASP ZAP, Burp Suite).
• Detección: Realizar pruebas de seguridad en aplicaciones web para identificar
vulnerabilidades, utilizar herramientas de prueba de seguridad web.
• Mitigación: Validar y sanear las entradas de usuario, utilizar consultas parametrizadas
en bases de datos.
5. Cross-Site Scripting (XSS):
• Qué es: Inserción de scripts maliciosos en páginas web para robar información o
ejecutar acciones en el navegador del usuario.
• Fases: Inserción de script, entrega al usuario, ejecución.
• Herramientas: Herramientas de inyección XSS, navegadores y extensiones para
pruebas.
• Detección: Escanear sitios web en busca de vulnerabilidades XSS, implementar
encabezados de seguridad HTTP.
• Mitigación: Validar y sanear entradas de usuario, utilizar encabezados de seguridad
HTTP, utilizar Content Security Policy (CSP)
6. Ataques de Denegación de Servicio (DDoS):
• Qué es: Ataques a dispositivos de Internet de las cosas para tomar control o utilizarlos
en botnets.
• Fases: Identificación de dispositivos, explotación, reclutamiento.
• Herramientas: Escáneres de dispositivos IoT, malware personalizado.
• Detección: Monitorear el tráfico de red para identificar comportamientos anómalos de
dispositivos, escanear dispositivos en busca de vulnerabilidades.
• Mitigación: Mantener actualizado el firmware de los dispositivos, segmentar la red,
deshabilitar servicios innecesarios.
12. Ataques a Redes Wi-Fi: