Seguridad Informática

Conceptos básicos
Tríada de los conceptos más importantes y transversales a todo el ámbito de la seguridad informática.

⮚ Confidencialidad: la información debe ser accedida sólo por personal autorizado. Prevenir el acceso no
autorizado a información o datos.
⮚ Integridad: toda modificación a datos o información es realizada por personas autorizadas, utilizando métodos
o procedimientos autorizados.
⮚ Disponibilidad: la información y datos se encuentran disponibles cuando se necesitan.

Por contraparte de estos conceptos, están:

⮚ Disclosure/Revelación: información expuesta.

⮚ Alteración: modificaciones indeseadas de datos.
⮚ Denegación/Destrucción: acceso denegado y destrucción indeseada por un agente externo.

Hay que tener en cuenta que existen leyes (afectan a todos), regulaciones (pertenecientes y convenientes a la
industria donde se aplican), estándares y buenas prácticas que impactan en nuestras implementaciones.

Equilibrio PPT
En seguridad, la estrategia equilibrada siempre es la mejor opción. La idea es que nuestra solución afecte y tenga la
misma cantidad de importancia sobre procesos, personas y tecnología.

Riesgos
En seguridad, decimos que todo se trata sobre gestionar
riesgos. El riesgo es un evento o una condición incierta
que, en caso de ocurrir, afecta positiva o negativamente los
activos de información.

▪ Activo de información: información en sí, todos los

recursos, productos, procesos, datos que tengan un
valor para el negocio de la compañía.
▪ Amenaza: presencia de un evento que puede impactar
en forma negativa a la compañía.
▪ Vulnerabilidad: ausencia o debilidad de un control.
▪ Agente: persona que perpetua la amenaza.

Definimos un riesgo contestando las siguientes preguntas:

❖ ¿Qué puede pasar? 🡪 evento

❖ ¿Qué tan frecuente? 🡪 probabilidad
❖ ¿Cuán mal nos puede ir? 🡪 impacto
❖ ¿Cuánto riesgo podemos tolerar? ¿Cómo lo percibimos? 🡪 apetito de riesgo

Principios
✔ Mínimo Privilegio: otorgar permisos necesarios y suficientes a un usuario para desempeñar sus actividades,
con el mínimo de derechos necesarios para la realización de sus tareas en un tiempo limitado.
✔ Need to Know: para que una persona/proceso pueda acceder a una determinada información clasificada, es
necesario que ésta sea precisa para poder desarrollar su trabajo; es decir, que la información sirva para sus
tareas.
✔ Separación de tareas: se deben dividir los pasos de una tarea crítica para que no sea realizada por una
misma persona.
✔ Rotación de tareas: se rotan los responsables del control para inducir una atmósfera de control que disuada
las acciones malintencionadas.
✔ Defensa en profundidad: consiste en implementar medidas de seguridad en todas las capas del sistema,
asumiendo siempre que la capa anterior pudo haber sido comprometida.

Tipos de controles
o Administrativos 🡪 asociados a procesos
o Técnicos 🡪 también llamados lógicos, componentes de SW o HW, cifrado, autenticación
o Físicos 🡪 protegen instalación, personal o recursos
Identity Management (Gestión de identidades)
La transferencia de información desde un objeto a un sujeto es llamada acceso. El control de accesos es la
habilidad de solo permitir acceso al sistema o cualquiera de sus recursos a usuarios, programas y procesos
debidamente autorizados. Es el otorgamiento y denegación de permisos de acceso a un recurso en base a un
modelo de seguridad determinado. Se implementa para asegurar confidencialidad, integridad y disponibilidad. Puede
ser:

▪ Lógico: componentes de software

▪ Físico: implementan control de acceso a objetos físicos (puertas, barreras). Pueden utilizar software como
soporte.

Proceso de seguridad
Pasos para que el sujeto logre el acceso al objeto:

1. Identificación: declarar y comunicar mi autoridad al sistema (user, logon, id).

2. Autenticación: probar o constatar evidencia de mi identidad. Requiere que el sujeto proporcione información
adicional que debe corresponder exactamente con la identidad indicada.
3. Autorización: el sistema otorga los permisos
necesarios para lo que mi identidad está autorizada a
hacer en el sistema.
4. Auditoria: registro de los eventos (logs), acciones,
errores e intentos de autenticaciones realizados por el
usuario respecto al sistema. Sirve para:
a. Detectar intrusiones
b. Monitorear performance
c. Revisar el tránsito
d. Dar cuenta de lo que ocurrió en una
transacción

Tipos de autenticación
Autenticación basada en secretos (Tipo 1). Algo que conocés, como una password.

El sujeto conoce un secreto que el mecanismo de autenticación es capaz de validar. Este sujeto debe proveer
evidencia de conocer su secreto. Si esta es correcta, entonces se asume que el sujeto es quien dice ser.

Existen dos tipos de contraseñas:

▪ Estáticas: permanecen iguales, solo cambian cuando

expira su tiempo de vida
▪ Dinámicas: cambian después de un periodo de tiempo de
uso o único uso (OTP)

Debilidades de las passwords

Es la más usada, pero es la más débil; sus fallas habituales se

deben a:

× Pueden ser robadas fácilmente

× Los usuarios elijen passwords fáciles de recordar 🡪 fáciles de romper
Estos métodos de autenticación pueden ser atacados de formas diferentes:

⮚ Fuerza Bruta/Ataque de diccionario: consiste en probar muchas opciones hasta dar con la correcta
⮚ Sniffing: consiste en robar credenciales en el medio de la transmisión
⮚ Spoofing: engaña al sujeto para que se autentique ante un objeto falso

Algunas contramedidas

✔ Captcha: valor tal que sea fácilmente reconocible por un

humano, y difícil de reconocer mediante un mecanismo
automatizado. Dificulta los ataques de fuerza bruta.
✔ Restricción de acceso al repositorio de credenciales
✔ Aplicar medidas de seguridad específicas para cada sistema
✔ Protección criptográfica de credenciales
o Los buenos mecanismos de autenticación protegen el
almacenamiento de credenciales mediante técnicas criptográficas. La diferencia entre la encripción y el hash
es que este último es unidireccional y solo sirve cuando el sistema requiere únicamente validar las
credenciales. En otras palabras, los algoritmos de encripción son reversibles y los de hash no.
Autenticación basada en posesión de un elemento (Tipo 2). Algo que tenés, como un token.

Tarjetas de coordenadas

Es una tarjeta con una grilla de valores impresos en ella, la cual no posee ningún tipo de circuito y se identifica
mediante un número de serie. Pasos:

1. El usuario se identifica ante el sistema, el cual obtiene información sobre su tarjeta de coordenadas
2. El sistema elige al azar coordenadas de la tarjeta y se las solicita al usuario
3. El usuario las informa al sistema
4. Si está bien, el usuario esta autenticado

Tokens

Son dispositivos generadores de password que un sujeto lleva con él. Tipos:

⮚ Tokens estáticos: requieren de un factor adicional para brindar autenticación, tales como una password o una
característica biométrica. Se usan principalmente como técnica de identificación.
⮚ Tokens sincrónicos time-based
⮚ Tokens sincrónicos event-based
⮚ Tokens asincrónicos basados en tiempo
o El usuario accede a un servidor de autenticación por un ID de usuario
o El sistema emite un challenge (número aleatorio que aparece en pantalla)
o El usuario ingresa el número del challenge en el token, el cual lo recalcula y el usuario obtendrá otro número
o El usuario ingresa este número, y el sistema detecta la coincidencia de estos dos
o Si coinciden, se autentica.

Autenticación basada en aspectos biométricos (Tipo 3). Algo que sos, como una huella digital.

Los sistemas biométricos se basan en características físicas del usuario a identificar o en patrones de conducta. El
proceso generalmente sigue unos pasos comunes a todos los modelos de autenticación biométrica:

1. Extracción de ciertas características de la muestra

2. Comparación de estas con las almacenadas
3. Decisión de validación del usuario

Ventajas

✔ No pueden ser prestados ni se pueden olvidar

✔ Facilidad de uso
✔ Duran para siempre
✔ Generalmente, contienen suficiente variabilidad
inherente como para permitir la identificación única
de un individuo aún en caso de bases de datos de
gran tamaño

Desventajas

× Caros
× Cierto rechazo de parte de los usuarios

Exactitud en la identificación

Es de suma importancia la precisión de estos dispositivos ya que un error en su configuración y calibración puede
dar acceso a alguien no autorizado o negárselo a alguien autorizado. Existen tres importantes variables en este
proceso:

❖ FRR (False Reject Rate): se le niega el acceso a alguien autorizado

❖ FAR (False Acceptance Rate): se la permite acceso a alguien no autorizado
❖ CER (Crossover Error Rate): determina la precisión del sistema, representa el punto en el que el porcentaje de
los FRR y FAR son iguales.

Reconocimiento de iris y escaneo de retina

Son tecnologías biométricas de identificación oculares, basadas en las características fisiológicas únicas del ojo para
identificar a un individuo. En su mayor parte, el escaneo del iris es considerado el mejor de los dos métodos ya que
es menos intrusivo. Además, la textura del iris se mantiene increíblemente estable, sin cambios durante toda la
vida.
Escáner de retina: se dirige un rayo de luz hacia el ojo de la persona, trazando este una ruta estandarizada sobre
la retina. Se forma un patrón y se guarda en una base de datos.

Escáner de iris: con una cámara de alta resolución y una sutil iluminación, se captan las imágenes de la estructura
del iris. A partir de estas se obtiene una representación matemática del iris inequívoca y única y se guarda en una
base de datos.

Otros

Existen los "algo que hacés" como firmar un documento o escribir una frase, (normalmente dentro del tipo 3);y los
"dónde estás", como una PC específica o una línea telefónica determinada (normalmente dentro del tipo 2).

Autenticación basada en comportamiento: monitorea y autentica las actividades de los usuarios según los
niveles de riesgo, las políticas institucionales y la segmentación de la información.

Autenticación de doble factor: se le proporciona al sistema una autenticación de dos factores, pero de tipo
distinto. Se la considera fuerte, porque las debilidades de un factor son mitigadas por el segundo.

Tipo Pros Contras

× Fácil de adivinar
Algo que ✔ Barato
× Muchos métodos para atacarla
✔ Fácil de implementar
conocés × Usuarios

Algo que × Puede perderse o robarse

✔ Difícil de atacar
× Caro para implementar
tenés
× Caro para implementar
✔ Portable
Algo que sos × Rechazo del usuario
✔ Fácil de utilizar
× Tasas de error

PAM (Privileged Access Management)

Toda organización necesita controlar la operativa del acceso privilegiado de usuarios autorizados con riesgos de
seguridad y operacionales. Para abordar este tema, existe un conjunto de tecnologías conocidas como soluciones
PAM. Sus funcionalidades:

▪ Gestión segura de credenciales de las cuentas de accesos privilegiados

▪ Políticas de seguridad apra obtener control de la actividad de los usuarios privilegiados sobre los sistemas críticos
▪ Sencillez y facilidad de uso para los usuarios finales
▪ Disponibilidad y escalabilidad aportada por una arquitectura distribuida

Single SignOn (SSO)

Es un procedimiento de autenticación que habilita al usuario a acceder a varios sistemas con una sola instancia de
identificación, siendo muy útil en ambientes corporativos

Ventajas

✔ Reduce la necesidad del usuario de recordar múltiples contraseñas

✔ Agiliza la operación de sistemas
✔ Reduce tiempos de mesa de ayuda
✔ Permite administración centralizada

Variantes

● E-SSO: capa intermedia que intercepta los pedidos de Log-In para plataformas heterogéneas. El usuario realiza
el login contra la capa de abstracción. Existe una base que almacena las credenciales de cada usuario en cada
aplicación.
● Web-SSO: los usuarios no autenticados que tratan de acceder son redirigidos a un servidor de autenticación y
regresan solo después de haber logrado un acceso exitoso. Se utilizan cookies y usualmente el acceso es
interceptado por un plugin en el browser o un servidor proxy.
● SSO Ticket-based: soportado por todos los componentes, en el que el usuario obtiene un "ticket" de
autenticación y dicho ticket es reconocido por todos los componentes a los que tiene acceso.
● OpenID: sistema de autenticación abierto y distribuido, orientado a aplicaciones de internet.

Protocolos

● SAML (Security Assertion Markup Language): basado en XML, es un estándar abierto para el intercambio de
información de autorización y autenticación entre dominios de forma segura.
 ● OpenID: es un estándar de federación abierto. Consiste en un sistema de identificación digital descentralizado,
con el que un usuario puede identificarse en una aplicación web a través de una URL y ser verificado por
cualquier servidor que soporte el protocolo. Los usuarios no requieren tener una cuenta de acceso, solo
disponer de un identificador creado en un servidor que verifique OpenID, llamado proveedor de identidad.
● OAuth: estándar abierto para autorización de APIs. Se diferencia de los anteriores en que se usa únicamente
para autorización y no autenticación, puesto que, en este caso, el proveedor de autorización es un tercero.
Permite compartir información entre sitios sin compartir la identidad, y permite la integración de aplicaciones de
terceros.

Código Malicioso
El Malware, Malicious Software, es un tipo de software que engloba a todo tipo de programa o código de
computadora cuya función es dañar un sistema o causar un mal funcionamiento. Busca infiltrarse y obtener un
comportamiento subrepticio, es decir, accionar un comportamiento de manera encubierta. Existen distintos tipos
de malware, cada uno con características diferentes como el método de programación o de instalación.

CERT: equipos que constantemente monitorean el comportamiento de la red para detectar amenazas y trabajan de
forma coordinada para prevenir dichos ataques.

Vulnerabilidad
Es una debilidad en un sistema que permite a un atacante violar la integridad del sistema o de sus datos y
aplicaciones. Son el resultado de bugs o fallos en el diseño del sistema o bien de las propias limitaciones
tecnológicas.

Existe un estándar conocido como CVE, cuyo propósito es estandarizar nombres y contenido para las
vulnerabilidades y exposiciones de seguridad de conocimiento público. Toda esta información puede ser consultada
libremente. A cada vulnerabilidad se le da una clasificación de gravedad (de 0 a 10, siendo 0 la más baja y 10 la
más crítica) y un código de identificación único (CVE-ID, compuesto por CVE-YYYY-<código_asignado>). Por cada
vulnerabilidad se enuncian:

▪ Vector de acceso, que refleja desde dónde puede ser explotada a la vulnerabilidad y la complejidad requerida.
Mientras sea mayor, más fácil de explotar.
▪ Impacto, definido a través de la afectación que puede tener una vulnerabilidad a los tres pilares. Mientras sea
mayor, más comprometido es cada pilar.

¿Cómo se incorpora una vulnerabilidad a la lista CVE?

Para que una vulnerabilidad recién descubierta sea incorporada al listado, tiene que seguir un proceso de tres
etapas:

1. Etapa de presentación inicial y tratamiento. El CVE Content Team se encarga de analizar, investigar y
procesar las solicitudes de registro de nuevas vulnerabilidades.
2. Etapa de candidatura. Asignación del CVE-ID.
3. Etapa de publicación. Puede tardar porque hay que tener en cuenta los procesos de revisión, donde puede
cambiar el contenido de la descripción y se verifica el contenido.

Ventajas

✔ Base para la evaluación de vulnerabilidades

✔ Es un estándar muy adoptado para referirse a ellas
sin la necesidad de complejizar su descripción
✔ Se mantiene actualizada continuamente

Proceso de gestión de vulnerabilidades

1. Planeación: definición del alcance y planeamiento de actividades de evaluación.

2. Descubrimiento: recopilación de datos y escaneo de vulnerabilidades.
3. Análisis y evolución de riesgo: identificación de brechas, determinación de impacto sobre estas y
priorización de vulnerabilidades de acuerdo con su nivel de criticidad. Incluye un informe/reporte detallado del
riesgo.
4. Definición de planes de acción: diseño de planes de mitigación o remediación. En esta etapa, los controles
del plan de acción pueden ser correctivos (aplicados directamente sobre los sistemas vulnerables) o
compensatorios (aplicados indirectamente).
5. Ejecución de plan de acción: aplicación de planes de mitigación en ambientes de prueba e implementación
de acciones. Estas deben ser ejecutadas en los tiempos establecidos para reducir tiempos de exposición y
reducir los riesgos de incumplimiento.
6. Verificación de efectividad: evaluación de las acciones de tratamiento, chequear que las brechas hayan sido
cerradas y re-testear las técnicas y procesos de escaneo de vulnerabilidades.
 7. Lecciones aprendidas: reevaluar y mejorar la gestión de vulnerabilidades, estableciendo puntos de éxito y
fracaso del proceso.

Exploit

Secuencia de comandos utilizados para provocar un comportamiento no deseado o imprevisto, aprovechándose de

un fallo o vulnerabilidad en un sistema. Un exploit no es un malware, sino que es la llave para que el malware
acceda al sistema. Por ejemplo, con un exploit podemos conseguir el acceso a un sistema ilegítimamente.

Parche

Complemento de software diseñado para corregir los errores, sobre todo de seguridad, en sistemas operativos o
aplicaciones.

Zero Day

Nueva vulnerabilidad para la cual no se han creado parches o

revisiones para mitigar su aprovechamiento. Es cualquier
exploit que no haya sido mitigado por un parche del
vendedor.

Programa de Bug Bounty

Programa de recompensas de errores que consiste en

remunerar a los individuos que descubran y reporten una
vulnerabilidad, error o fallo de seguridad en un sistema.

Tipos de Malware
Virus

Programa informático creado para producir algún daño en el sistema del usuario, y posee dos características
adicionales: actúa de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo. Requieren un
anfitrión donde alojarse, este pudiendo ser un archivo o la memoria de la computadora. El método tradicional es la
inyección de una porción de código malicioso en un archivo o proceso benigno, ejecutando este código malicioso
antes de ejecutar las acciones contenidas normalmente en el archivo original. Pueden distinguirse tres módulos
principales:

⮚ Reproducción: maneja las rutinas de parasitación para que el virus se ejecute subrepticiamente y
transfiriéndose.
⮚ Ataque: maneja las rutinas de daño adicional y se activa, usualmente, cuando el sistema cumple alguna
condición.
⮚ Defensa: protege al virus para evitar su detección o remoción.

Worms

Programa informático que no requiere un archivo anfitrión y que se propaga por sí mismo. De hecho, se limitan a
realizar copias a sí mismos. Su objetivo es llegar a la mayor cantidad de usuarios posible y distribuir otros tipos de
códigos maliciosos. También, realizan ataques DDoS contra sistemas específicos, o incluso eliminan "virus
competencia". Adicionalmente, existen los denominados "Autorun-Worm", que se ejecutan automáticamente cuando
el dispositivo en el que se almacenan es conectado a una PC.

Troyanos

Código malicioso que simula ser inofensivo y útil para el usuario. No infecta archivos ni se automultiplican, pero
necesita del ser humano para su propagación. Suele ser un programa pequeño alojado dentro de un elemento de
apariencia inocente que se instala en el sistema al ejecutar el archivo que lo contiene. Subcategorías:

● Downloaders: permiten descargar otras amenazas

● Droppers: instalan otros programas maliciosos
● Clickers: generan tráfico sobre sitios que generan ganancias
● Bancarios: obtienen datos de entidades bancarias

Rootkit (No es un exploit)

Programa que un intruso usa para esconder su presencia en un sistema, para acceder en el futuro y manipularlo.

Otros Software o conjunto de software cuya intención es atraer atacantes

simulando ser sistemas vulnerables o débiles a los ataques. Sirve
Honeypot para recoger información sobre los atacantes y estudiarlos.
Falso Virus (Hoax)
Es un mensaje de email con contenido falso o engañoso distribuido en
cadena. Su finalidad es generar alarma y confusión entre los
usuarios, apelando a la solidaridad con alguna causa noble. Pueden
solicitar datos personales o pedir que acepten archivos dañinos, e
incluso dar consejos para nada recomendados. Es una técnica que se
usa para empezar el negocio del spam y distribución de malware.
ClickJacking (secuestro de Click)
Mensajes no solicitados, habitualmente de tipo publicitario. Genera
tráfico innecesario de correo, y se utiliza con frecuencia para distribuir
malware.
Rogue
Código malicioso que simula ser un programa de seguridad, con el fin
de lograr que el usuario pague por una aplicación dañina o
inexistente. Utilizado para instalación de malware o scammear
(estafas).

Técnica maliciosa para engañar al usuario con el fin de revelar
información confidencial o tomar control de la computadora cuando
hacen click en páginas web aparentemente inocentes.
Spyware
Busca recolectar información del usuario sin su consentimiento
(historial de navegación, historial de descargas, etc.). Esta
información puede servirle al atacante para perpetuar una amenaza a
futuro.
Fileless malware
No requiere de ningún archivo en el sistema para realizar su actividad
maliciosa. Utiliza el sistema operativo en contra del mismo usuario,
dificultando su detección. Es una técnica post-exploit, es decir, el
usuario ya fue vulnerado anteriormente mediante algún proceso.
Keylogger
Aplicación que almacena las teclas presionadas en un archivo, para
luego ser enviado a su autor a través de internet.

SPAM

PUAS (Potentially Unwanted Applications)

Presentan un comportamiento indeseado por el usuario. No exhiben el Adware (Advertisement Software)

comportamiento típico del malware y requieren del consentimiento
del usuario antes de realizar la instalación. Suelen instalar
aplicaciones adicionales o cambiar el comportamiento del dispositivo.
Ejemplo: toolbar.
PUAS (Potentially Unsafe Applications)
Son programas cuya función es simplificar la administración de
equipos en red, pero debido a sus funcionalidades y características
pueden ser utilizados con propósitos maliciosos.
Programa malicioso que se instala en el sistema sin que el usuario
sepa realmente su objetivo principal, que es descargar y mostrar
anuncios publicitarios en la pantalla de la víctima. Se convierte en un
problema cuando se instala sin consentimiento, recoge datos de
navegación, ralentiza la PC o está diseñado para ser difícil de
desinstalar.

Phishing
Es la suplantación de sitios en internet. Es una modalidad de estafa diseñada con la finalidad de robar la identidad.
El delito consiste en, mediante el acceso incauto de un usuario, obtener información tal como número de tarjetas de
crédito, contraseñas, información de cuentas y otros datos personales por medio de engaños.

● Spear-phishing: los objetivos son identificados con anticipación, haciendo que los mensajes engañosos estén
apuntados específicamente al objetivo. Involucra la explotación de la confianza.
● Whaling-phishing: consiste en atacar a un directivo importante de un grupo empresarial, político o celebridad.
Exige una planificación muy elaborada y tiene una recompensa potencialmente alta. La sigla BEC (Business Email
Compromise) es el ataque más común de phishing, comprometiendo correos electrónicos corporativos.

Para prevenir el phishing, hablamos de nuevo del equilibrio PPT:

✔ Personas: concientizar a los usuarios

✔ Procesos: por ejemplo, para el caso de BEC, asegurar que el procedimiento de las transferencias de fondos de
una empresa para que ningún empleado pueda realizar una transferencia a una cuenta de terceros sin
supervisión.
✔ Tecnologías: protección anti phishing a nivel del servidor de correo también para el caso de BEC.
o SPF: Sender Policy Framework, se trata de un protocolo de seguridad que se encarga de comprobar la
identidad del remitente de un email, sirviéndose de los registros de dominios DNS. Permite que los servidores
destinatarios puedan asegurarse de que el email que están recibiendo proviene de una IP autorizada por el
remitente, evitando que otras personas puedan enviar emails en nombre de otros.
o DKIM: sirve para que los agentes de correo puedan verificar que el origen de los emails no sean un fraude.
DKIM se trata de una firma única vinculada con un dominio determinado, es decir, los remitentes firman
electrónicamente los emails que envían.

Pharming
Tipo de ciberataque que trata de redirigir el tráfico web a un sitio falso explotando vulnerabilidades. De esta forma,
el usuario difícilmente pueda percibir que haya sido engañado, puesto que a simple vista está en un dominio
confiable.

DNS (Domain Name System)

Al realizar una petición que requiere una búsqueda de DNS, la petición se envía al servidor DNS local del sistema
operativo (alojado en un archivo local llamado hosts.txt). El SO, antes de establecer alguna comunicación,
comprueba si la respuesta se encuentra en la memoria caché. Si no la encuentra, comienza una búsqueda recursiva
de servidores DNS. El primero al que le consulta es al servidor ROOT, el cual busca en su caché. Si no lo encuentra,
va al servidor TLD (TopLevelDomain).

DNS tiene varias transacciones, pero la más común es la Consulta DNS o Queries. Pueden ser de consulta o de
respuesta. Una consulta DNS tiene origen en un resolver (programa o servicio que formatea la consulta con las
especificaciones necesarias para preguntarle al servidor) con destino un servidor DNS autoritativo o caché. Las
consultas DNS realizadas por un resolver pueden ser:

⮚ Iterativas: el resolver (cliente) requiere al servidor DNS devolver la mejor respuesta basada en sus ficheros de
zona o caché. Si el recurso solicitado no se encuentra en el propio servidor, éste devolverá un referral, es decir,
un puntero al servidor autoritativo del nivel más bajo del dominio solicitado, al que debe dirigirse a
continuación para seguir la iteración.
⮚ Recursivas: el resolver solicita del servidor DNS solicita una respuesta final o un error (si no existe).

Por ejemplo, si se pregunta al servidor A, por el dominio www.midominio.org, y el servidor A no dispone de esa
información, le contestará con el referral (servidor autoritativo) del dominio root "." para que le solicite el nombre. A
continuación, el resolver continuará la consulta iterativamente, donde preguntará por el dominio als ervidor raíz, el
cual le devolverá el referral (servidor autoritativo) del dominio .org. El resolver repite (itera) el proceso hasta que,
recorriendo los referrals, llega al servidor autoritativo del dominio deseado donde obtendrá la respuesta o un error
(si no existe el registro). Normalmente el resolver final solicita consulta recursiva al servidor DNS que actúa como
resolver intermediario (caché recursivo) evitando al cliente realizar la iteración.

Tipos de pharming

Local

Se centra principalmente en la manipulación de un archivo de texto llamado hosts que relaciona en forma unívoca
las direcciones IP con nombres de sitios web.

DNS Spoofing

Método para alterar las direcciones de los servidores DNS que utiliza la potencial víctima y, de esa forma, poder
tener control sobre las consultas que se realizan. Se puede interceptar la comunicación entre el host y el servidor
DNS para enviar al usuario una IP maliciosa (Man In The Middle) o directamente alterar los registros en el DNS
(Compromiso del servidor DNS).
DNS Poisoning Attack

En líneas generales, podemos decir que es una forma de conseguir una DNS Spoofing.

El pharming es una práctica fraudulenta semejante al phishing, con la diferencia de que en el primero, se manipula
el tráfico legítimo de un sitio web para que dirija a los usuarios a sitios web falsos, pero muy similares en apariencia,
que instalarán software malicioso en el equipo del visitante o que registrarán los datos personales del usuario, como
sus contraseñas o sus datos bancarios. El pharming es especialmente peligroso porque, si afecta a un servidor DNS,
incluso los usuarios con equipos protegidos y libres de malware pueden convertirse en víctimas. En el Phishing el
atacante pone el cebo y espera a que la víctima caiga; en el Pharming el delincuente identifica y persigue
activamente al usuario manufacturando malwares o llevando a cabo manipulaciones conscientes de la red.

Ransomware
Código malicioso que cifra la información del ordenador e ingresa en él una serie de instrucciones para que el
usuario pueda recuperar sus archivos. Para obtener la contraseña que libera la información, debe pagar al atacante
una suma de dinero, según las instrucciones que este comunique. A veces se cifran los archivos del disco, a veces se
bloquea el acceso o incluso directamente se bloquea el acceso al sistema.

Motivos de su éxito

✔ Propagación efectiva: gran capacidad de aprovechamiento de vulnerabilidad para maximizar el éxito de parte de
los atacantes
✔ Adaptación al entorno: campañas a medida a la hora de atacar diferentes regiones del mundo, ganándose la
confianza del usuario para engañarlo
✔ Ingeniería social: el uso de mensajes donde se muestra que el usuario ha sido bloqueado por realizar actividades
ilegales genera una sensación de miedo entre los usuarios
✔ Criticidad de datos: la necesidad de acceder cuanto antes a los datos por su criticidad de parte de la víctima
actúa a favor del atacante

Botnet
Red de computadoras que un atacante infectó con malware, y que ahora están a su merced. Los equipos infectados
son conocidos como bots o zombies, y el que lo controla bot-master. Los troyanos son la forma más común de
propagación de botnets. El usuario de un equipo infectado con un bot no percibe su presencia. Estas computadoras,
una vez infectadas, forman redes que "trabajan" para el atacante, siendo algunas de sus funciones atacar otras
computadores con Phishing, Pharming, ataques DDoS o incluso otros malware para capturar nuevos zombies.

APT (Amenazas Persistentes Avanzadas)

Son ataques dirigidos con niveles sofisticados de pericia y recursos. Están provocados por equipos dedicados de
ciber-criminales organizados y entrenados. Su objetivo no es dinero, sino obtener información política, económica o
militar.

APT comienza identificando las organizaciones que poseen la información requerida. Luego, se enfocan en personas
específicas con acceso a los datos sensibles. Se los investiga y se les lanza ataques repetidos. Para esto, utilizan
varios vectores de ataque para maximizar las oportunidades de atravesar las defensas de red. Hay cinco fases:

1. Irrupción en el sistema: posicionarse dentro de la infraestructura de la organización.

2. El malware contacta con el ciber-delincuente
3. Descarga de herramientas de expansión y persistencia: propagación del software y debe evitar ser borrado
4. El malware se propaga lateralmente: se busca generar un conocimiento del mapa de la infraestructura para
acceder a los usuarios críticos con información sensible
5. Filtración de datos: se transfiere la información sensible a los atacantes

Entre las medidas que deben implementarse para protegernos de estas amenazas se encuentran:

o mejorar los mecanismos de prevención contra ataques,

reforzando los controles existentes
o implementar herramientas de monitoreo avanzadas para
analizar el comportamiento de amenazas
o adoptar un proceso sólido de respuesta a incidentes
o concientización, informar e instruir a nuestros usuarios de las
amenazas más comunes para evitar cualquier ataque de
ingeniería social

DoS/DDoS ((Distributed) Denial of Services)

Un ataque de denegación de servicios es un ataque a un sistema de computadoras o redes que causa que un
servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente, provoca una sobrecarga en la
infraestructura de la red mediante la saturación de pedidos, logrando que el servidor no dé a basto con la cantidad
de peticiones que recibe.

Actualmente, existe tecnología para prevenir este tipo de ataques, conocida como Clean Pipes, que consiste en que
todo el tráfico que recibe el servidor se redirecciona a una solución que lo que hace es distinguir aquel tráfico que
pertenece a IPs maliciosas.

DDoS Syn Flood

Junto con el protocolo de internet (IP), el protocolo de control de transmisión (TCP) es una de las piedras angulares
de Internet. Puesto que TCP es un protocolo de conexión, tanto el cliente como el servidor deben negociar la
conexión antes de intercambiar datos. Para ello, se utiliza la negociación en tres pasos:

1. El cliente envía un paquete SYN (“sincronizar”) al servidor: “Hola, me gustaría establecer una conexión contigo”.
2. El servidor responde con un paquete SYN/ACK (ACK = “reconocimiento”) y crea en el backlog de SYN una estructura de datos
conocida como bloque de control de la transmisión (TCB, por sus siglas en inglés) para la conexión: “Vale, de acuerdo.
Entonces, utiliza los siguientes parámetros de conexión”.
3. El cliente responde al paquete SYN/ACK con un paquete ACK y se completa la negociación. En ese momento, se establece la
conexión y se puede enviar datos en ambas direcciones. En el lado del servidor se elimina el bloque de control de la transmisión
de la lista SYN: “Estupendo, gracias. ¡Comencemos!”

Durante un ataque SYN flood se produce una interrupción masiva de la conexión TCP:

1. El atacante envía un paquete SYN al servidor con una dirección IP falsificada.

2. El servidor crea un bloque de control de transmisión para la conexión semiabierta en la cola SYN (cola de conexión incompleta).
El TCB ocupa almacenamiento en el servidor. Además, se limita el tamaño de la cola SYN.
3. El servidor envía un paquete SYN/ACK a la dirección IP falsificada del atacante.
4. Puesto que el atacante no recibe ningún paquete ACK que confirme la conexión, el servidor envía más paquetes SYN/ACK al
supuesto cliente y mantiene la conexión semiabierta.
5. Mientras que el servidor todavía está esperando una respuesta, siguen entrando nuevos paquetes SYN del atacante que deben
registrarse en la cola SYN.
6. A partir de un determinado momento, en la cola SYN no queda espacio disponible para más conexiones incompletas.
Posteriormente, el servidor rechaza los paquetes SYN entrantes y deja de ser accesible desde el exterior.

Antimalware (mal llamado antivirus)

Software que posee una función de detectar códigos maliciosos. Debe identificar la amenaza y su tipo, y una vez
hecho esto, debe eliminar o prevenir la amenaza.

Detección reactiva: base de firmas

Se basa en la comparación de la firma de un

archivo con las almacenadas en la base de datos
del antivirus. Si dentro de un archivo se
encuentra alguna línea de código que existe en
la base de datos del antivirus, se puede
sospechar que se trata de un archivo que está
infectado.

El proceso de generación de firmas se realiza de

la siguiente forma:

1. Aparece un nuevo código malicioso

2. El laboratorio de la empresa AV recibe una
muestra
3. Analiza el archivo y se crea una firma para
el código malicioso
4. El usuario actualiza el producto con la
nueva base de firmas y comienza a detectar
el malware

Desventajas

× El usuario está protegido recién cuando se actualiza el sistema

× Solamente se detecta malware que se encuentre en la base de datos del AV
× El sistema debe contar con una firma para cada variante de un mismo código malicioso
× Es un método reactivo: primero se debe conocer el malware para poder detectarlo.

Antivirus por Heurística

Este método da como resultado respuestas a situaciones que no puede cubrir el método de base de firmas. La
heurística es parte de la Inteligencia Artificial, diseña reglas en base a comportamiento y el sistema va a
aprendiendo automáticamente, mejorando y haciendo más preciso el método de detección. Analizan los archivos y
comparan su comportamiento con ciertos patrones, que podrían indicar la presencia de una amenaza.

El funcionamiento de la versión genérica se basa en diversos criterios, observando patrones (modifica registros,
elimina archivos, establece una conexión remota, etc.). A cada uno de estos comportamientos, se le establece un
puntaje. Si se detecta un comportamiento que supera un determinado umbral, se lo considera una amenaza. Es
decir, se compara el comportamiento con un malware ya conocido.

También, existe una versión más pasiva de este método de detección de malware, en la cual no se compara con
ningún malware ya conocido, sino que se analiza el comportamiento y si encuentra alguna acción que el sistema
considere potencialmente peligrosa, se va a marcar la muestra como maliciosa.

Por último, existe la versión activa, que no consiste, a diferencia de las anteriores, en revisar el código de la
muestra, sino que analiza el comportamiento ejecutándolo en un ambiente seguro y aislado y revisando su
resultado.
Desventajas

× Falsos positivos
× Carga de trabajo alta

IOC (Indicadores de Compromiso)

Hacen referencia a una tecnología estandarizada que consiste en definir las características técnicas de una amenaza
por medio de las evidencias existentes en un equipo comprometido, es decir, se identifican diferentes acciones de
manera que puedan servir para identificar otras computadores afectadas por la misma amenaza o prevenirlos de la
misma. Los indicadores más frecuentes:

● Tráfico inusual de la red ● Cambios sospechosos del filesystem

● Anomalías en cuenta de usuario ● Anomalías en DNS
● Tráfico por puertos inusuales

Fuga de información
Se puede dar por diversas causas, como por ejemplo un empleado con malas intenciones, impericia o imprudencia,
etc. Esto termina comprometiendo datos sensibles sobre una organización, debido a que se filtra información
confidencial. Representa un desafío importante para la compañía.

● Data breach: intrusión en un sistema con información confidencial, aprovechándose de una vulnerabilidad con
el fin de controlar el sistema.
● Data leak: fuga de información expuesta y publicada. Es la consecuencia de data breach.

Administración de riesgos
El riesgo es un evento o condición incierta que, en caso de ocurrir, afecta positiva o negativamente los
activos de información. Existen los riesgos naturales (asociados a fenómenos de la naturaleza) y los
antropogénicos (producidos por actividades humanas).

▪ Activo 🡪 todo aquello que tenga valor para el negocio de la compañía

▪ Amenaza 🡪 presencia de un evento que pueda impactar en forma negativa en la compañía
▪ Vulnerabilidad 🡪 ausencia o debilidad de un control

Gestión de riesgos
Llamado también Information Risk Management, brinda administración
consistente con la identificación y evaluación de los riesgos, como
también las recomendaciones para reducirlo. Es un proceso continuo que
requiere la correcta identificación y valuación de los activos.

Administrar el riesgo es el proceso de identificación, análisis y

determinación de riesgos asociados a eventos determinados, para poder
tomar acciones que lo reduzcan. El principal objetivo es reducir el riesgo
hasta niveles tolerables por la organización.
Dependencias entre activos: se dice que un "activo superior" depende de otro "activo inferior" cuando las
necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior.

Valoración de activos

Es la determinación del costo que supondría salir de una incidencia que destrozara el activo.

Dimensiones de un activo

❖ Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder usarlo?

❖ Autenticidad: ¿qué perjuicio causaría no saber quién hace cada cosa?
❖ Confidencialidad: ¿qué daño causaría que lo conociera quien no debe?
❖ Integridad: ¿qué perjuicio causaría que estuviese dañado?

Análisis de riesgo

Proceso sistemático para estimar la magnitud de los riesgos a los que está expuesta una organización. Pasos:

1. Determinar los activos relevantes para la organización, su interrelación, su valor y qué supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos.
3. Determinar qué salvaguardas y cuán eficaces.
4. Estimar el impacto, definido como el daño sobre el activo
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia

Tratamiento de riesgo

Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos
identificados.

¿Cómo podemos tratarlos?

✔ Evitar/eliminar: sustituir el activo por otro que no se vea afectado o eliminando la causa
✔ Aceptarlo: asumir el riesgo (ya sea por costos elevados o está debajo del umbral aceptable de riesgo)
✔ Transferir/compartir: precisa la contratación de un tercero con capacidad para reducir y gestionar el riesgo,
dejándolo por debajo del umbral.
✔ Reducir/mitigar: situar el riesgo por debajo del umbral, ya sea reduciendo la frecuencia de ocurrencia con
medidas preventivas o reduciendo el impacto de la amenaza estableciendo controles.
Matriz de riesgos

Cada evento de riesgo se define con:

▪ Evento de riesgo
▪ Categoría
▪ Probabilidad (Alta, Media, Baja + 1%-100%)
▪ Nivel Impacto (Alto, Medio, Bajo)
▪ Exposición al riesgo
▪ Prioridad
▪ Urgencia
▪ Responsable
▪ Tipo de Respuesta (aceptar, evitar, mitigar, transferir)
▪ Plan de Respuesta (acciones a tomar para su monitoreo y control)

Plan de mitigación
Determinación del riesgo

Método cualitativo

▪ Orientado a valores intangibles, sin valor intrínseco

▪ Califica las amenazas según juicio, intuición y experiencia
▪ Alto nivel de subjetividad
▪ Tips:
✔ Crear lista de amenazas y su frecuencia de ocurrencia
✔ Determinar niveles de exposición a la amenaza
✔ Determinar amenaza más representativa
✔ Evaluar y recomendar salvaguardas
✔ Informes a gerencia

Ventajas Desventajas

✔ Cálculos sencillos × Evaluación de riesgo y resultados subjetivos

✔ No es necesario determinar el valor de la información × Puede no reflejar correctamente el valor de riesgo
✔ No es necesario estimar costos de recomendaciones de × No se puede rastrear el avance del plan
mitigación de riesgo
✔ Da indicaciones generales de áreas de riesgo significativo

Método cualitativo - Valoración Delphi

También conocida como reflexión intuitiva de expertos, está planteada como una reflexión organizada de expertos
sobre un tema concreto, recogiendo ideas y opiniones más cualificas en el ámbito de la seguridad. Se desarrolla a
partir de un escenario inicial para recapitular e identificar los problemas que ya existen actualmente. Es netamente
cualitativa, que relativamente permite tratar con alta precisión problemas técnicamente complejos.
Método cuantitativo

Asigna valores objetivos cuantificados ($). Requiere un plan de procesos muy detallado, y se aplica a:

▪ activos a proteger ▪ potenciales perdidas

▪ amenazas y su riesgo ▪ frecuencia de ocurrencia

Ventajas

✔ Evaluación y resultados basados en métricas ✔ Provee análisis costo/beneficio

✔ Cuantificación de parámetros de CIA ✔ Permite rastrear el avance del plan
(¿confidencialidad, integridad, autenticidad?)

Desventajas

× Cálculos complejos y poco prácticos × Necesita mucha información

Indicadores cuantitativos

Indicador Descripción Fórmula

Porcentaje de pérdida sobre el valor de

Exposure Factor (EF) un activo generado por la concreción 0% ≤ EF ≤ 100%
de una amenaza en dicho activo

Valor monetario asociado a un evento

Single Loss Exposure determinado. Representa la pérdida
Valor del Activo × EF
(SLE) producida por una amenaza
determinada individual

Annualized Rate Representa la frecuencia estimada

Puede ser cantidad o
de ocurrencia de un evento, probabilidad
Ocurrence (ARO) dentro de un año

Annualized Loss Representa la pérdida anual producida

SLE × ARO
Expectancy (ALE) por una determinada amenaza

Metodologías
En la actualidad existen diversas metodologías y guías de buenas prácticas, tanto generalistas como especializadas.

● COSO: organización americana dedicada a la creación de guías y marcos de trabajo en el ámbito de la gestión
de riesgos empresariales
 ● ISO 31000:2009: norma global, no certificable, que aporta metodología, principios y directrices en materia de
gestión de riesgos
● MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información): permite saber
cuánto valor está en juego y qué estrategia para protegerlo. Sus objetivos son concienciar a los responsables de
los sistemas de información de la existencia de riesgos, ofrecer un método sistemático para analizar los riesgos,
ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control, etc.

Criptografía
El objetivo de la criptografía moderna es proteger la información durante su transmisión y almacenamiento, debido a
que en cada nodo por el cual pasa la información, esta puede ser capturada, leída y modificada.

Primeros métodos

● Atbash: método muy común de codificación del alfabeto hebreo. La primera letra del alfabeto es intercambiada
por la última, la segunda por la penúltima y así sucesivamente. Se lo llama método espejo por su uso simétrico
del alfabeto.
● La escitala: los espartanos usaban un sistema de encripción de información que consistía en escribir una hoja
enrollada en un palo. El mensaje solo se presentaba ordenada cuando se enrollaba en un rodillo (llamado
escitala) de determinado longitud y grosor.
● Cifrado César: método simple de sustitución, donde se reemplazaba cada letra por la que corresponde a tres
posiciones más adelante. El alfabeto es el algoritmo y la clave es el número de lugares que ha sido desplazado
durante el proceso de cifrado y descifrado.

Conceptos generales
⮚ Criptografía: rama de las matemáticas y de la informática que hace uso de
métodos y técnicas con el objetivo de cifrar y proteger un mensaje por medio
de un algoritmo.
⮚ Criptología: compendio de las técnicas de cifra y aquellas técnicas de ataque
conocidas como criptoanálisis.
⮚ Criptoanálisis: acto de obtener el texto plano de un texto cifrado
⮚ Cifra o cifrado: técnica que protege o autentica a un documento o usuario al aplicar un algoritmo criptográfico.
Sin conocer una clave secreta, no será posible descifrarlo. El término es cifrar, no encriptar.
⮚ Esteganografía: rama de la criptografía que trata sobre el ocultamiento de mensajes para evitar que se perciba
la existencia de este. Tanto la criptografía como la esteganografía protegen la confidencialidad de la información,
la diferencia es la forma en la que logran el objetivo. La esteganografía utilizada en imágenes tiene como objetivo
la inclusión de datos dentro de estas, cumpliendo la invisibilidad tanto a nivel perceptivo como estadístico.

Criptosistema

Definido como una quíntupla (M;C;K;E;D):

▪ M: conjunto de mensajes sin cifrar que se desean enviar

▪ C: conjunto de todos los posibles mensajes cifrados
▪ K: conjunto de claves que se pueden emplear
▪ E: conjunto de transformaciones de cifrado aplicadas a cada
elemento de M para obtener un elemento de C
▪ D: conjunto de transformaciones de descifrado análogo a E

Espacio de claves

Es el rango de valores que puede ser usado para construir

una clave. Espacio de claves = 2n, siendo n el largo de la
clave.

Work Factor

Es la fortaleza de un método de encripción, referenciando

la estimación de tiempo y recursos necesarios para que
un atacante rompa el cifrado.

Clasificación de algoritmos

Según naturaleza del algoritmo

▪ Sustitución: se cambian unos símbolos por otros

▪ Transposición: cambia el orden de los símbolos

Según número de bits cifrados a la vez

 ▪ Bloque: dividen el texto en bloques y los cifra en forma independiente
▪ Flujo: bit a bit

Sistemas Criptográficos
Sistemas simétricos (llave privada)

● Características
▪ Ambas partes comparten la misma
llave de encripción/desencripción
▪ Requiere un canal seguro
● Ventajas
✔ Más rápido que el asimétrico
✔ Difícil de romper
● Desventajas
× Requiere un mecanismo seguro para
entregar las llaves
× Cada par de usuarios necesita una
clave única de manera que el
número de individuos aumenta,
complicando su gestión
× No proporciona autenticidad

Sistemas asimétricos (llave pública)

● Características
▪ Requiere llave pública para encriptar
▪ Requiere llave privada para desencriptar
▪ Ambas llaves están matemáticamente
relacionadas
▪ Confidencialidad: si está encriptada con la clave pública de B, sólo puede desencriptarse con la clave privada de
B, por lo cual solo B puede lograrlo. (Imagen 1)
▪ Autenticidad: si está encriptada con la clave privada de A, sólo puede desencriptarse con la clave pública de A,
por lo que cualquiera puede hacerlo (rompe confidencialidad), sólo me sirve para probar que lo envió A. (Imagen
2)
● Ventajas
✔ Mejor distribución de clave que
el simétrico
✔ Mejor escalabilidad
✔ Proporciona autenticidad
● Desventajas
× Más lento
× Requiere gran proceso matemático

Ensobrado digital

Es el uso combinado de ambas tecnologías,

también llamado enfoque híbrido.

Se utiliza una clave simétrica para encriptar el

mensaje y una asimétrica para proteger el
intercambio de la clave simétrica.

Hash
Se define al hash como una operación que se realiza
sobre un conjunto de datos de cualquier tamaño de tal
forma que se obtiene como resultado otro conjunto de
datos denominado resumen. Este tiene un tamaño fijo
que está asociado unívocamente a los datos iniciales.
Depende del algoritmo, es prácticamente imposible
encontrar dos mensajes distintos que tengan un hash
idéntico. Si sucede esto, se produce una colisión. Un
buen algoritmo de hash es aquel libre de colisiones.

El algoritmo de hash es público, el secreto está en que sólo pueden ejecutarse en una dirección: a partir de un
texto, puedo calcular un hash, pero nunca a la inversa. El hash h(M) es seguro si cumple:
✔ Unidireccionalidad: debe ser computacionalmente imposible encontrar M a partir de h(M)
✔ Compresión: a partir de un mensaje de cualquier longitud, h(M) debe tener una longitud fija
✔ Facilidad de cálculo
✔ Difusión: si se modifica un solo bit del mensaje M, el hash h(M) debería cambiar la mitad de sus bits
aproximadamente

La aplicaciones principales de las funciones Hash suelen ser contraseñas, firmas digitales e integridad y
autenticación.

MAC (Message Authentication Codes)

Se caracterizan fundamentalmente por el empleo de una clave secreta para poder calcular la integridad del mensaje.
Como esta clave es conocida por el emisor y receptor, el efecto conseguido es que el receptor puede comprobar la
integridad. El uso de la calve simétrica asegura que la única persona que puede verificar la integridad del mensaje
es la persona que tiene una copia de esta clave.

Firma electrónica
El valor hash de un mensaje cifrado con la clave privada de una persona es su firma digital para ese documento.
Como la clave pública del firmante es conocida, cualquiera puede verificar el mensaje y la firma. Proporciona
autenticidad, integridad y no repudio en los documentos electrónicos.

La firma digital es una firma electrónica certificada por una AC (Autoridad Certificante).

La Autoridad de Certificación es una entidad de confianza,

responsable de emitir y revocar certificados digitales. Legitima
ante los terceros que confían en sus certificados la relación
entre la entidad de un usuario y su calve pública. Los browsers
se guardan las claves públicas de las autoridades
certificadoras en sus almacenes. Con esas claves públicas, son
capaces de verificar las firmas y comprobar que los
certificados SSL de los servidores a los que te conectás son
válidos y, por lo tanto, no te estás conectando con un
impostor.

Para validar un certificado, se verifica la veracidad de la firma,

si está vigente, si está revocado, su consistencia de uso con la
política y si está firmado por una AC de confianza.

Un certificado digital es un documento digital mediante el cual un tercero confiable garantiza la vinculación entre
la entidad de un sujeto y su clave pública. La AC garantiza la veracidad de esta asociación.

SSL (Secure Sockets Layer)

Es un protocolo para establecer comunicaciones seguras en una red. Proporciona autenticación, integridad y
confidencialidad de la información en una comunicación cliente/servidor a través de una red (internet). Para esto, se
necesitan establecer unos parámetros de seguridad que permitirán establecer una comunicación segura, mediante
los siguientes pasos que representan el SSL/TLS Handshake Protocol:

⮚ Negociar entre cliente/servidor los algoritmos que se utilizarán en la comunicación.

⮚ Realizar el intercambio de claves y la autenticación basada en certificados digitales, utilizando una validación
mediante un infraestructura de clave publica PKI cuando es necesario.
⮚ El cifrado del tráfico basado en criptografía simétrica. Se genera una clave de sesión para la comunicación en
función de los parámetros negociados.
⮚ El proceso para hacer certificados SSL es público: cualquiera puede hacer un certificado. Para eso, los
certificados SSL vienen firmados por las autoridades certificadoras, o terceros de confianza; los cuales se
encargan de expedir los certificados.
⮚ Cada certificado SSL se compone de un par de claves y de información de identificación verificada. Cuando un
browser señala a un sitio web seguro, el servidor comparte la clave publica con el cliente para establecer un
método de cifrado y una clave de sesión exclusiva.

¿Cómo se establece una conexión segura?

Para cifrar datos, se necesita una clave. A esta clave, tienen que compartirla el browser y el servidor para poder
comunicarse. Lo hacen mediante clave pública/clave privada, cifrado asimétrico, para proporcionar seguridad.

¿Cómo funciona HTTPS?

El Protocolo HTTPS (Hyper Text Transfer Protocol Secure) no es más que HTTP normal sobre SSL/TLS.
 1. Genera la pre-clave en el browser y se comparte con el servidor usando criptografia asimétrica: lo cifra con su
clave publica para que sólo se pueda descifrar con su clave privada
2. Se envía al servidor, que descifra la pre-clave con su clave privada
3. Tanto el servidor como el browser aplicarán un cierto algoritmo a la pre-clave y obtendrán la misma clave de
cifrado
4. De esta forma superamos el primer problema que teníamos: intercambiar la calve. A partir de entonces,
simplemente se cifran y descifran los datos con esa clave.

Herramientas de Seguridad
Nos van a servir como apoyo para lograr la automatización de un montón de controles adicionales.

Firewall de Red
Es un dispositivo de comunicaciones que permite restringir el acceso entre diversas redes a través de listas de
control de acceso que, en este caso, se denominan Reglas de seguridad

Segmentación de la red

Switch - VLANs (Virtual LANs)

VLAN es una red de computadoras lógicamente independientes. En el contexto de los switchs y routers, es muy
común hablar de VLANs, ya que varias de estas pueden coexistir en un único switch/router físico.

IDS: Intrusion Detection Systems

Sistemas encargados de detectar intrusos por medio del análisis de la información que se transmite a través de la
red o por medio del análisis de comportamiento de usuarios en un servidor.

Basado en Red (NIDS) Basado en Host (HIDS)

✔ Examina ataques a la red analizando su tráfico ✔ El Host es el único protegido en la red

✔ Se pueden distribuir sensores a través de la red y
reportar incidentes a un host central
✔ Es posible detectar ataques distribuidos
✔ Necesidad de personal dedicado a la lectura de
reportes
✔ Examina un número menor de firmas
✔ Requiere mínima configuración
✔ El software debe ser instalado en cada host para ser
monitoreado

IPS: Intrusion Prevention System

Tecnología proactiva que protege servidores y redes bloqueando ataques externos e internos, de cualquier tipo de
amenaza.

✔ Realizan inspecciones profundas de paquetes

✔ Detección de accionar malicioso
✔ Bloquea el accionar de exploits y reduce efectos negativos
✔ Su configuración es más compleja que la de un IDS, ya que se deben eliminar los falsos positivos
✔ Los falsos positivos provocan el bloqueo de una conexión legal

VPN: Virtual Private Networks

Es una tecnología de red de computadoras que permite una extensión segura de la red de área local sobre una red
pública como Internet. Permite que la computadora envíe y reciba datos sobre redes compartidas o públicas como si
fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Mantiene
comunicaciones confidenciales y utilización exclusiva, de forma que no peligra la seguridad ni la integridad de la
información interna. Tipos:

⮚ Acceso remoto: usuarios que se conectan con la empresa desde sitios remotos utilizando Internet como vínculo
de acceso.
⮚ Punto a punto: el servidor VPN posee un vínculo permanente a Internet, acepta conexiones mediante Internet
provenientes de los sitios y establece el túnel VPN.
⮚ VPN Interna: variante del acceso remoto, pero emplea la misma red de área local de la empresa como medio de
conexión.

Firewall de aplicaciones
Los WAF son un tipo de firewall que se utilizan para
controlar el acceso a una aplicación o servicio web. Opera
sobre la capa de aplicación. Se utiliza un WAF cuando no es posible mitigar de forma inmediata las vulnerabilidades
debido a que requeriría rediseñar la propia aplicación. Con WAF, se configura la regla necesaria para que la
vulnerabilidad no pueda ser explotada.

Prevención de pérdida de datos (DLP)

Es un sistema que realiza el escaneo de datos en tiempo real en reposo y en movimiento, evalúa los datos contra
definiciones de políticas existentes, identifica violaciones de políticas y automáticamente aplica algún tipo de
acciones de corrección predefinidas (alerta, cuarentena, bloqueo de tráfico). Brinda la capacidad de detectar,
supervisar y proteger los datos confidenciales en cualquier ubicación, ya que proporciona una visibilidad y un control
completos de todos los canales en los que puede producirse la pérdida de datos. La idea es asegurar que los
usuarios no envíen ni impriman información sensible o crítica fuera de la red corporativa.

Filtrado de contenidos
Es un programa especial diseñado para limitar o filtrar el contenido que se observa en los distintos sitios web. Es
personalizable y se usa para limitar en uso de recursos específicos de Internet.

Escáner de vulnerabilidades
Es una herramienta utilizada para analizar un servidor determinado, verificando problemas comunes de
configuración, versiones desactualizadas o vulnerables, y problemas de seguridad de distintos servicios.

1. El escáner busca direcciones IP activas, puertos abiertos, sistemas operativos y cualquier aplicación que esté
corriendo
2. Se genera un reporte de las vulnerabilidades encontradas.
3. Se determinar el nivel de actualización del SO o aplicación. Utilización de exploit de la vulnerabilidad identificada.
4. Algunos scanners cuentan con una lista de exploits disponibles para probar las posibles vulnerabilidades
identificadas.

SIEM (Gestión de Eventos e Información de Seguridad)

Categoría de software que tiene como objetivo otorgar a las organizaciones información útil sobre potenciales
amenazas de seguridad de sus redes críticas de negocio, a través de la estandarización de datos y priorización de
amenazas. Trabaja con inteligencia procesable para gestionar de forma proactiva las potenciales vulnerabilidades.
Esto es posible mediante un análisis centralizado de datos de seguridad, obtenidos desde múltiples sistemas, que
incluyen aplicaciones antivirus, firewalls y soluciones de prevención de intrusiones.

Hardening
Proceso de asegurar un sistema mediante la reducción de vulnerabilidades en el mismo, eliminando software,
servicios, usuarios, etc. innecesarios en el sistema. Básicamente es un conjunto de actividades que son llevadas a
cabo por el administrador de un sistema para reforzar al máximo posible la seguridad de su equipo y hacerle la vida
difícil al atacante.

Identity Management
Combinación de procesos y tecnología utilizados para administrar datos en sistemas y aplicaciones de IT relativas a
los usuarios. Una solución de IM debe proveer servicios de directorios, administración de contraseñas, Single
Sign-On, Provisioning y Federation.
CASB: Cloud Access Security Broker
Es un punto de control de visibilidad y política que se encuentra entre usuarios y aplicaciones en la nube.

● Visibilidad: ¿qué aplicaciones están siendo utilizadas por empleados? ¿con qué frecuencia? ¿cuándo? Esto
otorga a las organizaciones la visión tan deseada del lado IT de la ecuación
● Conformidad: los agentes de seguridad de acceso a la nube ofrecen la oportunidad de entender si su
organización está cumpliendo con las regulaciones
● Prevención: con el fin de ofrecer efectivamente la prevención de amenazas, CASB mira a los usuarios para
evaluar el riesgo potencial de comportamiento (¿los usuarios de confianza acceden a información a la cual no
deberías tener acceso?)
● Seguridad: refiriéndose tanto a la encriptación como a la prevención de perdida de datos. ¿Qué datos se
comparten? ¿Este compartimiento es perjudicial? ¿Mi propiedad intelectual está protegida?

Antivirus
Software que posee la función de detectar códigos maliciosos. Hoy en día deberían llamarse antimalware. Deben
identificar las amenazas, sus tipos y prevenirlas o eliminarlas.

Antispyware
Siempre debe complementar el antivirus. Por lo general, se instala en un sistema para transferir cuidadosamente
información personal importante a sus servidores.

Kali Linux
Su objetivo es desarrollar pruebas de penetración y auditorías avanzadas de seguridad, lo cual puede significar estar
un paso adelante de los ataques actuales o de los que pudieran venir.

Ingeniería Social
Es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen
datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados.

Hablamos de este tema porque la seguridad depende, principalmente, del factor humano y en un menor grado del
factor tecnológico. El ingeniero social emplea las mismas técnicas de persuasión que utilizamos todos los demás a
diario, pero las aplica de forma manipuladora, engañosa y muy poco ética, a menudo con efectos devastadores.

Principios psicológicos

▪ Credibilidad: constituye el primer paso en la mayoría de los ataques de ingeniería social. Existen 3 métodos:
o el IS simula ir en contra de su interés personal
o el IS advierte a la víctima de algo que ha provocado el propio atacante
o el IS ayuda a la víctima a resolver un problema que él mismo ocasionó
▪ Desviar la atención del pensamiento sistemático: en vez de pensar con detenimiento y de forma racional
una petición antes de tomar una decisión, tomamos atajos mentales para tomarlas.

OSINT (Open Source Intelligence)

Es una disciplina útil para procesar información, está relacionada con encontrar, seleccionar y adquirir información
de fuentes públicas, para luego analizarla y utilizarla para acciones de inteligencia.

Otras inteligencias comparables:

● HUMINT o Inteligencia Humana se corresponde con una serie de disciplinas que tienen como objeto la captura
de información de inteligencia
● SIGINT o Signal Intelligence es la inteligencia de señales, y su objetivo principal está relacionado con el análisis
y desencripción de las mismas
● IMINT o Imagery Intelligence es la inteligencia de las imágenes derivadas de fotografías aéreas o satelitales

Anatomía de un ataque
1. Seleccionar fuentes: encontrar e identificar las fuentes de información relevantes, distinguir cuáles se van a
utilizar y qué volúmenes puedo encontrar
2. Adquisición: obtención de información en las distintas fuentes públicas
3. Procesamiento: procesar la información encontrada con el uso de distintas metodologías
4. Análisis: analizar la información obtenida y encontrar patrones de búsqueda de acuerdo al origen de la
información
5. Inteligencia: presentar la información que se encuentra de forma eficaz por medio de esquemas, flujos,
dibujos, etc. para poder sacar conclusiones

Ventajas Dificultades

✔ Menor costo × Gran volumen de datos

✔ Accesibilidad completa × Fiabilidad de las fuentes
✔ Legalidad × Esfuerzo humano mayor
✔ Bajo riesgo

Medios de obtención OSINT

Pasiva

La finalidad es obtener información sobre el objetivo sin que

este tenga conocimiento de ello. Es imprescindible adoptar
una serie de precauciones de forma tal que nuestra
presencia pase desapercibida. La información obtenida es
limitada, y la actividad en la red se limita a escuchar el
tráfico y contenidos que el objetivo genera.

Semi pasiva

El analista genera tráfico en la red a través de consultas (de la forma más discreta posible) al equipo donde se
encuentra alojada la información pública que nos interesa. Se obtiene más información, pero se asumen más riesgos
de ser detectados por el objetivo.

Activa

El analista interactúa directamente con el target. Se obtiene información de forma persistente sobre los recursos del
objetivo. No es nada discreto, pero se obtiene mucha más información.
¿Dónde puedo encontrar + info?
Crawlers

Es un software que se encarga de recorrer los enlaces de páginas web de forma automática y sistemática. Crea
copia de todas las webs visitadas, las procesa para su indexación y crea un sistema de búsquedas rápidas. El más
famoso es Googlebot.

Archivo robots.txt (https://nombrededominio.com/robots.txt)

Dentro del archivo robots.txt pueden existir las siguientes órdenes:

▪ User-agent: referencia al buscador al que quieres dar la orden

▪ Disallow: /directorio/ con este comando se indica a los buscadores no indexen todo el contenido que hay dentro
del directorio indicado
▪ Allow: con este comando se indica a los buscadores que indexen ese contenido

Informática Forense
El análisis forense digital se corresponde con un conjunto de técnicas destinadas a extraer información valiosa de
discos. Permite buscar datos para encontrar un patrón o comportamiento o descubrir información oculta.

La Informática Forense es una rama de las ciencias forenses que se encarga de adquirir, analizar, preservar y
presentar datos que han sido procesados electrónicamente, y almacenados en un medio digital. Su objetivo es,
entonces, recuperar evidencia digital.

Delitos Informáticos
El Cibercrimen es el término que actualmente se utiliza para referirse a
las actividades ilegales que son llevadas a cabo por individuos y/o
organizaciones delictivas, en el que el uso de la tecnología tiene alguna
participación.

Al delito informático se lo puede definir como cualquier acto ilegal que

requiera el conocimiento de tecnología informática para su perpetración,
investigación o persecución. Ejemplos: generación de código malicioso,
DDoS, phishing, piratería, pornografía infantil.

Un hecho es delito cuando es jurídicamente relevante, es decir, debe estar legislado en un Código Penal. Esto es
conocido como principio de legalidad, donde el juez tiene prohibido castigar aquellas conductas que no estén
estrictamente contenidas en la ley penal.

Evidencia
El campo principal de las diversas disciplinas forenses es el de la búsqueda, análisis y/o interpretación de evidencia.
Se considera evidencia a todo aquello que deja la realización de un delito como testigo de haber acontecido.
Desde el punto de vista procesal, las evidencias pueden cumplir funciones orientadora (proporcionan pistas para
avanzar) o probatoria (puede ser invocada como prueba de hechos).

Para asegurar el origen, la integrar e identidad de la evidencia y asimismo evitar que se pierda, destruya o altere,
existe un concepto llamado cadena de custodia, que se define como el registro cronológico y minucioso de la
manipulación adecuada de los elementos, rastros e indicios hallados en el lugar del hecho, durante todo el proceso
judicial. Si este proceso de cadena de custodia no ha presentado alteraciones ni variaciones de ningún tipo durante
su traslado y análisis, se dice que permite garantizar la autenticidad de la evidencia que se utilizará como prueba
dentro del proceso judicial.

Teoría del árbol envenenado

Es una doctrina que hace referencia a las pruebas de un delito obtenidas de manera ilícita, las cuales impedirán en
el proceso judicial que puedan ser utilizadas en contra de cualquier persona. Ejemplos: allanamientos
inconstitucionales, hacking a un sitio para obtener información complementaria sin autorización.

Norma 27037
Para cada tipo de dispositivo la norma divide la actuación en tres procesos diferenciados como modelo genérico de
tratamiento de las evidencias:

1. Identificación: localizar e identificar las potenciales informaciones o elementos de prueba

2. Recolección/adquisición: incautación de dispositivos y la documentación que puedan contener la
evidencia que se desea recopilar o bien la adquisición y copia de la información existente de los dispositivos.
La recolección se debe proceder de la más volátil a la menos volátil.
3. Conservación: la evidencia debe ser preservada para garantizar su utilidad u originalidad para que pueda
ser admisible como elemento de prueba original e íntegra. Básicamente esta parte del proceso está dirigida
a conservar la cadena de custodia.

Reglas fundamentales
▪ Minimizar el manejo del original mediante la duplicación de datos
o Evita la alteración ante uso incorrecto
o Permite realizar análisis sobre el duplicado
o Permite trabajar en paralelo
▪ Documentar los cambios si es necesario alterar el original o el duplicado
o La documentación es crítica en un juicio
o Debe declararse la naturaleza, magnitud y razón de los cambios
▪ Debe presentarse la información de manera representativa
o El modo de presentación no debe alterar el significado
o El uso de herramientas y técnicas no debe disminuir la admisibilidad del resultado
o Las habilidades del investigador no deben afectar la credibilidad del proceso
o Debe contener el contexto del incidente, el listado de evidencias, los hallazgos, las acciones realizadas por el
investigador y la documentación de la cadena de custodia.
▪ No exceder el conocimiento propio y del equipo
o Los análisis complejos deben hacerlos personas calificadas y experimentadas
o Entrenamiento continuo
o Es indispensable poder describir los procesos y explicar la metodología
Copias

● Para investigaciones en el mundo corporativo, donde luego no se va a requerir el origen como evidencia en
proceso judicial, directamente hacer backups tradicional
● Para protocolos de actuación en causas penales, copiar bit a bit. Requiere una copia exacta del contenido de
los discos incautados. Incluye todos los archivos del disco, también conocida como copia a bajo nivel.

Una vez realizada la copia, se debe verificar su integridad. Para ello se calcula el hash de esta. Así, con el hash del
disco original y el de la copia se puede certificar que ambos son idénticos a todos los niveles, y quedará probado que
no se ha manipulado de ningún modo. Es importante también que todo análisis se realice sobre las copias forenses,
nunca sobre las originales.

Seguridad en el Desarrollo de Aplicaciones

Principios Generales
⮚ Defensa en profundidad
▪ Implementar medidas de seguridad en todas las capas del sistemas
▪ Asumir siempre que la capa anterior pudo ser comprometida
▪ Nunca confiar en los datos recibidos
⮚ Mínimo privilegio
▪ Se deben otorgar aquellos permisos que aseguran que la tarea se puede hacer (ni más ni menos)
⮚ Usar un modelo de seguridad positivo
▪ Todo aquello que no está explícitamente permitido, está prohibido
⮚ Fallar de manera segura
▪ Definición correcta de mensajes de error
▪ Brindar únicamente información necesaria para que el usuario tome las acciones correspondientes
▪ Evitar que los errores divulguen información
▪ Diseñar la aplicación para que siempre, ante la eventualidad de un error inesperado, realice la acción más
restrictiva posible.
⮚ Minimizar superficies de ataque
⮚ No confiar en la seguridad por oscuridad
▪ Es un control de seguridad débil, falla cuando es el único control existente
▪ Consiste en mantener partes del sistema (código, aplicaciones) en secreto
⮚ Arquitectura en capas
▪ Para una aplicación web, mínimo deberá estar segregada en tres capas.
⮚ Seguridad por defecto
⮚ Los sistemas externos son inseguros

Autenticación y Autorización
● Identificación: forma en la cual los usuarios comunican su identidad a un sistema. Es necesaria para lograr
la autenticación y autorización.
● Autenticación: proceso por el cual se valida que la información de identificación corresponde con el sujeto
que la presenta.
● Autorización: derechos y permisos otorgados a un individuo que le permite acceder a un recurso del
sistema/computadora.

Autenticación local Autenticación integrada

▪ Mecanismo interno en la propia aplicación ▪ Mecanismo externo en el que la aplicación pueda

▪ Se debe implementar dialogar
▪ Verificar confiabilidad y seguridad ▪ Librerías ya implementadas para mecanismos
▪ Diseñar almacenamiento de datos de autenticación ▪ Administración de usuarios externa a la aplicación
▪ No es necesario preocuparse por detalles técnicos
Manejo de información sensible

Habitualmente, las aplicaciones transmiten, procesan o almacenan datos sensibles (contraseñas, certificados
digitales, credenciales de conexión a DB, datos personales, datos de negocio, etc.). Proteger la información es
procurar una transmisión y almacenamiento seguros.

Almacenamiento seguro

✔ El problema es cuando no se usan correctamente los mecanismos de encripción.

✔ Usar hashes cuando no es necesario el valor original (validación de contraseñas)
✔ No debe almacenar información sensible en el código fuente, ni en la caché, ni en logs.
✔ Los archivos temporales deben ser eliminados luego de su uso.

Transmisión segura

✔ Requerimiento de encripción de la transmisión (externa)

✔ Protección de datos en la aplicación (interna)

Auditoría y trazabilidad

Los registros de auditoría son una herramienta de vital importancia ya que permiten:

✔ facilitar el troubleshooting de la aplicación

✔ monitorear el funcionamiento correcto de la aplicación
✔ monitorear usos indebidos/sospechosos
✔ contar con evidencias en casos de incidentes de seguridad

¿Qué logear?

Según los requerimientos, por cada evento se debe guardar cierta información.

Ejemplo: timestamp/id evento/usuario/tipo de evento, éxito o fracaso

La seguridad en el ciclo de vida del proyecto

La comprobación de seguridad, por sí misma, no es una medida particularmente buena de cuán segura es una
aplicación, porque existe un número infinito de modos en que un atacante podría ser capaz de colgar una aplicación,
y es simplemente imposible comprobarlas todas.

OWASP
El Proyecto Abierto de Seguridad en Aplicaciones Web es una comunidad abierta dedicada a permitir que las
organizaciones desarrollen, adquieran y mantengan aplicaciones y APIs en las que se pueda confiar. Esta
organización desarrolla grandes cantidades de documentos y proyectos utilizados a nivel mundial, como por ejemplo
la OWASP TOP 10, que lista las vulnerabilidades más explotadas estadísticamente. Se enfoca en identificar los
riesgos más críticos para un amplio tipo de organizaciones. Para cada uno de estos riesgos, se proporciona
información genérica sobre la probabilidad y el impacto técnico.
Inyección

Ocurre cuando un atacante puede enviar información dañina a un intérprete. Una aplicación es vulnerable a estos
ataques cuando los datos suministrados por el usuario no son validados o sanitizados, cuando se invocan consultas
dinámicas o no parametrizadas. Puede resultar en accesos no autorizados, corrupción de datos o denegación de
servicios. La mayor contramedida de seguridad es la validación de datos de entrada.

XSS - Cross Site Scripting

Consiste en una inclusión de un script en una página web que se ejecuta cuando la página es accedida por un
usuario. Se puede hacer este ataque cuando la aplicación le muestra al usuario los datos que el propio usuario
ingresó. La vulnerabilidad tiene lugar en dos momentos distintos: la recepción de valores ingresados por el usuario y
la visualización de dichos valores en páginas HTML. Las contramedidas de seguridad para estos ataques son la
validación del input y el formateo del output.

❖ XSS Reflejado: el script se incluye en la URL/request

❖ XSS Permanente: el script se almacena en la capa de persistencia

Firewall de Aplicaciones Web (WAF)

Dispositivo físico que analiza el tráfico web, los datos recibidos por parte del usuario y protege de diferentes ataques
web. Trata de proteger de los ataques dirigidos al servidor web que los IPS no nos pueden defender. Es una
herramienta complementaria, no pretende sustituir las medidas de protección que deberían ser desarrolladas al
programar una aplicación.

⮚ Modelo de Seguridad Positiva: deniegan por defecto todas las transacciones y solamente acepta las que
identifica como seguras o válidas. Para determinar la seguridad de una transacción, consulta una serie de reglas.
⮚ Modelo de Seguridad Negativa: acepta todas las transacciones por defecto y solamente deniega las que
detecta como una posible amenaza o un ataque.

Ley de Protección de Datos Personales

Ley Nº 25.326 - ARTICULO 1° — (Objeto).
La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos
de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes,
para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que
sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución
Nacional.

Las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los datos relativos a
personas de existencia ideal.
En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas.

Banco de Datos

La formación de archivos de datos será lícita cuando los mismos se encuentren debidamente inscriptos. Los datos
personales deben ser ciertos, adecuados, pertinentes y no excesivos en relación con el ámbito y finalidad para los
que se hubiesen creado. La recolección de estos no debe hacerse por medios desleales, fraudulentos o en forma
contraria a los dispuesto por la ley. No pueden ser usados para finalidades distintas para los cuales se crearon, y
deben ser destruidos en cuanto hayan dejado de ser necesarios.

ISO 27XXX
Es un conjunto de estándares de seguridad desarrollados por ISO. Esta norma contiene 14 cláusulas de control
de seguridad que, en conjunto, contienen un total de 35 categorías de seguridad principales y 114 controles.

Certificaciones
La certificación es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada
audita el sistema, determinando su conformidad con el ISO/IEC 27001, su grado de implantación real y su eficacia
y, en caso positivo, emite el correspondiente certificado. Sirve para poder mostrar al mercado que la organización
tiene un adecuado sistema de gestión de la seguridad de la información. Una empresa certificada no implica que no
tiene más riesgos, sino que tienen un adecuado Sistema de Gestión de Riesgos y proceso de mejora continua.
Cualquier organización está en condiciones y habilitada para certificarse.

Alineación con ISO 27001

[Imagen portapapeles PDCA]

Proceso de Certificación

Política de seguridad

La alta dirección debe definir una política que refleje las líneas directrices de la organización en materia de
seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la
información.

Organización de la seguridad

Definir el conjunto de responsables en la administración de la seguridad de la información. Mantener la seguridad de

los recursos y de la información.

Clasificación y control de activos

Identificar, resguardar y proteger de manera adecuada los activos de la organización. Debe definirse una
clasificación de los activos, manteniendo un inventario actualizado y proporcionando a cada activo el nivel de
protección adecuado a su criticidad.

Seguridad del personal

Reducir los riesgos de errores humanos, concientizar a los usuarios de las amenazas y riesgos y minimizar los daños
provocados por incidencias de seguridad.

Seguridad física y del entorno

Estructurar el conjunto de controles de restricción física para salvaguardar la integridad de los activos de
información organizacional, sea cual sea su naturaleza. Evitar accesos no autorizados, daños e interferencias, evitar
pérdidas y daños, prevenir exposiciones a riesgo o robos de información.

Gestión de comunicaciones y operaciones

Generar un conjunto de controles que garanticen la seguridad de información a través de cualquier tipo de flujo que
sea parte de la operación diaria de la empresa. Asegurar la operación correcta y segura de los recursos, minimizar
riesgos de fallos, proteger la integridad del software.

Control de acceso
Salvaguardar todos los recursos tecnológicos de la organización de eventos intencionados como el robo o
manipulación de la información. Controlar los accesos, evitar accesos no autorizados, proteger los servicios en red,
detectar actividades no autorizadas.