SEGURIDAD Y

PENTESTING DE
SERVIDORES DE
DATOS
Prueba de Evaluación Continua, PEC 2

Máster Universitario en Ciberseguridad y Privacidad

Universitat Oberta de Catalunya (UOC)

Sara Martín Frechina

Ejercicio 1. Implicaciones en las BBDD de General Data Protection
Regulation

Contesta las siguientes preguntas al respecto de la GDPR:

a) ¿Quién está obligado a cumplir con esta normativa?

Están obligados a cumplir con esta normativa todos los responsables o encargados
del tratamiento de datos personales que estén establecidos en la Unión Europea.
También aquellos responsables o encargados del tratamiento que, aunque no estén
establecidos en la Unión Europea, traten datos personales de personas físicas
residentes en el territorio de la Unión Europea en situaciones como la oferta de
bienes o servicios a dichas personas, o cuando el tratamiento esté relacionado con
la observación del comportamiento de esas personas, siempre que este último tenga
lugar en la Unión Europea. Es decir, este reglamento se aplica a cualquier entidad
que procese datos personales de ciudadanos de la Unión Europea (UE)
independientemente de la ubicación física de la entidad.

b) Describe brevemente cuáles son los principios que rigen esta nueva normativa.

Los principios del RGPD son:

1. Licitud del tratamiento: El tratamiento de datos debe ser siempre lícito y puede
basarse en el consentimiento del interesado, la ejecución de un contrato, el
cumplimiento de una obligación legal, la protección de intereses vitales, el
interés público, el ejercicio de poderes públicos o la satisfacción de intereses
legítimos del responsable del tratamiento, siempre que no prevalezcan sobre los
derechos fundamentales del interesado.
2. Lealtad y transparencia: Informar al interesado sobre cualquier actividad de
tratamiento, estableciendo claramente los fines del tratamiento. Se busca
proporcionar a los interesados información precisa sobre la identidad de los
encargados del tratamiento y los fines de dichos tratamientos, incluyendo la
elaboración de perfiles si es el caso.
3. Limitación de la finalidad: Los datos deben ser recogidos para un fin
determinado, explícito y legítimo, establecido en el momento de la recogida. Se
debe garantizar que los datos solo se utilicen para la finalidad para la cual fueron
recogidos, evitando tratamientos incompatibles o para fines adicionales.
4. Minimización de datos: Se establece que los datos deben ser adecuados,
pertinentes y limitados a lo necesario en relación con los fines para los que son
tratados. La recopilación debe limitarse a los datos estrictamente necesarios
para cumplir con los fines establecidos, evitando la recopilación de datos
adicionales innecesarios.

2
 5. Exactitud: Los datos deben ser precisos y, cuando sea necesario, actualizados. Se
exige tomar medidas razonables para corregir o suprimir en el menor tiempo
posible los datos inexactos con respecto a los fines del tratamiento.
6. Limitación del plazo de conservación: Los datos deben mantenerse el tiempo
necesario para los fines del tratamiento. Se permite un plazo superior en casos
específicos, como fines de archivo en interés público, investigación científica o
histórica, o fines estadísticos, con medidas técnicas y organizativas adecuadas.
7. Integridad y confidencialidad: Se exige garantizar la seguridad de los datos
personales mediante medidas técnicas y organizativas para prevenir tratamiento
no autorizado o ilícito, pérdida, destrucción o daño accidental. Se establecen
obligaciones de notificación en caso de incidentes de seguridad.
8. Responsabilidad proactiva: Implica que el responsable del tratamiento debe
garantizar y demostrar que cumple con todas las disposiciones de la normativa.
Incluye considerar la protección de datos desde la concepción y diseño de
productos o servicios, implementar políticas de protección de datos, y establecer
procesos para notificación de incidentes, gestión de solicitudes de derechos y
evaluación de riesgos.

c) ¿Cuáles son los principales derechos que posee el sujeto de los datos?

El sujeto de los datos posee varios derechos según el RGPD:

1. Derecho a la transparencia de la información: El derecho a recibir información

de manera clara y transparente sobre el tratamiento de sus datos y los fines de
este tratamiento.
2. Derecho de acceso: El derecho a acceder a los datos personales que el
responsable del tratamiento posee sobre el interesado. Permite a los ciudadanos
solicitar y verificar la licitud del tratamiento de sus datos personales. Las
organizaciones deben facilitar el acceso a estos datos.
3. Derecho de rectificación: El derecho a solicitar la corrección de datos personales
inexactos y completar datos incompletos.
4. Derecho al olvido: El derecho a obtener la supresión de los datos personales en
ciertos casos, como cuando ya no son necesarios para los fines originales, se
retire el consentimiento o cuando se ejerza el derecho de oposición.
5. Derecho de limitación del tratamiento: El derecho a obtener la limitación del
tratamiento en situaciones específicas, como la verificación de la exactitud de
los datos.
6. Derecho a la portabilidad: El derecho a recibir los datos personales en un
formato estructurado y legible, y la posibilidad de transmitirlos directamente a
otro responsable, si es técnicamente posible.
7. Derecho de oposición: El derecho a oponerse al tratamiento de sus datos
personales en determinadas circunstancias. El responsable debe dejar de tratar
los datos a menos que pueda demostrar motivos legítimos que prevalezcan
sobre los derechos del interesado.

3
d) En el escenario en el que una empresa que ha implementado una página de e-
commerce almacena toda la base de datos con la información de sus clientes en el
cloud público de Amazon; ¿cuál de los roles definidos por el GDPR estaría adoptando
la empresa de e-commerce y cual le correspondería a Amazon?

En primer lugar, la empresa de e-commerce adoptaría el rol de responsable del

tratamiento según el RGPD. Esta empresa tiene la responsabilidad de informar y
determinar los fines y los medios del tratamiento de los datos de sus clientes.
Incluyendo la recopilación de datos durante las transacciones, su almacenamiento
en la nube de Amazon, y cualquier otro procesamiento necesario. La empresa es
responsable de cumplir con las disposiciones del RGPD y garantizar la seguridad y
privacidad de los datos de sus clientes.

Por otro lado, Amazon, al proporcionar servicios de almacenamiento en la nube,

asumiría el papel de encargado del tratamiento. La empresa de e-commerce utiliza
los servicios de Amazon para almacenar y procesar los datos de sus clientes, pero
Amazon no determina los fines ni los medios de este tratamiento. Su responsabilidad
se centra en proporcionar una infraestructura segura y confiable, de acuerdo con las
instrucciones y requisitos del responsable del tratamiento. Amazon debe cumplir
con las normativas de protección de datos y garantizar la seguridad de la información
almacenada en su nube.

e) En caso de que la empresa de e-commerce anterior tuviera constancia de tener

comprometido los datos de sus clientes debido a un incidente de seguridad, ¿cuáles
son sus obligaciones? ¿Qué puede pasar si no cumple con dichas obligaciones?

En caso de que la empresa de e-commerce tenga constancia de un compromiso de

sus datos debido a un incidente de seguridad, las obligaciones serían las siguientes:

1. Notificación a la autoridad de protección de datos: La empresa, como

responsable del tratamiento, está obligada a notificar al cuerpo regulador
pertinente sin dilación indebida, y, en cualquier caso, dentro de las 72 horas
posteriores a la toma de conocimiento del compromiso de los datos. Si la
notificación no se realiza dentro de este plazo, debe ir acompañada de las
razones del retraso.
2. Comunicación a los afectados: Si el compromiso de los datos afecta con
probabilidad a los derechos y libertades de las personas físicas (clientes), el
encargado del tratamiento debe comunicar el compromiso de los datos al sujeto
de los datos sin dilación indebida.

En caso de incumplimiento de estas obligaciones, la empresa podría enfrentar

sanciones financieras significativas, que podrían ascender a multas de hasta 10
millones de euros o un 2 % de la facturación total anual del último año financiero,
tomando la cuantía que sea mayor entre las dos. Además, el incumplimiento
también puede tener repercusiones en la reputación de la empresa y exponerla a
posibles acciones legales por parte de los clientes afectados.

4
f) ¿En qué casos será obligatorio designar a un Oficial de Protección de Datos?

En base al Reglamento General de Protección de Datos (RGPD) será obligatorio

designar a un Oficial de Protección de Datos (DPO) en los siguientes casos:

1. Cuando el tratamiento lo lleve a cabo una autoridad u organismo público: En este

caso, las entidades gubernamentales y organismos públicos, con la excepción de
los tribunales en el ejercicio de la función judicial, están obligados a designar un
DPO.
2. En tratamientos a gran escala que, por su naturaleza, alcance y/o fines requieran
de una observación habitual y sistemática de los interesados: Situaciones en las
que las organizaciones realicen tratamientos a gran escala que impliquen una
observación habitual y sistemática de los interesados, como en el caso de la
creación de perfiles, requerirán la designación de un DPO.
3. En los tratamientos a gran escala de datos dentro de la categoría especial de
datos personales, los relativos a infracciones o condenas penales: Cuando se
realicen tratamientos a gran escala que involucren datos considerados
especiales (categoría especial) o datos relacionados con infracciones o condenas
penales, se requerirá la designación de un DPO.

g) Uno de los casos de uso que se barajan en la organización es realizar minería de

datos aprovechando el gran volumen de datos alojados en las bases de datos con
objeto de ofrecer a los clientes servicios personalizados. ¿Qué aspectos legales
deberían considerarse en este supuesto?

En el caso de realizar minería de datos con el objetivo de ofrecer servicios

personalizados a los clientes, varios aspectos legales deben considerarse para
garantizar el cumplimiento del RGPD. Algunos de los aspectos legales a considerar
son:

• Obtener el consentimiento expreso de los usuarios para realizar la minería

de datos con el propósito de ofrecer servicios personalizados. El
consentimiento debe ser informado, específico y libre, y los usuarios deben
ser plenamente conscientes de cómo se utilizarán sus datos.
• Los usuarios deben ser informados de manera clara y transparente sobre la
recopilación y el procesamiento de sus datos con fines de minería. Se debe
proporcionar información detallada sobre la naturaleza de la minería de
datos, los objetivos, y cómo se utilizarán los resultados para personalizar los
servicios.
• La minería de datos debe llevarse a cabo con un propósito específico y
legítimo. Los datos recopilados deben limitarse a lo que es necesario para
lograr ese propósito, y no deben ser utilizados para fines no compatibles sin
el consentimiento adicional del usuario.
• Los usuarios deben tener el derecho de oponerse a la minería de datos,
incluso después de haber otorgado su consentimiento inicial. La organización

5
 debe proporcionar un medio para que los usuarios retiren su consentimiento
si así lo desean.
• Se deben implementar medidas de seguridad adecuadas para proteger los
datos durante la minería y garantizar la confidencialidad, integridad y
disponibilidad de la información. Esto incluye consideraciones sobre el
acceso a los datos y la prevención de brechas de seguridad.
• En casos de minería de datos a gran escala que pueden presentar riesgos
para los derechos y libertades de los usuarios, se puede requerir realizar una
evaluación del impacto para evaluar y mitigar los riesgos.
• Dependiendo de la naturaleza y alcance de la minería de datos, podría ser
necesario designar un delegado de protección de datos (DPO) para
supervisar el cumplimiento de las normativas de protección de datos.

h) Como responsable de seguridad de la información de una prestigiosa universidad

online, el rector te ha pedido que prepares un e-mail para enviar a todo el personal
técnico de la universidad destacando los principales aspectos de la GDRP y cómo
esta nueva normativa puede afectar a los procesos de la Universidad. Realiza un
redactado corto y conciso con todas las afectaciones.

A todo el personal técnico, como responsable de seguridad de la información de

nuestra universidad online, quiero compartir con vosotros información esencial
sobre el Reglamento General de Protección de Datos (RGPD) y su impacto en
nuestros procesos de la universidad.

El RGPD, de obligada aplicación desde mayo de 2018, establece estándares más

estrictos en la protección de datos personales. A continuación, os resumo los
aspectos clave de esta normativa y cómo pueden afectar a nuestra universidad:

• Es fundamental asegurar que obtenemos el consentimiento claro de

nuestros usuarios para el procesamiento de sus datos. Necesitamos ser
transparentes en nuestras prácticas de recopilación y tratamiento de datos
para garantizar la confianza y la comprensión de nuestra comunidad
universitaria.
• Nos comprometeremos a atender de manera pronta los derechos de
nuestros miembros, incluyendo el acceso a la información, rectificación de
datos inexactos, supresión de información cuando sea necesario, y la
portabilidad de datos. Hay que estar preparados para gestionar
eficientemente cualquier solicitud relacionada con los datos personales de
nuestros usuarios.
• Debemos de reforzar nuestras medidas de seguridad para asegurar la
confidencialidad, integridad y disponibilidad de la información. Esto implica
una respuesta rápida y eficaz ante posibles violaciones de seguridad,
garantizando la protección de los datos sensibles de nuestros estudiantes,
profesores y personal.

6
 • En proyectos que puedan plantear riesgos significativos para la privacidad de
nuestra comunidad universitaria, llevaremos a cabo evaluaciones de impacto
de protección de datos. Esto nos permitirá identificar y abordar posibles
amenazas, asegurando que todas nuestras iniciativas se alineen con los
estándares de privacidad.
• Se designará un delegado de protección de datos (DPO) que supervisará el
cumplimiento del RGPD en nuestra universidad. Este profesional actuará
como punto de contacto con las autoridades de control, asegurando una
gestión eficaz y conforme a las regulaciones de privacidad.

Esto son solo algunas de las medidas más importantes para tener en cuenta. Es
esencial que todos colaboremos para garantizar que nuestra universidad cumpla con
los estándares del RGPD. Os animo a revisar nuestras prácticas actuales y a estar
atentos a futuras actualizaciones sobre este tema.

Agradezco vuestro compromiso con la seguridad de la información y la protección

de datos en nuestra institución.

Atentamente, la responsable de seguridad de la información.

Bibliografía Ejercicio 1

• Benjumea Gómez, O. (2021). Bastionar servidores de datos. Universitat Oberta

de Catalunya (UOC). Asignatura: Seguridad y Pentesting de servidores de datos.

• GDPR-Text.com. (2023, 28 junio). Reglamento General de Protección de Datos

(RGPD) - GDPR-Text.com. GDPR-Text.com - GDPR Text, Translation and
Commentary. https://gdpr-text.com/es/

7
Ejercicio 2. Responsables de la seguridad de los datos

La compañía ACME tiene, entre otras, una base de datos corporativa en la que almacena
los datos de sus empleados, incluyendo sus datos personales y sus sueldos. Mediante
un proceso automático, se realiza una copia de seguridad mensual de la base de datos
que se almacena en una cinta en un lugar seguro. Por otro lado, existe un proceso
mensual que extrae un subconjunto de datos y lo envía a un sistema de archivos en un
servidor para preparar el proceso de nóminas.

Teniendo en cuenta este escenario, contesta de manera argumentada las siguientes

cuestiones:

2.1. Describe que roles o individuos tendrían alguna responsabilidad en la seguridad (no
solo privacidad/GDPR, sino en un sentido más amplio) de dichos datos y cuáles serían
sus funciones principales.

En el escenario descrito, varios roles e individuos tendrían responsabilidades en la

seguridad de los datos almacenados en la base de datos corporativa de ACME. A
continuación, se detallan algunos de estos roles:

• Responsable del tratamiento: En este caso sería la propia compañía ACME. Esta
tiene la responsabilidad final de determinar los fines y los medios del
tratamiento de datos personales de sus empleados, incluyendo la información
salarial almacenada en la base de datos corporativa.

• Responsable de seguridad de la información (CISO): Encargado de liderar la

estrategia de seguridad de la información en la organización. En este caso,
supervisaría la implementación de medidas de seguridad para garantizar la
confidencialidad, integridad y disponibilidad de los datos almacenados en la base
de datos. Además, se encargaría de establecer políticas de seguridad y de
gestionar las respuestas ante posibles incidentes de seguridad.

• Administrador de la base de datos: Responsable de administrar la base de datos

corporativa, incluyendo la gestión de accesos, la implementación de controles
de seguridad a nivel de base de datos y la realización de copias de seguridad
periódicas. Colaboraría con el CISO para garantizar la aplicación de prácticas de
seguridad sólidas en el manejo de los datos almacenados.

• Administrador de sistemas: Encargado de gestionar el servidor donde se

almacena el sistema de archivos para el proceso de nóminas. Debería
implementar medidas de seguridad en el servidor y supervisar el acceso a los
datos almacenados en este sistema. Colaboraría con el CISO para asegurar la
integridad y seguridad de la información en el servidor.

• Responsable de recursos humanos: El departamento de recursos humanos

tendría la responsabilidad de garantizar la privacidad y confidencialidad de los

8
 datos personales de los empleados. Esto incluiría asegurarse de que solo
personal autorizado tenga acceso a información salarial y personal. Además,
deberían colaborar en la definición de políticas de privacidad y seguridad en el
manejo de datos de los empleados.

• Delegado de protección de datos (DPO): Responsable de supervisar el

cumplimiento de las regulaciones de privacidad. Colaboraría con los
responsables de la base de datos, sistemas y recursos humanos para asegurar
que todas las actividades de tratamiento de datos se realicen de acuerdo con las
normativas de privacidad, incluyendo la realización de evaluaciones de impacto
de protección de datos cuando sea necesario.

2.2. ¿Qué medidas básicas de seguridad crees que deberían implementar cada uno de
los responsables mencionados en el apartado anterior?

Las medidas básicas de seguridad que deberían implementar cada uno de los
responsables mencionados en el apartado anterior son las siguientes:

• Responsable del tratamiento: Como en este caso el responsable del tratamiento

es la propia empresa, las funciones de esta estarían repartidas entre los
diferentes roles mencionados anteriormente.

• Responsable de seguridad de la información (CISO):

- Desarrollar e implementar políticas de seguridad de la información.
- Establecer controles de acceso robustos y gestionar los privilegios de
usuario.
- Supervisar la implementación de cifrado para proteger la
confidencialidad de los datos.
- Implementar sistemas de monitoreo y detección de intrusiones.
- Coordinar ejercicios regulares de prueba de penetración y evaluaciones
de seguridad.
- Asegurarse de que se realicen copias de seguridad periódicas y pruebas
de recuperación de datos.

• Administrador de la base de datos:

- Aplicar medidas de seguridad a nivel de base de datos, como cifrado de
datos y auditoría.
- Gestionar y restringir los accesos a la base de datos según los principios
de privilegios mínimos.
- Implementar procedimientos de copia de seguridad y recuperación.
- Monitorear y registrar actividades en la base de datos para detectar
posibles amenazas.

• Administrador de sistemas:
- Mantener el sistema operativo y el software actualizados con los últimos
parches de seguridad.

9
 - Configurar firewalls y otros controles de red para limitar el tráfico no
autorizado.
- Implementar medidas de autenticación fuerte para acceder al servidor.
- Realizar evaluaciones regulares de vulnerabilidades en el servidor.

• Responsable de recursos humanos:

- Establecer políticas y procedimientos claros sobre el manejo de datos
personales.
- Proporcionar capacitación regular a los empleados sobre la importancia
de la seguridad de los datos.
- Gestionar los accesos a la información salarial de los empleados y
restringirlos según la necesidad.

• Delegado de protección de datos (DPO):

- Supervisar y garantizar el cumplimiento de las regulaciones de
privacidad, incluido el RGPD.
- Coordinar la realización de evaluaciones de impacto cuando sea
necesario.
- Ser el punto de contacto con las autoridades de control en temas de
privacidad.
- Colaborar con los demás responsables para asegurar la transparencia y el
cumplimiento de los derechos de los individuos.

2.3. La compañía ha planteado contratar un servicio de Cloud Computing que permita la

gestión remota de todos los datos de la compañía. De este modo, se accederá mediante
un web service para la inserción y modificación de todos los datos, y una interfaz permite
la gestión de estos. La compañía que ofrece el servicio dice ocuparse de la seguridad de
los datos, así como de realizar las copias de seguridad. ¿Cómo cambia este nuevo
planteamiento el anterior esquema (explica cómo cambian los roles y las
responsabilidades de cada uno)? Comparado con el escenario anterior, ¿qué riesgos y
oportunidades crees que han aparecido?

En primer lugar, los cambios en los roles y responsabilidades en cada uno:

• Responsable del Tratamiento (ACME):

- Sigue siendo el responsable final de los datos de sus empleados.
- Delega parte de la gestión y seguridad de los datos al proveedor de servicios
en la nube.

• Encargado del Tratamiento (Proveedor de Cloud Computing):

- Se convierte en un actor clave como encargado del tratamiento.
- Responsable de la seguridad de los datos almacenados en la nube.
- Encargado de realizar copias de seguridad y garantizar la disponibilidad de
los datos.

10
 • Responsable de seguridad de la información (CISO):
- Deberá coordinarse con el proveedor de la nube para garantizar políticas de
seguridad coherentes.
- Continuará supervisando la seguridad general y la conformidad con las
regulaciones.

• Administrador de la base de datos (base de datos en la nube):

- Las responsabilidades de administración de la base de datos ahora pueden
ser compartidas con el proveedor de la nube.
- Enfoque en la configuración y gestión de la base de datos en la
infraestructura de la nube.

• Administrador de sistemas (servidores en la nube):

- Responsable de gestionar la configuración y seguridad de los servidores en la
nube.
- Trabaja en colaboración con el proveedor de la nube para garantizar la
seguridad del entorno.

• Responsable de recursos humanos:

- Mayor énfasis en la gestión de accesos y la privacidad de los datos en la nube.

• Delegado de protección de datos (DPO):

- Supervisar la conformidad con las regulaciones de privacidad en el contexto
de la nube.
- Asegurar que los acuerdos con el proveedor de la nube cumplan con los
requisitos de privacidad.

Con esta nueva infraestructura aparecen nuevos riesgos y nuevas oportunidades.

Algunos de los riesgos que aparecen con el servicio de Cloud Computing son:

• Seguridad en la nube: La seguridad depende del proveedor, lo que introduce

riesgos adicionales si no se implementan medidas adecuadas.

• Disponibilidad: La fiabilidad del servicio de la nube afecta la disponibilidad de los

datos, ya que un usuario malintencionado puede realizar un ataque de
denegación de servicio y provocar un periodo de inactividad.

• Transferencia internacional de datos: Es posible que los datos se almacenen en

servidores fuera de la Unión Europea, lo que requiere garantizar el cumplimiento
con las normativas de transferencia internacional de datos.

Algunos de las oportunidades que aparecen con el servicio de Cloud Computing son:

• Escalabilidad: Posibilidad de escalar recursos de manera eficiente según las

necesidades.

11
 • Acceso Remoto: Facilita la gestión remota de datos desde cualquier ubicación.

• Reducción de Costos: Puede resultar en ahorros de costos al eliminar la

necesidad de infraestructura local.

2.4. La compañía quiere también poner en marcha un sistema de comercio electrónico,

permitiendo a sus clientes realizar pagos online mediante tarjeta de crédito y otros
medios de pago seguro. ¿Qué consideraciones adicionales desde el punto de vista de la
seguridad del almacenamiento de los datos deberán analizarse en virtud de este
cambio?

En primer lugar, hay que asegurarse de cumplir con los estándares de seguridad de
tarjetas de pago como el Estándar de Seguridad de Datos de la Industria de Tarjetas de
Pago (PCI DSS). Este estándar establece requisitos para la seguridad de la información
de tarjetas de pago. Teniendo en cuenta este estándar, se pueden destacar varias
consideraciones y medidas de seguridad desde el punto de vista de la seguridad del
almacenamiento de los datos que deben implementarse específicamente para cumplir
con los requisitos de este estándar:

• Almacenamiento mínimo de datos: Implementar políticas y procesos de

retención y eliminación de datos para almacenar la menor cantidad posible
durante el tiempo necesario según requisitos legales o del negocio. Realizar
auditorías trimestrales para identificar y eliminar datos que excedan los periodos
de retención definidos.
• Almacenamiento de datos confidenciales de autenticación: No almacenar datos
confidenciales de autenticación después de recibir la autorización de pago,
incluso cifrados. Solo se permite su almacenamiento a emisores de tarjetas y
entidades respaldando servicios de emisión con justificación de negocio y
almacenamiento seguro.
• Enmascaramiento del PAN: Enmascarar el Principal Account Number (PAN),
conocido como número de la tarjeta de pago, al ser mostrado en pantalla o en
otros medios. Solo permitir la visualización de los primeros seis o los últimos
cuatro dígitos.
• Almacenamiento seguro del PAN: Almacenar el PAN de manera ilegible
utilizando métodos como el almacenamiento del hash en lugar del número de la
tarjeta, truncamiento, almacenamiento de tokens o índices, o utilizar
mecanismos robustos de cifrado con procedimientos documentados para la
protección de claves.
• Cifrado a nivel de disco o partición de almacenamiento: Implementar cifrado a
nivel de disco o partición de almacenamiento, asegurándose de que no sea un
cifrado transparente para el usuario. El descifrado no debe estar ligado a la
autenticación del sistema operativo o de la base de datos, sino contar con un
sistema de autenticación independiente.

12
Bibliografía Ejercicio 2

• Benjumea Gómez, O. (2021). Bastionar servidores de datos. Universitat Oberta

de Catalunya (UOC). Asignatura: Seguridad y Pentesting de servidores de datos.

• GDPR-Text.com. (2023, 28 junio). Reglamento General de Protección de Datos

(RGPD) - GDPR-Text.com. GDPR-Text.com - GDPR Text, Translation and
Commentary. https://gdpr-text.com/es/

• INCIBE. (2023, 20 de junio). Roles en ciberseguridad: desde el CEO a los usuarios

finales. Recuperado de https://www.incibe.es/empresas/blog/roles-en-
ciberseguridad-desde-el-ceo-los-usuarios-finales

• Educaweb. (2013, 2 junio). Administrador de bases de datos. educaweb.com.

https://www.educaweb.com/profesion/administrador-bases-datos-724/

• Unir, V. (2021, 19 octubre). ¿Qué es un administrador de sistemas? UNIR.

https://www.unir.net/ingenieria/revista/administrador-sistemas/

• Webmaster. (2023, 6 junio). Cómo garantizar la protección de datos en la gestión

de recursos humanos. GesLOPD. https://www.geslopd.es/como-garantizar-la-
proteccion-de-datos-en-la-gestion-de-recursos-humanos/

• GetApp. (2020, 10 de febrero). Conoce y evita los riesgos y amenazas en cloud

computing. Recuperado de https://www.getapp.es/blog/1296/conoce-y-evita-
los-riesgos-y-amenazas-en-cloud-computing

• Acosta, D. (s. f.). ¿Qué es PCI DSS? | PCI Hispano.

https://www.pcihispano.com/que-es-pci-dss/

13
Ejercicio 3. Base de Datos NoSQL

En la organización en la que trabajas se están planteando el uso de ElasticSearch para la

persistencia y búsqueda de los datos de una nueva aplicación.

Entre otros datos, la aplicación gestionará información sobre clientes, incluyendo datos
personales y datos de tarjetas de pago entre otra información sensible.

De hecho, el departamento de medios de pago se está planteando guardar toda la

información de los datos de la tarjeta, incluyendo el PIN de la misma, para facilitar el
proceso de compra a los clientes y que no tengan que volver a introducir todos los datos
en cada compra.

Como responsable de la seguridad de las aplicaciones y bases de datos te han pedido

que:

1. Realizar un estudio de los riesgos que supone el uso de ElasticSearch en la aplicación.

El uso de ElasticSearch en la aplicación introduce ciertos riesgos de seguridad que deben

ser considerados. Aquí se destacan algunos de los posibles problemas:

• Acceso no autorizado: ElasticSearch podría ser vulnerable a accesos no

autorizados si no se implementan adecuadas medidas de autenticación y
autorización.
• Fugas de información sensible: La indexación y búsqueda de datos sensibles
podrían resultar en fugas de información si no se aplican medidas adecuadas de
enmascaramiento o cifrado.
• Ataques de inyección y malware: ElasticSearch podría ser susceptible a ataques
de inyección y malware si no se valida y filtra adecuadamente la entrada de
datos.
• Problemas de configuración: Configuraciones incorrectas pueden exponer
ElasticSearch a riesgos de seguridad, como la exposición de índices o nodos al
público.

2. Documentar los requisitos de seguridad que se deberán considerar en su implantación

para prevenir o mitigar dichos riesgos.

Considerando los riesgos mencionados, es esencial establecer requisitos de seguridad

para mitigar posibles amenazas. Aquí se detallan algunos requisitos clave:

• Autenticación y autorización:
o Implementar un sólido sistema de autenticación que requiera
credenciales válidas para acceder a ElasticSearch.
o Definir roles y permisos adecuados para garantizar la autorización
correcta de usuarios y aplicaciones.

14
 • Enmascaramiento y cifrado:
o Aplicar enmascaramiento de datos durante la indexación y búsqueda
para ocultar información sensible.
o Utilizar cifrado robusto para proteger datos sensibles almacenados,
especialmente datos de tarjetas de pago y detalles personales.

• Validación de datos:
o Implementar rigurosas validaciones de entrada para prevenir ataques de
inyección y garantizar la integridad de los datos almacenados.

• Auditorías y monitorización:
o Configurar registros de auditoría para supervisar actividades en
ElasticSearch y detectar posibles amenazas.
o Establecer un sistema de monitorización para alertar sobre cambios
inusuales en el comportamiento del sistema.

• Actualizaciones y parches:
o Mantener ElasticSearch actualizado con las últimas correcciones de
seguridad para mitigar vulnerabilidades conocidas.
o Aplicar parches de seguridad de manera oportuna y documentada.

• Segregación de redes y nodos:

o Segregar entornos de red para ElasticSearch y limitar la exposición de
nodos al público.
o Configurar ajustes de red seguros para reducir el riesgo de accesos no
autorizados.

• Respaldo y recuperación:
o Implementar un plan de respaldo y recuperación que garantice la
disponibilidad y recuperación de datos en caso de incidentes.

Bibliografía Ejercicio 3

• Bressers, J., & Bressers, J. (2020, 14 octubre). Consejos para asegurar los clusters
de Elasticsearch de forma gratuita con encripción, usuarios y más. Elastic Blog.
https://www.elastic.co/es/blog/tips-to-secure-elasticsearch-clusters-for-free-
with-encryption-users-and-more

• POS attacks possible as different types of malware infect 4,000 ElasticSearch

servers. (2018, 27 septiembre). Security Intelligence.
https://securityintelligence.com/news/pos-attacks-possible-as-different-types-
of-malware-infect-4000-elasticsearch-servers/

• Seguridad del elastic (ELK) stack. (s. f.). Elastic.

https://www.elastic.co/es/elastic-stack/security

15