Trabajo

Grupal
Fuentes de Datos

David López, Jorge Heras y Rubén Reyes

Contenido
Introducción ................................................................................................. 2

Metadatos y Espectro de Datos .................................................................... 3

Plan de gobernanza de datos ....................................................................... 6

Business Intelligence. La importancia del tratamiento de datos ......................10

Big Data y Escalabilidad de Datos ................................................................12

Data Insights ..............................................................................................14

Búsqueda de fuentes ..................................................................................20

Evaluación de fuentes .................................................................................25

1
Introducción

Este informe ofrece a startups y pequeñas empresas, un estudio detallado

sobre la gobernanza de datos y un plan de estudio para que se puedan iniciar en
el entorno del dato. Este estudio se hará desde el punto de vista de un equipo
técnico especializado en la gobernanza de datos.

Nuestro objetivo es relacionar los temas tratados en la asignatura de Fuentes de

Datos y crear un trabajo grupal de una forma más práctica. Queremos enfocar el
trabajo en entrelazar todos los conceptos y definiciones dadas y aplicarlas a lo
que sería un caso de consultoría real para una empresa en la que ayudaríamos
con temas como los metadatos, controles de acceso, fuentes de información,
etc.

Para ello, en cada una de las partes, combinaremos la teoría y la explicaremos

tal y como la hemos entendido, y después proporcionaremos ejemplos de casos
que podrían considerarse reales, destacando los riesgos o problemas que
pueden afectar a la empresa y posibles soluciones para éstos. Por último,
relacionaremos el documento con algún ejemplo, ya sea un artículo o notica,
sobre una empresa que haya usado medidas similares a las que proporcionamos
u otras soluciones.

2
Metadatos y Espectro de Datos

La importancia que adoptan los datos para una empresa es crucial. Por eso, en
nuestro informe no podía faltar la sección de los metadatos y el espectro de
datos. En primer lugar, vamos a hablar de los metadatos que recordemos que es
el conjunto de información estructurada que nos da detalles sobre otros datos,
es decir, los datos de los datos. En el sector en el que nos encontramos, la
ciberseguridad e IT, tenemos que concienciar que los metadatos son una pieza
muy valiosa para los ciberdelincuentes. Cada comunicación que hacemos en
línea como llamadas, enviar correos, búsquedas por Internet…todas esas
actividades y muchas más, dejan un gran rastro de datos a su paso.

Algunos peligros que pueden traer asociados los metadatos son:

• Filtraciones de la Información más sensible de la empresa. Los metadatos

de los documentos podrían mostrar datos de cómo es la organización y
su estructura. Qué tipo de empleados tiene, información acerca de ellos y
como se organizan.
• IPs y ubicaciones. Algunos de estos metadatos pueden traer información
geográfica por ejemplo en las fotos que se envían o en los documentos.

Si dejamos que los ciberdelincuentes tengan acceso a estos datos, nos

exponemos a unos riesgos tales como:

• Ataques de Ingeniería Social. Teniendo información sobre los empleados,

se pueden diseñar ataque tipo phishing eligiendo muy bien al empleado.
• Vulnerabilidades en nuestra seguridad. La exposición de permisos que
tienen ciertos empleados y sumado a un ataque de ingeniería social, como
hemos comentado, el atacante ya tendría su vector para introducirse.

Es por ello que la importancia de estar preparados y prevenidos es tan alta. A

día de hoy hay muchas formas de atacar a las empresas y cada día hay cientos
de ataques. Por ello proponemos estas medidas para evitarlos:

3
 • Educación y concienciación. Queremos capacitar a los empleados para
que entiendan la importancia. Crear charlas o cursos que sirvan de ayuda
para evitar ataques.
• Políticas y Procesos de seguridad. Implementar políticas de privacidad y
seguridad de datos con una buena gestión, y procesos a seguir en caso
de detectar una amenaza.
• Uso de herramientas de protección de datos como firewalls, antivirus, etc.

En cuanto al espectro de datos, esto tiene una relevancia significativa en el

ámbito de la ciberseguridad y la protección de datos en las empresas. Para
relacionarlo con un caso práctico en una empresa, consideremos un escenario
que involucra una empresa de comercio electrónico llamada "E-Shop".

E-Shop es una empresa que vende productos en línea y recopila datos de

clientes para proporcionar servicios personalizados y mejorar la experiencia del
usuario. Vamos a ver cómo se aplican los conceptos del espectro de datos en
este ejemplo práctico:

1. Datos de Acceso Interno (Acceso a datos internos):

E-Shop recopila una gran cantidad de datos internos, como historiales de

compras, información de cuentas de usuario y datos de navegación en su sitio
web. Estos datos son altamente confidenciales y solo están disponibles para
empleados autorizados, como el equipo de servicio al cliente y el equipo de
análisis de datos. La ciberseguridad aquí es esencial para garantizar que solo
las personas adecuadas tengan acceso a estos datos y que estén protegidos
contra posibles brechas de seguridad.

2. Datos Externos Primarios (Datos del cliente):

Los datos proporcionados por los clientes de E-Shop, como información de

registro, preferencias de productos y detalles de contacto, son datos externos
primarios. Estos datos son altamente valiosos para la empresa, ya que permiten
personalizar recomendaciones y mejorar la retención de clientes. La empresa
debe garantizar que estos datos estén protegidos y solo se utilicen de acuerdo
con los acuerdos de privacidad y consentimiento del cliente.

4
3. Datos Externos Secundarios (Datos externos del mercado):

E-Shop también puede utilizar datos externos secundarios, como datos de

mercado y tendencias de compras en línea, para ajustar su estrategia de ventas
y marketing. Estos datos son menos confidenciales, pero igualmente valiosos.
La empresa debe asegurarse de que estos datos se obtengan de fuentes
confiables y se utilicen de manera ética y legal.

En este contexto, el desafío principal de la ciberseguridad es garantizar que

todos estos tipos de datos estén protegidos de manera adecuada. A continuación
proponemos éstas medidas, que tienen relación con las mencionadas
anteriormente:

• Implementar controles de acceso: La empresa debe establecer sistemas

de autenticación y autorización sólidos para garantizar que solo las
personas autorizadas tengan acceso a los datos internos.
• Encriptación de datos: Para proteger la confidencialidad de los datos del
cliente, E-Shop debe cifrar la información tanto en reposo como en
tránsito.
• Cumplimiento normativo: La empresa debe cumplir con las regulaciones
de privacidad de datos, como el RGPD en Europa o leyes similares en
otras regiones, para garantizar que los datos de los clientes se utilicen de
manera legal y ética.
• Monitoreo y detección de amenazas: E-Shop debe implementar sistemas
de monitoreo de seguridad y detección de amenazas para identificar
posibles actividades maliciosas o violaciones de datos.
• Capacitación del personal: Lo que comentábamos de educar a nuestros
empleados en seguridad y buenas prácticas.

5
Plan de gobernanza de datos

En primer lugar, hablando de las fuentes primarias debemos tener en

cuenta que hay dos tipos, internas y externas. Las fuentes internas son los datos
que se generan dentro de la empresa sin ser tratados y las externas son fuentes
como instituciones públicas, como por ejemplo los Ministerios de trabajo,
economía…

Además, también queremos explicar que las fuentes secundarias tienen dos
tipos, las internas que son por ejemplo informes y estudios de dentro de las
organizaciones que utilizan información editada y tratada. Y las fuentes
secundarias externas que pueden ser públicas, de acceso libre y que estén los
informes subidos en la red, o privadas, es decir informes y estudios que tienen
un precio y son de acceso limitado para un público selecto.

Cuando la empresa en cuestión deba poner en marcha su estrategia de mercado

deberá tener en cuenta de donde se saca la información. Nuestras
recomendaciones en relación con las fuentes primarias y secundarias internas
son, realizar auditorías periódicas de las bases de datos internas para verificar
la integridad y precisión de los datos.

Nuestra segunda recomendación es establecer políticas de acceso a datos

internos y controlar quien puede modificar o acceder a la información. Con esto
buscamos que la empresa pueda proteger sus bases de datos internas y por lo
tanto también sus fuentes primarias internas mediante un control de permisos y
accesos el cual vamos a denominar autenticación y autorización.

Con esto queremos que la empresa pueda establecer para acceder a la base de
datos interna un método de doble factor de autenticación o de múltiple factor de
autenticación. El método de doble factor se basa en una pregunta de acceso por
credenciales y una segunda pregunta si la anterior es correcta de carácter
personal que pueda verificar que el usuario es quien dice ser. La diferencia con
el método de múltiple factor es que dicho método tiene obligatoriamente que
enviar un mensaje de verificación al usuario mediante otra plataforma para
verificar quien dice ser por ejemplo por correo o SMS.

6
Además, en el campo de la autorización se debe desarrollar un control de
permisos de acceso para que cierta información solo pueda accederse por los
empleados correctos. Es decir, una segmentación de permisos para que no sea
más fácil para los atacantes romper las credenciales de acceso de una cuenta
con todos los permisos de acceso y obtener acceso a todo el sistema.

En el ámbito de la autorización asimismo existen tipos de autorización, en primer

lugar, tenemos el RBAC, Role-Based Access Control, en este caso, los
administradores gestionan de forma centralizada, los permisos se conceden en
función de los roles de los empleados. Por otro lado, también hablamos del DAC,
Discretionary Access Control, el cual está absolutamente prohibido utilizar ya que
es un método que da acceso libre a todas las cuentas de usuarios de la
organización. Terminamos con el método MAC, Mandatory Access Control, el
cual se basa en el uso de una regla de autorización que analiza unos atributos
de seguridad y decide si el acceso puede tener lugar.

Continuamos con nuestras recomendaciones en relación con las fuentes

externas. Nuestro equipo recomienda que se verifique la confiabilidad y
credibilidad de los proveedores externos mediante referencias y revisiones de
contratos. Esto es extremadamente recomendable ya que lo primordial para la
empresa es la confiabilidad e integridad de sus datos. Para ello, es
recomendable tener garantías con nuestros proveedores externos de
información para que estos puedan asumir responsabilidad si los datos están
manipulados o son erróneos. Todo ello protegerá la veracidad de la información
que maneja y adquiere la empresa de fuentes de información externas ya sean
primarias o secundarias.

Asimismo, de manera general aconsejamos dos medidas, la primera es

implementar reglas de validación de datos para garantizar que solo se ingresen
datos precisos y completos en las bases de datos internas para poder asegurar
una confiabilidad asociada con la empresa en cuestión. La segunda medida es
utilizar algoritmos de verificación de integridad para detectar cambios no
autorizados en la información.

7
Continuamos con una breve explicación sobre el formato de datos y sus tipos, y
unas recomendaciones de cómo tratar estos datos en relación con la base de
datos de la empresa. Primero, existen varios tipos de formatos de datos, tenemos
los datos no estructurados, cualquier dato que no cabe en un Excel, pueden ser
internos por ejemplo email, cartas, SMS, videos, mensajes de voz. O también
pueden ser externos, posts en redes sociales, comentarios en foros online y en
redes, etc.

También tenemos los datos estructurados, que son un modelo de datos

especifico con un orden predefinido, puede haber internos que son creados por
humanos como encuestas, o por máquinas como datos de compras online.
Asimismo, tenemos los datos estructurados externos creados por humanos
como número de retweets, likes en Instagram o creados por máquinas, el GPS
del tweet, la hora de este y demás.

Terminamos con los datos de formato semiestructurado los cuales contienen

ambos tipos de datos, sin embargo, no obedecen a estructuras tabulares, sino
que contienen etiquetas u otros marcadores que las organizan.

Después de esta explicación sobre los tipos de formatos de datos, expondremos

nuestras recomendaciones para que la empresa en cuestión pueda proceder a
una ingesta de datos en sus servidores internos, pero con algunas pautas.

Primero y para los datos estructurados, recomendamos que se valide y se

asegure de que los datos estructurados cumplan con las restricciones y reglas
definidas en las bases de datos.

En segundo lugar, para los datos de formato semiestructurado aconsejamos

definir una estructura más formal utilizando estándares como XML o JSON. Sin
embargo, también impulsamos a la compañía a que establezca procesos de
transformación de datos semiestructurados en datos completamente
estructurados para su integración en las bases de datos de la empresa.

En tercer lugar, para los datos no estructurados recomendamos implementar

herramientas de extracción de texto y análisis de contenido para poder clasificar,
indexar y buscar datos no estructurados de manera más eficiente. Además, la

8
empresa debería aplicar etiquetas y metadatos a los datos no estructurados para
facilitar su organización y búsqueda.

9
Business Intelligence. La importancia del tratamiento de datos

Para una nueva empresa en formación, es fundamental reconocer la

importancia de la inteligencia empresarial (BI) como la opción principal para
tomar decisiones estratégicas. En este contexto, la selección cuidadosa de
plataformas y sistemas escalables es clave; no es necesario implementar
soluciones complejas desde el principio. Además, la calidad de los datos es
esencial, siempre todo centrado en la precisión desde el comienzo. El
establecimiento de un ciclo de datos eficiente, desde la recopilación hasta el
procesamiento, es crucial. La preparación y limpieza de datos son pasos críticos
para garantizar la utilidad y precisión de la información. La gestión de información
debe ser una prioridad desde el inicio, con claridad en las responsabilidades y la
implementación de políticas sólidas.

La seguridad de datos es un aspecto ineludible. Implementar medidas robustas

para proteger la privacidad de los datos y garantizar el cumplimiento normativo
es esencial. Asimismo, la adaptabilidad y escalabilidad de las soluciones
tecnológicas permitirán la integración de nuevas tecnologías a medida que la
empresa crezca.

La capacitación continua del equipo en el uso efectivo de las herramientas de BI

es esencial. Un equipo bien capacitado maximiza el valor de la información
disponible. En un entorno donde la ciberseguridad es una preocupación
constante, promover la conciencia de seguridad en todos los niveles de la
organización se vuelve crucial.

En resumen, la nueva empresa debe centrarse en la construcción de una base

sólida para la inteligencia empresarial y la gestión eficiente de datos desde el
inicio. Estas prácticas sólidas proporcionarán una estructura para el crecimiento
sostenible y la toma de decisiones informada a lo largo del tiempo.

10
11
Big Data y Escalabilidad de Datos

Para las empresas que están dando sus primeros pasos, comprender la
escala masiva de los datos es esencial. La gestión eficaz de grandes volúmenes
de información se ha vuelto crucial en el entorno empresarial actual. A medida
que los datos aumentan exponencialmente, desde la capacidad de
almacenamiento de smartphones hasta las predicciones de crecimiento de
zetabytes, es imperativo que las empresas en formación se preparen para
sumergirse en este vasto océano de información.

La llegada de datos masivos impulsa dos tendencias significativas: la gestión de

big data interna y la utilización de información externa de fuentes abiertas.
Ambos enfoques son esenciales para construir una inteligencia corporativa
sólida. Las empresas deben adoptar tecnologías avanzadas para capturar,
almacenar y procesar datos internos, al tiempo que exploran fuentes abiertas
para obtener información valiosa del entorno exterior. Entender estas tendencias
y aplicar estrategias para gestionar y analizar datos es esencial para el éxito
empresarial.

En este entorno de datos masivos, la tecnología de big data desempeña un papel

crucial. Las empresas deben comprender que big data no solo significa grandes
cantidades de información, sino también datos complejos y no estructurados. La
adopción de tecnologías especializadas para recopilar, estructurar y almacenar
esta información es esencial. La transición de los métodos tradicionales, que
implicaban limpiar y estructurar los datos antes de almacenarlos, a la capacidad
de capturar y almacenar datos en su estado nativo, marca un cambio
significativo.

Sin embargo, junto con las oportunidades que presenta el big data, también
surgen nuevos desafíos y riesgos. La autenticidad de los datos, la verificación de
su procedencia, la protección contra el robo y la corrupción son preocupaciones
críticas. Para las empresas en formación, es esencial establecer sólidas
prácticas de gobierno de datos desde el principio, garantizando la integridad y la
seguridad de la información.

12
En resumen, para las empresas que están dando sus primeros pasos, la gestión
efectiva de grandes volúmenes de datos y la comprensión de las tendencias de
big data son fundamentales. La adopción de tecnologías avanzadas, la
exploración de fuentes abiertas y la atención a la seguridad de los datos son
pasos esenciales para aprovechar el potencial transformador de la información
en el competitivo entorno empresarial actual.

13
Data Insights

Los Data Insights, o percepciones de datos, desempeñan un papel crucial

en la toma de decisiones dentro de cualquier organización. En el contexto de la
gobernanza de datos, los insights no solo se centran en la recopilación y análisis
de datos, sino también en comprender el contexto que impulsa los cambios en
los patrones o elecciones que se observan. En este apartado, exploraremos la
importancia de los Data Insights en el marco de la gobernanza de datos y cómo
su aplicación puede beneficiar a las empresas.

Los Data Insights implican la capacidad de extraer conocimientos significativos

y comprender las relaciones ocurridas detrás de los números y la información.
Por ejemplo, si se registra un aumento en las ventas, el dato sería que "las ventas
han subido este mes". Sin embargo, un data insight no proporcionaría respuestas
a preguntas más profundas: ¿por qué han subido las ventas? ¿Qué factores
específicos han impulsado a los clientes a comprar más?

En el contexto de la gobernanza de datos, la generación de insights implica la

aplicación de prácticas específicas para garantizar que los datos estén
disponibles, sean confiables y se utilicen de manera eficiente para obtener
información valiosa. Esto incluye la gestión adecuada de metadatos para
contextualizar la información y establecer relaciones entre conjuntos de datos
dispersos.

A continuación adjuntamos una imagen para complementar la explicación.

Imagen extraida de: https://blog.bismart.com/diferencia-entre-datos-informacion-
insights. La gráfica de la izquierda muerstra los datos obtenidos por la empresa,
éstos sólo nos dicen que ha habido un aumento de las ganancias. Pero, ¿por
qué ha ocurrido?, ¿qué ha hecho que se impulse?, entre otras preguntas, son
las que contesta el data insight y que vemos perfectamente ejemplificado en la
parte derecha donde los anteriores datos toman un significado y sentido para
hacer mejorar a la organización.

14
Aplicando lo explicado a una empresa y con el enfoque que le queremos dar en
nuestro trabajo, proponemos los siguientes usos para la coberseguridad.

1. Analizar los patrones de acceso no autorizado

En este caso la empresa obtendría unos datos que indican el aumento de intento
de acceso no autorizados a la red. Es en este punto, donde aplicaríamos los data
insights. Gracias a ellos, la empresa conseguiría obtener de donde provienen
esos intentos, desde que puntos geográficos se está intentando acceder. Luego,
gracias al análisis, la empresa podrá implementar medidas de control para
restringir o monitorear el tráfico proveniente de esa ubicación específica.
Además, se refuerzan los controles de autenticación y se alerta al equipo de
seguridad para investigar más a fondo las actividades maliciosas y mitigar el
riesgo.

2. Seguimiento de Comportamiento de Usuarios Privilegiados

A partir de la detección de la actividad inusual de un usuario con privilegios

elevados, podemos analizar los registros de actividades e identificar que un
usuario con privilegios está accediendo a áreas del sistema que no corresponden
a sus responsabilidades normales. Este insight sugiere una posible amenaza
interna o el compromiso de credenciales. La solución es rápida, se revocan
inmediatamente los privilegios del usuario afectado, se lleva a cabo una
investigación exhaustiva para determinar si se trata de un incidente de seguridad
interno un error y se refuerzan los controles de acceso y la monitorización de
usuarios con privilegios elevados.

15
 3. Detección de Ataques de Ingeniería Social (Phising)

Pongamos ahora que nuestra empresa está teniendo un aumento de clics en

enlaces sospechosos a través de los correos electrónicos. Después de realizar
un análisis y ver las interacciones de los trabajadores y usuarios de la empresa,
se descubre que los empleados del departamento de marketing son más
propensos a hacer clic en enlaces sospechosos. Esto indica la necesidad de una
capacitación adicional en concientización sobre seguridad para ese grupo ya que
no suele estar compuesto por profesionales de la seguridad y lo que quieres es
que salga todo adelante sin prestar mucha atención a posibles ataques o estafas.

Para su solución, se implementará un programa de formación en concientización

sobre seguridad y que éste sea específico para el departamento de marketing.
Además, se refuerzan las soluciones de filtrado de correo electrónico y se
realizan simulacros de phishing para evaluar continuamente la resistencia de los
empleados ante posibles amenazas de ingeniería social.

4. Vulnerabilidades identificadas

Como último ejemplo, tomaremos uno enfocado a los ataques más directos y
brechas de seguridad. Tras realizar una auditoría completa a la empresa
solicitante, descubrimos múltiples sistemas con software desactualizado y sin
ningún tipo de seguridad para ellos que impida que sean un vector de ataque. Al
correlacionar esta información con las amenazas de seguridad actuales, se
obtiene el insight de que la falta de actualizaciones está dejando a la empresa
vulnerable a ataques conocidos, comunes y muy fáciles de ejecutar. Para ello se
establecerá un plan de parcheo prioritario basado en la criticidad de las
vulnerabilidades.

Lo más importante primero sería eliminar esas posibles amenazas. Se

implementará un sistema automatizado de gestión de vulnerabilidades que
prioriza y aplica parches críticos de manera proactiva y efectiva. Esto reduce la
exposición a posibles ataques y fortalece la postura de seguridad de la empresa,
al menos hasta que se busque la verdadera solución. Una vez hecho,
pasaríamos a crear el plan de prevención y de seguridad para mejorarla en
dichos dispositivos y softwares.

16
Hemos estado comentando algunas herramientas para los data insights. Pues
bien, algunas de las más destacadas son Hadoop y Power Bi entre otras.

En cuanto a la primera, Hadoop es un marco de código abierto diseñado para el

procesamiento y almacenamiento distribuido de grandes conjuntos de datos.
Está compuesto por dos componentes principales: el sistema de archivos
distribuido Hadoop Distributed File System (HDFS) y el modelo de programación
MapReduce. Hadoop permite dividir grandes conjuntos de datos en bloques y
distribuirlos en un clúster de computadoras para realizar operaciones de
procesamiento en paralelo.

Almacenamiento Distribuido (HDFS): Hadoop almacena datos en un sistema de

archivos distribuido llamado HDFS. Los datos se dividen en bloques y se
distribuyen en varios nodos del clúster, lo que permite un acceso rápido y
eficiente a grandes volúmenes de información.

Procesamiento Distribuido (MapReduce): La programación MapReduce es la

capacidad de procesar y analizar datos de manera distribuida. Permite dividir
una tarea en subprocesos más pequeños que se ejecutan en diferentes nodos
del clúster, procesando así grandes conjuntos de datos de manera paralela.

17
Hadoop es altamente escalable y tolerante a fallos. Puede manejar conjuntos de
datos de varios terabytes o incluso petabytes y proporciona redundancia para
garantizar la disponibilidad de datos incluso en caso de fallos en nodos
individuales. De ahí su uso en varios sectores para el almacenamiento de los
datos.

Por otro lado, Power BI es una plataforma de inteligencia empresarial

desarrollada por Microsoft que proporciona herramientas para el análisis
interactivo y la visualización de datos. Se integra con una amplia gama de
fuentes de datos (bases de datos, servicios en la nube, etc.) y ofrece opciones
de creación de informes y paneles de control.

Los usuarios pueden crear informes interactivos mediante gráficos, tablas

dinámicas y mapas. Estas visualizaciones pueden personalizarse para
adaptarse a las necesidades específicas del usuario. También nos facilita la
creación de paneles de control que proporcionan una vista consolidada de los
datos clave de una organización.

Por lo tanto, hemos podido comprobar la importancia del manejo de los datos y
de los data insights y sus herramientas. En nuestro sector de la ciberseguridad,

18
algunas empresas CrowdStrike y FireEye, han demostrado la efectividad de la
aplicación de Data Insights para la detección proactiva de amenazas y la
respuesta rápida a incidentes de seguridad. Luego por todo esto, podemos
destacar la importancia de la analítica avanzada en la defensa contra amenazas
cibernéticas y prevención de las mismas.

19
Búsqueda de fuentes

Cuando hablamos de fuentes debemos tener en cuenta que hay distintos

tipos como ya hemos visto anteriormente como son las fuentes internas y
externas. Nuestro equipo de expertos afirma que por naturaleza la información
de fuente interna suele ser integra y fiable ya qué suele estar escrita por uno
mismo o por algún integrante de la empresa en cuestión.

Esto no quiere decir que la información sea o no errónea, sino que la información
sale de una fuente de alta fiabilidad. Por ello, escribimos estos artículos porque
necesitamos que nuestros usuarios puedan hacer frente a las malversaciones
de información de la manera más eficaz posible y asi discernir entre fuentes
externas fiables o manipuladas.

Por lo tanto, nuestro modus operandi cuando tenemos que realizar algún estudio
o informe se basa en tres dimensiones, fuentes de datos, fuentes de información
y fuentes de inteligencia. En primer lugar, debemos tener en cuenta de donde
sacamos los datos por ello debemos hacer un estudio detallado comparando las
fuentes de datos con otras de la misma categoría. Por ejemplo, cuando tenemos
nuestros equipos bajo la influencia de un hacker lo primero es identificar la
naturaleza del código fuente del malware, para ello podemos hacer un estudio
ayudándonos de fuentes de datos primarias externas como “VirusTotal”.
VirusTotal es un producto de Google que analiza archivos, IPs, direcciones y
dominios que pueden ser sospechosos para detectar amenazas y que las
victimas puedan responder a ellas.

Continuamos con las fuentes de información, entendemos como información los

datos que han sido analizados y publicados por una persona conocedora de

20
dicha información, generalmente se puede clasificar dicha fuente de información
como noticias. Nuestro equipo ha querido poner un ejemplo de esferas de interés
de fuentes de información en el ámbito de la ciberseguridad, aunque existen
miles, podemos destacar las fuentes por tipo (malware, spyware, phishing), por
autor (APT comerciales, patrocinados por el estado…) y por geografía. El punto
clave en este apartado es la calidad de la fuente, generalmente una fuente de
información de calidad es aquella que posee como autor una persona dedicada
al ámbito laboral de esta. Por norma general, las fuentes de información de
mayor calidad suelen ser periodistas que trabajan en el sector y que están
acreditados por grandes firmas de este.

Proseguimos con las fuentes de inteligencia, en primer lugar pongamos un

ejemplo de inteligencia como puede ser la ciber inteligencia, es decir, la
comprensión de las amenazas cibernéticas y sus orígenes. Como expertos
somos conocedores de tres tipos de fuentes distintas de inteligencia: grupos de
especialistas del estado como el CCN-Cert, empresas privadas de
ciberseguridad como Kaspersky y periodistas del sector como Ben Buchanan.
En general, los CERTS como el del CCN que dan servicio a la administración
pública son equipos de respuesta a emergencias de ciberseguridad con lo cual
suelen ser las fuentes más fiables de inteligencia. Asimismo, creemos que los
dos principales objetivos de este tipo de fuentes son advertir al público de
posibles riesgos y la atribución del riesgo, es decir quien fue el responsable de
un ciberataque.

21
Terminamos hablando de las escaleras de fuentes, con este término nos
referimos a la búsqueda de expertos en un sector el cual desconocemos. Cuando
estamos en un proyecto el cual nos es muy amplio lo primero es sintetizar los
temas que queremos abarcar, después de abarcar estos temas debemos
encontrar expertos relevantes en los distintos temas. Para ello los individuos que
debemos tener en cuenta suelen ser los periodistas ya que son profesionales
que quieren ser encontrados. Sin embargo, también podemos encontrar otro tipo
de especialistas como por ejemplo profesionales que trabajan en empresas
privadas o públicas del sector.

Después de elegir que profesionales son los que queremos encontrar, debemos
saber dónde buscarlos, para ello podemos buscar en blogs, periódicos… Al
haber encontrado un periódico fiable que abarque el tema buscado vamos a su
página de Twitter y nos metemos en sus seguidores (es decir, sus empleados).
En este punto tenemos a disposición un gran abanico de expertos en el tema
designado, solo tenemos que encontrar el o los que mejor nos convengan.
Gracias a esto, podemos encontrar a mejores expertos en el tema mirando los
seguidores de los empleados. A esto lo podemos denominar “source ladders” o
escalera de fuentes ya qué realizamos un proceso de bucle infinito mirando los
seguidores más relevantes de uno, luego de otro y del siguiente, hasta tener un
abanico de alta relevancia.

Tomaremos un caso sencillo, a nuestro equipo se le contrata para hacer un

estudio sobre cuáles son las herramientas más utilizadas para vulnerar
servidores, páginas web y bases de datos. Lo primero que haremos será
encontrar una fuente de información fiable, para ello buscamos periódicos
especializados en el tema. Por ejemplo, The Hacker News, esta página web es
un sitio de noticias especializado en ‘Data-Breaches, Vulnerabilities y Cyber
Attacks’.

22
Después de encontrar la página web de The Hacker News podemos ver que
arriba a la derecha tienen tres iconos muy relevantes, Twitter, Facebook y
Linkedin, el que nos interesa en este caso es el primero.

Para encontrar profesionales de gran relevancia nos metemos directamente en

las personas a las que sigue The Hacker News que probablemente sean o sus
empleados o personas de muy alta relevancia en el sector.

Encontramos a Jason Haddix, CISO de BuddoBot, asimismo podemos ver que

su perfil es de muy alta relevancia. Actualmente tenemos dos opciones después
de anotar a Jason Haddix en nuestro bloc de notas, introducirnos en las personas
que sigue Jason o las personas que sigue BuddoBot, un equipo de hackers
profesionales especializados en el ámbito del red team. Únicamente veremos las
personas que sigue Jason en este ejemplo, aunque las dos opciones son igual
de válidas. Después de una breve búsqueda encontramos en los seguidos de
Jason una persona de gran relevancia como es Ben Sadeghipour.

23
Ben es el cofundador de Hackinghub_io y uno de los organizadores de la
NahamCon, una conferencia de seguridad Virtual. En este punto nosotros ya
hemos comenzado un bucle de Source Ladder, hemos encontrado a un individuo
el cual es seguido por un periódico de gran relevancia y nos hemos introducido
en sus seguidos para encontrar otros profesionales del sector y asi es como
hemos encontrado a nuestro segundo profesional, Ben. Podríamos continuar
introduciéndonos en los seguidos de Ben y encontrar otras empresas
acreditadas en el sector o profesionales validados por otros profesionales del
ámbito de la Ciberseguridad.

24
Evaluación de fuentes

Generalmente, en internet podemos constatar la existencia de noticias y

de noticias falsas, las denominadas Fake News. Pongamos un ejemplo, un
medio realmente conocido sube un artículo con el porcentaje de empresas
afectadas por ataques de phishing en el último año. Esa estadística sale de una
fuente poco fiable por lo cual la noticia del medio con alta fiabilidad se convierte
en una noticia falsa si la información es errónea, para que como consecuencia
de esto el grado de fiabilidad del medio disminuya.

Como expertos nosotros enseñaremos como evaluar las fuentes, en este caso
nos enfocaremos en las fuentes externas secundarias. Primero debemos medir
la fiabilidad de la fuente y luego medir la credibilidad y calidad de la información.
Tenemos dos tipos de método para evaluar las fuentes: el método militar y el
método CRAAP.

Empezamos con el militar, el cual se suele usar por entidades militares para
evaluar las fuentes de inteligencia e información. Este método se basa en la
medición de la ‘A’ a la ‘F’ para la evaluación de la fuente y del 1 al 6 para la
evaluación de la información. Pongamos un ejemplo, queremos medir el grado
de fiabilidad de una fuente, usaremos el articulo https://www.cisa.gov/news-
events/alerts/2023/10/11/fbi-and-cisa-release-update-avoslocker-advisory.

25
Evaluamos la fuente, el artículo ha sido escrito por la CISA, CYBERSECURITY
& INFRASTRUCTURE SECURITY AGENCY, es un departamento de seguridad
nacional del gobierno de los Estados Unidos. Podemos calificarlo como una
fuente completamente fiable es decir de tipo A.

Evaluamos la información, el artículo trata sobre una actualización sobre nuevas

tácticas, técnicas y procedimientos asociados con el ransomware AvosLocker.
Esta información ha salido directamente de la entidad CISA debido a un estudio
sobre el AvosLocker que han realizado. Un ejemplo de esta nueva información
es que el AvosLocker opera con algunos programas de administración como por
ejemplo Splashtop Streamer, PuTTy, AnyDesk… Estas herramientas las utilizan
después como puertas de atrás en los sistemas informáticos para acceder a
ellos. Esta información se ha sacado, como especifica la CISA en su informe, de
Mitre Attack. Contrastamos esta información con una página web denominada
News Sophos la cual nos informa que AvosLocker modificaba la configuración
del Modo Seguro de Windows para instalar y usar el programa AnyDesk, como
hemos visto anteriormente en el informe de la CISA. Con lo cuál podemos
calificar esta información con un 1 sobre 6 ya que la hemos confirmado con otras
fuentes. La evaluación final es de A1.

El informe de la CISA: https://www.cisa.gov/sites/default/files/2023-10/aa23-

284a-joint-csa-stopransomware-avoslocker-ransomware-update.pdf

El artículo de Sophos: https://news.sophos.com/en-us/2021/12/22/avos-locker-

remotely-accesses-boxes-even-running-in-safe-mode/

26
Continuamos con el método CRAAP, un enfoque diseñado para los estudiantes
universitarios que trabajan en proyectos de investigación. Este método se basa
en seis puntos distintos, Actualidad de la información, Relevancia de la
información, Autoridad de la información, Fiabilidad del contenido y la Razón por
la cual la información existe.

Pongamos un ejemplo para poner en práctica el método CRAAP, hablemos del

artículo de Pirani Risk, ¿Qué pudo causar el rasomware a IFX Networks?
https://www.piranirisk.com/es/blog/posibles-causas-ataque-cibernetico-ifx-
networks .

Empezamos con la actualidad de la información, este artículo se escribió el 20

de septiembre de 2023, teniendo en cuenta que han pasado 2 meses desde la
publicación, podríamos decir que probablemente haya habido actualizaciones
sobre el caso y que el artículo no sea totalmente fiable. En el punto de la
relevancia de la información podemos decir que efectivamente la información se

27
relaciona con el tema, sin embargo nosotros no utilizaríamos esta información
en nuestros artículos ya que la autora de este articulo no pone las referencias de
la información que divulga. Hablando de la autora podemos hablar del tercer
punto, la autoridad de la información es Mónica María Jiménez, una periodista
de la Universidad Pontificia Bolivariana, ha escrito diversos artículos
relacionados con el sector tecnológico, de salud, energía… Sin embargo no es
una autoridad en el sector de la Ciberseguridad de gran importancia ya que no
es licenciada en el campo ni se ha especializado en el sector bajo ningún tipo de
estudios ni formación extracurricular. En el punto de la fiabilidad del contenido,
no podemos respaldar la información por referencias puestas en el artículo, por
ejemplo información como : “mientras que el Ministerio de Salud reconoció que
más de 55 millones de datos se vieron afectados” lo hemos podido confirmar con
otro articulo de la página https://www.asuntoslegales.com.co/actualidad/existen-
55-millones-de-datos-del-ministerio-de-salud-secuestrados-tras-un-ataque-
cibernetico-a-ifx-network-en-caso-de-ransomware-3705364 .

Sin embargo, podríamos poner en duda este articulo ya que la información no se

ve respalda de manera clara por otros medios lo que produce un efecto de falta
de fiabilidad sobre la fuente. Terminamos con la razón por la cual la información
existe, este articulo se ha visto escrito de manera objetiva ya que no se ve a la
vista ningún pensamiento político subjetivo. El objetivo y la razón por la cual esta
información existe es debido a que al final del articulo la autora nos explica como
podemos evitar un ciberataque. Sin embargo, desde nuestro punto de vista las
recomendaciones nos parecen muy generales y poco indicativas de un
conocimiento solido en el sector de la Ciberseguridad. Finalmente, podríamos
decir que esta fuente, Pirani Risk y la autora Mónica María Jiménez no parecen
una fuente realmente fiable de información debido a su falta de referencias, la
28
naturaleza de la fuente y la autoridad de esta. Siempre es recomendable buscar
artículos en medios destinados a la Ciberseguridad como hemos visto
anteriormente con The Hacker News.

29
Robo de datos

El robo de datos es una amenaza presente en todas las empresas que

abarca desde ataques básicos hasta operaciones a gran escala, como las
llevadas a cabo por estados. Con el avance del tiempo, los hackers empiezan
desde los más jóvenes como el caso de Alcasec y utilizando métodos como
exploits, inyecciones SQL, spyware, phishing y controles de acceso defectuosos.

La evolución de los métodos de ataque, ahora impulsada por inteligencia artificial

y aprendizaje automático, requiere una respuesta estratégica y tecnológica para
proteger la información.

En este apartado vamos a presentar unas propuestas para defenderse y prevenir

estos ataques además de una pequeña descripción de cada uno.

Un exploit es un ataque que aprovecha vulnerabilidades en el software de una

empresa para acceder a sus sistemas. Los objetivos típicos incluyen sistemas
operativos, navegadores web, etc. Por ejemplo, un hacker podría utilizar una
vulnerabilidad no parcheada en el sistema operativo de una empresa para ganar
acceso no autorizado a sus servidores. Luego, para evitar este riesgo y mitigarlo
debe mantener el software actualizado con los últimos parches de seguridad,
realizar auditorías regulares de seguridad y utilizar soluciones de detección de
amenazas.

En una inyección SQL permite al ciberdelincuente introducir código malicioso en

la base de datos y alterar sus valores. El objetivo es obtener acceso no
autorizado a datos sensibles almacenados en dicha base. Imaginemos que un
cracker inserta código SQL en un campo de entrada de un sitio web,
manipulando así la consulta y obteniendo acceso a información confidencial.
Podemos asegurarnos de que no ocurra implementando medidas de seguridad
como la validación de entradas, el uso de consultas parametrizadas y auditar
regularmente la seguridad de la base de datos y no dando pistas sobre si hemos
fallado en el usuario o la contraseña.

El spyware es un tipo de malware que se infiltra en una computadora o red para

recopilar información sin el conocimiento del usuario. Puede instalarse

30
camuflado de software aparentemente legítimo. Pongamos que un empleado
descarga un programa gratuito que contiene spyware, lo que permite a un
atacante espiar sus actividades en la empresa. Utilizar software antivirus
actualizado, educar a los empleados sobre prácticas seguras de descarga y
mantener una política de permisos estricta hará que nuestra empresa prevenga
este ataque.

Los ataques de phishing engañan a las personas para que revelen información
confidencial, como nombres de usuario y contraseñas, mediante la manipulación
psicológica (ingeniería social). Suelen comenzar con correos electrónicos
falsificados y es uno de los ataques más comunes. Un empleado recibe un correo
electrónico aparentemente legítimo que solicita sus credenciales de inicio de
sesión, pero en realidad es un intento de phishing. Capacitar a los empleados
para reconocer correos electrónicos sospechosos, utilizar filtros de spam y
autenticación de doble facto, y realizar simulacros de phishing a modo de
prevención.

Por último, los controles de acceso incorrectamente configurados permiten el

acceso no autorizado a partes privadas de un sitio web. Puede ser resultado de
configuraciones defectuosas o errores de algún empleado a la hora de
configurarlo. Por ejemplo, si una empresa configura incorrectamente los
permisos en una base de datos, permitiendo el acceso público a datos
confidenciales. Para esto, realizar auditorías regulares de configuración de
acceso, implementar principios de mínimo privilegio y utilizar herramientas de
análisis de seguridad.

Teniendo en cuenta todo esto, volvemos a relacionar que la medida más

importante es la concienciación de los empleados de la empresa. Esto implica
que cada uno de los trabajadores que estén en contacto con sistemas de
información, deben tener unos requisitos y conocimientos sobre seguridad. Lo
que la empresa puede hacer en estos casos es realizar charlas o proporcionar
cursos/ certificaciones a los empleados de forma periódica para verificar que
cuentan con la preparación necesaria. Por otro lado, en caso de no haber
conseguido prevenir el ataque, contar con un buen plan de respuesta es esencial

31
en la empresa. Unos buenos procedimientos para responder correctamente a los
posibles riesgos y ataques pueden marcar la diferencia.

A parte de las medidas organizativas y físicas, también tendremos en cuenta las

técnicas. Entre ellas encontramos la implantación de software de protección,
firewall para filtrar el tráfico que recibe la empresa, un EDR ya que un antivirus
solo protegería al dispositivo y ésta medida protege la red, dispositivos y es más
fiable y potente. Y muchas más medidas.

32