Ciberseguridad y

TEMA_1 hacking ético

1-

La autenticación en dos fases (2FA) es un método de seguridad de administración de identidad y acceso que requiere
dos formas de identificación para acceder a los recursos y los datos. 2FA ofrece a las empresas la posibilidad de
supervisar y ayudar a proteger su información y sus redes más vulnerables.

El doble factor de autenticación añade una segunda capa de protección, reforzando el nivel de seguridad de nuestras
cuentas de usuario y de nuestros datos personales. Esto lo logra utilizando dos métodos distintos para validar nuestra
identidad.

El primer método generalmente es una contraseña segura, y el segundo método podría ser un código obtenido a través
de un correo electrónico o un mensaje de texto, reconocimiento facial, entre otros.

El funcionamiento típico de estos sistemas es el siguiente:

• Primero, se accede a un servicio o plataforma en línea y se ingresa la contraseña. Este es el primer factor de
autenticación.
• A continuación, el servicio en línea solicita un segundo factor de autenticación, que puede ser un código de
verificación que envía por correo electrónico, una huella dactilar, u otro método que se configure previamente.

Los tipos de autenticación pueden ser de diversas formas. A grandes rasgos, se pueden clasificar en dos tipos. El
primer tipo sería la combinación de algo que sabes (por ejemplo una contraseña) más algo que tienes (por ejemplo un
teléfono móvil). El segundo tipo sería la combinación de algo que sabes más algo que «eres» (por ejemplo tu huella
dactilar).

Código enviado por mensaje de texto

Es el método más común. Consiste en enviar un código numérico al número de teléfono del usuario cada vez que
intenta iniciar sesión. El usuario debe introducir ese código junto con su contraseña para poder acceder a la plataforma
deseada.

Código al correo electrónico

El correo electrónico como tipo de autenticación de dos pasos consiste en usar la dirección de correo electrónico del
usuario, por ejemplo Gmail, como factor de autenticación. Se realiza el envío de un código de verificación, o un
enlace de confirmación, al correo electrónico del usuario.

El usuario debe introducir su contraseña más ese código, o hacer clic en ese enlace, para acceder al servicio en línea.
Este método es similar al que se hace mediante SMS, pero usa el correo electrónico en lugar del teléfono.

Aplicaciones móviles

Existen algunas aplicaciones móviles que generan un código de verificación desechable, pues es válido generalmente
por 30 segundos o 1 minuto. Esta es la opción cada vez más popular, ya que combina practicidad y seguridad.

El usuario debe instalar una aplicación de autenticación en su teléfono que genere los códigos aleatorios sincronizados
con el servicio en línea. El ejemplo más conocido de estas aplicaciones es Google Authenticator.

Preguntas de seguridad

Las preguntas de seguridad como tipo de autenticación de dos pasos consisten en usar unas preguntas y respuestas
personales que el usuario elige y recuerda como factor para autenticarse.
El usuario debe responder a esas preguntas correctamente, junto con el ingreso de su contraseña, para poder acceder
a la plataforma deseada.

Código QR

El método de autenticación mediante un código QR consiste en usar una imagen que contiene un código de barras
bidimensional, que se puede escanear con la cámara del teléfono u otro dispositivo. El usuario debe escanear el código
QR que se muestra en el servicio en línea, junto con su contraseña, para acceder a la plataforma.

Es rápido y cómodo, ya que no requiere introducir ningún código ni recibir ningún mensaje. Además es fiable, ya que
el código QR se genera dinámicamente y solo es válido durante un tiempo limitado.

Huella dactilar

La huella dactilar como doble factor de autenticación consiste en usar la huella dactilar del usuario como factor de
autenticación, mediante un sensor biométrico que reconoce y verifica la identidad del usuario. El usuario debe colocar
su dedo sobre el sensor junto con su contraseña para acceder al servicio en línea.

Este método es muy seguro, ya que la huella dactilar es única e intransferible para cada persona.

Llaves de seguridad USB

Las llaves de seguridad son dispositivos físicos que se conectan al ordenador o al teléfono mediante USB, y que
contienen una clave criptográfica única que identifica al usuario. Estas llaves son muy seguras y resistentes
al phishing (que usa la ingeniería social para fraudes) ya que solo funcionan con los sitios web registrados
previamente.

2-
La seguridad de la información se define como un proceso integrado que permite proteger la identificación y gestión
de la información y los riesgos a los que esta se puede ver enfrentada. Esta gestión se hace a través de estrategias y
acciones de mitigación para asegurar y mantener de manera confidencial los datos de una empresa.

Según la Universidad Libre de Colombia, se define como “todas las medidas preventivas y de reacción del individuo,
la organización y las tecnologías para proteger la información; buscando mantener en esta la confidencialidad, la
autenticidad y la integridad.

Importante saber que los términos seguridad de la información y seguridad Informática son diferentes. Este último
trata solamente de la seguridad en el medio informático, mientras que el primero es para cualquier tipo de información,
sea esta digital o impresa.

La seguridad de la información abarca muchas cosas, pero todas estas giran en torno a la información, por ejemplo:
la disponibilidad, la comunicación, la identificación de problemas, el análisis de riesgos, la integridad, la
confidencialidad y la recuperación de los riesgos".

Para implementar la seguridad de la información en tu organización, es importante que tengas en cuenta tres elementos
claves: las personas, los procesos y la tecnología.

• Personas: realizan la gestión y el tratamiento de la información. Pueden ser empleados, directivos, autoridades
competentes, clientes, proveedores, contratistas y prestadores de servicio.
• Procesos: son las actividades que se realizan para cumplir con los objetivos planteados, la mayoría de estas
incluyen información o dependen de esta, por eso, son vulnerables.
• Tecnología: está relacionada con los servicios e infraestructura de la empresa, es la que lleva el manejo y el
desarrollo de la información, además, brinda la oportunidad de almacenar, recuperar, difundir y darle
mantenimiento a los datos de valor que se encuentran ahí.

La norma ISO 27001 establece buenas prácticas para implementar un sistema de gestión de seguridad de la
información. Hacerlo no solo permite proteger los datos de tu organización, que son el activo más importante, sino
también generar mayor confianza entre tus clientes, proveedores y empleados.

En general, esta norma ofrece herramientas que permiten asegurar, integrar y tener de manera confidencial toda la
información de la compañía y los sistemas que la almacenan, evitando así que un ciberataque se materialice y así
mismo, hacer más competitiva a la empresa y cuidar su reputación.

Este estándar internacional se creó para proporcionar a las organizaciones un modelo consistente que permita
establecer, implementar, monitorear, revisar y mantener un Sistema de Gestión de Seguridad de la Información
(SGSI).

La primera versión se publica en 2005 y está enfocada en la normativa BS 7799-2, la siguiente actualización es en
2013 y se ajusta más a las novedades tecnológicas del mercado de su época basándose en normas como ISO/IEC
17799:2005, ISO 13335, ISO/IEC TR 18044:2004 y las directrices de la Organización para la Cooperación y el
Desarrollo Económico (Ocde) para la seguridad de sistemas y redes de información. Esta norma puede aplicarse a
cualquier tipo de empresa, sin importar su industria o tamaño.

La norma ISO 27001 permite que los datos suministrados sean confidenciales, íntegros, disponibles y legales para
protegerlos de los riesgos que se puedan presentar. Contar con este sistema dentro de la organización genera confianza
entre los clientes, proveedores y empleados, además, es un referente mundial. Así mismo, la implementación de esta
norma permite evaluar y controlar los riesgos que se hayan identificado, creando un plan que ayude a prevenirlos y,
en caso de presentarse, a mitigar su impacto.

ISO 27001 también sirve a las empresas para:

• Obtener un diagnóstico por medio de entrevistas.

• Realizar un análisis exhaustivo de todos los riesgos que se puedan presentar.
• Crear un plan de acción acorde a las necesidades puntuales de la empresa.
 • Diseñar procedimientos.
• Entender los requerimientos de seguridad de la información y la necesidad de establecer una política y
objetivos para la seguridad de la información.
• Implementar y operar controles para manejar los riesgos de la seguridad de la información.
• Monitorear y revisar el desempeño y la efectividad del Sistema de Gestión de Seguridad de la Información
(SGSI).
• Favorecer el mejoramiento continuo con base en la medición del objetivo.

Por otro lado, la norma ISO 27001 otorga certificación, esto permite a las empresas demostrarle a sus clientes,
empleados y proveedores que realmente están blindadas en materia de seguridad de la información.

Hoy en día la información de las compañías, su activo más importante, puede sufrir algún tipo de fraude, hackeo,
sabotaje, vandalismo, espionaje o un mal uso por parte del recurso humano.

Estos actos delictivos, generalmente, son realizados por ingenieros, hackers, empleados u organizaciones dedicadas
al robo de datos, que lo único que buscan es interferir en la reputación de la empresa. Por esta razón, es tan importante
contar con herramientas que te permitan evitar que este tipo de hechos sucedan.

Tener en tu empresa un Sistema de Gestión de Seguridad de la Información te permite cumplir con los requerimientos
legales, pues muchos países lo exigen. En la norma ISO 27001 encuentras la metodología que debes seguir para
implementarlo y poder cumplir con lo exigido.

Obtener la certificación en ISO 27001 genera un valor agregado para tu compañía con respecto a tus competidores,
además, mayor confianza entre tus clientes y futuros clientes. Esta certificación también ayuda a disminuir la
probabilidad de ocurrencia de incidentes que generen grandes pérdidas para tu empresa, así evitas consecuencias
perjudiciales y ahorras dinero.

Estructura de la norma:

• Objeto y campo de la aplicación: brinda las herramientas para saber cómo es el uso de la norma, qué beneficios
trae y cómo debes aplicarla.
• Referencias normativas: son los documentos que debes tener en cuenta para aplicar las recomendaciones de
la norma.
• Términos y definiciones: es un glosario que te permite entender las palabras claves de lo que está descrito
allí.
• Contexto de la organización: es uno de los requisitos fundamentales de la norma. Busca entender el contexto
de la empresa y cuáles son sus necesidades para verificar cuál será el alcance del Sistema de Gestión de
Seguridad de la Información que se va a poner en marcha.
• Liderazgo: es importante generar una cultura en la compañía alrededor de la seguridad de la información, por
eso, todos los empleados deben estar enterados sobre los planes de acción que se van a llevar a cabo y de qué
manera ellos contribuyen a su cumplimiento. Por eso, es clave que los líderes de la empresa nombren
responsables y den a conocer oportunamente las políticas establecidas.
• Planificación: aquí debes establecer los objetivos y cuál va a ser el camino a seguir para lograrlos, cómo será
la implementación del Sistema de Gestión de Seguridad de la Información teniendo en cuenta los riesgos que
fueron identificados previamente.
• Soporte: para el adecuado funcionamiento del sistema debes contar con los recursos necesarios que les
permitan ser competentes, contar con una óptima comunicación y documentar la información requerida para
cada caso.
• Operación: para tener una gestión eficaz debes planificar, implementar, monitorear y controlar cada uno de
los procesos, valorar cada riesgo y crear una solución para cada uno de ellos.
• Evaluación de desempeño: aquí debes realizar el seguimiento, la medición, el análisis y la evaluación del
sistema implementado con el fin de verificar que se está cumpliendo con lo establecido.
 • Mejora: se trata de identificar qué aspectos no están funcionando correctamente para poder ajustarlos y
cumplir con su objetivo final.

Para proteger la información se utilizan protocolos que garantizan la seguridad e integridad por medio de reglas
establecidas. Estos protocolos se diseñaron para prevenir que agentes externos no autorizados tengan acceso a los
datos, están compuestos por:

• Cifrado de datos: cuando el mensaje es enviado por el emisor lo que hace es ocultar la información hasta que
esta llegue al receptor.
• Lógica: debe contar con un orden en el que primero van los datos del mensaje, el significado y en qué
momento se va a enviar este.

• Autenticación: esta técnica se utiliza para saber que la información está siendo manipulada por un ente
autorizado y no está sufriendo algún tipo de intervención por agentes externos.

El Sistema de Gestión de Seguridad de la Información (SGSI) es el concepto central sobre el que se construye la
norma ISO 27001. De acuerdo con esta normativa, la seguridad de la información consiste en la preservación de la
confidencialidad, integridad y disponibilidad y es bajo estos tres términos que se realiza el análisis y evaluación de
los activos de información.

El SGSI debe estar enfocado en cuatro fundamentos:

• Disponibilidad: Se refiere a tener acceso a la información necesaria. Es importante evitar que el sistema tenga
problemas o que algún ente externo intente acceder de manera ilícita a los programadores de la compañía.
• Confidencialidad: Es la información que solo está disponible para el personal autorizado, por ende esta no
debe ser distribuida por terceros.
• Integridad: La información que está registrada debe ser la correcta y no tener errores o algún tipo de
modificaciones. Esto se hace para evitar amenazas externas o errores humanos.
• Autenticación: Esta información la brinda directamente un usuario y se debe validar que los datos otorgados
sean los correctos.

Este proceso permite garantizar que la gestión de la seguridad de la información se realiza de la manera adecuada,
por eso debe documentarse para que toda la organización lo conozca y sepa cómo actuar frente a situaciones de posible
amenaza.

¿Para qué nos sirve el SGSI?

La información de una compañía es uno de sus activos más importantes, por eso es indispensable protegerla porque
esta es esencial para el cumplimiento de los objetivos.

Un SGSI es de gran ayuda para cumplir

con la legalidad y la protección de los
datos, pues permite definir los
procedimientos y controles que se llevarán
a cabo para mantener los datos blindados.
Además, establecer las políticas que deben
conocer todos los miembros de la
organización y tener claridad de cuáles son
los riesgos que pueden sufrir y de qué
manera se pueden mitigar.
Un Sistema de Gestión de Seguridad de la Información, según la norma ISO 27001, debe incluir los siguientes
elementos:

1. Manual de seguridad:

Este documento contiene la guía de cómo se debe implementar y

seguir el Sistema de Gestión de Seguridad de la Información.
Aquí se incluye toda la información como objetivos, alcance,
responsables, políticas, directrices, entre otras actividades que se
decidan llevar a cabo.

2. Procedimientos:

Estos se relacionan con las actividades operativas, ya que estos

dan los parámetros que se deben seguir para que la gestión sea
eficaz y la planificación, la operación y el control sean los
adecuados en los procesos de seguridad de la información.

3. Instrucciones:

Es la descripción de lo que se debe hacer paso a paso, cuáles son las tareas y actividades que se deben cumplir para
que la gestión sea eficiente.

4. Registros:

Es la evidencia de la información que ha sido documentada durante toda la gestión para verificar que se estén
cumpliendo con los objetivos propuestos.

¿Cómo se implementa el SGSI?

1. Definir la política de seguridad

Aquí debes determinar los objetivos, el marco general, los requerimientos legales, los criterios con los que serán
evaluados los riesgos y para esto debes establecer la metodología, que debe estar aprobada por la dirección o la junta
directiva.

2. Definir el alcance del SGSI

Debes tener claridad de qué se logrará una vez se ponga en marcha el plan de acción en la organización, ten en cuenta
los activos, las tecnologías y la descripción de cada uno de ellos.

3. Identificar los riesgos

En esta fase debes reconocer las posibles amenazas a las que puede estar expuesta la compañía, quiénes son los
responsables directos, a qué son vulnerables y cuál sería el impacto en caso de que se llegue a violar la
confidencialidad, la integridad y la disponibilidad de los activos de información.

4. Analizar y evaluar los riesgos

Debes evaluar el impacto que tendría alguno de los riesgos si se llega a materializar, identificar cuál es la
probabilidad de ocurrencia y cómo esto podría afectar a los controles que ya están implementados, de igual
manera, verificar si se puede aceptar o debe ser mitigado.

Con el módulo de seguridad de la información de Pirani puedes evaluar de una manera simple los diferentes
riesgos que pueden afectar la confidencialidad, disponibilidad e integridad de los activos de información de tu
organización.

5. Hacer un tratamiento de riesgos

Es decir, aplicar los controles adecuados, clasificar los niveles de riesgo, evitarlos o transferirlos a terceros si es
posible.

6. Declarar la aplicabilidad

Debes establecer los objetivos de control y seleccionar los controles que se van a implementar.

7. Realizar la gestión

Consiste en definir cómo será el tratamiento de los riesgos, aplicar el tratamiento teniendo en cuenta los controles que
fueron identificados, y las responsabilidades de cada uno, implementar los controles, definir el sistema de
métricas, generar conciencia dentro de la organización y fomentar una cultura que permita que todos los empleados
conozcan el SGSI, además, gestionar su operación y utilizar los recursos necesarios para su cumplimiento.

8. Monitorear

Periódicamente debes hacer una revisión del SGSI para identificar si está cumpliendo con lo que señala la norma ISO
27001, con los objetivos planteados y si es efectivo, así mismo, para reportar las mejoras que deben hacer y cuáles
serán las acciones a ejecutar para lograr esto.

Actividades a tener en cuenta:

• Contar con el apoyo de la alta gerencia, directores y junta directiva.

• Establecer la metodología que se va a implementar.
• Definir el alcance del SGSI.
 • Redactar una política de seguridad de la información.
• Definir la evaluación de riesgos.
• Llevar a cabo la evaluación y el tratamiento de riesgos.
• Dar a conocer cómo va ser la aplicabilidad del SGSI.
• Tener claro el plan de tratamiento de riesgos.
• Definir cómo se medirá la efectividad de los controles.
• Implementar todos los controles y procedimientos necesarios.
• Crear cultura dentro de la empresa a través de programas de capacitación y concientización.
• Monitorear y medir el SGSI para verificar si sí está siendo efectivo.
• Hacer auditoría interna.
• Si hay que hacer mejoras en algunas de las fases ponerlo en práctica.

3.

La copia es por medio de un vídeo.

No se acaba de hacer porque se me apaga el ordenador y el pendrive me funciona mal.

https://youtu.be/x5rJgn3IfmQ