EXCS - Mod4 - Diseño de Un Programa de Ciberseguridad

Módulo
Diseño de un Programa
de Ciberseguridad
Módulo
Diseño de un Programa
de Ciberseguridad
1. DISEÑO DEL PROGRAMA DE CIBERSEGURIDAD................................................ 03
1.1. INTRODUCCIÓN.............................................................................................. 03
1.2. MOTIVACIONES DE LOS ATACANTES............................................................... 05
1.2.1. ESPÍAS Y ESTADOS NACIÓN..................................................................... 05
1.2.2. ORGANIZACIONES CRIMINALES............................................................... 08
1.2.3. TERRORISMO........................................................................................... 09
1.2.4. GRUPOS HACKTIVISTAS........................................................................... 10
1.3. PROTECCIÓN DE ACTIVOS CRÍTICOS............................................................... 11
1.3.1. CICLO DE VIDA DE LOS DATOS................................................................ 12
1.3.2. DESAFÍOS POR SECTORES........................................................................ 15
1.3.3. PROTECCIÓN DE LOS ACTIVOS................................................................ 18
1.3.4. PRESENTE Y FUTURO DE LA ANALÍTICA................................................... 28
1.4. MODELO DEL PROGRAMA DE CIBERSEGURIDAD............................................ 30
2. MODELIZACIÓN DE AMENAZAS......................................................................... 35
2.1. INTRODUCCIÓN.............................................................................................. 35
2.2. MARCO DE TRABAJO...................................................................................... 37
2.3. STRIDE............................................................................................................ 45
3. RESPUESTA A INCIDENTES................................................................................... 56
3.1. INTRODUCCIÓN.............................................................................................. 56
3.2. ELEMENTOS DE UN PLAN DE RESPUESTA A INCIDENTES.................................. 57
3.2.1. PREPARACIÓN......................................................................................... 58
3.2.2. DETECCIÓN Y ANÁLISIS........................................................................... 58
3.2.3. CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN................................... 59
3.2.4. ACTIVIDAD POST-INCIDENTE.................................................................... 60
3.3. MODELO DE PLAN DE RESPUESTA A INCIDENTES............................................ 61
3.3.1. ANTECEDENTES....................................................................................... 61
3.3.2. OBJETIVOS............................................................................................... 62
3.3.3. CHECKLIST.............................................................................................. 62
3.3.4. PUNTOS CLAVE........................................................................................ 64
4. CONCIENCIACIÓN................................................................................................. 66
4.1. INTRODUCCIÓN.............................................................................................. 66
4.2. LA AMENAZA DEL INSIDER.............................................................................. 68
4.3. CULTURA DE SEGURIDAD................................................................................ 70
4.4. PROGRAMA DE CONCIENCIACIÓN................................................................. 71
4.4.1. ANTECEDENTES....................................................................................... 72
4.4.2. OBJETIVOS............................................................................................... 72
4.4.3. CHECKLIST.............................................................................................. 72
4.4.4. PUNTOS CLAVE........................................................................................ 73
CONCLUSIONES........................................................................................................ 76
BIBLIOGRAFÍA........................................................................................................... 77
ANEXOS.................................................................................................................... 78
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
1. Diseño del Programa de

Ciberseguridad
“Todo profesional de la ciberseguridad debe entender la necesidad
de crear un programa de ciberseguridad a medida de la organiza-
ción que se dispone a proteger, ya que aunque haya elementos y pa-
trones que sean comunes la idiosincrasia de cada entidad requiere
de medidas y planteamientos exprofeso.”
1.1. Introducción
Cuando una organización sufre un ciberataque todo son nervios e incertidumbre, desde
la alta dirección pasando por el responsable de seguridad de la información (CISO) o el
director de informática (CIO). ¿Habrá despidos? ¿Las cuentas de la organización se verán
afectadas? ¿Sobrevivirá la organización al incidente? En este contexto siempre hay una
pregunta fundamental, ¿por qué los datos confidenciales no están debidamente ase-
gurados?
Hubo un momento en que podía argumentarse que no se estaba prestando suficiente

atención a la ciberseguridad por parte de la alta dirección, o que no había dinero suficien-
te para invertir en este campo. Pero si se examinan los factores de riesgo corporativos
de entidades como el Foro Económico Mundial, queda de manifiesto que el desafío a
que nos enfrentamos no se debe a la falta de gasto o conciencia de que el peligro creado
por las ciberamenazas es claro y está presente. Además, muchos ejecutivos dicen gastar
continuamente dinero en esta área, cuando los ataques continúan creciendo en alcance y
sofisticación, lo que hace aún más difícil concienciar en este ámbito.
En muchas empresas las ciberamenazas son una realidad tangible, y si las deficiencias
encontradas en los planteamientos de seguridad no se deben a la falta de recursos o con-
cienciación, ¿por qué los esfuerzos que se emplean siguen siendo insuficientes? ¿Qué
podemos hacer para asegurar eficazmente la información crítica?
03
Para dar respuesta a esta pregunta podemos emplear datos como los mostrados por Trend
Micro, donde funcionarios de inteligencia de Estados Unidos afirman que el ciberdelito
es la mayor amenaza para dicho país, por encima del terrorismo convencional. Este
contexto no sólo aplica a Estados Unidos, sino a cualquier país civilizado del mundo,
donde cualquier atacante puede poner en jaque a centenares de organizaciones mientras
bebe un café en su casa. Además, estamos ante una democratización de los servicios de
hacking, ya que a través de la web oscura cualquier persona puede contratar los servicios
de un hacker profesional.
Por otro lado, McAfee estima que Estados Unidos pierde alrededor de 0,64 porcentaje de
PIB anual debido al cibercrimen. Por ejemplo, en 2013 el producto interno bruto de Esta-
dos Unidos fue de $ 16.77 billones, lo cual significa que se perdieron aproximadamente $
107 mil millones de dólares por ciberdelitos en dicho país y sólo contabilizando ese año.
Como porcentaje del producto interior bruto corresponde a aproximadamente 400,000
de los aproximadamente 150 millones de empleos existentes, los cuales se perderían en
un solo año.
Haciendo una comparativa con la amenaza terrorista, podemos decir que esta tiene un
efecto significativo y duradero en la economía, además de aparejar la muerte de vidas
humanas. No obstante, el ciberdelito es mucho más frecuente y es mucho más probable
que afecte a una organización o individuo que el terrorismo convencional. Además, ante
el terrorismo hay pocas cosas que se pueden hacer para protegerse del mismo como in-
dividuos, sin embargo si podemos defendernos ante las ciberamenazas de forma realista.
De igual modo, desde una perspectiva macroeconómica el cibercrimen deriva en una re-
ducción del gasto de los consumidores vía online, dada la pérdida de confianza, y en una
reducción de la cantidad de propiedad intelectual generada. Esto conduce no sólo a una
reducción del crecimiento económico, sino también en una merma de la calidad de
vida de los ciudadanos. Todo esto nos debe llevar a pensar si los niveles de gasto, a nivel
gubernamental y por parte de las organizaciones, es el correcto en dicha materia. En ese
análisis coste-beneficio es obvio considerar que seguramente poco se puede hacer ante
un ataque dirigido, donde los hackers cuentan con múltiples recursos y tiempo, pero si
podemos invertir de tal forma que el atacante tenga que invertir mucho tiempo, dinero y
esfuerzo en sobrepasar nuestras defensas. De este modo, podemos hacer que el análisis
coste-beneficio que realiza el atacante le sugiera dejar nuestra organización, y dirigir-
se a otra que esté menos protegida.
Así, podemos ver la importancia que tiene diseñar y desplegar un programa de cibersegu-
ridad que sea acorde a los objetivos de la organización y a la criticidad de sus activos. No
con el ánimo de que nuestros sistemas e infraestructuras sean infalibles, sino para propor-
cionar tal nivel de seguridad que desanime a la mayoría de los atacantes en su propósito
de acceder a la información de nuestra corporación.
04
1.2. Motivaciones de los atacantes

Una de las primeras preguntas que nos asaltarán de cara a diseñar un programa de ciber-
seguridad es identificar aquellas contramedidas que serán más adecuadas para nuestra
organización. No obstante, ante de atender esa pregunta primero debemos plantearnos
cuáles son los diferentes tipos de atacantes que existen y sus motivaciones. Un alto cargo
del FBI dijo en una ocasión: “Nuestros adversarios en el reino cibernético incluyen espías
de estados-nación que buscan nuestros secretos y nuestra propiedad intelectual; crimi-
nales organizados que quieren para robar nuestras identidades y dinero; terroristas que
aspiran atacar nuestra red eléctrica, suministro de agua u otra infraestructura; y grupos
hacktivistas que intentan hacer una declaración política o social “. Esto nos ayuda a enten-
der que cada uno de estos actores maliciosos tiene distintos perfiles, motivos, técnicas
y tácticas para atacar a sus objetivos. Además, las protecciones y respuestas a implantar
dependen de las motivaciones y técnicas que se usen, por lo que para poder diseñar un
programa integral de seguridad es imprescindible identificar qué activos valiosos tiene
cada organización, seleccionando qué tipo de activos podrían estar interesados en los
mismos.
En este punto también es importante indicar que dichos actores y motivaciones pueden
variar en el tiempo, por lo que es responsabilidad de los expertos en ciberseguridad estar
al tanto de estos cambios. En general, las tipologías de atacantes no variarán, pero sí el
tipo de información y activos que pueden atraer su atención. Como se ha indicado cada
uno de los grupos de actores maliciosos muestra patrones específicos en sus objetivos,
protocolos de actuación, etc, lo cual permite que a nivel forense se pueda determinar el
posible culpable de una violación de datos con mayor plausibilidad. No obstante, la moti-
vación es el factor a considerar más importante de cara a la clasificación de amenazas que
puede sufrir una organización.
1.2.1. Espías y Estados Nación

Los espías y las naciones están fundamentalmente motivados por dos objetivos. En pri-
mer lugar, la capacidad de competir de una manera más eficaz, buscando acceder a
propiedad intelectual e información secreta de forma más rápida que si la desarrolla-
sen la misma de forma propia. Ejemplos claros son la violación de datos realizada por Es-
tados Unidos sobre el programa nuclear de Irán, o los casos en que el gobierno de China
se ha hecho con datos de empleados gubernamentales de Estados Unidos. Leon Panetta,
ex director de la CIA de Estados Unidos, declaró en una conferencia que durante su man-
dato hubo aproximadamente un millón de intentos diarios para comprometer a la CIA.
Además, también cabe reseñar que las acciones de ciberespionaje realizadas por gobier-
nos y agencias de inteligencia también tienen como objetivos a la empresa privada. Así,
podemos encontrar casos donde se buscaba información confidencial de contratas que
trabajaban en proyectos de índole militar, empresas de seguros a fin de encontrar datos
de salud sobre ciertos individuos, etc.
05
Esta categoría de actores representa la gran minoría de las amenazas encontradas, sin
embargo, son los más expertos y hábiles. Pueden causar masivos daños en muy pequeños
intervalos de tiempo, siendo los originadores de las llamadas Amenazas Persistentes
Avanzadas (APT). Siempre tienen objetivos muy bien marcados, yendo en los blancos
dentro de la empresa privada no sólo orientados a la propiedad intelectual de productos,
sistemas y patentes, sino que en muchas ocasiones buscan inteligencia comercial. Por
esta podemos entender planes, procesos y procedimientos que permiten que una orga-
nización entregue bienes de mayor calidad y más baratos a sus clientes con un mayor
margen de beneficio que sus competidores. En pocas palabras, la inteligencia empresarial
se define como cualquier cosa que la organización usaría para obtener y mantener una
ventaja competitiva.
De igual modo, dentro de la información valiosa dentro del espionaje encontramos otros
ejemplos como el grupo de hackers Black Vine, patrocinado por China y que tenía por
objetivo atacar a empresas del sector salud. Todo ello con el supuesto objetivo, que en-
cajaría perfectamente con los ataques sobre la organización Anthem, para construir ba-
ses de datos de empleados del gobierno de Estados Unidos, dado que dichas empresas
brindaban servicios de salud específicamente a tales colectivos. Como estos ataques son
complejos, no sólo en su despliegue sino también en su ideación, una posibilidad que
barajaron los expertos fue que dicha información pudiese valer a China para identificar
posibles agentes de inteligencia de Estados Unidos que de forma encubierta fuesen a
China, simplemente constatando si el nombre figuraba o no en dicho base de datos. Algo
que sustenta aún más este dato es que en dicho ataque sólo se robaron las identidades e
información sobre el empleador de dichas personas, y en cambio no se sustrajo ningún
dato sensible de salud.
No obstante, hay muchos otros países, además de los más mediáticos que salen con cierta
regularidad en los medios debido a estos temas, que hacen uso del ciberespionaje. Un
ejemplo sería cuando empresas extranjeras quieren empezar a hacer negocios en un país
que controla de forma directa o indirecta las propiedades en el mismo, momento en el
que tendrían que hacer grandes inversiones para hacerse con esas propiedades. Si dicho
país conociese con antelación los planes de negocio de esas empresas, información de
investigación sobre yacimientos de petróleo, gas, etc, podría subir de forma importante el
precio de tales bienes para lucrarse con estas operaciones.
En este contexto todos los países que cuentan con agencias de inteligencia llevan a cabo
operaciones de ciberespionaje, siendo un claro ejemplo Estados Unidos donde los hac-
kers más habilidosos que son cazados se aprovechan de reducciones de condena a cam-
bio de ofrecer sus servicios al gobierno. Así, podemos decir que uno de los aspectos más
claros de estos ataques son su sofisticación, que están bien financiados, son adaptables
en el tiempo y con un objetivo muy determinado.
06
Además, estos ataques en muchas ocasiones hacen uso de la ingeniería social, consiguien-
do así tasas de éxito muy altas además de ser difíciles de detectar. Con esta vía consiguen
datos de individuos a través de redes sociales, pudiendo emplear otras técnicas como
llamar a un usuario para hacerse con sus credenciales mientras se hacen pasar por una
persona del departamento de informática de la organización objetivo. Estas campañas
dirigidas hacia una persona en concreto son lo que se conoce como spear phising, donde
se busca crear un aura de veracidad para que el usuario sea engañado. Por tanto, podemos
deducir que para poder atajar este tipo de ataques tendremos que contar con equipos de
seguridad que estén siempre vigilantes para reconocer que algo malo está pasando.
También como clave para detectar este tipo de ataques tenemos el hecho de que dado que
buscan evitar a toda costa ser detectados, incluso una vez la operación ha acabado
con éxito, pueden llegar a corregir las debilidades de seguridad que emplearon, a fin de
que para otros sea muy difícil para otros detectar su presencia.
Por otro lado, en cuanto al modus operandi empleado por estos actores varía entre cada
grupo, pero es cierto que hay algunos patrones comunes. Casi siempre suelen empezar
con una campaña de ingeniería social, que puede ir desde un ataque de phising para que
el usuario se conecte a un supuesto portal legítimo para que deje sus credenciales, o una
llamada telefónica donde se le requiera de igual modo dicha información haciéndose pa-
sar por alguien del centro de atención a usuarios o similar. También es frecuente encon-
trar ataques donde se ha comprometido un sitio legítimo al cual acceden con frecuencia
los usuarios que son blanco del ataque. Así, al tener un control temporal de ese sitio los
atacantes se hacen con las credenciales que rellenaron las personas afectadas. Con toda
esa información el atacante con frecuencia irá reuniendo datos sobre los usuarios de la or-
ganización objetivo, siendo esto parte de lo que se conoce como fase de reconocimiento.
En el segundo paso el atacante buscaría vulnerabilidades, para lo cual se pueden emplear

escáneres que por un precio muy escaso permiten efectuar dicha tarea. Así se consegui-
rán grandes volúmenes de datos sobre los fallos de la organización, por lo que es impor-
tante que las organizaciones también efectúen de forma proactiva este tipo de escaneos,
para encontrar vulnerabilidades antes de que lo hagan los atacantes. Finalmente, para
realizar el ataque en sí se emplearían los conocidos como 0-day o día cero, siendo exploits
que hacen uso de vulnerabilidades aún no descubiertas y para las cuales aún no existe
ningún parche. Esto nos da una pista de que los atacantes cuentan con importantes recur-
sos económicos, dado que los exploits de día cero son muy caro, tanto en el caso de que
sean desarrollados internamente como si son comprados. Como botón de muestra se han
visto exploits de esta índole para el sistema operativo iOS de Apple que se vendían por
un millón de dólares. Desde el punto de vista corporativo dado que son ataques desco-
nocidos, sólo queda contar con mecanismos que permitan identificar desviaciones en el
comportamiento normal de los sistemas.
07
1.2.2. Organizaciones criminales

Las organizaciones criminales están motivadas fundamentalmente por el beneficio eco-
nómico. En este sentido, nos encontraremos ante ataques que buscan robar información
que se pueda vender de forma ilícita, buscando asimismo maximizar sus ganancias a la
vez que minimizan los gastos en recursos humanos y dinero. En este sentido, el crimen
organizado está cambiando radicalmente con la era de la información. El crimen tradicio-
nal, como el robo de bancos por ejemplo, es cada vez más difícil, pero en cambio para los
criminales organizados los avances en Tecnologías de la Información y Comunicaciones
suponen una gran oportunidad. En el mundo conectado se pueden cometer robos contra
cientos de instituciones sin tener que desplazarse físicamente a las mismas.
Esta proximidad telemática expone a cualquier organización a los grupos globales del ci-
bercrimen, donde la capacidad de transferir información de un sitio a otro les permite ubi-
carse en territorios donde sea difícil extraditarles judicialmente. Desde el punto de vista
defensivo hemos de pensar que estos ataques siguen los mismos objetivos que cualquier
otro negocio con fines lucrativos, por lo que los mismos siguen un claro patrón de coste-
beneficio. Así, si conseguimos aumentar la capacidad de trabajo que se necesita emplear
para entrar en nuestra organización probablemente los atacantes elijan otro objetivo.
Si nos hacemos la pregunta de qué quieren los criminales organizados la respuesta es

muy simple, ya que se centran exclusivamente en cualquier tipo de información que pue-
da ser vendida y les otorgue un beneficio. Siendo así se nos puede venir rápidamente a la
mente datos como las tarjetas de crédito, sobre todo porque los ataques a organizaciones
minoristas se suelen centrar en este tipo de información y se les da mucho autobombo a
través de los medios de comunicación. No obstante, estos datos financieros son mucho
menos valiosos que los relacionados con la identidad por la persistencia a través del
tiempo que tiene tal información. Por un lado las organizaciones financieras cuentan con
muchas medidas para que salten alarmas cuando se detecta un comportamiento anómalo
en el empleo de una tarjeta de crédito, por ejemplo empezar a hacer compras de forma
constante en un país extranjero, pudiendo solicitar un factor de doble autenticación, lla-
mar al usuario o mandarle un sms para advertirle o que autorice dichas operaciones. Ade-
más, es muy fácil y rápido cancelar una cuenta y crear otra nueva, es decir la ventana de
oportunidad que tiene el atacante con dicha información es muy pequeña.
Si comparamos la poca persistencia que tiene la información de una tarjeta de crédito

con la información de la identidad de una persona, como por ejemplo su número de iden-
tificación nacional o de la seguridad social, está claro que esta última tiene una vigencia
mucho mayor. Si roban y emplean de forma fraudulenta nuestro número de seguridad so-
cial, ¿cuándo nos enteraremos de tal hecho?, ¿podemos cambiar dicho número de forma
rápida?
08
1.2.3. Terrorismo
Es importante distinguir entre los ataques llevados a cabo por estados y los ataques terro-
ristas patrocinados por estados. La clave de nuevo para diferenciar entre unos y otros es
la motivación e intencionalidad. Los terroristas patrocinados por estados no se preocupan
por el robo de información, sino que buscan de forma general la destrucción de la mis-
ma o situaciones en las cuales los errores tecnológicos puedan derivar en la pérdida
de vidas humanas. Además, los terroristas generalmente se atribuyen el mérito de lo
que hacen después de cometer sus actos, mientras que los estados cuando llevan a cabo
sus acciones de espionaje o robo de información confidencial buscan hacerlo de forma
encubierta, tanto antes, como durante y después del incidente. Por tanto, los ataques que
se publican intencionalmente o buscan causar un daño claro al objetivo, en vez de robar
sigilosamente un activo, se pueden clasificar fácilmente como ataques terroristas, estén
financiados o no por un estado.
Por otro lado, anteriormente comentábamos que la amenaza del cibercrimen es mucho
mayor actualmente que la del terrorismo, pero también debemos entender que ambas
pueden conjugarse fácilmente. Así, encontramos grupos terroristas que hacen uso de los
medios tecnológicos para difundir sus actividades, lanzar campañas de propaganda y lo-
grar crear células aisladas, a fin de que identificar o rastrear a los terroristas sea mucho
más complicado. También en este punto podemos aludir al empleo de ataques sofistica-
dos, mucho más si los mismos pueden afectar a activos críticos, sea una central nuclear o
un avión. Esto es obvio ya que mediante el ataque a dichos elementos se conseguiría una
imagen publicitaria muy importante, causando daños graves a la economía del país afec-
tado. Además, que el número de víctimas en tales contextos sería muy elevado, mucho
más que el conseguido a través de un ataque convencional.
En esa línea pensemos lo difícil que puede ser subir una bomba a bordo de un avión,
debido a la cantidad de controles de seguridad que existen sobre el equipaje. En cambio
podría resultar trivial subir a bordo con un teléfono o tableta, mediante la cual se pudiese
infectar el avión con algún tipo de malware. Ocurriría algo parecido con el sector de los
vehículos autónomos, donde como suele ocurrir la tecnología se ha centrado en la parte
puramente funcional, pero no en la relativa a la seguridad. Así, podemos inferir que este
tipo de sistemas son de gran relevancia para los grupos terroristas, los cuales desde luego
están al tanto de las mismas y de las vulnerabilidades que tienen.
También en esta línea se pueden citar ataques contra el sector petrolero y gasista, donde
la generación de incidentes como derrames, desbordamientos o explosiones ocasionarían
importantes daños e inseguridad, precisamente lo que buscan los terroristas. Asimismo,
la manipulación malintencionada de productos químicos para envenenar suministros de
agua es otra de las claves de la seguridad nacional, que están bajo la mira de los atacantes.
Otro caso a citar sería el de ataques contra la red eléctrica, ya que cortar o afectar a la red
eléctrica de un país tendría graves consecuencias en su economía.
09
En este caso los terroristas no usan el típico análisis coste-beneficio, como sí hacen las
organizaciones criminales, ya que se decantan más por la identificación de oportunida-
des para causar un gran daño al adversario. Además, los ciberataques permiten causar
tales daños sin que los terroristas tengan que exponer su integridad física, por lo que es
de esperar que esta tipología de ataques sea cada vez más empleada por los terroristas.
En cuanto a las tácticas empleadas por los terroristas, debemos decir que en su mayoría
son secretas, ya que no existen muchas investigaciones al respecto y los gobiernos no
revelan dicha información. No obstante, se podría el ataque ejercido contra Sony en 2014
como ejemplo de un ataque terrorista, en cuanto al daño provocado sobre dicho ente por
no ceder a las presiones de ciertos actores políticos en materia de libertad de expresión.
En este caso las organizaciones que creen plausible estar dentro del objetivo de los terro-
ristas deben contar en su programa de ciberseguridad con acciones de contacto con las
fuerzas y cuerpos de seguridad del Estado, incluyendo las capas de inteligencia a fin de
saber cómo protegerse ante las amenazas terroristas.
De igual modo, la expansión del Internet de las Cosas abre nuevas vías a las amenazas te-
rroristas, siendo un ejemplo los intentos de extorsión relacionados con la solicitud de un
rescate a cambio de no detener el marcapasos de una persona. Así vemos que la tipología
de impactos que pueden desprenderse de los ciberataques llevados a cabo por terroristas
puede ser muy amplia y compleja, requiriendo de medidas muy específicas para su reme-
diación y contención.
1.2.4. Grupos hacktivistas

Los grupos hacktivistas, incluyendo a aquellos individuos que actúan de forma aislada,
están motivados por un ideal el cual quieren hacer público. Así, la motivación para
llevar a cabo un ataque suele ser exponer información confidencial de su objetivo para
exponerle públicamente y dañar su reputación. De igual modo, este tipo de ataques pue-
den también tener como fin degradar o destruir un activo de dicha organización, siendo
ejemplos la alteración de una página web o el lanzamiento de un ataque de denegación
de servicio distribuido (DDoS). Es decir, no se busca una ganancia financiera o el empleo
de la información robada, sino causar daño al objetivo, mostrando públicamente el ataque
realizado.
Un ejemplo conocido de grupo hacktivista es Anonymous, la cual aunque en ocasiones

puede también luchar contra grupos perseguidos por el gobierno, sobre todo a nivel te-
rrorista, es ante todo una organización de índole anarquista. No tienen una cabeza visi-
ble, están distribuidos por todo el mundo y tienen en común la causa que persiguen. En
cuanto a la información y objetivos que tienen en su blanco, podríamos decir que casi que
cualquier organización puede estar en el disparadero, ya que su afán es el de producir
sobre todo un impacto reputacional por múltiples causas.
10
Entre los ataques más empleados por estos grupos encontramos los ataques de denega-
ción de servicio distribuida (DDoS), donde no se busca robar información sino causar
daño a la organización objetivo. Además suelen hacer un uso extensivo de las redes so-
ciales para difundid sus mensajes y captar adeptos, lo cual es totalmente necesario en
este escenario ya que no cuentan con recursos financieros, por lo que es vital reclutar
colaboradores. En este sentido, las organizaciones debieran monitorizar dichos canales
para verificar si en algún momento pueden ser objeto de atención de estos grupos.
En una segunda fase esto grupos buscar recopilar información sobre sus objetivos, todo
ello sin ser detectados y mediante el empleo de todo tipo de herramientas de escaneo.
Una vez hayan encontrado una vulnerabilidad tenderán a introducir mensajes propagan-
dísticos en las páginas web atacadas, sirviendo esto también como altavoz de recluta-
miento para ganar más simpatizantes y mostrar su poder. Asimismo, si se emplea un
ataque DDoS se buscará hacer un daño más importante al objetivo, ya que si se tratase
de un comercio online el mismo no podría operar. Y en el caso de que se tratase de un
proveedor de servicios el mismo podría incurrir en penalizaciones ante sus clientes, por
lo que las pérdidas económicas podrían ser importantes. Todo ello gracias al empleo de
un gran número de máquinas reclutadas de forma legal o ilegal para esta acción, usando
las mismas para el envío masivo de paquetes al servidor a atacar para que colapse.
Hacer frente a ataques DDoS es complejo y costoso, dado que no es fácil distinguir cuán-
do un volumen alto de tráfico tiene un origen malicioso, y cuando somos conscientes de
ello suele ser demasiado tarde.
1.3. Protección de activos críticos

Debemos tener presente que debido al ingente volumen de información que manejan la
mayoría de organizaciones, es casi imposible poder monitorizar todo ese flujo de infor-
mación de un lado para otro. Y si una organización quisiera realizar tal tarea, tendría que
dedicar una suma de recursos tan grande que seguramente desistiría del intento. Por tan-
to, si partimos de esa premisa hemos de contar con herramientas y mecanismos que nos
permitan identificar, monitorizar y proteger los activos que sean más importantes. Y
para hacer tal cosa hemos de llegar al concepto de activos críticos, los cuales podrán ser
identificados mediante un proceso de entrevistas con las partes interesadas del negocio,
teniendo posteriormente que traducir dicha información de un plano estratégico de ne-
gocio a un plano estratégico de seguridad.
Para empezar tenemos que saber qué entendemos por un activo de información crítico,
a lo que nos referimos cuando estamos ante una información que en caso de sufrir una
pérdida, robo o uso indebido causaría un impacto muy grave a la organización. Se
nos pueden venir a la mente ejemplos como datos de salud, datos en general de carácter
personal, datos sobre tarjetas de pago, etc. Asimismo, también tendríamos que considerar
en esta categoría a la propiedad intelectual, planes de negocio, datos sobre fusiones o
adquisiciones empresariales o información comercial.
11
En cuanto a los impactos que podría sufrir la organización afectada, se mueven en un es-
pectro muy amplio. En muchas ocasiones tales entidades sufren impactos reputacionales
contra su marca, multas administrativas por parte de los reguladores, un daño operacio-
nal que redunde en una pérdida de ingresos y de ventaja competitiva, etc. Así podemos
ver que estos activos críticos con total probabilidad tienen un efecto directo sobre los
balances de cuentas, previsiones de ingresos y, en definitiva, sobre el modelo de ries-
go de la organización.
Además, debemos tener en cuenta que en general las organizaciones cuentan con recur-
sos limitados, con lo que deben priorizar sobre los activos a proteger y el modo de hacerlo.
No obstante, hacer esa identificación y priorización nunca es fácil, y requiere de un labor
de análisis importante. En ocasiones basta con preguntar a la alta dirección qué es lo que
más les preocupa sobre su negocio, mientras que en otras ocasiones hace falta recurrir al
mapa de procesos de negocio de la organización, a fin de identificar los flujos entre unos
y otros y ver dónde se produce el valor para la organización. Y ante todo es necesario ha-
blar con los propietarios de las líneas y procesos de negocio y servicio, para identificar
de primera mano en qué debe centrarse la organización. En esta labor hará falta hacer un
enlace claro entre activos y las finanzas, metas y visión de la organización, intentando
también que en las conversaciones participen cuantas más partes interesadas mejor.
1.3.1. Ciclo de vida de los datos

Es importante conocer todo el contexto de los activos críticos de una organización, a fin
de analizar qué comportamientos están autorizados sobre los mismos. Este análisis de
contexto se basa en el estudio del ciclo de vida de los datos, buscando así un patrón de
conducta y sobre el mismo identificar desviaciones que se pueden producir y nos deban
poner en alerta. Las fases de dicho ciclo de vida se resumen en las siguientes:
• Creación
• Almacenamiento
• Uso
• Transmisión
Dato importante
La capacidad de competir de una manera más eficaz, buscando acceder a propie-

dad intelectual e información secreta de forma más rápida que si la desarrollasen
la misma de forma propia.
12
Creación
A fin de proteger un activo crítico de información es importe conocer cuándo y cómo

tiene lugar su proceso de creación dentro de nuestra infraestructura y sistemas. En oca-
siones los datos se crean dentro de la propia organización, pero por ejemplo la captación
de datos personales a clientes o usuarios se suele hacer mediante un formulario que nos
puede llegar por múltiples vías.
En ocasiones vemos ataques a organizaciones donde se producen accesos no autorizados

a datos de clientes, ocurriendo en ocasiones que el ataque se perpetró contra la infraes-
tructura centralizada donde residían los datos. No obstante, en ocasiones dichos ataques
se producen contra el punto donde se están creando u obteniendo los datos, evitando
así los atacantes todos los controles de seguridad que hay establecidos en las infraestruc-
turas centrales.
Almacenamiento
Cuando un activo pasa a existir en un entorno corporativo determinado debe ser almace-
nado en algún tipo de soporte y/o sistema. Lo habitual es realizar dicho almacenamiento
asignando los oportunos niveles de acceso a los usuarios privilegiados. Este punto es
crucial, ya que muchas brechas de seguridad tienen lugar por culpa de una inexistente o
mala aplicación de dicho principio.
Así, llegamos al concepto de privilegio mínimo, que precisamente busca que sólo los
usuarios con verdaderas necesidades funcionales tengan acceso a los datos, y dicho ac-
ceso sólo con el requerido nivel. También muy ligado a este hecho encontramos la ne-
cesidad de revisar los derechos de administración, de cara a poder realizar cambios en
el sistema y a poder ver la totalidad de los datos. Gracias a estos mecanismos podremos
reducir el impacto derivado de ataques de phising o spear phising, ya que la cuenta del
usuario comprometido no tendrá privilegios sin límite en el sistema, haciendo así que la
brecha esté contenida.
Uso
Las personas tienen una propensión a almacenar todo tipo de información, aunque la
misma no tenga una relación directa con el negocio y la organización. Además, también
es normal que la información, aun estando relacionada con el negocio, se almacene para
la posteridad, lo cual quizá sólo tenga sentido, o sea obligatorio por ley, para algunos sub-
conjuntos de datos pero no para todos. Esta tendencia hace que estemos más expuestos al
riesgo de brechas de datos, por lo que es importante definir quiénes serán los usuarios
que harán empleo de tal información, y cuáles son los usos aceptables de la misma.
13
De este modo podremos construir controles de seguridad específicos para la información

más crítica de nuestra organización, previniendo de igual modo cualquier tipo de acceso
no autorizado. Además, también se tiene que hacer una distinción entre los usuarios que
deben tener un acceso limitado y aquellos que pueden hacerlo sin restricciones. En este
punto también es importante destacar el concepto de segregación de tareas o roles, a fin
de evitar que ciertos usuarios con privilegios puedan realizar acciones de fraude.
Imaginemos por ejemplo un empleado administrativo de un hospital, que debido a su rol

tiene acceso a todos los datos de salud de los pacientes. Si dicho empleado tiene la capa-
cidad de guardar dicha información sensible en dispositivos extraíbles, o bien cargarla en
su cuenta de correo personal vía web, para poder trabajar en casa quizá fuese importante
revisar la situación para normalizar tal hecho. Según sea la aversión al riesgo de la organi-
zación puede que se tolere dicha actuación, ahora bien lo que no tendría sentido es dejar
que se use tal información sin aplicar medidas adicionales de seguridad.
Como vemos definir el comportamiento autorizado sobre los activos críticos de infor-
mación es crucial, lo cual nos permitiría identificar más rápidamente cuándo se produce
un uso no autorizado, pudiendo además aplicar medidas sancionadoras a las personas
involucradas. En este punto también es importante contar con planes de comunicación y
concienciación bien establecidos, a fin de indicar qué se puede y qué no se puede hacer
con la información, al igual que habilitando el que existan canales de denuncia o comuni-
cación de incidencias a nivel interno que sean efectivos.
Transmisión
Hay activos de información que por su criticidad nunca debieran salir fuera de las instala-
ciones, oficinas e infraestructuras de una organización. Aun así la mayoría de tales datos
pueden ser transmitidos sin problemas siendo, en algunos casos, necesario tal hecho. Por
ejemplo, cuando hay que comunicar datos vía correo electrónico a un paciente, aunque
lo normal es que los mismos fuesen cifrados. No obstante, sí estaríamos ante una brecha
de datos si tales datos se compartiesen con un paciente equivocado, o si los mismos se
mandasen de forma no cifrada.
Son este tipo de detalles, en cuanto a malas prácticas institucionalizadas que no han sido
erradicadas, y en muchos casos detectadas, las que aprovecharán los atacantes para con-
seguir sus fines. Además, si se estudian los incidentes de seguridad que suelen ocurrir
anualmente, un porcentaje muy importante se deben precisamente a este tipo de malas
prácticas. Por tanto, es fundamental definir los métodos de transmisión autorizados, in-
dependientemente del contexto empresarial en que nos encontremos. Qué duda cabe que
si estamos en una pequeña empresa que maneja información poco sensible parametrizar
este tema será fácil, en cambio no lo será en absoluto si estamos en una empresa que tiene
operaciones con sedes en China, y debe enviar a las mismas información de propiedad
intelectual de alto valor.
14
De igual modo, puede ser una buena práctica el que no haya una única persona que tenga
toda la información requerida para construir y/o operar un servicio o producto. En defi-
nitiva, se debe garantizar que la información crítica está protegida en tránsito en todo
momento, y que sólo es compartida con los usuarios autorizados para ello.
1.3.2. Desafíos por sectores

Las organizaciones cuentan con una idiosincrasia muy específica, la cual dependerá en
gran medida del sector en el que operen. Esto es debido a que dicha circunstancia con-
diciona y dirige en gran medida el tipo de datos personales que manejarán, el tipo de
infraestructuras y sistemas informáticos que tendrán desplegados, etc. Por tanto, es im-
portante entender que cara organización tendrá matices que será necesario conocer para
diseñar su programa de seguridad, necesitando conocer esos detalles que van paralelos a
cada sector de actividad empresarial.
Además, los tipos de ataques que se pueden recibir en uno u otro sector también es algo
que depende de tal circunstancia, mayor motivo aún para que todo profesional de la ci-
berseguridad. Por otro lado, los activos críticos también varían de uno a otro sector, por lo
que tomar en cuenta este punto de vista es muy valioso.
Proveedores de servicios profesionales (abogacía, consultoría, auditoría, etc)
En este sector los activos críticos más importantes suelen estar relacionados con la infor-
mación de los clientes. De igual modo, suelen ser los propios clientes de estas empresas
los que exigen el cumplimiento de ciertos requisitos de seguridad. En este caso la infor-
mación que manejan las grandes consultoras, bufetes de abogados, etc, puede ser muy
valiosa para los ciberespías, ya que en ocasiones existe información relacionada con
investigaciones y patentes, justo antes de que la misma salga a la luz. Además, también
puede existir información relacionada con litigios importantes, casos que involucren a
indemnizaciones por parte de compañías de seguros o a problemas con reguladores.
Por otro lado, para los terroristas y hacktivistas dicha información podría derivar en im-
pactos económicos y reputaciones para tales clientes que han visto expuestos sus datos.
Además, es obvio que el propio prestador de servicios sufriría un gran impacto reputacio-
nal, de ver expuesta la información de sus clientes. En estos casos es importante conocer
el proceso mediante el cual el cliente da la información al proveedor, por lo que tendría
sentido contar con medidas que permitan identificar y trazar qué información, cómo y
cuándo ha sido enviada. También es vital que haya una debida restricción de accesos,
ya que no todos los empleados del proveedor deben tener acceso a la información de
todos los clientes.
15
Energía (electricidad, petróleo, gas, etc)
Este sector enfrenta amenazas muy sofisticadas, por lo que suele contar con programas
de ciberseguridad maduros. Además, todos los grupos de atacantes identificados están
interesados en estos objetivos, por lo que las amenazas y vías de ataque que pueden sufrir
son múltiples. De este modo, los ciberespías con sus ataques buscan algún tipo de venta-
ja competitiva en el contexto del espionaje industrial, así como provocar un aumento
o disminución en las importaciones de la víctima, todo ello con importantes daños eco-
nómicos.
También es importante tener en cuenta los ataques asociados a robo información sobre
investigaciones, estrategia comercial, etc, para manipular los precios en el mercado, trun-
car posibles planes de expansión, extracción o perforación por parte de los objetivos. Asi-
mismo, se han identificado ataques que buscaban robar información sobre metodologías
y procesos, para conseguir copiar el sistema operativo que emplea la víctima.
Por otro lado, el crimen organizado busca obtener beneficios directos, teniendo en cuenta
que en este tipo de empresas trabajan un número de empleados muy elevado, por lo que
cuantos más trabajadores haya más lucrativo será conseguir las bases de datos de em-
pleados de estos entes. De igual modo, la información sobre proyecciones de precios,
rendimientos financieros, etc., puede ser empleado por los atacantes para obtener ga-
nancias en el mercado de la inversión, máxime si los objetivos cotizan en bolsa.
En cuanto a los terroristas, si conseguir atacar a este tipo de empresas podrían generar
desastres y daños muy cuantiosos. Imaginemos un ciberterrorista que consigue causar
un derrame de petróleo, o interferir en los procesos operativos causando que un país se
quede durante horas o días sin algún tipo de suministro energético. No sólo conseguiría
un impacto tangible importante, sino también a nivel de publicidad y propaganda.
Finalmente, los hacktivistas podrían estar motivados por múltiples razonadas. Estas pue-
den ir desde ataques contra el supuesto daño que estas empresas hacen al medioambien-
te, la existencia de corrupción en las mismas, el encarecimiento voluntario de los precios,
etc. En este caso los ataques que se podrían llevar a cabo buscarían tanto un mensaje de
propaganda, como intentar alterar la operativa de dichas compañías.
Salud
Cuando hablamos del sector médico o sanitario está claro que la información más valiosa
es la relativa a la salud de los pacientes. Además, este sector suele estar muy regulado,
teniendo además un halo mediático muy importante todos los ataques que se pudieran
producir en este contexto. También hay que destacar la información relativa a investi-
gaciones médicas, sobre nuevos fármacos, tratamientos, etc. De igual modo, aunque
quizá en un escalón inferior de probabilidad, podríamos encontrar información sobre fu-
siones y adquisiciones, las cuales podrían darse dentro del sector privado.
16
Por otro lado, en este sector se suele seguir de forma más o menos estricta la normativa
o regulación existente en la materia, lo cual puede hacer pensar que realmente se presta
más atención al cumplimiento que a la seguridad real, por lo que la postura de seguri-
dad existente se podría catalogar como mejorable.
Fabricación
En este contexto la información más importante suele ser la relacionada con procesos
operativos, productos, planos y diseños de los mismos. Esta propiedad intelectual de
peligrar haría que se viniera abajo la propia supervivencia de la organización, ya que
perdería totalmente su ventaja competitiva. Por el contrario, es muy habitual encontrar
que estas organizaciones no se le presta demasiada importancia a la seguridad, cuando
tendrían que considerar que cualquier elemento de su cadena productiva, lo que hace que
puedan crear un producto más barato o con mayor calidad que su competencia, tiene un
precio ahí afuera y puede haber atacantes interesados en conseguirlo.
En este caso será fundamental trazar qué usuarios tienen acceso a qué información, defi-
niendo asimismo los usos autorizados de la misma. Además, es común en este sector que
se subcontraten o externalicen alguna parte de los productos, por lo que tenemos pe-
ligros adicionales en materia de seguridad, ya que quizá fuga de información o acceso no
autorizado venga a través de ese tercero. Por otro lado, la globalidad comercial en la que
nos encontramos, donde se prima cada vez más la reducción de los costes operativos o la
búsqueda de regulaciones más laxas, hacen que estas empresas operen en países donde
la ciberseguridad es un problema aún mayor. De este modo, será fundamental que la
alta dirección entienda cuándo los problemas de seguridad pueden ser superiores a los
potenciales beneficios operacionales en las decisiones que tomen.
Finanzas
Las empresas del sector financiero son uno de los objetivos más frecuentes de los atacan-
tes, en concreto por parte del crimen organizado. Este sector está fuertemente regulado,
por lo que también están muy bien definidos cuáles son los activos más críticos. En
concreto, hablamos de los números de cuenta, las credenciales de las mismas y los datos
personales de los clientes. Además también hay que incluir los datos relativos a la pla-
nificación financiera y estudios económicos que realiza el banco, es decir su propiedad
intelectual.
De este modo resulta obvio la necesidad de proteger los datos de los clientes, ya que en
este campo la reputación es fundamental. Por ello, de ocurrir alguna brecha de seguridad
la confianza de los clientes se podría venir abajo con severas consecuencias. En ese sen-
tido, también es importante que los programas de ciberseguridad cuenten con mecanis-
mos para prevenir y detectar los intentos de fraude. No sólo como un valor marketiniano
de cara a los propios clientes, sino porque en muchos casos el banco sería el responsable
de ese uso fraudulento de sus servicios.
17
Por otro lado, el segundo gran bloque de información crítica es la relativa a la inteligen-
cia de negocio o corporativa, siendo esta parte vital para todo lo referente a inversiones
y estrategia. Así, en los planes a largo plazo de las entidades financieras se incluyen datos
sobre los planes de inversión, por lo que si uno de sus competidores se hiciese con dicha
información el objetivo perdería una parte sustancial de su ventaja competitiva. Incluso
dicha información podría ser usada por otros inversores, provocando que se alzasen el
precio de las mismas, y teniendo por tanto la organización afectada que cambiar sus pla-
nes estratégicos.
Minoristas
En este sector se suelen contar con numerosos datos personales sobre los clientes, te-
niendo generalmente por desgracia una postura de seguridad más débil que la existente
en otros sectores. Ello debido a los pequeños márgenes de ganancia con los que suelen
operar, lo cual hace que se preste menos atención a aspectos no funcionales del negocio,
como pueda ser la ciberseguridad.
Además, debemos tener en cuenta que las empresas emisoras de tarjetas de crédito y los
bancos sí cuentan con mecanismos para proteger a sus clientes de posibles fraudes, lo
cual ha quitado cierta presión a las empresas minoristas para que eleven el nivel de su
seguridad. De igual modo, otro factor importante es que los clientes de estos comercios
seguramente no estarían dispuestos a pagar más dinero a cambio de que dichas empresas
invirtiesen en seguridad, ya que perciben que el daño que podrían sufrir tras un incidente
en este contexto sería menor.
Asimismo, la industria de tarjetas de pago mediante PCI regula la forma en que estas
empresas deben almacenar, procesar y transmitir los datos de las tarjetas de pago, no
existiendo hasta ahora ninguna medida que premie o estimule a aquellas empresas mino-
ristas para que mejoren su sistema de seguridad.
1.3.3. Protección de los activos

Un factor diferencial en los programas de ciberseguridad que ayuda a la protección de los
activos críticos comentados, es la presencia de mecanismos para monitorizar los mismos
de forma sensible al contexto y contenido. Así, mediante este tipo de analítica podría-
mos identificar la información crítica que está siendo transmitida, usada o, simplemente,
está almacenada sin ser empleada. Esto enlaza con tecnología DLP o de prevención de
fuga de datos, ayudando a su vez a las organizaciones a priorizar y proteger sus activos
críticos. En definitiva, buscamos poder rastrear y trazar dicha información a través de su
ciclo de vida, viendo a continuación las tres principales áreas o fases de monitorización.
18
Datos en movimiento
Nos referimos a la capacidad de detectar los activos críticos de información que están
en movimiento, sea que entran o salen del ambiente corporativo, o que dentro del mis-
mo están cambiando de ubicación o siendo transmitidos. En este caso entrarán en juego
protocolos comunes como SMTP, HTTP, FTP, etc. Además, debemos tener presentes las
tecnologías de descentralización, como las infraestructuras en nube, lo cual supone todo
un desafío, al requerir de mecanismos que posibiliten que se sigan cumpliendo las reglas
de seguridad allá donde los datos estén.
En este punto es importante recordar que el uso aceptable de la información debe ser
definido por la alta dirección, buscando su apoyo y visión sobre este punto. Esto se trae
a colación ante la necesidad de que existan políticas corporativas sobre el empleo de la in-
formación crítica, ya que en caso contrario los usuarios seguirán haciendo lo que estimen
oportuno al no existir pautas regladas. En este punto también cabe indicar el uso cada vez
más extendido de las soluciones de cifrado, como en el caso de protocolos como HTTPS
o TLS, lo cual puede dificultar esa monitorización de los datos en movimiento. Por tanto,
es importante considerar este punto para que, si es posible, los mecanismos de cifrado se
lleven a cabo en conjunto con el resto del programa de ciberseguridad, facilitando así la
implantación de requisitos que permitan descifrar la información cuando sea necesario.
Datos en uso
En este caso buscamos monitorizar cómo la información está siendo empleada por los
usuarios, en muchas ocasiones en el dispositivo final. Aquí entrarían en juego cuestio-
nes cómo la compartición de la información a través de Internet y el correo electrónico,
tanto cuando se está conectado como desconectado de la red corporativa. Asimismo, es
importante considerar cuándo la información se puede imprimir, o si se trata de almace-
nar en dispositivos extraíbles.
En muchas ocasiones las empresas han tenido que decidir si permitían o no el uso de la
información en dispositivos extraíbles, cuando realmente se puede permitir este tipo de
operaciones con tecnologías que hagan que sobre los datos se sigan aplicando las medi-
das de seguridad corporativas. De este modo se puede ser más laxo en cuanto al uso de
múltiples posibilidades tecnológicas, agilizando a su vez la operativa de negocio, sin que
ello tenga que derivar en problemas de seguridad.
Por otro lado, debemos tener en cuenta que la monitorización sobre el uso de los datos
puede resultar intrusiva para el usuario final, por lo que es importante que se conozcan y
respeten las normativas legales que sean de aplicación. Será en ese equilibrio donde los
usuarios no protestarán ante la monitorización implantada, siendo también aconsejable
que dichas medidas estén en sintonía no sólo con las leyes sino también con la cultura
corporativa.
19
Además, si gracias a estos mecanismos podemos interactuar con el usuario final, solici-
tando en tiempo real la aceptación de mensajes emergentes para llevar a cabo una acción,
podremos reforzar la concienciación en materia de ciberseguridad. Todo ello de nuevo
con un sano equilibrio, y sabiendo que se debe ser muy prudente de cara a no generar
suspicacias entre los usuarios finales.
Datos en reposo
Con datos en reposo nos referimos a la capacidad de saber dónde está siendo almacenada
la información crítica, lo cual es de ayuda asimismo para las áreas legales y de cumpli-
miento normativo. Sabiendo dónde están los datos podremos evaluar si dicha situación
genera o no problemas de seguridad, evitando a su vez problemas relacionados con el
principio de menor privilegio y segregación de tareas.
Por tanto, relacionado con la monitorización de los datos en reposo está la necesaria re-
visión de los derechos de acceso, además de evitar el almacenamiento de información
que ya no tiene valor para negocio, y en cambio podría generar problemas de seguridad.
Por otro lado, también tendrían lugar aquí las acciones de clasificación y etiquetado de la
información, pudiendo emplear tecnologías para ello que lo hagan lo más transparente
posible esta acción para el usuario final.
En general, una buena ayuda para la selección de controles de seguridad es recurrir a los
marcos de buenas prácticas internacionales existentes. Uno de los más importantes es la
ISO 27002, indicando a continuación los controles de los que consta en su última versión
de 2013 (la estructura muestra respectivamente cada uno de los dominios, objetivos de
control y, finalmente, los controles en sí).
Controles de la ISO 27002
5. POLÍTICAS DE SEGURIDAD
5.1. Directrices de la Dirección en seguridad de la información
5.1.1. Conjunto de políticas para la seguridad de la información
5.1.2. Revisión de las políticas para la seguridad de la información
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC
6.1. Organización interna
6.1.1. Asignación de responsabilidades para la segur. de la información
6.1.2. Segregación de tareas
20
6.1.3. Contacto con las autoridades
6.1.4. Contacto con grupos de interés especial
6.1.5. Seguridad de la información en la gestión de proyectos
6.2. Dispositivos para movilidad y teletrabajo
6.2.1. Política de uso de dispositivos para movilidad
6.2.2. Teletrabajo
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
7.1. Antes de la contratación
7.1.1. Investigación de antecedentes
7.1.2. Términos y condiciones de contratación
7.2. Durante la contratación
7.2.1. Responsabilidades de gestión
7.2.2. Concienciación, educación y capacitación en segur. de la informac
7.2.3. Proceso disciplinario
7.3. Cese o cambio de puesto de trabajo
7.3.1. Cese o cambio de puesto de trabajo
8. GESTIÓN DE ACTIVOS
8.1. Responsabilidad sobre los activos
8.1.1. Inventario de activos
8.1.2. Propiedad de los activos
8.1.3. Uso aceptable de los activos
8.1.4. Devolución de activos
21
8.2. Clasificación de la información
8.2.1. Directrices de clasificación
8.2.2. Etiquetado y manipulado de la información
8.2.3. Manipulación de activos
8.3. Manejo de los soportes de almacenamiento
8.3.1. Gestión de soportes extraíbles
8.3.2. Eliminación de soportes
8.3.3. Soportes físicos en tránsito
9. CONTROL DE ACCESOS
9.1. Requisitos de negocio para el control de accesos
9.1.1. Política de control de accesos
9.1.2. Control de acceso a las redes y servicios asociados
9.2. Gestión de acceso de usuario
9.2.1. Gestión de altas/bajas en el registro de usuarios
9.2.2. Gestión de los derechos de acceso asignados a usuarios
9.2.3. Gestión de los derechos de acceso con privilegios especiales
9.2.4. Gestión de información confidencial de autenticación de usuarios
9.2.5. Revisión de los derechos de acceso de los usuarios
9.2.6. Retirada o adaptación de los derechos de acceso
9.3. Responsabilidades del usuario
9.3.1. Uso de información confidencial para la autenticación
22
9.4. Control de acceso a sistemas y aplicaciones
9.4.1. Restricción del acceso a la información
9.4.2. Procedimientos seguros de inicio de sesión
9.4.3. Gestión de contraseñas de usuario
9.4.4. Uso de herramientas de administración de sistemas
9.4.5. Control de acceso al código fuente de los programas
10. CIFRADO
10.1. Controles criptográficos
10.1.1. Política de uso de los controles criptográficos
10.1.2. Gestión de claves
11. SEGURIDAD FÍSICA Y AMBIENTAL
11.1. Áreas seguras
11.1.1. Perímetro de seguridad física
11.1.2. Controles físicos de entrada
11.1.3. Seguridad de oficinas, despachos y recursos
11.1.4. Protección contra las amenazas externas y ambientales
11.1.5. El trabajo en áreas seguras
11.1.6. Áreas de acceso público, carga y descarga
11.2. Seguridad de los equipos
11.2.1. Emplazamiento y protección de equipos
11.2.2. Instalaciones de suministro
11.2.3. Seguridad del cableado
11.2.4. Mantenimiento de los equipos
23
11.2.5. Salida de activos fuera de las dependencias de la empresa
11.2.6. Seguridad de los equipos y activos fuera de las instalaciones
11.2.7. Reutilización o retirada segura de dispositivos de almacenamiento
11.2.8. Equipo informático de usuario desatendido
11.2.9. Política de puesto de trabajo despejado y bloqueo de pantalla
12. SEGURIDAD EN LA OPERATIVA
12.1. Responsabilidades y procedimientos de operación
12.1.1. Documentación de procedimientos de operación
12.1.2. Gestión de cambios
12.1.3. Gestión de capacidades
12.1.4. Separación de entornos de desarrollo, prueba y producción
12.2. Protección contra código malicioso
12.2.1. Controles contra el código malicioso
12.3. Copias de seguridad
12.3.1. Copias de seguridad de la información
12.4. Registro de actividad y supervisión
12.4.1. Registro y gestión de eventos de actividad
12.4.2. Protección de los registros de información
12.4.3. Registros de actividad del administrador y operador del sistema
12.4.4. Sincronización de relojes
12.5. Control del software en explotación
12.5.1. Instalación del software en sistemas en producción
24
12.6. Gestión de la vulnerabilidad técnica
12.6.1. Gestión de las vulnerabilidades técnicas
12.6.2. Restricciones en la instalación de software
12.7. Consideraciones de las auditorías de los sistemas de información
12.7.1. Controles de auditoría de los sistemas de información
13. SEGURIDAD EN LAS TELECOMUNICACIONES
13.1. Gestión de la seguridad en las redes
13.1.1. Controles de red
13.1.2. Mecanismos de seguridad asociados a servicios en red
13.1.3. Segregación de redes
13.2. Intercambio de información con partes externas
13.2.1. Políticas y procedimientos de intercambio de información
13.2.2. Acuerdos de intercambio
13.2.3. Mensajería electrónica
13.2.4. Acuerdos de confidencialidad y secreto
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE IN-

FORMACIÓN
14.1. Requisitos de seguridad de los sistemas de información
14.1.1. Análisis y especificación de los requisitos de seguridad
14.1.2. Seguridad de las comunicaciones en servicios accesibles por redes públicas
14.1.3. Protección de las transacciones por redes telemáticas
14.2. Seguridad en los procesos de desarrollo y soporte
14.2.1. Política de desarrollo seguro de software
14.2.2. Procedimientos de control de cambios en los sistemas
25
14.2.3. Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
14.2.4. Restricciones a los cambios en los paquetes de software
14.2.5. Uso de principios de ingeniería en protección de sistemas
14.2.6. Seguridad en entornos de desarrollo
14.2.7. Externalización del desarrollo de software
14.2.8. Pruebas de funcionalidad durante el desarrollo de los sistemas
14.2.9. Pruebas de aceptación
14.3. Datos de prueba
14.3.1. Protección de los datos utilizados en pruebas
15. RELACIONES CON SUMINISTRADORES
15.1. Seguridad de la información en las relaciones con suministradores
15.1.1. Política de seguridad de la información para suministradores
15.1.2. Tratamiento del riesgo dentro de acuerdos de suministradores
15.1.3. Cadena de suministro en tecnologías de la información y comunicaciones
15.2. Gestión de la prestación del servicio por suministradores
15.2.1. Supervisión y revisión de los servicios prestados por terceros
15.2.2. Gestión de cambios en los servicios prestados por terceros
16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
16.1. Gestión de incidentes de seguridad de la información y mejoras
16.1.1. Responsabilidades y procedimientos
16.1.2. Notificación de los eventos de seguridad de la información
16.1.3. Notificación de puntos débiles de la seguridad
16.1.4. Valoración de eventos de seguridad de la información y toma de decisiones
26
16.1.5. Respuesta a los incidentes de seguridad
16.1.6. Aprendizaje de los incidentes de seguridad de la información
16.1.7. Recopilación de evidencias
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CON-

TINUIDAD DEL NEGOCIO
17.1. Continuidad de la seguridad de la información
17.1.1. Planificación de la continuidad de la seguridad de la información
17.1.2. Implantación de la continuidad de la seguridad de la información
17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad de la informa-

ción
17.2. Redundancias
17.2.1. Disponibilidad de instalaciones para el procesamiento de la información
18. CUMPLIMIENTO
18.1. Cumplimiento de los requisitos legales y contractuales
18.1.1. Identificación de la legislación aplicable
18.1.2. Derechos de propiedad intelectual (DPI)
18.1.3. Protección de los registros de la organización
18.1.4. Protección de datos y privacidad de la información personal
18.1.5. Regulación de los controles criptográficos
18.2. Revisiones de la seguridad de la información
18.2.1. Revisión independiente de la seguridad de la información
18.2.2. Cumplimiento de las políticas y normas de seguridad
18.2.3. Comprobación del cumplimiento
27
Dato importante
Nos referimos a un activo de información crítico cuando estamos ante una infor-
mación que en caso de sufrir una pérdida, robo o uso indebido causaría un impacto
muy grave a la organización.
1.3.4. Presente y futuro de la analítica

Usualmente las herramientas de análisis y monitorización sólo podían actuar sobre texto,
pero poco a poco van desplegándose nuevas soluciones que permiten no sólo tratar otro
tipo de información, como por ejemplo las imágenes, sino también llevar a cabo análisis
sobre el comportamiento. Así, podremos considerar también dentro de nuestro análisis
factores como la localización, hora de trabajo, rol del trabajador, entre otros factores.
Por otro lado, hay que tener en cuenta que el número de eventos y transferencias de datos
es ingente, yendo cada vez a más, lo cual incentiva aún más el hecho de que podamos apo-
yarnos en el comportamiento del usuario para realizar un análisis más inteligente y diri-
gido. Mediante técnicas de aprendizaje automático se puede reducir el número de falsos
positivos, así como evitar en menor medida la intervención de equipos humanos. En este
caso la inteligencia artificial será indispensable para llevar a cabo esos análisis en tiempo
real, pudiendo de una forma eficiente registrar y analizar comportamientos por parte del
usuario final, comparándolos con el perfil de riesgo de la organización y decidiendo de
forma consecuente si lanzar una alerta.
Asimismo, de esta forma se pueden reducir los tiempos de respuesta ante incidentes,
incluso lanzando una alarma antes de que el incidente ocurra, o limitando la cantidad de
datos afectados. Dentro de este contexto una tecnología conocida es SIEM o gestión de
incidentes y eventos de seguridad, con la que se consigue registrar toda la información
relacionada para analizarla de igual modo. Esto también permite la correlación de even-
tos, identificando patrones que nos alerten de que algún suceso dañino está ocurriendo
en nuestros sistemas. Además, permiten obtener información de diversas fuentes, con lo
que se pueden analizar grandes cantidades de datos.
En línea con esa capacidad analítica la tecnología SIEM no sólo usa bases de datos rela-
cionales, sino también no relacionales, lo que aumenta la capacidad de búsqueda en tiem-
po real. Asimismo, esta capacidad de analítica del contexto está sustituyendo a la antigua
tecnología de detección de amenazas basadas en firmas, donde también se monitoriza el
comportamiento de las aplicaciones autorizadas, para evitar asimismo usos no correctos
de las mismas. Todo ello con el ánimo de buscar una postura de seguridad proactiva, en
vez de reactiva donde ya se ha producido una brecha.
28
Por otro lado, debemos considerar que nos encontraremos ante eventos generados por el
usuario y por el sistema informático. En cuanto a la monitorización de eventos generados
por el usuario, se tienen en cuenta los parámetros de contenido, comunidad y canal para
definir qué está y qué no está autorizado. Por un lado, con el contenido define las caracte-
rísticas de activo crítico de información que permiten identificarlo. Es decir, lo que le dis-
tingue del resto de activos, siendo para ello importante recolectar cuantos más ejemplos
sea posible. Así, por ejemplo, podríamos evitar que un empleado accediese a datos que
están más allá de sus funciones.
En cuanto al parámetro de comunidad, nos encontramos con elementos como la debi-

da segregación de funciones, y por tanto también de accesos, así como la capacitación
y formación para el correcto uso de los activos de información. En definitiva, debemos
preguntarnos quién tiene que tener acceso a un activo y con quién se puede compartir el
mismo. Por ejemplo, si un proveedor de servicios manda por error una información de un
cliente a otro distinto, tendremos que tanto el método de transmisión como en contenido
en sí eran apropiados, no siéndolo la comunidad de personas a las que se estaba enviando.
Finalmente, el parámetro canal se refiere a la forma en que los usuarios autorizados pue-
den usar y transmitir el contenido de carácter confidencial. En muchas entidades se asu-
me que los usuarios autorizados pueden hacer lo que quieran con el contenido de la in-
formación, como por ejemplo almacenarlo en una memoria usb o enviarlo a su cuenta de
correo personal. Así, se abre la puerta a que usuarios descontentos puedan provocar algu-
na brecha de seguridad. Por ejemplo, cuando tratamos con datos de salud de pacientes los
mismos debieran ser cifrados en tránsito, y en caso de que esto no ocurriese tendríamos
un problema de seguridad. Es decir, el contenido estaba autorizado, siendo correcta la
comunidad a la que se estaba enviando la información, pero no así el canal que se estaba
empleando.
29
1.4. Modelo del programa de ciberseguridad

En todas las organizaciones, sin importar el sector o el país en el que operen, siempre hay
un problema recurrente. Los equipos de negocio y de ciberseguridad no se entienden
ni trabajan de forma integrada. De esta forma es imposible que la estrategia de negocio
se vea reflejada en la estrategia de ciberseguridad, y eso en el dudoso caso que realmente
exista tal cosa, ya que lo común es que la seguridad la formen una serie de acciones y
mecanismos que están articulados sólo a nivel operativo.
Por tanto, un factor fundamental es que seamos capaces de definir el programa de ciber-
seguridad con un enfoque y perspectiva estratégica. Para ello es el negocio quien debe
dar el feedback necesario para que el programa pueda ser diseñado y lanzado, teniendo
así que estar presentes desde el inicio los líderes de la alta dirección. Así veremos qué ne-
gocio ayuda a crear la capa de inteligencia, trasladando qué es lo que importa realmente
y cuál es la estrategia de negocio de la organización.
Posteriormente, esta inteligencia daría lugar a la capa de estrategia, donde se definirían

cuáles son los activos críticos a proteger, así como los riesgos a que están expuestos.
Luego llegaríamos a la parte táctica, donde buscaríamos planteamientos para apoyar los
objetivos estratégicos que persigue la organización. A continuación tendríamos que bus-
car soluciones tecnológicas apropiadas para sustentar todo lo anterior, dando así lugar a
la capa de tecnología. Finalmente, tendríamos la capa o nivel de eventos, centrada en los
incidentes a más bajo nivel que deben ser tratados y controlados.
A fin de lograr un diseño y despliegue eficaz de un programa de ciberseguridad es tras-

cendental entender qué es el negocio y qué espera de la ciberseguridad. En este caso
hablamos de las personas que son responsables de forma directa del buen hacer y
resultados económicos de la organización. Una buena guía suele ser identificar a las
personas que forman parte de la junta directiva, buscando asimismo las involucrada más
arriba, en concreto en el consejo de administración. Por tanto, aquí podemos ver un pri-
mer problema o escollo, ¿realmente estas personas se involucrarán en los temas de ciber-
seguridad? En muchas ocasiones estas personas delegan estas tareas en sus delegados, a
la hora de discutir temas relativos a la táctica, pero sí es fundamental que la alta dirección
participe en la parte de inteligencia y estrategia.
30
No obstante, también es muy frecuente que las empresas que cotizan en bolsa tengan que
emitir informes de buen gobierno y resultado de cuentas de forma anual, incluyendo una
sección sobre riesgos corporativos, donde es común que se hable de la ciberseguridad.
Además, debemos tener presente que otro colectivo importante, que tendrá información
de mucho valor para definir la inteligencia y estrategia, es la de los directores o respon-
sables de las áreas y línea de negocio. De hecho, en muchas ocasiones estas personas
tendrán una información mucho más concreta y detallada de la realidad. Además, tam-
bién podemos ver el peso o importancia interna que tiene cada área interna de negocio o
soporte si vemos el presupuesto con que cuenta, lo cual también nos dará pistas de cara a
la identificación de los activos críticos de la organización.
También es importante destacar que aunque los miembros del equipo de ciberseguridad
suelen tener un buen conocimiento de lo que es importante en la organización, siempre
hay detalles e información que se les escapa, por lo que sólo se puede acceder a la misma
hablando con los responsables de las áreas involucradas. Además, en general desde el
área de tecnologías de la información, sea que en ella está subsumida o no la parte de
ciberseguridad, suele tener una visión global o de conjunto, que ayuda a ver la necesidad
de desplegar acciones básicas. Por ejemplo, contar con antivirus, firewalls, etc. Pero en
cambio esa visión se quedará corta para llegar a las medidas finas que requiere cada con-
texto organizativo.
De igual modo, contar con ese soporte y supervisión por parte del negocio es necesario
también para evitar suspicacias por parte de los empleados. Sobre todo ante la posible
sensación o temor de estar siendo “vigilados”, o que se vulnere su intimidad y datos per-
sonales. Esto va asimismo en la línea de buscar que los usuarios sean aliados y no ene-
migos del programa de ciberseguridad.
Por tanto, con esa visión holística comentada a continuación se irán viendo cada una de
las capas o niveles que tendrían lugar en un programa de ciberseguridad.
Nivel de Inteligencia
En este nivel nos ocupamos de la dirección de la organización, buscando qué es lo real-

mente importante para el negocio. Es decir, ser capaces de identificar qué activos son
importantes para que la empresa cumpla y de respuesta a las exigencias y necesi-
dades de sus metas y visión corporativa. Todo ello siendo consciente de que los plan-
teamientos que vayamos a trasladar desde el área de ciberseguridad no deben bloquear
al negocio, o hacer que se vuelva inoperativo, ya que entonces estaríamos haciendo lo
contrario a lo esperado. Dicho de otra forma, no podemos bloquear un proceso o flujo de
información, aunque presente vulnerabilidades, hasta que no haya una alternativa apro-
bada.
31
Además, es necesario entender que hay que realizar un análisis coste-beneficio entre la
aceptación de un riesgo y la puesta en marcha de medidas con unos costes tangibles e
intangibles determinados. Recordemos de nuevo, en relación a los costes intangibles, que
habrá acciones que puedan causar malestar entre los empleados, pudiendo derivar en
dificultades a la hora de poner en marcha otros proyectos futuros.
Como hecho fundamental en esta capa de inteligencia buscamos determinar qué usos
aceptables se pueden asignar a los activos críticos, desde una perspectiva de conteni-
do, canal y comunidad. Para ello qué duda cabe habrá que hablar con las personas que ma-
nejan diariamente tales activos, ya que ellos tienen la información concreta sobre cómo se
almacenan y transmiten, así como los procedimientos que se siguen cuando los procesos
operativos fallan. Además, estas entrevistas deben hacerse de forma cauta, para evitar la
generación de suspicacias en las personas, que hagan que no digan toda la información.
Si conseguimos esa cercanía veremos cómo los empleados se abren, haciéndonos partíci-
pes de las barbaridades, que en demasiadas ocasiones ocurren, que se llevan a cabo con
los activos corporativos en contra de los principios de seguridad.
De esta forma al lograr identificar y documentar cuáles son las prácticas autorizadas,
podremos retroalimentar a la capa de estrategia donde se indicará cómo detectar los com-
portamientos que se salgan de esa línea y la respuesta a dar en tales escenarios.
Nivel de Estrategia
En este nivel o capa de estrategia tendremos que dar forma a las acciones necesarias
para que se haga cumplir el uso autorizado de los activos de información críticos.
De igual modo, habrá que definir las respuestas a dar ante tales escenarios, las cuales
tendrán que ser medidas y sopesadas con cautela. En este punto es importante comentar
que en ocasiones, y con más frecuencia en empresas de gran tamaño, se articulan dos
grupos de trabajo distintos. Uno con un nivel de gobierno o gobernanza, para la parte
de inteligencia, con las personas que toman las decisiones y que pueden patrocinar los
proyectos de seguridad, tanto a nivel funcional como presupuestario. Y otro como grupo
de trabajo, compuesto por delegados del grupo de gobierno o gobernanza, que se reunirá
con una frecuencia mucho mayor y tendrán asignadas tareas mucho más específicas en
materia de seguridad.
Así, unas de las primeras tareas a acometer en el nivel de estrategia es decidir qué ca-
pacidades se necesitan para detectar los comportamientos no autorizados sobre los
activos críticos. Por ejemplo, pensemos en una organización donde las áreas de negocio
no requieren para su funcionalidad del uso de memorias USB. En ese caso, tendría que
deshabilitarse la posibilidad de usar las mismas, no obstante si se detectase que puede ser
necesario para transferir activos no críticos la situación cambiaría. En ese caso tendría-
mos que ser capaces de detectar cuándo la información es o no crítica.
32
Por otro lado, hay que definir las respuestas a tomar para proteger los activos críticos.
Estas acciones pueden ir desde bloquear los usos no autorizados de la información, el
lanzamiento de ventanas emergentes con avisos, etc. Teniendo presente que las mismas
deben tratar, en la medida de lo posible, de no ser excesivamente coercitivas, a fin de evi-
tar una fuerte aversión por parte de los usuarios y negocio.
Nivel de Táctica
En el nivel de táctica es importante entender que el programa de ciberseguridad debe te-

ner una visibilidad dentro de la corporación, ya que en caso contrario sería un silo que no
tiene ninguna relación con negocio, por lo que la atención que recibirá será nula. Además,
hay que tener en cuenta que el éxito operativo de un programa de ciberseguridad estará
precisamente en la parte táctica, siendo consciente además que no se creará esta capa
de un día a otro, al ser un proceso que lleva cierto tiempo.
Esto se debe a otros factores en la necesidad de crear procesos, junto con políticas, pro-
cedimientos e instrucciones de trabajo. En definitiva, un enfoque similar al empleado
en normas ISO. En concreto, vemos cómo la información recogida en la capa de inteli-
gencia se plasmaría en la política de seguridad de la información, mientras que la capa de
estrategia lo haría en los procedimientos y la capa táctica en las instrucciones de trabajo.
También de esta forma quedaría definido corporativamente quién es responsable de cada
cosa.
La creación de estos procesos, políticas y procedimientos es una labor compleja, pero el

resultado que dan siempre es muy positivo.
De igual modo, vemos cómo la tecnología que se despliegue en la organización, que se

verá en la siguiente capa, tiene que estar conectada con un proceso definido en la capa
táctica. En concreto, habría una serie mínima de áreas que tendrían que ser considerados
en este punto:
• Gestión de aplicaciones: controles de seguridad, gestión de actualizaciones y par-

ches, gestión de cambios, diseño y arquitectura de seguridad, etc.
• Gobierno de políticas: traducción de los requisitos de negocio en reglas y políticas

dentro de los sistemas informáticos.
• Gestión de eventos: identificación de los eventos maliciosos y de los falsos positi-

vos, estipulando la respuesta apropiada en cada situación.
33
• Respuesta a incidentes: definición de roles, responsabilidades y procesos cuando

un evento tiene un impacto negativo contra el negocio.
• Analítica e informes: definición de los indicadores que ayudarán a que los deciso-
res de negocio vean cuál es la eficacia del programa de ciberseguridad, respecto
a los objetivos estratégicos que se hayan decidido. De igual modo, se tendrán que
considerar los problemas y vulnerabilidades que se vayan descubriendo, así como
el funcionamiento de la respuesta a incidentes.
Además, en todos estos elementos no sólo se debe definir lo que se ha de hacer y quién
es responsable de ello, sino que también habrá que definir los tiempos y la frecuencia con
que se deben llevar a cabo.
Nivel de Tecnología
Es en esta capa de tecnología donde arrancan la mayoría de programas de cibersegu-

ridad de las organizaciones, pudiendo ver lo simple de su planteamiento, además de que
realmente no atienden a lo que de verdad necesita su negocio.
Como hemos visto en este apartado se tendrán que desplegar tecnologías de todo tipo,
desde antivirus básicos hasta tecnología de seguridad basada en el comportamiento. De
igual modo, habrá que tener en cuenta las soluciones de monitorización, prevención de
pérdida de datos, cifrado, cortafuegos, etc.
Nivel de Eventos
Esta capa siempre existirá, independientemente de la forma que tengo el programa de

ciberseguridad de una empresa, ya que básicamente consta de la información que se
produce y gestiona a nivel digital. Podemos inferir que el volumen de eventos será extre-
madamente grande, siendo por tanto imprescindible contar con tecnología que permita
diferenciar los eventos nocivos del resto. Todo ello alineado con los objetivos de negocio
de la organización y su postura de seguridad.
34
2. Modelización de amenazas
“La modelización de amenazas conlleva una serie de pasos básicos,
simples pero efectivos. La idea es aprender lo máximo posible sobre
el sistema que tenemos delante, a fin de encontrar sus posibles vul-
nerabilidades.”
2.1. Introducción
La complejidad creciente de las ciberamenazas, unido a los crecientes requisitos relacio-
nados con el cumplimiento normativo en este campo, hacen necesario que las organiza-
ciones planteen una postura mucho más sofisticada que la mostrada hasta ahora. Esto,
entre otras cuestiones, lleva aparejada la necesidad de descubrir y gestionar las poten-
ciales amenazas de seguridad no cuando el producto o servicio ya está operando, sino
mucho antes, desde la concepción de los mismos.
Esta labor es fundamental para las personas que crean software e infraestructuras TIC,
siendo de hecho esta modelización de amenazas algo que todas las personas hacen de
forma instintiva en su día a día. Pensemos cuando hemos de cruzar un paso de peatones,
cuando nos dirigimos a una entrevista importante o, quizá más gráfico aún, cuando com-
pramos una nueva casa. Instintivamente identificamos los activos de valor a proteger, las
posibles amenazas que podrían ocurrir y las formas en que evitar las mismas.
Esta modelización informal que seguramente es más que válida para los ejemplos caseros
y cercanos que nos podamos imaginar, seguro que deja de ser válida cuando el contexto
se amplia. Por ejemplo, si un amigo nos pide que realicemos un modelo de amenazas de
su chalet, o si nuestro jefe nos dijese que hiciésemos lo mismo sobre las oficinas de la em-
presa. Nuestra confianza se vendría abajo, siendo conscientes de que la complejidad del
problema requiere una aproximación más formal y sofisticada.
Vemos que esta sería la misma situación que ocurriría ante la necesidad de modelar las
amenazas relacionadas con programas e infraestructuras informáticas, lo cual redunda-
rá sin ninguna duda de forma beneficiosa en la organización. Todo ello debido a que si
encontramos esas vulnerabilidades en la fase de diseño de los productos podremos crear
mejores servicios y productos, haciendo además que la resolución de esos problemas ten-
ga un coste e impacto mucho menor que si se hiciese una vez esos productos o servicios
están siendo usados por clientes.
35
Esta modelización de amenazas nos permite identificar qué es lo que puede ir mal,
llevando a cabo un análisis sosegado y concienzudo, lo cual no suele estar en sintonía por
ejemplo con la rapidez requerida para crear software hoy en día. Sin duda este plantea-
miento está motivado por la carencia de información sobre las consecuencias que podría
ocasionar ese software o sistema inseguro que se va a desplegar. Es decir, en muchas oca-
siones se alude a restricciones presupuestarias para razonar la falta de revisiones sobre la
seguridad del software, argumento que precisamente se podría tumbar si se tuvieran en
cuenta factores como posibles sanciones por incumplimientos normativos, lucro cesante
por pérdida de clientes ante un impacto reputacional, etc.
De igual modo, esta herramienta permite comprender mucho mejor los requisitos de se-
guridad de nuestros desarrollos, ya que tendremos que plantearnos diversas preguntas
sobre posibles riesgos y vulnerabilidades. Dicho de otra forma, al irnos encontrando todo
lo que puede ocurrir para mal, tendremos que discernir qué respuesta vamos a dar a cada
uno de esos riesgos. De esta forma tendremos mucho más claro cuáles son las caracterís-
ticas y propiedades en materia de seguridad que deben estar presentes.
Además, también conseguiremos reducir los costes de diseño y lanzamiento de un

servicio o producto. Si desde el diseño conseguimos mitigar la mayoría de los proble-
mas de seguridad el equipo de ingenieros se podrá centrar exclusivamente en la parte
funcional, que es precisamente lo que estará buscando el usuario final. Asimismo, en un
contexto de competencia entre varias empresas con productos similares, podremos tener
un factor diferencial al podemos demostrar el compromiso extra de nuestro producto con
la seguridad y el tratamiento adecuado de los datos de los clientes.
Asimismo, mediante esta herramienta podremos identificar problemas de seguridad que

no saldrían a la luz mediante el empleo de otro tipo de técnicas. Por ejemplo, la existencia
de no conexiones que no requieran de autenticación, algo que no saldría a la luz mediante
herramientas de análisis de código. Por otro lado, esta herramienta también es de utilidad
para los administradores de los sistemas, ya que habrá medidas de seguridad que estará
en su mano desplegar. Además, les será de ayuda tener una visión sistémica del software
o infraestructura que se va a desplegar, viendo el total de componentes y cómo se relacio-
nan entre sí. Todo ello con el extra de aportar más valor a negocio y a las áreas relaciona-
das con el cumplimiento normativo.
En cuanto al ámbito del desarrollo software, también encontramos sinergias potenciales

no sólo con los creadores de software, sino también con las personas que llevan a cabo las
tareas de aseguramiento de la calidad y dirección del proyecto. Asimismo, los evaluadores
o probadores de software también tendrán mucho que decir, y encontrarán elementos de
gran utilidad, con esta herramienta.
36
Como no los profesionales de la ciberseguridad o seguridad de la información también

encontrarán beneficios en el empleo de esta herramienta. Así, verán cómo modelar las
amenazas de una forma estructurada, además de entender cómo se pueden trasladar re-
quisitos de seguridad al área de desarrollo software y a la parte de operación de infraes-
tructuras. Todo ello con el ánimo de mejorar la postura de seguridad de las organizacio-
nes, dotándoles de una madurez mayor en el ámbito de los sistemas de información y
software.
2.2. Marco de trabajo

La modelización de amenazas conlleva una serie de pasos básicos, simples pero efectivos.
La idea es aprender lo máximo posible sobre el sistema que tenemos delante, a fin de
encontrar sus posibles vulnerabilidades. En ese sentido, los pasos o preguntas que de-
beríamos hacernos son las siguientes:
1. ¿Qué se está construyendo?
2. ¿Qué puede ir mal una vez que esté construido?
3. ¿Qué se debería hacer con aquellas cosas que pueden salir mal?
4. ¿El trabajo de análisis efectuado es completo?
Para ello, veremos que los diagramas de flujo de datos son una herramienta importante,
cando comprender todos los elementos y componentes que formarán parte de nuestro
sistema, identificando asimismo las vulnerabilidades que pueden estar presentes. Dicho
de otra forma, los pasos antes comentados se transformarían en los siguientes:
1. Modelizar el sistema que se va a crear, implantar o modificar
2. Encontrar amenazas que afectarían al mismo
3. Decidir cómo gestionar las amenazas encontradas
4. Validar que el trabajo efectuado es completo y efectivo
Si nos damos cuenta la modelización de amenazas debería ser una herramienta tan fun-
damental, y normalizada, como lo pueda ser por ejemplo el control de versiones. Ningún
diseñador de software podría llevar a cabo un proyecto sin un sistema de control de ver-
siones, no sería ni práctico ni profesionales. Pues bien, con la modelización de amenazas
ocurriría lo mismo. No podemos mirar a otro lado o esperar a que las vulnerabilidades
se identifiquen una vez el producto o servicio ya está en mercado. Tampoco sería serio o
profesional.
37
Además, con esta herramienta o enfoque debemos ponernos en la piel del atacante. De-
bemos pensar como él, entendiendo así por qué vías podrían darse ciertos ataques, cuáles
serían las amenazas que podrían ser explotadas con mayor frecuencia, etc. Así mismo, hay
que entender que habrá amenazas que no podrán ser mitigadas de forma perfecta, por lo
que habrá que afinar los requisitos de seguridad a exigir al sistema.
A continuación veremos con algo más de detalle cada una de las fases indicadas como
necesarias en el proceso de modelización de amenazas.
¿Qué estamos construyendo?
Una buena forma para clarificar lo que nos disponemos a construir es emplear diagra-
mas, los cuales nos permiten de forma fácil y rápida entender más profundamos lo que
tenemos delante de los ojos. A continuación se expone como ejemplo de alto nivel lo que
podría ser el diagrama de un aplicación simple.
Diagrama de aplicación simple
Además, nos permiten pensar de forma más clara sobre lo que puede ocurrir para mal.
Es decir, las amenazas que podrían materializarse sobre el sistema. Tomando el ejemplo
anterior, ¿cómo sabremos si el navegador web está siendo usado por las personas espera-
das?, ¿sería posible que alguien modificase de forma no autorizada la base de datos?, ¿es
correcto que la información pase de componente a componente sin ir cifrada?
Por otro lado, también podrían surgir preguntas como la siguiente: ¿la base de datos po-
drá estar en proveedor externo, o debe estar en las dependencias locales? Lo cual nos lleva
al concepto de límite de confianza, donde se indica quién controla qué dentro de nuestro
sistema. Es decir, si personas distintas controlan diferentes elementos o entornos debe
designarse en el modelo como límites de confianza. Ejemplos pueden ser cuentas, inter-
faces de red, ordenadores físicos, límites en la organización, etc. En definitiva, cualquier
sitio o elemento donde haya diferentes privilegios de acceso y operación.
A continuación vemos el ejemplo anterior añadiendo límites de confianza.
Límites de confianza
38
Estos diagramas pueden ser construidos con herramientas que pueden ir desde progra-
mas de dibujo, Visio o herramientas específicas de modelización de amenazas como ve-
remos en esta unidad.
¿Qué puede ir mal?
Una vez que hemos construido un diagrama que muestra la composición del sistema bajo
estudio debemos preguntarnos qué puede ir mal dentro del mismo. Es importante tomar
esta acción con un toque lúdico, lo cual hará que los participantes se involucren más y que
la creatividad sea mayor.
Para ello, podemos mostrar el diagrama construido a cada uno de los participantes, de-
biendo indicar cada uno qué posibles amenazas observa. Dicha información se tendría
que ir registrando, para su posterior evaluación y gestión. De igual modo, existen meto-
dologías que pueden facilitar esta labor, siendo un ejemplo STRIDE. Esta palabra es un
mnemotécnico para identificar todo lo que puede ir en nuestro sistema. En concreto, co-
rresponde a las siglas de Spoofing (Suplantación), Tampering (Manipulación), Repudia-
tion (Repudio), Information Disclosure (Divulgación de información), Denial of Service
(denegación de servicio) y Elevation of Privilege (Elevación de privilegio).
Una explicación más detallada de cada una de estas dimensiones de amenazas es la si-
guiente:
• Suplantación: pretender ser alguien o algo que no se es.
• Manipulación: modificación de algo de forma no autorizada.
• Repudio: reclamar que algo no se hice, independientemente de ser o no cierto.
• Divulgación de información: exposición de información a personas no autorizadas

para ello.
• Denegación de servicio: ataques para interferir con el buen funcionamiento de un

sistema, dejando este de prestar servicio.
• Elevación de privilegio: realización de acciones para las que supuestamente no se

tienen los necesarios permisos.
39
Para ejemplificar estas dimensiones recordemos las amenazas comentadas anteriormen-

te:
• ¿El navegador puede ser usado por una persona no esperada? → Sería un ejemplo
de Spoofing.
• ¿La información puede ser modificada en la base de datos sin autorización? →

Sería un ejemplo de Tampering.
• ¿Es correcto que la información pase de un componente a otro sin cifrar? → Sería
un ejemplo de Information Disclosure.
De esta forma podemos ver que el empleo de STRIDE facilita mucho la identificación de
amenazas. Para ello bastaría ir recorriendo el diagrama construido y buscar amenazas por
cada una de las dimensiones de STRIDE.
A continuación se muestran algunos ejemplos adicionales para cada una de las dimen-
siones:
• Spoofing: alguien podría hacerse pasar por un usuario, sitio web, etc. Por tanto,
sería necesario contar con un sistema de autenticación, contar con un certificado
SSL, etc.
• Tampering: alguien podría alterar los datos de un repositorio institucional, los da-
tos que van en un flujo de un componente a otro, un insider malicioso podría aña-
dir algún tipo de parámetro que se aplicase sobre todas las ventas que se hagan
desde un comercio online, etc.
• Repudiation: cualquiera de las acciones comentadas anteriormente podría requerir

de una búsqueda para conocer quién, cuándo y cómo lo llevó a cabo. Para ello, ten-
dremos que preguntarnos si existen registros en el sistema, si la guardan de traza
está almacenada de forma segura, etc.
• Information Disclosure: alguien podría leer la información de una base de datos

corporativa, entrar en carpetas en red, husmear los buzones de correo de los em-
pleados, etc.
• Denial of Service: alguien podría programar el envío de miles de solicitudes en

paralelo contra una página web o un sistema corporativo.
• Elevation of Privilege: alguien que sólo tuviese acceso a la interfaz de un sistema

podría conectarse a la capa de lógica de negocio, un empleado podría por error
cambiar los parámetros de un archivo de configuración, etc.
40
Asimismo, de cara a identificar amenazas de forma más eficiente hay algunas indicacio-
nes que pueden ser de utilidad. Por ejemplo, podemos entender qué muchas de las ame-
nazas existentes se darán en las entidades externas, es decir en aquellos elementos donde
se inicia una actividad. De igual modo, es conveniente centrarse en las amenazas que sean
más probables y que puedan ser gestionadas por nuestra parte de alguna forma. Si iden-
tificamos, por ejemplo, la amenazad e que los chips de nuestros servidores tengan una
puerta trasera, seguramente poco podamos hacer al respecto. Hablamos de amenazas que
aun siendo reales están más allá de nuestras posibilidades como gestores de seguridad
de la información.
¿Qué se debería hacer con aquellas cosas que pueden salir mal?
Una vez tenemos un catálogo de amenazas identificadas tenemos que ver cómo tratar
cada una de ellas. En concreto, las posibles opciones de gestión del riesgo son la mitiga-
ción, eliminación, transferencia o aceptación. A continuación se explican cada una de
ellas con algo más de detalle:
• Mitigación: buscaremos implantar controles que hagan más difícil la explotación

de la amenaza. Por ejemplo, implantando un sistema de gestión de contraseñas
para evitar las amenazas de spoofing.
• Eliminación: en este caso se intentará eliminar algún tipo de característica o fun-

cionalidad del sistema. Es decir, la mitigación no nos sirve, ya que sigue existiendo
una probabilidad que la amenaza sea empleada por un atacante. Por tanto, esta
opción es más difícil de llevar a la práctica, al suponer en muchas ocasiones un
factor negativo para el negocio.
• Transferencia: buscamos que sea un tercero el que gestione el riesgo, lo cual usual-
mente recaerá en un proveedor externo. Por ejemplo, una empresa que lleva la
gestión del CPD de una empresa.
• Aceptación: cuando el coste de evitar un ataque es superior al que tendría lugar si

dicha vulnerabilidad se viese explotada, debemos aceptar el riesgo. No obstante,
si seguimos dándole vueltas a la cabeza sobre un riesgo que fue aceptado segura-
mente se deba volver a evaluar.
41
A continuación se muestran listados sobre las posibles estrategias de mitigación, que

será la opción de tratamiento del riesgo más usual, para cada una de las dimensiones
STRIDE.
• Spoofing
Objetivo Estrategia de mitigación Técnica de mitigación
Persona Identificación y autenticación Contraseñas, biometría,

etc.
Fichero en disco Capacidades del sistema Revisión de los controles

operativo de acceso, etc.
Dirección de red Cifrado HTTPS/SSL, IPSec, etc.
Programa en memoria Capacidades del sistema Sistemas de identificación

operativo de aplicaciones presentes
en el sistema operativo
• Tampering
Cifrado, capacidades del

Fichero Firmas digitales, etc.
sistema operativo, etc.
Sistema de ficheros
Directorios protegidos ante Listas de control de acce-
(creación de un
explotación de código so, etc.
fichero)
HTTPS/SSL, segmentación
Paquete de red Cifrado
de redes, etc.
• Repudiation
Asegurar que se registra

Logs sin sentido que oportunamente toda la
no ayudan a demostrar Logs información relevante
nada para la seguridad de los
sistemas
Listas de control de ac-

Logs que son atacados Protección de logs ceso, envío de logs por la
red, etc.
En la fase de diseño de
Logs como una vía para Especificación exacta de los los sistemas especificar y
los ataques logs documentar el diseño de
los logs
42
• Information Disclosure
Monitorización de red Cifrado HTTPS/SSL, IPSec, etc.
Directorios o nombres Capacidades del sistema

Listas de control de acceso
de ficheros operativo
Contenido de los Cifrado, capacidades del Cifrado, listas de control

ficheros sistema operativo, etc. de acceso, etc.
Revelación de Especificación de los re-

información sobre Seguridad por diseño quisitos de seguridad en la
APIs fase de diseño
• Denial of Service
Inundación de red Búsqueda de recursos Recursos elásticos
Requisitos de seguridad
especificados en la fase de
Recursos de programa Seguridad por diseño
diseño, recursos elásticos,
etc.
Capacidades del sistema Configuración segura del

Recursos de sistema
operativo sistema operativo
• Elevation of Privilege
Validación de que los

datos corresponden a las
Error de datos y/o Herramientas y arquitecturas necesidades de las funcio-
código que separen datos y código nes, sentencias y procedi-
mientos SQL preparados,
etc.
Ataques de corrupción Empleo de funciones seguras Identificación de funciones

del flujo de control del lenguaje de programa- seguras y su empleo en la
y/o memoria ción, etc. escritura de código, etc.
Ataques de inyección Procedimentar la revisión del Análisis dinámico y estáti-

de comandos código, etc. co del código, etc.
43
¿El trabajo de análisis efectuado es completo?
La validación del modelo de amenazas sería el último paso a dar dentro del proceso co-
mentado. De forma muy resumida, tendremos que verificar el modelo en su totalidad,
en cuanto a la construcción del mismo con sus componentes y conexiones; el conjunto de
amenazas detectadas y la forma en que gestionar las mismas.
En este sentido, las siguientes cuestiones nos pueden ayudar en nuestra labor:
• ¿Está completo?
• ¿Es exacto?
• ¿Cubre todas las decisiones de seguridad que tomamos?
• ¿Puedo comenzar la próxima versión con el mismo diagrama sin ningún cambio?
Y en caso de que la respuesta fuese negativa para alguna de las cuestiones tendríamos
que verificar nuevamente el modelo. Además, veremos que cada cierto tiempo quizá nos
veamos en la necesidad de actualizar nuestros diagramas, para lo cual las siguientes indi-
caciones nos serán de utilidad:
• Centrarse en el flujo de datos de cara a identificar posibles elementos o componen-

tes que no hubieran sido considerados previamente.
• Cada vez que nos encontremos empleado palabras como “a veces” o “también”
debemos agregar más detalles al modelo, ya que estamos poniendo de manifies-
to que hay diversos caminos y, por tanto, elementos o componentes involucrados
para hacer las cosas.
• Cuando sea necesario dar explicaciones adicionales de cara a explicar aspectos im-
portantes de seguridad, será necesario dibujar más detalladamente los elementos y
componentes que entran en juego.
Asimismo, en relación a las amenazas es importante analizar si, además de encontrar

todas las amenazas plausibles, la respuesta que se va a dar para gestionar las mismas es
oportuna. De igual modo, es importante articular una prueba para cada una de las ame-
nazas identificadas, a fin de verificar si las mismas pueden ser o no explotadas, lo cual se
puede hacer tanto a nivel manual como automático.
44
Dato importante
La modelización de amenazas nos permite identificar qué es lo que puede ir mal,

llevando a cabo un análisis sosegado y concienzudo, lo cual no suele estar en sinto-
nía por ejemplo con la rapidez requerida para crear software hoy en día.
2.3. STRIDE
Como hemos visto no es simple modelar un sistema correctamente, y mucho menos iden-
tificar las amenazas que pueden materializarse sobre el mismo. Es un trabajo arduo y
donde corremos el riesgo de dejarnos amenazas sin identificar, lo cual podría limi-
tar sobremanera precisamente la labor que pretendemos acometer. Si ponemos como
ejemplo el diagrama de la Figura 3 vemos que hay un número de elementos, contando los
componentes y las conexiones entre los mismos, que en principio no es muy elevado. No
obstante, identificar de forma exhaustiva todas las amenazas posibles ya empezaría a ser
complejo.
Diagrama de un sistema
45
Viendo este ejemplo podemos ser aún más conscientes de la utilidad que traslada un
marco como STRIDE, al permitirnos seguir una sistemática de trabajo en nuestro análisis.
Además, las dimensiones STRIDE tienen una relación directa con las dimensiones de
seguridad de la información más importantes, viendo así que la utilidad de esta herra-
mienta está fuera de toda duda.
Dimensión de seguridad
Dimensión STRIDE
tradicional
Suplantación (Spoofing) Autenticación
Manipulación (Tampering) Integridad
Repudio (Repudiation) No repudio
Divulgación de información (Information

Confidencialidad
disclosure)
Denegación de servicio (Denial of service) Disponibilidad
Elevación de privilegio (Elevation of privilege) Autorización
De igual modo, para ayudarnos en nuestra labor podemos recurrir a tablas como las si-
guientes, donde vemos ejemplos de amenazas por cada una de las dimensiones.
• Suplantación
Ejemplo de amenaza Acción del atacante

Suplantación de un proceso en la
Renombrado
misma máquina
Alteración de rutas de acceso
Suplantación de un fichero Creación de un fichero en el directorio local
Creación de un enlace y cambio del mismo
Creación de muchos ficheros en el directorio

esperado
Suplantación de una máquina ARP Spoofing
IP Spoofing
DNS Spoofing
Compromiso del DNS
Redirección IP
Suplantación de una persona Cambiar la cabecera del nombre del email
Hacerse con las credenciales de la cuenta
Suplantación de un cargo o rol Declararse asimismo como dicha persona
46
• Manipulación

Modificación de un fichero al que tienen
Manipulación de un fichero
acceso y en el cual confía un tercero
Modificación de un fichero de la víctima
Modificación de un fichero en un servidor de

ficheros de la víctima
Modificación de enlaces o redireccionamien-

tos
Manipulación de memoria Modificación de código de la víctima
Modificación de datos que se han pasado a

una API
Redireccionamiento del flujo de datos a una

Manipulación de red
máquina
Modificación de datos que circulan en una

red
• Repudio

Repudio de una acción Reclamar no haber clickeado
Reclamar no haber recibido
Reclamar haber sido víctima de un fraude
Usar la cuenta de alguna otra persona
Usar el medio de pago de alguna otra perso-

na sin autorización
Ataque a los logs Darse cuenta de que no se dispone de logs
Atacar a los logs para tergiversar o hacer

que la lectura de los mismos sea confusa
47
• Divulgación de información

Divulgación de información de
Extraer secretos de mensajes de error
un proceso
Leer los mensajes de error de los nombres

de usuario y contraseñas para todos los
usuarios de la base de datos
Extraer secretos de las máquinas desde los

mensajes de error
Extraer secretos personales o de negocio

desde los mensajes de error
Divulgación de información de Tomar ventaja de la falta o de inapropiadas

repositorios de datos listas de control de acceso
Tomar ventaja de una mala asignación de

permisos
Encontrar ficheros protegidos mediante el

enfoque de oscuridad
Encontrar claves de cifrado en disco o me-

moria
Ver información interesante en los nombres

de los ficheros
Leer los ficheros según fluyen por la red
Conseguir datos de los logs o ficheros

temporales
Conseguir datos del espacio de intercam-

bio u otro repositorio de almacenamiento
temporal
Extraer datos obteniendo un dispositivo o

cambiando el sistema operativo
Divulgación de información de
Leer datos que circulan en la red
flujos de datos
Redirigir el tráfico para permitir su lectura
Conocer secretos analizando el tráfico
Aprender quién habla con quién observando

el DNS
Aprender quién habla con quién observando

las redes sociales
48
• Denegación de servicio

Denegación de servicio contra un
Consumo de memoria
proceso
Consumo de CPU

Anular el espacio libre
repositorio de datos
Generar peticiones para tirar el sistema

Consumir los recursos de red
flujo de datos
• Elevación de privilegio

Elevación de privilegios contra Envío de una entrada de datos que el código
un proceso corrompiéndolo no puede manejar correctamente
Ganar acceso de forma no autorizada para

leer o escribir en memoria
Elevación de privilegios debido

a la falta de verificaciones de Acceso directo
autorización
Elevación de privilegios a través Modificación de datos en disco para hacer

de la manipulación de datos operaciones no autorizadas
Asimismo, es importante que tengamos en mente cuáles son los principales activos que
tendríamos que tener en consideración, a fin de dar forma a nuestro diagrama del sistema:
Ordenadores personales
• Ordenador de sobremesa
• Portátil
• Teléfono móvil
• iPad
• Etc.
49
Servidores
• Servidor web
• Servidor de correo electrónico
• Servidor de bases de datos
• Etc.
Sistemas de seguridad
• Firewall
• VPN
• Servidor de logs
• Etc.
Grupos funcionales
• Sistemas para desarrollo
• Sistemas financieros
• Sistemas de fabricación
• Etc.
Personas
• Ejecutivos
• Administradores de sistemas
• Personal de ventas
• Empleados de proveedores
• Ciudadanos
• Etc.
50
Procesos
• Transferencia de dinero
• Compra de productos
• Etc.
Reputación
Propiedad intelectual
Moral de la plantilla
Datos de autenticación
• Nombres de usuario
• Contraseñas
• Tokens de acceso físico
• Etc.
No obstante, aun contando con estos consejos la labor de realizar un modelo de amena-
zas puede ser demasiado compleja, sin tener nunca claro si el modelo tendrá un nivel de
calidad elevado. Para ello, contamos con herramientas software que nos pueden ayudar
sobremanera en este sentido. Una herramienta destacada y gratuita es Microsoft Threat
Modeling Tool 2016, viendo a continuación el proceso de su instalación y empleo.
Figura 4. Descarga gratuita de la aplicació
Descarga del ejecutable y documentos de ayuda
51
Arranque de la instalación
Interfaz principal de la aplicación
52
Pantalla para la creación de un modelo desde la vista de diseño
Modelado de un sistema simple
53
Detalles del elemento “SQL Database” que pueden ser parametrizados
Listado de amenazas detectadas automáticamente en la vista de análisis
54
Información detallada para cada amenaza detectada, y que puede ser parametrizada
En definitiva, gracias a esta herramienta podemos por un lado diseñar el diagrama de

nuestro sistema, lo cual haremos desde la vista de diseño. Y, por otro lado, identificar de
forma automática todas las amenazas que pueden afectar a nuestro sistema, informa-
ción a la que accederíamos desde la vista de análisis. Todo ello con un grado de detalle
muy superior al que podríamos llegar de hacer este ejercicio de forma manual, y reducien-
do el posible margen de error que es inherente a dicho análisis manual.
55
3. Respuesta a incidentes
“Un incidente es un evento que puede tener un impacto significati-
vo en la organización en la que nos encontremos, pudiendo dañar la
misma a nivel operativo, financiero, regulatorio, etc.”
3.1. Introducción
En primer lugar, debemos entender que un incidente es un evento que puede tener un
impacto significativo en la organización en la que nos encontremos, pudiendo dañar la
misma a nivel operativo, financiero, regulatorio, etc. En ese sentido, es obvio que las or-
ganizaciones maduras deben contar con un plan de respuesta a incidentes, a fin de estar
preparados para cuando se produzcan tales incidentes.
De igual modo, las organizaciones que han sido atacadas y no han reflexionado sobre
dicha situación, de cara a que no se vuelva a producir, es más que probable que no con-
tarán con un mínimo plan de respuesta a incidentes. Por tanto, dichas organizaciones se
estrellarán una y otra vez contra los mismos problemas. Asimismo, también es impor-
tante entender que tales eventos suponen una oportunidad de mejora, ya que a partir de
ese momento se podrán poner en marcha acciones que, quizá, hasta ese día no se veían
posibles de plantear o implantar.
También puede resultar obvio que el peor momento para aprender a nadar es cuando di-
cha persona se está ahogando. Igual que el peor momento para que una empresa intente
saber qué medidas antiincendios existen es cuando, precisamente, está en medio de un
fuego en sus oficinas. Dichas actitudes son un imán para la catástrofe, siendo imprescin-
dible por tanto realizar pruebas y simulacros, a fin de verificar si la corporación, en todos
sus niveles y ámbitos, está preparada para gestionar dicho evento.
56
3.2. Elementos de un Plan de Respuesta a Incidentes

Hay que tener en cuenta que es preferible tener un plan básico, por nimio que sea, a no
tener absolutamente nada. Además, se debe entender que los planes serán mejorados
constantemente, máxime después de producirse algún tipo de incidente. A partir de este
punto, lo óptimo es buscar una guía o metodología sobre la construcción de este tipo de
planes, siendo uno básico el que se expone a continuación.
Modelo de plan de respuesta a incidentes
57
3.2.1. Preparación
Es muchas ocasiones una excesiva actividad de análisis hace que no nos pongamos ma-
nos a la obra con la cuestión que tengamos entre manos. Esto también ocurre en el tema
que nos ocupa, ya que pretendemos buscar un plan perfecto nunca daremos inicio al mis-
mo. En definitiva, tendremos que establecer métodos de mejora continua, pero sabiendo
que debemos salir a escena con algo básico y funcional.
Así, en esta fase de preparación se debería documentar el marco que se empleará, cómo
se registrarán los resultados de las pruebas que se realicen, las personas que deben estar
involucradas, quién es responsable de cada una de las acciones, etc. Esta acción se podrá
realizar en una reunión que tenga algunas horas de duración como máximo, servirá de
forma importantísima para evitar errores, caos y confusión a la hora de gestionar un in-
cidente.
Además, es fundamental que los empleados y responsables sepan cómo actuar, ya que
podría darse la circunstancia de que nadie lo hiciese pensando que alguien ya lo habría
hecho o se encargaría de ello. Así, en esta fase de planificación como mínimo deben es-
tablecerse los roles y responsabilidades en esta materia, indicando de igual modo qué
acciones se deben llevar a cabo para responder a cada posible incidente. No obstante, es
importante no tratar de anticipar todos los escenarios posibles, ya que lo único que con-
seguiremos es complejizar en exceso nuestro plan, sin ganar en efectividad.
3.2.2. Detección y análisis

Son muchos los estudios internacionales que indican que las organizaciones tardan una
excesiva cantidad de tiempo, en magnitud de meses, en detectar intrusiones y problemas
de seguridad. De este modo, los atacantes pueden campar a sus anchas en los sistemas de
la organización afectada, produciéndose una exfiltración de datos gigantesca, además de
otros impactos con similares consecuencias.
Por ello, es fundamental en cualquier plan de respuesta a incidentes reducir al máximo

posible el parámetro de tiempo medio de detección (MTTD) y el tiempo medio de res-
puesta (MTTR), pasando años y meses a horas y minutos. Además, en esta fase se deben
identificar todas las fuentes posibles por las cuales podremos identificar que estamos
ante un incidente de ciberseguridad. En ese sentido, tendríamos que realizar preguntas
sobre nuestra capacidad para detectar una serie determinada de ataques. En caso de que
la respuesta sea negativa, en cuanto a que se carece de dicha capacidad, tendríamos que
preguntarnos por qué nos encontramos en dicha situación. Y, si resulta que el análisis
coste-beneficio para hacer frente a esa amenaza no sale rentable, tendríamos que aceptar
dicho riesgo a la espera de ir mejorando con el paso del tiempo.
58
Además, en el equipo de respuesta a incidentes debemos contar con expertos que pueden
identificar los grandes tipos de amenazas a las que podemos estar expuestos. De igual
modo, dichas capacidades deberán documentarse y distribuirse, para que el equipo y to-
dos los responsables involucrados puedan actuar en todo momento de la mejor forma
posible.
3.2.3. Contención, erradicación y recuperación

En esta fase es importante mantener un equilibrio entre las capacidades de contención,
erradicación y recuperación, ya que es común que haya organizaciones donde una o dos
de dichas áreas estén bien planteadas, mientras que la tercera en cuestión no es conside-
rada en absoluto.
En ese sentido, el objetivo a alcanzar es contener y erradicar la amenaza, volviendo a re-

cuperar la operativa normal lo antes posible, donde pueden entrar en juego capacidades
de continuidad de negocio. Por otro lado, es importante considerar que en esta fase la
organización se juega la confianza de sus clientes, y la posibilidad de afrontar o no daños
por responsabilidades, sanciones administrativas, etc.
Así, en el área de contención buscamos que la amenaza no se siga produciendo ni afecte

al resto de áreas de negocio de la corporación. En muchas ocasiones esto se traducirá en
el aislamiento de las máquinas o segmentos de red que se han visto afectados por la ame-
naza. Si nos damos cuenta aquí también entrarán en juego acciones de comunicación,
ya que es importante que los usuarios afectados sepan que se están tomando medidas al
respecto, trasladando información sobre las máquinas y/o servicios que no estarán dis-
ponibles durante el tiempo de intervención. Para ello, puede ser interesante contar con
plantillas de notificación, aunque puede haber situaciones donde la mejor opción sea mo-
nitorizar la amenaza sin lanzar ninguna alerta, a fin de que el atacante no descubra que
está siendo vigilado.
De igual modo, es importante contar en este contexto con capacidades de análisis fo-
rense, sea a nivel interno o externo, ya que habrá acciones que se tengan que poner en
marcha sobre la preservación de las copias forenses de los dispositivos afectados y el
mantenimiento de la debida integridad de la cadena de custodia. No obstante, dichas ca-
pacidades forenses deberían quedar en un segundo plano en un plan básico de respuesta
a incidentes, centrándonos en las fases propiamente dichas de contención, erradicación
y recuperación.
59
En cuanto a la parte de erradicación, la idea es limitar lo antes posible la propagación y

el daño que pueda causar la amenaza. De esta forma, podemos decir que la fase de erra-
dicación busca eliminar la amenaza de un entorno, debiendo evaluar cómo de extendida
está la amenaza a fin de hacer un planteamiento correcto de la situación. En este caso ten-
dremos que documentar cómo haremos para eliminar cada una de las grandes amenazas
que nos pueden afectar, pudiendo ir estas acciones desde la eliminación de un área de
almacenamiento en un ordenador, hasta cambiar todas las máquinas de una red.
Finalmente, encontramos el área o fase de recuperación, donde buscamos que la funcio-

nalidad y/o conectividad que se hubieran visto afectadas en las partes de contención y
erradicación vuelvan a su cauce normal. Además, es importante medir cómo de crítica es
la parte de recuperación en cada contexto, recurriendo para ello al cálculo de los costes
económicos derivados de la disfuncionalidad y caída de negocio o datos experimentada.
En concreto, los parámetros RTO (Objetivo de Tiempo de Recuperación) y RPO (Objetivo
de Punto de Recuperación), usados en el plan de continuidad de negocio y plan de recu-
peración ante desastres de la organización.
Asimismo, sería importante considerar cuestiones más allá del ámbito técnico, como pue-
dan ser las relacionadas con el impacto reputacional que cause una amenaza. Para ello,
en este contexto de relaciones públicas y comunicación, será importante definir los roles
y responsabilidades involucrados. Asimismo, muchas amenazas tienen derivadas legales,
por lo que el departamento legal también tendrá que hacer una valoración de la amenaza
y qué acciones se deben llevar a cabo. También en esa línea podemos encontrar incum-
plimientos de contratos con clientes o proveedores, de los cuales se podrían derivar otra
serie de sanciones.
3.2.4. Actividad post-incidente

En este contexto también es necesario realizar un ciclo de mejora continua, evaluando y
revisando la eficacia de las fases anteriormente comentadas. En definitiva, revisar qué es
lo que fue bien, y qué acciones no salieron como estaba previsto. De esta forma, mediante
una discusión y exposición de ideas, se tendría que tratar de resolver dichos problemas.
Además, aunque se piense que la actuación ante una amenaza fue buena siempre hay
opciones de mejora, debiendo la directiva exigir una lista de las mejoras que han de ser
implantadas para evitar problemas futuros a la organización. Esto se debe a que la com-
placencia es uno de los mayores peligros de la seguridad, además de que un equipo arro-
gante de seguridad de la información con toda probabilidad no hará bien su trabajo.
En esta misma línea es interesante contar con actividades de prueba y simulacro del plan
de respuesta a incidentes, con los que podamos ver cómo de robusto y efectiva es en ver-
dad dicho programa.
60
3.3. Modelo de Plan de Respuesta a Incidentes

Dado que partir de un folio en blanco siempre es complicado, aquí se expone un sucinto
modelo de plan de respuesta a incidentes creado por INCIBE. En el mismo se recogen
unas secciones y apartados mínimos, que pueden servir de base para saber qué es lo que
estamos buscando.
3.3.1. Antecedentes
Es un hecho que a pesar de las medidas que implantemos, siempre existe el riesgo de que
ocurra un incidente de ciberseguridad. Por ello, debemos preparar un plan de acción
que nos indique cómo actuar de la manera más eficaz posible en estos casos.
Existen muchos tipos de incidentes de ciberseguridad, algunos son más habituales que
otros que podrían encajar en una de las siguientes tipologías:
• Incidentes no intencionados o involuntarios
• Daños físicos
• Incumplimiento o violación de requisitos y regulaciones legales
• Fallos en las configuraciones
• Denegación de servicio
• Acceso no autorizado, espionaje y robo de información
• Borrado o pérdida de información
• Infección por código malicioso
Para ejecutar correctamente el plan y evitar que el daño se extienda se deben detallar las
acciones a realizar en cada momento, la lista de las personas involucradas y sus responsa-
bilidades, los canales de comunicación oportunos, etc.
Tras un incidente, si hemos aplicado el plan, tendremos una valiosa información para
conocer y valorar los riesgos existentes, y así evitar incidentes similares en el futuro.
En caso de que ocurran incidentes graves o desastres que paralicen nuestra actividad
principal, aplicaremos el plan de contingencia y continuidad del negocio.
61
3.3.2. Objetivos
Asegurarnos de que todos los miembros de la organización conocen y aplican un proce-
dimiento rápido y eficaz para actuar ante cualquier incidente en materia de seguridad
de la información. Este procedimiento incluirá medidas para comunicar de forma correc-
ta los incidentes a quien corresponda tanto dentro como fuera de la empresa. También
incluirá los mecanismos para registrar los incidentes con sus pruebas y evidencias con
objeto de estudiar su origen y evitar que ocurran en un futuro.
3.3.3. Checklist
A continuación se incluyen una serie de controles para revisar el cumplimiento de la polí-
tica de seguridad en lo relativo a la respuesta a incidentes de ciberseguridad.
Los controles se clasificarán en dos niveles de complejidad:
• Básico (B): el esfuerzo y los recursos necesarios para implantarlo son asumibles.
Se puede aplicar a través del uso de funcionalidades sencillas ya incorporadas en
las aplicaciones más comunes. Se previenen ataques mediante la instalación de
herramientas de seguridad elementales
• Avanzado (A): el esfuerzo y los recursos necesarios para implantarlo son conside-
rables. Se necesitan programas que requieren configuraciones complejas. Se pue-
den precisar mecanismos de recuperación ante fallos
Los controles podrán tener el siguiente alcance:
• Procesos (PRO): aplica a la dirección o al personal de gestión
• Tecnología (TEC): aplica al personal técnico especializado
• Personas (PER): aplica a todo el personal
62
NIVEL ALCANCE CONTROL

Equipo responsable
B PRO Seleccionas el equipo que se encargará de gestionar los 
incidentes de ciberseguridad
Mejora continua
B PRO Usas la información recogida en la gestión de los incidentes 
para adoptar mejoras en tus sistemas
Caducidad del plan de gestión

B PRO Revisas cada __________ el plan de gestión y respuesta 
ante incidentes de ciberseguridad
Detección del incidente

B TEC Concretas las situaciones que deben ser catalogadas como 
incidentes de ciberseguridad
Evaluación del incidente

B TEC Categorizas convenientemente el incidente y le otorgas la 
criticidad correspondiente
Notificación del incidente

B TEC Estableces correctamente la manera de notificar un 
incidente
Resolución de incidentes
A TEC Desarrollas procedimientos detallados de actuación para dar 
respuesta a cada tipología de incidente de ciberseguridad
Tratamiento del registro del incidente

B TEC Registras de forma conveniente toda la información relativa 
a la gestión del incidente
Cumplimiento del RGPD

Tienes prevista la notificación de incidentes según el RGPD
B PRO 
en caso de brechas de seguridad que afecten a datos de
carácter personal
63
3.3.4. Puntos clave

Los puntos clave de esta política son:
• Equipo responsable: Para garantizar una respuesta eficaz durante el tratamiento

de incidentes de ciberseguridad, nombraremos un equipo responsable de su ges-
tión. Tendremos que considerar no solo al personal técnico encargado de su reso-
lución (interno o externo), sino también personal de la dirección que debiera estar
informado en todo momento del estado del incidente.
• Mejora continua: Es conveniente analizar la utilidad de usar la información reco-

gida en la gestión de los incidentes para medir y evaluar la posibilidad de modifi-
car procedimientos o añadir nuevas mejoras o controles para limitar futuros daños.
Podemos realizar acciones preventivas con el fin de entrenar a la plantilla ante la
aparición de un posible incidente.
• Caducidad del plan de gestión: Determinaremos la periodicidad con la qué debe

actualizar el plan y las medidas a adoptar. También puede ser necesaria una actua-
lización del plan tras un cambio significativo en nuestros sistemas.
• Detección del incidente: Debemos concretar las situaciones que se considerarán

incidentes. Desplegaremos herramientas con mecanismos de detección automáti-
cos y estableceremos un sistema de alerta que nos informe detalladamente de lo
sucedido en tiempo real.
• Evaluación del incidente: Una vez detectado el incidente debemos categorizarlo

convenientemente y establecer la gravedad y la prioridad en su tratamiento.
• Notificación del incidente: Procuraremos establecer un punto de contacto úni-

co donde los empleados deben notificar los posibles incidentes o puntos débiles
detectados. Asimismo, se debe indicar la información a recabar y las acciones in-
mediatas a seguir en el momento de la notificación. Conviene tener un listado de
contactos para actuar con rapidez en caso de incidente.
• Resolución de incidentes: Desarrollaremos y documentaremos procedimientos

de respuesta para cada uno de los tipos de incidentes definidos previamente, po-
niendo especial énfasis en aquellos incidentes más habituales y peligrosos. Se de-
tallarán al menos los procedimientos para las siguientes acciones:
• Recogida de evidencias tan pronto como sea posible tras la aparición del in-
cidente, con cuidado de mantener la cadena de custodia, la integridad de las
evidencias (cifrándolas si es necesario), soportes, etc.
• Estimación del tiempo de resolución
64
• Realización de un análisis forense en los supuestos requeridos
• Escalado conveniente del incidente en caso de no poder ser solventado
• Ejecución de acciones concretas para intentar reparar, mitigar o contener los

daños causados por el incidente.
• Tratamiento del registro del incidente: Para disponer de toda la información

acerca del incidente se registrarán convenientemente, almacenándose, entre otra,
la información relativa a:
• Fecha y hora de aparición del incidente
• Tipología y gravedad del mismo
• Recursos afectados
• Posibles orígenes
• Estado actual del incidente
• Acciones realizadas para solventarlo y quienes las ejecutaron
• Fecha y hora de resolución y cierre del incidente
• Cumplimiento del RGPD: El RGPD obliga a notificar las violaciones de datos de

carácter personal que podamos sufrir en la empresa a la autoridad de protección
de datos competente y a las personas afectadas, salvo que sea improbable que su-
ponga un riesgo para los derechos y libertades de los afectados.
65
4. Concienciación
“El responsable de ciberseguridad de una organización debe aten-
der múltiples parámetros a fin de crear un programa de conciencia-
ción eficaz.”
4.1. Introducción
Hemos de recordar que los atacantes amateur siempre tendrán predilección por atacar
los sistemas de información corporativos, mientras que los atacantes profesionales
siempre tratarán primero de romper la “tecnología humana”. Todo ello a fin de lograr
sus objetivos con una mínima inversión de tiempo y recursos, ya que como sabemos las
personas son siempre el eslabón más débil dentro de la cadena de personas, procesos y
tecnología.
Este hecho se ve potenciado por la falta de concienciación entre los usuarios, los cuales
de forma reiterada tienden a usar contraseñas débiles, a no dar importancia a los aspectos
relativos a su identidad digital, a abrir adjuntos remitidos desde cuentas de correo desco-
nocidas, etc. Y a esto se debe sumar la tendencia creciente de “insiders”, siendo aquellos
trabajadores descontentos que, aprovechándose de alguna debilidad organizativa, se ha-
cen con datos de su empleador para usarlos en su contra.
De igual modo, se ha de entender que las personas también pueden suponer la máxima
fortaleza del programa de ciberseguridad de una organización. Cuando cuenta con
información, herramientas y motivación pueden ayudar de forma significativa a que la
información esté más segura. Recordemos que muchos ataques buscan comprometer di-
chos activos mediante el engaño al usuario final, lo que en muchas ocasiones toma forma
mediante el lanzamiento de campañas de phising.
Por tanto, hemos de entender que los atacantes necesitan para el éxito de sus campañas
de la participación activa de los usuarios, y de no darse la misma lo tendrán muy com-
plicado para poder atacar los objetivos seleccionados. Para ello, es fundamental que los
usuarios conozcan el valor de los activos de información, y las amenazas que podrían
generar si no hiciesen un buen uso de tales recursos. Además, hoy en día un porcentaje
muy amplio de las organizaciones tienen acceso a información confidencial, por lo que
la superficie de riesgo a cubrir es muy extensa. De igual modo, hemos de entender que
hablamos de la generalidad de los usuarios y empleados, y que llegados al caso de la alta
dirección se tendrán que tomar medidas adicionales, como por ejemplo la investigación
de antecedentes.
66
En este sentido, los profesionales de la ciberseguridad deben recordar aplicar de forma

taxativa el concepto de mínimo privilegio en los accesos a la información. Asimismo,
la segregación de funciones siempre será un factor fundamental, aunque es cierto que
en las pequeñas y medianas empresas se deberá de analizar con cuidado, debido pre-
cisamente a la falta de recursos humanos con que suelen contar estas organizaciones.
También es importante entender que el día a día operativo de las empresas es complejo, y
pudiéramos encontrar situaciones en las cuales alguien de la alta dirección quisiera tener
más permisos de los necesarios. En este caso, la mejor herramienta para encauzar estas
situaciones es la existencia de normativa que indique claramente cómo se debe proceder,
buscando una gestión dirigida por la generalidad y no por las excepciones.
Además, de cara a evitar el fraude interno es importante analizar los procesos corporati-
vos, a fin de detectar posibles procesos en los que un único usuario tiene potestad para
realizar todas las acciones involucradas. De igual modo, esta práctica será de utilidad para
evitar que el compromiso de una cuenta afecte a un número muy elevado de sistemas y/o
procesos corporativos.
De forma general podemos decir, por tanto, que las siguientes características deben for-
mar parte de cualquier programa de ciberseguridad:
• Principio de mínimo privilegio
• Cambio periódico de contraseñas
• Autenticación multifactor
A colación del último punto, hemos de entender que los factores de autenticación se
basan algo que se sabe, se tiene o se es. Por tanto, podemos ver que los sistemas tradi-
cionales basados en contraseña se basan en algo que se sabe, mientras que la obtención
de un código o PIN sería algo que se tiene, y el escaneo de las huellas dactilares o el iris
del ojo sería algo que se es. En ese sentido, históricamente la biometría era algo complejo
de implantar, teniendo además unos costes asociados elevados. No obstante, la realidad
actual es muy distinta, existiendo muchos modelos de ordenador y teléfono que incluyen
tecnología de huella digital.
Si nos damos cuenta para un atacante que emplea la ingeniería social le será mucho más
difícil obtener de un usuario su teléfono o huella dactilar que una mera contraseña, a lo
que hay que sumar el hecho de que la huella dactilar no se puede enviar por la red, lo cual
hace más improbable aún este tipo de ataques.
67
Otro factor importante en la concienciación está relacionado con la cultura corporati-

va, ya que por ejemplo existen organizaciones donde los empleados llevan sus propios
dispositivos, lo que se conoce en el argot como BYOD. De nuevo, este hecho puede ser
empleado por un profesional de ciberseguridad para sus propios fines, ya que los usua-
rios seguramente sean más cautelosos con los activos que entienden que son personales.
De esta forma la concienciación que se traslade sobre esos dispositivos puede dejar un
poso mayor en los usuarios. En definitiva, la frase típica que indique los usuarios son
el origen de todos los problemas debe transformase, e indicar que los usuarios son
parte de la solución a todos los problemas. Así es como pensaría un líder en materia de
seguridad de la información.
Dentro de todo este coctel es importe que los profesionales de ciberseguridad entiendan
que los principios básicos de ciberseguridad son desconocidos por los usuarios comunes,
y al igual que un tecnólogo no suele saber sobre gestión de nóminas las personas que
están en las áreas funcionales no tienen por qué saber de ciberseguridad. Sólo desde esa
amplitud de miras y falta de arrogancia se podrá llegar eficazmente a trasladar un men-
saje eficaz de ciberseguridad. En esa misma línea, y ya se ha comentado, debemos dejar
de echar la culpa al usuario para tratar en cambio de empoderarle. El usuario final es la
víctima de los ciberataques, por tanto no podemos victimizarle por partida doble. Necesi-
ta nuestra ayuda, pivotando todo sobre la concienciación efectiva y la gestión del manejo
de los activos críticos de información. Además, los propios usuarios reconocerán cuándo
estamos haciendo un esfuerzo por hacernos a ellos, agradeciendo ese trato con una mayor
involucración.
4.2. La amenaza del Insider

Numerosos estudios revelan de forma constaten que un porcentaje muy importante de
las filtraciones que sufren las organizaciones se deben a malas conductas por parte
de los usuarios internos. Además, un subconjunto de dichas filtraciones se debe a una
acción intencionada por parte de un usuario que, por algún motivo, está descontento con
la organización. Por tanto, hemos de ser conscientes que el atacante o la amenaza no sólo
está ahí afuera, sino que ya la tenemos dentro de nuestra casa.
A continuación se exponen de forma sucinta los principales atacantes internos que pue-
den poner en peligro nuestros activos de información:
• El Insider malicioso
En ocasiones las pérdidas de confidencialidad, integridad o disponibilidad de los

datos, donde se ven involucradas personas de confianza de la organización, no se
deben a factores accidentales. Partimos del hecho de que todos los trabajadores de
una organización buscan lo mejor para la misma, ya que supuestamente ese hecho
les repercutirá asimismo a ellos de forma positiva.
68
Pero lo cierto es que en todas las organizaciones hay personas sin moral o que,
siendo cierto o no, se encuentran sometidos a algún tipo de conducta corpora-
tiva poco correcta. Es en estos casos donde tales usuarios pueden tratar de hacer
daño a la organización, consiguiendo un beneficio directo o simplemente buscan-
do provocar un daño ante alguna supuesta falta de respeto, promoción, etc.
Estos usuarios buscarán alguna debilidad en los sistemas, siendo muy certeros a
la hora de elegir la información a buscar. Sea porque la misma es muy valiosa, o
porque puede provocar un gran daño a la organización. Aunque hablamos de un
colectivo menor en número es el más peligroso, dado que buscan intencionalmen-
te provocar un gran daño. Además, pueden ser muy difíciles de detectar, dado que
en su comportamiento no se suele apreciar ninguna conducta extraña. En este sen-
tido, se puede contar dentro del programa de ciberseguridad con herramientas de
análisis de comportamiento, al mismo tiempo que la generalidad de los empleados,
y por tanto los superiores y compañeros de dicha persona, conocen este tipo de
conductas y son alertados de la necesidad de detectarlas de forma temprana.
De igual modo, debemos considerar a las personas que se unen a la organización

con el ánimo de hacerse con cierta información confidencial. Este colectivo es
mucho más difícil de detectar, siendo más probable su aparición en instituciones
que son objetivo de atacantes sofisticados. En este caso, el análisis de antecedentes
y de sus redes sociales puede ser la única manera de detectarlos de forma previa.
No obstante, la concienciación toma de nuevo gran importancia, ya que los com-
pañeros de tal potencia atacante deberían ser conscientes y entender cuáles son
las principales malas prácticas que se pueden llevar a cabo en el tratamiento de la
información, ayudando por tanto a detectar tales situaciones.
• El Insider equivocado
Hay personas que piensan que hay información que podría ayudarles a la hora de
irse o promocionar en otra compañía, no teniendo dicha acción ningún impacto
negativo en la organización de la que salen. Como vemos este insider racionaliza
su acción, al igual que hacen los ladrones que roban a grandes organizaciones,
entendiendo que no les causarán ningún perjuicio real dado el gran volumen de
transacciones que mueven esas organizaciones. Obviamente esta postura es cap-
ciosa, ya que cualquier información que sea confidencial no debe ser revelado a
terceros, y de producirse tal relevación siempre habría un impacto mayor o menor
para la entidad afectada.
En este grupo también debemos considerar a las personas que, aun habiendo fir-
mado un contrato de confidencialidad, deciden preservar información de su em-
pleador una vez han dejado la compañía.
69
Además, en este ámbito puede darse la circunstancia de que los valores de una
persona no estén alineados con los valores corporativos, entendiendo por tanto
que no está haciendo nada malo que su mente no lo contempla. En este caso, el
programa de concienciación debe contemplar, máxime aún en una economía glo-
bal donde puede haber trabajadores y operaciones en cualquier parte del mundo,
dicha diversidad de mentalidades donde los factores culturales y la ubicación geo-
gráfica deben ser considerados.
• El Insider bienintencionado
De igual modo, no debemos olvidar a los usuarios bienintencionados que, a pesar

de sus intenciones, pueden provocar serias amenazas a su organización. Pense-
mos, por ejemplo, en casos donde personas con acceso a información confidencial
del gobierno han sacado a la luz supuestas injerencias en materia de acceso a datos
de la ciudadanía, programas de control que violaban la intimidad de los usuarios,
etc. En estos casos, sin entrar en temas de moralidad u honestidad, se podría haber
evitado dichas brechas mediante un programa de ciberseguridad que contase con
planes de concienciación, donde se hiciesen medidas correctivas constantes ante
la detección de malas prácticas. Así mismo, el hecho de contar con medidas fuer-
tes de trazabilidad, y transmitir a los usuarios dicho contexto, hará que sean
más reacios a intentar acceder o publicar información confidencial.
4.3. Cultura de seguridad

Como se comentaba anteriormente no sólo hemos de centrarnos en las debilidades que
hacen más plausible engañar a una persona, de cara a que un atacante lance una campa-
ña de phising exitosa por ejemplo, o que la misma se comporte de forma poco honesta
con su organización provocando un problema de seguridad. Si no que también debemos
considerar las fortalezas de las personas, y en concreto su inteligencia y adaptabilidad.
En ese sentido, es importante considerar que los usuarios consideran que la información
a la que acceden diariamente tiene un valor muy básico, no entendiendo por tanto la criti-
cidad de la misma. Esto se refuerza por el hecho de que acceden a dichos activos de forma
diaria, por lo que la sensibilidad sobre el valor de la misma va decayendo. Por tanto, en
nuestras acciones de concienciación es importante “refrescar” la importancia que tienen
tales activos, haciendo que el usuario sea consciente de las implicaciones de su pérdida o
filtración, así como los impactos que supondrían a los trabajadores afectados.
De igual modo, para crear una cultura de seguridad es importante trasladar la necesi-
dad de que los usuarios reporten todos aquellos problemas y malas prácticas de las
que tengan constancia. Así, se debe hacerles entender que ese comportamiento es el
correcto, potenciándolo con elogios y recompensas, y nunca con castigos o malas caras.
Además, los empleados suelen pasar más tiempo con sus compañeros que con su propia
familia, por lo que si perciben ese cambio de visión en sus compañeros ellos también lo
aceptarán.
70
Este cambio cultural, y la gestión de la resistencia que se producirá, requerirá de lideraz-

go, paciencia ya que los resultados no se verán a corto plazo, comunicación constante y
acciones correctivas visibles. De igual modo, y como un factor a considerar por la alta di-
rección y el director de informática de las organizaciones, se debe entender la necesidad
de contar con un equipo de profesionales de ciberseguridad comprometidos. En el merca-
do actual, donde hay una notoria escasez de talento en esta materia, imperan el enfoque
de “mercenario”, donde cada cierto tiempo los trabajadores van cambiando de compañía
en busca de mayores salarios. Este hecho hace que sea difícil mantener un programa de
ciberseguridad de forma continua, ya que, al igual que hasta cierto punto ocurre con los
entrenadores de fútbol, la visión del CISO saliente respecto a la del CISO entrante puede
cambiar mucho.
En ese sentido, hay organizaciones que externalizan totalmente la parte de ciberseguri-

dad, no contando ni siquiera con un experto interno que lleve la relación con tal provee-
dor. Este punto supone un riesgo, ya que desconocemos hasta qué punto el personal del
proveedor está capacitado y comprometido con nuestra seguridad. De igual modo, en
estos contextos la seguridad que se despliega suele ser reactiva, funcionando a base de
incidencias y tickets, cuando necesitamos realmente pasar a un modelo proactivo.
También como otro factor sobre el que es importante volver a incidir, es necesario enten-
der que las personas necesitan capacitarse en el entendimiento y manejo de los pro-
cesos y tecnologías. En muchas ocasiones sólo se mira a la tecnología desde el prisma de
la mejora de la productividad, pero se deja de lado el hecho de que mal empleada puede
causar la ruina a una organización. Asimismo, también es importante tener en cuenta el
área de selección de productos tecnológicos, los cuales suelen ser evaluados únicamente
por el área funcional, que busca cierto servicio en los mismos, y por el área jurídica a fin
de revisar los términos del contrato. De nuevo, si hemos conseguido concienciar a las
áreas de negocio entenderán la necesidad de revisar también los aspectos en materia de
seguridad de la información de dichos productos, pudiendo así alcanzar un nivel de ma-
durez muy superior al de la media. Por tanto, este control de proveedores, desde la propia
fase de presentación de ofertas, debe estar presente en el enfoque de cualquier programa
de ciberseguridad.
4.4. Programa de concienciación

El responsable de ciberseguridad de una organización debe atender múltiples pará-
metros a fin de crear un programa de concienciación eficaz. Tendrá que entender cómo
de madura es la cultura corporativa en este aspecto, la capacitación tecnológica de los em-
pleados, si existen áreas funcionales que traten con información especialmente sensible y
que, por tanto, tengan necesidades especiales, etc.
Como ejemplo de política concienciación, que expondría los pilares sobre este tema a
partir de los cuales iría trabajando la organización, mostramos este ejemplo creado por
INCIBE con unos mínimos que sería interesante contemplar.
71
4.4.1. Antecedentes
El creciente uso de las nuevas tecnologías en las empresas hace indispensable la con-
cienciación sobre los riesgos asociados a las mismas. Es necesario que los empleados
conozcan y apliquen buenas prácticas en el uso de todo tipo de dispositivos (de escritorio,
portátiles, móviles, pendrives,…) y soluciones tecnológicas (página web, servicios en la
nube, redes sociales, correo electrónico,…) para lo cual debemos proporcionarles forma-
ción en ciberseguridad adecuada a su puesto ya que de este modo se pueden prevenir
la mayoría de los incidentes.
Para alcanzar los objetivos fijados con esta política, será necesario el compromiso total
por parte de la dirección, que ha de ser consciente que la formación debe ser una acti-
vidad continua que ha de repetirse y revisarse periódicamente, para que surta su efecto
preventivo de incidentes y esté adaptada a las nuevas tecnologías que inevitablemente
iremos utilizando.
4.4.2. Objetivos
Asegurar que, en todo momento, los empleados conocen, entienden y cumplen las nor-
mas y las medidas de protección en materia de ciberseguridad adoptadas, advirtiéndoles
de los riesgos que puede suponer un mal uso de los dispositivos y soluciones tecnológi-
cas a su alcance.
4.4.3. Checklist
A continuación se incluyen una serie de controles para revisar el cumplimiento de la polí-
tica de seguridad en lo relativo a concienciación y formación en ciberseguridad.
Los controles se clasificarán en dos niveles de complejidad:
• Básico (B): el esfuerzo y los recursos necesarios para implantarlo son asumibles.
Se puede aplicar a través del uso de funcionalidades sencillas ya incorporadas en
las aplicaciones más comunes. Se previenen ataques mediante la instalación de
herramientas de seguridad elementales.
• Avanzado (A): el esfuerzo y los recursos necesarios para implantarlo son conside-
rables. Se necesitan programas que requieren configuraciones complejas. Se pue-
den precisar mecanismos de recuperación ante fallos.
72
Los controles podrán tener el siguiente alcance:
• Procesos (PRO): aplica a la dirección o al personal de gestión
• Tecnología (TEC): aplica al personal técnico especializado
• Personas (PER): aplica a todo el personal
NIVEL ALCANCE CONTROL

Difusión de la política de seguridad
B PRO Documentas y difundes las normas de ciberseguridad de tu 
empresa para que estén siempre accesibles
Concretar el plan de formación

B PRO Elaboras o revisas el plan de formación para elevar el nivel 
de seguridad de tu plantilla
Programas de formación específicos

B PRO Desarrollas y aplicas programas de formación en 
ciberseguridad adecuados a los distintos puestos de trabajo
Periodicidad de la formación
B PRO Tus empleados realizan cursos o van a charlas de 
concienciación, cada __________
Evaluar el aprendizaje obtenido

B PRO Compruebas la asimilación del conocimiento adquirido por 
tus empleados
Promover una cultura de seguridad de la información

Promueves una cultura de seguridad de la información que
B PRO 
abarca a toda la cadena de suministro de la empresa y a
tus clientes
4.4.4. Puntos clave

Los puntos clave de esta política son:
• Difusión de la política de seguridad: Las normas de seguridad de la información

de la organización deben estar correctamente documentadas y al alcance de todo
el personal en todo momento.
• Concretar el plan de formación: Para garantizar el éxito de nuestro programa

formativo, debemos seleccionar los aspectos que queremos que sean cubiertos:
• Procedimientos y controles de seguridad básicos
• Necesidad de conocer y cumplir normas, leyes, contratos y acuerdos
73
• Seguridad en el puesto de trabajo, aplicaciones permitidas, uso correcto de los

recursos, propiedad intelectual, protección datos personales, etc.
• Conciencias a los empleados sobre la existencia y peligros de la ingeniería

social
• Responsabilidad personal por acción u omisión y posibles sanciones
• Programas de formación específicos: Es conveniente analizar si se deben desa-

rrollar programas de formación y concienciación especializados para ciertos per-
files de empleados, tales como técnicos de soporte, administradores de sistemas,
etc. Además, sería de gran utilidad elaborar una actividad formativa introductoria
para los nuevos empleados.
• Periodicidad de la formación: Se debe establecer una periodicidad en las activi-

dades formativas y de concienciación. De esta manera conseguiremos tener unos
contenidos actualizados en materia de ciberseguridad y reforzaremos las debilida-
des detectadas o los mensajes de mayor importancia.
• Promover una cultura de seguridad de la información: Además de concienciar

y formar a nuestros empleados en ciberseguridad, es conveniente exigir a las enti-
dades externas [3] que interactúan con nuestros sistemas de información que sus
políticas de ciberseguridad estén alineadas con la nuestra. Intentaremos extender
el plan de concienciación a la mayoría de nuestros proveedores y clientes.
• Evaluar el aprendizaje obtenido: Consideraremos la necesidad de realizar evalua-

ciones entre los empleados para determinar el grado de concienciación y forma-
ción que han alcanzado.
Asimismo, es importante establecer un programa de concienciación calendarizado con

acciones concretas, siendo el horizonte anual el más común a contemplar. Dicho progra-
ma tendrá que alinearse con la idiosincrasia y necesidades corporativas, como ya se ha
indicado, mostrando a continuación un posible ejemplo.
74
Acción 1º Trimestre 2º Trimestre 3º Trimestre 4º Trimestre

Difusión de noticias
X X X X
vía intranet/email
Charla de
X
concienciación
Reunión con los

jefes de área para X X
identificar riesgos
Envío de examen
X
tipo test
Campaña interna
X
de phising
Dato importante
Numerosos estudios revelan de forma constaten que un porcentaje muy importante

de las filtraciones que sufren las organizaciones se deben a malas conductas por
parte de los usuarios internos.
75
Conclusiones
Dada la creciente complejidad del mundo de la ciberseguridad es necesario afrontar
este reto a nivel corporativa con un enfoque sistemático. Esto nos lleva a la necesidad
de diseñar e implantar un programa de ciberseguridad, donde se recojan todos los aspec-
tos que pueden afectar a una entidad en esta materia, desde la parte más operativa a la
puramente estratégica. De esta forma estaremos dando una visión holística a nuestra pos-
tura de ciberseguridad, ganando en madurez y capacidad de respuesta ante el ciberriesgo.
En ese sentido, hemos de entender que la ciberseguridad no está sólo relacionada con la
parte puramente operacional, sino que debe existir una labor previa de proactividad. Ahí
entra en juego la modelización de amenazas, que nos permite integrar las necesidades
de ciberseguridad desde el inicio de cualquier servicio, producto o infraestructura.
Además, de esta forma estaremos alineados con la normativa más actual, como pueda ser
el reglamento europeo de protección de datos, que precisamente exige esa perspectiva de
privacidad y seguridad por diseño y defecto.
Por otro lado, tampoco debemos olvidar esa parte operativa que hará que a la hora de la
verdad se vea cómo de preparados estamos ante un ciberincidente. Es por ello vital contar
con un planteamiento de respuesta a incidentes robusto, donde en ocasiones más vale
tener asentadas muy pocas cosas que pretender abordar muchas y que todo esté cogido
por hilos. Nos estamos jugando que la operativa de negocio siga levantada, y que los
ataques sean detectados y erradicados lo antes posible, por lo que es fundamental ir
construyendo un núcleo maduro en este tema sobre el cual ir mejorando poco a poco.
Finalmente, ningún programa de ciberseguridad llegará a buen puerto si no se toma

como un factor fundamental la concienciación. Por mucha tecnología que despleguemos
de nada servirá si el usuario final comete una mala práctica que desemboca en una brecha
de seguridad. Además, los líderes de ciberseguridad deben entender que los usuarios
deben ser parte de la solución y no del problema, por lo que debemos volcarnos con
ellos y hacer que entiendan sus roles y responsabilidades en esta materia.
76
Bibliografía
• https://blog.trendmicro.com/cyber-attacks-considered-top-national-security-
threat/
• https://www.mcafee.com/enterprise/en-us/solutions/lp/economics-cybercrime.
html
• http://www.symantec.com/content/en/us/enterprise/media/security_response/
whitepapers/the-black-vine-cyberespionage-group.pdf
• https://www.pcworld.com/article/2954872/opm-anthem-hackers-reportedly-also-
breached-united-airlines.html
• https://www.bloomberg.com/news/articles/2014-03-13/target-missed-warnings-in-
epic-hack-of-credit-card-data
• https://money.cnn.com/2015/08/05/technology/aramco-hack/index.html
• www.darkreading.com/vulnerabilities---threats/how-hackers-can-hack-the-oil-
and-gas-industry-via-erp-systems/d/d-id/1322877
• http://www.dailymail.co.uk/news/article-2274305/Federal-Reserve-WAS-hacked-
Anonymous-revenge-suicide-Reddit-founder-Aaron-Swartz.html
• https://docs.microsoft.com/en-us/previous-versions/commerce-server/
ee823878(v=cs.20)
• https://www.microsoft.com/en-us/download/details.aspx?id=49168
• https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/res-
puesta-incidentes.pdf
• https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/con-
cienciacion-y-formacion.pdf
• http://m.isaca.org/chapters7/Madrid/Events/Eventos/Documents/CiberTo-
dos/20161006%20Iberdrola%20Menchen.pdf
77
Anexos
UNIDAD 1
1. Caso práctico: Investigar el caso Anthem donde se robaron datos de unos 80 millo-
nes de personas, justificando por qué dicho caso cuadraría con un ataque dirigido por
un estado.
Solución caso práctico:
http://www.symantec.com/content/en/us/enterprise/media/security_response/whi-
tepapers/the-black-vine-cyberespionage-group.pdf
https://www.pcworld.com/article/2954872/opm-anthem-hackers-reportedly-also-
breached-united-airlines.html
2. Caso práctico: Investigar el caso Target, y la cadena de ataques que siguió a entida-
des como Home Depot, donde se robó una cantidad ingente de información de tarje-
tas de crédito. Justificar razonadamente por qué dicho caso cuadraría con un ataque
dirigido por el crimen organizado.
https://www.bloomberg.com/news/articles/2014-03-13/target-missed-warnings-in-
epic-hack-of-credit-card-data
3. Caso práctico: Investigar el ataque contra la petrolera Saudi Aramco y Justificar

razonadamente por qué dicho caso cuadraría con un ataque dirigido por un grupo
terrorista.
https://money.cnn.com/2015/08/05/technology/aramco-hack/index.html
www.darkreading.com/vulnerabilities---threats/how-hackers-can-hack-the-oil-and-
gas-industry-via-erp-systems/d/d-id/1322877
78
4. Caso práctico: Investigar el ataque llevado a cabo contra la Reserva Federal de Esta-
dos Unidos en protesta contra la muerte de Aaron Schwartz, fundador de Reddit, y las
crisis financiera de 2008. Justificar razonadamente por qué dicho caso cuadraría con
un ataque dirigido por un grupo hacktivista.
http://www.dailymail.co.uk/news/article-2274305/Federal-Reserve-WAS-hacked-
Anonymous-revenge-suicide-Reddit-founder-Aaron-Swartz.html
79
CEUPE
Centro Europeo de Postgrado
Web
www.ceupe.com
E-mail
info@ceupe.com

EXCS - Mod4 - Diseño de Un Programa de Ciberseguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

EXCS - Mod4 - Diseño de Un Programa de Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Módulo

1. Diseño del Programa de

Hubo un momento en que podía argumentarse que no se estaba prestando suficiente

1.2. Motivaciones de los atacantes

1.2.1. Espías y Estados Nación

En el segundo paso el atacante buscaría vulnerabilidades, para lo cual se pueden emplear

1.2.2. Organizaciones criminales

Si nos hacemos la pregunta de qué quieren los criminales organizados la respuesta es

Si comparamos la poca persistencia que tiene la información de una tarjeta de crédito

1.2.4. Grupos hacktivistas

Un ejemplo conocido de grupo hacktivista es Anonymous, la cual aunque en ocasiones

1.3. Protección de activos críticos

1.3.1. Ciclo de vida de los datos

La capacidad de competir de una manera más eficaz, buscando acceder a propie-

A fin de proteger un activo crítico de información es importe conocer cuándo y cómo

En ocasiones vemos ataques a organizaciones donde se producen accesos no autorizados

De este modo podremos construir controles de seguridad específicos para la información

Imaginemos por ejemplo un empleado administrativo de un hospital, que debido a su rol

1.3.2. Desafíos por sectores

Proveedores de servicios profesionales (abogacía, consultoría, auditoría, etc)

Energía (electricidad, petróleo, gas, etc)

1.3.3. Protección de los activos

Controles de la ISO 27002

5.1. Directrices de la Dirección en seguridad de la información

5.1.1. Conjunto de políticas para la seguridad de la información

5.1.2. Revisión de las políticas para la seguridad de la información

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC

6.1. Organización interna

6.1.1. Asignación de responsabilidades para la segur. de la información

6.1.2. Segregación de tareas

6.1.3. Contacto con las autoridades

6.1.4. Contacto con grupos de interés especial

6.1.5. Seguridad de la información en la gestión de proyectos

6.2. Dispositivos para movilidad y teletrabajo

6.2.1. Política de uso de dispositivos para movilidad

7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

7.1. Antes de la contratación

7.1.1. Investigación de antecedentes

7.1.2. Términos y condiciones de contratación

7.2. Durante la contratación

7.2.1. Responsabilidades de gestión

7.2.2. Concienciación, educación y capacitación en segur. de la informac

7.2.3. Proceso disciplinario

7.3. Cese o cambio de puesto de trabajo

7.3.1. Cese o cambio de puesto de trabajo

8.1. Responsabilidad sobre los activos

8.1.1. Inventario de activos

8.1.2. Propiedad de los activos

8.1.3. Uso aceptable de los activos

8.1.4. Devolución de activos

8.2. Clasificación de la información

8.2.1. Directrices de clasificación

8.2.2. Etiquetado y manipulado de la información

8.2.3. Manipulación de activos

8.3. Manejo de los soportes de almacenamiento

8.3.1. Gestión de soportes extraíbles

8.3.2. Eliminación de soportes

8.3.3. Soportes físicos en tránsito

9.1. Requisitos de negocio para el control de accesos

9.1.1. Política de control de accesos

9.1.2. Control de acceso a las redes y servicios asociados

9.2. Gestión de acceso de usuario

9.2.1. Gestión de altas/bajas en el registro de usuarios