Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Conceptos básicos
Tríada de los conceptos más importantes y transversales a todo el ámbito de la seguridad informática.
⮚ Confidencialidad: la información debe ser accedida sólo por personal autorizado. Prevenir el acceso no
autorizado a información o datos.
⮚ Integridad: toda modificación a datos o información es realizada por personas autorizadas, utilizando métodos
o procedimientos autorizados.
⮚ Disponibilidad: la información y datos se encuentran disponibles cuando se necesitan.
Hay que tener en cuenta que existen leyes (afectan a todos), regulaciones (pertenecientes y convenientes a la
industria donde se aplican), estándares y buenas prácticas que impactan en nuestras implementaciones.
Equilibrio PPT
En seguridad, la estrategia equilibrada siempre es la mejor opción. La idea es que nuestra solución afecte y tenga la
misma cantidad de importancia sobre procesos, personas y tecnología.
Riesgos
En seguridad, decimos que todo se trata sobre gestionar
riesgos. El riesgo es un evento o una condición incierta
que, en caso de ocurrir, afecta positiva o negativamente los
activos de información.
Principios
✔ Mínimo Privilegio: otorgar permisos necesarios y suficientes a un usuario para desempeñar sus actividades,
con el mínimo de derechos necesarios para la realización de sus tareas en un tiempo limitado.
✔ Need to Know: para que una persona/proceso pueda acceder a una determinada información clasificada, es
necesario que ésta sea precisa para poder desarrollar su trabajo; es decir, que la información sirva para sus
tareas.
✔ Separación de tareas: se deben dividir los pasos de una tarea crítica para que no sea realizada por una
misma persona.
✔ Rotación de tareas: se rotan los responsables del control para inducir una atmósfera de control que disuada
las acciones malintencionadas.
✔ Defensa en profundidad: consiste en implementar medidas de seguridad en todas las capas del sistema,
asumiendo siempre que la capa anterior pudo haber sido comprometida.
Tipos de controles
o Administrativos 🡪 asociados a procesos
o Técnicos 🡪 también llamados lógicos, componentes de SW o HW, cifrado, autenticación
o Físicos 🡪 protegen instalación, personal o recursos
Identity Management (Gestión de identidades)
La transferencia de información desde un objeto a un sujeto es llamada acceso. El control de accesos es la
habilidad de solo permitir acceso al sistema o cualquiera de sus recursos a usuarios, programas y procesos
debidamente autorizados. Es el otorgamiento y denegación de permisos de acceso a un recurso en base a un
modelo de seguridad determinado. Se implementa para asegurar confidencialidad, integridad y disponibilidad. Puede
ser:
Proceso de seguridad
Pasos para que el sujeto logre el acceso al objeto:
Tipos de autenticación
Autenticación basada en secretos (Tipo 1). Algo que conocés, como una password.
El sujeto conoce un secreto que el mecanismo de autenticación es capaz de validar. Este sujeto debe proveer
evidencia de conocer su secreto. Si esta es correcta, entonces se asume que el sujeto es quien dice ser.
⮚ Fuerza Bruta/Ataque de diccionario: consiste en probar muchas opciones hasta dar con la correcta
⮚ Sniffing: consiste en robar credenciales en el medio de la transmisión
⮚ Spoofing: engaña al sujeto para que se autentique ante un objeto falso
Algunas contramedidas
Tarjetas de coordenadas
Es una tarjeta con una grilla de valores impresos en ella, la cual no posee ningún tipo de circuito y se identifica
mediante un número de serie. Pasos:
1. El usuario se identifica ante el sistema, el cual obtiene información sobre su tarjeta de coordenadas
2. El sistema elige al azar coordenadas de la tarjeta y se las solicita al usuario
3. El usuario las informa al sistema
4. Si está bien, el usuario esta autenticado
Tokens
Son dispositivos generadores de password que un sujeto lleva con él. Tipos:
⮚ Tokens estáticos: requieren de un factor adicional para brindar autenticación, tales como una password o una
característica biométrica. Se usan principalmente como técnica de identificación.
⮚ Tokens sincrónicos time-based
⮚ Tokens sincrónicos event-based
⮚ Tokens asincrónicos basados en tiempo
o El usuario accede a un servidor de autenticación por un ID de usuario
o El sistema emite un challenge (número aleatorio que aparece en pantalla)
o El usuario ingresa el número del challenge en el token, el cual lo recalcula y el usuario obtendrá otro número
o El usuario ingresa este número, y el sistema detecta la coincidencia de estos dos
o Si coinciden, se autentica.
Autenticación basada en aspectos biométricos (Tipo 3). Algo que sos, como una huella digital.
Los sistemas biométricos se basan en características físicas del usuario a identificar o en patrones de conducta. El
proceso generalmente sigue unos pasos comunes a todos los modelos de autenticación biométrica:
Ventajas
Desventajas
× Caros
× Cierto rechazo de parte de los usuarios
Exactitud en la identificación
Es de suma importancia la precisión de estos dispositivos ya que un error en su configuración y calibración puede
dar acceso a alguien no autorizado o negárselo a alguien autorizado. Existen tres importantes variables en este
proceso:
Son tecnologías biométricas de identificación oculares, basadas en las características fisiológicas únicas del ojo para
identificar a un individuo. En su mayor parte, el escaneo del iris es considerado el mejor de los dos métodos ya que
es menos intrusivo. Además, la textura del iris se mantiene increíblemente estable, sin cambios durante toda la
vida.
Escáner de retina: se dirige un rayo de luz hacia el ojo de la persona, trazando este una ruta estandarizada sobre
la retina. Se forma un patrón y se guarda en una base de datos.
Escáner de iris: con una cámara de alta resolución y una sutil iluminación, se captan las imágenes de la estructura
del iris. A partir de estas se obtiene una representación matemática del iris inequívoca y única y se guarda en una
base de datos.
Otros
Existen los "algo que hacés" como firmar un documento o escribir una frase, (normalmente dentro del tipo 3);y los
"dónde estás", como una PC específica o una línea telefónica determinada (normalmente dentro del tipo 2).
Autenticación basada en comportamiento: monitorea y autentica las actividades de los usuarios según los
niveles de riesgo, las políticas institucionales y la segmentación de la información.
Autenticación de doble factor: se le proporciona al sistema una autenticación de dos factores, pero de tipo
distinto. Se la considera fuerte, porque las debilidades de un factor son mitigadas por el segundo.
× Fácil de adivinar
Algo que ✔ Barato
× Muchos métodos para atacarla
✔ Fácil de implementar
conocés × Usuarios
Es un procedimiento de autenticación que habilita al usuario a acceder a varios sistemas con una sola instancia de
identificación, siendo muy útil en ambientes corporativos
Ventajas
Variantes
● E-SSO: capa intermedia que intercepta los pedidos de Log-In para plataformas heterogéneas. El usuario realiza
el login contra la capa de abstracción. Existe una base que almacena las credenciales de cada usuario en cada
aplicación.
● Web-SSO: los usuarios no autenticados que tratan de acceder son redirigidos a un servidor de autenticación y
regresan solo después de haber logrado un acceso exitoso. Se utilizan cookies y usualmente el acceso es
interceptado por un plugin en el browser o un servidor proxy.
● SSO Ticket-based: soportado por todos los componentes, en el que el usuario obtiene un "ticket" de
autenticación y dicho ticket es reconocido por todos los componentes a los que tiene acceso.
● OpenID: sistema de autenticación abierto y distribuido, orientado a aplicaciones de internet.
Protocolos
● SAML (Security Assertion Markup Language): basado en XML, es un estándar abierto para el intercambio de
información de autorización y autenticación entre dominios de forma segura.
● OpenID: es un estándar de federación abierto. Consiste en un sistema de identificación digital descentralizado,
con el que un usuario puede identificarse en una aplicación web a través de una URL y ser verificado por
cualquier servidor que soporte el protocolo. Los usuarios no requieren tener una cuenta de acceso, solo
disponer de un identificador creado en un servidor que verifique OpenID, llamado proveedor de identidad.
● OAuth: estándar abierto para autorización de APIs. Se diferencia de los anteriores en que se usa únicamente
para autorización y no autenticación, puesto que, en este caso, el proveedor de autorización es un tercero.
Permite compartir información entre sitios sin compartir la identidad, y permite la integración de aplicaciones de
terceros.
Código Malicioso
El Malware, Malicious Software, es un tipo de software que engloba a todo tipo de programa o código de
computadora cuya función es dañar un sistema o causar un mal funcionamiento. Busca infiltrarse y obtener un
comportamiento subrepticio, es decir, accionar un comportamiento de manera encubierta. Existen distintos tipos
de malware, cada uno con características diferentes como el método de programación o de instalación.
CERT: equipos que constantemente monitorean el comportamiento de la red para detectar amenazas y trabajan de
forma coordinada para prevenir dichos ataques.
Vulnerabilidad
Es una debilidad en un sistema que permite a un atacante violar la integridad del sistema o de sus datos y
aplicaciones. Son el resultado de bugs o fallos en el diseño del sistema o bien de las propias limitaciones
tecnológicas.
Existe un estándar conocido como CVE, cuyo propósito es estandarizar nombres y contenido para las
vulnerabilidades y exposiciones de seguridad de conocimiento público. Toda esta información puede ser consultada
libremente. A cada vulnerabilidad se le da una clasificación de gravedad (de 0 a 10, siendo 0 la más baja y 10 la
más crítica) y un código de identificación único (CVE-ID, compuesto por CVE-YYYY-<código_asignado>). Por cada
vulnerabilidad se enuncian:
▪ Vector de acceso, que refleja desde dónde puede ser explotada a la vulnerabilidad y la complejidad requerida.
Mientras sea mayor, más fácil de explotar.
▪ Impacto, definido a través de la afectación que puede tener una vulnerabilidad a los tres pilares. Mientras sea
mayor, más comprometido es cada pilar.
Para que una vulnerabilidad recién descubierta sea incorporada al listado, tiene que seguir un proceso de tres
etapas:
1. Etapa de presentación inicial y tratamiento. El CVE Content Team se encarga de analizar, investigar y
procesar las solicitudes de registro de nuevas vulnerabilidades.
2. Etapa de candidatura. Asignación del CVE-ID.
3. Etapa de publicación. Puede tardar porque hay que tener en cuenta los procesos de revisión, donde puede
cambiar el contenido de la descripción y se verifica el contenido.
Ventajas
Exploit
Parche
Complemento de software diseñado para corregir los errores, sobre todo de seguridad, en sistemas operativos o
aplicaciones.
Zero Day
Tipos de Malware
Virus
Programa informático creado para producir algún daño en el sistema del usuario, y posee dos características
adicionales: actúa de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo. Requieren un
anfitrión donde alojarse, este pudiendo ser un archivo o la memoria de la computadora. El método tradicional es la
inyección de una porción de código malicioso en un archivo o proceso benigno, ejecutando este código malicioso
antes de ejecutar las acciones contenidas normalmente en el archivo original. Pueden distinguirse tres módulos
principales:
⮚ Reproducción: maneja las rutinas de parasitación para que el virus se ejecute subrepticiamente y
transfiriéndose.
⮚ Ataque: maneja las rutinas de daño adicional y se activa, usualmente, cuando el sistema cumple alguna
condición.
⮚ Defensa: protege al virus para evitar su detección o remoción.
Worms
Programa informático que no requiere un archivo anfitrión y que se propaga por sí mismo. De hecho, se limitan a
realizar copias a sí mismos. Su objetivo es llegar a la mayor cantidad de usuarios posible y distribuir otros tipos de
códigos maliciosos. También, realizan ataques DDoS contra sistemas específicos, o incluso eliminan "virus
competencia". Adicionalmente, existen los denominados "Autorun-Worm", que se ejecutan automáticamente cuando
el dispositivo en el que se almacenan es conectado a una PC.
Troyanos
Código malicioso que simula ser inofensivo y útil para el usuario. No infecta archivos ni se automultiplican, pero
necesita del ser humano para su propagación. Suele ser un programa pequeño alojado dentro de un elemento de
apariencia inocente que se instala en el sistema al ejecutar el archivo que lo contiene. Subcategorías:
Programa que un intruso usa para esconder su presencia en un sistema, para acceder en el futuro y manipularlo.
Técnica maliciosa para engañar al usuario con el fin de revelar Fileless malware
información confidencial o tomar control de la computadora cuando
hacen click en páginas web aparentemente inocentes. No requiere de ningún archivo en el sistema para realizar su actividad
maliciosa. Utiliza el sistema operativo en contra del mismo usuario,
Spyware dificultando su detección. Es una técnica post-exploit, es decir, el
usuario ya fue vulnerado anteriormente mediante algún proceso.
Busca recolectar información del usuario sin su consentimiento
(historial de navegación, historial de descargas, etc.). Esta Keylogger
información puede servirle al atacante para perpetuar una amenaza a
futuro. Aplicación que almacena las teclas presionadas en un archivo, para
luego ser enviado a su autor a través de internet.
SPAM
Phishing
Es la suplantación de sitios en internet. Es una modalidad de estafa diseñada con la finalidad de robar la identidad.
El delito consiste en, mediante el acceso incauto de un usuario, obtener información tal como número de tarjetas de
crédito, contraseñas, información de cuentas y otros datos personales por medio de engaños.
● Spear-phishing: los objetivos son identificados con anticipación, haciendo que los mensajes engañosos estén
apuntados específicamente al objetivo. Involucra la explotación de la confianza.
● Whaling-phishing: consiste en atacar a un directivo importante de un grupo empresarial, político o celebridad.
Exige una planificación muy elaborada y tiene una recompensa potencialmente alta. La sigla BEC (Business Email
Compromise) es el ataque más común de phishing, comprometiendo correos electrónicos corporativos.
Pharming
Tipo de ciberataque que trata de redirigir el tráfico web a un sitio falso explotando vulnerabilidades. De esta forma,
el usuario difícilmente pueda percibir que haya sido engañado, puesto que a simple vista está en un dominio
confiable.
Al realizar una petición que requiere una búsqueda de DNS, la petición se envía al servidor DNS local del sistema
operativo (alojado en un archivo local llamado hosts.txt). El SO, antes de establecer alguna comunicación,
comprueba si la respuesta se encuentra en la memoria caché. Si no la encuentra, comienza una búsqueda recursiva
de servidores DNS. El primero al que le consulta es al servidor ROOT, el cual busca en su caché. Si no lo encuentra,
va al servidor TLD (TopLevelDomain).
DNS tiene varias transacciones, pero la más común es la Consulta DNS o Queries. Pueden ser de consulta o de
respuesta. Una consulta DNS tiene origen en un resolver (programa o servicio que formatea la consulta con las
especificaciones necesarias para preguntarle al servidor) con destino un servidor DNS autoritativo o caché. Las
consultas DNS realizadas por un resolver pueden ser:
⮚ Iterativas: el resolver (cliente) requiere al servidor DNS devolver la mejor respuesta basada en sus ficheros de
zona o caché. Si el recurso solicitado no se encuentra en el propio servidor, éste devolverá un referral, es decir,
un puntero al servidor autoritativo del nivel más bajo del dominio solicitado, al que debe dirigirse a
continuación para seguir la iteración.
⮚ Recursivas: el resolver solicita del servidor DNS solicita una respuesta final o un error (si no existe).
Por ejemplo, si se pregunta al servidor A, por el dominio www.midominio.org, y el servidor A no dispone de esa
información, le contestará con el referral (servidor autoritativo) del dominio root "." para que le solicite el nombre. A
continuación, el resolver continuará la consulta iterativamente, donde preguntará por el dominio als ervidor raíz, el
cual le devolverá el referral (servidor autoritativo) del dominio .org. El resolver repite (itera) el proceso hasta que,
recorriendo los referrals, llega al servidor autoritativo del dominio deseado donde obtendrá la respuesta o un error
(si no existe el registro). Normalmente el resolver final solicita consulta recursiva al servidor DNS que actúa como
resolver intermediario (caché recursivo) evitando al cliente realizar la iteración.
Tipos de pharming
Local
Se centra principalmente en la manipulación de un archivo de texto llamado hosts que relaciona en forma unívoca
las direcciones IP con nombres de sitios web.
DNS Spoofing
Método para alterar las direcciones de los servidores DNS que utiliza la potencial víctima y, de esa forma, poder
tener control sobre las consultas que se realizan. Se puede interceptar la comunicación entre el host y el servidor
DNS para enviar al usuario una IP maliciosa (Man In The Middle) o directamente alterar los registros en el DNS
(Compromiso del servidor DNS).
DNS Poisoning Attack
En líneas generales, podemos decir que es una forma de conseguir una DNS Spoofing.
El pharming es una práctica fraudulenta semejante al phishing, con la diferencia de que en el primero, se manipula
el tráfico legítimo de un sitio web para que dirija a los usuarios a sitios web falsos, pero muy similares en apariencia,
que instalarán software malicioso en el equipo del visitante o que registrarán los datos personales del usuario, como
sus contraseñas o sus datos bancarios. El pharming es especialmente peligroso porque, si afecta a un servidor DNS,
incluso los usuarios con equipos protegidos y libres de malware pueden convertirse en víctimas. En el Phishing el
atacante pone el cebo y espera a que la víctima caiga; en el Pharming el delincuente identifica y persigue
activamente al usuario manufacturando malwares o llevando a cabo manipulaciones conscientes de la red.
Ransomware
Código malicioso que cifra la información del ordenador e ingresa en él una serie de instrucciones para que el
usuario pueda recuperar sus archivos. Para obtener la contraseña que libera la información, debe pagar al atacante
una suma de dinero, según las instrucciones que este comunique. A veces se cifran los archivos del disco, a veces se
bloquea el acceso o incluso directamente se bloquea el acceso al sistema.
Motivos de su éxito
✔ Propagación efectiva: gran capacidad de aprovechamiento de vulnerabilidad para maximizar el éxito de parte de
los atacantes
✔ Adaptación al entorno: campañas a medida a la hora de atacar diferentes regiones del mundo, ganándose la
confianza del usuario para engañarlo
✔ Ingeniería social: el uso de mensajes donde se muestra que el usuario ha sido bloqueado por realizar actividades
ilegales genera una sensación de miedo entre los usuarios
✔ Criticidad de datos: la necesidad de acceder cuanto antes a los datos por su criticidad de parte de la víctima
actúa a favor del atacante
Botnet
Red de computadoras que un atacante infectó con malware, y que ahora están a su merced. Los equipos infectados
son conocidos como bots o zombies, y el que lo controla bot-master. Los troyanos son la forma más común de
propagación de botnets. El usuario de un equipo infectado con un bot no percibe su presencia. Estas computadoras,
una vez infectadas, forman redes que "trabajan" para el atacante, siendo algunas de sus funciones atacar otras
computadores con Phishing, Pharming, ataques DDoS o incluso otros malware para capturar nuevos zombies.
APT comienza identificando las organizaciones que poseen la información requerida. Luego, se enfocan en personas
específicas con acceso a los datos sensibles. Se los investiga y se les lanza ataques repetidos. Para esto, utilizan
varios vectores de ataque para maximizar las oportunidades de atravesar las defensas de red. Hay cinco fases:
Entre las medidas que deben implementarse para protegernos de estas amenazas se encuentran:
Actualmente, existe tecnología para prevenir este tipo de ataques, conocida como Clean Pipes, que consiste en que
todo el tráfico que recibe el servidor se redirecciona a una solución que lo que hace es distinguir aquel tráfico que
pertenece a IPs maliciosas.
Junto con el protocolo de internet (IP), el protocolo de control de transmisión (TCP) es una de las piedras angulares
de Internet. Puesto que TCP es un protocolo de conexión, tanto el cliente como el servidor deben negociar la
conexión antes de intercambiar datos. Para ello, se utiliza la negociación en tres pasos:
1. El cliente envía un paquete SYN (“sincronizar”) al servidor: “Hola, me gustaría establecer una conexión contigo”.
2. El servidor responde con un paquete SYN/ACK (ACK = “reconocimiento”) y crea en el backlog de SYN una estructura de datos
conocida como bloque de control de la transmisión (TCB, por sus siglas en inglés) para la conexión: “Vale, de acuerdo.
Entonces, utiliza los siguientes parámetros de conexión”.
3. El cliente responde al paquete SYN/ACK con un paquete ACK y se completa la negociación. En ese momento, se establece la
conexión y se puede enviar datos en ambas direcciones. En el lado del servidor se elimina el bloque de control de la transmisión
de la lista SYN: “Estupendo, gracias. ¡Comencemos!”
Durante un ataque SYN flood se produce una interrupción masiva de la conexión TCP:
Desventajas
Este método da como resultado respuestas a situaciones que no puede cubrir el método de base de firmas. La
heurística es parte de la Inteligencia Artificial, diseña reglas en base a comportamiento y el sistema va a
aprendiendo automáticamente, mejorando y haciendo más preciso el método de detección. Analizan los archivos y
comparan su comportamiento con ciertos patrones, que podrían indicar la presencia de una amenaza.
El funcionamiento de la versión genérica se basa en diversos criterios, observando patrones (modifica registros,
elimina archivos, establece una conexión remota, etc.). A cada uno de estos comportamientos, se le establece un
puntaje. Si se detecta un comportamiento que supera un determinado umbral, se lo considera una amenaza. Es
decir, se compara el comportamiento con un malware ya conocido.
También, existe una versión más pasiva de este método de detección de malware, en la cual no se compara con
ningún malware ya conocido, sino que se analiza el comportamiento y si encuentra alguna acción que el sistema
considere potencialmente peligrosa, se va a marcar la muestra como maliciosa.
Por último, existe la versión activa, que no consiste, a diferencia de las anteriores, en revisar el código de la
muestra, sino que analiza el comportamiento ejecutándolo en un ambiente seguro y aislado y revisando su
resultado.
Desventajas
× Falsos positivos
× Carga de trabajo alta
Hacen referencia a una tecnología estandarizada que consiste en definir las características técnicas de una amenaza
por medio de las evidencias existentes en un equipo comprometido, es decir, se identifican diferentes acciones de
manera que puedan servir para identificar otras computadores afectadas por la misma amenaza o prevenirlos de la
misma. Los indicadores más frecuentes:
Fuga de información
Se puede dar por diversas causas, como por ejemplo un empleado con malas intenciones, impericia o imprudencia,
etc. Esto termina comprometiendo datos sensibles sobre una organización, debido a que se filtra información
confidencial. Representa un desafío importante para la compañía.
● Data breach: intrusión en un sistema con información confidencial, aprovechándose de una vulnerabilidad con
el fin de controlar el sistema.
● Data leak: fuga de información expuesta y publicada. Es la consecuencia de data breach.
Administración de riesgos
El riesgo es un evento o condición incierta que, en caso de ocurrir, afecta positiva o negativamente los
activos de información. Existen los riesgos naturales (asociados a fenómenos de la naturaleza) y los
antropogénicos (producidos por actividades humanas).
Gestión de riesgos
Llamado también Information Risk Management, brinda administración
consistente con la identificación y evaluación de los riesgos, como
también las recomendaciones para reducirlo. Es un proceso continuo que
requiere la correcta identificación y valuación de los activos.
Valoración de activos
Es la determinación del costo que supondría salir de una incidencia que destrozara el activo.
Dimensiones de un activo
Análisis de riesgo
Proceso sistemático para estimar la magnitud de los riesgos a los que está expuesta una organización. Pasos:
1. Determinar los activos relevantes para la organización, su interrelación, su valor y qué supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos.
3. Determinar qué salvaguardas y cuán eficaces.
4. Estimar el impacto, definido como el daño sobre el activo
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia
Tratamiento de riesgo
Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos
identificados.
✔ Evitar/eliminar: sustituir el activo por otro que no se vea afectado o eliminando la causa
✔ Aceptarlo: asumir el riesgo (ya sea por costos elevados o está debajo del umbral aceptable de riesgo)
✔ Transferir/compartir: precisa la contratación de un tercero con capacidad para reducir y gestionar el riesgo,
dejándolo por debajo del umbral.
✔ Reducir/mitigar: situar el riesgo por debajo del umbral, ya sea reduciendo la frecuencia de ocurrencia con
medidas preventivas o reduciendo el impacto de la amenaza estableciendo controles.
Matriz de riesgos
▪ Evento de riesgo
▪ Categoría
▪ Probabilidad (Alta, Media, Baja + 1%-100%)
▪ Nivel Impacto (Alto, Medio, Bajo)
▪ Exposición al riesgo
▪ Prioridad
▪ Urgencia
▪ Responsable
▪ Tipo de Respuesta (aceptar, evitar, mitigar, transferir)
▪ Plan de Respuesta (acciones a tomar para su monitoreo y control)
Plan de mitigación
Determinación del riesgo
Método cualitativo
Ventajas Desventajas
También conocida como reflexión intuitiva de expertos, está planteada como una reflexión organizada de expertos
sobre un tema concreto, recogiendo ideas y opiniones más cualificas en el ámbito de la seguridad. Se desarrolla a
partir de un escenario inicial para recapitular e identificar los problemas que ya existen actualmente. Es netamente
cualitativa, que relativamente permite tratar con alta precisión problemas técnicamente complejos.
Método cuantitativo
Asigna valores objetivos cuantificados ($). Requiere un plan de procesos muy detallado, y se aplica a:
Ventajas
Desventajas
Indicadores cuantitativos
Metodologías
En la actualidad existen diversas metodologías y guías de buenas prácticas, tanto generalistas como especializadas.
● COSO: organización americana dedicada a la creación de guías y marcos de trabajo en el ámbito de la gestión
de riesgos empresariales
● ISO 31000:2009: norma global, no certificable, que aporta metodología, principios y directrices en materia de
gestión de riesgos
● MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información): permite saber
cuánto valor está en juego y qué estrategia para protegerlo. Sus objetivos son concienciar a los responsables de
los sistemas de información de la existencia de riesgos, ofrecer un método sistemático para analizar los riesgos,
ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control, etc.
Criptografía
El objetivo de la criptografía moderna es proteger la información durante su transmisión y almacenamiento, debido a
que en cada nodo por el cual pasa la información, esta puede ser capturada, leída y modificada.
Primeros métodos
● Atbash: método muy común de codificación del alfabeto hebreo. La primera letra del alfabeto es intercambiada
por la última, la segunda por la penúltima y así sucesivamente. Se lo llama método espejo por su uso simétrico
del alfabeto.
● La escitala: los espartanos usaban un sistema de encripción de información que consistía en escribir una hoja
enrollada en un palo. El mensaje solo se presentaba ordenada cuando se enrollaba en un rodillo (llamado
escitala) de determinado longitud y grosor.
● Cifrado César: método simple de sustitución, donde se reemplazaba cada letra por la que corresponde a tres
posiciones más adelante. El alfabeto es el algoritmo y la clave es el número de lugares que ha sido desplazado
durante el proceso de cifrado y descifrado.
Conceptos generales
⮚ Criptografía: rama de las matemáticas y de la informática que hace uso de
métodos y técnicas con el objetivo de cifrar y proteger un mensaje por medio
de un algoritmo.
⮚ Criptología: compendio de las técnicas de cifra y aquellas técnicas de ataque
conocidas como criptoanálisis.
⮚ Criptoanálisis: acto de obtener el texto plano de un texto cifrado
⮚ Cifra o cifrado: técnica que protege o autentica a un documento o usuario al aplicar un algoritmo criptográfico.
Sin conocer una clave secreta, no será posible descifrarlo. El término es cifrar, no encriptar.
⮚ Esteganografía: rama de la criptografía que trata sobre el ocultamiento de mensajes para evitar que se perciba
la existencia de este. Tanto la criptografía como la esteganografía protegen la confidencialidad de la información,
la diferencia es la forma en la que logran el objetivo. La esteganografía utilizada en imágenes tiene como objetivo
la inclusión de datos dentro de estas, cumpliendo la invisibilidad tanto a nivel perceptivo como estadístico.
Criptosistema
Espacio de claves
Work Factor
Clasificación de algoritmos
Sistemas Criptográficos
Sistemas simétricos (llave privada)
● Características
▪ Ambas partes comparten la misma
llave de encripción/desencripción
▪ Requiere un canal seguro
● Ventajas
✔ Más rápido que el asimétrico
✔ Difícil de romper
● Desventajas
× Requiere un mecanismo seguro para
entregar las llaves
× Cada par de usuarios necesita una
clave única de manera que el
número de individuos aumenta,
complicando su gestión
× No proporciona autenticidad
● Características
▪ Requiere llave pública para encriptar
▪ Requiere llave privada para desencriptar
▪ Ambas llaves están matemáticamente
relacionadas
▪ Confidencialidad: si está encriptada con la clave pública de B, sólo puede desencriptarse con la clave privada de
B, por lo cual solo B puede lograrlo. (Imagen 1)
▪ Autenticidad: si está encriptada con la clave privada de A, sólo puede desencriptarse con la clave pública de A,
por lo que cualquiera puede hacerlo (rompe confidencialidad), sólo me sirve para probar que lo envió A. (Imagen
2)
● Ventajas
✔ Mejor distribución de clave que
el simétrico
✔ Mejor escalabilidad
✔ Proporciona autenticidad
● Desventajas
× Más lento
× Requiere gran proceso matemático
Ensobrado digital
Hash
Se define al hash como una operación que se realiza
sobre un conjunto de datos de cualquier tamaño de tal
forma que se obtiene como resultado otro conjunto de
datos denominado resumen. Este tiene un tamaño fijo
que está asociado unívocamente a los datos iniciales.
Depende del algoritmo, es prácticamente imposible
encontrar dos mensajes distintos que tengan un hash
idéntico. Si sucede esto, se produce una colisión. Un
buen algoritmo de hash es aquel libre de colisiones.
El algoritmo de hash es público, el secreto está en que sólo pueden ejecutarse en una dirección: a partir de un
texto, puedo calcular un hash, pero nunca a la inversa. El hash h(M) es seguro si cumple:
✔ Unidireccionalidad: debe ser computacionalmente imposible encontrar M a partir de h(M)
✔ Compresión: a partir de un mensaje de cualquier longitud, h(M) debe tener una longitud fija
✔ Facilidad de cálculo
✔ Difusión: si se modifica un solo bit del mensaje M, el hash h(M) debería cambiar la mitad de sus bits
aproximadamente
La aplicaciones principales de las funciones Hash suelen ser contraseñas, firmas digitales e integridad y
autenticación.
Firma electrónica
El valor hash de un mensaje cifrado con la clave privada de una persona es su firma digital para ese documento.
Como la clave pública del firmante es conocida, cualquiera puede verificar el mensaje y la firma. Proporciona
autenticidad, integridad y no repudio en los documentos electrónicos.
La firma digital es una firma electrónica certificada por una AC (Autoridad Certificante).
Un certificado digital es un documento digital mediante el cual un tercero confiable garantiza la vinculación entre
la entidad de un sujeto y su clave pública. La AC garantiza la veracidad de esta asociación.
Para cifrar datos, se necesita una clave. A esta clave, tienen que compartirla el browser y el servidor para poder
comunicarse. Lo hacen mediante clave pública/clave privada, cifrado asimétrico, para proporcionar seguridad.
El Protocolo HTTPS (Hyper Text Transfer Protocol Secure) no es más que HTTP normal sobre SSL/TLS.
1. Genera la pre-clave en el browser y se comparte con el servidor usando criptografia asimétrica: lo cifra con su
clave publica para que sólo se pueda descifrar con su clave privada
2. Se envía al servidor, que descifra la pre-clave con su clave privada
3. Tanto el servidor como el browser aplicarán un cierto algoritmo a la pre-clave y obtendrán la misma clave de
cifrado
4. De esta forma superamos el primer problema que teníamos: intercambiar la calve. A partir de entonces,
simplemente se cifran y descifran los datos con esa clave.
Herramientas de Seguridad
Nos van a servir como apoyo para lograr la automatización de un montón de controles adicionales.
Firewall de Red
Es un dispositivo de comunicaciones que permite restringir el acceso entre diversas redes a través de listas de
control de acceso que, en este caso, se denominan Reglas de seguridad
Segmentación de la red
VLAN es una red de computadoras lógicamente independientes. En el contexto de los switchs y routers, es muy
común hablar de VLANs, ya que varias de estas pueden coexistir en un único switch/router físico.
⮚ Acceso remoto: usuarios que se conectan con la empresa desde sitios remotos utilizando Internet como vínculo
de acceso.
⮚ Punto a punto: el servidor VPN posee un vínculo permanente a Internet, acepta conexiones mediante Internet
provenientes de los sitios y establece el túnel VPN.
⮚ VPN Interna: variante del acceso remoto, pero emplea la misma red de área local de la empresa como medio de
conexión.
Firewall de aplicaciones
Los WAF son un tipo de firewall que se utilizan para
controlar el acceso a una aplicación o servicio web. Opera
sobre la capa de aplicación. Se utiliza un WAF cuando no es posible mitigar de forma inmediata las vulnerabilidades
debido a que requeriría rediseñar la propia aplicación. Con WAF, se configura la regla necesaria para que la
vulnerabilidad no pueda ser explotada.
Filtrado de contenidos
Es un programa especial diseñado para limitar o filtrar el contenido que se observa en los distintos sitios web. Es
personalizable y se usa para limitar en uso de recursos específicos de Internet.
Escáner de vulnerabilidades
Es una herramienta utilizada para analizar un servidor determinado, verificando problemas comunes de
configuración, versiones desactualizadas o vulnerables, y problemas de seguridad de distintos servicios.
1. El escáner busca direcciones IP activas, puertos abiertos, sistemas operativos y cualquier aplicación que esté
corriendo
2. Se genera un reporte de las vulnerabilidades encontradas.
3. Se determinar el nivel de actualización del SO o aplicación. Utilización de exploit de la vulnerabilidad identificada.
4. Algunos scanners cuentan con una lista de exploits disponibles para probar las posibles vulnerabilidades
identificadas.
Hardening
Proceso de asegurar un sistema mediante la reducción de vulnerabilidades en el mismo, eliminando software,
servicios, usuarios, etc. innecesarios en el sistema. Básicamente es un conjunto de actividades que son llevadas a
cabo por el administrador de un sistema para reforzar al máximo posible la seguridad de su equipo y hacerle la vida
difícil al atacante.
Identity Management
Combinación de procesos y tecnología utilizados para administrar datos en sistemas y aplicaciones de IT relativas a
los usuarios. Una solución de IM debe proveer servicios de directorios, administración de contraseñas, Single
Sign-On, Provisioning y Federation.
CASB: Cloud Access Security Broker
Es un punto de control de visibilidad y política que se encuentra entre usuarios y aplicaciones en la nube.
● Visibilidad: ¿qué aplicaciones están siendo utilizadas por empleados? ¿con qué frecuencia? ¿cuándo? Esto
otorga a las organizaciones la visión tan deseada del lado IT de la ecuación
● Conformidad: los agentes de seguridad de acceso a la nube ofrecen la oportunidad de entender si su
organización está cumpliendo con las regulaciones
● Prevención: con el fin de ofrecer efectivamente la prevención de amenazas, CASB mira a los usuarios para
evaluar el riesgo potencial de comportamiento (¿los usuarios de confianza acceden a información a la cual no
deberías tener acceso?)
● Seguridad: refiriéndose tanto a la encriptación como a la prevención de perdida de datos. ¿Qué datos se
comparten? ¿Este compartimiento es perjudicial? ¿Mi propiedad intelectual está protegida?
Antivirus
Software que posee la función de detectar códigos maliciosos. Hoy en día deberían llamarse antimalware. Deben
identificar las amenazas, sus tipos y prevenirlas o eliminarlas.
Antispyware
Siempre debe complementar el antivirus. Por lo general, se instala en un sistema para transferir cuidadosamente
información personal importante a sus servidores.
Kali Linux
Su objetivo es desarrollar pruebas de penetración y auditorías avanzadas de seguridad, lo cual puede significar estar
un paso adelante de los ataques actuales o de los que pudieran venir.
Ingeniería Social
Es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen
datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados.
Hablamos de este tema porque la seguridad depende, principalmente, del factor humano y en un menor grado del
factor tecnológico. El ingeniero social emplea las mismas técnicas de persuasión que utilizamos todos los demás a
diario, pero las aplica de forma manipuladora, engañosa y muy poco ética, a menudo con efectos devastadores.
Principios psicológicos
▪ Credibilidad: constituye el primer paso en la mayoría de los ataques de ingeniería social. Existen 3 métodos:
o el IS simula ir en contra de su interés personal
o el IS advierte a la víctima de algo que ha provocado el propio atacante
o el IS ayuda a la víctima a resolver un problema que él mismo ocasionó
▪ Desviar la atención del pensamiento sistemático: en vez de pensar con detenimiento y de forma racional
una petición antes de tomar una decisión, tomamos atajos mentales para tomarlas.
● HUMINT o Inteligencia Humana se corresponde con una serie de disciplinas que tienen como objeto la captura
de información de inteligencia
● SIGINT o Signal Intelligence es la inteligencia de señales, y su objetivo principal está relacionado con el análisis
y desencripción de las mismas
● IMINT o Imagery Intelligence es la inteligencia de las imágenes derivadas de fotografías aéreas o satelitales
Anatomía de un ataque
1. Seleccionar fuentes: encontrar e identificar las fuentes de información relevantes, distinguir cuáles se van a
utilizar y qué volúmenes puedo encontrar
2. Adquisición: obtención de información en las distintas fuentes públicas
3. Procesamiento: procesar la información encontrada con el uso de distintas metodologías
4. Análisis: analizar la información obtenida y encontrar patrones de búsqueda de acuerdo al origen de la
información
5. Inteligencia: presentar la información que se encuentra de forma eficaz por medio de esquemas, flujos,
dibujos, etc. para poder sacar conclusiones
Ventajas Dificultades
Semi pasiva
El analista genera tráfico en la red a través de consultas (de la forma más discreta posible) al equipo donde se
encuentra alojada la información pública que nos interesa. Se obtiene más información, pero se asumen más riesgos
de ser detectados por el objetivo.
Activa
El analista interactúa directamente con el target. Se obtiene información de forma persistente sobre los recursos del
objetivo. No es nada discreto, pero se obtiene mucha más información.
¿Dónde puedo encontrar + info?
Crawlers
Es un software que se encarga de recorrer los enlaces de páginas web de forma automática y sistemática. Crea
copia de todas las webs visitadas, las procesa para su indexación y crea un sistema de búsquedas rápidas. El más
famoso es Googlebot.
Informática Forense
El análisis forense digital se corresponde con un conjunto de técnicas destinadas a extraer información valiosa de
discos. Permite buscar datos para encontrar un patrón o comportamiento o descubrir información oculta.
La Informática Forense es una rama de las ciencias forenses que se encarga de adquirir, analizar, preservar y
presentar datos que han sido procesados electrónicamente, y almacenados en un medio digital. Su objetivo es,
entonces, recuperar evidencia digital.
Delitos Informáticos
El Cibercrimen es el término que actualmente se utiliza para referirse a
las actividades ilegales que son llevadas a cabo por individuos y/o
organizaciones delictivas, en el que el uso de la tecnología tiene alguna
participación.
Un hecho es delito cuando es jurídicamente relevante, es decir, debe estar legislado en un Código Penal. Esto es
conocido como principio de legalidad, donde el juez tiene prohibido castigar aquellas conductas que no estén
estrictamente contenidas en la ley penal.
Evidencia
El campo principal de las diversas disciplinas forenses es el de la búsqueda, análisis y/o interpretación de evidencia.
Se considera evidencia a todo aquello que deja la realización de un delito como testigo de haber acontecido.
Desde el punto de vista procesal, las evidencias pueden cumplir funciones orientadora (proporcionan pistas para
avanzar) o probatoria (puede ser invocada como prueba de hechos).
Para asegurar el origen, la integrar e identidad de la evidencia y asimismo evitar que se pierda, destruya o altere,
existe un concepto llamado cadena de custodia, que se define como el registro cronológico y minucioso de la
manipulación adecuada de los elementos, rastros e indicios hallados en el lugar del hecho, durante todo el proceso
judicial. Si este proceso de cadena de custodia no ha presentado alteraciones ni variaciones de ningún tipo durante
su traslado y análisis, se dice que permite garantizar la autenticidad de la evidencia que se utilizará como prueba
dentro del proceso judicial.
Es una doctrina que hace referencia a las pruebas de un delito obtenidas de manera ilícita, las cuales impedirán en
el proceso judicial que puedan ser utilizadas en contra de cualquier persona. Ejemplos: allanamientos
inconstitucionales, hacking a un sitio para obtener información complementaria sin autorización.
Norma 27037
Para cada tipo de dispositivo la norma divide la actuación en tres procesos diferenciados como modelo genérico de
tratamiento de las evidencias:
Reglas fundamentales
▪ Minimizar el manejo del original mediante la duplicación de datos
o Evita la alteración ante uso incorrecto
o Permite realizar análisis sobre el duplicado
o Permite trabajar en paralelo
▪ Documentar los cambios si es necesario alterar el original o el duplicado
o La documentación es crítica en un juicio
o Debe declararse la naturaleza, magnitud y razón de los cambios
▪ Debe presentarse la información de manera representativa
o El modo de presentación no debe alterar el significado
o El uso de herramientas y técnicas no debe disminuir la admisibilidad del resultado
o Las habilidades del investigador no deben afectar la credibilidad del proceso
o Debe contener el contexto del incidente, el listado de evidencias, los hallazgos, las acciones realizadas por el
investigador y la documentación de la cadena de custodia.
▪ No exceder el conocimiento propio y del equipo
o Los análisis complejos deben hacerlos personas calificadas y experimentadas
o Entrenamiento continuo
o Es indispensable poder describir los procesos y explicar la metodología
Copias
● Para investigaciones en el mundo corporativo, donde luego no se va a requerir el origen como evidencia en
proceso judicial, directamente hacer backups tradicional
● Para protocolos de actuación en causas penales, copiar bit a bit. Requiere una copia exacta del contenido de
los discos incautados. Incluye todos los archivos del disco, también conocida como copia a bajo nivel.
Una vez realizada la copia, se debe verificar su integridad. Para ello se calcula el hash de esta. Así, con el hash del
disco original y el de la copia se puede certificar que ambos son idénticos a todos los niveles, y quedará probado que
no se ha manipulado de ningún modo. Es importante también que todo análisis se realice sobre las copias forenses,
nunca sobre las originales.
Autenticación y Autorización
● Identificación: forma en la cual los usuarios comunican su identidad a un sistema. Es necesaria para lograr
la autenticación y autorización.
● Autenticación: proceso por el cual se valida que la información de identificación corresponde con el sujeto
que la presenta.
● Autorización: derechos y permisos otorgados a un individuo que le permite acceder a un recurso del
sistema/computadora.
Habitualmente, las aplicaciones transmiten, procesan o almacenan datos sensibles (contraseñas, certificados
digitales, credenciales de conexión a DB, datos personales, datos de negocio, etc.). Proteger la información es
procurar una transmisión y almacenamiento seguros.
Almacenamiento seguro
Transmisión segura
Auditoría y trazabilidad
Los registros de auditoría son una herramienta de vital importancia ya que permiten:
¿Qué logear?
Según los requerimientos, por cada evento se debe guardar cierta información.
La comprobación de seguridad, por sí misma, no es una medida particularmente buena de cuán segura es una
aplicación, porque existe un número infinito de modos en que un atacante podría ser capaz de colgar una aplicación,
y es simplemente imposible comprobarlas todas.
OWASP
El Proyecto Abierto de Seguridad en Aplicaciones Web es una comunidad abierta dedicada a permitir que las
organizaciones desarrollen, adquieran y mantengan aplicaciones y APIs en las que se pueda confiar. Esta
organización desarrolla grandes cantidades de documentos y proyectos utilizados a nivel mundial, como por ejemplo
la OWASP TOP 10, que lista las vulnerabilidades más explotadas estadísticamente. Se enfoca en identificar los
riesgos más críticos para un amplio tipo de organizaciones. Para cada uno de estos riesgos, se proporciona
información genérica sobre la probabilidad y el impacto técnico.
Inyección
Ocurre cuando un atacante puede enviar información dañina a un intérprete. Una aplicación es vulnerable a estos
ataques cuando los datos suministrados por el usuario no son validados o sanitizados, cuando se invocan consultas
dinámicas o no parametrizadas. Puede resultar en accesos no autorizados, corrupción de datos o denegación de
servicios. La mayor contramedida de seguridad es la validación de datos de entrada.
Consiste en una inclusión de un script en una página web que se ejecuta cuando la página es accedida por un
usuario. Se puede hacer este ataque cuando la aplicación le muestra al usuario los datos que el propio usuario
ingresó. La vulnerabilidad tiene lugar en dos momentos distintos: la recepción de valores ingresados por el usuario y
la visualización de dichos valores en páginas HTML. Las contramedidas de seguridad para estos ataques son la
validación del input y el formateo del output.
Dispositivo físico que analiza el tráfico web, los datos recibidos por parte del usuario y protege de diferentes ataques
web. Trata de proteger de los ataques dirigidos al servidor web que los IPS no nos pueden defender. Es una
herramienta complementaria, no pretende sustituir las medidas de protección que deberían ser desarrolladas al
programar una aplicación.
⮚ Modelo de Seguridad Positiva: deniegan por defecto todas las transacciones y solamente acepta las que
identifica como seguras o válidas. Para determinar la seguridad de una transacción, consulta una serie de reglas.
⮚ Modelo de Seguridad Negativa: acepta todas las transacciones por defecto y solamente deniega las que
detecta como una posible amenaza o un ataque.
Las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los datos relativos a
personas de existencia ideal.
En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas.
Banco de Datos
La formación de archivos de datos será lícita cuando los mismos se encuentren debidamente inscriptos. Los datos
personales deben ser ciertos, adecuados, pertinentes y no excesivos en relación con el ámbito y finalidad para los
que se hubiesen creado. La recolección de estos no debe hacerse por medios desleales, fraudulentos o en forma
contraria a los dispuesto por la ley. No pueden ser usados para finalidades distintas para los cuales se crearon, y
deben ser destruidos en cuanto hayan dejado de ser necesarios.
ISO 27XXX
Es un conjunto de estándares de seguridad desarrollados por ISO. Esta norma contiene 14 cláusulas de control
de seguridad que, en conjunto, contienen un total de 35 categorías de seguridad principales y 114 controles.
Certificaciones
La certificación es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada
audita el sistema, determinando su conformidad con el ISO/IEC 27001, su grado de implantación real y su eficacia
y, en caso positivo, emite el correspondiente certificado. Sirve para poder mostrar al mercado que la organización
tiene un adecuado sistema de gestión de la seguridad de la información. Una empresa certificada no implica que no
tiene más riesgos, sino que tienen un adecuado Sistema de Gestión de Riesgos y proceso de mejora continua.
Cualquier organización está en condiciones y habilitada para certificarse.
Política de seguridad
La alta dirección debe definir una política que refleje las líneas directrices de la organización en materia de
seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la
información.
Organización de la seguridad
Identificar, resguardar y proteger de manera adecuada los activos de la organización. Debe definirse una
clasificación de los activos, manteniendo un inventario actualizado y proporcionando a cada activo el nivel de
protección adecuado a su criticidad.
Reducir los riesgos de errores humanos, concientizar a los usuarios de las amenazas y riesgos y minimizar los daños
provocados por incidencias de seguridad.
Estructurar el conjunto de controles de restricción física para salvaguardar la integridad de los activos de
información organizacional, sea cual sea su naturaleza. Evitar accesos no autorizados, daños e interferencias, evitar
pérdidas y daños, prevenir exposiciones a riesgo o robos de información.
Generar un conjunto de controles que garanticen la seguridad de información a través de cualquier tipo de flujo que
sea parte de la operación diaria de la empresa. Asegurar la operación correcta y segura de los recursos, minimizar
riesgos de fallos, proteger la integridad del software.
Control de acceso
Salvaguardar todos los recursos tecnológicos de la organización de eventos intencionados como el robo o
manipulación de la información. Controlar los accesos, evitar accesos no autorizados, proteger los servicios en red,
detectar actividades no autorizadas.