Semana 5

Aspectos generales de la Ciberseguridad

 Semana 5
Aspectos generales de la Ciberseguridad

APRENDIZAJE ESPERADO
El estudiante será capaz de:
• Contrastar los aspectos generales de la ciberseguridad a partir de las
técnicas de programación segura con la finalidad de detectar los tipos de
ataques utilizando los recursos disponibles que permiten velar por la
seguridad de la información a partir de la normativa legal vigente,
estándares de calidad y seguridad.

Reservados todos los derechos para IACC S.A. No se permite copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, de forma total o parcial la
presente obra, ni su incorporación a un sistema informático, ni su transmisión en cualquier forma o por cualquier medio (electrónico, mecánico, grabación u
otros) sin autorización previa y por escrito de IACC S.A. La infracción de dichos derechos puede constituir un delito contra la propiedad intelectual, Ley 17.336.

IACC 2022 1
 Semana 5
Aspectos generales de la Ciberseguridad

ÍNDICE
APRENDIZAJE ESPERADO ..................................................................................................................................................... 2
INTRODUCCIÓN ................................................................................................................................................................... 4
RESUMEN ............................................................................................................................................................................ 5
PALABRAS CLAVE ................................................................................................................................................................. 5
PREGUNTAS GATILLANTES ................................................................................................................................................... 5
1. ASPECTOS GENERALES DE LA CIBERSEGURIDAD ...................................................................................................................... 6
1.1 ¿QUÉ ES LA PROGRAMACIÓN SEGURA?.............................................................................................................................. 6
1.2 DEFINICIÓN DE PROGRAMACIÓN SEGURA.......................................................................................................................... 6
1.3 ERRORES COMUNES ............................................................................................................................................................ 7
1.4 VULNERABILIDADES RESPECTO A LA SEGURIDAD ............................................................................................................... 7
2. TIPOS DE ATAQUES ................................................................................................................................................................... 9
2.1 PHISHING ATACKS.............................................................................................................................................................. 11
2.2 MALWARE ATACKS ............................................................................................................................................................ 11
2.3 WEB ATACKS ...................................................................................................................................................................... 11
3. CONTROL DE RIESGO .............................................................................................................................................................. 12
3.1. INVENTARIO Y CONTROL DE ACTIVOS DE HARDWARE .................................................................................................... 12
3.2. INVENTARIO Y CONTROL DE ACTIVOS DE SOFTWARE...................................................................................................... 13
3.3 GESTIÓN CONTINUA DE LAS VULNERABILIDADES ............................................................................................................. 14
3.4 USO CONTROLADO DE LOS PRIVILEGIOS ADMINISTRATIVOS ........................................................................................... 14
3.5 CONFIGURACIONES DE EQUIPOS SEGUROS DE HARDWARE Y SOFTWARE....................................................................... 14
3.6 MANTENIMIENTO, SEGUIMIENTO Y ANÁLISIS DE REGISTROS DE AUDITORÍA.................................................................. 15
4. EVALUACIÓN DE RIESGOS ....................................................................................................................................................... 15
5. NORMAS ISO DE CIBERSEGURIDAD: 27001, 27701, 27017, 27018 & 27032 .......................................................................... 16
6. LISTA DE VERIFICACIÓN DE PROGRAMACIÓN SEGURA .......................................................................................................... 17
7. TÉCNICAS DE PROGRAMACIÓN SEGURA PARA MITIGAR VULNERABILIDADES EN APLICACIONES WEB ................................ 18
7.1 VALIDAR TODAS LAS ENTRADAS........................................................................................................................................ 20
7.2 IMPLEMENTAR CONTROLES DE IDENTIDAD Y AUTENTICACIÓN. ...................................................................................... 20
7.3 PROTEGER LOS DATOS ...................................................................................................................................................... 21
COMENTARIO FINAL .......................................................................................................................................................... 22
REFERENCIAS ..................................................................................................................................................................... 23

IACC 2022 2
 Semana 5
Aspectos generales de la Ciberseguridad

INTRODUCCIÓN
Lograr una conciencia ciudadana de la importancia de proteger sus datos o activos digitales, es una labor
muy compleja. Es conocida la frase, “todo equipo con conexión a internet tiene amenazas y riesgos de
sufrir un ataque de delincuentes”, pero en realidad, conoces el ¿por qué? La respuesta es, fallas en la
seguridad. No hay una cultura de ciberseguridad implementada en los hogares, empresas, de carácter
obligatorio para poder corregir estas deficiencias. Debemos ser más astutos y cautos que los delincuentes
Por esta razón, De Tomas (2014) establece que, la consecución de una cultura de ciberseguridad no es
posible a través de meras acciones de divulgación, aun cuando estas sean necesarias, sino que requiere de
una ingente labor formativa especializada que tenga en cuenta en ese proceso de enseñanza/aprendizaje
a todos los sectores de la sociedad; sin embargo, esta cultura de ciberseguridad no puede ser eficaz si no
se inserta dentro de una cultura de seguridad y defensa .En este orden de ideas, la ciberseguridad, implica
la propuesta y ejecución de un plan de desarrollo de infraestructuras y servicios digitales que comprenda
una estrategia multidisciplinaria de expertos, eficaz y controlable. Tomando en cuenta los adelantos que
ya existen en el tema a nivel mundial y lo que dicen las normas.
Para cerrar, el objetivo principal de la seguridad de información es mantener un ambiente seguro,
protegiendo y resguardando los datos preservando la confidencialidad de la información, disponibilidad e
integridad. Asimismo, en relación con lo anterior, la ciberseguridad, abarca problemas complejos y su
resolución exige una voluntad de las organizaciones que se enfrentan a una realidad donde las nuevas
tecnologías de información y comunicación están presentes en cada uno de los ambientes
organizacionales y personales. Para un profesional en informática, debe conocer de estos temas, en aras
de proteger la información en un mercado más competido y exigente; en el entorno de la cuarta
revolución industrial, enfrentando a unos escenarios cambiantes y dinámicos que demandan reacciones
rápidas, que contemplan la anticipación y la conciencia para proteger la información y cualquier activo de
la infraestructura tecnológica.

IACC 2022 3
 Semana 5
Aspectos generales de la Ciberseguridad

RESUMEN
El objetivo de la semana consiste en contrastar los aspectos generales de la ciberseguridad a partir de las
técnicas de programación segura con la finalidad de detectar los tipos de ataques utilizando los recursos
disponibles que permiten velar por la seguridad de la información a partir de la normativa legal vigente,
estándares de calidad y seguridad.
Para Carlini (2016), la importancia a nivel de desarrollo profesional, laboral, económico, posicionamiento
global entre competidores que brinda el ciberespacio es incuantificable, sin embargo, los riesgos,
amenazas están presentes en lugares destacados de delitos que superan la seguridad. Es un problema a
nivel internacional, no solo Chile como país tiene riesgos de ataques cibernéticos y por supuesto la
computadora en donde trabajas día a día. El intercambio de información entre el sector público y privado,
a nivel nacional, es necesario para tener una visión completa de cuáles podrían ser las posibles y
diferentes amenazas, y así desarrollar tecnologías para responder rápidamente a las amenazas
cibernéticas sin sufrir daños importantes.
En base a lo anterior, en este contenido se exponen aspectos generales relacionados con la
ciberseguridad, programación segura, tipos de ataques, control de riesgos hasta llegar a diferentes
normas a nivel internacional.

PALABRAS CLAVE
• Ciberseguridad.
• Programación segura.
• Phishing atacks.
• Malware atacks.
• Web atacks.
• Control de riesgo.

PREGUNTAS GATILLANTES
• ¿Qué es un ciberataque?
• ¿Qué es seguridad informática?
• ¿Qué es ciberseguridad?

IACC 2022 4
 Semana 5
Aspectos generales de la Ciberseguridad

1. ASPECTOS GENERALES DE LA CIBERSEGURIDAD

A nivel global, el ciberespacio se entiende como aquel espacio no físico donde cualquier persona puede
estar interconectada usando una red con un dispositivo, interactuando con otros sin límites. Esto genera
cantidades infinitas de oportunidades para que ingresen sin autorización ciberdelincuentes. No se puede
vivir desconectados, por tanto, existe una tendencia en la Ciberseguridad en el mundo actual de
masificación e hiperconectividad a nivel mundial que hace que cada dispositivo represente un nuevo
blanco de ataques para los ciberdelincuentes, si no se conocen las medidas necesarias para prevenirlos
(Vallés, 2016). Entonces, según Leiva (2015), la Ciberseguridad se refiere a métodos de uso, procesos y
tecnologías para prevenir, detectar y recuperarse de daños a la confidencialidad, integridad y
disponibilidad de la información en el ciberespacio.
La ciberseguridad es definida como "el conjunto de lineamientos de seguridad, herramientas, directrices,
métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden
utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno; los activos de la
organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los
servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de
la información transmitida y/o almacenada ; garantizando que se alcancen y mantengan las propiedades
de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad
correspondientes ; las propiedades de seguridad incluyen una o más de las siguientes: disponibilidad;
integridad, que puede incluir la autenticidad y el no repudio; y la confidencialidad" (Caro, 2010).

1.1 ¿QUÉ ES LA PROGRAMACIÓN SEGURA?

Los desarrolladores deben aplicar un conjunto de estándares de codificación, lineamientos o pautas que
impliquen la seguridad en el código fuente para prevenir y reducir vulnerabilidades que con frecuencia
conducen a ataques cibernéticos. Y, en el caso de existir un ataque, los datos correctos puedan
recuperarse. Es decir, la implementación de prácticas en el código es la primera línea de defensa que
protege contra los delincuentes que explotan el software y que elimina las superficies de ataque a las que
los adversarios suelen atacar con programa maligno (malware), por ejemplo. Cuando las organizaciones se
adhieren religiosamente a las mejores prácticas de codificación segura, pueden reducir el costo de
mantenimiento del software y los desarrolladores pueden dedicar más tiempo a innovar, en lugar de
dedicar tiempo a la corrección de errores.

1.2 DEFINICIÓN DE PROGRAMACIÓN SEGURA

Para IACC (2020), citando la web de DragonJAR (2020), definen la programación segura es una rama de la
programación que estudia la seguridad del código fuente de un software cuyo objetivo es encontrar y
solucionar los errores de software, esto incluye: Utilización de funciones seguras para proteger de
desbordamientos de pila, declaración segura de estructuras de datos, control del trabajo con el flujo de

IACC 2022 5
 Semana 5
Aspectos generales de la Ciberseguridad

datos, análisis profundo de otros errores de software mediante testeos del software en ejecución y
creación de parches para los mismos, diseño de parches heurísticos y metaheurísticos para proveer un
cierto grado de seguridad proactiva, utilización de criptografía y otros métodos para evitar que el software
sea crackeados.

1.3 ERRORES COMUNES

Según IACC (2020) el entorno de la seguridad de información contiene muchos componentes, tales como
contraseñas, identidades de usuarios, cifrado de datos, copias de seguridad, lo que explica que un error
en los niveles de requerimientos para mantener un buen nivel de seguridad puede ser grave para
cualquier organización, de cualquier dimensión, debido a esto se explican algunos errores comunes que
ponen en riesgo la seguridad de los datos:

Contraseñas débiles

No encriptar las bases de datos

Ignorar las normas de seguridad internas

No actualizar el software y los sistemas operativos

Sistemas de respaldo o copias de seguridad ineficientes

Dependencia excesiva de algunas prácticas tradicionales

Figura 1. Errores comunes dentro de la seguridad de información

Fuente: IACC (2020)

1.4 VULNERABILIDADES RESPECTO A LA SEGURIDAD

Existen diversos casos publicados en internet, en donde los conocidos hackers realizan una invasión a la
base de datos de un sitio web, usando SQL (Structured Query Language). Esta acción que ya es conocida,
un ataque común, que ha sido denominado como, SQL Injection o Inyección de SQL (SQLI), puede ser
evitado por el desarrollador.

IACC 2022 6
 Semana 5
Aspectos generales de la Ciberseguridad

Para IACC (2020), una debilidad en un sistema de información que pone en riesgo la seguridad de la
información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o
confidencialidad de esta, es lo que se conoce como vulnerabilidad. En este sentido, Gutiérrez (2005),
explica que la vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar
un daño, las vulnerabilidades pueden aparecer en cualquiera de los elementos de un computador, tanto
en el hardware, el sistema operativo como los propios programas que se utilicen.

En este sentido, Gutiérrez (2005) define una amenaza en un sistema informático como una circunstancia
que tiene el potencial de causar un daño o una pérdida, es decir, las amenazas pueden materializarse
dando lugar a un ataque al computador, lo que con lleva al riesgo, que es la posibilidad de que una
amenaza se produzca dando lugar a un ataque al computador, esto no es otra cosa que la probabilidad de
que ocurra el ataque por parte de la amenaza. Por su parte, el riesgo se puede considerar de distintos
niveles, los cuales van a depender del tipo de información que se manejen en los computadores de cada
usuario.

Amenaza
Riesgo

Sistema de
información Vulnerabilidad

Figura 2. Presentación de riesgos informáticos

Fuente: IACC (2020)

En síntesis, si un desarrollador web no es cuidadoso al crear un sitio web, está dejando la puerta abierta
para que otro, un intruso pueda ingresar con malas intenciones, realizando “cambios en la base de datos”
desde editar hasta eliminar, por ejemplo, provocando un caos. La vulnerabilidad viene de la mano de las
amenazas que puede sufrir el sistema, esta es la acción que aprovecha para atentar contra la seguridad de
un sistema de información. Es decir, que podría tener un efecto negativo sobre algún elemento de
nuestros sistemas. Las amenazas pueden proceder de ataques digitales, sucesos físicos y malas
decisiones institucionales. Desde el punto de vista de una organización pueden ser tanto internas como
externas.
IACC 2022 7
 Semana 5
Aspectos generales de la Ciberseguridad

2. TIPOS DE ATAQUES

Según Stallings (2004) existen diferentes tipos de ataque que incurren en la seguridad de la información,
explicados a continuación:

HACKERS • Suelen ser programadores con conocimientos avanzados de

sistemas operativos y lenguaje de programación que descubren
fallos de seguridad que no usan para hacer daño. Para eso
describen programas para chequear la integridad de los
programas.

CRACKER • Son usuarios que arremeten la integridad del sistema desde

máquinas remotas. Raramente escriben sus propios programas,
sino que usan aplicaciones ya hechas.
TROYANOS • No suele realizar acciones destructivas por sí mismo, pero entre
muchas otras funciones, tienen la capacidad de capturar datos,
generalmente contraseñas e información privada, enviándolos a
otro sitio. Es un programa potencialmente peligroso que se oculta
dentro de otro para evitar ser detectado, e instalarse de forma
permanente en el sistema operativo.

VIRUS • Es un programa capaz de reproducirse a sí mismo, infectando

cualquier tipo de archivo ejecutable y librería del sistema
operativo. Este tipo de programa ejecuta las acciones que le ha
encomendado su programador, estas pueden ser desde un simple
mensaje, hasta la destrucción total de los datos almacenados en
los ordenadores. Una vez infectado un ordenador, el virus no tiene
por qué ejecutarse al momento, algunos esperan fechas, eventos
o acción del sistema operativo para activarse.

GUSANOS • El mayor efecto de los gusanos es su capacidad para saturar, e

incluso bloquear por exceso de tráfico los sitios web, aunque estos
se encuentren protegidos por un antivirus actualizado. Es un
código maligno cuyo principal objetivo es reenviarse a sí mismo.
Son códigos víricos que, en principio, no afectan a la información
de los sitios que contagian, aunque consumen amplios recursos de
los sistemas, y los usan para infectar a otros equipos. A diferencia
de la mayoría de los virus, los gusanos se propagan por sí mismo,
sin modificar u ocultarse bajo otros programas. No destruyen
información de forma directa, pero algunos pueden contener
dentro de sí, propiedades características de los virus.

• Es el correo electrónico no solicitado o no deseado, que se envía a

múltiples usuarios con el propósito de hacer promociones

IACC 2022 8
Semana 5
Aspectos generales de la Ciberseguridad

SPAM comerciales. Generalmente suelen ser: publicidad, ofertas o

enlaces directos a una página web.
• Muchos de los mensajes no solicitados nos ofrecen la opción de
eliminarlos. La experiencia demuestra que este método es una
trampa, y que solo sirve para verificar que la dirección de correo
existe realmente, y se encuentra activa. Por otro lado, si
respondemos alguno de estos emails, el resultado es idéntico,
seremos colocados automáticamente en una nueva lista de
distribución, confirmando nuestra dirección.
SPYWARE • Los programas espías se instalan en un ordenador sin el
conocimiento del usuario, para recopilar información de este o de
su ordenador, enviándola posteriormente al programador que
diseñó dicha aplicación. Existen dos categorías de software espía:
vigilancia y publicitario. El primero se encarga de monitorear todo
el sistema mediante el uso de transcriptores de teclado, captura de
pantallas y troyanos. Mientras, el segundo, también llamado
“Adware”, se instala de forma conjunta con otra aplicación o
mediante controles ActiveX, para recoger información privada y
mostrar anuncios.
• Este tipo de programas registra información sobre el usuario,
incluyendo, contraseñas, direcciones de correo, historial de
navegación por Internet, hábitos de compra, configuración de
hardware y software, nombre, edad, sexo y otros datos secretos.
Al igual que el correo basura, el software publicitario usa los
recursos de nuestro sistema. Además, utiliza el ancho de banda,
tanto para enviar la información recopilada, como para
descargarlos banners publicitarios que muestra en pantalla.
ERRORES DE PROGRAMACION • El término bugs se utiliza en la industria del software para notificar
(BUGS) los errores de funcionamiento de un programa o aplicación que
está completamente finalizada. Los bugs aparecen debido a que
detrás del desarrollo de un programa informático hay un equipo
de personas encargadas y estas, en ocasiones, se equivocan; por
lo tanto, todo el software instalado en un ordenador puede
tener errores.
• Cuanto mayor sea el nivel de complejidad de las tareas que
ejecuta el programa, como por ejemplo el enrutamiento de
paquetes TCP/IP, mayores son sus posibilidades de tener errores
de programación. Los bugs más preocupantes son aquellos que
afectan al sistema operativo tanto de los ordenadores como de los
dispositivos de interconexión de redes.
PUERTA TRASERA (BACKDOOR) • Un backdoors o puerta trasera en los sistemas de computación es
un método de desviar una autenticación normal para obtener
acceso remoto a una computadora o dispositivo de interconexión
de redes. También se le conoce como un bug intencionalmente
colocado para tener efectos desconcertantes o errores graves que
afecten la seguridad de las redes. Las puertas traseras son sección
oculta de un programa de computadora, que solo se pone en

IACC 2022 9
 Semana 5
Aspectos generales de la Ciberseguridad

funcionamiento si se dan condiciones o circunstancias muy

particulares en el programa.

Tabla 1. Tipos de ataques

Fuente: Stallings (2004)

2.1 PHISHING ATACKS

El phishing se produce cuando los atacantes intentan engañar a los usuarios para que hagan algo
incorrecto, como hacer clic en un enlace incorrecto que descargará malware o dirigirlos a un sitio web
poco fiable, también se le conoce como aquel ataque que consiste en una suplantación de identidad. Un
ejemplo, a través de un mensaje de texto, redes sociales o por teléfono. Utilizado generalmente para
describir los ataques que llegan por correo electrónico.

Los correos electrónicos de phishing afectan a cualquier organización, pueden llegar a billones de usuarios
y esconderse entre la gran cantidad de mensajes benignos que recibimos cada día. Los ataques pueden
instalar malware, tipo ransomware, sistemas de sabotaje o robar propiedad intelectual y dinero.

2.2 MALWARE ATACKS

Es el nombre colectivo de varias variantes de software malicioso, incluidos virus, ransomware y spyware.
Diseñado para causar daños importantes a los datos y sistemas o para obtener acceso no autorizado a una
red. Consiste en código desarrollado por atacantes cibernéticos. Ejemplo, en forma de enlace o archivo
por correo electrónico y requiere que el usuario haga clic en el enlace o abra el archivo para ejecutarse.
Normalmente se utiliza para ganar dinero de forma ilícita.

Es un ataque, que no ocasiona daño en el hardware físico de los sistemas o equipos de red, puede robar,
cifrar o eliminar sus datos, alterar o secuestrar las funciones centrales del ordenador y espiar su actividad
sin su conocimiento o permiso.

2.3 WEB ATACKS

Los ataques basados en la web son considerados un método atractivo que permiten a los atacantes utilizar
como vector el engaño a las víctimas que usan sistemas y servicios web. Como por ejemplo hacer que una
URL o scripts malintencionados dirijan a la víctima o usuario al sitio web deseado o descarguen contenido
malintencionado e inyecten código malintencionado en un sitio web legítimo, pero comprometido, con el

IACC 2022 10
 Semana 5
Aspectos generales de la Ciberseguridad

fin de robar información para obtener ganancias financieras, robar información o incluso para chantajear
utilizando ransomware.

Además de estos ejemplos, también son vectores importantes, observados por los equipos de
investigación y utilizados por los ciberdelincuentes, los programas intrusos (exploits) de los programas
navegadores y de los sistemas de gestión de contenido comprometidos.

Los ataques por fuerza bruta, por ejemplo, el objetivo es una aplicación web atacando con intentos de
inicio de sesión con nombres de usuario y contraseñas. Los ataques basados en la web pueden afectar a la
disponibilidad de los sitios web, aplicaciones e interfaces de programación de aplicaciones (API),
infringiendo la confidencialidad y la integridad de los datos.

3. CONTROL DE RIESGO

Para Erb (2009), el propósito del control de riesgo es dar cumplimiento de las medidas de protección,
analizar el funcionamiento, para determinar y ajustar sus deficiencias, las actividades del proceso tienen
que estar integradas en el plan operativo institucional, donde se define los momentos de las
intervenciones y los responsables de ejecución.

3.1. INVENTARIO Y CONTROL DE ACTIVOS DE HARDWARE

El inventario y control de activos de hardware y software conforman uno de los principales elementos
dentro de los aspectos a considerar en un sistema de gestión de la seguridad en el área de tecnología de la
información y comunicación. En este mismo orden de ideas, un inventario de activos es un reporte o
listado de los recursos tecnológicos. Como por ejemplo: recursos físicos, software, documentos, servicios,
personas, instalaciones, certificaciones, entre otros) que tengan un costo o valor para la organización y
necesiten por tanto ser protegidos o resguardados de riesgos.
En este sentido, para proteger adecuadamente los sistemas y la infraestructura tecnológica de la
organización se debe realizar un inventario de hardware, en donde se proporcionen detalles completos
sobre el hardware utilizado, detalles de la red, fabricantes, entre otros detalles relacionados con la
tecnología llamada “dura”. Lo anterior permitirá a los administradores organizar las posibles estrategias de
control a nivel de seguridad y ciberseguridad a tomar en consideración debido a que las amenazas
evolucionan continuamente y los ataques a infraestructuras críticas y sistemas son cada vez más
frecuentes y complejos. Los informes de inventario de hardware muestran generalmente:
• Hardware: Cantidad de computadoras por memoria y sistemas operativos (versiones), discos
duros, marcas, años. Equipos físicos necesarios para desarrollar la labor en la organización.
Terminales remotas, servidores, dispositivos móviles, tabletas, monitores.

IACC 2022 11
 Semana 5
Aspectos generales de la Ciberseguridad

• Red: Listado por redes internas y externas. Dispositivos de conectividad: Routers, switches,
concentradores.
• Otros equipos especiales necesarios para gestionar las personas y el negocio de la empresa u
organización (servidores, equipos de usuario, teléfonos, impresoras, cámaras, audífonos,
micrófonos, cableado). También en este tipo entrarían a formar parte todos aquellos activos que
dan soporte a los sistemas de información y que no se hallan en ninguno de los tipos
anteriormente definidos como los equipos de destrucción de datos y de climatización, entre otros.
• Listado de los fabricantes.
• Quiénes operan esas computadoras y/o equipos (personas responsables / departamentos).
Se sugiere que este inventario lo realice un equipo de profesionales en el área, especialistas de definir y
categorizar los diferentes activos de hardware, según el alcance del inventario. Además debe contar con la
asesoría y supervisión del departamento encargado de la seguridad o ciberseguridad en la organización.

3.2. INVENTARIO Y CONTROL DE ACTIVOS DE SOFTWARE

En el tema de la seguridad y ciberseguridad, el inventario de software es parte de la gestión de activos de

Tecnologías de la Información (TI). Permite conocer el software que se está usando en cada uno de las
aplicaciones, departamentos y procesos de la organización. Tomando en consideración los datos de las
diferentes instalaciones, fechas de instalación correspondiente, el tipo de software instalado, expiración y
fechas de renovación de las licencias, e incluso a veces el costo o valor monetario total del software.
Mantener actualizado el inventario de activos de software es una actividad muy importante y puede
implicar un mayor esfuerzo por parte del personal que lo realice, si es ejecutado de forma manual por
diferentes causas: Tiempo en la elaboración, desconocimiento, falta de permisos para acceder a los
activos incluidos en el inventario.
En este sentido, debe contemplarse la revisión de los: Sistemas y/o Aplicaciones, Bases de Datos, Sistemas
Operativos, Manuales de Usuario, Manuales de Fabricantes, Contratos, Normativas, Licencias, entre otros.
Qué personal está encargado del acceso al sistema, roles y descripción de este. Tomando en cuenta las
instalaciones, lugares en los que se alojan los sistemas. Pueden ser oficinas, edificios, entre otros.
Actualmente, existen diferentes herramientas tecnológicas que se encargan del inventario de activos que
facilitan la tarea de identificar y documentar todo el hardware y software residente en una red. Cabe
destacar, que para utilizarlas es necesario conocer correctamente su funcionamiento y el impacto que
podrían tener en los equipos de control conectados a la red. Es recomendable realizar una evaluación
previa de la herramienta en entornos fuera de producción para garantizar que su funcionamiento no
altere el sistema a inventariar.
Sin duda alguna, la gestión permite disponer de forma más eficiente, segura y precisa el inventario de
activos y son mecanismos a tener en cuenta tanto por razones de automatización como por su capacidad
de retorno de la inversión, al permitir un sustancial ahorro en los costos relacionados con la gestión de
riesgos e incidentes, personal y tiempo. Por tanto, las herramientas de inventario de software deben ser

IACC 2022 12
 Semana 5
Aspectos generales de la Ciberseguridad

parte integral de cualquier estrategia más amplia de gestión de activos de TI, como por ejemplo se
presentan algunas de estas: Network Inventory Advisor, AssetExplorer, Snipe-IT, entre otras.

3.3 GESTIÓN CONTINUA DE LAS VULNERABILIDADES

La gestión continua de vulnerabilidades, en el ámbito de tecnología de información, permite priorizar las

posibles amenazas y reduce impacto, se clasifican las vulnerabilidades según su nivel de amenaza. Se
define como un proceso que ayuda a crear un entorno más seguro y disminuir las incidencias de
seguridad que sufre una organización, mitigando las debilidades de las aplicaciones y la red. Tiene
varios objetivos a alcanzar, identificar, evaluar, tratar e informar sobre las vulnerabilidades de seguridad
en los sistemas y los diferentes programas instalados.

Finalmente, proteger toda la superficie de ataque de una empresa, solventando los puntos débiles que
pueden ser usados por terceros con intenciones maliciosas es el propósito.

3.4 USO CONTROLADO DE LOS PRIVILEGIOS ADMINISTRATIVOS

Los usuarios con privilegios administrativos son perseguidos por los delincuentes informáticos, son
especialmente los hackers, debido a que poseen un amplio acceso dentro de los sistemas y la red, lo que
aumenta su capacidad para causar daño en la organización. Algunas recomendaciones de protección son
las que siguen a continuación:

• Reducir los privilegios, limitando los datos críticos.

• Auditar las cuentas y dar seguimiento a comportamientos anormales. Realice copias de seguridad.
• Utilizar herramientas para inventariar cuentas administrativas. Protección de la red Wi-Fi.
• Cambiar todas las contraseñas para aplicaciones, sistemas operativos, enrutadores, cortafuegos,
puntos de acceso inalámbricos, y otros sistemas para tener valores consistentes con las cuentas a
nivel de administración, antes de implementar cualquier dispositivo nuevo en un entorno de red.

3.5 CONFIGURACIONES DE EQUIPOS SEGUROS DE HARDWARE Y SOFTWARE

Los controles básicos, servicios y puertos abiertos, cuentas o contraseñas predeterminadas, protocolos
antiguos (vulnerables), preinstalación de software innecesario todos pueden ser explotables en su estado
predeterminado, es decir, son vulnerabilidades de la infraestructura que deben tomarse en consideración
para proteger. Tomando lo anteriormente mencionado, las configuraciones predeterminadas entregadas

IACC 2022 13
 Semana 5
Aspectos generales de la Ciberseguridad

por los fabricantes y revendedores de sistemas operativos y aplicaciones normalmente están orientadas a
la facilidad de implementación y la facilidad de uso, no a la seguridad. Algunas recomendaciones: Instalar
un software antivirus confiable; Utilizar contraseñas complejas; Protegerte con Firewall; Instalar software
de cifrado; Ignorar los correos electrónicos sospechosos, entre otras.

3.6 MANTENIMIENTO, SEGUIMIENTO Y ANÁLISIS DE REGISTROS DE AUDITORÍA

Se debe proteger de manera especial, otro elemento de seguridad crítico y, estos son, los registros de
auditoría, porque a menudo proporcionan la única evidencia clara de ataques internos. Por esta razón, los
equipos de seguridad deben asegurarse de activar las capacidades de registrar eventos que vienen con la
mayoría de los sistemas operativos, servicios de red y tecnologías de firewall. Deben ser lo más completos
posibles, precisos y almacenados de manera centralizada, para que puedan ser analizados para obtener
información, auditorías, y, cuando sea necesario, respuesta a incidentes. Algunas recomendaciones:

• Incluya al menos dos fuentes de tiempo sincronizadas de las cuales todos los servidores y equipos
de red recuperan información de tiempo de forma regular para que las marcas de tiempo en los
registros sean consistentes.
• Valide la configuración del registro de auditoría para cada dispositivo de hardware y el software
instalado en él, asegurándose de que los registros incluyan una fecha, marca de tiempo,
direcciones de origen, direcciones de destino y otros elementos de cada paquete y/o transacción.
• Asegúrese de que los sistemas registren los registros en un formato estandarizado y, si esto es
imposible, implemente herramientas de normalización de registros.
• Todos los sistemas que almacenan registros tengan el espacio de almacenamiento adecuado.
Archive y firme digitalmente los registros periódicamente

4. EVALUACIÓN DE RIESGOS

La implementación de una buena evaluación de riesgo se debe aplicar las siguientes fases, según IACC
(2020).

IACC 2022 14
 Semana 5
Aspectos generales de la Ciberseguridad

Recogida y preparación de la información

Identificación, clasificación y valoración de los grupos de activos

Distinción y clasificación de las amenazas

Identificación y estimación de las vulnerabilidades

Diferenciación y valoración de impactos : identificar, tipificar y valorar los impactos

Evaluación y análisis del riesgo

Figura 3. Fases de una implementación de riesgo

Fuente: IACC (2020)

5. NORMAS ISO DE CIBERSEGURIDAD: 27001, 27701, 27017,

27018 & 27032
ISO 27001
La norma ISO 27001, es parte de la familia de estándares ISO 27000, ayudan a las organizaciones a
mantener sus bienes de información seguros. Es el estándar internacional para la gestión de la seguridad
de la información en las organizaciones, tanto para la información física como para la digital.

ISO/IEC 27701

La norma ISO/IEC 27701 se encuentra basado en los requisitos que establece la norma ISO 27001 y las
buenas prácticas para los controles de seguridad que ofrece la norma ISO 27002.La norma ISO/IEC 27701
ofrece un marco del Sistema de Gestión con el que se protege la información de identificación personal
(IIP). Establece todos los requisitos y especifica la orientación que se debe seguir para implementar,
mantener y mejorar de forma continua un Sistema de Gestión de la Privacidad de la Información (SGPI).

IACC 2022 15
 Semana 5
Aspectos generales de la Ciberseguridad

Engloba la manera en la que las empresas tienen que realizar la gestión de la información personal y
ampara la muestra del cumplimiento de las normas de privacidad que se puedan aplicar.

ISO/IEC 27017

Utilizada juntamente con la familia de normas ISO 27001, la norma ISO/IEC 27017 proporciona controles
para proveedores y clientes de servicios en la nube. A diferencia de muchas otras normas relacionadas
con la tecnología, ISO/IEC 27017 aclara las funciones y responsabilidades de ambas partes para ayudar a
que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de
gestión de la información certificado.

ISO 27018

ISO 27018 es la primera normativa internacional para la privacidad en la nube. La norma ISO 27018 fue
publicada el 29 de julio de 2014. Es un código de buenas prácticas en controles de protección de datos
para servicios de computación en la nube. La norma se complementa con la norma ISO 27001 e ISO 27002
en el ámbito de gestión de la seguridad de la información y que se dirige de forma específica a los
proveedores de servicios de nube

ISO 27032

El Marco de Ciberseguridad que se desarrollará tendrá un acercamiento en la gestión de riesgos en 4

áreas:
• Prevención: La prevención se basa en la implantación de medidas y controles que limiten y
contengan los impactos de posibles eventos de ciberseguridad
• Protección y Detección: Donde se implementan controles destinados a la gestión de la seguridad y
la monitorización de eventos de seguridad con el fin de detectar y protegerse ante este tipo de
eventos
• Respuesta y Comunicación: Debemos estar preparados ante posibles incidentes relacionados con
la ciberseguridad y constará de acciones para mitigar elementos adversos una vez se hayan
materializado
• Recuperación y Aprendizaje: Acciones para restaurar los sistemas y servicios relacionados con el
ciberespacio y se definirán procedimientos para reducir la probabilidad de ocurrencia de estos
incidentes.

6. LISTA DE VERIFICACIÓN DE PROGRAMACIÓN SEGURA

IACC 2022 16
 Semana 5
Aspectos generales de la Ciberseguridad

Según IACC (2020), las listas de verificación de una programación segura están diseñadas para
proporcionar datos de sobre la seguridad de la información de una empresa. En este sentido se deben
aplicar ciertos pasos para que se cumpla a cabalidad una buena verificación y se ejecute una buena
programación segura para que así los datos estén resguardados de cualquier ataque presentado. Esta lista
de verificación puede ser:

Llevar a cabo
actividades para el Realizar inspecciones
resguardo de la diarias de la Verificar o examinar
información en un información en el procesos.
orden establecido. sistema.

Examinar o analizar la
ubicación de los Verificar las causas de Verificar y analizar las
problemas. los defectos. distintas operaciones.

Recolectar datos para

análisis futuros.

Figura 4. Listado de verificación de programación segura

Fuente: IACC (2020)

7. TÉCNICAS DE PROGRAMACIÓN SEGURA PARA MITIGAR

VULNERABILIDADES EN APLICACIONES WEB

Según Monar y otros (2018), “la utilización de técnicas de programación segura se relaciona
significativamente con la cantidad de vulnerabilidades encontradas en la aplicación web y por lo tanto
mejora el nivel de seguridad de las aplicaciones web en entorno PHP” (p. 132).

IACC 2022 17
Semana 5
Aspectos generales de la Ciberseguridad

Técnica Implementación Vulnerabilidad que previene

T1 Consultar Injection
PARAMETRIZAR CONSULTAS Insertar
Actualizar
Eliminar
Restricciones en los parámetros
T2 Sanear el HTML Injection
CODIFICAR LOS DATOS Configurar las cookies para que sean XSS
httponly y secure.
T3 • Expresiones regulares Injection
VALIDAR TODAS LAS Validación y saneamiento XSS
ENTRADAS Validación de direcciones IP Redirección es y reenvíos no
Redirecciones y reenvíos no validados
validados Enlaces desde $
_SERVER Remover caracteres
ASCII con Valor> 127
T4 • Medidas durante la • Pérdida de autenticación
IMPLEMENTAR CONTROLES autenticación (Prevenir y gestión de sesiones
DE IDENTIDAD Y ataques de fuerza bruta - • Falsificación de
AUTENTIFICACIÓN Captcha Recordar peticiones en sitios
contraseña) cruzados (CSRF)
• Gestión de sesiones (Inicio de
sesión segura Estado de la
sesión iniciada -Cierre de
sesión)
• Falsificación de peticiones en
sitios cruzados (CSRF) (Crear
la clase y funciones Proteger
un formulario POST)
T5 Algoritmo cifrado Exposición de datos sensibles
PROTEGER LOS DATOS Cifrado de contraseñas
Hash de Contraseñas
Tabla 1. Técnicas de programación segura.
Fuente: Monar y otros (2018)

IACC 2022 18
 Semana 5
Aspectos generales de la Ciberseguridad

7.1 VALIDAR TODAS LAS ENTRADAS

•Usar restricciones de consultas

•Se refiere a validar las entradas del usuario en función de su naturaleza (como aceptar valores
alfanuméricos o solo valores numéricos,entre otros) , denominada validación lista
1 blanca.Incluyen restricciones de longitud y tipo de datos.

•Se refiere a la comprobación de la presencia de caracteres especiales o cierto conjunto de

caracteres en la lista posterior en los valores de entrada, esto se conoce como validación lista
negra.
2 •Mantener una lista de dominios de confianza.

•Validar la URL de destino presente en la solicitud comparándola con la lista predefinida de

dominios de confianza. En caso de no coincidir, redirigir al usuario a una página de error.
3

Figura 5: Validación de entradas

Fuente: elaboración propia
7.2 IMPLEMENTAR CONTROLES DE IDENTIDAD Y AUTENTICACIÓN.

• Utilizar controles de acceso basados en roles en todas las características de la aplicación.

• Garantizar que el usuario tenga privilegios adecuados para acceder a las funciones solicitadas. Esto
se puede hacer al obtener el rol de usuario conectado de la base de datos y verificarlo con los roles
necesarios para acceder a la función solicitada.
• Listar y mantener diferentes tokens de sesión para las sesiones de inicio de sesión y post inicio de
sesión.
• Generar un token aleatorio para cada usuario autenticado y guardarlo en la sesión del usuario.
• Agregar estos tokens de seguridad a las páginas de transacción, como parámetro oculto.
• Al recibir la solicitud, validarla sobre la base de este token. Aceptar la solicitud solo si el token es
válido.
• Invalidar la sesión del usuario en el logout.
• Implementar el uso de path y httpOnly en los atributos de la cookie.
• Configurar un timeout en la sesión.

IACC 2022 19
 Semana 5
Aspectos generales de la Ciberseguridad

7.3 PROTEGER LOS DATOS

• Usar permanentemente peticiones SQL precompiladas o parametrizadas, para evitar inyecciones

SQL.
• Aplicar controles de acceso basados en roles a las diferentes tablas de la base de datos.

IACC 2022 20
 Semana 5
Aspectos generales de la Ciberseguridad

COMENTARIO FINAL

Actualmente, en la vida cotidiana tenemos una dualidad por las operaciones que se realizan, lo real y lo
virtual, comprar en el supermercado a través de un clic, es un ejemplo, este espacio de conexión usuarios
en la red, sin límites ni distancia geográfica es llamado ciberespacio, construido a través del intercambio
de información. El desarrollo de este ha facilitado enormemente la realización de toda clase de
actividades, incluyendo interacción social y gubernamental, además de la ya mencionada comercial pero
también es un campo propicio para que existan ataques, en donde un hacker, lo haga.
Según el estándar ISO/IEC 27001 (2005), la seguridad de la información consiste en la preservación de la
confidencialidad, la integridad y la disponibilidad de la información; además, también pueden estar
involucradas otras propiedades, como la autenticidad, responsabilidad y la confiabilidad.
El informático podrá incorporar lo estudiado en su ámbito personal y laboral, debido a que los riesgos
nunca se eliminan de un todo, la seguridad entonces es un proceso de buenas prácticas para proteger el
entorno de información, y prevenir aún más la posibilidad de formar parte del conjunto que engloba a las
potenciales y eventuales víctimas de cualquiera de las amenazas, que constantemente buscan sacar
provecho de las debilidades humanas.
Finalmente, la ciberseguridad, permite comprender la importancia de la seguridad y el debido resguardo
de la información e infraestructuras en el ciberespacio. Pero este aspecto de la seguridad no es un tema
nuevo, esta arista se encuentra inmersa en el campo de la seguridad informática y, en un ámbito más
amplio, en la Seguridad de la Información.

IACC 2022 21
 Semana 5
Aspectos generales de la Ciberseguridad

REFERENCIAS
Caro, M. (2010). “Alcance y ámbito de la seguridad nacional en el ciberespacio”. En: Dirección General de
Relaciones Institucionales (2010). Ciberseguridad. Retos y amenazas a la seguridad nacional en el
ciberespacio, 49-82. Cuadernos de estrategia, 147. España: Ministerio de Defensa.

Carlini, A. (2016). Ciberseguridad: un nuevo desafío para la comunidad internacional. IEEE Documento de
opinión, 67, 1-16. https://www.ieee.es/Galerias/fichero/docs_opinion/2016/DIEEEO67-
2016_Ciberseguridad_Desafio_ComunidadInt_ACarlini.pdf

De Tomas, S. (2014). Hacia una cultura de ciberseguridad: capacitación especializada para un "proyecto
compartido". Especial referencia al ámbito universitario. ICADE, 92, 13-47.
https://revistas.comillas.edu/index.php/revistaicade/article/view/4093/3914

DragonJAR (2020). Programación Segura. [En línea]. https://www.dragonjar.org/programacion-segura

Erb, M. (2009). Gestión de Riesgo en la Seguridad Informática. [En línea].

https://protejete.wordpress.com/gdr_principal/control_riesgo/

Gutiérrez, J. (2005). Seguridad Digital y Hackers. 1era edición. Madrid, España: Ediciones Anaya
multimedia.

IACC (2020). Seguridad de la información. Tecnologías Aplicadas. Semana 6

ISO (2005). ISO/IEC 27001. Gestión de la Seguridad de la Información. [En línea].

https://www.iso.org/isoiec-27001-information-security.html

Leiva, E. (2015). Estrategias Nacionales de Ciberseguridad: Estudio Comparativo Basado en Enfoque Top-
Down desde una Visión Global a una Visión Local. Revista Latinoamericana de Ingeniería de
Software, 3(4), 161-176. https://doi.org/10.18294/relais.2015.161-176

Monar, J., Pastor, D., Arcos, G. y Oñate, M. (2018). Técnicas de programación segura para mitigar
vulnerabilidades en aplicaciones web. Congreso de Ciencia y Tecnología ESPE, 13(1). 129-132.
https://doi.org/10.24133/cctespe.v13i1.753

Stallings, W. (2004). Comunicaciones y redes de computadores. 2da Edición. Madrid, España: Pearson
Educación.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2022). Aspectos generales de la Ciberserguridad. Tecnologías Aplicadas. Semana 5.

IACC 2022 22