PROGRAMA TALENTO DIGITAL

Curso de Ciberseguridad

Módulo 1: Introducción a la Ciberseguridad

Ramón Onrubia Pérez

Índice de contenidos:
1. Introducción al curso
2. ¿Qué es la seguridad de la información?
3. Actores de amenazas
4. Impacto de la amenaza
5. El centro de operaciones de seguridad moderno (SOC)
6. ¿Cómo convertirse en defensor?

PROGRAMA TALENTO DIGITAL:

Curso de Ciberseguridad
1. Introducción al curso
Perfil instructores
Perfil instructores
Planificación del curso – semanas 1 a 4
Planificación del curso – semanas 5 a 8
Contenidos del curso
• Recursos, actividades y transparencias a través del campus de la EOI:
http://campus.eoi.es
• Contenido del curso oficial de Cisco a través de la plataforma Netacad de Cisco:
http://cisco.netacad.com
• Posibilidad de hacer voluntariamente los exámenes de Netacad para obtener
descuento (voucher) para examen 200-201 CBROPS de certificación. Requisito:
obtener al menos 70% en primer intento examen final
• VirtualBox como aplicación de virtualización. https://www.virtualbox.org/
• Máquinas virtuales para Kali Linux, ParrotSec OS, Security Onion, etc
Tests de conocimientos básicos en ciberseguridad

✔
Conocimientos generales de ciberseguridad
✔
Mitos sobre seguridad en Internet ¿verdaderos o falsos?
2. ¿Qué es la seguridad de
la información?
¿Qué es la Seguridad de la Información?
• Las organizaciones dependen
para su funcionamiento de la
información que manejan
• La información se encuentra en
múltiples formatos y soportes
• La información tiene su ciclo de
vida:
• Creación
• Distribución
• Mantenimiento
• Destrucción
¿Qué es la Seguridad de la Información?
• Podría definirse cómo:

La protección de la información frente a las

distintas amenazas al objeto de garantizar
el buen funcionamiento de la organización

Confidencialidad + Integridad +
Disponibilidad
Seguridad de la Información vs Seguridad Informática

https://www.youtube.com/watch?v=7MqTpfEreJ0
¿Qué es la Seguridad de Información?
• La forma de trabajar cambia a medida que la
tecnología evoluciona:
• Trabajo en movilidad
• Servicios en la nube
• Teletrabajo

✓ Acceso remoto
✓ Itinerancia entre sedes
✓ Redes Wifi
✓ Uso masivo portátiles y móviles
Cinco ciberataques que evidencian la tendencia, ¿cómo evitarlos? (bitlifemedia.com)
Tipos de malware
• Virus: Altera el funcionamiento de un dispositivo y para cumplirlo necesita la
intervención del usuario, es decir que lo ejecutes una vez que está en tu equipo.
Sobretodo está en archivos ejecutables .exe, .com, .bat, .ps1…

• Gusanos: A diferencia del anterior, no necesita ser ejecutado por el usuario ni

modificar ningún archivo para infectar tu equipo. Leer libreta de direcciones de correo y
enviarlas a tus contactos. Botnets para DDoS.

• Troyanos: Archivos legítimos para que una vez que lo ejecutes aproveche las
vulnerabilidades de tu equipo y empiece a robar tu información sin que te des cuenta

• Spyware: Monitoriza y recopila datos sobre las acciones realizadas en un equipo, el

contenido del disco duro, las aplicaciones instaladas o del historial de Internet.

• Adware: No tiene la intensión de dañar tu equipo, sino de invadirte de publicidad

• Ransomware: Secuestra datos cifrándolos para pedir rescates económicos a cambio

de liberarlos.
Amenazas a las personas
• Los hackers pueden configurar
hotspots inalámbricos "no autorizados"
haciéndose pasar por una red
inalámbrica genuina.
• Los puntos de acceso inalámbricos
también se conocen como puntos de
acceso "gemelos malvados" o "Evil
Twin hotspots".

¿Alguna vez nos hemos conectado a un punto de acceso

inalámbrico libre?
Amenazas a empresas
• Los empleados de una organización
usualmente se ven atraídos a abrir archivos
adjuntos que instalan ransomware en los
equipos de ellos.
• El ransomware, cuando esta instalado,
inicia el proceso de recopilación y cifrado de
datos corporativos.
• El objetivo de los atacantes es ganar dinero,
ya que piden un rescate por regresarle a la
empresa sus datos.

¿Utilizo herramientas de anti-spam o anti-phising? ¿Abro

todos los adjuntos de mi correo?
Webs para comprobarURLs
La Amenaza
Naciones Objetivo
• Algunos de los programas de malware actuales son tan
sofisticados y costosos de crear que los expertos en seguridad
creen que solamente un estado o un grupo de naciones podrían
tener la influencia y financiación para crearlo.
• Este malware puede tener como objetivo atacar la
infraestructura vulnerable de una nación, como el
sistema de agua o la red eléctrica.
✔ El virus Stuxnet
✔ Violación de datos Marriott
✔ Violación de datos de las Naciones Unidas
✔ Violación de la base de datos de soporte al cliente de
Microsoft
✔ Violación de datos de Lifelabs
3. Actores de amenazas
Actores de amenaza

Aficionados Hacktivistas Beneficio Secretos

financiero comerciales y la
• Script kiddies: Poca o • Hackers que
• Gran parte de la política global
ninguna habilidad protestan contra una
variedad de ideas actividad de hacking • A veces, las naciones
• Utilizan herramientas
políticas y sociales. está motivada por el hackean otros países, o
existentes o interfieren con sus
• Ellos publican beneficio financiero.
instrucciones que políticas internas.
encuentran en artículos y videos, • Los cibercriminales
internet para lanzar filtran información quieren ganar acceso • Espionaje industrial.
ataques confidencial e a cuentas de banco, • El robo de la propiedad
interrumpen servicios información personal y intelectual puede
mediante ataques de cualquier otra cosa que otorgar una ventaja
denegación de puedan aprovechar significativa a un país
servicio distribuido para generar flujo de en el comercio
(DDoS). efectivo. internacional.
https://talosintelligence.com/fullpage_maps/pulse
¿Que tan seguro es el Internet de las cosas?
• El internet de las Cosas (IoT) ayuda a las
personas a conectar cosas para mejorar su
calidad de vida.
• Muchos dispositivos en Internet no están
actualizados con el firmware más reciente.
Algunos dispositivos más antiguos ni siquiera se
desarrollaron para actualizarse con parches.
Estas dos situaciones crean oportunidades para
los actores maliciosos y riesgos de seguridad
para los propietarios de estos dispositivos.

¿Soy capaz de saber si mis dispositivos están

actualizados a la última versión?
4. Impacto de la amenaza
PII, PHI y PSI
• La información que permite identificar personas (Personally Identifiable
Information, PII) es cualquier dato que pueda utilizarse para identificar
inequívocamente a una persona, por ejemplo, el nombre, número de
seguridad social, fecha de nacimiento, número de la tarjeta de crédito, etc.

• Uno de los objetivos más lucrativos de los ciberdelincuentes es obtener

listas de PII que puedan vender en la web oscura. Las PII robada puede
utilizarse para crear cuentas financieras falsas, como tarjetas de crédito y
préstamos a corto plazo.  Perfiles falsos

• La comunidad médica crea y mantiene registros médicos electrónicos

(Electronic Medical Records, EMRs) que contienen Información Protegida de
Salud (Protected Health Information, PHI) un subconjunto de PII.

• Información de seguridad personal (PSI), otro tipo de información personal,

incluye nombres de usuario, contraseñas y otra información relacionada con
la seguridad que los individuos utilizan para acceder a información o
servicios de la red.
Pérdida de la ventaja competitiva
• La pérdida de propiedad intelectual de los competidores es motivo de grave de
preocupación.
• Una importante preocupación adicional, es la pérdida de confianza que surge cuando
una empresa es incapaz de proteger los datos personales de sus clientes.
• La pérdida de la ventaja competitiva puede deberse más a esta falta de confianza que
al hecho de que otra empresa o país robe secretos comerciales.

¿Qué entendemos por Web

vs Deep Web vs Dark Web?
Políticas y seguridad nacional
• No solo las empresas sufren ataques.
• Los hackers patrocinados por el estado pueden causar interrupciones y
destrucciones de servicios y recursos vitales dentro de una nación enemiga.
• Internet se ha tornado esencial como medio para actividades comerciales y
financieras. La interrupción de estas actividades puede devastar la economía de una
nación.
5. El centro de operaciones de
seguridad moderno (SOC)
Elementos del SOC
• Para utilizar un enfoque formalizado, estructurado y
disciplinado para defenderse de las amenazas
cibernéticas, las organizaciones suelen utilizar los
servicios de profesionales de un Centro de
operaciones de seguridad (SOC).
• Los SOC ofrecen una amplia gama de servicios,
desde monitoreo y administración hasta
soluciones integrales contra amenazas y seguridad
en host.
• Los SOC pueden ser totalmente internos (una
empresa puede ser propietaria e implementarlos) o
es posible adquirir los elementos de un SOC a
proveedores de seguridad, como los Servicios de
seguridad administrados de Cisco.
Personal en el SOC
Los SOC asignan roles de trabajo por niveles, de acuerdo con la experiencia y las
responsabilidades requeridas para cada uno.
Niveles Responsabilidades
●
Nivel 1 Analizador de Monitorizan alertas entrantes, verifican que realmente haya ocurrido un
Alertas incidente y reenvían los informes a la Nivel 2 si es necesario.
●
Nivel 2: Encargado de Responsable de una investigación más profunda de los incidentes y
respuesta ante recomendar un remedio o acción a ser tomada
incidentes
●
Nivel 3 Threat Hunter Expertos en redes, end point, inteligencia de amenazas, ingeniería
inversa de malware y seguimiento de los procesos del malware para
determinar su impacto y cómo se puede eliminar. También están
profundamente involucrados en la búsqueda de posibles amenazas y la
implementación de herramientas de detección de amenazas. El cazador
de amenazas busca a ciberamenazas que están presentes en la red pero
no han sido detectadas aún
●
Gerente de SOC Gestiona todos los recursos del SOC y sirve como el punto de contacto
para la organización o el cliente más grande.
Personas en el SOC
• Trabajos de nivel uno son más
de nivel de entrada, mientras
que los trabajos de nivel tres
requieren extensa experiencia.
• La figura del instituto SANS
representa gráficamente cómo
interactúan entre sí estos roles.
Proceso en el SOC
• Se requiere un analista de ciberseguridad para monitorizar
las colas de alertas de seguridad e investigar las alertas
asignadas. Un sistema de tiquets es usado para asignar
estas alertas a la cola del analista.
• El software que genera las alertas puede activar falsas
alarmas. Por lo tanto, el analista debe comprobar si la alerta
representa un incidente de seguridad verdadero.
• Cuando la verificación está establecida, el incidente puede
ser reenviado a investigadores u otro personal de seguridad
sobre el que actuar. De otra forma, la alerta se descarta
como falsa alarma.
• Si un tiquet no puede ser resuelto, el analista de
ciberseguridad reenvía el tiquet del incidente al nivel 2 para
una investigación más profunda y una solución.
• Si el nivel 2 no puede resolver el incidente, se lo reenvía a
un personal de Nivel 3.
 Tecnologías en el SOC: SIEM
• Un SOC necesita un sistema de gestión de
información de seguridad y eventos
(SIEM) para comprender los datos que
generan los firewalls, los dispositivos de red, los
sistemas de detección de intrusos y otros
dispositivos.
• Los sistemas SIEM recopilan y filtran datos y
detectan, clasifican, analizan e investigan
amenazas. También pueden administrar
recursos para implementar medidas preventivas
y abordar amenazas futuras.
Tecnologías en el SOC: SOAR
• SIEM y Security Orchestration, Automation
and Response (SOAR) a menudo se
combinan, ya que tienen capacidades que
se complementan entre sí.
• Los equipos de grandes operaciones de
seguridad (SecOps) utilizan ambas
tecnologías para optimizar su SOC.
• Las plataformas SOAR son similares a las
SIEMs a medida que agregan, correlacionan
y analizan alertas. Además, la tecnología
SOAR integra inteligencia sobre amenazas y
automatiza la investigación de incidentes y
los flujos de trabajo de respuesta según los
libros de jugadas desarrollados por el equipo
de seguridad.
Tecnologías en el SOC: SOAR
Plataforma de seguridad SOAR:
• Reúne los datos de alarma de cada componente del sistema.
• Proporcionar herramientas que permitan investigar, evaluar e investigar los casos.
• Enfatizar la integración como un medio para automatizar los flujos de trabajo de
respuesta a incidentes complejos que permiten una respuesta más rápida y
estrategias de defensa adaptadas.
• Incluye guías predefinidas que permitan una respuesta automática a amenazas
específicas. Los Playbooks se pueden iniciar automáticamente en basado en
reglas predefinidas o pueden ser activados por el personal de seguridad.
•
Métricas SOC
• Ya sea interno de una organización o proporcionando servicios a múltiples organizaciones, es importante comprender qué
tan bien está funcionando el SOC, de modo que se puedan realizar mejoras en las personas, los procesos y las
tecnologías que componen el SOC.
• Se pueden diseñar muchas métricas o indicadores clave de rendimiento (KPI) para medir diferentes aspectos del
rendimiento del SOC. Sin embargo, los administradores de SOC suelen utilizar cinco métricas como métricas de SOC.
Métrica Definición
●
Tiempo de El tiempo que los actores de amenazas tienen acceso a una red antes de ser detectados y su
permanencia acceso se detiene
●
Tiempo Medio para El tiempo medio que le toma al personal del SOC para identificar incidentes de seguridad
Detectar (MTTD) validos que han ocurrido en la red.

●
Tiempo Medio para El tiempo medio que les toma detener y remediar el incidente de seguridad
Responder (MTTR)

●
Tiempo Medio para El tiempo que les toma detener el incidente de causar daño adicional a los sistemas o datos
Contener (MTTC)

●
Tiempo de Control El tiempo que es requerido para detener el malware de esparcirse en la red
Seguridad empresarial y gestionada
• Para redes medianas y grandes, la organización se beneficiará de la implementación de un SOC
de nivel empresarial, que es una solución interna completa.
• Las organizaciones más grandes pueden subcontratar al menos una parte de las operaciones de
SOC a un proveedor de soluciones de seguridad.
• Cisco ofrece un amplio rango de respuestas a incidentes, preparación y capacidades de
administración que incluyen:
• Servicio Cisco Smart Net Total Care para la resolución rápida de problemas
• Equipo de respuesta ante los incidentes de seguridad de los productos (PSIRT) de Cisco
• Equipo de respuesta ante los incidentes de seguridad de las computadoras (CSIRT) de
Cisco
• Servicios administrados de Cisco
• Operaciones tácticas de Cisco (TacOps)
• Programa de seguridad física y de seguridad de Cisco
Seguridad (SOC) vs. Disponibilidad (NOC)
• El personal de seguridad entiende que, para que la organización logre sus
prioridades, debe mantenerse la disponibilidad de la red.
• Cada empresa o industria tiene una tolerancia limitada al tiempo de inactividad de la
red. Esa tolerancia suele basarse en una comparación entre el costo del tiempo de
inactividad y el costo de protección contra el tiempo de inactividad.
• La seguridad no puede ser demasiado fuerte que interfiera con las necesidades de
los empleados o las funciones del negocio. El secreto es lograr siempre un equilibrio
entre un buen nivel de seguridad y la posibilidad de que la empresa funcione con
eficacia.
6. ¿Cómo convertirse en
defensor?
Certificaciones
• Una variedad de las certificaciones de ciberseguridad
que son relevantes para carreras en SOCs
disponibles:
• CiscoCertifiedCyberOps Associate
• CertificaciónCompTIACybersecurityAnalyst
• Certificaciones de seguridad de la información (ISC)²
• GlobalInformationAssuranceCertification(GIAC)

¿ Alguien conoce más certificaciones de ciberseguridad ?

Más formación
• Grados: al considerar una carrera en el campo de la
seguridad cibernética, uno debería considerar seriamente
obtener un grado técnico o una licenciatura en ciencias de la
computación, ingeniería eléctrica, tecnología de la
información o seguridad de la información.
• Programación en python: La programación informática es
una habilidad esencial para cualquier persona que desee
seguir una carrera en ciberseguridad. Si nunca aprendió a
programar, Python es el primer lenguaje que debe aprender.
• Habilidades en Linux: Linux se usa ampliamente en SOC y
otros entornos de red y seguridad. Las habilidades en Linux
son una valiosa adición a su conjunto de habilidades
mientras trabaja para desarrollar una carrera en
ciberseguridad.
Fuentes de información sobre trabajo
• Una variedad de sitios web y aplicaciones móviles
publicita trabajos de tecnología de la información. Cada
sitio está dirigido a diversos postulantes y proporciona
diferentes herramientas para que los candidatos
busquen su puesto de trabajo ideal.
• Muchos sitios son sitios de trabajo que recopilan
listados de otras bolsas de trabajo y sitios de carreras
de la empresa y los muestran en una sola ubicación.
• Indeed
• LinkedIn
• Infojobs
• Cámaras de comercio
FIN MÓDULO 1