Riesgos,

vulnerabilidades y
amenazas
PID_00290978

Joan Mir Rubio

Tiempo mínimo de dedicación recomendado: 3 horas

CC-BY-NC-ND • PID_00290978 Riesgos, vulnerabilidades y amenazas

Joan Mir Rubio

El encargo y la creación de este recurso de aprendizaje UOC han sido coordinados

por la profesora: Helena Rifà Pous

Primera edición: octubre 2022

© de esta edición, Fundación Universitat Oberta de Catalunya (FUOC)
Av. Tibidabo, 39-43, 08035 Barcelona
Autoria: Joan Mir Rubio
Producció: FUOC

Los textos e imágenes publicados en esta obra están sujetos –excepto que se indique lo contrario– a una licencia Creative Commons
de tipo Reconocimiento-NoComercial-SinObraDerivada (BY-NC-ND) v.3.0. Se puede copiar, distribuir y transmitir la obra
públicamente siempre que se cite el autor y la fuente (Fundació per a la Universitat Oberta de Catalunya), no se haga un uso
comercial y ni obra derivada de la misma. La licencia completa se puede consultar en: http://creativecommons.org/licenses/by-nc-
nd/3.0/es/legalcode.es
CC-BY-NC-ND • PID_00290978 Riesgos, vulnerabilidades y amenazas

Índice

Introducción............................................................................................... 5

Objetivos....................................................................................................... 6

1. Seguridad.............................................................................................. 7
1.1. Pilares de la seguridad ................................................................. 7
1.2. Políticas de seguridad .................................................................. 9
1.3. Planteamiento de la seguridad .................................................... 9
1.4. Normativas, leyes y estándares ................................................... 10
1.4.1. Tipo de normativas de cumplimiento ........................... 11
1.4.2. Estándares y normativas relevantes ............................... 11
1.5. Modelo de seguridad ................................................................... 14
1.6. Organismos .................................................................................. 14
1.7. Conceptos básicos ....................................................................... 16

2. Gestión de riesgos.............................................................................. 19

3. Vulnerabilidades................................................................................. 23
3.1. Motivos de vulnerabilidades ....................................................... 23
3.2. Gestión de las vulnerabilidades .................................................. 24
3.3. Clasificación de las vulnerabilidades .......................................... 27
3.4. Herramientas de gestión de vulnerabilidades ............................. 27

4. Amenazas.............................................................................................. 29
4.1. Tipos de amenazas ...................................................................... 29
4.2. Otros tipos ................................................................................... 30
4.3. Compartición y automatización ................................................. 30

5. Seguridad en el cloud computing................................................... 31

5.1. Tipos de nube .............................................................................. 31
5.2. Despliegue ................................................................................... 32
5.3. Arquitectura ................................................................................. 33
5.4. Seguridad en la nube .................................................................. 33
5.5. Soluciones de protección de la nube .......................................... 34

6. Compromiso ético y global............................................................. 36

Resumen....................................................................................................... 38

Glosario........................................................................................................ 39
CC-BY-NC-ND • PID_00290978 Riesgos, vulnerabilidades y amenazas

Bibliografía................................................................................................. 40
CC-BY-NC-ND • PID_00290978 5 Riesgos, vulnerabilidades y amenazas

Introducción

Estamos en un mundo cambiante. Las tecnologías de la información y de las

comunicaciones (TIC) han tenido un papel transformador clave en la sociedad
actual y la seguridad ha sido uno de los elementos fundamentales que, con
el tiempo, ha ido adquiriendo más importancia. Más todavía cuando hemos
visto que un virus ha transformado nuevamente el contexto mundial y ha
hecho que toda la sociedad globalizada descubra nuevas vías de teletrabajo y
comunicación que han podido servirse de las tecnologías de la información.

Los equipos informáticos, las aplicaciones, los datos, los servicios webs e in-
cluso los usuarios son activos de organizaciones y empresas que están bajo las
amenazas de actores como los ciberdelinqüents, los gobiernos o los hacktivis-
tas, y tienen que protegerse.

Entender las vulnerabilidades que presentan los activos, valorarlas de manera

adecuada y saber gestionar correctamente los riesgos en las tecnologías es ne-
cesario para cualquier organización, que tendrá que definir políticas y aplicar
controles a los activos para conseguir la seguridad deseada.
CC-BY-NC-ND • PID_00290978 6 Riesgos, vulnerabilidades y amenazas

Objetivos

Los objetivos de aprendizaje y conocimientos que el estudiante tendrá que

lograr después de estudiar los contenidos de este módulo son los siguientes:

1. Introducir el concepto de seguridad en las tecnologías de la información

y sus activos.

2. Entender el concepto y las tipologías de políticas de seguridad.

3. Presentar como se recogen y catalogan las vulnerabilidades en las tecno-

logías de la información.

4. Entender y comprender la metodología de gestión de riesgos de Magerit.

5. Comprender los tipos de amenazas y como se comparte la información

entre las empresas de seguridad.

6. Introducir el mundo Cloud y las implicaciones en seguridad.

7. Reflexionar sobre el compromiso ético y global de los profesionales de la

ciberseguridad hacia la sociedad.
CC-BY-NC-ND • PID_00290978 7 Riesgos, vulnerabilidades y amenazas

1. Seguridad

Antes de empezar a hablar de ciberseguridad, tenemos que entender en térmi-

nos generales qué es la seguridad. La seguridad es el proceso continuado de
proteger un objeto de un acceso no autorizado. Aquí tenemos que entender
que un objeto puede ser una persona, una organización, un negocio, un servi-
cio web o una propiedad como,por ejemplo, un equipo informático o un dis-
positivo móvil, para citar ejemplos. La información que tenemos en un simple
fichero es también un objeto que hay que proteger.

(1)
Este es un término relativamente
1
Cuando hablamos de ciberseguridad o seguridad de las TIC, los objetos nuevo; a menudo se usa el término
más genérico de seguridad aunque
que tienen que protegerse són sistemas informáticos, redes, programas y estemos hablando específicamente
de seguridad TIC.
datos. Las principales áreas que cubre la ciberseguridad son la seguridad
de la información, seguridad en las redes, seguridad de las aplicaciones,
seguridad operacional y gestión de riesgos y continuidad de negocio.

También es importante destacar que la educación en buenas prácticas de se-

guridad a los usuarios finales es importantísima, puesto que actualmente el 95
% de las incidencias de ciberseguridad se deben a errores humanos.

En los próximos apartados veremos los diferentes pilares sobre los que se sus-
tenta la ciberseguridad.

1.1. Pilares de la seguridad

La información es uno de los objetos o activos de más alto valor. La infor-

mación puede ser divulgada, mal empleada, robada, eliminada o manipulada.
Esto afecta a la disponibilidad y confidencialidad, y las ponen en riesgo.

La información es poder, y según las posibilidades estratégicas que ofrece tener

acceso a cierta información, se clasifica de la siguiente manera:

• Crítica: es indispensable para la operación de la empresa.

• Valiosa: es un activo de la empresa y es muy valioso.

• Sensible: solo tiene que ser conocida por las personas autorizadas.

Para seguir introduciendo la seguridad, tenemos que comprender bien qué es

un riesgo.
CC-BY-NC-ND • PID_00290978 8 Riesgos, vulnerabilidades y amenazas

Un riesgo es la materialización de vulnerabilidades identificadas, aso-

ciadas con su probabilidad de ocurrencia, amenazas expuestas, así como
el impacto negativo que ocasione a las operaciones de negocio.

La seguridad de la información comprende varios aspectos o propiedades, co-

mo, por ejemplo, la disponibilidad, la comunicación, la identificación de pro-
blemas, el análisis de riesgos, la integridad o la confidencialidad.

Las propiedades de confidencialidad, integridad y disponibilidad, también co-

nocidas como tríada CIA (confidentiality�integrity�availability), son un mo-
delo diseñado para guiar las políticas de seguridad de la información dentro
de una organización. Los elementos de esta tríada son considerados los tres
componentes más cruciales de la seguridad:

1)�Confidencialidad: propiedad que garantiza que la información no se haga

pública a personas no autorizadas.

2)�Integridad: propiedad que garantiza que la información no ha sido modi-

ficada. Los sistemas que ofrecen integridad permiten detectar si ha habido una
modificación de la información.

3)�Disponibilidad (availability): característica, calidad o condición de la in-

formación de encontrarse a disposición de quienes tienen que acceder, sean
personas, procesos o aplicaciones.

Otras propiedades de la seguridad de la información, que no siempre se re-

quieren son las siguientes:

• Autenticidad: se dice que un objeto es auténtico cuando es verdadero o

hay un certificado de veracidad o seguridad. La autenticidad de los usua-
rios o extremos en una comunicación es una propiedad de seguridad. Pa-
ra conseguirla, los servicios o sistemas habilitan mecanismos para que los
usuarios presenten sus identidades y las validen.

• Anonimato: palabra de origen griego que indica ‘sin nombre’. Puede in-
terpretarse como las acciones destinadas a garantizar que el acceso a la red
o a un servicio se lleva a cabo de forma que no se conozca quién ha hecho
la conexión, y sus acciones posteriores.

• No�repudio: es la propiedad que garantiza que el autor de una determinada

acción no pueda negar haberla llevado a cabo. El no repudio puede ser
tanto de origen como de destino.

• Trazabilidad: propiedad que asegura que en todo momento puede deter-

minarse quién ha hecho qué y en qué momento. Es esencial para analizar
CC-BY-NC-ND • PID_00290978 9 Riesgos, vulnerabilidades y amenazas

los incidentes, así como para perseguir a los atacantes y aprender de la

experiencia de los ataques.

1.2. Políticas de seguridad

Las políticas de seguridad son un conjunto de documentos que recogen

las acciones y los controles que tiene que aplicar una organización o
entidad para considerar que está segura.

Las políticas de una organización, en el mundo físico, abordan las limitaciones

de comportamiento de sus miembros, así como las restricciones impuestas a
los adversarios por mecanismos como puertas, cerraduras, claves y paredes. En
los sistemas, la política de seguridad aborda las limitaciones de las funciones y
el flujo que hay, las restricciones en el acceso de sistemas externos y adversa-
rios, los programas incluidos, y el acceso a los datos por parte de las personas.

Enlace recomendado

Para ver como se definen y qué alcance tienen las políticas de seguridad, visitad el si-
guiente sitio web y descargad el documento de políticas: https://www.incibe.es/prote-
ge-tu-empresa/herramientas/politicas

Observad el tipo de políticas que se definen y seleccionad algunas para revisarlas con
más detalle.

En el enlace recomendado, veréis que hay tres preguntas fundamentales que

tiene que responder cualquier política de seguridad, que son las siguientes:

• ¿Qué queremos proteger?

• ¿Contra quién?
• ¿Cómo?

Conocer los puntos que hay que proteger es el primer paso a la hora de esta-
blecer normas de seguridad. También es importante definir los usuarios contra
los que queremos proteger cada recurso. Las medidas difieren notablemente
en función de los objetivos, de los activos que se protegen, de la complejidad
y de diferentes abastecimientos.

La respuesta a la tercera pregunta es la más difícil de resolver y la que requiere

unas soluciones más dinámicas y cambiantes en cuanto a la vigencia de la
política de seguridad.

1.3. Planteamiento de la seguridad

Siempre que se gestiona una política tiene que definirse un paradigma y una
estrategia. Las opciones para definir los paradigmas y las estrategias de segu-
ridad tienen como base algunos de los siguientes supuestos:
CC-BY-NC-ND • PID_00290978 10 Riesgos, vulnerabilidades y amenazas

1)�Paradigmas�de�seguridad:

• Todo lo que no se prohíbe expresamente está permitido.

• Todo lo que no se permite expresamente está prohibido (también se co-

noce como denegación por defecto).

2)�Estrategias�de�seguridad:

• Promiscua: esta política no suele restringir el uso de los recursos del siste-
ma.

• Permisiva: esta política empieza muy abierta y solo están bloqueados los
servicios, los ataques o las conductas peligrosas conocidas. Este tipo de
políticas tiene que actualizarse a menudo para mantener la efectividad.

• Prudente: esta política proporciona la máxima seguridad a la vez que per-

mite peligros conocidos, pero necesarios. Este tipo de política bloqueará
todos los servicios y solo se habilitan los que sean seguros o necesarios de
manera individual. Todo está registrado.

• Paranoica: esta política lo prohíbe todo. Por ejemplo, no se permite la co-

nexión a internet, salvo que sea un uso aislado de la red principal y en un
dispositivo severamente restringido.

1.4. Normativas, leyes y estándares

Las normativas de cumplimiento o corporate compliance son un conjun-

to de procedimientos adoptados por las organizaciones para identificar
y clasificar los riesgos operativos y legales a los que se enfrentan, y esta-
blecer mecanismos internos de prevención, gestión, control y reacción
ante estos.

Dentro del marco normativo no tienen que considerarse únicamente las nor-
mas legales como, por ejemplo, las leyes y los reglamentos, sino que también
tendrían que incluirse las políticas internas, los compromisos con clientes,
proveedores o terceros y, especialmente, los códigos éticos que la empresa se
haya comprometido a respetar, puesto que hay muchos casos en los que una
actuación puede ser legal, pero no ética.
CC-BY-NC-ND • PID_00290978 11 Riesgos, vulnerabilidades y amenazas

1.4.1. Tipo de normativas de cumplimiento

1)�Marcos�legales�y�reglamentarios: consiste en cumplir con las regulaciones

gubernamentales como la HIPAA —salud–, el GDPR o la LOPD –protección de
datos personales–. Estas normas dependen de las leyes, el sector de la empre-
sa y de los países. Por ejemplo, a las administraciones públicas españolas les
afecta la ley 11/2017 de acceso electrónico de los ciudadanos a los servicios
públicos y el Real Decreto RD 3/2010 que recoge el esquema Nacional de In-
teroperabilidad y el Esquema Nacional de Seguridad (ENTE). Pero estas leyes
no afectan a una organización privada que esté en España. O, por ejemplo, el
GDPR, que aplica a cualquier empresa que guarde datos de carácter personal
de ciudadanos europeos, independientemente de la localización.

Otro ejemplo es el National Institute of Standard and Technology (NIST), que

ha desarrollado estándares, guías y buenas prácticas, y que algunos organismos
en los EE. UU. están obligados a cumplir y mirar como pueden mejorar la
ciberseguridad en un país.

2)�Normativas�impuestas�por�contrato�por�terceros: cumple los requisitos

marcados por la industria o por organismos. Por ejemplo, podemos citar el
Payment Card Industry Data Security Standards (PCI DSS), que obliga a la in-
dustria de las tarjetas de pago (unión de Mastercard, VISA y American Express)
o la PS2 –Payment Services Directive–, directiva de la Unión Europea para ha-
cer pago con tarjeta.

Si una empresa no hace pagos con tarjeta, no se ve afectada por estas norma-
tivas de terceros.

3)�Normativas�basadas�en�marcos�o�estándares�internacionales: hay orga-

nismos que han creado unas normas o unos marcos de buenas prácticas. Las
empresas pueden optar por cumplirlos o no. Anuncian las prácticas que tie-
nen que seguir los miembros de un determinado grupo u organización. Por
ejemplo, ITIL, ISO, COBIT o SANS/CSC.

1.4.2. Estándares y normativas relevantes

1)�Esquema�Nacional�de�Seguridad�(ENS): desarrollado en el artículo 42.2 de

la ley LAECSP y regulado en el Real Decreto 3/2010, establece los principios
básicos y requerimientos mínimos de seguridad de los sistemas de información
de las administraciones públicas.

2)�COBIT: es un marco para el gobierno y la gestión de la información y tec- Enlace recomendado

nología empresarial (I&T) que apoya a la consecución de los objetivos empre-
https://www.isaca.org/resour-
sariales. Creado por ISACA (organismo internacional), da una lista de contro- ces/cobit
les y buenas prácticas.
CC-BY-NC-ND • PID_00290978 12 Riesgos, vulnerabilidades y amenazas

3)�FITARA: proyecto de ley del 2013 que tenía el objetivo de cambiar el marco
que determina cómo el Gobierno de los Estados Unidos compra tecnología.

4)�FISMA: ley actualizada en el 2004 para codificar la autoridad del Departa-

mento de Seguridad Nacional en cuanto a la implementación de políticas de
seguridad de la información.

5)�GDPR: el Reglamento general de protección de datos 2016/679 es un regla- Enlace recomendado

mento en el derecho de la UE sobre la protección de datos y privacidad en la
https://gdpr.eu/
Unión Europea y en el Espacio Económico Europeo. También trata la transfe-
rencia de datos personales fuera de las zonas de la UE y del EEE.

6)�GLBA: ley que protege la confidencialidad y la integridad de la información

personal que recopilan las entidades financieras.

7)�GxP�regulations: GxP es un conjunto de normativas y directrices de calidad

formuladas para garantizar la seguridad de los productos de ciencias de la vida
a la vez que se mantiene la calidad de los procesos en todas las etapas de fa-
bricación, control, almacenamiento y distribución. Los estándares GxP fueron
establecidos por la Food and Drug Administration para una serie de activida-
des relacionadas con el cumplimiento y se reconocen de la siguiente manera:

• G: quiere decir bien

• x: variable
• P: quiere decir prácticas

8)�HIPAA: ley que establece normas de privacidad para proteger los registros Enlace recomendado
médicos de los pacientes y la información sanitaria compartida entre médicos,
https://www.hhs.gov/hipaa/
hospitales y proveedores de seguros. Es una normativa americana creada prin- index.html
cipalmente para modernizar el flujo de información sanitaria, estipular como
tiene que protegerse del fraude y el robo de la información de identificación
personal mantenida por las industrias de seguro médico y de asistencia sani-
taria, y abordar las limitaciones de la cobertura del seguro médico.

9)�ISO�27000�y�27001: normas de seguridad basadas en el estándar británico Enlace recomendado

BS7799. La ISO / IEC 27001 es un estándar de seguridad de la información,
https://www.iso.org/
que forma parte de la familia de estándares ISO / IEC 27000. Ha sido publicado isoiec-27001-informa-
por la Organización Internacional para la Normalización (ISO) y la Comisión tion-security.html

Electrotécnica Internacional (IEC) bajo la comisión conjunta ISO e IEC.

10)�ITIL: un marco operativo desarrollado en los años ochenta que estandariza

los procedimientos de gestión de IT.

11)�NIST: el NIST lleva a cabo múltiples estándares de ciberseguridad, direc-

trices, buenas prácticas y otros recursos para satisfacer las necesidades de la
industria de los Estados Unidos, las agencias federales y el público en general.
CC-BY-NC-ND • PID_00290978 13 Riesgos, vulnerabilidades y amenazas

Las actividades del NIST van desde crear información específica que las orga-
nizaciones pueden poner en práctica inmediatamente hasta investigaciones a
largo plazo que anticipen los adelantos de las tecnologías y los retos futuros.

12)�PCI-DSS: el Estándar de Seguridad de Datos para la Industria de Tarjeta de Enlace recomendado

Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado
https://
por un comité formado por las compañías de tarjetas (débito y crédito) más es.pcisecuritystandards.org/
importantes (Mastercard, VISA y American Express). minisite/env2/

13)� SOX: ley que exige que las empresas con bolsa se sometan a auditorías
independientes y divulguen adecuadamente información financiera.

14)�UNE�17799: basado en BS7799, pero se centra en objetivos de seguridad

y proporciona controles de seguridad basados en las mejores prácticas de la
industria.

Cada normativa o estándar recoge su propio listado de controles. Algunos cu-

bren el marco regulador, otros, los controles y requerimientos con los clientes
o controles indicados por terceros. Algunas de las normativas se ven afectadas
por los tres puntos (ved la figura 1).

Figura 1. Estándar/frameworks de controles

Fuente: https://www.complianceforge.com/blog/ohios-data-protection-act-a-new-twist-to-data-protection-laws/.
CC-BY-NC-ND • PID_00290978 14 Riesgos, vulnerabilidades y amenazas

1.5. Modelo de seguridad

En general, un modelo de seguridad es un sistema formal empleado para

especificar y razonar la política de seguridad de una organización. Su
objetivo es abstraer la política de seguridad y manejar la complejidad,
representar los estados de seguridad de un sistema, así como la forma en
la que el sistema puede evolucionar, verificar la coherencia de la política
de seguridad y detectar y resolver posibles conflictos.

La correcta gestión de la seguridad de la información quiere establecer y man-

tener programas, controles y políticas que tengan como finalidad conservar la
confidencialidad, integridad y disponibilidad de la información. Si alguna de
estas características falla, no estamos ante nada seguro. La seguridad no es nin-
gún hito, es más bien un proceso continuo que hay que gestionar conociendo
siempre las vulnerabilidades y las amenazas que se ciñen sobre cualquier in-
formación, teniendo siempre en cuenta las causas de riesgo y la probabilidad
de que pasen, así como el impacto que pueden tener.

1.6. Organismos

Alrededor de la seguridad TIC, hay un conjunto de organismos relevantes que

hay que conocer. Estos organismos pueden ser nacionales o internacionales y
pretenden reforzar el modelo de seguridad y confianza de las comunicaciones
y con internet. La gran mayoría tienen repositorios con documentación pú-
blica como, por ejemplo, informes de seguridad, controles o ayudas para las
empresas. Son una buena fuente de información.

1)�CISA (Cybersecurity& Infraestruture Security Agency). La CISA es un organismo Enlace recomendado

estatal americano creado el 2018 por Donald Trump y el Departamento de
Para saber más detalles sobre
Seguridad Nacional. Tiene por objetivo reducir y eliminar las amenazas a las CISA, visitad el siguiente sitio
infraestructuras tecnológicas IT y cibernéticas críticas del país. web: https://www.cisa.gov/

2)�CSIRT (Computer Security Incident Response Team) o CERT (Computer Emer- Enlace recomendado
gency Response Team). Un CSIRT, un Equipo de Respuesta ante Incidencias de
Para saber más detalles so-
Seguridad Informáticas, es un centro de respuesta a incidentes de seguridad bre CSIRT, visitad el si-
en tecnologías de la información formado por expertos en la materia. guiente sitio web: https://
www.csirt.org/

3)�ENISA. La Agencia para la Ciberseguridad de la Unión Europea (abreviada Enlace recomendado

como ENISA por su nombre original en inglés, European Network and Informa-
Para saber más detalles so-
tion Security Agency) es una agencia de la Unión Europea, que funciona plena- bre ENISA, visitad el si-
mente desde el 1 de septiembre del 2005. ENISA contribuye activamente a la guiente sitio web: https://
www.enisa.europa.eu/
política europea de ciberseguridad, apoyando a los Estados miembros y a las
partes interesadas de la Unión Europea a dar respuesta a incidentes ciberné-
CC-BY-NC-ND • PID_00290978 15 Riesgos, vulnerabilidades y amenazas

ticos a gran escala que tienen lugar en las fronteras en casos en los que dos
Estados miembros de la UE o más han sido afectados. Este trabajo también
contribuye al buen funcionamiento del mercado único digital.

4)�CCN. El Centro Criptológico Nacional es el organismo responsable de coor- Enlace recomendado

dinar la acción de los diferentes organismos de la Administración que utilicen
Para saber más detalles so-
medios o procedimientos de cifra, garantizar la seguridad de las tecnologías bre CCN, visitad el siguiente
de la información en este ámbito y formar al personal de la administración en sitio web: https://www.ccn-
cert.cni.es/
este campo. Dentro del CCN está el CCN-CERT.

5)�IETF. Es el organismo principal de estándares de Internet, que desarrolla Enlace recomendado

estándares abiertos mediante procesos abiertos. Es una gran comunidad inter-
Para saber más detalles so-
nacional abierta de diseñadores de red, operadores, vendedores e investigado- bre la IETF, visitad el si-
res preocupados por la evolución de la arquitectura de Internet y el buen fun- guiente sitio web: https://
www.ietf.org/about/
cionamiento de Internet.

6)�INCIBE. INCIBE-CERT es el centro de respuesta a incidentes de seguridad Enlace recomendado

de referencia para los ciudadanos y entidades de derecho privado en España
Para saber más detalles so-
operado por el Instituto Nacional de Ciberseguridad, dependiendo del Minis- bre INCIBE, visitad el si-
terio de Asuntos Económicos y Transformación Digital a través de la Secretaría guiente sitio web: https://
www.incibe.es/
de Estado de Digitalización e Inteligencia Artificial. Antiguamente, también
conocido como INTECO (Instituto Nacional de las Tecnologías de la Comu-
nicación).

7)�ISO. La Organización Internacional de Normalización es una organización Enlace recomendado

para la creación de estándares internacionales compuesta por varias organiza-
Para saber más detalles sobre
ciones nacionales de estandarización. la ISO, visitad el siguiente si-
tio web: https://www.iso.org/
home.html
8)�NCSC (National Cyber Security Center). Es la Agencia de ciberseguridad na-
cional inglesa. Se corresponde con la CISA americana. Quiere dar apoyo y ayu-
da en temas de ciberseguridad a los ciudadanos y empresas del Reino Unido. Enlace recomendado

Para saber más detalles so-

bre la NCSC, visitad el si-
guiente sitio web: https://
www.ncsc.gov.uk/

9)� NIST (National Institute of Standards and Technology). Es el laboratorio de Enlace recomendado
ciencias físicas y una agencia no reguladora del Departamento de Comercio de
Para saber más detalles so-
los Estados Unidos. Su misión es promover la innovación y la competitividad bre el NIST, visitad el si-
industrial. guiente sitio web: https://
www.nist.gov/
CC-BY-NC-ND • PID_00290978 16 Riesgos, vulnerabilidades y amenazas

10)�OWASP. Es una organización sin ánimo de lucro internacional dedicada Enlace recomendado
a la seguridad de aplicaciones web. Uno de los principios fundamentales pa-
Para saber más detalles sobre
ra la OWASP es que todos sus materiales estén disponibles de manera libre y la OWASP y el Top 10, visitad
fácilmente accesibles en su sitio web, cosa que permite que cualquiera pueda el siguiente sitio web: https://
www.cloudflare.com/lear-
mejorar la seguridad de sus aplicaciones web. Los materiales que ofrecen in- ning/security/threats/owasp-
top-10/
cluyen documentación, herramientas, vídeos y foros. Quizás su proyecto más
conocido es el Top 10 de OWASP. Es un informe que se actualiza regularmente
y explica las preocupaciones sobre la seguridad de aplicaciones web, centrado
en los diez riesgos más críticos. El informe está formado por un equipo de ex-
pertos en seguridad de todo el mundo.

11)� W3C. Es un consorcio internacional que trabaja para desarrollar y pro- Enlace recomendado
mocionar estándares para el World Wide Web. Fue creado inicialmente para
Para saber más detalles so-
garantizar una compatibilidad más grande y un acuerdo entre los diferentes bre el W3C, visitad el si-
miembros de la industria a la hora de adoptar nuevas tecnologías web. Antes guiente sitio web: https://
ca.wikipedia.org/wi-
de su creación, por ejemplo, ya había problemas de compatibilidad por culpa ki/World_Wide_Web_ Con-
sortium
de diferentes versiones de HTML específicas de cada vendedor. Hay que decir
que estas dificultades todavía perduran.

1.7. Conceptos básicos

A continuación exponemos una lista de conceptos básicos de ciberseguridad

que no hemos desarrollado en los apartados anteriores, pero que son relevan-
tes y es importante conocerlos:

• Activos: son los elementos del sistema de información (o estrechamente

relacionados con este) que soportan la misión de una organización o em-
presa. Por ejemplo, los datos, los servicios informáticos, las aplicaciones,
los equipos informáticos, las redes, las instalaciones y las personas son
consideradas activos.

• Ataque�de�día�cero�(cero-day�attack): algunos definen los ataques de día

cero como ataques a vulnerabilidades que no han sido corregidas, mien-
tras que otros los definen como ataques que aprovechan una vulnerabili-
dad de seguridad el mismo día que la vulnerabilidad se da a conocer pú-
blicamente (día cero). La definición general describe los ataques de día
cero como ataques que tienen como objetivo vulnerabilidades conocidas
públicamente, pero todavía sin controlar.

• Baselines: según la IEEE, son el conjunto de elementos sobre los que se ha

llegado a un acuerdo, y que de ahora en adelante sirven como base para
un desarrollo posterior y que pueden cambiarse solo a través de procedi-
mientos formales de control de cambios. El propósito de definir una línea
base es identificar los cambios que ha habido desde este estado.

• Doxing: doxing o doxxing (de dox, abreviación de documentos), es la prác-

tica basada en buscar y difundir públicamente por internet información
CC-BY-NC-ND • PID_00290978 17 Riesgos, vulnerabilidades y amenazas

privada o de identificación (especialmente información de identificación

personal) sobre una persona o una organización.

• Enterprise�Information�Security�Architecture�(EISA): el EISA es una parte

de la arquitectura empresarial centrada en la seguridad de la información
en toda la empresa. Es la práctica de aplicar un método completo y riguroso
para describir una estructura y un comportamiento actuales o futuros para
los procesos de seguridad, los sistemas de seguridad de la información, el
personal y las subunidades organizativas de la organización, de forma que
se ajustan a los objetivos básicos y estratégicos de la organización.

• Estándares: los estándares de ciberseguridad son técnicas generalmente

expuestas en materiales publicados que intentan proteger el medio am-
biente cibernético de un usuario o una organización. Este entorno inclu-
ye los mismos usuarios, redes, dispositivos, todo el software, procesos, in-
formación en almacenamiento o tráfico, aplicaciones, servicios y sistemas
que pueden conectarse directamente o indirectamente a las redes.

• Esteganografía�(Steganography): es la práctica de ocultar un fichero, un

mensaje, una imagen o un vídeo dentro de otro fichero, mensaje, imagen
o vídeo. La palabra esteganografía proviene del nuevo latín steganographia,
que combina las palabras griegas steganos, que quiere decir ‘tapado o en-
cubierto’, y grafia, que quiere decir ‘escritura’. Hay diferentes maneras de
llevar a cabo la esteganografía, diferentes técnicas, como puede ser la este-
ganografía física (morse o tintas especiales, por ejemplo), los mensajes di-
gitales o la esteganografía social en los sistemas de Yate, puzzles, etcétera.

• Guidelines: una guideline es una declaración mediante la que se determi-

na un curso de acción. Una guideline pretende racionalizar procesos deter-
minados según una rutina establecida. Cualquier organización (guberna-
mental o privada) puede emitir y usar directrices para hacer más previsi-
bles las actuaciones de sus empleados o divisiones y, probablemente, de
más calidad.

• Hacker: un hacker informático es cualquier experto en informática con

traza que usa los conocimientos técnicos que tiene para superar una difi-
cultad, un problema o un reto.

• Hack�value: es la noción que usan los hackers para expresar que hacer algo
merece la pena o es interesante. Esto es una cosa que los piratas informá-
ticos a menudo sienten intuitivamente sobre una dificultad o solución.
Una solución o gesta tiene hack value si se hace de una manera cuidada,
astuta o brillante, cosa que hace de la creatividad una parte esencial del
significado.

• Phreaker: el phreaker es una persona que tiene amplios conocimientos de

telefonía y que puede llegar a llevar a cabo actividades no autorizadas con
CC-BY-NC-ND • PID_00290978 18 Riesgos, vulnerabilidades y amenazas

los teléfonos, especialmente con los smartphones. Construye equipos elec-

trónicos artesanales que después puede interceptar e, incluso, hacer llama-
das. En internet se distribuyen planes con las instrucciones y nomencla-
turas de los componentes para construir varios modelos de estos aparatos.

• Procedimientos: es un documento escrito para apoyar a una «directiva

de políticas». Un procedimiento está diseñado para describir quién, qué,
dónde, cuándo y por qué intermediando el establecimiento de responsa-
bilidades corporativas en apoyo de la implementación de una «política».
Cada unidad organizativa documenta el «como» en forma de «instruccio-
nes de trabajo» que pretende dar más apoyo al procedimiento proporcio-
nando más detalles.

• Proceso�o�política�de�sensibilización�(security�awareness�training): es
un proceso formativo de sensibilización, también conocido como security
awareness training. Es un proceso formal para educar a los empleados sobre
la seguridad informática. Un buen programa de sensibilización en mate-
ria de seguridad tiene que educar a los empleados sobre políticas y proce-
dimientos corporativos para trabajar con la tecnología de la información
(IT).

• Sniffing: es la captura de paquetes mientras pasan por el cable (o el aire)

para revisar información interesante. Con esta técnica puede captarse todo
lo que circula por una red. Esto que en principio es propio de una red
interna o intranet, también puede darse en la red de redes: internet.

• Wiretapping: es la interceptación del contenido de la comunicación me-

diante una conexión secreta a la línea telefónica de una de las conversa-
ciones de que tiene que controlarse, normalmente con fines de investiga-
ción criminal por parte de las fuerzas de ordenación, pero también hay
delincuentes que lo utilizan con fines criminales.

• Zero�Trust�Arquitecture�(ZTA): es un modelo en el que no se confía en

ningún componente (confianza 0). Esto quiere decir que ante cualquier
comunicación tiene que verificarse el usuario, el dispositivo, limitar acce-
sos de red, controlar la infraestructura, clasificar los datos y restringir los
privilegios a las aplicaciones.
CC-BY-NC-ND • PID_00290978 19 Riesgos, vulnerabilidades y amenazas

2. Gestión de riesgos

Un riesgo es el grado de exposición que tenemos de un activo sobre una ame-

naza que causa daños o perjuicios.

La gestión de riesgos es la aplicación sistemática de políticas, procedi-

mientos y prácticas de gestión a las actividades de comunicación, con-
sulta, establecimiento del contexto, e identificación, análisis, evalua-
ción, tratamiento, seguimiento y revisión del riesgo.

Trabajaremos este apartado leyendo la guía de Magerit, Metodolo-

gía de Análisis y Gestión de Riesgos de los Sistemas de Informa-
ción, disponible en https://www.administracionelectronica.gob.es/pae_home/
pae_documentacion/pae_metodolog/pae_magerit.html. Magerit es un están-
dar abierto por las administraciones públicas para gestionar los riesgos IT.

Concretamente, tenemos que leer el módulo 3 (páginas 22 - 46) del libro 1.

Método para entender los conceptos clave de riesgos y como caracterizar los
activos, las amenazas, los mecanismos de protección y los riesgos.

Sintetizando, los pasos que hay que seguir serían los siguientes:

1)� Identificación� de� riesgos: a la vista de los impactos y riesgos a los que
está expuesto un objeto o activo, tienen que tomarse una serie de decisiones
condicionadas por varios factores:

• La gravedad del impacto o del riesgo.

• Las obligaciones a las que por ley esté sometida la organización.

• Las obligaciones a las que por reglamentos sectoriales esté sometida la or-
ganización.

• Las obligaciones a las que por contrato esté sometida la organización.

Entonces, hay que hacer una calificación de cada riesgo significativo, deter-
minar si es crítico y requiere atención urgente, si es asumible en el sentido de
que no se tomarán acciones para resolverlo, etcétera.

2)�Evaluación�de�riesgos: es una aproximación metódica para determinar el

riesgo siguiendo los siguientes pasos pautados:
CC-BY-NC-ND • PID_00290978 20 Riesgos, vulnerabilidades y amenazas

a)�Identificar los activos relevantes para la organización.

b)�Determinar a qué amenazas están expuestos estos activos.

c)� Buscar qué salvaguardias hay disponibles y hasta qué punto son eficaces
frente a los riesgos.

d)�Estimar el impacto de las amenazas.

e)�Evaluar el riesgo de las amenazas.

Es, quizás, el paso más importante en un proceso de gestión de riesgos, y tam-

bién el más difícil y en el que hay más posibilidad de cometer errores. Una
vez que los riesgos son identificados y evaluados, los pasos subsiguientes son
mucho más programáticos.

El riesgo R se evalúa mediante la medición de los dos parámetros, la magnitud

de la pérdida o el daño posible y la probabilidad que esta pérdida o daño llegue
a pasar.

Parte de la dificultad de la evaluación de riesgos es que la medición de los dos

parámetros es muy difícil y, por eso, se dice que es un proceso subjetivo. La
incertidumbre asociada a la medición de cada uno de los dos parámetros es
generalmente grande.

3)�Tratamiento�de�riesgos: las organizaciones pueden decidir si quieren apli-

car algún tratamiento al sistema de seguridad para proteger el sistema de in-
formación. Principalmente, hay las siguientes dos opciones:

• Reducir el riesgo residual (aceptar un riesgo más bajo).

• Ampliar el riesgo residual (aceptar un riesgo más alto).

Para tomar una decisión tienen que enmarcarse los riesgos soportados por el
sistema de información dentro de un contexto más amplio que cubre un gran
espectro de consideraciones, que son las siguientes:

• El cumplimiento de las obligaciones, ya sean legales, de regulación públi-

ca, compromisos internos, misión de la organización, etc.

• Los posibles beneficios derivados de una actividad que en si comporta ries-

gos.

• Los condicionantes técnicos, económicos, culturales, políticos, etc.

Las opciones que tienen las organizaciones ante el riesgo son las siguientes:
CC-BY-NC-ND • PID_00290978 21 Riesgos, vulnerabilidades y amenazas

• En condiciones de riesgo residual extremo, casi la única opción es reducir

el riesgo.

• En situaciones de riesgo residual aceptable, podemos optar entre aceptar

el nivel actual o ampliar el riesgo asumido.

• En casos de riesgo residual medio, podemos observar otras características

como las pérdidas y las ganancias que pueden verse afectadas por el esce-
nario presente.

• En casos en los que un riesgo no es aceptable, la eliminación de la fuente

de riesgo es una opción.

• Otra opción es mitigar el riesgo, que se refiere a una de las opciones si-
guientes:
– Reducir la degradación causada por una amenaza («acotar el impac-
to»).
– Reducir la probabilidad de que una amenaza se materialice.

4)� Seguimiento� de� riesgos: el análisis de los riesgos es un ejercicio formal,

basado en múltiples estimaciones y valoraciones que pueden no ajustarse del
todo a la realidad. Es absolutamente necesario que el sistema esté bajo una
monitorización permanente para poder reaccionar a tiempo ante desviaciones
significativas.

Los indicadores de impacto y riesgo potenciales son útiles para decidir qué
puntos tienen que ser objeto de monitorización. También tiene que estar pre-
parado un sistema de detección precoz de posibles incidentes, basándose en
los indicadores predictivos mencionados, así como un sistema de reacción a
incidentes de seguridad.

Estos indicadores, o bien son propuestos por el responsable de la seguridad,

o bien su definición es acordada entre el responsable de la seguridad y el pro-
pietario del riesgo. La responsabilidad de monitorizar un riesgo recae en su
propietario.

Cada vez que la realidad difiere de nuestras estimaciones, conviene hacer un

ciclo de revisión del análisis y las decisiones de tratamiento.

5)�Revisión�de�riesgos: los esquemas sugeridos por la gestión de riesgos tie-

nen que ser repetitivos, puesto que los sistemas de información no son prác-
ticamente nunca inmutables, más bien están sometidos a una continua evo-
lución, tanto propia como del entorno, cosa que exige una revisión periódica
en la que se aprende de la experiencia y se adapta al nuevo contexto.
CC-BY-NC-ND • PID_00290978 22 Riesgos, vulnerabilidades y amenazas

Los sistemas de gestión de riesgos tienen que ajustarse al llamado ciclo de

Denning-PDCA (Plan Do Check Act).

Figura 2. Ciclo de Denning

Fuente: elaboración propia.

El análisis de riesgos proporciona un modelo del sistema en términos de ac-

tivos, amenazas y salvaguardias, y es la piedra angular para controlar todas
las actividades fundadamente. Es importante no olvidar nunca que el análisis
de riesgos es una actividad de despacho y que es imprescindible ver qué pasa
en la práctica y actuar en consecuencia, tanto reaccionando diligentemente
en los incidentes, como mejorando continuamente nuestro conocimiento del
sistema y del entorno.

Otras metodologías de gestión de riesgos (RM-risk management)

A pesar de que nos centramos en Magerit, hay muchas metodologías para la gestión de
riesgos desarrolladas por otros países o compañías como, por ejemplo, las siguientes:

• Austrian IT Security Handbook. Hecho por el gobierno austríaco.

• CRAMM (CCTA Risk Analysis and Management Method), hecho en Reino Unido por la
Agencia Central de Comunicaciones y Telecomunicaciones-CCTA.

• ISO/IEC 27001 (BS7799-2:2002). Desarrollada por ISO. Esta documentación tiene un

coste.

• MEHARI (Method for Harmonized Analysis of Risk), creada en Canadá y que también
es open source y libre.

• OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Metodolo-

gía creada en la Universidad de Carnegie Mello y con el CERT (Computer Emergency
Response Team).
CC-BY-NC-ND • PID_00290978 23 Riesgos, vulnerabilidades y amenazas

3. Vulnerabilidades

La palabra vulnerabilidad viene derivada del latín vulnerabilis. Está formada por
vulnus, que quiere decir ‘herida’ y el sufijo -abilis, que indica ‘probable’. Por lo
tanto, las vulnerabilidades indican una probabilidad más grande de ser herido.

Las vulnerabilidades en el mundo tecnológico corresponden a debilida-

des en los activos tecnológicos, ya sean software, hardware, comunica-
ciones, servicios o cualquier sistema que permita a un atacante violar
algunos de los pilares de la seguridad.

Una vulnerabilidad de un activo es una debilidad que podemos encontrar en

los procedimientos, el diseño, la implementación o los controles internos, que
puede ser explotada (accidental o intencionadamente) y que resulta en una
brecha de seguridad o una violación de la política de seguridad de sistemas.

3.1. Motivos de vulnerabilidades

Los motivos principales de las vulnerabilidades los podemos encontrar por los
siguientes motivos:

• Configuraciones�erróneas�(misconfigurations): las configuraciones erró-

neas se definen simplemente como implementaciones deficientes de to-
dos los controles de seguridad para un activo (por ejemplo, un servidor o
una aplicación web). Esto implica que un activo que se considera seguro
tiene realmente carencias o errores peligrosos que dejan la organización
abierta a los riesgos.

• Configuración�por�defecto�(default�installation): la configuración ini-

cial de dispositivos, redes o software está más dirigida a la usabilidad que
a la seguridad. Este compromiso tiene un gran riesgo. Aceptar la configu-
ración predeterminada sin revisar qué es realmente es peligroso para la
información confidencial de las empresas.

• Desbordamiento�de�memoria�(buffer�overflow): es probablemente la for-

ma más conocida de vulnerabilidad en seguridad de software. La mayoría
de los desarrolladores de software saben cuál es la vulnerabilidad de un
desbordamiento de memoria. Esta vulnerabilidad está presente tanto en
aplicaciones antiguas como en las desarrolladas recientemente. Una parte
del problema se debe a la gran variedad de formas en las que puede haber
CC-BY-NC-ND • PID_00290978 24 Riesgos, vulnerabilidades y amenazas

desbordamientos de memoria intermedia y una parte se debe a las técnicas

propensas a errores que a menudo se usan para prevenirlas.

• Carencia�de�actualizaciones�(missing�patches): por mucho que sea un

software muy archivado y diseñado, el software creado por humanos no es
ni será nunca perfecto. Mantener los equipos actualizados puede evitar que
los atacantes usen vulnerabilidades conocidas para explotar los activos.

• Errores�de�diseño�(design�flaws): se trata de defectos inherentes al diseño

del sistema como, por ejemplo, el cifrado y la validación de datos. No son
los defectos o errores típicos de seguridad. Son funciones legítimas con
consecuencias involuntarias que los atacantes quieren explotar. Mediante
los defectos de la lógica en la funcionalidad de los sistemas existentes, los
atacantes son capaces de esconderse y evadir la detección de los sistemas
de protección.

• Errores�de�sistema�operativo�(operating�system�flaws): estos defectos son

específicos para cada sistema operativo. Los sistemas operativos son apli-
caciones muy complejas y con muchas líneas de código que pueden pre-
sentar fácilmente debilidades de seguridad.

• Palabra�de�acceso�por�defecto�(default�passwords): las configuraciones

de software predeterminadas de fábrica para sistemas y dispositivos suelen
incluir palabras de acceso simples y documentadas públicamente. Estos
sistemas normalmente no proporcionan una interfaz completa del sistema
operativo para la gestión de los usuarios y las palabras de acceso predeter-
minadas son normalmente idénticas (compartidas) entre todos los siste-
mas de un vendedor o dentro de las líneas de productos.

3.2. Gestión de las vulnerabilidades

Para llevar el control y la gestión de vulnerabilidades hay diferentes reposito-

rios de datos con información de vulnerabilidades, entre las que se destacan
las siguientes:

1)�National�Vulnerability�Database (NVD): la National Vulnerability Database

es el depósito del Gobierno norteamericano de datos de gestión de vulnerabili-
dades basadas en estándares representados mediante el protocolo de automa-
tización de contenido de seguridad (SCAP). Estos datos permiten automatizar
la gestión de la vulnerabilidad, la medida de la seguridad y el cumplimiento.

La NVD incluye bases de datos de referencias de listas de verificación de se-

guridad, defectos de software relacionados con la seguridad, configuraciones
erróneas, nombres de producto y métricas de impacto.
CC-BY-NC-ND • PID_00290978 25 Riesgos, vulnerabilidades y amenazas

2)�Common�Vulnerability�Scoring�System�(CVSS): en 2003 la NIAC propo-

ne como objetivo crear un estándar universal de puntuación de las vulnerabi-
lidades de software y crea el CVSS.

Es un estándar libre, publicado y empleado por organizaciones de todo el mun-

do.

Proporciona una manera de captar las principales características técnicas del

software, vulnerabilidades del hardware y del firmware y elabora una puntua-
ción numérica que refleja la gravedad de la vulnerabilidad.

El CVSS v2 consta de los siguientes tres grupos de métricas:

a) Puntuación base: la puntuación base representa las calidades intrínsecas de

una vulnerabilidad que son constantes en el tiempo y en entornos de usuario.

Las métricas elaboran una puntuación de entre 0 y 10, que puede ser modifi-
cada mediante la puntuación de las métricas temporales y ambientales.

Quiere determinarse el componente vulnerable y puntuar:

• Access�vector: esta métrica refleja el contexto por el cual es posible la ex- Ved también
plotación de la vulnerabilidad. Este valor métrico (y, en consecuencia, la
La autenticación, la confiden-
puntuación de base) será más grande cuanto más remoto (lógica y física- cialidad, la integridad y la dis-
mente) puede ser un atacante para explotar al componente vulnerable. ponibilidad se han comentado
en el subapartado 1.1. de este
módulo.

• Access�complexity: esta métrica describe las condiciones fuera del control

del atacante que tiene que haber para explotar la vulnerabilidad. Tal como
se describe a continuación, estas condiciones pueden requerir la recogida
de más información sobre el objetivo o las excepciones computacionales.

• Autenticación

• Confidencialidad

• Integridad

• Disponibilidad

b)�Puntuación temporal: tiene por finalidad medir el estado actual de las téc-
nicas de explotación o la disponibilidad de código, la existencia de parches
(updates) o de soluciones temporales y la confianza que se tiene en la descrip-
ción de la vulnerabilidad.

Pretende determinarse y puntuar:

• Exploitability
CC-BY-NC-ND • PID_00290978 26 Riesgos, vulnerabilidades y amenazas

• Remediation level
• Confianza

c)�Puntuación del entorno: el analista puede personalizar la puntuación CVSS

en función de la importancia del activo informático afectado en la organiza-
ción de un usuario, midiendo en términos de controles de seguridad comple-
mentarios o alternativos a su lugar, confidencialidad, integridad y disponibi-
lidad.

Recientemente, ha salido también la CVSS v3. Aquí continuamos con las tres
mismas métricas: la base, la temporal y la del entorno. En este caso, para cal-
cular la métrica temporal se usan las valoraciones de la base, y para calcular
las del entorno se tienen presentes las valoraciones temporales, haciendo una
valoración más integrada.

3)�Identificación�de�las�vulnerabilidades: las vulnerabilidades conocidas se

identifican con un código único denominado CVE (common vulnerabilities and
exposures). Esta codificación fue creada y es mantenida por MITRE Corpora-
tion, organización adscrita en el Gobierno de los Estados Unidos.

Esta codificación única evita que se publiquen duplicados y permite el inter-

cambio de información entre las diferentes bases de datos de vulnerabilida-
des y las diferentes herramientas que las pueden usar para trabajar como, por
ejemplo, herramientas de auditoría de seguridad.

CVE

Es una lista de entradas (cada una contiene un número de identificación, una descripción
y, al menos, una referencia pública) para vulnerabilidades de ciberseguridad conocidas
públicamente. Sus registros se usan en numerosos productos y servicios de ciberseguridad
de todo el mundo, incluyendo la NVD.

La NVD obtiene el análisis de CVE agregando puntos de datos de la descrip-

ción, las referencias suministradas y cualquier dato suplementario que pueda
encontrarse públicamente en aquel momento.

CWE

Es una lista desarrollada por la comunidad de debilidades de seguridad en software y

hardware comunes. Sirve como lenguaje común, palo de medida para herramientas de
seguridad y como punto de referencia para la identificación de debilidades, mitigación
y esfuerzos de prevención.

El análisis se traduce en métricas de impacto de asociación (CVSS), tipo de

vulnerabilidad (CWE, Common Weakness Enumeration) y declaraciones de apli-
cabilidad (CPE, Common Platform Enumeration), así como otros metadatos per-
tinentes.

CPE

Es un esquema de denominación estructurado para sistemas, software y paquetes de tec-

nología de la información. A partir de la sintaxis genérica para identificadores unifor-
mes de recursos (URI), el CPE incluye un formato de nombre formal, un método para
CC-BY-NC-ND • PID_00290978 27 Riesgos, vulnerabilidades y amenazas

comprobar nombres con un sistema y un formato de descripción para unión de texto y

pruebas a un nombre.

3.3. Clasificación de las vulnerabilidades

Hay diferentes maneras de clasificar o agrupar las vulnerabilidades. Encontra-

réis más información al respeto en los materiales de la asignatura que se indi-
can a continuación.

Leed el módulo Introducción a las vulnerabilidades, el apartado 2.2. (páginas 19 - 26), en el

que podréis ver una clasificación por tipo de sistema que afectan.

En el apartado 4.1. (páginas 31- 46) del mismo módulo se presentan las diferentes meto-
dologías que se usan para identificar las vulnerabilidades.

3.4. Herramientas de gestión de vulnerabilidades

En el mercado podemos encontrar múltiples herramientas para detectar o re-

coger vulnerabilidades. Algunas son abiertas, y otras, con licencia. Podemos
encontrar las siguientes:

1)�Nessus: es un programa de escaneo de vulnerabilidades en varios sistemas

operativos. Consiste en un demonio o diablo, nessusd, que realiza el escaneo
en el sistema de destino, y nessus, el cliente (basado en consola o gráfico), que
muestra el avance e informa sobre el estado de los escaneos.

2)�Qualys: proporciona seguridad a la nube, cumplimiento y servicios relacio-

nados. Qualys fue la primera empresa que ofreció soluciones de gestión de
vulnerabilidades, como aplicaciones a través de la web mediante un modelo
de Software as a Service (SaaS). Ha añadido ofertas de cumplimiento basadas en
la nube y seguridad de las aplicaciones web.

3)�GFI�Languard: gestiona, protege y soluciona problemas de red, sistemas y

software, condensando muchas tareas importantes de seguridad de las TI en
una herramienta de gestión.

4)�Nikto: es un escáner de servidores web de código abierto (GPL) que hace

pruebas completas contra servidores web para varios ítems, incluyendo más
de 6.700 ficheros o programas potencialmente peligrosos, comprobación de
versiones obsoletas de más de 1.250 servidores y problemas específicos de la
versión en más de 270 servidores. También comprueba que haya elementos de
configuración del servidor como, por ejemplo, la presencia de varios ficheros
de índices, opciones del servidor HTTP e intenta identificar los servidores web
y el software instalados.

5)�OpenVAS: es un escáner de vulnerabilidades completo. Sus capacidades in-

cluyen escaneos autenticados (es decir, se hacen con un usuario registrado, con
la sesión iniciada), escaneos no autenticados, pruebas con varios protocolos de
CC-BY-NC-ND • PID_00290978 28 Riesgos, vulnerabilidades y amenazas

internet e industriales de alto nivel y bajo nivel, sintonización de rendimien-

to para exploraciones a gran escala y un lenguaje potente de programación
interno para implementar cualquier tipo de prueba de vulnerabilidad.

6)�Retina�CS: es una solución autónoma diseñada para descubrir, perfilar y

evaluar todos los activos desplegados en la red de una organización. Puede
identificar, priorizar y solucionar de manera eficiente las vulnerabilidades co-
mo, por ejemplo, los parches que faltan y los puntos débiles de la configura-
ción. La solución proporciona informes técnicos en profundidad, así como
informes ejecutivos e informes PCI.
CC-BY-NC-ND • PID_00290978 29 Riesgos, vulnerabilidades y amenazas

4. Amenazas

Las amenazas son «cosas que pasan». Y, de todo lo que puede pasar, interesa
qué puede pasarles a los activos y causar un daño.

Definición de amenaza: causa potencial de un incidente que puede pro-

vocar daños a un sistema de información o a una organización. [UNE
71.504: 2008]

Trabajaremos este apartado leyendo la guía de Magerit, Metodolo-

gía de Análisis y Gestión de Riesgos de los Sistemas de Informa-
ción, disponible en https://www.administracionelectronica.gob.es/pae_home/
pae_documentacion/pae_metodolog/pae_magerit.html.

Concretamente, tenemos que leer el módulo 5 (páginas 25 - 51) del libro Ca-
tálogo de elementos para entender al detalle las diferentes amenazas, a qué tipos
de activos afectan y sobre qué pilares de la seguridad.

4.1. Tipos de amenazas

En Magerit se clasifican las amenazas en cuatro tipos en función del origen,

que son los siguientes:

1)�Desastre�natural: incidente que se produce por una causa natural (terremo-

tos, inundaciones...) sin que haya intervención humana como causa directa
o indirecta. Ante estos avatares, el sistema de información es víctima pasiva,
pero de todas maneras tiene que tenerse en cuenta qué puede pasar.

2)�Del�entorno (de origen industrial): incidente que se produce de forma acci-

dental o deliverada, derivado de la actividad humana de tipo industrial (con-
taminación, fallos eléctricos...) ante los cuales el sistema de información es
víctima pasiva. No se tiene que estar pasivo frente a estas amenazas.

3)�Defectos�de�las�aplicaciones: incidentes no intencionados causados por las

personas. Son problemas que nacen directamente en la equipación por defec-
tos en el diseño o en la implementación, con consecuencias potencialmente
negativas sobre el sistema. Son las vulnerabilidades que los atacantes buscan.
CC-BY-NC-ND • PID_00290978 30 Riesgos, vulnerabilidades y amenazas

4)�Causadas�por�las�personas�de�manera�deliberada: las personas con acceso

a los sistemas de información pueden ser causa de problemas intencionados:
ataques deliberados, bien con ánimo de beneficiar indebidamente, bien con
ánimo de causar daños y perjuicios a los legítimos propietarios.

No todas las amenazas afectan todos los activos, sino que hay una cierta rela-
ción entre el tipo de activo y lo que le puede pasar.

4.2. Otros tipos

Las amenazas pueden agruparse de varias maneras en función de los actores.

Encontraréis más información al respeto en los materiales de la asignatura que
se indican a continuación.

Leed el módulo Introducción a las ciberamenaces (páginas 7 - 27), en el que podéis ver los
principales actores y una clasificación de ciberamenazas.

4.3. Compartición y automatización

La mejor manera para trabajar contra las amenazas es compartir y automatizar

la información. De la siguiente manera se han creado los estándares:

• TAXII (trusted automated exchange of indicator Information). Es una colec-

ción de servicios e intercambios de mensajes que permiten compartir in-
formación sobre amenazas cibernéticas entre los límites de productos, ser-
vicios y organizaciones. Es un vehículo de transporte de información es-
tructurada sobre las amenazas STIX y un facilitador de intercambio gene-
ralizado.

• STIX (structed threat information expression). Es un lenguaje normalizado

que ha sido desarrollado por MITER de manera colaborativa para represen-
tar información estructurada sobre amenazas cibernéticas. Puede compar-
tirse, almacenar y usar de una manera coherente que facilite la automati-
zación y el análisis asistido por humanos.
CC-BY-NC-ND • PID_00290978 31 Riesgos, vulnerabilidades y amenazas

5. Seguridad en el cloud computing

El cloud computing, o computación a la nube, es un modelo tecnológico

que permite el acceso adaptado y bajo demanda en red a un conjun-
to compartido de recursos de computación configurables compartidos
(por ejemplo: redes, servidores, equipos de almacenamiento, aplicacio-
nes y servicios), que pueden ser rápidamente aprovisionados y libera-
dos con un esfuerzo de gestión reducido o interacción mínima con el
proveedor de servicio.

En otra definición, la computación en la nube es un paradigma que permite

ofrecer servicios de computación a través de internet.

Una visión complementaria es la que aporta el RAD Lab de la Universidad de

Berkeley, desde donde se explica que el cloud computing se refiere tanto a las
aplicaciones libradas como servicio a través de internet, como al hardware y al
software de los centros de datos que proporcionan estos servicios. Los servicios
anteriores han sido conocidos durante mucho de tiempo como Software�as�a
Service (SaaS), mientras que el hardware y el software del centro de datos es
lo que se denomina nube.

El cloud computing representa un cambio importante en la manera en la que

las empresas y los organismos públicos pueden procesar la información y ges-
tionar las áreas TIC; apreciando que con la gestión TIC tradicional las empre-
sas hacen abundantes inversiones en recursos, incluyendo hardware, software,
centros de procesamiento de datos, redes, personal, seguridad, etc., mientras
que con los modelos de soluciones en la nube se elimina la necesidad de gran-
des inversiones y costes fijos, y se transforma a los proveedores en empresas de
servicios que ofrecen la capacidad de computación bajo demanda de manera
flexible e instantánea.

Según el NIST:

«Es un modelo que proporciona, de manera conveniente, acceso por demanda a un con-
junto compartido y de recursos informáticos (redes, servidores, almacenamiento, aplica-
ciones, etc.) que pueden ser rápidamente dispuestos con un esfuerzo mínimo por parte
del proveedor de estos recursos».

5.1. Tipos de nube

Principalmente, hay tres tipos de nube que se diferencian por las responsabi-
lidades del proveedor frente al cliente, que son las siguientes:
CC-BY-NC-ND • PID_00290978 32 Riesgos, vulnerabilidades y amenazas

1)�Infrastructure�as�a�service�(IaaS): entrega de infraestructura informática

(capacidad de computación, espacio de disco y bases de datos, entre otros)
como un servicio.

• Proporciona recursos informáticos virtualizados.

• Terceros alojan los servidores con hipervisor que ejecutan las máquinas
virtuales (VM) como invitados.

• Los subscriptores suelen pagar por uso de los recursos (CPU/memoria/dis-

co)...

2)�Platform�as�a�Service�(PaaS)�-�plataforma�como�servicio: entrega, como

un servicio, de un conjunto de plataformas informáticas orientadas al desarro-
llo, test, despliegue, almacenamiento y mantenimiento de los sistemas opera-
tivos y aplicaciones propias del cliente.

• Orientado al desarrollo de software.

• Hardware y software alojados por el proveedor.

• Ofrece la posibilidad de desarrollarse sin tener que preocuparse del hard-

ware o software.

3)�El�software�como�servicio�(SaaS): entrega de aplicaciones como servicio.

Es un modelo de despliegue de software mediante el cual el proveedor ofrece
a sus clientes, bajo demanda, licencias de uso de la aplicación.

• El proveedor suministra las solicitudes para suscriptores. Otros tipos de nube

A pesar de que estos son los

• Descarga la necesidad de control de versiones, la compatibilidad y el con- iniciales, con el tiempo han sa-
trol de versiones. lido otros enfocados a otros
servicios (CaaS, VaaS, etc.).

5.2. Despliegue

En función de donde está alojada la nube, hay diferentes nombres, como los
siguientes:

• Nube�pública: servicios que se proporcionan a través de una red abierta

al público.

• Nube�privada: nube única para el uso de un inquilino. Generalmente se

hace en organizaciones más grandes y se tiene en un centro de datos en
propiedad.
CC-BY-NC-ND • PID_00290978 33 Riesgos, vulnerabilidades y amenazas

• Nube�comunitaria: nube compartida por varias organizaciones, pero no

abierto al público.

• Nube�híbrida: una composición de dos modelos o más de despliegue en

la nube.

5.3. Arquitectura

Con el uso de la nube aparecen nuevos «actores» en la gestión de estos que

tenemos que tener claramente identificados:

• Cloud�carrier. Es la organización con responsabilidad de la transferencia

de datos, similar al distribuidor de energía para la red eléctrica.

• Cloud�consumer. Es quien adquiere y usa productos y servicios en la nube.

Normalmente es un cliente final.

• Cloud�provider. Es el proveedor de productos y servicios Cloud.

• Cloud�broker. Gestiona el uso, el rendimiento y la prestación de servicios,

así como las relaciones entre proveedores y subscriptores.

• Cloud� auditor. Es un proveedor independiente de control de seguridad

que ofrece el servicio de nube. Normalmente hace auditorías de lo siguien-
te:
– FedRAMP: esfuerzo regulador en cuanto al cloud computing
– PCI DSS: gestión de tarjetas de crédito y débito

5.4. Seguridad en la nube

La seguridad en la nube afronta nuevos retos para todos los actores.

• Permisos: el reto más complejo en la seguridad de la nube es decidir qué Enlace recomendado
se permite probar a un usuario y qué tendría que probar.
Os aconsejamos que visi-
téis el portal web https://
• Hipervisor: otras preocupaciones salen en los IaaS con los hipervisores. Si cloudsecurityalliance.org/, en
el que encontraréis una guía
el hipervisor está comprometido, todos los servidores de este hipervisor de buenas prácticas.
también tienen que considerarse comprometidos.

• Modelo�de�confianza�computacional: consiste en intentar resolver los

problemas de seguridad computacional mediante mejoras de hardware.

CSA

La alianza de seguridad en la nube (CSA) es la organización líder mundial dedicada a

definir buenas prácticas para ayudar a garantizar un entorno de computación seguro en
la nube. La CSA aprovecha la experiencia que tiene trabajando con profesionales de la
CC-BY-NC-ND • PID_00290978 34 Riesgos, vulnerabilidades y amenazas

industria, asociaciones, gobiernos y miembros corporativos e individuales para ofrecer

investigación, educación, certificación, acontecimientos y productos específicos para la
seguridad de la nube. Las actividades, los conocimientos y la red extensa de la CSA be-
nefician a toda la comunidad afectada por la nube (desde proveedores y clientes, hasta
gobiernos, emprendedores y la industria de seguros) y proporcionan un foro a través del
que varias partes pueden colaborar para crear y mantener un ecosistema de nube de con-
fianza.

5.5. Soluciones de protección de la nube

Normalmente se agrupan en las siguientes soluciones tipo:

1)�CASB, cloud access security broker o ‘agente de seguridad para el acceso a la

nube’: es un punto de control que protege el acceso a los recursos informá-
ticos que están en la nube. Por lo tanto, estos puntos son diseñados por los
proveedores Cloud para garantizar que solo los usuarios autorizados pueden
acceder a los servicios ofrecidos. Conceptualmente, podemos pensar que es
como un proxy de nivel 7 que también se alimenta de las API de diferentes
servicios Cloud.

Algunos ejemplos de estos puntos de control son los siguientes:

• asignación de credenciales,
• inicio de sesión para la autenticación,
• creación de perfiles de acceso,
• registros,
• tokenización,
• cifraje,
• alertas de intentos de acceso no autorizado y
• detección de software malicioso.

2)�SASE, secure access service edge: es el modelo de arquitectura de la nube que

combina las diferentes funciones de las soluciones de red y seguridad en una
plataforma de seguridad en la nube unificada y que permite ser librada como
servicio sin ningún tipo de hardware ni aparatos. Este nuevo modelo permi-
te a los equipos informáticos conectar y proteger fácilmente todas las redes
y usuarios de su organización de manera ágil, rentable y escalable. Esta arqui-
tectura no está restringida a la nube. Ofrece servicios como los siguientes:

• DNS security
• firewall as a service
• unified cloud management
• cloud sandboxing
• SaaS security

Otras soluciones propietarias para proteger los Cloud:

CC-BY-NC-ND • PID_00290978 35 Riesgos, vulnerabilidades y amenazas

3)�Cloud�Inspect o Amazon�Inspector: es un servicio automático de evalua-

ción de asuntos de seguridad que ayuda a mejorar el nivel de seguridad y con-
formidad de las aplicaciones que se implementan en AWS. Amazon Inspector
evalúa automáticamente las aplicaciones en busca de exposiciones, vulnera-
bilidades y desviaciones en relación con las prácticas recomendadas. También
hace una evaluación y elabora una lista detallada de los resultados vinculados
con la seguridad, ordenados por nivel de gravedad. Estos resultados pueden
revisarse directamente o como parte de informes de evaluación detallados que
están disponibles a través de la consola de Amazon inspector o del API.

4)�CloudPassage�Halo: es una plataforma de seguridad en la nube que auto-

matiza la prevención y la supervisión de las amenazas continuas para reducir
los riesgos de ciberseguridad. A diferencia otras soluciones que ofrecen una
cobertura limitada, CloudPassage Halo encuentra riesgos críticos en AWS y
Azure.

5)�Qualys�Cloud�Suite: es una plataforma para supervisar y evaluar continua-

mente los recursos de la nube, para obtener configuraciones erróneas y des-
pliegues no estándares. Qualys CSA es una aplicación en la nube de nueva
generación para la visibilidad y seguridad continua de la infraestructura de
nube pública.
CC-BY-NC-ND • PID_00290978 36 Riesgos, vulnerabilidades y amenazas

6. Compromiso ético y global

Las tecnologías de la información y las comunicaciones se han convertido en

un imprescindible para la sociedad actual, y es responsabilidad de los profesio-
nales de la ciberseguridad velar para que estas tecnologías se usen de manera
honesta y responsable, impidiendo abusos y malos usos.

Los profesionales de la ciberseguridad tienen que actuar de manera honesta,

ética, sostenible, socialmente responsable y respetuosa con los derechos hu-
manos y la diversidad, tanto en la práctica académica como en la profesional,
y diseñar soluciones para mejorar estas prácticas.

El 2015, los estados miembros de la Organización de las Naciones Unidas – Enlace recomendado
ONU–, conjuntamente con oenegés, crearon una propuesta para desarrollar
Podéis encontrar más infor-
diecisiete objetivos�de�desarrollo�sostenible�(ODS) en el ámbito económico, mación del ODS en la web de
social y ambiental. Todos los estados miembro de las Naciones Unidas aproba- las Naciones Unidas.

ron estos objetivos como parte de la Agenda 2030 para el desarrollo sostenible.
Como profesionales de un sector estratégico para el desarrollo de la sociedad,
los ingenieros en ciberseguridad tienen que ser muy conscientes de estos ob-
jetivos y tenerlos en cuenta en sus proyectos.

En estos materiales queremos destacar algunos de los objetivos que pueden

tener más impacto en la profesión de la ingeniería de la ciberseguridad, como
los siguientes:

• Objetivo�10:�reducción�de�las�desigualdades. Las desigualdades basadas

en ingresos, género, edad, discapacidades, orientación sexual, raza, reli-
gión... amenazan el desarrollo social y económico de la sociedad a largo
plazo. Además de las desigualdades tradicionales, el hecho de poder y sa-
ber hacer funcionar sistemas TIC es una nueva brecha que puede provocar
una distanciación importante entre una parte de la sociedad y otra. Por
eso, los proyectos TIC (y en particular las herramientas de ciberseguridad)
tienen que concebirse desde una perspectiva social y de inclusión, evitan-
do la exclusión de algunos grupos de ciudadanos.

• Objetivo� 11:� ciudades� y� comunidades� sostenibles. Las tecnologías de

la información y las comunicaciones son imprescindibles para ayudar a
desarrollar nuevas áreas urbanas que permitan un acceso universal a la in-
formación a toda la ciudadanía y ayuden a combatir la marginación, el
aislamiento y la segregación de ciertos grupos poblacionales. La cibersegu-
ridad tiene que garantizar un acceso libre a la información, sin coacciones
y censuras por motivos económicos, políticos o religiosos.
CC-BY-NC-ND • PID_00290978 37 Riesgos, vulnerabilidades y amenazas

Además, la ciberseguridad tiene que permitir incorporar políticas de teletraba-

jo cada vez más en diferentes sectores, hacer las ciudades más sostenibles en
cuanto al transporte, y crear oportunidades de trabajo para más ciudadanos.
CC-BY-NC-ND • PID_00290978 38 Riesgos, vulnerabilidades y amenazas

Resumen

En este módulo hemos conocido los principales pilares de la seguridad. Como

hemos podido ver, la seguridad se fundamenta en propiedades como la confi-
dencialidad, la integridad y la disponibilidad (tríada CIA). También la auten-
ticidad, el anonimato, el no repudio y la trazabilidad son propiedades de se-
guridad deseadas sobre los diferentes activos de las empresas.

Hemos introducido las políticas, que recogen las acciones y controles que hay
que aplicar sobre los activos de las organizaciones. Los controles recogen qué
quiere protegerse y cómo, puesto que cada activo presenta diferentes vulnera-
bilidades frente a un potencial rival.

Hemos visto como el análisis de riesgos proporciona un modelo de sistema en

términos de activos, amenazas y salvaguardias, y que es la piedra angular para
controlar todas las actividades fundadamente.

Hemos analizado los motivos de las vulnerabilidades como, por ejemplo, las
debilidades de los activos de las tecnologías de la información. Hemos visto
cómo se gestionan las vulnerabilidades y cómo se puntúan bajo el CVSS.

A continuación, siguiendo las recomendaciones de Magerit, hemos clasificado

las amenazas que pueden pasar a los activos. Amenazas que, en función de los
actores y el ámbito, podemos clasificar en diferentes tipologías.

Finalmente, hemos introducido los conceptos y actores del cloud computing,

y hemos visto que hay diferentes tipos de clouds que, además, pueden desple-
garse de manera diferente en función de donde están alojados. El mundo del
cloud computing aporta nuevos retos a la seguridad y nuevas estrategias y solu-
ciones para la protección de estos. Aquí, la guía de la CSA (cloud security allian-
ce) es clave para las buenas prácticas en este nuevo mundo.
CC-BY-NC-ND • PID_00290978 39 Riesgos, vulnerabilidades y amenazas

Glosario
activos m pl Elementos del sistema de información (o los que están estrechamente relacio-
nados) que soportan la misión de una organización o empresa. Por ejemplo, los datos, los
servicios informáticos, las aplicaciones, los equipos informáticos, las redes, las instalaciones
y las personas son consideradas activos.

CIA f Tríada de propiedades de confidencialidad, integridad y disponibilidad (availability)

confidencialidad f Propiedad que garantiza que la información no se haga pública a

personas no autorizadas.

integridad f Propiedad que garantiza que la información no ha sido modificada.

riesgo m Grado de exposición que tenemos de un activo sobre una amenaza que causa
daños o perjuicios.

vulnerabilidad f Debilidad sobre un activo que podemos encontrar en los procedimien-

tos, el diseño, la implementación o los controles internos, que puede ser explotada (acciden-
talmente o intencionadamente) y que resulta en una brecha de seguridad o una violación
de la política de seguridad de sistemas.
CC-BY-NC-ND • PID_00290978 40 Riesgos, vulnerabilidades y amenazas

Bibliografía
CIS (center for internet security). <https://learn.cisecurity.org/benchmarks>

CSA (cloud security alliance). <https://cloudsecurityalliance.org/>

INCIBE. «Políticas de seguridad para PYMES». <https://www.incibe.es/protege-tu-empre-

sa/herramientas/politicas>

Ministerio de Hacienda y Administraciones Públicas (2012). Magerit

v.3. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Infor-
mación. <https://www.administracionelectronica.gob.es/pae_Home/pae_Documentacion/
pae_Metodolog/pae_Magerit.html>