Índice

Introducción 2

Gestión de Riesgos 5

Gestión de Identidades 12

Criptografía 22

Protección de datos 32

Ley de protección de datos personales 37

Compliance 41

Ingeniería social 46

OSINT 51

Malware 58

PCI 67

Herramientas de seguridad 72

Revisiones de seguridad 76

Informática forense 79

1
Introducción

CIBERSEGURIDAD

Definición: habilidad de proteger o defender el uso del ciberespacio contra ciberataques.

Propósito fundamental: administrar el riesgo al cual la organización se encuentra expuesta.

TRÍADA DE LA CIBERSEGURIDAD

Definición: la seguridad informática tiene como base tres

principios: confidencialidad, integridad y disponibilidad, también
conocidos como “principios CID”.
● Confidencialidad: la información debe ser accedida sólo
por personal autorizado. Es necesario prevenir el acceso
no autorizado.
● Integridad: toda modificación o el simple acceso a datos o
información debe ser realizada por personas autorizadas
utilizando procedimientos autorizados.
● Disponibilidad: la información y los datos deben estar
disponibles cuando se los necesite.

Antónimos de la tríada:
● Confidencialidad → Revelación
● Integridad → Alteración
● Disponibilidad → Destrucción

Decisiones de seguridad: en los vértices del triángulo se encuentran las áreas que dan sentido a los
principios CID. En estas áreas hay que invertir al hablar de seguridad:
● Personas: llevan a cabo los procesos para operar tecnologías.
● Procesos: especifican al operador cómo debe operar cierta tecnología. Pueden estar escritos
o no.
● Tecnología: es el medio para llevar a cabo las tareas de la organización.

2
Estos conceptos se ilustran en forma de triángulo. Este triángulo debe ser equilátero, lo que implica
que debe haber una equidad entre los tres principios. La seguridad se logra únicamente cuando hay
una inversión en estas tres áreas en igual medida. Un desbalanceo de este triángulo hará que nuestro
sistema no sea seguro.

Estrategias: la mejor estrategia es siempre la más equilibrada. Los siguientes son ejemplos de malas
estrategias de seguridad y sobre todo de malas inversiones:

PRINCIPIOS IMPORTANTES PARA CUMPLIR CID

Principio de mínimo privilegio (permisos): otorgar a la persona/proceso el mínimo privilegio

necesario y suficiente para que pueda realizar la tarea. Es decir, la persona/proceso sólo tendrá
permisos por un tiempo limitado y con el mínimo de derechos necesarios.

Need to know (información): darle a la persona/proceso solamente la información pertinente para la

tarea que debe realizar. Si la persona puede acceder a cierta información significa que la necesita
para su trabajo. Su puesto de trabajo o rango no justifican que pueda tener acceso a ella si no la
necesita para su trabajo.

Separación de tareas: se deben dividir los pasos de una tarea crítica para que no sea realizada por
una misma persona de inicio a fin.

Rotación de tareas: se intercambian las tareas entre dos personas luego de un cierto intervalo de
tiempo. Se induce una atmósfera de control disuasivo porque cada uno sabe que será controlado por
otro.

Defensa en profundidad: en un sistema de defensa de múltiples capas cada capa debe contemplar
sus propias medidas de seguridad. Lo ideal es que cada capa implemente controles de distintos tipos
(preventivo, correctivo, etc.) para así minimizar la probabilidad de una penetración exitosa. Siempre lo
ideal es detectar la amenaza en las capas más externas del sistema.
Cosas a tener en cuenta:
● Implementar distintas medidas de seguridad en todas las capas del sistema.
● Asumir siempre que la capa anterior pudo ser comprometida.
● Nunca confiar en los datos recibidos.

3
PREGUNTAS
(Las respuestas están en color blanco. Pasá el mouse por encima para leerlas)

1. “Segmentar la red de la organización utilizando VLAN’s para separar/aislar estaciones de

trabajo de servidores y/o servidores según criticidad” es una estrategia orientada a…
Evitar movimientos laterales.
Reducir impacto sobre los activos.
Reducir la superficie de ataque.
Disminuir probabilidad de ocurrencia del ataque.
Evitar escalamiento de privilegios.
Aumentar la posibilidad de detección temprana.
2. “El concepto de mínimo privilegio es el que establece que la posición jerárquica de una
persona determina su nivel de acceso” Indique V o F.
Falso.
3. "En una organización se implementa una regla por la cual aquellas personas involucradas en
la revisión/análisis de uso autorizado de activos no debe estar en condición de efectuar
dicho uso no autorizado. Esto es un ejemplo del principio de separación de tareas”. Indique
V o F.
Verdadero.
4. “Es posible que la información conserve su condición de integridad aún perdiendo su
confidencialidad” Indique V o F.
Verdadero.
5. “Implementar la premisa de mínimo privilegio en los accesos a la BD” es una estrategia
orientada a:
Disminuir la probabilidad de ocurrencia.
Reducir el impacto.

4
Gestión de Riesgos

RIESGO

Definición: es la probabilidad de que se produzca un incidente. En caso de ocurrir se estaría

materializando una amenaza (que aprovecha una vulnerabilidad) y puede afectar positiva
(oportunidad) o negativamente los activos de información. Es por esto que el riesgo es la
intersección de los tres:

● Activo: recurso, producto, proceso, dato, todo aquello que tenga un valor para el negocio de la
compañía.
● Amenaza: acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un
sistema. Actúa negativamente sobre un activo.
● Vulnerabilidad: ausencia o debilidad de un control de un activo que lo hace vulnerable a una
amenaza. Puede tener distintos orígenes: fallos de diseño, errores de configuración o
carencias de procedimientos.

Objetivo de la gestión de riesgos: reducir el riesgo hasta un punto tolerable por el negocio. Las
amenazas nunca desaparecen y el objetivo tampoco es eliminarlas sino reducir el riesgo.

Ejemplo: si en la facultad aparece una persona y quiere tirar una piedra a una ventana de vidrio
identificamos los siguientes elementos:
● Activo: infraestructura de la facultad, las personas cercanas a la ventana.
● Amenaza: la piedra y la persona que quiere arrojarla.
● Vulnerabilidad: el material (vidrio) es fácil de quebrar y no está protegido.

Cómo definir un riesgo: se define contestando cuatro preguntas:

1. ¿Qué puede suceder? (evento)
2. ¿Qué tan real o frecuente es? (probabilidad)
3. ¿Cuán mal nos puede hacer? (impacto)
4. ¿Cuánto riesgo somos capaces de tolerar? ¿Cómo percibimos el riesgo? (apetito de riesgo)

Apetito de riesgo: define cuánto se aceptará, mitigará y transferirá el riesgo. No es lo mismo que la
tolerancia.

Tolerancia de riesgo: cantidad de eventos de riesgo resistibles.

Capacidad de riesgo: tiempo operable en la presencia de riesgos.

5
Cómo medir un riesgo: el riesgo se mide en un eje probabilidad-impacto como un punto (llamado
“evento”). Una vez que tengo el punto, ¿qué hago? eso me lo dirá el apetito de riesgo.

Ejemplo: tomemos dos casos, una organización militar y una startup. Ambas tendrán un apetito de
riesgo muy distinto. Una startup estará dispuesta a correr ciertos riesgos (con un impacto y
probabilidad determinados) que una organización militar no estará dispuesta a correr.

No cambia la forma en que las organizaciones calculan el riesgo, eso se hace de la misma manera.
Lo que cambia es la decisión que se tomará dentro de cierto cuadrante, dependiendo de si se acepta
ese nivel de probabilidad-impacto.

Clasificación de riesgos:
● Riesgos naturales: asociados a fenómenos de la naturaleza. Ejemplo: erupciones volcánicas,
terremotos, meteoritos, inundaciones.
● Riesgos antropogénicos: producidos por actividades humanas. Pueden ser intencionales
(dolosos) o no intencionales (culposos).

Riesgo intrínseco: se calcula el daño probable sobre un sistema (activo) sin considerar si ese activo
posee salvaguardas/controles que pudieran protegerlo.

Administración del riesgo (information risk management - IRM): es el proceso de identificación,

análisis y determinación de riesgos asociados a eventos determinados para poder tomar acciones
que lo reduzcan. El objetivo es reducir el riesgo hasta niveles tolerables por la organización
(determinado por el apetito de riesgo).

Requerimientos:
● Dimensionar el proyecto (proyección).

6
 ● Establecer políticas de IRM.
● Armar un equipo de IRM.
● Definir metodologías y herramientas.
● Identificar y medir el riesgo.

CONTROLES

Tipos de controles:
● Administrativos: son los controles asociados a procesos.
● Técnicos/Lógicos: asociados a componentes de SW o HW, FW, cifrado, autenticación.
● Físicos: los que protegen instalación, personal (guardias de seguridad) y recursos
(cerraduras, iluminación).

Enfoques/orientaciones de los controles:

● Disuasivo: está destinado a desalentar a un posible atacante. En resumen: “sonría, lo
estamos filmando”.
● Preventivo: está destinado a evitar que ocurra un accidente.
● Correctivo: reduce el impacto después de que ha ocurrido un accidente. Detiene el evento en
curso.
● Recuperación: está destinado a restablecer el entorno una vez que ya aconteció el hecho y
tuvo impacto. Recupera la operación.
● Detectivo: está destinado a identificar un incidente. Una vez que ocurre un incidente hay que
detectarlo lo antes posible.
● Compensatorio: establece un control adicional si no se pudo mitigar de origen la situación.
Por ejemplo: alguien de RR.HH., cada vez que alguien renuncia de una empresa, da de baja a
dicha persona mediante el gestor de identidades para que no tenga acceso a información de
la empresa. Puede suceder que el personal de RR.HH. que era responsable de dar de baja al
usuario se haya olvidado de hacerlo. En algún momento, cuando llegue la auditoría, saltará la
discrepancia. En este caso estamos en presencia de un riesgo latente y deberá
implementarse un control compensatorio para que esto no vuelva a ocurrir. Este control
compensaría el posible olvido del personal de RR.HH. y podría ser, por ejemplo, que una vez al
mes algún proceso baje el listado de nómina del SAP y lo compare con la base de datos de
usuarios activos. En caso de que encuentre una discrepancia, ejecutará la baja o lo reportará.
Entonces, este es un control compensatorio, pues compensa el hecho de que alguien se haya
olvidado de dar la baja y podrá mitigar la ventana de tiempo en que se pueda generar algún
daño.

USABILIDAD vs. SEGURIDAD

Definición: la usabilidad y seguridad son dos atributos de calidad que entran en conflicto. ¿Cómo
diseñar un sistema que tenga las medidas de seguridad necesarias pero que sea sencillo de usar
para el usuario? Por ejemplo, una puerta con ocho cerraduras será completamente segura pero no
será fácil de operar.

ETAPAS DE LA GESTIÓN DE RIESGOS

Etapas: la gestión de riesgos tiene dos etapas: primero el análisis de riesgos y después el tratamiento
de riesgos.

1) Análisis de riesgos: son pasos para determinar el riesgo al que está expuesta una organización.

7
1. Valuación de activos: determinar los activos más relevantes para la organización. Ya
sabemos que los activos son recursos del sistema (o relacionados al sistema de alguna
manera) y que son necesarios para que este funcione. El activo esencial es la información
que maneja el sistema y alrededor de esta información se pueden identificar otros activos
relevantes.

¿Cómo valorizar a un activo? Para valorizarlo vamos a determinar el costo que supondría salir
de una incidencia que destrozara al activo:
a. Coste de reposición.
b. Daños medioambientales.
c. Daños a otros activos dependientes.
d. Coste de mano de obra invertida en recuperar el activo.
e. Daño a personas.
f. Pérdida de ingresos.
g. Sanciones por incumplimiento de la ley u obligaciones contractuales.
h. Pérdida de la capacidad de operar (pérdida de la confianza de los usuarios).

Teniendo en cuenta estos criterios se puede armar una escala para medir el impacto que
supondrá comprometer estos activos y así determinar su valor.

2. Dependencias entre activos: se dice que un “activo superior” depende de otro “activo inferior”
cuando las necesidades de seguridad del superior se reflejan en las necesidades de
seguridad del inferior. Hay que detectar las dependencias entre activos para poder determinar
a qué amenazas están expuestos.
3. Determinar las amenazas: evaluar a qué amenazas están expuestos los activos.
4. Determinar salvaguardas: una vez que sabemos a qué amenazas están expuestos los activos
debemos determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.

8
 5. Estimar el impacto: el impacto es el daño sobre el/los activo/s derivado de la materialización
de la amenaza.
6. Determinar el riesgo: Riesgo = Probabilidad * Impacto
La configuración de la siguiente tabla se hace de acuerdo al criterio de cada organización.

2) Tratamiento de riesgos:
● Evitar/Eliminar: se puede eliminar la actividad que produce el riesgo o sustituir al activo por
otro que no se vea afectado por la amenaza.
● Aceptar: se asume el riesgo, ya sea porque está debajo del umbral aceptable de riesgo o
porque los costos de su tratamiento son elevados y aún siendo riesgos de impacto alto su
probabilidad de ocurrencia es baja. En caso de aceptar un riesgo, se puede llevar a cabo de
dos formas:
○ Activa: propone dejar que el riesgo acontezca (sin hacer nada para evitarlo) y armar
un plan de contingencia para mitigar lo que ocurrió. Como ya sabemos, esto se hace
con un plan de control de tipo correctivo.
○ Pasiva: si sucede se hace un workaround.
● Transferir: en ocasiones la empresa no tiene la capacidad de tratamiento y precisa la
contratación de un tercero con capacidad para reducir y gestionar el riesgo.
● Mitigar/Reducir: implicar tomar las medidas oportunas para que el nivel de riesgo se sitúe por
debajo del umbral. Para conseguirlo se puede:
○ Reducir la probabilidad o frecuencia de ocurrencia: tomando medidas preventivas.
○ Reducir el impacto de la amenaza o acotar el impacto: estableciendo controles y
revisando el funcionamiento de las medidas preventivas.

Riesgos y controles: más arriba vimos los distintos tipos de controles que hay. Se busca implementar
controles de diferentes fines, dependiendo del cuadrante en el que caigan:

● Evitar: controles que correspondan con reducir la probabilidad de ocurrencia. Controles

preventivos.
● Aceptar: controles compensatorios, correctivos, entre otros.

9
 ● Transferir: controles que activen planes para disparar una transferencia de riesgos.
● Mitigar: controles preventivos para detectar los riesgos cuanto antes y reducir su impacto
aunque se pueden aplicar otros tipos de controles.

¿El riesgo se elimina?: no. El riesgo no se elimina, sino que se gestiona. Se lo lleva hasta un nivel
aceptable por la organización.

INDICADORES CUANTITATIVOS DEL RIESGO

Exposure factor (EF): porcentaje de pérdida sobre el valor de un activo generado por la concreción de
una amenaza en dicho activo.
0 % <= EF <= 100%

Single Loss Exposure (SLE): valor monetario asociado a un evento determinado. Representa la
pérdida producida por una amenaza determinada individual.
SLE = Valor del Activo($) * EF

Annualized Rate Occurrence (ARO): representa la frecuencia estimada de ocurrencia de un evento,

dentro del período de un año.
● Krutz: lo considera una cantidad.
● Harris: lo considera una probabilidad.
Para la probabilidad de ocurrencia, nos basamos en la información estadística que haya/escalas
estándares.

Annualized Loss Expectancy (ALE): representa la pérdida anual producida por una determinada
amenaza.
ALE = SLE * ARO

PREGUNTAS

1. Los controles se clasifican según su enfoque:

a. Detectivo: para identificar las actividades de un incidente.
b. Preventivo: destinado a evitar que ocurra un incidente.
c. Recuperación: destinados a restablecer el entorno.
d. Correctivo: después de que ha ocurrido un incidente (reduce impacto).
e. Disuasivo: destinado a desalentar a un posible atacante.
f. Compensatorios: proporcionan una alternativa o control adicional si no se pudo
mitigar de origen la situación.

2. “Se asume el riesgo, bien porque está debajo del umbral aceptable de riesgo o bien en
situaciones en las que los costes de su tratamiento son elevados y aún siendo riesgos de
impacto alto su probabilidad de ocurrencia es baja o porque aún a pesar del riesgo la
empresa no quiere dejar de aprovechar la oportunidad que para su negocio supone esa
actividad arriesgada”. La afirmación anterior corresponde con la estrategia de tratamiento
de riesgo: aceptar, evitar, transferir, mitigar.
Aceptar
3. Una organización con apetito de riesgo moderado identifica y valora un riesgo de la forma
representada en la imagen:

10
 ¿Qué estrategia de riesgo debería adoptar para el riesgo X?
Mitigar.
4. ¿Cuál es el objetivo principal de la gestión de riesgos?
a. Ayudar a tomar decisiones a la gerencia de IT.
b. Realizar informes periódicos de análisis de riesgos.
c. Poder certificar ISO 27001.
d. Reducir el riesgo hasta que desaparezca la amenaza.
e. Eliminar el riesgo de los procesos de negocios.
f. Reducir el riesgo hasta un punto tolerable por el negocio. (correcta).

11
Gestión de Identidades

CONCEPTOS GENERALES

Gestión de acceso: llamamos acceso a la transferencia de información desde un objeto a un sujeto.

● Sujeto: quiere acceder/utilizar un recurso y obtener datos de él. El sujeto puede modificar los
datos del recurso. Puede ser un usuario, programa, proceso, computadora.
● Recurso: es el objeto en sí. Son entidades pasivas, por ejemplo, archivos, bases de datos,
programas, etc.

PROCESO DE GESTIÓN DE IDENTIDADES

Definición: existen varios pasos para que el sujeto logre el acceso al objeto:
1. Identificación.
2. Autenticación.
3. Autorización.
4. Auditoría.

1. IDENTIFICACIÓN

Definición: es decirle al sistema quién es uno. Es un paso necesario para lograr los pasos siguientes.

Formas de identificación: username, PIN, login ID.

2. AUTENTICACIÓN

Definición: requiere al sujeto proporcionar información adicional para probar la identidad que dijo
tener en el paso anterior. Hay varios tipos de autenticación:

TIPO 1 - algo que conoces (basada en secretos): el sujeto conoce un secreto que el mecanismo de
validación es capaz de validar. Ese secreto debe ser desconocido por el resto de sujetos.
● Passwords:
○ Estáticas: siempre permanecen iguales y sólo cambian cuando expiran.
○ Dinámicas (one time password): sólo tienen validez para un usuario específico
durante una determinada sesión.
● Password cognoscitivo: son preguntas cuyas respuestas deberían ser conocidas solamente
por el sujeto (¿Cuál era el nombre de mi primera mascota?).
● PINs.

TIPO 2: algo que tienes (posesión):

● Tarjeta de coordenadas: es una tarjeta con una grilla de valores impresos en ella. Es
simplemente una tarjeta, no posee ningún tipo de circuito. Se identifica mediante un número
de serie el cual está asociado a un ID de usuario. El sistema autenticador conoce todos los
valores de todas las tarjetas y funciona de la siguiente manera:
- El usuario se identifica ante el sistema y el sistema, con el ID de usuario, obtiene la
información de la tarjeta de coordenadas.
- El sistema elige al azar coordenadas de la tarjeta y se las solicita al usuario.
- El usuario ingresa las coordenadas pedidas.
- Si las coordenadas son correctas se autentica al usuario.

12
 ● Tokens físicos: son dispositivos generadores de password que una persona puede usar.
Existen 4 tipos:
○ Tokens estáticos: estos tokens requieren de un factor adicional para brindar
autenticación, como ser una password o una característica biométrica. La mayoría de
estos dispositivos almacenan una clave criptográfica (ya sea una clave, credenciales
encriptadas, etc). Son utilizados principalmente como técnica de identificación en
lugar de autenticación. Ejemplos: smart card, USB device.
○ Tokens sincrónicos basados en tiempo: estos tokens deben estar sincronizados con
el servidor mediante el tiempo. Es decir, el token tiene un reloj interno. El valor del
tiempo del token se encuentra encriptado con una llave secreta y es mostrado al
usuario solamente si este ingresa con su llave y user ID. Si la autenticación es exitosa
el servidor desencriptará el valor y lo comparará con el esperado.
○ Tokens sincrónicos basados en eventos: en este caso el usuario deberá iniciar la
secuencia de logon y presionar el botón en el token. Luego, un valor será mostrado en
el display del token y el usuario deberá ingresarlo en el sistema para su autenticación.
○ Tokens asincrónicos basados en desafío/respuesta: funcionan de la siguiente
manera. Primero el usuario accede a un servidor de autenticación el cual le solicita
ingresar su ID de usuario. El usuario ingresa su ID y el sistema emite un challenge
(que es un número aleatorio). El usuario deberá ingresar ese número en el token, el
cual encripta el número de challenge con la clave de encripción del usuario y
despliega una respuesta. Luego esta información se envía al servidor de
autenticación quien la compara con la respuesta correcta que tiene en su base de
datos. Si coinciden, se le garantiza el acceso a la red al usuario.

TIPO 3: algo que eres (biometría): los sistemas biométricos se basan en características físicas del
usuario a identificar o en patrones de conducta.

Procesos involucrados:
● Enrollment: es el proceso en el cual se toma la muestra del atributo físico del individuo la cual
será almacenada en una base de datos. Muchas veces se necesita tomar varias muestras
hasta obtener la correcta, lo que hace que el proceso de enrollment sea largo y que tenga
baja aceptación de los usuarios.
● Throughput: es el proceso en el cual la persona somete su atributo personal al sistema
biométrico para que este sea comparado con el almacenado en la base de datos. Al igual que
el anterior este puede ser un proceso largo, lo que lo hace perder funcionalidad.

Ventajas de los sistemas biométricos:

● Los atributos personales no pueden ser prestados (como un token) ni olvidados (como una
contraseña).
● Generalmente contienen suficiente precisión para permitir la identificación única de un
individuo.
● Son de larga duración (siempre y cuando la persona no altere sus atributos).

13
 ● Hacen que los procesos de login y autenticación sean muy sencillos.

Forma de validación: antes se hablaba de una comparación 1 a n. Es decir, la persona ingresa al

sistema y el servidor toma a todas las personas registradas y compara una por una para ver quién es.

Ahora se habla de una verificación 1 a 1 donde la persona primero dice quien es y el servidor busca el
registro de esa persona y valida si efectivamente es quien dice ser.

Exactitud de los sistemas biométricos: es de suma importancia la precisión de estos dispositivos ya

que un error en su configuración puede dar acceso a alguien no autorizado o negárselo a alguien
autorizado. Hay cuatro posibilidades:
● ✔ Se de acceso a alguien autorizado.
● ✔ Se niegue el acceso a alguien no autorizado.
● X Se de acceso a alguien no autorizado (Error de tipo 1, False Reject Rate (FFR)).
● X Se niegue el acceso a alguien autorizado (Error de tipo 2, False Acceptance Rate (FAR)).

La seguridad informática considera que el error de tipo 2 es mucho más peligroso que el de tipo 1.
Para evaluar la situación del sistema respecto de los errores se tiene en cuenta la variable Crossover
Error Rate (CER), la cual es el punto de encuentro entre las curvas de FFR y FAR.

Tipos de sistemas biométricos:

● Características fisiológicas:
○ Huella digital.
○ Reconocimiento facial.
○ Escáner de iris y retina: ambas son tecnologías biométricas de identificación
oculares que se basan en las características fisiológicas únicas del ojo humano para

14
 identificar a un individuo. Si bien los dos son métodos oculares son muy diferentes
en su funcionamiento.
El scan de iris está fuertemente más aceptado por los usuarios dado que es menos
“invasivo”. No sólo porque para realizar un scan de retina se debe disparar una luz
infrarroja muy cerca del ojo sino porque con el scan de retina es posible obtener
ciertas características médicas del individuo (SIDA, malaria).
Por su parte, el scan de iris se considera el mejor de los dos métodos dado que el iris
(normalmente) permanece sin cambios durante toda la vida de las personas y es un
método menos invasivo.
○ Geometría de la mano.
● Características de comportamiento:
○ Firma.
○ Voz.
○ Dinámica del teclado.

Donde te encuentras: este ejemplo es muy común verlo en Google cuando iniciamos sesión desde un
dispositivo inusual. Google se da cuenta que no estamos accediendo del mismo lugar de donde
normalmente lo hacemos y nos pide autenticar que seamos nosotros.
● IP.
● VPN.

Cómo te comportas (comportamiento): este tipo de autenticación monitorea las actividades del
usuario según los niveles de riesgo definidos por la organización.
● Autenticación invisible: este tipo de autenticación define que si el acceso proviene de un
dispositivo ya autorizado antes, entonces es válido y no me volverá a pedir autenticación.
● Autenticación del sitio ante el usuario: esta validación es al revés. El usuario no sabe
realmente dónde se está metiendo (phishing). Esta autenticación quiere mostrar al usuario
que es realmente un sitio oficial y legítimo. Para esto, el sitio puede mostrarte tu foto de perfil
cuando tratás de iniciar sesión o algún dato personal preseleccionado por el usuario.
● Autenticación fuera de banda: implica el envío de un SMS, email, etc. Se suele utilizar para el
primer logueo.

Tipo Basado en Pro Contra

Algo que conoces Secretos Barato Fácil de adivinar

Fácil de implementar Sniffers y diccionario
Usuarios

Algo que tienes Posesión de un elemento Difícil de atacar Puede perderse o robarse
Caro para implementar

Algo que eres Aspectos biométricos Portable Caro para implementar

Fácil de utilizar Rechazo del usuario
Tasas de error

Autenticación adaptativa basada en comportamiento: esta quizás es la autenticación que engloba a

todas las demás. Propone identificar al sujeto no sólo porque haya cumplido ciertos objetivos (ya sea
poner un PIN o huella digital), sino por su contexto. Responde a preguntas del tipo ¿cuántas veces
falló al poner su contraseña?, ¿está ingresando desde su dispositivo habitual? ¿está haciendo
transferencias habituales dentro del sistema? Este tipo de autenticación implica una evaluación del
riesgo en tiempo real.

15
Se analizan las variables como:
● Dispositivo.
● IP.
● Horario.
● Tipo de transacción a realizar.
Por ejemplo, una transacción de una alta suma de dinero a las 3 de la mañana proveniente de una red
en Rusia y desde un dispositivo no identificado, por más que haya logrado acceder al sistema con el
PIN correcto, va a significar un alto riesgo para la organización. En ese caso se podrá pedir una
autenticación fuera de banda (SMS/token), algo basado en comportamiento (responder alguna
pregunta personal) o usar una contraseña de un sólo uso, etc. Esto dependerá de las políticas de
seguridad definidas. Esto se relaciona con el concepto de Zero Trust que está más adelante.

¿Por qué nos interesan los distintos tipos de autenticación?

Multiple factor authentication (MFA): es un método de control de acceso en el que a un usuario se le

concede acceso al sistema solo después de que presente dos o más pruebas diferentes de que es
quien dice ser. Hoy en día esta es la forma en que se concede cualquier tipo de acceso. Este método
se basa en la teoría de que usar al menos dos tipos distintos de autenticación (de los que vimos
arriba) es siempre más seguro que usar autenticaciones del mismo tipo. Esto quiere decir que pedir
10 contraseñas es menos seguro que, por ejemplo, pedir una sola contraseña y una huella digital.
Esto es así porque se considera que las debilidades de un factor son mitigadas por el segundo factor.
Por ejemplo: si me roban la billetera con la tarjeta de coordenadas de la tarjeta aún no saben mi
contraseña. Caso opuesto, si adivinan mi contraseña, aún necesitan la tarjeta de coordenadas.
● Autenticación de doble factor (DFA): refiere a la utilización de dos factores diferentes en
forma conjunta para la realización de la autenticación.

3. AUTORIZACIÓN

Definición: una vez probada y autenticada la identidad del sujeto se procederá a otorgarle los
privilegios que su identidad tiene asociada.
● Read.
● Write.
● Execute.

4. AUDITORÍA/ACCOUNTABILITY

Definición: es el proceso de registrar todo lo que hizo el sujeto con el objeto al que se le dio acceso
(eventos, errores, accesos, intentos de autenticaciones). Más conocidos como logs.
Existen varias razones para que un administrador habilita esta funcionalidad:
● Detección de intrusiones.
● Reconstrucción de eventos y condiciones del sistema.
● Obtener evidencias para acciones legales.
● Producir reportes de problemas.
● Monitoreo de performance.

ZERO TRUST

Definición: no se autentica solamente al usuario, sino que también se autentica el dispositivo, qué
hace, cómo lo hace, en qué entorno, qué quiere consumir y qué no. Es mucho más abarcativo. Esto es
posible gracias a la tecnología de hoy en día.

16
Para llevar esto a cabo hay un módulo de SW que se dedica a la seguridad y puede tomar decisiones
en tiempo real. Se evalúa:
● Riesgo del dispositivo: gestionado/de terceros.
● Si está o no en el inventario: equipo corporativo/no administrado.
● Qué quiere hacer/acceder el sujeto.
● Si está accediendo a datos en la nube/aplicaciones on-premises (montadas dentro de la
infraestructura).
● Qué tipo de infraestructura consume.
● Desde dónde lo hace.
● Evaluar en tiempo real la transacción para ver si tiene una respuesta asociada a un
comportamiento que haya en la base de inteligencia (indicador de
compromiso/comportamiento anómalo, etc).

SIMPLIFICANDO LA UX

Concepto: con todo esto del zero trust que venimos describiendo o la MFA, parecería ser una tarea
ardua autenticarnos ante el sistema para usar un recurso y esto hasta podría llegar a abrumarnos al
momento de querer acceder a un sistema. Este conflicto entre seguridad y usabilidad no va más.
Si bien esto no lo mencionamos antes, la idea del zero trust no es esta. La idea es hacerle la vida más
fácil al usuario normal que siempre realiza las mismas transacciones habituales (horario, red,
dispositivo). Pero, si tengo una solicitud sospechosa (de rusia a las 3 am), ahí si puedo inferir que hay
algo raro y deberé pedirle más formas de autenticarse.

FORMAS DE ATACAR A LAS CONTRASEÑAS/SECRETOS

Concepto: los mecanismos de autenticación basados en secretos pueden ser atacados de diferentes
formas:
● Fuerza bruta/Ataques de diccionario: consiste en probar muchas opciones hasta dar con la
correcta.
¿Cuánto tarda un ataque de fuerza bruta? Depende principalmente del poder de cómputo del
dispositivo y de la cantidad de caracteres y tipos de caracteres (simples, especiales,
números, mayúsculas, minúsculas) que contenga la contraseña.

17
 ● Sniffing: consiste en robar las credenciales que se están transmitiendo.
● Spoofing/Phishing/Falso login: consiste en engañar al sujeto para que se autentique ante un
objeto falso.
● Ingeniería social: lo vamos a ver más adelante.
● Shoulder surfing: es una técnica rudimentaria de ingeniería social usada para obtener
información de un usuario y consiste simplemente en mirar por encima del hombro de la
víctima en el momento en que está utilizando algún recurso para tratar de obtener alguna de
sus claves.
● Keyloggers: es un tipo de software o un dispositivo de hardware que se encarga de registrar
las pulsaciones que se realizan en el teclado, para guardarlas o enviarlas a través de internet.
● Dumpster diving: esta técnica también es muy rudimentaria y consiste en revolver la basura
para obtener algún ítem que tenga valor (documentos, claves escritas, nombres, etc). Es muy
utilizada por la policía.
● Atacando al repositorio de contraseñas: este método consiste en intentar obtener acceso al
repositorio de credenciales para obtener las contraseñas de algunos o todos los usuarios
para luego lograr acceso al sistema.

FORMAS DE PROTEGER MIS CONTRASEÑAS

Concepto: hay muchas medidas que podemos tomar para dificultar el ataque. Hay medidas distintas
para cada tipo de ataque distinto que hay.
● No utilizar palabras del diccionario ni contraseñas triviales (abc123).
● El servidor debería bloquear la cuenta tras ciertos intentos fallidos de login. Puede
implementarse un delay incremental.
● Implementación de captchas.
○ Captchas: su función es contrarrestar los ataques automatizados de fuerza bruta y
consiste en pedirle adivinar al usuario un valor que sea fácilmente reconocido por un
humano pero difícil por un mecanismo automatizado. Un captcha no sirve para la
autenticación.
● Forzar la utilización de contraseñas complejas.
● Forzar el cambio periódico de contraseña.
● No permitir la utilización de contraseñas viejas.

18
 ● Se recomienda utilizar gestores de contraseñas confiables.
● Utilizar contraseñas distintas para servidores diferentes.
● Utilizar hashes con salt.

¿Qué hacer si hay una brecha de seguridad? si hay una brecha de seguridad y mi contraseña quedó
comprometida debo cambiar dicha contraseña en cualquier cuenta donde la haya utilizado con la
misma combinación de correo electrónico.
Para saber si mi cuenta ha sido comprometida puedo visitar la página “Have I Been Pwned?”

CONTROL DE ACCESOS

Definición:
● Habilidad de sólo permitir acceso al sistema o cualquiera de sus recursos a usuarios,
programas y procesos debidamente autorizados.
● Es el otorgamiento y denegación de permisos de acceso a un recurso en base a un modelo
de seguridad determinado.
● Es un conjunto completo de procedimientos para monitorear accesos, identificar usuarios
requirentes de accesos, registrar intentos de acceso y otorgar o denegar accesos de acuerdo
a reglas predeterminadas.
● Se implementa para proteger los principios CID.

Control de acceso físico vs. lógico:

● Físico: se implementan controles de acceso a objetos físicos (edificios, salas, centros de
cómputos) y normalmente se utilizan elementos físicos (puertas, barreras, sensores) aunque
también se puede utilizar software.
● Lógico: controles implementados a nivel software. Pueden ser reglas de un FW, permisos en
un file server, etc.

Modelos de control de accesos: se dividen según la forma en la que operan

● Control de acceso direccional (DAC): el usuario dueño de un objeto (todos los objetos tienen
un dueño) es llamado “administrador” y decide a quiénes darle acceso y qué tipo de acceso.
Ejemplo: carpeta compartida en windows.
● Control de acceso mandatorio (MAC): el sistema impone sus reglas. Es un modelo basado en
etiquetas o labels. Todos los que compartan la misma jerarquía podrán ver lo mismo.
Ejemplo: rol “alumno” en el aula virtual. No existe la posibilidad de distinguir entre elementos
de una misma etiqueta. Todos los que tengan el rol “alumno” podrán acceder a la misma
información.
● Control de acceso basado en roles (RBAC): asignación directa de permisos (roles y perfiles).

Control de acceso corporativo: los ambientes corporativos se caracterizan por:

● Grandes cantidades de usuarios.
● Altas complejidades de administración.

19
 ● Heterogeneidad de sistemas y plataformas.
● Necesidades de integración.

Algunas de las soluciones para ambientes corporativos incluyen:

● Single sign on.
● Identity management.
● Control de acceso centralizado (AAA).
● CASB.

Cuentas con altos privilegios: las organizaciones manejan varios tipos de cuentas diferentes:
● Cuentas administrativas: asume privilegios elevados y tiene acceso a todas las operaciones
de usuario y privilegiadas.
● Cuentas de sistema: están incorporadas en sistemas o aplicaciones (como root en Unix o
administrador en Windows).
● Cuentas operativas:
○ Cuentas compartidas: configuradas para la administración y la instalación del
software. No se crean para el uso de un usuario en particular, sino que pueden ser
usadas por varias personas. También pueden incluir cuentas de emergencia
(“firecall”) que son usadas en caso de una emergencia que requiera acceso
privilegiado temporalmente.
○ Cuentas de servicio: se utilizan para permitir interacciones remotas, aplicación a
aplicación con otros sistemas o para ejecutar servicios del sistema.

OTROS CONCEPTOS

No repudio: el no repudio asegura que ninguna de las partes pueda negar que envió o recibió un
mensaje mediante cifrado y/o firmas digitales. Tampoco puede negar la autenticidad de su firma.
● Firma digital: uno de los servicios que provee es el no repudio. Enviamos un documento
firmado con nuestra clave privada y el receptor lo abre con nuestra clave pública. No
podremos desconocer que hayamos enviado dicho documento.

Hardening: proceso de asegurar un sistema reduciendo sus vulnerabilidades o agujeros de seguridad,

para los que se está más propenso cuanto más funciones desempeña. En principio, un sistema con
una única función es más seguro que uno con muchos propósitos.

Autenticando en base a hashes: si bien más adelante vamos a ver el concepto de hashing, es
importante remarcar cuál es el mecanismo de autenticación que se sigue si se utiliza hashing:

20
El hash tiene una longitud fija sin importar el tamaño de la palabra que le mande. Un hash tampoco
tiene función inversa.

Hashes con salt: se denomina “salt” a un valor aleatorio que se concatena a la contraseña antes de
calcular el hash. El salt se almacena junto con el hash. La intención es aumentar el tamaño necesario
de una palabra precomputada (rainbow table) para hacer menos viable este tipo de ataque.

Federación de identidades: es un conjunto de entidades que comparten estándares que permiten

transmitir información de identidad de usuarios de manera segura, facilitando la autenticación y
autorización entre diferentes dominios. Ejemplo: Google sign on.
Se establece un círculo de confianza que permite que un usuario autenticado en un organismo de la
federación pueda acceder a recursos de otro organismo de la misma federación.

Ventajas:
● Identidad única: para todos los servicios federados se usa una única clave.
● Single sign on (SSO): procedimiento de autenticación que habilita al usuario para acceder a
varios sistemas con una sola instancia de identificación.
○ Ventajas: una única contraseña para todo, es ágil.
○ Desventajas: punto de falla único con acceso a todos los sistemas federados.
○ Variantes: E-SSO, Web-SSO, SSO basada en ticket, OpenID
● Single log out (SLO): al cerrar sesión de una aplicación se cerrará la sesión de todas las
aplicaciones federadas.
● Fiable, fácil y rápido: al usuario se le presenta un único sistema de autenticación que conoce.

21
Criptografía

INTRODUCCIÓN

Objetivo: la criptografía moderna tiene dos objetivos:

● Proteger los datos al ir de un origen a un destino (cuando se están transmitiendo).
● Proteger los datos cuando están almacenados.
La información puede ser capturada, leída y, eventualmente, modificada en cualquier nodo.

Origen de la criptografía:
● Cifrados atbash, albam y atbah: son tres cifrados hebraicos muy conocidos usados en el 500
a.c. principalmente en textos religiosos. Estas cifras se basan en el sistema de sustitución
simple. Son cifrados reversibles porque en la primera operación se obtiene el texto cifrado y,
aplicándose el mismo cifrado al texto ya cifrado se obtiene el texto original.
● Cifrado de Caesar: también es un tipo de cifrado por sustitución en el que una letra en el texto
original es reemplazada por otra letra que se encuentra n posiciones más adelante en el
alfabeto.
● Tabla de Vigenere: es un sistema de cifrado por sustitución que utiliza una clave y una tabla
de doble entrada donde se repiten las letras del alfabeto. Es simétrico y trabaja por flujo.
● Cifrado Francmason: cifrado por sustitución simple que cambia las letras por símbolos
basándose en un diagrama.

Definiciones que hay que diferenciar:

● Cifra o cifrado: técnica que, en general, protege o autentica un documento o usuario
aplicando un algoritmo criptográfico. Sin conocer una clave específica o secreta, no será
posible descifrarlo o recuperarlo.
● Esteganografía: estudio y aplicación de técnicas que permiten ocultar mensajes u objetos
dentro de otros de modo que no se perciba su existencia (se basa en esconder al mensaje).
Es distinto a la criptografía dado que la criptografía no busca esconder la existencia del
mensaje, sólo busca hacerlo inentendible.
○ Esteganografía en imágenes: tiene como objetivo la inclusión de textos en imágenes.
La imagen resultante debe cumplir con dos condiciones: invisible a nivel perceptivo
humano e invisible a nivel estadístico. Esta última característica indica que si todas
las imágenes con información oculta presentan una misma característica común,
entonces resultará sencillo para un sistema detectarlo.
● Criptoanálisis: es el camino inverso a la criptografía. Busca obtener el texto plano o llave de
un texto cifrado utilizado para obtener información, normalmente valiosa, que fuera
originalmente encriptada.
● Criptología: es una ciencia compuesta por la Criptografía y el Criptoanálisis.
● Criptografía: ciencia utilizada para cifrar o codificar información de manera que no se
conozca su significado y resulte ininteligible para un probable intruso, a pesar del
conocimiento de su existencia.

CRIPTOSISTEMA

Conceptos generales del criptosistema: definiremos a un criptosistema como una quíntupla (M; C; K;
E; D) donde:

22
 ● M: conjunto de todos los mensajes sin cifrar (lo que se denomina texto plano) que pueden ser
enviados.
● C: conjunto de todos los posibles mensajes cifrados (o criptogramas)
● K: conjunto de claves que se pueden emplear en el criptosistema.
● 𝐸𝐾𝑒(𝑀): conjunto de transformaciones de cifrado o familia de funciones que se aplica a cada
elemento de M para obtener un elemento de C. Entonces: 𝐸𝐾𝑒(𝑀) = 𝐶
● 𝐷𝐾𝑟(𝐶): conjunto de transformaciones de descifrado. Entonces: 𝐷𝐾𝑟(𝐶) = 𝑀

Condición que debe cumplir todo criptosistema: 𝐷𝐾(𝐸𝐾(𝑀)) = 𝑀

Esto quiere decir que si tenemos un mensaje M, lo ciframos empleando la clave k y luego lo
desciframos empleando la misma clave, obtenemos de nuevo el mensaje original M.
Es decir, que es reversible, a diferencia de las funciones de hash.

Espacio de llaves: cantidad de combinaciones posibles en base a la longitud de la llave.

𝑛
2 = 𝑒𝑠𝑝𝑎𝑐𝑖𝑜 𝑑𝑒 𝑙𝑙𝑎𝑣𝑒𝑠 , 𝑐𝑜𝑛 𝑛 𝑠𝑖𝑒𝑛𝑑𝑜 𝑙𝑜𝑠 𝑏𝑖𝑡𝑠 𝑑𝑒 𝑙𝑎𝑟𝑔𝑜 𝑑𝑒 𝑙𝑎 𝑙𝑙𝑎𝑣𝑒

¿Por qué es importante esto? porque la fortaleza de un método de encripción está dada por:
● El algoritmo.
● El secreto de la clave.
● Los vectores de inicialización.
● Cómo trabajan todos estos elementos juntos.

Work factor: la fortaleza también es llamada work factor y hace referencia a una estimación del
tiempo y los recursos que le tomaría a un atacante romper el cifrado.

Servicios de un criptosistema: no todos los algoritmos permiten los mismos servicios.

● Confidencialidad: hacer ininteligible la información salvo por las entidades autorizadas.
● Integridad: asegurar que los datos no han sido modificados de manera no autorizada desde
que fueron cifrados..
● Autenticación: verificar la identidad de un usuario o sistema que crea la información.
● Autorización: una vez probada la identidad el individuo tendrá acceso a los recursos.
● No repudio: asegurar que el remitente no pueda negar el envío del mensaje. Que el otro no
pueda decir “yo no fui”.

Ejemplo: supongamos que su jefe le envía un mensaje diciendo que usted va a recibir un aumento. El
mensaje es encriptado, así que: puede estar seguro de que vino de su jefe (autenticidad), que nadie lo
modificó antes de que llegó a su PC (integridad), que nadie fue capaz de leerlo, ya que viajó a través de
la red (confidencialidad) y que su jefe no puede negar haberlo enviarlo más tarde (no-repudio).

23
CLASIFICACIÓN DE LOS ALGORITMOS DE ENCRIPTACIÓN

Según la naturaleza del algoritmo: un algoritmo puede usar ambas estrategias a la vez.
● Sustitución: se cambian unos símbolos por otros. Ejemplo: cifrado de Caesar, hebreos.
● Transposición: cambian el orden o ubicación de los símbolos. Ejemplo: es como hacer un
anagrama.

Según el número de bits/símbolos cifrados a la vez:

● Bloque: dividen el texto a cifrar en bloques de igual longitud para luego cifrar cada bloque en
forma independiente.
● Flujo: el texto es cifrado símbolo por símbolo (es decir, caracter a caracter) o bit a bit.

Según la clave utilizada:

● Según la reversibilidad:
○ Irreversibles: cifra un texto pero no permite su descifrado. Referido a las funciones de
hash.
○ Reversibles: cifra un texto y permite su descifrado. Referido a algoritmos de
encripción.
● Según la simetría:
○ Simétricos: ambas partes (emisor y receptor) comparten la misma llave de
encripción/desencripción. Requiere de un canal seguro para poder compartir la llave.
○ Asimétricos: se tienen dos llaves por cada extremo, una pública y una privada. Estas
claves trabajan una con la otra dado que la clave privada sólo puede ser
desencriptada con su clave pública.
○ Híbrido: utiliza el simétrico y asimétrico.

Vamos a ver más en detalle los algoritmos simétricos y asimétricos.

ALGORITMOS SIMÉTRICOS

Definición: son llamados “de llave privada” dado que ambas partes (emisor y receptor) comparten la
misma llave de encripción/desencripción. El problema es encontrar un canal seguro para poder
compartir la llave de encripción/desencripción.

𝑁 (𝑁−1)
Número de claves necesarias: 2

24
Fortalezas:
● Es mucho más rápido que los sistemas asimétricos.
● Es difícil de romper si se utiliza una clave de gran tamaño.

Debilidades:
● Requiere de un mecanismo seguro para entregar las llaves correctamente.
● Cada par de usuarios necesita una clave única. De manera que el número de individuos
aumente también lo hará el número de claves, complicando su gestión.

Qué proporciona: proporciona la confidencialidad pero no la autenticidad o no repudio.

ALGORITMOS ASIMÉTRICOS

Definición: se tienen dos llaves por cada extremo, una pública y una privada. Estas claves trabajan
una con la otra: la llave pública se utiliza para encriptar y la privada para desencriptar.

Explicación: supongamos que Marge quiere enviarle un mensaje a Homero. Cada uno posee una
clave privada y una pública (que como su nombre indica, es conocida por todos y no debe ser
protegida).

Entonces, podemos decir que Marge conoce las dos claves públicas y su propia clave privada.
Homero lo mismo pero él conoce su clave privada.

25
Ahora, ¿con qué clave (que Marge conoce) va a encriptar el mensaje para que sólo Homero lo pueda
leer? sólo con la clave pública de Homero. Porque solamente Homero conoce la clave privada que
trabaja en conjunto con la pública para desencriptarlo.

Fortalezas:
● Mejor distribución de la clave que en los sistemas simétricos.
● Mejor escalabilidad que en los sistemas asimétricos.

Debilidades:
● Trabaja más lento que los sistemas simétricos.
● Requiere un gran proceso matemático.

Qué proporciona:
● ¿Cuándo cumple confidencialidad? Si queremos que el mensaje sólo pueda ser
desencriptado por una persona entonces el remitente deberá encriptarlo con la clave pública
del destinatario. De esta forma, solamente podrá desencriptarse con la clave privada del
destinatario. A esto se lo conoce cómo “formato seguro de mensaje”.

● ¿Cuándo cumple la autenticidad? Si la autenticidad es lo más importante, entonces el

remitente cifrará el mensaje con su clave privada. En este caso no se garantiza la
confidencialidad porque cualquier persona que conozca la clave pública del remitente podrá
desencriptar el mensaje.

26
 ● ¿Cuándo cumple no repudio? ¿Qué clave debería usar Marge para que Homero sepa que ese
mensaje sólo lo envió Marge? debería estar firmado con la clave privada de Marge. Es decir,
que si el mensaje está encriptado con la clave pública de Homero y firmado por la de Marge
se cumple confidencialidad (porque sólo Homero lo puede abrir) y no repudio (porque Marge
no puede negar haberlo enviado).

ALGORITMOS HÍBRIDOS

Definición: implica el uso combinado de ambas tecnologías y se lo conoce comúnmente como

“ensobrado digital”. En estos algoritmos el emisor envía dos cosas al destinatario: el mensaje
(encriptado con la clave simétrica) y la clave simétrica (encriptada con la clave asimétrica). Luego, el
destinatario deberá primero desencriptar la clave simétrica con la clave asimétrica y luego podrá
desencriptar el mensaje con la clave simétrica obtenida.

Ejemplos de algoritmos más comunes:

● Simétricos: DES, 3DES, IDEA, Blowfish, RC4, RC5, RC6, AES.
● Asimétricos: RSA, ECC, Diffie-Hellman, El Gamal, DSA, Knapsack.

27
FUNCIONES CRIPTOGRÁFICAS

One way functions: estas son las funciones de hash. Una función one way es aquella que es más fácil
ejecutar en un sentido que en el inverso. Las funciones de hash se utilizan para proveer Integridad.

¿Qué es una función de hash?: se define como una operación que se realiza sobre un conjunto de
datos de cualquier tamaño de tal forma que se obtiene como resultado otro conjunto de datos de
longitud fija llamado “resumen”.
Como dijimos, el “resumen” tiene un tamaño fijo independiente del tamaño original. Este resumen
está asociado unívocamente al dato inicial. Es prácticamente imposible (pero matemáticamente
posible) encontrar dos mensajes distintos que tengan un resumen hash idéntico (esto es conocido
como “colisión de hash”).

Colisión de hash: se produce cuando dos entradas distintas producen la misma salida. Un buen
algoritmo de hash es aquel que sea “libre de colisiones”. El ataque que intenta forzar una colisión se
denomina ataque de cumpleaños. El ataque de cumpleaños es un ataque de fuerza bruta que busca
colisiones probando todas las combinaciones posibles. Se basa en la paradoja del cumpleaños.

Propiedades de las funciones de hash: una función de hash h(M) se considera segura si cumple las
siguientes condiciones
● Unidireccional: conocido un resumen h(M), debe ser computacionalmente imposible
encontrar M.
● Compresión: a partir de un mensaje M de cualquier longitud, el resumen h(M) debe tener una
longitud fija.
● Facilidad de cálculo: debe ser fácil calcular h(M) a partir de un mensaje M.
● Difusión: el resumen h(M) debe ser una función compleja de todos los bits del mensaje M. Si
se modifica un sólo bit del mensaje M el hash debería cambiar la mitad de sus bits
aproximadamente.

Usos de las funciones de hash:

● Contraseñas.
● Firmas digitales*.
● Integridad y autenticación.

Funciones de hash más conocidas:

● MD2, MD4, MD5.
● SHA-1
● RIPEMD-160
● HAVAL

Conceptos:
● Firma electrónica: es un concepto jurídico y hace referencia a cuando una persona física
verifica una acción o procedimiento mediante un medio electrónico.
● *Firma digital: es la firma electrónica certificada por una AC (autoridad certificante). Es el
conjunto de caracteres que se añaden al final de un documento o al cuerpo de un mensaje
para mostrar su validez. Dado que es certificada por una AC, la persona no puede negar
haberlo firmado.
● Certificado electrónico o digital: es un documento informático mediante el cual un tercero
confiable (autoridad certificante) garantiza la vinculación entre la entidad (sea una persona
física o jurídica) y su clave pública. Cosas a tener en cuenta:

28
 ○ Integridad: ¿la firma es válida?
○ ¿Está vigente?
○ ¿Firmado por una AC de confianza?
○ ¿Está revocado?
● Firma digitalizada: alude a la simple representación gráfica de la firma manuscrita obtenida a
través de un escáner.

¿Cómo asegurar que los mensajes no fueron alterados?:

● MAC: se pueden usar para verificar la autenticidad de los mensajes pero no se pueden usar
para firmar los mensajes.

● HMAC: se le aplica una clave secreta a la función de hash. Se la puedo agregar a la clave o al
algoritmo. Como el destinatario conoce la clave secreta puede recalcular la clave MAC y
validar que no hubo manipulación en el medio. Provee integridad.

PREGUNTAS

1. MAC y las firmas digitales se diferencian en un punto importante: aunque los MAC se
pueden usar para verificar la autenticidad de los mensajes, no se pueden usar para firmar

29
 los mensajes ya que sólo se usa una clave secreta que comparten el emisor y el receptor, lo
que hace que ambos puedan generar la misma firma. ¿Es verdadero o falso?
Verdadero.
2. “El acto de obtener el texto-plano o llave de un texto cifrado utilizado para obtener
información, normalmente valiosa, que fuera originalmente encriptada” ¿La definición
anterior corresponde con hash, criptología, criptoanálisis, criptografía o esteganografía?
Criptoanálisis.
3. ¿Cuál de las siguientes cualidades es considerada una ventaja del algoritmo simétrico
respecto del asimétrico? ¿Distribución de la clave, escalabilidad, velocidad o seguridad?
Velocidad.
4. El algoritmo de Vigenere se caracteriza por… (seleccione una o más): Trabaja por
sustitución, trabaja por flujo, es simétrico, trabaja por bloque, trabaja por transposición, es
asimétrico.
Trabaja por sustitución, es simétrico y trabaja por flujo.
5. Uno de los usos de la función de hash es el almacenamiento seguro de contraseñas
¿Verdadero o falso?
Verdadero.
6. ¿Cuál de las siguientes cualidades es considerada una ventaja del algoritmo asimétrico
respecto del simétrico? ¿Distribución de la clave, escalabilidad, velocidad o seguridad?
Seleccione una o más.
Distribución de la clave y escalabilidad.
7. Una colisión de hash es una situación que se produce cuando dos entradas distintas a una
función de hash no producen la misma salida ¿Verdadero o falso?
Falso.
8. “Es una rama de la criptografía que trata sobre el ocultamiento de mensajes para evitar que
se perciba la existencia del mismo” ¿La anterior definición corresponde con: criptología,
hash, esteganografía, criptoanálisis o criptografía?
Esteganografía.
9. Vincular el concepto con la definición: (a) Se trata de un conjunto de datos en forma
electrónica consignados junto a otros o asociados con ellos, que pueden ser utilizados
como medios de identificación del firmante. (b) Es la representación gráfica de la firma
manuscrita obtenida a través de un escáner. (c) Es el conjunto de caracteres que se añaden
al final de un documento o cuerpo de un mensaje e implica la existencia de un certificado
oficial emitido por un organismo o institución que valida la firma y la identidad de la persona
que lo realiza. (d) Es un documento o archivo electrónico que una persona física o jurídica
utiliza para identificarse en una red, autenticada por un tercero o autoridad certificante y la
aplicación de un algoritmo matemático que asocia al mensaje o documento.
(a) Firma electrónica. (b) Firma digitalizada. (c) Firma digital. (d) Certificado digital.
10. Uno de los usos de la función de hash es para verificar la integridad de un mensaje
¿Verdadero o falso?
Verdadero.
11. Homero quiere enviar un mensaje privado a Marge y quiere que nadie más pueda leerlo.
Además quiere que Marge tenga la certeza que lo ha enviado él. Para ello deberá
(seleccione una): (a) Homero utiliza la clave pública de Marge para cifrar el mensaje y su
propia llave pública para firmarlo. (b) Homero utiliza la clave privada de Marge para cifrar el
mensaje y su propia llave pública para firmarlo. (c) Homero utiliza la clave pública de Marge
para cifrar el mensaje y su propia clave privada para firmarlo. (d) Homero utiliza la clave
privada de Marge para cifrar el mensaje y su clave pública para firmar el documento.
(c) Homero utiliza la clave pública de Marge para cifrar el mensaje y su propia clave privada
para firmarlo.

30
12. Para acordar de forma segura, eficiente y escalable una clave secreta como las usadas en
criptografía simétrica (seleccione una): (a) Se le envía la clave secreta por correo
electrónico, o por chat, o por Twitter, o por Facebook o por cualquier otro medio online de
gran velocidad. (b) Se cifra con la clave pública del destinatario. (c) Se le envía la clave
secreta en una memoria USB por remise o moto. (d) Se llama por teléfono, preferiblemente
por Skype para mayor seguridad, al destinatario del mensaje y se le revela la clave secreta
que se usará para cifrar el mensaje.
??
13. ¿Cómo se usan de forma combinada los algoritmos simétricos y asimétricos? Seleccione
una: (a) Una clave simétrica la información y luego la clave asimétrica encripta ambos. (b)
Con la clave asimétrica se encripta la clave simétrica y luego se cifra la comunicación con
esta última. (c) Se usa una clave asimétrica y el resultado se encripta con la clave simétrica.
(d) La clave asimétrica se utiliza para encriptar grandes volúmenes de datos y la simétrica
para pequeñas porciones de datos.
(b)

31
Protección de datos

INTRODUCCIÓN

Data: los siguientes conceptos significan cosas distintas pero en la realidad se usan indistintamente
como si significaran lo mismo.
● Loss: es la pérdida de datos por un error voluntario o involuntario. En algunos casos los datos
son irrecuperables.
● Breach: se trata de un ataque con el objetivo de robar datos e información.
● Leak: se trata de una violación de datos que ha quedado expuesta en internet.

Incidente vs. brecha: un incidente no necesariamente genera una brecha de información. En cambio,
una brecha necesariamente es un incidente.
● Incidente: un evento de seguridad que compromete la integridad, confidencialidad o
disponibilidad de un activo de información.
● Brecha: un incidente que resulta en la divulgación de datos a una parte no autorizada.

CICLO DE UN DATA BREACH

Research: el atacante busca debilidades que pueda explotar, es decir, por dónde podría obtener
información.

Stage attack: el atacante comienza el ataque por distintos medios.

● Ingeniería social: se emplean distintas técnicas de la ingeniería social.
● Debilidades en la infraestructura: si el atacante detecta alguna debilidad en la infraestructura
del sistema, la aprovechará, ya sea en el FW, sitio web o en el servidor web.
Esta etapa continuará hasta que el atacante considere haber obtenido toda la información deseada o
hasta que considere que haya conseguido el acceso a la network que deseaba.

Exfiltrate: una vez que el atacante haya accedido al sistema puede comenzar a exfiltrar información
personal de la base de datos y file servers (como información personal, direcciones de email,
información de tarjetas de crédito, etc).

TIPOS DE INFORMACIÓN

Datos estructurados: es la información que se encuentra almacenada habitualmente en bases de

datos relacionales, ordenados en registros y columnas, de manera que se estructuran en formato
tabla, teniendo un título para cada categoría de datos que permita poder identificarlos. En la mayoría
de los casos se trata de archivos de texto.

Datos no estructurados: forman la mayor parte de la información relevante para una organización.
Por lo general, son datos binarios que no tienen una estructura interna identificable. Es decir, sí
poseen una estructura interna, pero esta no está sujeta a esquemas o modelos de datos predefinidos,
por lo que estamos ante un conjunto desorganizado de varios objetos sin valor hasta que se
identifican y se almacenan de manera organizada.

First party data: es la información que genera u obtiene el mismo sistema a través de sus propias
fuentes, como su página web, redes sociales, el CRM, etc.

32
3rd party data: es toda aquella información que el sistema obtiene a través de proveedores de datos
externos.

Data lakes: es un repositorio de almacenamiento que contiene una gran cantidad de datos en bruto y
que se mantienen allí hasta que sea necesario. A diferencia de un data warehouse jerárquico que
almacena datos en ficheros o carpetas, un data lake utiliza una arquitectura plana para almacenar los
datos.

¿Por qué es importante? Too much data.

ETAPAS DE PROTECCIÓN DE DATOS

Fase 1:
● Alcance y objetivos: hay que definir qué vamos a proteger y con qué alcance. La organización
tiene que operar con ética y compromiso, sabiendo que debe proteger la información
personal de sus usuarios. Hay que considerar:
○ Leyes y regulaciones.
○ Nivel de madurez.
○ Objetivos de negocio.
○ RSE, cultura organizacional.
● Roles y responsables:
○ Encargado de tratamiento de datos.
○ Titular.
○ Custodio.
○ Dueño.
○ Delegado de protección de datos (DPO): tiene muchas responsabilidades
- Informar y asesorar.
- Supervisar el cumplimiento.
- Punto de contacto con la autoridad de control.
○ Chief Security Officer (CSO).
● Marco normativo: define las bases/reglas.

33
 ¿Por qué es importante clasificar la información?: porque no se puede proteger todo por
igual. La norma ISO 27001 establece que es necesario “asegurar que la información recibe un
adecuado nivel de protección acorde a su nivel de clasificación”.

¿Cómo se clasifica la información? se clasifica en función a su valor, requerimientos legales,

sensitividad y criticidad. Por lo general se la clasifica en etiquetas respondiendo a las
siguientes preguntas:
- ¿Cuál es su uso?
- ¿Cuál es su valor?
- ¿Qué regulación/leyes aplican?
- ¿Qué consecuencias sufriría la organización en el caso de una brecha?
- ¿Quiénes pueden acceder a ella?

Las etiquetas por lo general son:

- Restringida: es información que es más protegida que la confidencial y tiene muchas
más restricciones, por ejemplo, no se puede copiar.
- Confidencial: esfuerzo muy grande respecto del need to know. Hay trazabilidad.
- Privada: no es irrestricta para todo el mundo.
- Pública: de acceso irrestricto (para gente fuera o dentro de la organización).

Fase 2:
● Inventario de datos: sólo se puede proteger y conservar aquello que se conoce y se valora.
Entonces, ¿cómo proteger la información si no sé cual es la información a proteger? Hay 2
técnicas:
○ Relevamiento de flujos: conocer el ciclo de vida de los datos.
○ Análisis exploratorio: identificar información en repositorios.
● Análisis de riesgos y brechas: ya vimos análisis de riesgos. Repasamos las etapas:

Data breach - vectores de fuga:

34
● Planes de protección: antes se usaba el enfoque tradicional que era proteger a la información
de acuerdo a su estado (en uso, en transmisión o en reposo). En estos últimos años, con la
virtualidad, ha habido un cambio de paradigma dado que la información debía estar
disponible desde cualquier sitio, utilizando cualquier dispositivo y, por lo tanto, expuesta a
amenazas globales.
Entonces, se cambió de un paradigma basado en perímetro, contenedor y contenido a un
paradigma basado en etiquetas donde lo que importa es quién es el dueño de la información.
Este dueño definirá qué es importante y qué no es importante proteger.

Protección del repositorio: control de acceso, encriptación, hashes, enmascaramiento, ACL´s,

FW, backups, etc.

Control de accesos: basado en el principio de mínimo privilegio y need to know.

- Repositorio: segregación de funciones, certificación de roles, security by design,
privacy by design, certificación de usuarios.
- Cuentas privilegiadas: las soluciones PAM (Privileged Access Management) son un
conjunto de tecnologías diseñadas para ayudar a las organizaciones a abordar los
problemas inherentes relacionados con las cuentas privilegiadas.

Orquestación de medidas:

35
 UEBA: analizar comportamiento del usuario. Detecta patrones que identifica como amenaza
o ataque.

Prevención orientada al perímetro - prevención de pérdida de datos (DLP): es un sistema que

realiza el escaneo de datos en tiempo real en reposo y en movimiento, evalúa los datos
contra definiciones de políticas existentes, identifica violaciones de políticas y
automáticamente aplica algún tipo de acción de corrección, como alertar a usuarios y
administradores, poner en cuarentena archivos sospechosos, encriptar datos o bloquear el
tráfico directamente.

Prevención orientada al perímetro - Cloud Access Security Broker (CASB): es un punto de

control de visibilidad y política que se encuentra entre usuarios y aplicaciones en la nube.

Protección orientada en contenido - filtrado de contenidos: es un programa diseñado para

limitar o filtrar el contenido que se observa en los distintos sitios web que se puede ver en un
dispositivo.

Protección del endpoint: antivirus, EDR, XDR, monitoreo, mínimo privilegio, configuración
segura y parcheo, etc.

Fase 3:
● Revisiones y auditorías: criterios
○ Frecuencia.
○ Modalidad.
○ GAP/informes de brecha.
○ Análisis de métricas.
○ 3ras partes.
● Mejora continua: evaluar+detectar+prevenir.
● Capacitación y concientización

36
Ley de protección de datos personales

TRES CONCEPTOS A DIFERENCIAR

Data privacy: hace referencia a la finalidad, condiciones de uso y nivel de pertinencia de los datos en
sí. Es lo que más relacionado está con la legalidad del tratamiento de esos datos. Lo que se discute
es si corresponde que yo (aplicación, empresa, etc) haga tratamiento de esos datos.

Data protection: está muy vinculado con data security pero hace referencia a una medida concreta
para impedir que una fuga tenga lugar.

Data security: todo lo que uno dispone para evitar que una información sea comprometida.

ANTES DE QUE SURGIERA LA LEY

Concepto: antes de que surgiera la ley de datos personales, en Argentina ya existía otra ley que
trataba este tema:

Artículo 43 de la Constitución Nacional: "...Toda persona podrá interponer esta acción para tomar
conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de
datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación,
para exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá
afectarse el secreto de las fuentes de información periodística...".

Ley de Protección de Datos Personales: "La presente ley tiene por objeto la protección integral de los
datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de
tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el
derecho al honor y a la intimidad de las personas, así como también el acceso a la información que
sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la
Constitución Nacional.
Las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los
datos relativos a personas de existencia ideal. En ningún caso se podrán afectar la base de datos ni
las fuentes de información periodísticas".

Personas de existencia ideal:

MARCO LEGAL

Concepto: la ley se publicó en el año 2000 pero tiempo después las leyes se reglamentan.
“Reglamentar” es definir el “cómo aplicar esa ley”.
Entonces, está ley se publicó el 2 de noviembre del 2000 y, como toda ley, comenzó a ser obligatoria a
partir de 8 días después de su publicación.

Globalización:

37
DERECHO A LA INTIMIDAD

Definición: esta ley proclama un derecho muy importante que es el Derecho a la Intimidad, o también
conocido como el “derecho a que me dejen sólo”. Este derecho nos protege de lo que se llama
“intromisión arbitraria”. ¿Qué es esto? es básicamente que no se metan en mis cosas
privadas/personales.
Esto tiene fundamentos:
● Autodeterminación informativa: es la potestad de uno de gobernar qué información tienen de
uno mismo. Se trata simplemente del derecho a controlar los datos que hacen a una persona.
Es un aspecto de la libertad. Busca proteger la intimidad, el honor, la imagen y la identidad.
● Anonimato:
Esto también está respaldado por el artículo 19 de la constitución nacional: “Las acciones privadas
de los hombres que de ningún modo ofendan al orden y la moral pública ni perjudiquen a un tercero,
están reservadas a Dios y exenta de la autoridad de los magistrados ...”.

Clasificación de los datos: esta clasificación es muy importante dado que define si esos datos están
alcanzados o no por la ley. Hay datos que, si pueden identificar a una persona van a ser llamados
personales y sino, no serán considerados personales. Es decir, los datos personales son todos
aquellos que definen atributos que permiten establecer una relación directa con una persona de
existencia física o jurídica. En cambio, los datos no personales son aquellos que no pueden asociarse
a una persona determinada.

Banco de datos: son mencionados en la ley. Un banco de datos es un sistema automático de

acumulación, conservación, elaboración y registro de datos de cualquier naturaleza.

38
¿Cuándo es lícita la formación de archivos/bases de datos? cuando se encuentren debidamente
inscriptos.

Bancos de datos públicos y privados: no se refiere a que hay bases de datos que pueden consultarse
públicamente, sino que se refiere a que hay bases de datos administradas por organismos públicos y
otras administradas por organismos privados.
Ejemplos de bancos de datos públicos:
● Registro de la Propiedad Inmueble.
● Registro Nacional de Reincidencia.
● Registro de Procesos Universales.
● Registro Nacional de Estadística y Censos.

PREMISAS

Datos personales: deben cumplir con ciertas características. Deben ser:

● Ciertos
● Adecuados: quiere decir que yo no debería guardar información que no guarde relación con la
finalidad de mi organización o servicio.
● Pertinentes: muy similar al anterior.
● No excesivos: solamente deben guardarse los datos necesarios.

¿Cómo se debe efectuar la recolección de los datos personales? la recolección de los datos no
puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la ley.

¿Se pueden usar los datos personales para otras finalidades distintas a las que motivan su
obtención? No, no pueden ser usados para finalidades distintas o incompatibles con aquellas que
motivan su obtención.

¿Durante cuánto tiempo debo mantener los datos personales? estos deben ser destruidos cuando
hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados o
mientras el titular de esos datos no solicite que se revoquen.

¿Es necesario mi consentimiento para que se puedan tratar datos sobre mi persona? el tratamiento
de datos es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado.
● Libre: se obtuvo de buena voluntad.
● Expreso: debe decir explícitamente “doy mi consentimiento para que utilicen mis datos para
tales razones”.
● Informado: hay que detallarle al usuario qué se le está pidiendo exactamente.

¿En qué casos no es necesario el consentimiento? no será necesario cuando

● Los datos se obtengan de fuentes de acceso público irrestricto (por ej, los padrones
electorales).
● Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una
obligación legal (por ej, AFIP).
● Se trate de listados cuyos datos se limiten a nombre, documento, identificación tributaria o
previsional, ocupación, fecha de nacimiento y domicilio.
● Deriven de una relación contractual, científica o profesional del titular de los datos y resulten
necesarios para su desarrollo o cumplimiento.

39
Revocación del consentimiento: el titular puede darme el consentimiento pero después arrepentirse y
esto es completamente válido. El consentimiento puede ser revocado en cualquier momento. Esta
revocación no tiene efectos retroactivos.

DATOS SENSIBLES

Definición: son aquellos que están referidos a la vida íntima de las personas o que refieren a
aspectos de su personalidad (ideas políticas, religión, etnia, rasgos estéticos, salud, posición
económica, orientación sexual).

¿Estoy obligado a proporcionar datos sensibles?: ninguna persona puede ser obligada a proporcionar
datos sensibles.
Los establecimientos sanitarios y los profesionales de la salud pueden recolectar y tratar los datos
personales relativos a la salud, respetando el secreto profesional.

Tratamiento de datos sensibles: pueden tratarse cuando

● Consentimiento explícito del interesado.
● Para respetar derechos y obligaciones laborales (si está autorizado por ley y hay garantías
adecuadas). Por ej, si alguien es discapacitado y necesita cierto beneficio.
● Datos que el interesado ha hecho públicos.

DATOS PERSONALES

Derechos que tengo como titular de datos personales:

● Derecho de acceso: de forma gratuita cada 6 meses.
● Derecho de bloqueo: revocación del consentimiento.
● Contenido de la información: la información que me dan debe ser entendible por el medio de
la población.
● Derecho de rectificación, actualización o suspensión: corresponde en los siguientes casos
○ Datos falsos
○ Datos inexactos
○ Datos desactualizados
○ Datos discriminatorios

HABEAS DATAS

Definición: es una acción jurisdiccional que confirma el derecho de cualquier persona física o jurídica
para solicitar y obtener la información existente sobre su persona y de solicitar su eliminación o
corrección si fuera falsa o estuviera desactualizada.

40
Compliance

CONCEPTOS BÁSICOS

Ley: la ley es la norma jurídica obligatoria emanada de la potestad legislativa del Estado. Como toda
norma, la ley prescribe conductas, pero estas conductas son de cumplimiento obligatorio y el
individuo que no las cumpla será sancionado .

Regulaciones: son normativas que aplican a organizaciones de una industria en particular. Es decir,
no todo el mundo debe cumplirlas, solamente ciertas organizaciones dedicadas a una actividad.
Ejemplos:
● Reglamento general de protección de datos (GDPR): es de cumplimiento para toda
organización que tenga datos de ciudadanos europeos.
● Health information privacy (HIPAA): regula al sector de salud.
● Resolución de banco central (BCRA 4609): dispone a los bancos la obligatoriedad de tomar
determinadas medidas.
● Payment Card Industry Compliance (PCI): normas para la industria de las tarjetas de crédito.

Normas, metodologías o estándares: son formas de hacer cosas de formas estándares. Es decir, es
una serie de reglas o directrices aprobadas por una institución reconocida que indican cuál es la
forma estándar de realizar un procedimiento o tarea para obtener un resultado óptimo. Esto me
asegura por un lado garantía de calidad y por otro lado me asegura un camino seguro. Ejemplos:
● Open source security testing methodology manual.
● International standards organization: normas ISO 2700x.
● Cloud security alliance.
● Departamento de defensa de USA: orange book.
● The open web application security project (OWASP).

Certificaciones: es un procedimiento mediante el cual un organismo autorizado valida la calidad del

sistema aplicado por una organización, verificando si la misma cumple o no lo dispuesto por un
determinado modelo de calidad reconocido y oficial.

LEYES

Ley de protección de datos personales: fue publicada en el año 2000 y está explicada en un capítulo
a parte.

Ley de delitos informáticos: fue sancionada en el 2008 y no implica la creación de nuevos delitos
sino que se modifican ciertos aspectos de los existentes para alcanzar a las nuevas tecnologías. Por
ejemplo, cuando le hackearon el mail a Lanata no se consideraba análogo a haberle robado su
correspondencia física (que sí era un delito en ese entonces). Y lo es, por eso se tuvieron que crear
estas leyes.
● Pornografía infantil por Internet u otros medios electrónicos.
● Violación, apoderamiento y desvío de comunicación electrónica.
● Intercepción o captación de comunicaciones electrónicas o telecomunicaciones.
● Acceso a un sistema o dato informático.
● Publicación de una comunicación electrónica.
● Acceso a un banco de datos personales.
● Revelación de información registrada en un banco de datos personales.

41
 ● Inserción de datos falsos en un archivo de datos personales.
● Fraude informático.
● Daño o sabotaje informático.

Otras leyes:
● Ley de firma digital.
● Ley de protección de la información en la APN.
● Ley de prevención de uso no adecuado de recursos informáticos en APN.
● Ley de propiedad intelectual.

COMPLIANCE

Definición: actuar conforme a una ley, regla, política o norma.

Función del compliance: busca determinar y asegurar el grado de cumplimiento de las normas
internas y externas que rigen la organización, a la vez que evalúa el impacto de su incumplimiento.

Riesgo: la potencial pérdida monetaria o daño en la reputación derivados de la violación de tales

normas.

Funciones de este área:

● Desarrollar un proceso para identificar, clasificar y administrar el riesgo de cumplimiento.
● Formalizar y actualizar los conocimientos asociados a todo el personal de la organización.
● Asegurar la adecuada aplicación de los procedimientos asociados al cumplimiento
regulatorio tanto externo como interno.
● Evaluar que los riesgos inherentes a la actividad no puedan impedir el logro de los objetivos
de la organización.
● Identificar las tareas de cumplimiento y asignar recursos apropiadamente.
● Asegurarse que los problemas de cumplimiento sean detectados y corregidos lo antes
posible en función a su potencial impacto.
● Establecer mecanismos de evaluación para identificar y mitigar el riesgo de cumplimiento.

Sus funciones se pueden resumir en estas preguntas:

1. ¿Qué cosas hay que cumplir?
2. ¿Cuáles son los requerimientos de cada una de esas leyes, normativas, etc?
3. ¿Qué controles debemos implementar?

42
Elementos del programa de integridad:

● Cultura de compliance: significa el compromiso del órgano de gobierno y la máxima dirección

con el cumplimiento de las normas y las acciones que se derivan de ese compromiso.
● Objetivos de compliance: determinando los propósitos de la organización en materia de
Compliance para medir después si se están alcanzando o no.
● Riesgos de compliance: supone identificar, analizar y valorar los riesgos de incumplimiento
que afectan a la organización.
● Programa de compliance: políticas y procedimientos que permiten prevenir, detectar y
gestionar los riesgos previamente identificados.
● Organización de compliance: fijar la estructura de gobierno, las funciones, responsabilidades
y recursos necesarios para que el sistema funcione.
● Comunicación de compliance: tanto dentro de la organización como hacia terceros.
● Monitoreo y mejora: debe poder comprobarse la efectividad del modelo de compliance y su
adecuación continua a las circunstancias de la organización.

FAMILIA ISO 27XXX

Definición: las ISO se agrupan en familias de acuerdo a industrias. A nosotros nos interesan las 27
mil (que son todas las que tienen que ver con la seguridad de la información). Las ISO se compran.
Acá vemos algunas de las ISO 27xxx.

43
CERTIFICACIÓN

Definición: la certificación es un proceso mediante el cual una entidad de certificación externa,

independiente y acreditada audita el sistema determinando su conformidad con ISO/IEC, su grado de
implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.
¿Por qué certificar? para poder mostrar al mercado y clientes que la organización tiene un adecuado
sistema de gestión de la seguridad de la información (SGSI).
Certificar no significa eliminar los riesgos. Los riesgos nunca se eliminan. Se gestionan. La norma
simplemente acredita que tengo un SGSI. La norma no va a decir que yo eliminé los riesgos sino que
tomé las acciones necesarias para gestionarlos.
¿Una vez que cumplo una certificación, la puedo perder? sí. Hay que hacer el proceso de
recertificación para no perderla.

Alinear vs. certificar: alinearse a una ISO es seguirla mientras que estar certificado implica que un
organismo certificado validó el cumplimiento de la norma.
Estoy certificado → estoy alineado.
Estoy alineado --x--> no quiere decir que esté certificado.

Proceso de certificación:

La primera etapa (auditoría inicial) se conoce como GAP: (gap entre lo que estoy haciendo y lo que
debería estar haciendo).

GAP: ¿cómo se mide? se debe conocer el nivel de cumplimiento actual para así determinar el nivel
mínimo aceptable y el nivel objetivo en la organización.
● Nivel mínimo aceptable: mínimas garantías de seguridad necesarias para trabajar con la
información corporativa.
● Nivel objetivo: estado de seguridad de referencia para la organización, con alto grado de
cumplimiento de ISO.

44
DOMINIOS DE LA ISO

¿Cómo se estructura la ISO?:

Dominio de control: por ejemplo: “gestión de

comunicaciones y operaciones”.

Objetivos de control: el objetivo de control

no me dice el cómo, me dice el qué. Por
ejemplo: “proteger la integridad del software
y de la información”.

Controles: por ejemplo: “se deberán

implementar controles para detectar el
software malicioso”.

45
Ingeniería social

INGENIERÍA SOCIAL

Definición: conjunto de técnicas para influenciar a una persona a hacer algo (bueno o malo).

Cómo influenciar a la gente (Dale Carnegie):

● Interesarse por los demás.
● Sonreir.
● Llamar a la gente por su nombre.
● Animar a los demás a que hablen de sí mismos.
● Hablar pensando en lo que le interesa al otro.
● Hacer que la otra persona se sienta importante.

4 principios de la ingeniería social (Kevin Mitnick):

● Todos queremos ayudar.
● El primer movimiento es siempre de confianza hacia el otro.
● No nos gusta decir que no.
● A todos nos gusta que nos alaben.

Quién es un ingeniero social: el ingeniero social emplea las mismas técnicas de persuasión que
utilizamos todos los demás a diario: adquirimos normas, intentamos ganar credibilidad, exigimos
obligaciones recíprocas. Pero, el ingeniero social aplica estas técnicas de una manera manipuladora,
engañosa y muy poco ética, a menudo con efectos devastadores.

Principios psicológicos en las tácticas de los ISs:

● Adoptar los rasgos de un rol.
● Credibilidad (se construye): establecer la credibilidad constituye el primer paso en la mayoría
de los ataques de ingeniería social. Existen 3 métodos que utilizan los IS para construir
credibilidad.
○ El IS simula ir en contra de su interés personal.
○ El IS advierte a la víctima de algo que (sin que la víctima lo sepa) ha provocado el
propio atacante.
○ El IS ayuda a la víctima a resolver un problema que él mismo ocasionó.
● Desviar la atención del pensamiento sistémico: hay dos pensamientos, el sistémico y el
heurístico. Cuando recibimos un mensaje nuestro cerebro puede analizarlo por estos dos
canales.
○ Sistémico: es el pensamiento racional y detenido. Implica analizar en profundidad el
mensaje recibido.
○ Heurístico: son atajos mentales que tomamos para tomar decisiones en situaciones
donde no somos capaz de emplear el pensamiento sistémico, por lo tanto, somos
propensos a no analizar el mensaje correctamente y tomar malas decisiones.
● Ganarse la simpatía de la víctima.
● Miedo: intimidar al otro. Volverlo susceptible. Reactancia e intimidación.
● Causar que el objetivo adopte un rol.
● El deseo de ayudar (de la víctima): todas las personas quieren ayudar. El IS sabe que si
necesita algo sólo tiene que pedirlo de la forma correcta. El secreto del éxito en obtener
cosas está en la manera de pedirlas.

46
CANALES

Canales para la comunicación: hay dos canales para comunicarse con una persona. El canal principal
es el comunicacional. El canal “alternativo” (y el que trata de usar el IS) es el canal emocional porque
el IS trabaja con las emociones y quiere desviar a la víctima de su pensamiento sistémico.

Sesgo cognitivo: ¿cómo hace el IS para cambiar de un canal a otro?. Lo hace con el sesgo cognitivo,
que es un efecto psicológico que produce una desviación en el procesamiento mental, lo que lleva a
una distorsión, juicio inexacto, interpretación ilógica, o lo que se llama en términos generales
irracionalidad, que se da sobre la base de la interpretación de la información disponible.​

Ceguera paradigmática: las personas sólo pueden ver lo que están preparadas para ver.

Escalera de inferencias o brincos de abstracción:

● 1er escalón - datos objetivos de la realidad: las observaciones o hechos inmediatamente
verificables por cualquier observador.
● 2do escalón - interpretaciones: la explicación que uno elabora acerca de lo que está
ocurriendo, sus causas y consecuencias.
● 3er escalón - creencias o premisas básicas: las interpretaciones que tenemos acerca de lo
que nos pasa.
● 4to escalón - conclusiones y decisiones: acerca de cómo vamos a actuar en base a lo que
vemos.

LENGUAJE CORPORAL

Definición: lo que decimos sólo forma el 7% de la comunicación. El lenguaje corporal representa el

55% y la tonalidad de la voz el 38%.

47
SISTEMAS DE REPRESENTACIÓN

Programación neurolingüística (PNL): es una práctica que estudia la forma en que los seres
humanos se vinculan con su entorno para percibir, representar y comunicar sus experiencias.
Existen 3 canales de percepción:
● Visual: basado en lo que se puede ver.
● Auditivo: basado en sonidos.
● Kinestésico: basado en los sentimientos y sensaciones.
Para poder influenciar a una persona hay que saber cuál es su sistema de representación
predominante. Todos los individuos en realidad tienen los 3 canales pero siempre uno es más
predominante que otro.

Expresiones que denotan el canal que se está usando:

● Visual:

● Auditivo:

48
 ● Kinestésico:

ATAQUES

Tipos de ataques:
● Ataque técnico:
○ No hay contacto directo interpersonal con las víctimas.
○ El atacante trata de obtener información sensible de los usuarios.
○ Suele ser muy exitoso.
● Ataque al ego:
○ El atacante apela a la vanidad o ego de la víctima.
○ Usualmente atacan a alguien que parezca frustrado con su situación laboral.
○ La víctima trata de probar cuán inteligente o conocedor es y provee información o
incluso acceso a sistemas o datos.
○ El atacante puede pretender ser una autoridad de la ley y la víctima se sentirá
honrada de ayudar.
○ La víctima usualmente nunca se da cuenta.
● Ataque de simpatía:
○ El atacante pretende ser un nuevo empleado, contratista o vendedor.
○ Existe alguna urgencia de completar una tarea u obtener alguna información.
○ El atacante dice que necesita asistencia o perderá su trabajo o estará en problemas.
○ El atacante juega con la simpatía de la víctima.
○ El atacante pide ayuda hasta que encuentra a alguien que pueda ayudarlo.
○ Suele ser un ataque muy exitoso.
● Ataque de intimidación:
○ El atacante pretende ser alguien con influencias y trata de usar su autoridad para
forzar a la víctima a cooperar.

49
 ○ Si hay resistencia por parte de la víctima utiliza la intimidación o amenazas.

Contramedidas a ataques:
● Concientización.
● Separación de tareas.
● Rotación de tareas.
● Mecanismos robustos de autenticación.
● Mínimo privilegio.
● Acceso controlado.
● Logging y auditoría.
● Políticas.
● Clasificación de la información.

¿DÓNDE ESTÁ LA INFORMACIÓN?

Definición: la información de una organización está dispersa por muchos lugares. Por ejemplo:
● Conversaciones telefónicas.
● El sitio de trabajo.
● La basura.
● Internet.
● Fuera de la oficina.

Técnicas para sacar información de los espacios de trabajo:

● Acceso físico no autorizado.
● Tailgating, piggybacking (cuando una persona autorizada proporciona acceso a través de un
portal a otra persona que camina en la misma dirección o en dirección opuesta -quizás
incluso sin saberlo).
● Shoulder surfing.
● Robar, fotografiar o copiar documentos sensibles.
● Pasearse por los pasillos buscando oficinas abiertas.
● Acceder al cuarto de servidores e instalar sniffers o robar equipos con datos.
● Dumpster diving.
● Oversharing en redes sociales.

LA TEORÍA DE LOS 6 GRADOS (SMALL WORLD)

Definición: parte de la tesis de que cualquier persona del mundo puede estar conectada a cualquier
otra persona del planeta a través de una cadena de conocidos que no tiene más de 5 intermediarios,
conectando a ambas personas con sólo 6 enlaces.

50
OSINT

FORMAS DE BUSCAR INFORMACIÓN

OSINT: quiere decir “búsqueda de información en fuentes abiertas” y es una disciplina útil para
procesar información. Está relacionada con encontrar, seleccionar y adquirir información de fuentes
públicas, para luego analizarla y utilizarla para acciones de inteligencia. Sigue los siguientes pasos:

Ventajas:
● Menor coste: los recursos materiales y humanos necesarios para realizar trabajos de OSINT
son menores. Si comparamos, por ejemplo, los recursos que hacen falta para obtener
información por medio de OSINT con respecto a otras formas como HUMINT o IMINT,
observamos que OSINT es mucho más económico y eficiente
● Accesibilidad completa: teniendo conexión a Internet, la accesibilidad a la información es
inmediata independientemente de la ubicación del analista OSINT.
● Legalidad: tiene que ver con si es una investigación pasiva o activa. Como es información
pública entonces es legal consultarla (la información está disponible y accesible pero
podemos dudar de su veracidad dependiendo de la fuente).
● Bajo riesgo: se desarrolla en lugares que reúnen condiciones aceptables de seguridad para el
analista, pero también para mantener el anonimato, confidencialidad y secreto de la
investigación en curso.

Desventajas:
● Gran volumen de datos: cantidad ingente de datos, que deben ser analizados para ser
considerados de valor. Por supuesto, existen muchas herramientas automatizadas para este
propósito, pero el tremendo volumen de datos seguirá siendo un desafío. Es el fenómeno de
la infoxicación.
● Fiabilidad de las fuentes: la evaluación y validación de las fuentes de información mediante
OSINT es muy complicada.
● Esfuerzos humanos: es necesario saber si los datos recolectados son confiables y de interés.

¿Para qué sirve OSINT?:

● Anticiparse a acontecimientos: ataques DDoS, atentados terroristas, etc.
● Analizar robos y fugas de información de empresas, gobiernos, etc.
● Investigar a personas, organizaciones, objetivos, eventos, etc.
● Monitorizar lo que se habla en redes sociales, foros, chats y blogs.
● Analizar las relaciones entre personas, empresas, asociaciones, partidos, etc.
● Detectar fallos de configuración que impliquen la exposición de información.
● Monitorear e investigar páginas fraudulentas y phishing.

51
 ● Monitorizar tendencias sobre lo que se habla en Internet de una organización, producto,
persona, etc.

¿Qué tipo de información se puede obtener?:

● Domain Owner Information
● IP Address Owner Information
● Social Media
● Metadatos
● Geolocalización
● Mensajería Instantánea
● Archivos
● Documentos
● Usernames

Humint: antes de OSINT existía HUMINT. Quiere decir “human intelligence” y se corresponde con una
serie de disciplinas que tienen como objetivo la captura de información de inteligencia.
● Agentes secretos
● Informantes
● Espías
● Personas encubiertas o infiltradas
● Colaboradores
Humint tiene un costo muy alto mientras que OSINT es prácticamente gratis.

Sigint: quiere decir “signal intelligence” y su objetivo principal es analizar y desencriptar señales (ya
sean de radio, televisión, telefonía, internet, etc).

Imint: quiere decir “imagery intelligence” y es la inteligencia de imágenes derivadas de fotografías

aéreas o satelitales.

ANATOMÍA DE UN ATAQUE

Concepto: cuando hablamos de la anatomía de un ataque hacemos referencia a las fases que
involucra la realización de un ataque. Muchas veces empezamos con la recopilación de información,
podemos buscar esa información en fuentes abiertas.

¿Qué fuentes de información hay?:

● Abiertas: se obtienen por OSINT. Es de libre disponibilidad.
● Cerradas: son aquellas que tienen controles de acceso específicos. La información
usualmente está clasificada.
● Primarias:
● Secundarias o terciarias:

52
 ● Públicas: es aquella que no tiene acceso restringido a alguien, están disponibles para toda la
población. Gestionada por organismos públicos. Accesible desde Internet o personalmente.
● Privadas: también tienen controles de accesos pero con una identificación se puede soslayar.
Es manejada por empresas dedicadas a comercializar información. Puede no tratarse de la
fuente original.

Dos técnicas:
● Agregar: se refiere al proceso a través del cual se puede obtener información a la que no se
tiene acceso mediante la utilización de datos a los que sí se puede acceder.
● Inferir: la información combinada tiene un nivel de sensibilidad mayor que las partes que la
componen.

Búsqueda tradicional de información:

● Archivos
● Periódicos y revistas
● Bibliotecas
● Boletines oficiales
● Investigación de campo
● Buzones
● Páginas blancas y amarillas
● Satélites
● Cementerios

Métodos de obtención de OSINT

● Pasiva: es la más empleada, teniendo en cuenta que la finalidad es obtener información
sobre el objetivo sin que este tenga conocimiento de ello. Para llevar a cabo la obtención de
forma pasiva es imprescindible adoptar una serie de precauciones desde el punto de vista
técnico, de tal forma que nuestra presencia en la red pase totalmente desapercibida, siendo
anónima y segura para el analista OSINT. La información obtenida con este tipo de obtención
es limitada dado que no se pone en evidencia (mediante consultas, chequeos, solicitudes de
acceso a servidores, etc.) la presencia del analista OSINT.
● Semi pasiva: con este tipo de obtención el analista genera tráfico en la red a través de
consultas al equipo (un servidor, por ejemplo) donde se encuentra alojada la información
pública que nos interesa. Las consultas se deben realizar con la mayor discreción posible. Se
obtiene más información que en el caso de una obtención pasiva. En forma semi-pasiva el
analista OSINT asume más riesgos de ser detectado por el objetivo, ya que desconoce las
medidas de seguridad existentes, pudiendo tratarse de un honeypot o trampa.
● Activa: el analista interactúa directamente con el target u objetivo. El trabajo de obtención se
lleva a cabo de forma persistente sobre los recursos del objetivo. Con este método de
obtención se realizan consultas continuas al servidor, con lo cual, este método no es nada
discreto. Con la obtención activa se consiguen más datos que las metodologías anteriores.
Con los conocimientos adecuados, se podría borrar el rastro después de haber accedido a
dicho dispositivo o servidor.

Anonimización: hace referencia a las formas de ocultar la identidad.

53
INFORMACIÓN EN REDES SOCIALES

Información en redes sociales:

● Información personal
● Información orientada al ocio
● Información orientada a lo laboral
● Relaciones personales
● Opiniones
● Fotos
● Documentos
● Notas

Búsqueda de información en Twitter, ¿qué puedo encontrar?: nombre, imágenes, email, dispositivos,
publicaciones, seguidores, otras redes sociales y ubicación.

La búsqueda de información en Twitter se puede automatizar, por ejemplo, con las siguientes
herramientas:

54
Operadores para buscar información en Twitter:

Otro: https://tweetbeaver.com/ me permite bajar tweets con un montón de datos.

Tinfoleak es otra plataforma donde puedo obtener el dispositivo que más usa la persona para
conectarse a Twitter. Omnisci es otra plataforma que mide tendencias. Otro proyecto para hallar las
redes sociales de una persona: https://github.com/sherlock-project/sherlock

¿DÓNDE SE PUEDE ENCONTRAR INFORMACIÓN?

55
Buscadores: sistema que opera indexando archivos y datos en la web para facilitar la búsqueda de
los mismos con sólo ingresar una palabra clave. Al entrar el término, la aplicación devuelve un listado
de direcciones Web en las cuales dicha palabra está incluida o mencionada.

Crawler: también conocido cómo “araña de la web”, es un software o web spider bot que se encarga
de recorrer los enlaces de las páginas webs de una forma automática y sistemática.
Normalmente, un crawler dispone de un conjunto inicial de URLs que el crawler debe visitar. Es decir,
recolecta URLs para posteriormente procesarlas. Así, el motor de búsqueda creará un índice de las
páginas descargadas para proporcionar búsquedas más rápidas.

El funcionamiento de las estas arañas web es el siguiente:

● Visitan una serie de URLs.
● Se descarga el contenido de esas páginas, para lo cual hay que realizar un web scraping.
● Identifican los hiperenlaces.
● La araña web va a visitar recursivamente estos hiperenlaces.
● Descarga las nuevas páginas.
● Analiza los nuevos enlaces.
● Y así sucesivamente, trabajan en forma recursiva.

Googlebot: el crawler más famoso del mundo es Googlebot. Es un software diseñado por Google para
indexar el contenido nuevo o actualizado de Internet.
Una vez que el contenido está indexado, el servidor lo clasifica y establece un orden de relevancia
para las distintas búsquedas que pueda efectuar un usuario, es decir, lo posiciona.
La frecuencia con la que Googlebot accede a un sitio web depende del PageRank de éste, debido a
que cuanto mayor sea este valor, el robot accederá más reiteradamente a sus páginas. En este
sentido, los medios de comunicación son visitados cada día por Googlebot, mientras que hay sitios a
los que no accede en semanas. Para saber si Googlebot ha visitado nuestra página, sólo tenemos
que revisar el caché y observar los log de nuestro servidor para ver si el rastreador se ha presentado.

¿Cómo impedir que Google indexe un contenido?: el propietario de un sitio web puede decirle a
Google que no quiere que indexe su web, y Google sigue esa indicación. Existen dos formas de
hacerlo:
● Mediante el archivo robots.txt
● Mediante las metaetiqueta «robots»

Archivo robots.txt: dentro del archivo robots.txt pueden existir las siguientes órdenes:
● User-agent: hace referencia al buscador al que quieres dar la orden.

56
 ● Disallow: /directorio/ con este comando se indica a los buscadores que no indexen todo el
contenido que hay dentro del directorio /directorio/
● Allow: con este comando se indica a los buscadores que indexen ese contenido.

CÓMO ARMAR EL PERFIL DE UN OBJETIVO

Concepto: se empieza por las redes sociales

usando buscadores. Mediante la utilización de
parámetros de búsqueda avanzados, el poder de
las combinaciones de los mismos y una gran
creatividad por parte del factor humano, se puede
encontrar información útil como la siguiente:
● Detección y Fingerprint de sistemas
específicos.
● Servidores expuestos.
● Usuarios, contraseñas y demás
información sensible expuesta de
manera pública.
● Información para el planeamiento exitoso de ataques de ingeniería social.
● Portales de acceso a la configuración y administración de dispositivos.
● Localización de Código Exploit y Objetivos.

ext:pwd inurl:(service | authors | administrators | users)

Cómo ver webcams levantadas sin protección:

57
Malware

INTRODUCCIÓN

Malware: hace referencia a “malicious software”, término que engloba a todo tipo de software o
código cuya función es dañar un sistema o causar un mal funcionamiento. Hay muchos tipos de
malware, no son sólo los “virus”, por ejemplo:
● APT
● Adware
● Botnet
● Phishing
● Ransomware
● Spam
● Troyano
● Virus
Todos los malware tienen un comportamiento en común y es el “comportamiento subrepticio”, que
hace referencia a una acción que es desarrollada en forma encubierta u oculta y que no quiere ser
descubierta.

Medios de ingreso: ¿cómo puede el malware ingresar a nuestros sistemas? de diversas formas:
● Internet
● Mails
● Redes sociales
● Unidades de disco
● Aplicaciones: actualmente las aplicaciones conocen muchos datos sobre nosotros: con
quiénes hablamos, dónde estamos, qué hacemos en la web, cuáles son nuestras cuentas
financieras, etc. Esto nos lleva a pensar, ¿sabemos realmente qué permisos les hemos dado a
las aplicaciones que usamos?

EVOLUCIÓN DE LAS CIBERAMENAZAS

58
Morris Worm: sucedió en 1988 y fue el primer malware conocido. Se trataba de un malware
autorreplicable que afectó a Internet y llegó a afectar al 10% de los servicios conectados a la red. Esto
motivó a que se creara un equipo de respuesta a incidentes (CERT). Los CERT son equipos que
continuamente monitorean el comportamiento de la red para detectar amenazas.

Código malicioso, troyanos avanzados: comienzan a aparecer alrededor del año 1997.

Robo de identidad, phishing: este nuevo tipo de amenaza aparece alrededor de 2004 junto con un
nuevo concepto de amenaza (del que no se había hablado hasta ese entonces) que es la Ingeniería
Social.

Ataques DNS, aumento de botnets, ataques SQL, sitios antispam: a partir del 2007 comienzan a
surgir ataques sobre servidores (DNS), ataques en forma de red (botnets).

ARCHIVOS ADJUNTOS PELIGROSOS

Definición: los desarrolladores de malware tienden a preferir ciertos tipos de archivos adjuntos para
distribuir código malicioso. La razón de esto es poder garantizar una distribución masiva. Estos
archivos suelen ser:
● ZIP y RAR.
● Documentos de Microsoft Office.
● Archivos PDF.
● Imágenes de disco IMG e ISO.

VULNERABILIDADES

Vulnerabilidad: fallos o deficiencias de un programa que pueden permitir que un usuario no legítimo
acceda a la información o lleve a cabo operaciones no permitidas de manera remota. Las
vulnerabilidades son el resultado de:
● Bugs o fallos en el diseño del sistema.
● Las propias limitaciones tecnológicas.

Estándar CVE: su propósito es estandarizar/unificar los nombres y contenido de todas las

vulnerabilidades en una base única y ponerlas a disposición del conocimiento público. Además, a
cada vulnerabilidad se le indica un ID (conocido como CVE-ID), se indican qué versiones de software
están afectadas, también si existe alguna solución o parcheo y se las clasifica según su gravedad
(crítica, alta, media o baja). Por cada vulnerabilidad también se detallan las siguientes cosas:
● Vector de acceso: indica dónde puede ser explotada la vulnerabilidad y la complejidad
requerida para hacerlo.
● Impacto: es definido a través de la afectación que puede tener una vulnerabilidad en los 3
pilares (CID).

Ventajas de CVE:
● Permite tener una base para la evaluación de las vulnerabilidades.
● Es un estándar muy adoptado para referirse a ellas.
● Realiza un proceso de actualización continua.
● Permite monitorear cambios o actualizaciones sobre las vulnerabilidades.
● Permite hacer una revisión exhaustiva de las nuevas vulnerabilidades.

59
Proceso de gestión de las vulnerabilidades: en cualquier infraestructura el proceso de gestión de
vulnerabilidades tiene unos pasos comunes:
● Determinar el alcance: enumerar los activos que vamos a considerar.
● Recopilar datos: iniciar búsqueda de vulnerabilidades y armar un informe.
○ Se usa mucho la herramienta exploit-db, osvdb.
● Identificación de las brechas: se usan herramientas que, dentro del informe confeccionado,
priorizan y valorizan las vulnerabilidades encontradas.
● Determinar planes de acción: se implementan controles correctivos y compensatorios.
● Verificar la efectividad de los planes aplicados.

EXPLOIT

Definición: secuencia de comandos utilizada para, aprovechándose de un fallo o vulnerabilidad en un

sistema, provocar un comportamiento no deseado o imprevisto. Mediante la ejecución de un exploit
se suele perseguir:
● El acceso a un sistema de forma ilegítima.
● Obtención de permisos de administración en un sistema ya accedido.
● Un ataque de denegación de servicio a un sistema.
Un exploit no es un malware sino que es la llave para que el malware acceda a un sistema.

Zero day: es ese lapso entre que se descubre una nueva vulnerabilidad y se advierte a la organización
de esta. A partir de ahí tenemos otro lapso entre que el fabricante se entera de la vulnerabilidad y
genera un parche para la misma. En el momento en que ese parche se encuentra disponible comienza
otra etapa hasta que ese parche realmente sea aplicado en los equipos de red. En esta etapa la
vulnerabilidad aún puede seguir siendo explotada.

BUG BOUNTY PROGRAM

Definición: es un programa de recompensas de errores. Se trata de un acuerdo que ofrecen

numerosas organizaciones, compañías, sitios web y desarrolladores de software en el cual ellos
ofrecen recompensas a los individuos que reporten errores, vulnerabilidades y fallos de seguridad de
sus sistemas.
Algunas plataformas reconocidas son:
● HackerOne.
● BugCrowd.
● AntiHACK.me

60
VIRUS

Definición: es un programa informático creado para producir algún daño en el sistema del usuario y
que posee dos características particulares:
● Actúa de forma transparente al usuario (subrepticio).
● Tiene la capacidad de reproducirse a sí mismo.
Los virus informáticos requieren de un anfitrión donde alojarse. Este puede variar, siendo un archivo
(tanto ejecutable como no), el sector de booteo o incluso la memoria de la computadora.
Su origen data de los comienzos de los años ’80, siendo en aquel entonces el único código malicioso
existente (no existía el concepto de malware).
El método tradicional de infección consiste en la “inyección” de una porción de código dentro de un
archivo del sistema. Al residir el código malicioso dentro de un archivo benigno, cuando éste es
ejecutado se procesan en primer término las acciones maliciosas y posteriormente las contenidas
normalmente en el archivo original.

Partes que lo conforman:

Reproducción: se encarga de manejar las rutinas de parasitación

de entidades ejecutables con el fin de que el virus pueda
ejecutarse subrepticiamente, transfiriéndose a otros equipos.

Ataque: maneja las rutinas de daño adicional. Esta rutina puede

existir o no.

Defensa: este módulo también es optativo y tiene la misión de

proteger al virus.

WORMS

Definición: es un código malicioso cuyas principales características son:

● No infecta archivos (principal diferencia con los virus).
● Se propaga por sí mismo a través de la explotación de diferentes tipos de vulnerabilidades.
● Pueden llegar a colapsar un sistema o red por saturación.
● Principalmente se extienden a través del correo electrónico.
El medio utilizado puede diferir según la variante, siendo algunas de las principales técnicas
empleadas:
● Envío de mensajes a través de clientes de mensajería instantánea.
● Copia por dispositivos USB.
● Aprovechamiento de vulnerabilidades de software.

Objetivo: llegar a la mayor cantidad de usuarios posible y lograr distribuir otros tipos de códigos
maliciosos como Troyanos, Backdoors y Keyloggers. Estos últimos serán los encargados de llevar a
cabo el engaño, robo o estafa.
Otro objetivo muy común de los gusanos es realizar ataques de DDoS contra sitios webs específicos
o incluso eliminar "virus que son competencia" para el negocio que se intente realizar.

61
Autorun worm: son programas maliciosos que se aprovechan de la característica AutoRun de
Windows. Estas herramientas se ejecutan automáticamente cuando el dispositivo en el que se
almacenan es conectado a un ordenador.
Conficker es un gusano que aprovecha una vulnerabilidad en el servicio de servidor RPC de Windows
y que permite ejecutar código arbitrario remotamente.

TROYANOS

Definición: es un código malicioso que simula ser inofensivo y útil para el usuario. Al igual que los
gusanos, no infectan archivos, aunque a diferencia de aquellos, el troyano necesita del ser humano
para su propagación.
Suele ser un programa pequeño alojado dentro de una aplicación, una imagen, un archivo de música u
otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo
contiene.
Habitualmente se utiliza para espiar dado que permite monitorizar lo que el usuario de la
computadora hace y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener
contraseñas u otra información sensible.
La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y
mantener software antivirus actualizado. Es recomendable también instalar algún software anti
troyano.

Tipos: existe una gran variedad de troyanos, dependiendo sus acciones y utilidades:

● Downloader: descargan otros códigos maliciosos.

● Banker: posee como objetivo el robo de credenciales de acceso financieras.
● Dropper: se ejecuta en paralelo con un programa legítimo.
● Clicker: busca beneficio económico a través de clics en publicidad.
● Keylogger: registra las actividades que se realizan en el sistema.
● Backdoor: abre puertos en el sistema.
● Bot: convierte el sistema en zombi.

ROOTKITS

Definición: es un programa o conjunto de programas que un intruso usa para esconder su presencia
en un sistema y le permite acceder en el futuro para manipular este sistema.

62
Un rootkit no es un malware en sí mismo pero, debido a que es utilizado ampliamente para ocultar los
mismos, muchas veces se lo considera incorrectamente como uno.
Un rootkit tampoco no es un exploit, es lo que el atacante usa después del exploit inicial.

BACKDOORS

Definición: establecen una puerta trasera a través de la cual cualquiera puede tomar el control de la
computadora a través de Internet. Se introduce de manera encubierta, aparentando ser inofensivo e
incluso puede hacerse pasar por un programa legítimo.
No es lo mismo que un troyano pero hoy en día muchos troyanos incorporan backdoors.

HONEYPOT

Definición: software cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o
débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger
información sobre los atacantes y sus técnicas.

HOAX

Definición: es un email con contenido falso o engañoso y normalmente distribuido en cadena.

Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño enfermo o
cualquier otra noble causa, otros contienen fórmulas para hacerse millonario o crean cadenas de la
suerte como las que existen por correo postal. Su finalidad es generar alarma y confusión entre los
usuarios.

CLICKJACKING

Definición: es una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen
información confidencial o tomar control de su computadora cuando hacen clic en páginas web
aparentemente inocentes.
En uno de los muchos navegadores o plataformas con alguna vulnerabilidad, un ataque de
clickjacking puede tomar la forma de código embebido o script que se ejecuta sin el conocimiento del
usuario; por ejemplo, aparentando ser un botón para realizar otra función.

SPYWARE

Definición: es una aplicación cuyo fin es recolectar información del usuario.

COOKIES

Definición: las cookies no son malware en sí mismas pero su información puede ser utilizada por un
malware para efectuar un ataque. Las cookies son archivos ubicados en la PC que permiten a los
sitios web almacenar información.

ANONYMIZING PROXY

Definición: permiten al usuario ocultar su actividad de navegación web. A menudo se utilizan para
eludir filtros de seguridad web, por ejemplo, para acceder a sitios bloqueados desde un equipo de
trabajo.

63
ROGUE

Definición: es un código malicioso que simula ser un programa de seguridad con el fin de lograr que
el usuario pague por una aplicación dañina o inexistente.
Emplea cómo herramienta la generación de miedo en el usuario, indicando falsas alertas sobre
infecciones y/o problemas que pudiera tener el sistema; logrando de esta forma que el usuario desee
instalar el falso producto

FILELESS MALWARE

Definición: malware que no requiere de ningún archivo en el sistema para realizar su actividad
maliciosa. Los ataques de fileless malware hacen uso de herramientas y procesos propios del SO
mediante una técnica conocida como “Living off the Land” que le permiten llevar adelante su
actividad maliciosa utilizando elementos preinstalados y sin droppear ejecutables adicionales en el
sistema de la víctima.
Dicho de otra forma, utiliza funcionalidades del sistema operativo en contra del propio usuario. Esto
dificulta su detección, ya que el código malicioso se ejecuta a través de procesos legítimos.

PHISHING Y SUS VARIANTES

Phishing: conjunto de técnicas que buscan engañar a una víctima ganándose su confianza
haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que
realice acciones que no debería realizar. El caso más común es la suplantación de sitios oficiales en
Internet por otros sitios que simulan ser ese sitio oficial pero que no lo es.
El delito consiste en obtener información tal como número de tarjetas de crédito, contraseñas,
información de cuentas u otros datos personales por medio de engaños.

Spearphishing: es diferente al phishing dado que es una estafa dirigida a una persona, organización o
empresa específica. Es decir, el objetivo es identificado con anticipación y los correos electrónicos
que intentan engañar, para la entrega de datos personales, pueden ser muy específicos (puede
pretender suplantar a un amigo o colega, o tratar de explotar los intereses que se conocen de la
víctima). Involucra la explotación de la confianza (ingeniería social).
Aunque su objetivo a menudo es robar datos para fines maliciosos, los cibercriminales también
pueden tratar de instalar malware en la computadora de la víctima.

Whaling phishing: variante de phishing que consiste en atacar a un directivo importante de un grupo
empresarial, un político o una celebridad.
Es un ataque altamente especializado pues exige una planificación muy elaborada, con un estudio
amplio sobre la víctima.
La recompensa potencial puede ser muy alta dada la relevancia del objetivo.

PHARMING

Definición: tipo de ataque que permite redireccionar un nombre de dominio a una IP distinta de la
original. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido
redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado
para ese nombre de dominio (muchas veces, una copia falsa de la original).

Tipos:
● Pharming local

64
 ● DNS spoofing: método para suplantar el servidor DNS que utiliza la víctima y de esta forma
poder tener control sobre las consultas que realiza.
● DNS poisoning attack
● DNS ataque de transferencia de zona

SQL INJECTION

Definición: consiste en la inserción de querys SQL mediante el input del usuario en la aplicación.

Medidas de mitigación:
● Hacer hardening de la BD: eliminar procedimientos y funciones no utilizados.
● Establecer respuesta ante intentos de SQL Injection mediante el registro de los intentos, envió
de alertas por email, bloqueo de la IP infractora y envió de mensajes intimidatorios como
advertencia.
● Utilizar procedimientos almacenados para interactuar con la base de datos los cuales
deberán invocarse a través de una API con parámetros.
● Utilizar el principio de “menor privilegio”.
● Validar todas las entradas de datos.
● Organizar workshop de OWASP para desarrolladores.
● Implementar un FW de aplicaciones.
● Implementar un FW de bases de datos.
● Implementar un software de escaneo de vulnerabilidades.

BEC (BUSINESS EMAIL COMPROMISE)

Definición: es un ataque que tiene como objetivo secuestrar cuentas empresariales que los atacantes
pueden utilizar para interceptar o redireccionar las transacciones financieras. A diferencia de los
ataques de phishing tradicionales, los BEC son dirigidos, diseñados para cada víctima.
Además de conseguir grandes sumas de dinero, muchos grupos de cibercriminales utilizan este
método de ataque para obtener información confidencial de las empresas. Lo cual puede acarrear
serios problemas a la organización, no solo económicos sino también de reputación.
Por lo general se estudia a los empleados de una empresa (con OSINT, revisando sus redes sociales)
y se envían mails a sus empleados especialmente redactados para que eviten filtros de spam y otras
protecciones. Este ataque se puede llevar a cabo de las siguientes maneras:

65
RANSOMWARE

Definición: es una de las amenazas informáticas más similares a un ataque sin medios tecnológicos:
el secuestro. En su aplicación informatizada, el ransomware es un código malicioso que, por lo
general, cifra la información del ordenador e ingresa en él una serie de instrucciones para que el
usuario pueda recuperar sus archivos. La víctima, para obtener la contraseña que libera la
información, debe pagar al atacante una suma de dinero, según las instrucciones que éste
comunique.
Algunas de las técnicas para el secuestro son las siguientes:
● Cifrado de archivos del disco.
● Bloqueo de acceso a ciertos archivos.
● Bloqueo total de acceso al sistema.
● Bloqueo de pantalla una vez que el usuario accedió al sistema.

DOS (DENIAL OF SERVICE)

Definición: un ataque de denegación de servicios, es un ataque a una red que causa que un servicio o
recurso sea inaccesible a los usuarios legítimos.
Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de
la red de la víctima o sobrecarga de los recursos computacionales del sistema.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se
sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegación", pues hace
que el servidor no dé abasto a la cantidad de solicitudes.

66
PCI

INTRODUCCIÓN

Regulaciones: son normativas que aplican a organizaciones de una industria en particular. Es decir,
no todo el mundo debe cumplirlas, solamente ciertas organizaciones dedicadas a una actividad. El
incumplimiento de una regulación puede devenir en una multa, en una sanción o incluso en la pérdida
de una licencia de operación.

Normas de seguridad PCI DSS, PA DSS y PCI PTS:

● PCI DSS: estándar que recoge los requisitos y normas de seguridad de datos que deben
seguir todas las compañías que trabajan con transacciones de tarjetas de pago.
● PA DSS: su objetivo es ayudar a los proveedores de software y otros a desarrollar
aplicaciones de pago seguro que no almacenen datos prohibidos, como la banda magnética
completa, datos de PIN o de CVV2 y cerciorarse de que sus aplicaciones de pago admiten el
cumplimiento de la PCI DSS.
● PTS DSS: recoge los requisitos de seguridad para transacciones con PIN. Va dirigida a los
productores de los dispositivos de pago, definiendo los requisitos que deben seguir en el
diseño, fabricación y transporte de estos dispositivos así cómo las entidades que los utilicen.

PCI DSS

Definición: surge a partir del Security Standards Council que es una entidad que reúne a aquellas
empresas que emiten tarjetas de crédito. PCI es un estándar compuesto por una serie de controles
físicos, lógicos, administrativos y documentales cuyo objetivo es gestionar la seguridad de los
sistemas y las redes que procesan, almacenan o transmiten datos de tarjetas de pago.

En total hay 12 requisitos y se encuentran divididos en 6 grupos:

● Desarrollar y mantener redes y sistemas seguros.
○ Instalar y mantener una configuración de FW para proteger los datos del titular de la
tarjeta.
○ No usar los valores predeterminados suministrados por el proveedor para las
contraseñas del sistema y otros parámetros de seguridad.
● Proteger los datos del titular de la tarjeta.
○ Proteger los datos que fueron almacenados.
○ Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas
abiertas.
● Mantener un programa de manejo de vulnerabilidad.
○ Proteger todos los sistemas contra malware y actualizar los programas o software
antivirus regularmente.
○ Desarrollar y mantener sistemas y aplicaciones seguros.
● Implementar medidas sólidas de control de acceso.
○ Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber
que tenga la empresa.
○ Identificar y autenticar el acceso a los componentes del sistema.
○ Restringir el acceso físico a los datos del titular de la tarjeta.
● Monitorear y probar regularmente las redes.
○ Rastrear y supervisar todos los accesos a los recursos de la web y a los datos del
titular de la tarjeta.

67
 ○ Probar periódicamente los sistemas y procesos de seguridad.
● Mantener una política de seguridad de información.
○ Mantener una política que aborde la seguridad de la información para todo el
personal.

Cumplimiento: el cumplimiento de PCI DSS es obligatorio para cualquier comercio o proveedor de

servicios que procese, almacene o transmita datos de tarjetas de pago.

Determinar el alcance de la norma: ¿a qué componentes alcanzan los requisitos? Los requisitos de
seguridad se aplican a todos los componentes de sistemas (aplicaciones, servidores, componentes
de red, etc) donde se procesen datos de tarjetas.
Ese ecosistema puede llegar a ser muy grande, lo que causaría que sea muy complejo garantizar PCI.

Segmentación de la red: para poder garantizar PCI es necesario que se “aislen” a los módulos o
sistemas que procesan datos de tarjetas de los que no lo hacen. En este paso, el uso de los
diagramas de red y los diagramas de flujos de datos son imprescindibles. Luego, para realizar la
segmentación a nivel de red se pueden emplear diferentes controles físicos o lógicos aplicando el
principio del mínimo privilegio.

Es importante remarcar que el componente del sistema que implementa la segmentación se

encontrará siempre dentro del alcance del cumplimiento, convirtiéndose en la frontera entre los
activos en el alcance (scope) y fuera del alcance (out of scope).

Red ideal según PCI: establece que tiene que haber un FW, un zona de DMZ, una red interna donde va
a estar la base de datos, una red de gestión y una red inalámbrica.

68
Pasos para la identificación del alcance de cumplimiento:
1. Identificar cómo y dónde la organización recibe datos de tarjeta de pago.
2. Localizar y documentar la ubicación en donde los datos de tarjeta de pago son almacenados,
procesados y transmitidos.
3. Identificar todos los demás componentes del sistema, procesos y personal que se encuentra
en el alcance.
4. Implementar controles para minimizar el alcance únicamente a componentes, procesos y
personal necesario.
5. Implementar todos los requerimientos aplicables de PCI DSS.
6. Mantener y monitorizar la efectividad y eficacia de los controles desplegados.

Controles aplicados a cada dato de una tarjeta de pago:

69
PRIMARY ACCOUNT NUMBER (PAN)

Definición: el número de tarjeta bancaria es el que se encuentra al frente de las tarjetas de pago. Este
número tiene cierto nivel de estructura interna y comparte un esquema de numeración común con las
demás tarjetas de pago. Los números de tarjetas bancarias se asignan de acuerdo con la norma ISO /
IEC 7812. El número de tarjeta bancaria se limita a identificar la tarjeta, que luego se asocia
electrónicamente, a través de la organización emisora, con uno de sus clientes y luego con la cuenta
bancaria del cliente. En el caso de las tarjetas de tipo de valor almacenado, no existe una asociación
necesaria con un cliente en particular. Un número de tarjeta ISO / IEC 7812 es habitualmente de 16
dígitos de longitud, y puede ser hasta de 19 dígitos. Para permitir operatividad entre los diferentes
tipos y marcas de tarjetas, en 1989 la ISO publicó el estándar ISO/IEC 7812 donde se establecen una
serie de criterios para permitir la interoperabilidad de los PAN tanto en comercios como en
proveedores de servicio y bancos.

Debido a las características del PAN como elemento clave dentro de las transacciones con tarjetas de
pago, el PCI SSC definió una serie de controles de seguridad específicos orientados a la protección de
este dato. Estos controles se encuentran descritos en los siguientes estándares:
● PCI DSS: se establecen una serie de controles de seguridad para la protección del PAN.
Aplica a cualquier entidad que lo almacene, procese, transmita o visualice.
● PA-DSS: define los controles necesarios a ser implementados antes, durante y después del
desarrollo de aplicaciones licenciadas por parte de terceros que procesan el PAN.

TOKENIZACIÓN

Definición: proceso de sustitución de un elemento que tiene un dato sensible por otro que no lo tiene
(puede ser un hash, por ejemplo). Ese token no tiene ningún valor o significado por sí sólo y tampoco
es reversible.

70
CVV (CARD VERIFICATION VALUE)

Definición: es utilizado para transacciones no presenciales. El CVV en realidad está impreso en la

banda magnética de las tarjetas, por eso cuando la transacción es presencial y se escanea la banda
magnética, el lector ya recoge el CVV. Para las transacciones no presenciales se decidió imprimir este
código en la tarjeta para que el usuario pueda verlo e ingresarlo al sistema él mismo.
El CVV es un dato de autenticación, por lo tanto, no puede ser almacenado de ninguna manera.

71
Herramientas de seguridad

FIREWALL

Definición: dispositivo de comunicaciones que permite restringir el acceso entre diversas redes (es
decir, permitir o bloquear el acceso) a través de ACLs (que en este caso se denominan “reglas”). Es
como una barrera entre una red privada y las redes públicas. Todo aquel tráfico que no esté en la lista
de control de acceso no va a ser permitido. Hay muchas reglas que se pueden definir pero las más
comunes son accept, reject y drop.

¿Cómo se pueden definir estas reglas? hay dos estrategias básicas a seguir:
● Todo aquello que no está explícitamente permitido está prohibido.
● Todo aquello que no está explícitamente prohibido está permitido.

Tipos de FW: existen dos tipos de firewall

● FW de filtrado de software
● FW de filtrado de hardware

Firewall de aplicaciones: se utiliza para controlar el acceso a una aplicación o servicio web.

Firewall de bases de datos: provee una medida adicional para proteger el motor de base de datos.
Tiene muchas funciones pero la principal es que permite trabajar con un mayor nivel de discreción de
los permisos que puedo otorgar sobre la base de datos.

SEGMENTACIÓN DE LA RED

Definición: proceso que se encarga de dividir la red en distintas subredes con el propósito de mejorar
el rendimiento de la red y mejorar las condiciones de seguridad. En todo ataque siempre hablamos de
una “superficie de ataque” y una “ventana de tiempo” que le da al atacante la oportunidad de llevar a
cabo un ataque. Cuanto menor es esa superficie, menor es el daño que se va a ocasionar. Por eso es
que la segmentación funciona como una forma de reducir el riesgo en cada una de las partes de esa
red.
Lo que hace la segmentación también es controlar el tráfico en todas las partes de la red, es decir, se
puede detener el tráfico de una parte que quiera acceder a otra.

Políticas de segmentación:
● Implementación de FWs internos.
● ACLs.
● VLANs.

VLAN (virtual LAN): es una tecnología de redes que permite crear redes lógicas independientes
dentro de la misma red física. El objetivo de usar VLAN es para segmentar adecuadamente la red y
usar cada subred de una forma diferente, además, al segmentar por subredes usando VLANs se
puede permitir o denegar el tráfico entre las diferentes VLAN gracias a un dispositivo como un router
o un switch multicapa.
Es una estrategia orientada a:
● Reducir la superficie de ataque.
● Reducir la posibilidad de hacer “sniffing” (sniffing hace referencia a poder capturar el tráfico
de paquetes en la red).

72
 ● Evitar movimientos laterales.
● Reducir impacto sobre los activos.

IDS (INTRUSION DETECTION SYSTEM)

Definición: son sistemas encargados de detectar intrusos por medio del análisis de la información
que se transmite a través de la red o por medio del análisis de comportamiento de usuarios de un
servidor.
Este sistema se basa en la hipótesis que existe un patrón de comportamiento de un intruso que es
diferente al patrón de comportamiento de un usuario legítimo. Para esto, el sistema lo que hace
primero es definir cuál sería o podría ser el comportamiento normal de un usuario legítimo
(transacciones, horarios, ubicación, dispositivos, etc).

Tipos de IDS:
● Basados en red: lo que hace es examinar los paquetes de la red (el tráfico de entrada y salida)
y va reportando este tráfico a un host central que es el encargado de analizar ese
comportamiento.
● Basados en host: se ocupan de un único host en particular que es el que está protegido.

Diferencia con IPS: la principal diferencia es que el IPS puede tomar acción frente a un ataque.

IPS (INTRUSION PREVENTION SYSTEM)

Definición: es una nueva tecnología proactiva de seguridad para proteger servidores y redes. Su
función es bloquear ataques de hackers externos y/o internos de amenazas conocidas o
desconocidas.

Tareas que realiza:

● Identificar actividad sospechosa.
● Loggear eventos de seguridad.
● Intentar bloquear intrusiones o limitar su daño.
● Reportar intentos de intrusión.

VPN (VIRTUAL PRIVATE NETWORK)

Definición: tecnología de red que brinda la posibilidad de conectarse a una red pública generando una
extensión de una red física local.
La comunicación que se establece entre un punto y el otro va encapsulada utilizando un protocolo de
cifrado, por lo que es una red privada que sirve para mantener comunicaciones confidenciales de
manera que no peligre la seguridad ni la integridad de la información interna (por eso también se lo
conoce como “tunnelling”, de túnel).
No hay una infraestructura de red física dedicada para cada red privada. En su lugar, existe una única
red física compartida entre varias redes lógicas.

Usos más comunes:

● Acceder a la red interna de una organización desde una locación remota.
● Para acceder a contenido restringido en una región.

Tipos de VPN:

73
 ● VPN de acceso remoto/basadas en el cliente: usuarios que se conectan con la empresa
desde sitios remotos (oficinas comerciales, domicilios, hoteles, etcétera) utilizando Internet
como vínculo de acceso.
● VPN punto a punto/de red: se utiliza cuando se quiere conectar dos redes diferentes entre sí
a través de una red que no es segura.
● VPN interna: Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como
medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar
zonas y servicios de la red interna.

SW DE FILTRADO DE CONTENIDOS

Definición: es un programa especial que está diseñado para limitar o filtrar el contenido que se
observa en los distintos sitios web que se puede ver en un dispositivo en particular. Este programa
utiliza estrategias técnicas para bloquear cierto contenido y permitir que se vea el resto.

DLP (PREVENCIÓN DE PÉRDIDA DE DATOS)

Definición: es un sistema que realiza un monitoreo activo de la información que está saliendo del
perímetro de mi red o incluso puede tener funciones de detección de información dentro de los
recursos propios de la compañía.

¿Para qué sirve? es una capa que vigila y monitorea determinadas acciones: por ejemplo la copia de
archivos o contenidos a un dispositivo externo (el DLP puede bloquear esa copia, solicitar la
autorización, o simplemente permitir la copia pero dejarla registrada en un log).

ESCÁNER DE VULNERABILIDADES

Definición: herramienta utilizada para analizar un servidor determinado, verificando problemas

comunes de configuración, versiones desactualizadas o vulnerables y problemas de seguridad de
distintos servicios.

SIEM

Definición: es una herramienta fundamental para el monitoreo. Es una plataforma que lo que hace es
recolectar logs y registros de múltiples plataformas estableciendo un criterio de utilidad para toda
esa información. Toda esa información colectada va a parar a una consola, que es el SIEM, que tiene
muchas funciones para analizar esta información:
● Asset discovery
● Vulnerability assessment
● Threat detection
● Event collection
● Correlation
● Event management
● Log storage

HARDENING

Definición: es el proceso de asegurar un sistema mediante la reducción de sus vulnerabilidades. Esto

se logra eliminando software, servicios, usuarios y demás cosas innecesarias en el sistema, así como
cerrando puertos que no estén en uso.

74
CONTROL DE ACCESO CORPORATIVO

Definición: los ambientes corporativos se caracterizan por: grandes cantidades de usuarios, altas
complejidades de administración, heterogeneidad de sistemas y plataformas, necesidades de
integración, etc. Algunas de las soluciones de control de acceso incluyen:
● Single sign on: cuando un usuario utiliza una única credencial para autenticarse en todos los
sistemas de la compañía.
● Identity management: producto que permite analizar todo el ciclo de vida de los usuarios
(altas, bajas, modificaciones).
● AAA (control de acceso centralizado):
● CASB (cloud access security broker): es un punto de control de visibilidad y política que se
encuentra entre usuarios y aplicaciones en la nube. Hay 3 maneras de implementarlo:
○ A través de una puerta de enlace similar a proxy
○ A través de un modelo de agente basado en host
○ Con una solución SaaS nativa basada en la API

¿Qué puedo obtener con CASB? qué aplicaciones utilizan los empleados (sea de forma
autorizada o no autorizada), en qué horarios, funciones de compliance, prevención de
amenazas y seguridad.

75
Revisiones de seguridad

TOE

Definición: se empieza por el TOE, que es aquello que voy a analizar o revisar. TOE quiere decir “target
of evaluation” y es justamente un sistema, producto o componente que está identificado como objeto
de evaluación o ataque.

TIPOS DE REVISIONES

Tipos:
● Auditoría de seguridad: comprueba si la organización está siguiendo un conjunto de políticas
y procedimientos de seguridad estándar.
● Vulnerability assessment: consiste en buscar las vulnerabilidades que se pueden explotar de
mis activos. Solamente evalúa las vulnerabilidades pero no proporciona indicaciones sobre el
daño que puede resultar de la explotación de estas vulnerabilidades.
● Penetration testing: abarca a las dos anteriores. El alcance se acuerda y se define, es “ethical
hacking”.

Auditoría de seguridad vs. Penetration testing: van a distintos niveles

Auditoría de seguridad Penetration testing

Chequear set de estándares Buscar vulnerabilidades

- Foot printing

- Exploiting

Generar reporte x estándar Generar reporte

Análisis de brecha de cumplimiento: su objetivo es medir la distancia entre el estado actual de

cumplimiento de una organización frente a los requisitos planteados por una regulación o estándar.
Es decir, me muestra si cumplo o qué tanto cumplo los requerimientos de una norma. Es distinto a
una auditoría.
● Ver OSSTMM: The Open Source Security Testing Methodology Manual.

PENETRATION TEST (PEN TEST)

Definición: es un ataque a un sistema informático con la intención de encontrar sus vulnerabilidades.

El objetivo de estas pruebas es verificar bajo condiciones específicas (las cuales deben ser definidas
de antemano) cuál es el comportamiento de los mecanismos de defensa y se busca detectar
vulnerabilidades en los mismos.
Además, se identifican aquellas faltas de controles y las brechas que pueden existir entre la
información crítica y los controles existentes.

Tipos de penetration testing: al definir las condiciones bajo las cuales se va a llevar a cabo el pen test
hay que definir 3 cosas:
● Posicionamiento: se indica desde dónde debe “pegarle” el atacante al sistema (desde afuera
o desde adentro).

76
 ○ Interno: esta prueba simula un ataque interno por un usuario autorizado con
privilegios de acceso estándar. Este tipo de prueba es útil para estimar el daño que
un empleado descontento podría causar.
○ Externo: el atacante sólo podrá atacar al sistema desde afuera, es decir, desde
servidores o dispositivos de la compañía que son visibles externamente. El objetivo
es averiguar si un atacante externo podría entrar y hasta dónde podría llegar una vez
que ha obtenido acceso.
● Visibilidad: determina cuánta información inicial le doy al atacante. Por ejemplo, si le doy
credenciales o no o si le doy algún tipo de acceso.
● Perfil adoptado:

A estas combinaciones se las conoce como:

● Caja blanca: se le da información o permisos al atacante.
● Caja gris: se le dan algunas cosas.
● Caja negra: no se le da casi nada.

Pruebas doble ciego: son un tipo de penetration test donde sólo una o dos personas de la
organización pueden ser conscientes de que se está realizando una prueba. Estas pruebas pueden
ser útiles para probar el monitoreo de seguridad y la identificación de incidentes de la organización,
así como sus procedimientos de respuesta.

Fases de un pen test:

● Reconocimiento (information gathering): siempre se comienza por definir el objetivo. Esta

etapa es un proceso “pasivo” que consiste en la recopilación de información de la compañía.
La idea es armar un perfil de la compañía y un mapa de sus redes y sistemas. Por lo general
es una etapa tediosa y larga dado que se le dedica mucho tiempo. La información que se
busca obtener es: IPs asignadas, direcciones de IP de servicios tercerizados, dirección física
de la empresa, números telefónicos, datos de los empleados, análisis del sitio web y
existencia de redes wifi. Para obtener estos datos se realizan las siguientes tareas
(footprinting):
○ Enumeración DNS
○ Traceroute
○ Información del negocio
○ OSINT
○ Información de usuarios
● Escaneo y enumeración: con todos los datos obtenidos en la etapa anterior hay que
seleccionar la información importante que permita avanzar con un ataque. Esta etapa es casi
completamente automatizable. De todas maneras, estas etapas en conjunto con la anterior
son las que más demoran.
nmap es una herramienta muy buena para esta etapa. Es un comando y su manual tiene 800
hojas, de ahí la frase “todo se puede hacer con un nmap”.

77
 Hay distintos niveles de detección:

Fingerprinting: es una técnica de identificación de atributos. Se aplica a diversos objetivos

(dispositivos de red, navegadores, servicios y aplicaciones, sistemas operativos).

● Acceso:
● Mantenimiento:
● Eliminación del rastro:

VULNERABILITY ASSESSMENT (ANÁLISIS DE VULNERABILIDADES)

Definición: es lo que se hace antes del pen test. El VA consiste en elaborar un informe que contenga
todas las vulnerabilidades conocidas y sugerir métodos y formas de eliminar o mitigar esas
vulnerabilidades.

Identificación de vulnerabilidades (scanner de vulnerabilidades): es una herramienta utilizada para

analizar un servidor determinado, verificando problemas comunes de configuración, versiones
desactualizadas o vulnerables y problemas de seguridad de distintos servicios.
¿Cómo funciona? el scanner básicamente busca direcciones de IP activas, puertos abiertos, SOs y
cualquier aplicación que esté corriendo. Ahí ya genera un reporte con las vulnerabilidades
encontradas. Luego determina el nivel de actualización del SO o aplicación para así poder aprovechar
los exploit de la vulnerabilidad identificada (algunos scanners cuentan con una lista de exploits
disponibles para probar las posibles vulnerabilidades identificadas).

Diferencia entre VA y la administración de vulnerabilidades (VM):

● VA:
○ Proyecto con fecha de inicio y finalización definida.
○ Consultor externo prepara informe final y evaluación.
○ El informe enumera las vulnerabilidades identificadas y proporciona
recomendaciones para la remediación.
● VM:
○ En curso / continuo.
○ Proceso que apunta a administrar las vulnerabilidades de manera integral.
○ La evaluación se realiza continuamente de manera cíclica y las vulnerabilidades
identificadas se informan para acciones adicionales

78
Informática forense

INTRODUCCIÓN

Definición: conjunto de técnicas destinadas a extraer información valiosa de discos, sin alterar el
estado de los mismos. Esto permite buscar datos que son conocidos previamente, tratando de
encontrar un patrón o comportamiento determinado, o descubrir información que se encontraba
oculta.

Cibercrimen: es el término que actualmente se utiliza para referirse a las actividades ilegales que son
llevadas a cabo por individuos donde el uso de la tecnología tiene en mayor o menor medida alguna
participación. La tecnología es el fin, es el medio y es incidental.
● Territorialidad: una de las características del cibercrimen es su relación con la globalización,
que permite desde una locación remota y escudado bajo el “anonimato” que le brinda estar
detrás de un teclado, un individuo pueda cometer un delito en otra jurisdicción, en otro país u
otro continente.

Criminología vs. criminalística:

● Criminología: ciencia que se encarga del estudio del delito cómo conducta humana y social,
de investigar las causas de la delincuencia, de la prevención del delito y del tratamiento del
delincuente.
● Criminalística: disciplina que aplica los conocimientos, métodos y técnicas de investigación
de las ciencias naturales en el examen del material sensible relacionado con el presunto
hecho delictuoso.

Delitos informáticos: cualquier acto ilegal que requiera el conocimiento de tecnología informática
para su perpetración, investigación o persecución.
Ejemplos de ciberdelitos que cuadran en las conductas delictivas que se encuentran en la Ley 26388:
● Generación y distribución de código malicioso.
● Ataques de denegación de servicio.
● Phishing.
● Piratería de software.
● Violación de secretos comerciales.
● Fraude informático.
● Estafa informática.
● Hostigamiento.
● Amenazas.
● Pornografía infantil.

PROYECTO VIC

Definición: proyecto que busca reducir el abuso sexual infantil.

● Las víctimas de abuso sexual infantil podrán ser identificadas rápidamente gracias a un
trabajo en conjunto de agencias internacionales que elaboran una base de datos única a
partir del material incautado.
● Ayudará a las fuerzas del orden a comprobar de manera rápida las imágenes incautadas y
detectar aquellas que muestren los rostros de los niños.

79
 ● El archivo de datos es coordinado por el Departamento de Seguridad Nacional de EE.UU., el
Centro Internacional para Niños Desaparecidos y Explotados de los EE.UU. y las fuerzas de
Reino Unido, Canadá, Nueva Zelanda y Australia.

INFORMÁTICA FORENSE

Definición: es una rama de las ciencias forenses que se encarga de: adquirir, analizar, preservar y
presentar datos que han sido procesados electrónicamente, y almacenados en un medio digital. Es
básicamente el uso de la tecnología para recuperar evidencia digital.
● Evidencia digital: siempre que fuese posible se debe minimizar el manejo de la evidencia
digital mediante la duplicación de datos. La evidencia digital tiene 3 características:
○ Auténtica
○ Admisible
○ Completa
○ Creíble
○ Confiable

Evidencia: las ciencias forenses consideran evidencia a todo objeto, marca, huella, señal, es decir,
todo aquello que deja la realización de un delito como testigo de haber acontecido. La evidencia debe
lograr:
● La identificación de los autores
● Ser pruebas de la comisión del hecho.
● La reconstrucción del mecanismo del hecho (no siempre pueden hacerlo).

// no lo terminé

80
PREGUNTAS GENERALES DE PARCIAL

1. Seleccione una o más de una para resolver la siguiente situación

CASB
IDM - Gestor de identidades
Single sign on
FW de BD
Escáner de vulnerabilidades
SIEM-colección y correlación de logs
Filtrado de navegación

2. Explique las diferencias entre los siguientes conceptos: phishing, pharming, spearphishing
Phishing hace referencia a un conjunto de técnicas que buscan engañar a una víctima para que
voluntariamente entregue información o realice acciones que no debería. La forma más común de
implementarlo es haciéndole creer que está utilizando un sitio web oficial de confianza cuando en
realidad está en un sitio falso.
Pharming deriva del phishing pero lo que hace es redireccionar un nombre de dominio a una IP
distinta a la original.
Spearphishing es un tipo de phishing pero dirigido a una persona, organización o empresa específica.
Utiliza técnicas de ingeniería social.

3. “Se puede reducir la probabilidad de ocurrencia o accionar para reducir el impacto de la

amenaza estableciendo, por ejemplo, controles y revisando el funcionamiento de las
medidas preventivas”. La afirmación anterior corresponde con la estrategia de tratamiento
de riesgo:
Transferir
Evitar
Mitigar
Aceptar

4. Dado un activo de información valuado en 10000 USD, se determina una amenaza que se
materializa estadísticamente cada 10 años y afecta un 30% del valor del activo. Calcular
ALE
VA = 10000
EF = 30

81
ARO = 1 vez cada 10 años = 0,1
SLE = 10000 * 0,3 = 3000
ALE = 3000 * 0,1 = 300

5. En el marco de la Ley de Protección de Datos Personales, para que el tratamiento de datos

sea lícito, ¿cómo debe ser el consentimiento del titular?
Libre
Expreso
Revocable
Digital
Declarado
Informado

6. Seleccione ejemplos de ciberdelitos que cuadran en las conductas delictivas que se

encuentran en la Ley 26388
Hostigamiento
Pornografía infantil
Generación y distribución de código malicioso
Violación de secretos comerciales
Amenazas por medios digitales
Piratería de SW
Estafa informática
Ataques de denegación de servicio
Phishing
Fraude informático

7. Un ataque de ingeniería social realizado con interacción humana puede llevarse a cabo con
alguna de las siguientes estrategias:
Asumiendo el rol de usuario importante
Impersonando a un usuario autorizado
Phishing
Pop up windows
Dumpster diving
Shoulder surfing
Fake websites
Usando una tercera persona
Hoax (mails o cartas engañosas)

82