Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MICROEMPRESAS Y
AUTÓNOMOS DEL SECTOR
DE ASOCIACIONES
Unidad 2.
Conoce a tu enemigo
Parte teórica
1
CONTENIDOS
11 PRINCIPALES AMENAZAS
2 ACTORES
3 AMENAZAS INTERNAS
Unidad 2
Conoce a tu enemigo
2
OBJETIVOS
Los principales objetivos de esta unidad son:
Unidad 2
Conoce a tu enemigo
3
1 PRINCIPALES AMENAZAS
Unidad 2
Conoce a tu enemigo
4
1 PRINCIPALES AMENAZAS
Una amenaza es una circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias
negativas sobre los activos, provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. El origen
de las amenazas puede deberse a causas naturales o accidentales, o ser intencionada. Si esta circunstancia
desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas, o aprovechando su
existencia, puede derivar en un incidente de seguridad.
Unidad 2
Conoce a tu enemigo
5
1 PRINCIPALES AMENAZAS
SOFTWARE MALICIOSO
También llamado malware o código malicioso. Incluye virus, gusanos, troyanos, etc.
EXPLOIT
Se trata de una secuencia de comandos que se aprovechan de un fallo o vulnerabilidad en el
sistema, provocando un comportamiento no deseado o imprevisto. Los objetivos pueden ser: tener
acceso al sistema de forma ilegítima, obtener permisos de administrador en el sistema accedido o
causar un ataque de denegación de servicio a un sistema.
Unidad 2
Conoce a tu enemigo
6
1 PRINCIPALES AMENAZAS
PHISHING
Este tipo de ataque se realiza comúnmente a través de correos electrónicos, donde se intenta convencer
a un usuario para que confíe en el contenido del mismo, con la intención de obtener información (por
ejemplo, contraseñas o claves de acceso). Este tipo de ataques también pueden realizarse a través de
servicios de mensajería instantánea. Ejemplo de ello es el fraude suplantando a Cáritas [1].
RANSOMWARE
Se define como tipo de malware que secuestra la información del dispositivo de la víctima, solicitando
un rescate, normalmente en criptomonedas, para poder recuperar la información.
FUGAS DE INFORMACIÓN
Acción que se produce cuando la información de la empresa es publicada o difundida en Internet por
descuido o por un atacante, quedando expuesta al acceso o visualización de terceros, conteniendo esta
información datos personales. Un caso es el de Oxfam Australia, que tras un ciberataque se confirmó
que la información de 1,7 millones de usuarios estaba siendo vendida [3] Unidad 2
Conoce a tu enemigo
8
1 PRINCIPALES AMENAZAS
SUPLANTACIÓN DE IDENTIDAD
Se habla de suplantación de identidad cuando un atacante se hace con los medios de identificación
de una entidad o persona física, por ejemplo, la firma digital, de tal forma que puede utilizarlos para
hacerse pasar por la persona física o entidad sin diferenciación alguna con la entidad o persona
física real.
VISHING
Al igual que el phishing, consiste en una técnica de ingeniería social realizada por vía telefónica.
Uno de los ataques más comunes hoy en día es el falso soporte técnico, donde te indican que tu
equipo está comprometido y pueden ayudarte a solucionarlo.
Unidad 2
Conoce a tu enemigo
9
1 PRINCIPALES AMENAZAS
El malware o código malicioso es un programa diseñado para tener acceso a sistemas informáticos
específicos, robar información o interrumpir las operaciones del ordenador. Dentro de esta definición se
engloban diferentes tipos de código malicioso, como los virus, gusanos y troyanos, siendo su objetivo común dañar
o infiltrarse sin el consentimiento del propietario, variando su modo de operar o propagarse.
Unidad 2
Conoce a tu enemigo
10
1 PRINCIPALES AMENAZAS
VIRUS
GUSANO
TROYANO
Malware con múltiples utilidades. Una de ellas es la creación de puertas traseras en
equipos infectados para descargar actualizaciones y funciones nuevas.
Unidad 2
Conoce a tu enemigo
11
1 PRINCIPALES AMENAZAS
¿Y qué ocurre cuando un ordenador es
infectado por un código malicioso?
1
Aquí vemos un ejemplo:
1. Un troyano puede infectar mi ordenador al pinchar en una imagen
o un enlace en una página web afectada o por abrir un archivo
adjunto en un correo electrónico de dudosa procedencia. 3
2. Una vez que mi ordenador ha sido afectado, puede ser 2
Unidad 2
Conoce a tu enemigo
14
1 PRINCIPALES AMENAZAS
BOTNETS
Se refiere a un conjunto de ordenadores, al que se denominan bots, que son controlados de
manera remota por un atacante. Los bots son utilizados para realizar un conjunto de actividades
maliciosas, como por ejemplo, el envío de spam, ataques de denegación de servicio (DoS), etc.
INCIBE pone a disposición de tu empresa un servicio gratuito que permite saber de manera fácil y sencilla
si algún equipo de tu empresa está infectado por una botnet [6]. Unidad 2
Conoce a tu enemigo
16
1 PRINCIPALES AMENAZAS
Antes de ver algunas formas de prevenir estos ataques de código malicioso, vamos a terminar
de ver en detalle cada amenaza.
Unidad 2
Conoce a tu enemigo
17
1 PRINCIPALES AMENAZAS
Unidad 2
Conoce a tu enemigo
18
1 PRINCIPALES AMENAZAS
Entonces, ¿nuestra página web podría quedar inutilizada por un ataque de estas
características?
Así es. Esto nos impediría seguir ofreciendo nuestros productos y servicios, por lo que si
tienes un negocio que realice venta online verías interrumpida tu actividad.
Facilidades
• Los ciberdelincuentes disponen de diversos recursos para organizar este tipo de ataques. Existen
mercados ilegales con herramientas y servicios disponibles para este fin.
• Disponer de estos servicios es un proceso simple y barato, por lo que pueden tener acceso de una
manera rápida y conseguir una gran efectividad en el ataque.
Unidad 2
Conoce a tu enemigo
19
1 PRINCIPALES AMENAZAS
Phishing
• Método de ataque que tiene el objetivo de robar información confidencial y credenciales de acceso
(cuentas bancarias, redes sociales, servicios, etc.). Este tipo de técnicas, denominadas ingeniería
social, buscan convencer al usuario de que el autor es auténtico.
• Suelen iniciarse mediante correo electrónico, mensajes de texto (smishing) o llamadas telefónicas
(vishing). En otras ocasiones, suplantan a una entidad o persona que conoce la víctima (e-mail
spoofing), con el único fin de hacer clic en una URL, cuyo destino es una página comprometida o
que suplanta al portal web legítimo.
Unidad 2
Conoce a tu enemigo
20
1 PRINCIPALES AMENAZAS
Unidad 2
Conoce a tu enemigo
22
1 PRINCIPALES AMENAZAS
Unidad 2
Conoce a tu enemigo
23
1 PRINCIPALES AMENAZAS
Vishing
• El vishing, como hemos visto anteriormente es un tipo de ataque de ingeniería social que se
realiza por teléfono, en la que, el atacante suplanta la identidad de una empresa ya sea una
agencia de viajes, un despacho de abogados, un hotel o una organización sin ánimo de
lucro o incluso alguna persona de confianza de tu organización, con el fin de obtener
información personal y sensible de la víctima.
• Antes de realizar la llamada, el atacante ha obtenido información confidencial de la víctima,
como su nombre, apellido, domicilio, correo electrónico, parte de sus datos bancarios. Estos
datos se han obtenido o bien por medio de otro ataque o debido a alguna filtración de datos.
• Una vez que ya tienen esos datos realiza la llamada con el objetivo de ganarse su
confianza y poder obtener más información, que realice algún pago o que se instale algún
malware.
Unidad 2
Conoce a tu enemigo
24
1 PRINCIPALES AMENAZAS
Y de todas las amenazas que hemos visto, ¿cuáles son las más frecuentes?
Por el impacto y el público objetivo las que más frecuencia suelen recibir los ciudadanos son las
relacionadas con la ingeniería social, aprovechando temas que están de actualidad. Veamos
algunos ejemplos:
Descubre los diferentes tipos de malware que pueden afectar a tu pyme que podrás encontrar en
el blog de Protege tu empresa de INCIBE: [7].
Unidad 2
Conoce a tu enemigo
26
2 ACTORES
Unidad 2
Conoce a tu enemigo
27
2 ACTORES
Los agentes que ejecutan los ataques se pueden clasificar en función de sus motivaciones: amistosos (cuyo
objetivo es detectar fallos de seguridad para anticiparse) o malintencionados (que tienen fines lucrativos o
políticos, generalmente).
CIBERAGENTES • Ciberdelincuentes
• Script kiddies
• Agentes del orden • Ciberactivistas o
• Agencias de hacktivistas
seguridad AMISTOSOS MALINTENCIONADOS • Insiders (actores internos)
• Hackers éticos • Organizaciones
• Ciberinvestigadores • Estados
• Ciberterroristas
• Cibercriminales
Unidad 2
Conoce a tu enemigo
28
2 ACTORES
Hay que destacar que las empresas pueden tener distintas motivaciones en el
ámbito de la ciberseguridad, ya que además de concienciar y proporcionar
seguridad a sus usuarios, asociados y empleados, podrían realizar acciones poco
éticas, como espionaje industrial, competencia desleal, etc., o mantener líneas de
investigación con el objetivo de mejorar su protección.
Esto también es cierto para los estados. Por un lado, están obligados a promover
la ciberseguridad y la confianza de los usuarios en Internet, pero, por otro lado,
pueden utilizar sus conocimientos para su defensa o para espiar a otros estados.
Unidad 2
Conoce a tu enemigo
29
2 ACTORES
De acuerdo, empresas y estados tienen distintas motivaciones, pero ¿qué hay del
resto de agentes amistosos y malintencionados? ¿Qué interés pueden tener en
atacar a una pequeña empresa?
Unidad 2
Conoce a tu enemigo
30
2 ACTORES
Es importante conocer a los actores, ya que sus acciones pueden perjudicar tu negocio.
Conociéndolos, puedes anticiparte a ellos y adoptar medidas adecuadas para proteger tu
negocio. Estos son algunos de los actores:
ACTORES MALINTENCIONADOS
Ciberdelincuentes
Se denomina ciberdelincuentes a aquellos individuos que llevan a cabo acciones maliciosas con el fin de
demostrar públicamente que son capaces de hacerlo.
Script kiddies
Este tipo de actores tienen un conocimiento superior a la media, se autodenominan hackers y realizan acciones
maliciosas para buscar protagonismo.
Unidad 2
Conoce a tu enemigo
31
2 ACTORES
ACTORES MALINTENCIONADOS
Ciberactivistas o hacktivistas
Sus acciones responden a motivos ideológicos. Un grupo muy conocido es Anonymous.
Insiders (actores internos)
Personas que tienen o han tenido algún tipo de relación con la organización, incluyendo exempleados, personal
temporal o proveedores.
Su motivación suele ser siempre similar: venganza, motivos financieros o políticos, etc. o simplemente pueden realizar
acciones maliciosas por desconocimiento.
Organizaciones
Están motivadas por el interés político, económico y social para realizar acciones de ciberespionaje, así como obtener
conocimientos de otras organizaciones y una ventaja competitiva.
Unidad 2
Conoce a tu enemigo
32
2 ACTORES
ACTORES AMISTOSOS
Ciberinvestigadores
Personas que persiguen el descubrimiento de las vulnerabilidades que pueden afectar a los sistemas (hardware o
software).
La publicación de los resultados de sus investigaciones, cuyo objetivo es sensibilizar sobre las necesarias medidas de
seguridad necesarias, puede implicar su uso por terceros malintencionados.
Unidad 2
Conoce a tu enemigo
33
2 ACTORES
Los datos de los últimos años demuestran que la delincuencia en el ciberespacio se
está llevando a cabo de manera cada vez más profesional y organizada. Estas
bandas organizadas usan Internet para perpetrar todo tipo de delitos, siendo su
objetivo final la obtención de un beneficio económico.
Unidad 2
Conoce a tu enemigo
34
3 AMENAZAS INTERNAS
Unidad 2
Conoce a tu enemigo
35
3 AMENAZAS INTERNAS
Definición
Una amenaza es aquel peligro inminente que puede surgir de cualquier hecho o acontecimiento que aún no ha
sucedido, pero en el caso de que suceda, puede causar un daño significativo.
Estas amenazas pueden ser tanto externas como internas. Estas últimas pueden ser de dos tipos: intencionadas o
accidentales; en ambos casos el empleado será el causante de la amenaza.
Una amenaza intencionada, por ejemplo, puede ser una venganza por un empleado despedido. Una amenaza
accidental está relacionada con una mala práctica o no tener mala intención, como por ejemplo, insertar un USB
infectado en un ordenador corporativo sin que el empleado tenga conocimiento de ello.
Unidad 2
Conoce a tu enemigo
36
3 AMENAZAS INTERNAS
Unidad 2
Conoce a tu enemigo
37
3 AMENAZAS INTERNAS
Tipos de amenazas por agentes internos
Usuarios internos malintencionados
Los usuarios internos malintencionados son el tipo menos frecuente, pero tienen el potencial de
ocasionar daños considerables por su capacidad de acceso interno.
Pueden ser empleados descontentos o despedidos, cuyas credenciales no se han eliminado, y si tenían
permisos como administradores con privilegios, pueden provocar situaciones de riesgo más elevadas.
Unidad 2
Conoce a tu enemigo
39
3 AMENAZAS INTERNAS
Por otro lado, los empleados que han salido de la empresa de forma poco
amistosa o que estén descontentos con su situación laboral pueden realizar
ataques o causar daños en el negocio de forma intencionada.
Y, por último, no siempre es culpa del empleado, sino que se producen a causa
de la inexistencia de políticas y procedimientos, o bien por que estos no se han
aplicado bien.
Es el caso de cuentas de acceso de empleados que dejan la empresa y no se
eliminan, o cuando no se tiene una buena gestión de los accesos a la información
sensible de nuestro negocio (financiera o datos personales de asociados,
clientes, proveedores o colaboradores).
Unidad 2
Conoce a tu enemigo
40
3 AMENAZAS INTERNAS
Ahora piensa en tu empresa, ¿cuáles son los principales factores de riesgo que
pueden afectar a tu negocio desde un punto de vista interno?
Unidad 2
Conoce a tu enemigo
41
3 AMENAZAS INTERNAS
Ahora piensa en tu empresa, ¿cuáles son los principales factores de riesgo que
pueden afectar a tu negocio desde un punto de vista interno?
Muchas empresas no tienen forma de auditar el acceso para asegurarse de que solo las personas debidamente
autorizadas obtengan acceso, y que su uso de la información cumpla con la política establecida.
Es importante solicitar por escrito la conformidad con diversas normas internas, como la política de confidencialidad o
de seguridad, entre otras.
Unidad 2
Conoce a tu enemigo
43
4 FORMACIÓN DE LOS EMPLEADOS
Acciones para mitigar el riesgo
Unidad 2
Conoce a tu enemigo
46
4 FORMACIÓN DE LOS EMPLEADOS
El empleado es la pieza clave en la ciberseguridad
Sí, también hemos visto que la mejor forma de evitar este tipo de amenazas es la
concienciación de los empleados en temas de seguridad y las buenas
prácticas diarias en el puesto de trabajo, pero, ¿cómo lo hago? ¿Con qué
herramientas?
Unidad 2
Conoce a tu enemigo
48
4 FORMACIÓN DE LOS EMPLEADOS
Kit de concienciación
• En la web de INCIBE hay un kit de concienciación [8]: un conjunto de recursos didácticos y herramientas de
entrenamiento para que cualquier organización sea capaz de implantar y concienciar a sus empleados acerca de la
importancia de mantener un nivel óptimo de ciberseguridad de la empresa. Además, tienes un apartado destinado
a formación [9].
• El kit está compuesto por diferentes tipos de elementos: presentaciones de formación y aprendizaje, materiales
audiovisuales interactivos, fondos de pantalla, salvapantallas, imágenes, pósteres y otro tipo de documentación
adicional.
¿Y cuál es la mejor manera de implementar esto para los empleados de mi
negocio?
• Existen distintos tipos de amenazas que pueden afectar a la seguridad de la información en mi negocio, como
la infección de equipos por código malicioso, un phishing o spear phishing, o un robo de datos personales o
información confidencial.
• En este sector se han incrementado las amenazas de suplantación de identidad, campañas de phishing,
smishing o vishing debido a la interacción que hacen las empresas con los asociados o colaboradores para, por
ejemplo, gestionar algún servicio o donativo, con el objetivo de cometer estafas o robo de información.
• Los motivos de los ataques van desde la curiosidad o la venganza hasta la obtención de beneficios
económicos; por ejemplo, por la venta de información valiosa.
• Los actores que más suelen atacar a las empresas son ciberdelincuentes, organizaciones e insiders
(actores internos). Estos últimos pueden ser malintencionados, como los exempleados o empleados
descontentos, o sin malas intenciones, debido a errores de los empleados descuidados o engañados que
carecen de formación y concienciación. Unidad 2
Conoce a tu enemigo
50
CONCLUSIONES
• Además, en función del nivel de información confidencial o sensible manejada por mi negocio y mis empleados,
podré adoptar medidas de control y seguridad adicionales, como el cifrado o el control de accesos, tal y
como veremos en detalle en próximas unidades.
Unidad 2
Conoce a tu enemigo
51
REFERENCIAS
Enlaces de interés de la unidad