Secretaría de Gobernación

Comisión Nacional de Seguridad

Servicio de Protección Federal
Documento versión 1.8

Secretaría de Gobernación
Comisión Nacional de Seguridad
Servicio de Protección Federal

Guía de Ciberseguridad para

Instalaciones públicas

Conceptos, líneas de acción

y controles básicos recomendados
para fortalecer
la seguridad física de
instalaciones públicas

2 de 52
 El presente documento está dirigido a los titulares de las
instalaciones públicas, que con el apoyo de sus áreas de
tecnología y seguridad física, conforman los esquemas de
seguridad integral

3 de 52
CONTENIDO
Introducción 6
Visión 7
Objetivo 7
Ciberseguridad en la seguridad física de instalaciones 8
Amenazas 9
Actividad de abuso 9
Escucha clandestina o intercepción de información 11
Cortes del suministro de energía 13
Daño o pérdida de los activos de IT 13
Falla y/o funcionamiento anómalo 14
Desastres 14
Ataques físicos 15
Líneas de acción 15
Línea de acción 1.-Análisis de riesgos 15
Dispositivos del IoT 16
Otros dispositivos del ecosistema del IoT 17
Comunicaciones 17
Infraestructura 17
Plataformas y backend 18
Plataformas de toma de decisiones 19
Aplicaciones y servicios 19
Información 19
Línea de acción 2.- Procesos, personas y tecnología 20
Línea de acción 3.-Controles básicos 21
Diseño de sistemas integrales de seguridad 21
Diseño de soluciones 24
Equipo de video seguridad 26
Control de acceso 32
Drones 35

4 de 52
Equipo de cómputo 36
Comunicaciones/Red de datos 37
Bluetooth 38
Línea de acción 4.-Resiliencia 39
DLP 39
Qué hacer y a quién avisar en caso de una ciber amenaza 40
Preservación de evidencias 41
Glosario 44
Referencias 49
Agradecimientos 51
Participantes 51

5 de 52
Introducción

El efecto del desarrollo en los países, desde la revolución industrial

considerada como la primera etapa de la innovación, hasta la quinta
etapa, dominada por la red de redes, la Internet, han marcado una
tendencia en la búsqueda de prosperidad y mejora de la vida de la
humanidad, sin embargo el resultado de este desarrollo se ha visto
marcado desde sus inicios por una división, donde la política, las
instituciones y la economía se ven impactados por grupos antagonistas
con diferentes intereses que se oponen a dicho cambio o se valen del
mismo para favorecer causas ajenas al bienestar social. Lo anterior se ha
visto trasladado al sector de las tecnologías de información y
comunicaciones, ocasionando un desarrollo imparable y desmedido en la
automatización de procesos y servicios, que como consecuencia se han
dejado descubiertas diferentes áreas de las infraestructuras, esta es la
razón principal de ser de este documento, el cual presenta un modelo
básico de ciberseguridad para instalaciones públicas, a partir del
establecimiento de líneas de acción y controles en diversos rubros, que
abonen al diseño, construcción y operación de sistemas integrales de
seguridad.

Los elementos y las diferentes áreas de la ciberseguridad pueden parecer

interminables, pero todas ellas son vulnerables a una práctica delictiva
común que es consumada a través del ciberespacio, potenciando así el
daño que un delincuente del ciberespacio o ciberdelincuente puede
provocar, de tal forma que una persona puede cometer varios ilícitos sin
necesidad de moverse de su sitio y a su vez tener efectos multiplicadores
adversos en las personas, instalaciones y el país.

Por lo anterior, la cultura de la prevención se convierte en uno de los

recursos más importantes para evitar afectaciones por la
ciberdelincuencia, hoy día se han acuñado conceptos como civismo
digital, donde se espera que todos los usuarios de la Internet sean más
cuidadosos en su actuar dentro del ciberespacio, recordando que la
experiencia en tecnología no es equivalente a la experiencia en seguridad
de tecnología, por lo que la presente guía plantea un punto de referencia
para apoyar la seguridad institucional.

6 de 52
Visión

Fortalecer a las instituciones públicas en la implementación de sistemas

integrales de seguridad, aprovechando de manera responsable la
tecnología, mediante la aplicación de esquemas probados de
reforzamiento de controles en materia de ciberseguridad, a fin de crear
entornos confiables y seguros.

Objetivo

El propósito de esta guía es apoyar en habilitar controles y buenas

prácticas para el fortalecimiento de la seguridad física de los inmuebles
gubernamentales o instalaciones vitales del Estado Mexicano, así como
también ayudar a prevenir e identificar vulnerabilidades de los sistemas
electrónicos de seguridad que se encuentren operando, o que están por
iniciarse en una instalación, a fin de asegurar la protección de las personas,
información, procesos e infraestructura, con la finalidad de asegurar la
continuidad del negocio.

El presente documento se construyó basándose en los 3 principios rectores

de la Estrategia Nacional de Ciberseguridad, sus ejes transversales que
buscan coadyuvar con el desarrollo de los cinco objetivos de dicha
estrategia.

En concreto, la presente guía proporciona:

● Entendimiento general sobre las vulnerabilidades del ciberespacio

● Elementos del Internet de las Cosas (IoT), sus principales amenazas y
el impacto en un sistema de seguridad integral
● Consejos para la realización del análisis de riesgos en la parte
tecnológica
● Mejores prácticas para el diseño de sistemas de seguridad integral
● Información sobre qué hacer y a quién avisar ante una situación de
riesgo o emergencia de ciberseguridad

7 de 52
Ciberseguridad en la seguridad física de instalaciones

¿Qué se entiende por ciberseguridad?

Es la práctica de defender las computadoras, los servidores, los

dispositivos móviles, ​los sistemas electrónicos,​ las redes y los datos de
ataques maliciosos.

La ciberseguridad se ve amenazada en 3 grupos, en primera

instancia el ​cibercrimen​​, que incluye actores individuales o grupos
que dirigen ataques a sistemas para obtener ganancias financieras;
el ​ciberterrorismo​​, cuyo propósito es comprometer los sistemas
electrónicos y causa pánico o temor en la población y la
ciberguerra​​, que a menudo involucra el robo y recopilación de
información con fines políticos. ​2

Ahora entenderemos el concepto de Internet de las Cosas o IoT

(Internet of Things) por sus siglas en el idioma inglés, que está
íntimamente ligado con los temas que se abordarán.

Primero que nada, puede identificarse al IoT con objetos físicos o

virtuales que pueden identificarse e integrarse en las redes de
comunicación, por tanto tienen la capacidad de intercambiar datos
a través de una red, estos objetos pueden tener funcionalidades
tales como detectar movimiento y capturar imágenes, activar,
almacenar y procesar datos, ejecutar aplicaciones localmente o en
la nube de Internet, etc. así, estos sistemas pueden producir,
recuperar o procesar datos, conectándose a la red a fin de auxiliar
en actividades de monitoreo y control.

En resumen, la ciberseguridad en la seguridad física es la protección

del ecosistema ciber-físico, (por llamar así al entorno donde las Cosas
del Internet impactan en dispositivos físicos) en donde convergen
sensores, actuadores y dispositivos electrónicos, que forman parte de
un ciclo continuo de detección, toma de decisiones inteligentes y
protocolos de actuación. ​3 4

8 de 52
 De forma que la seguridad es una de las principales preocupaciones
en los sistemas de seguridad electrónicos y el Internet de las Cosas,
considerando su diversa naturaleza y que la mayoría de estos
dispositivos se encuentran interconectados entre ellos y a la Internet,
de ahí la importancia de tener una cultura de prevención del delito
cibernético, pues cualquier evento malicioso en el mundo del IoT,
tiene un impacto y repercusión en el mundo físico. ​5

Amenazas

Conocer los tipos de amenazas ayuda a determinar el impacto que

estas pueden tener en nuestro ecosistema tecnológico de seguridad,
dar cuenta de ellas es crucial para estar en posibilidad de evitarlas o
mitigarlas según sea la situación, para lo cual se ha tomado la
clasificación que la ENISA (European Union Agency for Network and
Information Security) ha emitido en su línea base de
recomendaciones para la IoT, de noviembre de 2017 sobre
amenazas y su impacto.

La estructura de las amenazas se presenta de la siguiente forma:

CATEGORÍA
✓ AMENAZA
o DESCRIPCIÓN
▪ ACTIVOS AFECTADOS

Actividad de abuso
✓ Malware
o Programas de software diseñados para llevar a cabo
acciones no deseadas y no autorizadas en un sistema
sin el consentimiento del usuario, lo que resulta en
daños, corrupción o robo de información, su impacto
puede ser alto
▪ Dispositivos del ecosistema del IoT
▪ Plataforma
▪ Backend

9 de 52
✓ Exploit Kits
o Código diseñado para aprovechar una
vulnerabilidad con el fin de obtener acceso a un
sistema. Esta amenaza es difícil de detectar y en los
entornos de IoT, el impacto varía dependiendo de los
activos afectados
▪ Dispositivos del ecosistema del IoT
▪ Infraestructura

✓ Ataques dirigidos
o Diseñados para un objetivo específico, lanzados
durante un largo período de tiempo y llevados a
cabo en múltiples etapas. El objetivo principal es
permanecer oculto y obtener la mayor cantidad de
datos o información confidencial sea posible, si bien
el impacto de esta amenaza es medio, suele llevar
mucho tiempo o ser muy difícil detectarlos
▪ Infraestructura
▪ Plataforma y Backend
▪ Información

✓ DDoS
o Varios sistemas que atacan un solo objetivo para
saturarlo y hacer que se bloquee. Esto se puede llevar
a cabo haciendo muchas conexiones, inundando un
canal de comunicación o reproduciendo las mismas
comunicaciones una y otra vez
▪ Dispositivos del ecosistema del IoT
▪ Plataforma & Backend
▪ Infraestructura

✓ Falsificación de dispositivos
o Esta amenaza es difícil de descubrir, ya que un
dispositivo falsificado no se puede distinguir
fácilmente del original. Estos dispositivos
generalmente tienen puertas traseras y se pueden

10 de 52
 utilizar para realizar ataques en otros sistemas del
entorno
▪ Dispositivos del ecosistema del IoT
▪ Infraestructura

✓ Ataques a la privacidad
o Esta amenaza afecta tanto a la privacidad del
usuario como a la exposición de los elementos de la
red a personal no autorizado
▪ Dispositivos IoT
▪ Plataforma y Backend
▪ Información

✓ Modificación de la información
o En este caso, el objetivo no es dañar los dispositivos,
sino manipular la información para provocar el caos o
adquirir ganancias monetarias
▪ Dispositivos de IoT
▪ Plataforma y Backend
▪ Información

Escucha clandestina o intercepción de información

✓ Hombre en el medio
o Escucha activo, en el que el atacante transmite
mensajes de una víctima a otra, para hacerles creer
que están hablando directamente entre sí
▪ Información
▪ Comunicaciones
▪ Dispositivos IoT

✓ Toma de control de comunicaciones en la IoT

o Tomando el control de una sesión de comunicación
existente entre dos elementos de la red, el intruso es
capaz de detectar información sensible, incluidas las
contraseñas. El robo de información puede llevarse a
cabo usando técnicas agresivas, como forzar la
desconexión o la denegación de servicio
▪ Información

11 de 52
 ▪ Comunicaciones dispositivos IoT
▪ Toma de decisiones

✓ Intercepción de la información
o Intercepción no autorizada y a veces, modificación
de una comunicación privada, como llamadas
telefónicas, mensajes instantáneos, comunicaciones
por correo electrónico, etc.
▪ Información
▪ Comunicaciones
▪ Dispositivos IoT

✓ Reconocimiento de redes
o Obtención de información de manera pasiva sobre la
red: dispositivos conectados, protocolo utilizado,
puertos abiertos, servicios en uso, etc
▪ Información
▪ Comunicaciones
▪ Dispositivos IoT
▪ Infraestructura

✓ Secuestro de sesión
o Robo de la conexión de datos actuando como un
equipo legítimo para robar, modificar o eliminar los
datos transmitidos
▪ Información
▪ Comunicaciones
▪ Dispositivos IoT

✓ Recopilación de información
o Recuperación de información interna de forma
pasiva desde dispositivos conectados, protocolo
utilizado, etc.
▪ Información
▪ Comunicaciones
▪ Dispositivos IoT

✓ Reproducción de mensajes

12 de 52
 o Este ataque utiliza una transmisión de datos válida de
forma malintencionada, enviándola o retrasándola
repetidamente para manipular o bloquear el
dispositivo de destino
▪ Información
▪ Dispositivos IoT
▪ Toma de decisiones

Cortes del suministro de energía

✓ Caída de la red
o Interrupción o falla en el suministro de la red de datos,
ya sea intencional o accidental. Dependiendo del
segmento de red afectado y del tiempo requerido
para recuperarse
▪ Infraestructura
▪ Comunicaciones

✓ Falla en las comunicaciones de los dispositivos

o Amenaza de falla o funcionamiento anómalo de
dispositivos
▪ Dispositivos de IoT

✓ Falla del sistema

o Amenaza de falla de los servicios o aplicaciones de
software
▪ Dispositivos IoT
▪ Plataforma y Backend

✓ Pérdida de servicios de soporte

o No se dispone de los servicios de soporte necesarios
para mantener el correcto funcionamiento del
sistema de información
▪ Todos los activos

Daño o pérdida de los activos de IT

✓ Fuga de información sensible
o Sea de forma intencional o no, la información sensible
es revelada a terceras partes no autorizadas para el
uso de ella; la importancia de esta amenaza puede

13 de 52
 variar según el tipo de información fue filtrada o
compartida
▪ Dispositivos del IoT
▪ Plataforma y Backend
▪ Información

Falla y/o funcionamiento anómalo

✓ Vulnerabilidad del software
o La mayoría de los dispositivos del IoT son vulnerados
debido al empleo débil de contraseñas o al uso de
claves de acceso que vienen configuradas por
default en los dispositivos, errores en la programación
y / o su configuración, dejando en riesgo parte de la
red y/o del dispositivo en cuestión, esta amenaza
usualmente está relacionada con otras
▪ Dispositivos del ecosistema de IoT
▪ Plataforma y Backend
▪ Infraestructura
▪ Aplicaciones y servicios

✓ Fallas de terceros
o Errores en un elemento activo de la red causados por
la configuración incorrecta de otro elemento que
tiene relación directa con él
▪ Dispositivos del ecosistema de IoT
▪ Plataforma y Backend
▪ Infraestructura
▪ Aplicaciones y servicios

Desastres
✓ Desastre natural
o Estos incluyen eventos tales como inundaciones,
vientos fuertes, fuertes nieves, deslizamientos de tierra,
entre otros desastres naturales, que podrían dañar
físicamente los dispositivos.
▪ Dispositivos del ecosistema de IoT
▪ Plataforma y Backend
▪ Infraestructura

14 de 52
 ✓ Desastre ambiental
o Desastres en los entornos donde se habilitan los
equipos del IoT, provocando como consecuencia su
inoperatividad
▪ Dispositivos del ecosistema de IoT
▪ Plataforma y Backend
▪ Infraestructura

Ataques físicos
✓ Modificación del dispositivo
o Manipulación de un dispositivo aprovechando su
mala configuración para abrir otros accesos
▪ Comunicaciones
▪ Dispositivos IoT

✓ Sabotaje o destrucción del dispositivo

o Incidentes de robo, ataque con bombas, vandalismo
o sabotaje
▪ Dispositivos del ecosistema de IoT
▪ Plataforma y Backend
▪ Infraestructura

Líneas de acción

El presente documento desarrolla un modelo básico que abona a la

ciberseguridad del ecosistema tecnológico del sistema integral de
seguridad, mediante el planteamiento de líneas de acción
específicas que a continuación se muestran, a fin de que estas
sirvan de guía y puedan ser implementadas en las instituciones
públicas, independientemente del tipo de infraestructura que éstas
habiliten, pues su aplicabilidad es general.

Línea de acción 1.-Análisis de riesgos

Un análisis de riesgos es esencial para determinar y poder enumerar

las principales amenazas, vulnerabilidades, factores de riesgo y los

15 de 52
posibles escenarios de ataque que puedan afectar nuestros
sistemas, dispositivos y redes, tomando en cuenta los diferentes
niveles de importancia y criticidad que tengan cada uno de ellos, en
función del tipo de afectación e impacto a nuestra infraestructura y
continuidad del negocio.

Lo anterior permitirá determinar y proponer medidas de seguridad

específicas para contrarrestar el impacto y favorecer la resiliencia de
dichos sistemas.

Como ya se ha identificado las posibles amenazas en el punto

anterior, comenzaremos por identificar y seleccionar los activos que
componen nuestro ecosistema, a fin de concretar grupos de activos
críticos. Dado que haremos un acercamiento a estos componentes,
es importante mencionar que el tipo de protección que se le
otorgue a cada dispositivo o grupo, puede variar según el uso y la
aplicabilidad que posea dentro del esquema operativo, pues eso
determinará la criticidad de la continuidad de los mismos. ​6

Se considera que la clasificación de dispositivos del IoT hecha por la

ENISA en su línea base de recomendaciones para dispositivos del IoT,
es de gran ayuda, pues permite entender en que grupo se puede
clasificar cada dispositivo del ecosistema tecnológico de seguridad,
a fin de ponderar adecuadamente los impactos y planes de
mitigación para cada uno de los dispositivos que conforman el
ecosistema.

Dispositivos del IoT

✓ Hardware
Son los diferentes componentes físicos (excepto sensores
y accionadores) a partir de los cuales se pueden
construir los dispositivos de IoT. Estos incluyen
microcontroladores, microprocesadores, los puertos
físicos del dispositivo, la placa base, etc.
✓ Software
Abarca desde el sistema operativo del dispositivo, su
firmware y los programas y aplicaciones instalados en
ejecución
✓ Sensores

16 de 52
 Estos son los subsistemas cuyo propósito es detectar y
medir eventos en su entorno y enviar información a otros
dispositivos electrónicos para ser procesados, habiendo
sensores para muchos propósitos como medir la
temperatura, detectar movimiento o apertura/cierre de
un componente.

✓ Actuadores
Se pueden describir como las unidades de salida de los
dispositivos del IoT, pues ejecutan decisiones basadas en
la información procesada previamente

Otros dispositivos del ecosistema del IoT

✓ Interfaces de IoT
Dispositivos cuyo propósito es servir como una interfaz o
como un agregador entre otros dispositivos del IoT, así
como también para interactuar con los dispositivos de
dicho ecosistema

✓ Dispositivos para la administración del IoT

Estos dispositivos son especialmente designados para la
administración de otros dispositivos del mundo del IoT,
redes, etc.

✓ Sistemas embebidos
Se basan en una unidad de procesamiento que les
permite procesar datos por su cuenta. Se incluyen los
sensores y accionadores, con capacidades de
conectarse a la red o alguna solución en la nube y con
capacidad de ejecutar software

Comunicaciones

✓ Redes
Permiten la comunicación entre los diferentes nodos del
ecosistema del IoT para intercambiar datos e
información entre ellos, a través de un enlace de datos,
existiendo diferentes tipos de redes que incluyen las
redes LAN, PAN y WAN

17 de 52
 ✓ Protocolos
Definen el conjunto de reglas sobre el cómo se debe
realizar la comunicación entre dos o más dispositivos del
IoT a través de un canal determinado, existiendo diversos
protocolos de comunicación alámbricos e inalámbricos

Infraestructura

✓ Ruteadores
Componentes de la red de datos que envían paquetes
entre las diferentes redes del ecosistema IoT

✓ Gateways
Nodos de red utilizados para interactuar con otra red del
entorno de IoT que utiliza diferentes protocolos, las
pasarelas o gateways pueden proporcionar traductores
de protocolo, aisladores de fallas, para que al final
proporcionen interoperabilidad entre los sistemas

✓ Fuentes de poder
Dispositivo de suministro de energía eléctrica a un
dispositivo IoT y a sus componentes internos; la fuente de
alimentación puede ser externa y cableada o puede
venir integrada en el mismo dispositivo

✓ Activos de seguridad
Este grupo comprende los activos enfocados
específicamente en la seguridad de los dispositivos, las
redes y la información de IoT, de manera más específica
a los firewalls, firewalls de aplicación web (WAF), CASB
para proteger la nube, IDS, IPS y sistemas de
autenticación / autorización

Plataformas y backend

✓ Web-based services

18 de 52
 Estos son servicios en la World Wide Web, proporcionan una
interfaz basada en web para usuarios web o
aplicaciones conectadas a la Internet, que habilitan el
uso del IoT para comunicaciones de persona a máquina
(H2M) y para comunicaciones máquina a máquina M2M

✓ Infraestructura de nube
El dorsal final (backend) de la nube se puede usar para
agregar y procesar datos de los dispositivos y también
proporcionar otras capacidades de cómputo tales
como almacenamiento, servicios y aplicaciones

Plataformas de toma de decisiones

✓ Minería de datos
Se refiere al conjunto de soluciones que permiten procesar
datos recopilados y transformarlos en una estructura
definida para su uso posterior

✓ Procesamiento de datos
Servicios que facilitan el procesamiento de los datos
recopilados para obtener información útil, que se puede
utilizar para aplicar reglas y lógica para la toma de
decisiones y automatizar procesos

Aplicaciones y servicios

✓ Análisis de datos
Una vez que los datos se han recopilado y procesado, la
información resultante se puede analizar y visualizar para
identificar nuevos patrones y mejorar la eficiencia
operativa

✓ Administración de dispositivos y redes

19 de 52
 Incluye las actualizaciones de software del sistema operativo,
el firmware y las aplicaciones. Engloba el seguimiento y
la supervisión del comportamiento de los dispositivos y de
los equipos de conectividad, así como también de
recopilar y almacenar los registros de las transacciones
que pueden apoyar a diagnósticos

✓ Uso de dispositivos
Permite contextualizar el uso de los dispositivos en la red, así
como comprender el estado en que se encuentran en el
momento y cuales han sido los patrones de uso

Información

✓ En reposo
Información almacenada en una base de datos en el
backend de la nube o en los propios dispositivos o
servidores en sitio

✓ En tránsito
Información enviada o intercambiada a través de la red entre
dos o más elementos del IoT

✓ En Uso
Información utilizada por una aplicación, servicio o elemento
de IoT en general

Lo anterior permitirá seguir el curso de la realización de un análisis de

riesgos y así definir cómo tratar los riesgos identificados en el mismo,
los pasos sugeridos para la conformación de dicho análisis son los
siguientes:

✓ Definir el alcance que tendrá el estudio

✓ Efectuar la identificación de activos y agruparlos
✓ Listar las posibles amenazas
✓ Identificar las vulnerabilidades
✓ Realizar la evaluación del riesgo
o Entendiendo que el riesgo es igual a la probabilidad de
ocurrencia más el impacto que esto pueda provocar

20 de 52
 ✓ Tratamiento del riesgo
o Para el tratamiento del riesgo, se debe considerar al
menos que este se puede transferir, eliminar, asumir o se
deberán implantar medidas de mitigación

2.- Fuente Kasperky

https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security
3.- Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures
4.- https://www.itu.int/rec/T-REC-Y.2060-201206-I
5.- https://www.windriver.com/whitepapers/security-in-the-internet-of-things/wr_security-in-the-internet-of-things.pdf
6.-https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/etl2015/eni
sa-threat-taxonomy-a-tool-for-structuring-threat-information

Línea de acción 2.- Procesos, personas y tecnología

Lo primero es entender y tratar los procesos para cubrir necesidades

de seguridad de la organización, posteriormente las personas,
involucrarlas en las soluciones de la seguridad física, esto permitirá
una rápida aceptación de nuevos procesos, apoyará la mejora
continua y el sostenimiento de ellos, además de generar confianza
entre el personal, de esta forma la parte tecnológica habilitada para
los fines que se requiera, tendrá una rápida y buena adopción,
además de que podrá gozar de la protección del mismo personal
previamente involucrado, pues al final se entenderá que los sistemas
implementados son para su beneficio y protección, máxime si de
seguridad institucional se trata.

Dentro de los procesos, hemos acuñado el término de dinámica

corporativa, dicho término nos permite hacer referencia a los
diferentes comportamientos del personal y procesos en ciertas horas,
lo cual resulta en un mecanismo eficaz para detectar patrones
dentro de la seguridad física para efectuar los ajustes necesarios.

El involucramiento de la alta dirección en la implementación de

procesos de seguridad, es de suma importancia para que estos se
implementen y se ejecuten de forma correcta, así la aplicación de
las políticas y procedimientos establecidos apoyarán a la prevención
dentro del marco de la ciberseguridad de los sistemas electrónicos
de seguridad.

Línea de acción 3.-Controles básicos

A continuación se proporciona una lista de recomendaciones,

medidas de seguridad y controles básicos, cuyo objetivo es minimizar

21 de 52
las amenazas, vulnerabilidades y mitigar los riesgos que pueden
afectar al entorno del IoT y los sistemas electrónicos de seguridad. El
presente documento abarca un universo heterogéneo de
dispositivos y tecnologías, por lo que los siguientes apartados cubren
de manera general una gama amplia de consideraciones tanto de
diseño de aplicaciones como de seguridad y ciberseguridad.

Diseño de sistemas integrales de seguridad

Políticas de seguridad

Estas deberán apuntar de manera general a la seguridad de la

información y encargarse puntualmente al menos del cuidado
y manejo de la misma, se sugiere que dicten las pautas para el
buen uso de los sistemas, desarrollando una cultura de
seguridad en torno a su uso y manejo

Considerar los siguientes objetivos de los atacantes como los

indispensables para iniciar el diseño de un sistema integral de
seguridad:
✓ Detección de vulnerabilidades
✓ Penetración de defensas
✓ Evitar la detección
✓ Colusión, Robo y sabotaje
✓ Escape

Es importante crear un comité de seguridad de la información,

que será el responsable de aprobar dichas políticas, así como
difundirlas y velar por que todos los usuarios las conozcan y las
apliquen

Se recomienda que todos los sistemas sujetos a las políticas

desarrolladas deban realizar un análisis de riesgos, evaluando
las amenazas y riesgos a los cuales están expuestos, repitiendo
el mismo:

✓ Al menos una vez al año

✓ Cuando cambien los servicios prestados
✓ Cuando ocurra un incidente grave
✓ Cuando se reporten vulnerabilidades graves

22 de 52
 Se hace la invitación a que se realice un comité que pueda
armonizar los diferentes análisis de riesgos, a fin de que se
establezcan valores de referencia para los diferentes tipos de
información y servicios manejados

Dentro de las políticas de seguridad y uso responsable de los

sistemas, se recomienda que los administradores de estos
sistemas reciban formación para el manejo seguro de los
mismos con carácter de obligatorio antes de asumir alguna
responsabilidad

También se debe asegurar la existencia de canales de

comunicación que permitan el correcto reporte de incidentes
que los mismos usuarios comuniquen, a fin de otorgar un
puntual seguimiento para su resolución categorizando cada
uno de ellos

Cuando la institución utilice servicios de terceros o ceda

información a terceros, se les debe hacer partícipe de la
política de seguridad que involucre esos servicios o información
7

Un sistema integrado relaciona procesos, personas y al final

como un componente de fortalecimiento la tecnología como
un medio, permitiendo que:

✓ Se tenga una rápida respuesta ante incidentes

✓ Alerta a las policías y autoridades
✓ Favorece la prevención del acceso no autorizado y las
entradas encubiertas
✓ Detecta faltas a los procedimientos y normas
✓ Provee retardo
✓ Permite evaluar alertas de manera correcta

7.-https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/508-ccn-stic-805-politica-de-seguridad-d
e-la-informacion/file.html

Las políticas de seguridad están escritas en un nivel muy

amplio, estas deben ser complementadas con documentos
más precisos que ayuden a llevar a cabo lo propuesto, para
apalancar lo anterior se tienen otros mecanismos que reciben
diferentes nombres: ​8

23 de 52
 ✓ Normas de seguridad
Las normas son de carácter obligatorio e indican el
uso correcto y las responsabilidades de los usuarios,
indican el uso de aspectos concretos del sistema
✓ Guías de seguridad
Estas deben de tener un carácter formativo, buscar
ayudar a los usuarios a aplicar correctamente las
medidas de seguridad, mostrando razonamientos
generales donde no haya un procedimiento paso a
paso y a detalle
✓ Procedimientos de seguridad
Los procedimientos de seguridad dirigidos a la
operatividad, deberán abordar tareas específicas
indicando lo que hay que hacer

8.-NIST SP 800-100, An Introduction to Computer Security: The NIST Handbook, October 1995

Diseño de soluciones

Se deberá considerar que dentro de todo el diseño de un

sistema integral de seguridad, este se tiene que hacer con un
enfoque objetivo y holístico, que permee a todos los niveles del
diseño y desarrollo, integrando la seguridad en la
implementación del modelo.

Se sugiere tener una visión que permita encapsular los

componentes de una solución, es decir, que la arquitectura
pueda llevarse a cabo por compartimientos para cubrirla en
caso de posibles ataques.

En relación a las redes de comunicaciones, se sugiere separar

físicamente la red de comunicaciones de la solución, de la red
de comunicaciones de los usuarios, en caso de necesitar tener
puentes de comunicaciones entre las redes independientes
que sean muy necesarios para el esquema particular de cada
institución, este se sugiere hacerse como una DMZ y dar
permisos de entrada y salida específicos a cada aplicación y
/o computadora, pudiendo revisar y registrar el tipo de tráfico

24 de 52
de las transacciones, así como restringir cualquier tipo de
comunicación maliciosa.

Antes de hacer la implementación de alguna solución de

seguridad, es importante realizar de manera conjunta con los
fabricantes, pruebas de concepto y un análisis de
comportamiento y/o tráfico, a fin de ratificar que lo que se
requiere en la solución, es lo que se entrega de parte de la
solución o servicio del proveedor.

Si se considera alguna clase de acceso remoto en la solución

de seguridad integral a habilitar, se debe asegurar que este
sea a través de un servicio al menos de vpn ipsec, para
asegurar por medio de políticas de seguridad que solo el quipo
conectado podrá ver solo los dispositivos necesarios.

Aconsejamos realizar pruebas de penetración controladas a la

red de datos del ecosistema y a los elementos que se tienen
conectados a la red de la solución.

Antes de conectar a Internet alguno de los elementos de la

solución integral de seguridad, se sugiere primero revisar la
necesidad de hacerlo antes de efectuar dicha tarea y en caso
de que se necesario conectar la solución a internet, deberá
asegurarse que sea por los canales y medios adecuados.

Establezca y mantenga procedimientos de administración de

activos y controles de configuración para redes clave y
sistemas de información.

Realice evaluaciones de impacto a la privacidad antes de

habilitar alguna solución.

Cuando en el diseño se piense en el ahorro de energía, este no

debe comprometer la seguridad del modelo.

Las instituciones deben asegurarse de que proveedores sean

responsables de sus soluciones y rindan reportes de las mismas,
en caso de incidente en la seguridad de la organización, la
misma debe estar preparada con la respuesta, esto es tener su
rol de responsables que evalúan y responden ante situaciones
de riesgo o emergencia.

25 de 52
 Tener claridad sobre la duración o vida útil y soporte en
parches de seguridad de los productos a implementar.

Es importante vincular a los usuarios en el diseño de una

solución integral de seguridad, para que ellos también velen
por el respeto a los procesos y el buen manejo de los activos
implementados

Será deseable capacitar al personal sobre las buenas

prácticas que promuevan la privacidad y la seguridad

El sistema integrado deberá ser fácil de operar para el

responsable de la seguridad institucional, considerando los
siguientes puntos: ​11

✓ Debe contener información esencial y bien localizada

✓ Tener una interacción eficiente con el sistema
✓ El sistema debe apoyar al operador para llevar a cabo de
forma correcta las tareas

Equipo de video seguridad

Compuesto principalmente por sensores de video y en algunos casos

con audio, existen muchas variables o áreas especializadas
para la video vigilancia, partiendo de su tecnología que
puede ser analógica o digital para redes de datos, para uso
local o en múltiples sitios, considerando cámaras fijas, móviles,
vestibles, encubiertas y para todo tipo de entorno, es
importante saber para que las vamos a usar y como las vamos
a proteger.

De igual forma al este apartado integraremos junto a las cámaras los

VMSs, toda vez que este binomio es el más usado en la
actualidad al momento de implementar video cámaras por IP.

Antes de revisar el tipo de infraestructura que en materia de video

seguridad se refiere, es importante saber el propósito de cada
uno de los dispositivos de video seguridad a implementar, esto

26 de 52
 hace referencia a que cada uno de estos tenga una misión
específica y que mitigue alguna vulnerabilidad descrita en el
análisis de riesgos realizado previamente.

Se recomienda que cada cámara tenga una contraseña diferente

para su administración y se modifique la que tiene por default
utilizando contraseñas fuertes como se señaló en el punto
anterior.

Asegurarse que el video de las cámaras se encuentre cifrado en su

tránsito del dispositivo de video seguridad hacia el
almacenamiento o VMS.

Con respecto a la visualización del video en tiempo real desde

móviles, considere primero si es necesario realizar esta práctica
antes de habilitar dicha funcionalidad, toda vez que esto
representa un riesgo mayor.

Sugerimos que la red de comunicaciones sea de una categoría

suficiente para que el transporte de datos sea eficiente y de
igual manera independiente a la red de comunicaciones de
los usuarios a fin de evitar saturaciones en el uso del ancho de
banda de la misma.

Cuidar que al momento de implementar un servicio de video

seguridad, este cuente con el soporte por el fabricante y no
esté en su fin de vida o soporte.

Respecto al cableado que se instala para interconectar un

dispositivo de video seguridad ya sea con un equipo de
conectividad para las cámaras IP y con un DVR, para el caso
de equipo análogo, se sugiere que las canalizaciones se
efectúen de tal forma que no haya fácil acceso hacia las
tuberías y así proteger mejor la infraestructura de
comunicaciones.

Es importante que cuando se instalen cámaras en la intemperie se

considere la canalización, cableado y conectores apropiados
para resistir las inclemencias del tiempo y asegurar la
operación del equipo de video seguridad.

Unas de las amenazas más comunes en los sistemas de video son: ​12

27 de 52
 ✓ Sabotaje, manipulación y vandalismos de los dispositivos de
video seguridad
✓ Negación de servicio (DoS)
✓ Filtrado de video
✓ Robo y distribución del video robado utilizado para observar
patrones operacionales de las áreas de alto riesgo
✓ Ubicación de los VIPS

Las vulnerabilidades posibles de las cámaras son:

✓ Defectos y fallas en el código propietario o código abierto

✓ Que los equipos compartan el video con otros dispositivos
en la nube
✓ Falta de claridad en las instrucciones sobre su tipo de
conectividad y servicios que terceros pueden acceder
✓ Carcasas del producto débil o endebles
✓ Cuentas cuyos mínimos privilegios son insuficientes y es
necesario tener la cuenta de administrador o root para su
manipulación común
✓ Falta de literatura como manuales del dispositivo, soporte
técnico o apoyo en caso de fallas o dudas

12.-Cibersecurity Video System Overview from AXIS

Las cámaras tienen tres propósitos principales, obtener

información visual de algo que está ocurriendo, obtener
información visual de algo que ocurrió y disuadir actividades
no deseadas, bajo este contexto cada dispositivo puede
cumplir una función específica según sus características

Se recomienda que las cámaras permitan confirmar una alerta

de seguridad producida por otro sensor, lo anterior se refiere
que solo se revise en tiempo real una cámara si es necesario

Por lo anterior se debe entender que la información visual en

tiempo real es el medio ideal para realizar una evaluación de
una alerta de riesgo o emergencia donde se pueda
determinar cómo verdadera o falsa, también se pueda tener
la primera evaluación de la situación

28 de 52
Se recomienda que para el diseño del sistema, una vez
concretado el análisis de riesgos previamente, se establezcan
los siguientes conceptos a desarrollar:

✓ Establecer el propósito del sistema de video seguridad

✓ Definir el propósito de cada cámara
✓ Definir áreas de cobertura por cada cámara
✓ Seleccionar el tipo de cámara según su misión,
considerando
o Sensibilidad
o Resolución
o Características físicas
✓ Seleccionar el tipo de lente
o Formato de la cámara
o Distancia del objeto(s)
o Campo de visión
✓ Selección del método de transmisión de señales de video al
VMS
✓ Planificar el área de control

Lo antes mencionado deberá ser parte del esquema de

seguridad integral del inmueble

La definición del propósito de cada cámara deberá ir por

escrito, por ejemplo: ​La cámara del patio deberá poder
identificar el rostro de las personas que ingresen a esta área

De igual forma se tiene que registrar el tipo de identificación

que realizará la cámara, esta puede ser de un sujeto, acción o
de la escena

La identificación de un sujeto, la imagen deberá proporcionar

detalle de la escena a fin de que no haya duda de quién es el
que aparece dentro del cuadro de los fotogramas, lo anterior
deberá ser definido por el ángulo de la cámara y el sujeto a
identificar deberá al menos abarcar el 10% de la imagen

Identificar una acción permite ver qué fue lo que pasó o

aconteció en el área de cobertura de la imagen de la
cámara, será importante tener en cuenta la iluminación, el

29 de 52
ángulo, la resolución de la imagen y los fps que componen la
imagen

La identificación de una escena puede ayudar a dar

respuesta rápida a la reacción operativa, toda vez que en ella
se puede entender el comportamiento del entorno y lo que
sucede en él, también es esta se deben cuidar aspectos de
iluminación, ángulo y fps que componen la escena

La selección en el tipo de cámara como se ha mencionado

anteriormente, se realiza de acuerdo al tipo de área de
cobertura y su misión específica, La sensibilidad, resolución y
características son los factores a tomar en cuenta para su
implementación,

✓ Sensibilidad, recomendamos atender los valores de

cantidad mínima de iluminación que requiere para
capturar una imagen, siendo la medida en Lux y de esto
dependen:
o Tipo de iluminación
▪ Natural / artificial
▪ Visible / IR
▪ Fija o variable
o Óptica de la lente
o Apertura del lente (iris)
o Reflectancia de la luz
o Para las cámaras térmicas, existen varios aspectos de
acuerdo a su sensibilidad
▪ Visión en niebla o total oscuridad
▪ Aplicaciones industriales y de control
▪ Detección y clasificación
▪ Detección de temperatura (Termográficas)
✓ Resolución, nos permite distinguir detalles finos en una
imagen, es decir que es el número de pixeles que forman
una imagen,
o CIF, es el formato de intercambio común, por sus
siglas en inglés(Common Intermidiate format) y su
resolución es de 352x240 pixeles
o Video analógico es de 4CIF = 704x480 pixeles
o D1 720 X 480
o VGA 640 x 480
o HD 1280 x 720 o 0.9 Megapixeles
o 1080 Full HD 1920 x 1080 es igual 2.1 Megapixeles MP

30 de 52
 o 2 MP es igual 1600 x 1200
o 1.3 MP equivale a 1280 x 1024
o 4K es 3960 x 2160 (4 veces Full HD)
o También se debe tomar en cuenta la relación de
aspecto o relación dimensional de la imagen
▪ 4:3
▪ 16:9
▪ 5:4

Por lo anterior, se debe tomar en cuenta que a mayor tamaño

de imagen se va a requerir mayor almacenamiento y mayor
ancho de banda en la red de datos.

✓ Dentro de la resolución hay que tomar revisar los algoritmos

de compresión de video, siendo estos los más comunes,
o MPEG
o MPEG-4
o H.263
o H.264

Por lo anterior, se sugiere revisar cada escenario y configurar el

mejor perfil para el caso específico de aplicación, de igual
forma se recomienda que cada configuración final se
documente.

Es importante seleccionar VMS que mantengan también un

monitoreo constante de los dispositivos conectados y que
genere alertamientos cada vez que cada dispositivo se
encuentre desconectado.

Para los casos donde es importante la evidencia y esta debe

ser compartida sin ningún tipo de compresión o modificación
de la fuente original, se recomienda revisar con el
implementador que el VMS tenga la capacidad de entrega de
los videos grabados con las características antes
mencionadas.

Análisis de video

31 de 52
El análisis de video en tiempo real es una característica que
permite la vigilancia proactiva, pudiendo esta ser una
característica de la cámara o de un servidor donde se estén
procesando las imágenes provenientes de las cámaras.

Es importante señalar que cualquier analítico empleado en

alguna instalación deba ser configurado para que pueda
entregar algún tipo de alertamiento al responsable de la
instalación previa una doble verificación del evento por medio
de otro tipo de sensor, ya sea de movimiento, apertura o
cercas inteligentes por ejemplo, pues al final esto dará mayor
certeza de que no se están teniendo alertamiento falsos.

La analítica de video es posible gracias al procesamiento

intensivo de imágenes que facilita la detección de patrones
de comportamiento en los pixeles de una imagen, es decir,
podemos distinguir tamaños, direcciones y como ya lo
mencionamos, patrones que nos permiten supervisar áreas, así
con ciertos criterios nos puedan alertar de situaciones que se
consideren de riesgo o emergencia.

Algunas de estas funcionalidades son:

✓ Detección de un objeto abandonado

✓ Detección de la dirección de un objeto
✓ Objeto removido
✓ Cruce de una línea
✓ Conteo de personas
✓ Reconocimiento de placas
✓ Clasificación de objetos
✓ Detección de movimiento

Las funcionalidades antes mencionadas nos permite mejorar la

seguridad, toda vez que no se necesita a una persona viendo
un monitor esperando a que pase algo, sino que de manera
proactiva el análisis de video permitirá notificar cuando se esté
perpetrando un evento de riesgo o emergencia, para ser
atendido de manera más eficiente, volviendo los tradicionales
sistemas de circuito cerrado de televisión CCTV en
plataformas de detección y alertas inteligentes.

32 de 52
 La analítica de video también apoya en la búsqueda eficiente
de escenas específicas en el video almacenado, teniendo
tiempos cortos en la recuperación del mismo.

Recomendamos que para habilitar cualquier solución integral

de seguridad se debe considerar, las distancias desde la
cámara al concentrador de imágenes, así como anchos de
banda y procesamiento de datos, toda vez que dependiendo
de estos factores, es que vamos a decidir qué tipo de analítico
que se va a emplear, ya sea que directamente las cámaras
hagan el procesamiento del análisis de video o se implemente
un servidor para el mismo fin.

Control de acceso

Permitir el ingreso y egreso de personal y material autorizado

evita, detecta y retrasa la entrada de:

✓ Personas no autorizadas
✓ Armas
✓ Explosivos
✓ Diferentes tipos de contrabando

Y a la salida:

✓ Material no autorizado
✓ Bienes de la organización
✓ Información

Dentro del control de acceso existen diferentes límites o tipos

de áreas restringidas, estas son:

✓ La protección de personas y bienes

✓ Protección de la información
✓ Evitar daños a equipos, procesos o áreas
✓ Aislar procesos y operaciones

33 de 52
Comprendiendo lo anterior, se podrá entender que la
implementación de sistemas electrónicos para el control de
acceso es la parte medular del buen funcionamiento y
administración dichos sistemas, por lo que también se son
susceptibles a fallas e intromisiones con carácter malicioso, por
lo que se sugiere lo siguiente: ​9

La institución debe planear antes de implementar un sistema

de control de acceso considerando tres puntos: políticas,
modelos y mecanismos de control de acceso. Las políticas de
control de acceso son requisitos de alto nivel que indican
cómo se debe gestionar los accesos y quién puede acceder a
la información y en qué clase de circunstancias. Los modelos
de seguridad generalmente se escriben para describir las
propiedades de seguridad de un sistema de control de acceso
y los mecanismos indican como la infraestructura asegura los
requerimientos de control de acceso.​ 10

Se debe contar con procedimientos para las altas, bajas y

cambios del control de acceso, así como bitácoras que
puedan indicar al menos la hora, fecha, usuario y equipo
donde se hicieron dichos cambios.

Toda vez que son necesarios los accesos a la red, al sistema

operativo, a las aplicaciones y a la información, se deberá
tener registros y bitácoras de acceso.

La totalidad de accesos no autorizados deben ser evitados y

se deben minimizar al máximo las probabilidades de que eso
suceda, apoyándose en los resultados del análisis de riesgos.

Lo anterior se debe controlar mediante registro de usuarios,

gestión de privilegios, autenticación mediante usuarios y
contraseñas.

Se debe cambiar las credenciales que están por default en la

aplicación, esto es, cambiar las contraseñas de los usuarios
maestros como ​Admin, admin, root, administrador,
Administrator​, etc.

Se recomienda que las contraseñas de todos los usuarios del

sistema sean al menos de 7 caracteres, se deben usar

34 de 52
 combinaciones de letras mayúsculas y minúsculas, números y
símbolos o caracteres especiales.

Posteriormente a la implementación de un sistema de control

de acceso, se deberá realizar una inspección de posibles
puertos abiertos o protocolos o servicios iniciados en la
instalación, como por ejemplo un servicio TFTP escuchando
conexiones entrantes propias solo de la configuración, se
recomienda cerrar estos.

Los usuarios deben asegurar que el equipo desatendido por

una persona tenga la protección adecuada, esto puede ser a
través de la activación automática de un protector de
pantalla después de cierto tiempo de inactividad.

Evitar dejar notas y papeles auto adheribles en los monitores

con información relativa a los usuarios y a la administración del
sistema.

Para la parte que se refiere a los sistemas, es recomendable

que la arquitectura de red de la solución se maneje
independiente de la red de datos de los usuarios.

Ante todo lo antes visto, es importante mencionar que los

sistemas de seguridad física deben cumplir con las premisas de
disuadir, detectar, demorar y denegar, siendo esta la base
conceptual para realizar las funciones de controlar accesos,
observar, detectar eventos y responder ante ellos

Cuando observamos, nos referimos a que los sistemas sean los

encargados de alertarnos sobre situaciones de riesgo o
emergencia y que a su vez la plataforma implementada sea la
que notifique a los operadores y estos apoyen a la reacción,
así se responderá ante estos eventos de manera inmediata y
en el momento que sucedan los hechos, lo anterior permitirá
reforzar la seguridad institucional
9.-SO /IEC 27002
10.-​ ​https://csrc.nist.gov/Projects/Access-Control-Policy-and-Implementation-Guides
11.- DAS primera generación

Drones

Algunos inmuebles emplean el uso de drones para realizar

inspecciones aéreas de los inmuebles, por lo que esta práctica

35 de 52
 requiere de ciertos cuidados para no lastimar a las personas e
infraestructuras.

Antes de volar una aeronave no tripulada o dron, será

necesario conocer las regulaciones de cada estado o
localidad respecto al tipo de aeronave, su tamaño, peso y
altitud permitidas, así como las zonas donde pueda operar.

Una recomendación es que no se vuele la aeronave más allá

de 122 metros de altura o 400 pies.

Se recomienda inspeccionar la aeronave antes de iniciar cada

vuelo, así como que la sujeción de los elementos móviles se
encuentren debidamente colocados y sujetados.

Procurar tener una línea de vista con la aeronave todo el

tiempo que esta se encuentre en operación

No se recomienda volar ningún tipo de aeronaves no

tripuladas cerca de aeropuertos, pistas de despegue o
aterrizaje, así como rutas aéreas.

Por ningún motivo se recomienda operar drones cerca de

estadios o lugares concurridos

No se recomienda volar aeronaves que su peso exceda los 24

kilogramos o 55 libras.

Operar cualquier aeronave de forma imprudente o con

descuido, puede poner en riesgo la vida de personas u otras
aeronaves, se recomienda que el operador de la nave se
encuentre bien capacitado en la operación de la aeronave.

Equipo de cómputo

Para todo el equipo de cómputo empleado en la

administración y control de los sistemas de seguridad se
recomienda que al menos lo siguiente:

✓ Los equipos de cómputo empleados para administrar los

sistemas de seguridad deberán al menos tener todos los

36 de 52
 parches de seguridad y actualizados al momento de su
entrega
✓ Utilizar el equipo de cómputo adecuado y con
especificaciones particulares según sea su propósito del
mismo, a fin de que los recursos de dicho equipo sean
suficientes para su operación
✓ No introducir o usar computadoras personales en los
procesos y redes de comunicaciones de los sistemas de
seguridad, a fin de evitar fuga de información,
propagación de alguna clase de malware y poner en
riesgo la operación
✓ Se aplique el hardening de cómputo a los equipos que se
encuentran administrando o monitoreando los sistemas
electrónicos de seguridad, a fin de que solo tengan los
recursos de software y permisos suficientes para la
operación a la cual han sido destinados, de esta forma los
equipos de cómputo permanecerán menos vulnerables
✓ La instalación de hardware y software bajo licenciamiento
sea autorizado por el responsable de cómputo de los
sistemas de seguridad de manera conjunta con el
responsable de seguridad física, a fin de tener previo una
junta de control de cambios y revisar la viabilidad y el
impacto que dicho cambio pueda tener en los sistemas de
seguridad
✓ Se cuente con políticas del registro de las configuraciones
del perfil de comunicaciones de los equipos de cómputo
así como el registro de los puertos que se encuentran
abiertos y expuestos en la red de comunicaciones
✓ Se cuente con un equipo de soporte técnico y
mantenimiento especializado, toda vez que los equipos
que administran la seguridad física contiene programas e
información importante y de vital importancia para la
continuidad del negocio, mismos que se deben encargar
de los programas de mantenimiento periódico del
ecosistema de los sistemas de seguridad
✓ Evitar instalar programas descargados de Internet debe ser
una de las premisas en las políticas de seguridad de los
sistemas de seguridad, así como un bloqueo de cualquier
descarga de la Internet
✓ Evitar realizar conexiones remotas de administración o
mantenimiento a los equipos y sistemas de seguridad de la
institución, a fin de evitar dejar conexiones abiertas

37 de 52
 ✓ Elaborar un proceso de baja de usuarios, respaldo de
información y eliminación efectiva de los derechos de
acceso y privilegios, en los sistemas de seguridad
✓ De lo anterior se sugiere que el borrado no afecte los
registros o logs que se produjeron en el sistema por el
usuario en cuestión

Comunicaciones/Red de datos

✓ Reconocer y tipificar los diferentes servicios a los que la red

de comunicaciones se encuentre dando servicio
✓ Listar y llevar el control mediante un registro en bitácora de
todo el equipo conectado a la red
✓ Asegurar que la red se encuentre segmentada Segmentar
la red por subredes y evitar que los servicios de seguridad
electrónica convivan con la red de usuarios comunes
✓ Habilitar servicios de seguridad en la red de tal forma que
todas las conexiones a los segmentos de red de las
soluciones de seguridad electrónicas se encuentren
aislados y controlados
✓ Habilitar un firewall para controlar las conexiones hacia
Internet y de Internet hacia adentro
✓ Restringir las conexiones por medio de la MAC address
✓ Realizar análisis de comportamiento de la red de los
sistemas de seguridad a fin de detectar posibles
vulnerabilidades
✓ Asumir que en todo momento existe una vulnerabilidad en
la red de datos es importante, lo anterior nos ayudará a
mantener una actitud diferente frente a los procesos de la
organización, es decir, seremos capaces de identificar si
algún comportamiento es inusual y buscaremos el mayor
estado de seguridad posible para el esquema operativo
✓ Para las redes inalámbricas se recomienda al menos
modificar los parámetros de fábrica y configurar
contraseñas más seguras y protocolos de cifrado más
fuertes

Bluetooth

La configuración de seguridad para Bluetooth deberá

considerar al menos los siguientes aspectos:

38 de 52
 ✓ Deshabilitar la capacidad Bluetooth del dispositivo cuando
no se estén utilizando comunicaciones basadas en
Bluetooth, sólo deberá ser habilitada expresamente por el
usuario para establecer una conexión
✓ Para dispositivos que no permitan esta opción, por ejemplo,
unos auriculares, se deberá apagar o desconectar el
dispositivo cuando no se utilice
✓ Los dispositivos Bluetooth deberán estar por defecto en
modo no visible o ​undiscoverable y sólo cambiar su
configuración a modo visible o ​discoverable cuando sea
necesario para conectarse con otros dispositivos
✓ Aunque es posible descubrir dispositivos no visibles mediante
el uso de un sniffer Bluetooth o técnicas de fuerza bruta
sobre la dirección del dispositivo BD_ADDR, los dispositivos
no visibles mitigan la utilización de un gran número de
herramientas y técnicas de ataque a través de Bluetooth
✓ Cuando sea posible en el dispositivo debe ser configurado
de tal forma que cualquier solicitud de conexión Bluetooth
entrante, deba ser mostrada al usuario para que éste
autorice antes de conectarse
✓ El nombre del dispositivo no debe ser descriptivo o alusivo a
su función, este no debe revelar ninguna característica
relacionada con el dispositivo, el usuario, la organización o
su función del mismo, a fin de mitigar cualquier ataque
dirigido o ser foco de revisión de vulnerabilidades por
terceras personas
✓ El nivel de potencia de los dispositivos deberá estar ajustado
al mínimo necesario, de tal forma que las transmisiones
Bluetooth permanezcan dentro del círculo de seguridad de
la organización, por tanto evitar equipos que tengan una
antena adicional de alta ganancia
✓ Se recomienda configurar contraseñas de acceso fuertes
en los dispositivos Bluetooth portátiles, lo anterior ayuda a
prevenir accesos no autorizados en caso de que el
dispositivo se pierda o sea robado

✓ Instalar software de antivirus en los dispositivos Bluetooth

donde esto sea posible por ejemplo equipo de cómputo de
escritorio, esto ayuda a prevenir que malware se introduzca
en las redes y otros dispositivos Bluetooth.

https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html​ ver marzo 2018

39 de 52
Línea de acción 4.-Resiliencia

Es la capacidad de recuperarse ante una situación adversa;

tecnológicamente se refiere a reponerse frente a un ataque.

Uno de los factores más importantes de la seguridad es la

prevención, tener una cultura de seguridad previene, pero
prepararse ante un evento que afecte la infraestructura crítica de
una instalación asegura la continuidad del negocio

Lo anterior puede ser posible mediante la preparación de sistemas

alternos, respaldos o sistemas especializados para la recuperación
de la operación y sus datos

Primero se debe tener una visión donde se considere que todo

dispositivo conectado a la red de datos del inmueble, es un
dispositivo que se tiene que monitorear y respaldar, para los
dispositivos del Internet de las Cosas debemos estar seguros de
contar con un respaldo del firmware del mismo, así como los parches
de seguridad requeridos por el dispositivo resguardados, así como
bitácora que permita dar cuenta de la sucesión en las instalaciones
de dichas actualizaciones y / o parches de seguridad

DLP

En la actualidad existen una variedad de sistemas de

prevención de pérdida de datos o DLP (Data Loss Prevention)
por sus siglas en inglés, recomendamos que primero se tenga
una debida planeación para acordar que tipo de información
se tiene que respaldar de todo el sistema electrónico de
seguridad y posteriormente elegir la herramienta que se
apegue a la necesidad específica para la prevención de
pérdida de datos

Se recomienda tener rigurosamente un software antimalware

que es de vital importancia para prevenir infecciones en
computadoras y dispositivos móviles, también es aconsejable
el respaldo de datos en medios físicos y respaldos en línea, que
ofrecen facilidad de acceso y recuperación de datos

Como todo sistema en una organización, recomendamos

trabajar primero en las definiciones del cuidado y preservación
de la información de los diferentes sistemas, integrar a las

40 de 52
 personas que estén involucradas con los diferentes procesos
de los sistemas electrónicos de seguridad y posteriormente
decidir que se necesita para solventar las necesidades que de
ahí surjan

Qué hacer y a quién avisar en caso de una ciber amenaza

La Policía Federal de México cuenta con la Unidad de

Ciberseguridad, adscrita a la División Científica. A través de
esta área especializada, la Institución realiza acciones de
prevención e investigación de conductas ilícitas a través de
medios informáticos, monitorea la red pública de Internet para
identificar conductas constitutivas de delito, efectuando
actividades de ciber-investigaciones, así como de
ciberseguridad en la reducción, mitigación de riesgos de
amenazas y ataques cibernéticos. De igual forma, implementa
programas de desarrollo científico y tecnológico en materia
cibernética.

El CERT-MX opera áreas especializadas en temas de

prevención e investigación de este tipo de ilícitos y es la única
autoridad acreditada a nivel federal para realizar intercambio
de información con policías cibernéticas nacionales y
organismos policiales internacionales, con el objetivo de
identificar y atender posibles ataques en agravio de
infraestructuras informáticas gubernamentales en contra de la
ciudadanía.

La Policía Federal forma parte de la comunidad del ​Forum for

Incident Response and Security Teams (FIRST), un foro global
donde convergen y colaboran equipos de respuesta a
incidentes cibernéticos. Ello permite generar y fortalecer líneas
de investigación que en colaboración con las policías
cibernéticas de otras naciones, logre la identificación y
ubicación de probables responsables de ataques cibernéticos,
en colaboración con la Procuraduría General de la República.

La Oficina del Comisionado Nacional de Seguridad exhorta a

los usuarios a reportar cualquier sospecha de fraude o ataque
cibernético al número telefónico ​088​​, que opera las 24 horas
del día, los 365 días del año, así como a realizar denuncias a
través de la cuenta de Twitter ​@CEAC_CNS​​, el correo

41 de 52
 ceac@cns.gob.mx y la aplicación ​PF Móvil​​, disponible para
todas las plataformas de telefonía celular. ​12
12.-
https://www.gob.mx/policiafederal/articulos/centro-nacional-de-respuesta-a-incidentes-ciberneticos-de-la-policia-federal?idiom
=es

Preservación de evidencias

Un incidente de seguridad como se define ​13 en la RFC282, es

un evento relevante en los sistemas, el cual contraviene las
políticas de seguridad, la recolección correcta de la evidencia
de un evento de esta naturaleza, es mucho más útil para
aprehender al o los atacantes, además de otorgar muchas
probabilidades de ser admisible en un caso legal

Existen varias metodologías y buenas prácticas, se

mencionarán algunas basadas en la RFC3227 ​14 ​donde en ella
se pueden apreciar detalladamente cada una de ellas,
mencionamos algunas de ellas

No cambiar el estado del dispositivo​​, donde básicamente si el

dispositivo se encuentra encendido, este no debe ser
apagado, ya que se podrían perder todos los datos volátiles,
por ejemplo algunos procesos activos y todo lo que está
cargado en la memoria RAM, si el equipo comprometido está
conectado a la red, se recomienda desconectarlo físicamente
de su conexión o bloquearlo desde su conmutador físico o
inalámbrico

En caso de que el equipo se encuentre apagado, este debe

permanecer de esta forma, toda vez que al iniciarse el sistema
podría sobrescribir la información útil o también podría
contener un código malicioso que se pudiera ejecutar de
forma automática al inicio

Recopilar evidencias siguiendo un orden que va de mayor a

menor volatilidad, toda vez que los datos volátiles ofrecen
mucha información por ejemplo malware que está
únicamente en la memoria y otros metadatos alojados en

42 de 52
cache y que estos pueden ser de mucha ayuda para
entender el vector de ataque

No confiar en la información proporcionada por los programas

del sistema​​, porque estos pudieron ser comprometidos por
código malicioso con la finalidad de entorpecer la
investigación de los analistas forenses, lo anterior es uno de los
principales motivos por el cual se aconseja capturar la
información mediante programas desde un medio protegido

No ejecutar aplicaciones que modifiquen la fecha y hora de

acceso de los archivos del sistema, ​es importante saber que
unas de las técnicas de análisis forenses más potentes para
entender el paso a paso de los incidentes es la revisión por
tiempos, pues se realiza una línea temporal sobre la
modificación, el acceso y el cambio de cada archivo, esto a
su vez se correlaciona con diferentes logs del sistema y puede
ayudar a identificar el cómo de muchos hechos, recordando
que también una acción de cambio de hora o fecha puede
afectar a los metadatos de los archivos

Si no está seguro de lo que está haciendo, mejor no realice

ninguna acción, ​¿qué hacer después de que sabes que ha
ocurrido una intrusión, restablecer el sistema y los procesos o
comenzar un análisis forense?​18

Es importante saber que si se reestablecen los procesos es muy

probable que se destruyan todas las evidencias, permitiendo
así una nueva oportunidad para que los atacantes puedan
invadir el sistema de nuevo, otro punto de vista es que si este
evento generó un impacto en el negocio, es muy probable
que esté usted obligado a restablecer los sistemas cuanto
antes, lo cual es una encrucijada en sí, por eso sugerimos que
se tenga un plan de contingencias para ayudar a resolver este
tipo de eventos

Al final lo que se busca es Identificar, fijar y preservar la

evidencia para que esta sea posible entregarla mediante una
cadena de custodia y pueda ser una prueba ante un
procedimiento judicial

Entendiendo que la cadena de custodia busca evitar

suplantaciones, modificaciones, alteraciones, adulteraciones o

43 de 52
 simplemente la destrucción de los medios digitales, pues es
común que mediante el borrado o la denegación de un
servicio no se pueda tener acceso a ellos ​15 16 17

13.-https://www.ietf.org/rfc/rfc2828.txt
14.-​ ​https://tools.ietf.org/html/rfc3227
15 .-
http://ojs.tdea.edu.co%2Findex.php%2Fcuadernoactiva%2Farticle%2Fdownload%2F45%2F42%2F0&usg=AOvVaw1wE0i2uT330Zpb7
BBsB_4i
16.-​ ​https://www.oas.org/juridico/english/cyb_pan_manual.pdf
17.- ​http://www.inacipe.gob.mx/stories/publicaciones/descargas_gratuitas/ProtocolosdeCadenadeCustodia.pdf
18.-​ ​https://www.welivesecurity.com/la-es/2016/02/15/consejos-evidencia-digital-analisis-forense/

Conclusión

Todo ecosistema tiende a evolucionar, el tecnológico para la seguridad no

será la excepción, conforme se presenten avances en materia de
inteligencia artificial y mayores posibilidades de interconexión entre
dispositivos, más grandes serán los retos de ciberseguridad, por tal motivo
la invitación a generar una cultura de seguridad siempre será el mejor
instrumento para asegurar los sistemas encargados de velar por nuestra
seguridad.

Un buen equipo no garantiza el éxito, pero un mal equipo si

garantiza el fracaso

44 de 52
Glosario

▪ Antivirus:​​ programa diseñado para detectar, detener y remover

códigos maliciosos.
▪ Ataque de “agujero de agua” o “watering”:​​ creación de un sitio web
falso o comprometer uno real, con el objetivo de explotar a los
usuarios visitantes. Se trata de un tipo de ataque informático.
▪ Autenticación de dos factores o 2FA: es el uso de dos componentes
para verificar la identidad de un usuario al intentar acceder a un
servicio de Internet (banca en línea, correo electrónico, redes
sociales, etcétera. También se le conoce como autenticación
multifactor o verificación de dos pasos
▪ Backend: ​Retaguardia informática, son los equipos, servicios o
procesadores que no hacen labores de interfaz de usuario o no tienen
acceso con el exterior, además de tener funciones especializadas
como información dar tratamiento a la información en base de datos,
sistemas de control de comunicaciones o cálculos
▪ BOTNET:​​ Red de dispositivos infectados que tienen conexión a internet,
utilizados para cometer ciberataques coordinados y sin el
conocimiento de sus dueños
▪ CASB(Cloud Access Security Broker) o Agentes de Seguridad para el
Acceso a la Nube: ​es una categoría de herramientas de seguridad
que atiende a los riesgos considerados en menor grado en los
modelos de software como servicio en la nube
▪ Centro Especializado en Respuesta Tecnológica (CERT):​​ nombre que
reciben aquellos equipos de respuesta a emergencias cibernéticas,
cuyos integrantes realizan un permanente monitoreo de la red para
identificar y mitigar tanto amenazas como ataques cibernéticos
contra infraestructuras tecnológicas
▪ Ciberdelincuente: ​Personas que comenten algún delito a través de un
ordenador o dentro del ciberespacio irrumpiendo ilegalmente en
algún sistema de seguridad, motivados por múltiples razones
▪ Ciberataque:​​ intentos maliciosos de daño, interrupción y acceso no
autorizado a sistemas computacionales, redes o dispositivos por
medios cibernéticos.
▪ Ciberseguridad:​​ protección de dispositivos, servicios o redes, así como
la protección de datos en contra de robo o daño.
▪ Códigos maliciosos:​​ programas diseñados para infiltrarse en los
sistemas y ocasionar afectaciones en los dispositivos electrónicos
(computadoras, tabletas, teléfonos móviles inteligentes, etcétera),
alterando su funcionamiento y poniendo en riesgo la información
almacenada en ellos.

45 de 52
▪ Contraseña segura:​​ clave de identificación virtual para el acceso a
información privada, almacenada en dispositivos electrónicos o
servicios en línea (correo electrónico, redes sociales, banca en línea,
etcétera). Es segura cuando utiliza más de ocho caracteres; combina
letras, mayúsculas, minúsculas, números y signos.
▪ Cortafuegos o Firewall:​​ hardware o software que utiliza un conjunto de
reglas definidas para restringir el tráfico de la red e impedir accesos no
autorizados.
▪ Denegación del servicio o DoS: denegación a un usuario legítimo de
acceder a servicios de cómputo o recursos, resultado de la saturación
de número de solicitudes de servicio.
▪ Día Cero: ​vulnerabilidades recientemente descubiertas, aún no
conocidas por los vendedores o compañías antivirus, que los
delincuentes pueden explotar.
▪ Dispositivo de Usuario Final: término utilizado para describir a los
teléfonos celulares inteligentes o Smartphone, computadoras
portátiles y tabletas electrónicas que se conectan a la red de una
organización
▪ DMZ o Demilitarized Zone: Es una zona detrás de un firewall con un
nivel de protección diferente al resto de la red que separa y protege
la red interna de la red pública. Surge de la necesidad de publicar
servicios en la Internet y que los servidores que hacen dicha tarea
deben estar en una red diferente y más resguardada, porque estos
están expuestos
▪ DoS (Denial of Service​​)​: ​Ataque de denegación de servicio basado en
el envío de peticiones basura al servidor con el objeto de disminuir o
imposibilitar su capacidad de respuesta a peticiones de usuarios
legítimos, provocando la eventual saturación y caída del servicio
▪ Encriptación:​​ función matemática que protege la información al
hacerla ilegible para cualquiera, excepto para quienes tengan la
llave para decodificarla
▪ Firewall:​​ Sistema que está diseñado para conectarse a la red y
gestionar permisos de acceso a otras redes o equipos
▪ Firmware: ​Elemento integrado por una unidad de hardware y un
programa software que no puede ser alterado dinámicamente
mientras se encuentra en funcionamiento, toda vez que se encuentra
almacenado en la unidad de hardware de un circuito integrado con
una lógica fija que tiene instrucciones específicas para un
funcionamiento definido
▪ FPS (Frames per Second): Representa el número de cuadros,
fotogramas por segundo de un video o una película, se trata de una
medida de cuanta información se usa para almacenar video

46 de 52
▪ Fraude contra Directores Ejecutivos o CEO Fraud: ataques de phishing
distribuidos a través de correos electrónicos, orientados a altos
ejecutivos de una organización
▪ Hardening​​: Endurecimiento que en seguridad informática es el
proceso de asegurar un sistema mediante la reducción de
vulnerabilidades y este se logra eliminando puertos de acceso
innecesarios en los equipos y su entorno de red
▪ Herramientas de protección en línea:​​ programas que al instalarlos y
mantenerlos actualizados, protegen los dispositivos electrónicos con
los que se navega en Internet.
▪ Huella digital:​​ rastro de información digital que el usuario deja durante
sus actividades en línea.
▪ Identidad digital: datos que en conjunto, permiten identificar a una
persona en Internet y que incluso determinan su reputación digital. Se
integra por el nombre del usuario, fotos o videos de perfil, correo
electrónico, datos de contacto, preferencias políticas, religiosas o
sexuales, así como aficiones
▪ IDS (Intrusion Detection System): ​es una aplicación que analiza el
contenido, el comportamiento y el tipo de tráfico que hay en una red,
a fin de detectar accesos no autorizados y actividades no
sospechosas como escaneo de la red
▪ Ingeniería social: técnicas utilizadas para manipular a la gente a fin
de que realice acciones específicas o se sume a la difusión de
información que es útil para un atacante
▪ Internet de las Cosas o loT: es la capacidad que tienen otros objetos,
distintos a las computadoras y dispositivos móviles, de conectarse a
Internet
▪ IPS (Intrusion Prevention System): Es el sistema de prevención de
intrusos, que ejerce el control de acceso a una red de datos para
proteger los sistemas de ataques y abusos, a diferencia del IDS, este
emplea políticas de prevención y protección cuando se es detectada
una intrusión
▪ IR (Infra Red): Siglas que hacen referencia a la radiación
electromagnética de la luz infrarroja, la cual provee de iluminación no
visible al ojo humano, a los dispositivos de video seguridad
▪ Lista Blanca: listado de programas aprobados y autorizados para ser
utilizados al interior de una organización con el fin de proteger los
sistemas de aplicaciones potencialmente dañinas
▪ Log: No es más que el registro cronológico de las acciones que realiza
un sistema o un usuario, este es un registro que se puede utilizar para
fines estadísticos o de control de seguridad
▪ MacAddress: Dirección de hardware o dirección física de acceso al
medio, es una dirección asociada con un dispositivo de red en

47 de 52
 particular y único, con este se puede identificar a un dispositivo en la
red
▪ Macro: programa que puede automatizar tareas en aplicaciones, que
a su vez es útil para que los atacantes puedan acceder o dañar un
sistema
▪ Malware: ​Software hostil que es instalado o ejecutado sin el
consentimiento del usuario vía correo electrónico, web o algún
software gratuito, la formación de la palabra es un neologismo que
tiene su origen en la lengua inglesa de los términos Malicious y
software
▪ Man in the middle(MITM): ​hombre en el medio, hace referencia al tipo
de ataque en el que él agresor intercepta una comunicación
asumiendo el rol de intermediario entre las dos partes que son las
víctimas, manteniendo vínculos independientes con cada una de
ellas y simulando que la conexión es íntegra y fidedigna,
aprovechando este canal para hacer lectura, inserción y
modificación a los mensajes transmitidos
▪ Metadatos: ​Literalmente, “datos sobre datos, Pueden ser texto, voz o
imagen, y describen o clarifican los datos principales, facilitando su
análisis, clasificación, control y gestión. Entre algunos ejemplos se
incluyen fecha de creación, historial de modificaciones y usuarios
relacionados, o localización geográfica de captura de imágenes
mediante GPS
▪ Nube:​​ lugar en el que la información es almacenada y compartida,
en lugar de su resguardo de manera física, como a través de discos
compactos, memorias usb, discos duros, etcétera.
▪ Parche: ​actualizaciones de seguridad lanzadas para mejorar la
seguridad y funcionalidad del software.
▪ Privacidad en redes sociales:​​ mecanismos de protección de datos
íntimos o confidenciales en un perfil de red social de una persona, con
la finalidad de no exponerlos abiertamente y evitar que alguien los
utilice de forma negativa.
▪ Política BYOD (Brign Your Own Devices):​​ estrategia o política de una
organización que permite a sus empleados llevar al centro de trabajo
sus propios dispositivos con fines laborales.
▪ Ransomware:​​ códigos maliciosos diseñados por ciberdelincuentes
para bloquear el acceso a los dispositivos electrónicos o codificar los
archivos en ellos, para después solicitar a sus víctimas un pago para el
“rescate” de su información.
▪ Seguridad de la Información: medidas de protección encaminadas a
la preservación de la confidencialidad, integridad y disponibilidad de
la información

48 de 52
▪ Sniffer: Este es un programa de cómputo que se encarga de
interceptar
▪ Software como Servicio o SaaS:​​ se describe como un modelo de
negocio en el que consumidores acceden a aplicaciones de software
alojadas a través de Internet.
▪ Spear-Phishing:​​ ataque dirigido de phishing, que se concreta luego de
que el ciberdelincuente ha estudiado bien a su posible víctima, a
través de mensajes de correo electrónico muy específicos.
▪ Suplantación de Identidad o Phishing:​​ es el envío masivo de mensajes
de correo con el objetivo de obtener información confidencial de los
usuarios o incitarlos a visitar sitios web falsos.
▪ Troyano: código malicioso diseñado para ocultarse en el sistema del
equipo infectado bajo la fachada de software legítimo
▪ VMS ( Video Management System o Video Management Software)​​: es
un componente de seguridad de una cámara que en general
colecta el video de las cámaras, graba y almacena el video y
provee una interface para la consulta del video grabado o de revisión
en tiempo real de video producido por la(s) cámaras
▪ VPN o Virtual Private Network: Es una tecnología de que se utiliza para
conectar dos computadoras en una red privada a través de Internet,
se busca proteger el tráfico mediante diferentes tipos de cifrado
simulando un túnel seguro
▪ VPN IPSec (Internet Protocol Security): Tipo de VPN con un conjunto de
protocolos criptográficos cuya función es asegurar las
comunicaciones y garantizar que el flujo de datos se transmite de
forma cifrada
▪ WAF o Firewall de aplicación:​​ Por sus siglas en inglés, Web Application
Firewall, al igual que un firewall convencional, este se encarga de
proteger los recursos de la red, un firewall de aplicación tiene
características que ayudarán a proteger las aplicaciones web, donde
prácticamente está de intermediario entre la aplicación y el servidor
web

49 de 52
Referencias

1=​https://www.gob.mx/policiafederal/articulos/glosario-de-terminos-en-ciberseguridad?idi
om=es

2= Fuente Kasperky
https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security

3= Baseline Security Recommendations for IoT in the context of Critical Information

Infrastructures

4= ​https://www.itu.int/rec/T-REC-Y.2060-201206-I

5=
https://www.windriver.com/whitepapers/security-in-the-internet-of-things/wr_security-in-the
-internet-of-things.pdf

6=https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-t
hreat-landscape/etl2015/enisa-threat-taxonomy-a-tool-for-structuring-threat-information

7=https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/5
08-ccn-stic-805-politica-de-seguridad-de-la-informacion/file.html

8=NIST SP 800-100, An Introduction to Computer Security: The NIST Handbook, October 1995

9=ISO /IEC 27002

10=​ ​https://csrc.nist.gov/Projects/Access-Control-Policy-and-Implementation-Guides

11= DAS primera generación

12=Cibersecurity Video System Overview from AXIS

https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-se
guridad.html ver marzo 2018

12=https://www.gob.mx/policiafederal/articulos/centro-nacional-de-respuesta-a-incident
es-ciberneticos-de-la-policia-federal?idiom=es

13=https://www.ietf.org/rfc/rfc2828.txt

14=​ ​https://tools.ietf.org/html/rfc3227

15=http://ojs.tdea.edu.co%2Findex.php%2Fcuadernoactiva%2Farticle%2Fdownload%2F45
%2F42%2F0&usg=AOvVaw1wE0i2uT330Zpb7BBsB_4i

16=​ ​https://www.oas.org/juridico/english/cyb_pan_manual.pdf

50 de 52
17=​http://www.inacipe.gob.mx/stories/publicaciones/descargas_gratuitas/ProtocolosdeC
adenadeCustodia.pdf

18=
https://www.welivesecurity.com/la-es/2016/02/15/consejos-evidencia-digital-analisis-forens
e/

19= Norma mexicana NMX-I-27032-NYCE-2018. Tecnologías de la información – Técnicas

de seguridad – Lineamientos para la ciberseguridad

Organismos referentes

European Union Agency for Network and information security ENISA

International Telecommunication Union
Centro Criptológico Nacional de España CNN – CERT
National Institute of Standars and Technology NIST
LATAM Kaspersky Labs
The Internet Engineering Task Force IETF
Palo Tinto Networks
EsEt WeLiveSecurity
The Organization of American States
Axis Comunications
ISO/IEC 27002
Policía Federal
Instituto Nacional de Ciencias Penales
SPF / ASIS Diplomado de Administración de Seguridad DAS

51 de 52
Agradecimientos

Kaspersky Labs cyberthreat research – Equipo México

Palo Tinto Networks – smartcities
Axis Communications México
Policía Federal División Científica / CERT MX

Participantes

El presente documento fue elaborado en el marco de la Estrategia

Nacional de Cirberseguridad y de la Coordinación de la Estrategia Digital
Nacional

Comisionado del Servicio de Protección Federal Alfonso Ramón Bagur

Comisario Jefe Oscar Alberto Margain Pitman
Inspector Julio Alberto González Cárdenas
Subinspector Rafael Bernardo Arreola Fuentes
Subinspector Ángel Rogelio López Gutierrez
Subinspector Ignacio Arias Cruz

Noviembre 2018

52 de 52