Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Archivologocompendio 202269163518
Archivologocompendio 202269163518
UNIDAD 2
Seguridad Física y Lógica
7. Bibliografía ........................................................................................................ 32
2
Unidad 2 l Seguridad Física y Lógica
Introducción
Si bien en las organizaciones la protección en línea es vital, las brechas de seguridad y
los peligros reales deben evitarse para proteger su innovación e información, así como
a cualquier personal o empleado que se acerque a la oficina. Su entorno de trabajo u
oficina estará indefenso contra el crimen si no tiene sistemas de seguridad establecidos.
Las preocupaciones de seguridad física incluyen robo, desfiguración, extorsión e incluso
percances. Los modelos de control de seguridad física deben incluir desde seguridad en
accesos de entrada, salida a las diferentes áreas de la empresa e inclusive mantener
personal que custodio las áreas críticas de la organización. Si bien son útiles, hay muchas
© Universidad Estatal de Milagro – UNEMI
más capas de seguridad real para los lugares de trabajo que en algunos casos se ignoran.
Se alude como seguridad física a los seguros de personas, propiedades y recursos físicos
contra manifestaciones físicas y eventos como incendios, inundaciones, eventos
cataclismos, robos, hurtos, mutilaciones y opresión psicológica. Señales de precaución
o adhesivos para ventanas, paredes, obstrucciones de vehículos, focos de paso
confinado, iluminación de seguridad, etc. son probablemente los modelos más notables.
Cuando las divisiones de seguridad física y ciberseguridad trabajan en los almacenes, no
tienen una imagen completa de los riesgos de seguridad que están enfocadas en su
Además, a medida que avanza el cambio los representantes se adaptan al nuevo tipo de
trabajo remoto o áreas de trabajo mixtas, la innovación se ha vuelto más asequible, más
razonable y equipada para desempeñar funciones adicionales que en cualquier otro
momento. La totalidad de esta eficacia, sin embargo, conlleva un riesgo. Cuando un
dispositivo interactúa con la organización, se convierte en una posible superficie de
ataque para un programador que intente acceder a la organización. Pueden contaminar
las PC con malware, tomar información o arruinar las actividades corporativas. Para
evitar las brechas de seguridad, cada equipo asociado con IoT en su empresa debe estar
© Universidad Estatal de Milagro – UNEMI
Los guardias de seguridad, CCTV (circuito cerrado de televisión) y control de puertas son
solo algunos ejemplos de seguridad física. Las empresas podrían evitar la pérdida de
datos empleando estos procesos, lo que evitaría el robo de dispositivos electrónicos. Los
centros de datos que tienen los servidores de la institución deben mantenerse cerrados
con llave en todo momento y solo debe tener acceso el personal autorizado. Se debe
usar CCTV y un libro de registro para monitorear el acceso (como mínimo). Una puerta
de seguridad con un mecanismo de autenticación, como una tarjeta inteligente o quizás
un escaneo biométrico, sería una opción superior. Otra técnica para garantizar que no
ocurra ningún acceso no autorizado al centro de datos es hacer que un guardia de
seguridad permita el acceso. Fuera del horario de oficina, se pueden usar detectores de
movimiento para vigilar la habitación.
Los dispositivos móviles deben estar bloqueados: la pérdida de datos se puede evitar
asegurando equipos electrónicos como computadoras portátiles y teléfonos móviles. El
robo de un sistema completo es uno de los tipos más fáciles y frecuentes de violación
de la seguridad, lo que lo deja vulnerable a la pérdida de todos los datos y contraseñas
de red guardados en la computadora. Asegúrelos con un candado de cable, colóquelos
en un lugar seguro (como la sala de servidores) o manténgalos consigo para evitar esta
pérdida.
de la organización son mucho más difíciles, en el caso de que sea posible, ejecutar sin
seguridad real.
visitantes ingresan a su oficina, el personal del área de trabajo del frente les da la
bienvenida con una sonrisa reconfortante y una identificación personalizada que se
registra en un marco de pase de invitado, fomentan un sentimiento de confianza. Este
movimiento da la apariencia de que su organización es consciente, tenaz y en general
cumplida. Esta progresión de su parte garantiza que cada persona que ingresa a su
espacio ha ingresado datos distintivos en su marco, lo que sugiere que es responsable
de su forma de comportarse una vez dentro. No se trata solo de ofrecer ese trato
específico al cliente que el control electrónico de acceso de invitados agrega estima. Esta
Recolección de
información
Relación de
Salida
confianza
Manipulación
Los ataques de ingeniería social, utilizan una garantía falsa para encender la
insaciabilidad o el interés de una víctima. Engañan a los compradores para que caigan
© Universidad Estatal de Milagro – UNEMI
en una trampa en la que se toman sus propios datos o sus PC se contaminan con
malware. Los medios reales se utilizan para propagar malware en la forma más
despreciada de atormentar. Por ejemplo, los agresores pueden colocar la trampa,
normalmente unidades contaminadas con malware, en entornos donde es probable que
las víctimas potenciales la experimenten (por ejemplo, baños, ascensores y el área de
estacionamiento de una organización designada). La trampa tiene una apariencia
certificada, con una marca que la reconoce como la lista financiera de la organización.
Las víctimas seleccionan la trampa de interés y la detectan en una computadora de
trabajo o doméstica, lo que provoca que el malware se introduzca en consecuencia. Los
Los sobrevivientes de Scareware (software malicioso que engaña a los usuarios de una
computadora para que visiten sitios infestados de malware) son atacados con
problemas engañosos y peligros falsos. Se engaña a los clientes para que acepten que
su marco está contaminado con malware, lo que los lleva a introducir programación que
no tiene ningún motivo (aparte de ayudar al malhechor) o que es malware. La
programación engañosa, la programación de verificación inconformista y la extorsión
son términos utilizados para describir el Scareware. Los banderines emergentes de
apariencia real que aparecen en su programa mientras examinan la web, mostrando
frases como "Su PC podría estar contaminada con terribles aplicaciones de spyware",
son un famoso modelo de scareware. Ofrece introducir la utilidad por usted (que
regularmente está invadida por malware) o lo guía a un sitio rebelde donde su PC está
contaminada. El scareware también se propaga a través del correo electrónico no
deseado, que transmite alertas u ofertas falsas para comprar algo (Idierukevbe, 2019).
secretos y delicados.
A medida que más organizaciones deciden enviar mensajes como su principal método
de correspondencia, el phishing por SMS se está convirtiendo en una preocupación
mucho mayor. Los estafadores envían mensajes instantáneos que imitan solicitudes de
verificación multifacéticas y fallas de conexión a páginas de sitios malignos que capturan
sus credenciales o introducen malware en sus teléfonos en una sola forma de phishing
por SMS.
Un ataque inicial de riego (watering opening assault) incluye enviar o descargar código
malicioso de un sitio real visitado por los objetivos del ataque. Por ejemplo, los agresores
podrían violar un sitio de noticias de la industria financiera, al darse cuenta de que las
personas que trabajan en finanzas probablemente lo visitarán, lo que los convierte en
un objetivo atractivo. Por lo general, se instala un troyano de paso secundario en un sitio
comprometido, lo que permite al atacante pensar dos veces antes de controlar de forma
remota el dispositivo de la víctima. Los asaltos de apertura de riego normalmente los
realizan asaltantes expertos que han encontrado una imperfección de día cero o que
así como métodos de diseño amigables a los que puede ser especialmente vulnerable
(Aroyo, et al., 2018).
basado en Python para pruebas de acceso de ingeniería social. SET ofrece varios
vectores de ataque específicos que le permiten configurar un posible ataque
rápidamente y de manera efectiva. SET viene con una herramienta de sitio que
transforma su PC en un servidor web, completo con una variedad de exploits. El punto
es darle a su víctima una conexión que los lleve a su sitio web, donde el ataque se
descarga y ejecuta rápidamente. Para que el ataque parezca más real, puede involucrar
los formatos preconstruidos en SET para clonar un sitio legítimo. SET tiene páginas de
Los sistemas están en constante desarrollo, por lo que su equipo debe ser instruido para
reconocer los ataques o, al menos, las situaciones que se apartan de las estrategias
habituales. Los dones aprendidos pueden ser descuidados después de algún tiempo. No
obstante, los procedimientos y estrategias de nuestros rivales siguen ajustándose. Es
importante que cada individuo de su personal obtenga una preparación estándar e ideal.
© Universidad Estatal de Milagro – UNEMI
Estrategia de programas: describe qué tipos de programas están permitidos, así como
quién tiene el poder de introducirlos y actualizarlos. Piense en permitir que un puñado
limitado de personas introduzca los programas en las PC. Esto podría ayudar a prevenir
un ataque phishing en el que por medio de ingeniería social un atacante alienta a una
víctima a instalar programas infectados en su PC.
Estrategia de equipo: especifica qué equipo se debe utilizar y cómo se debe utilizar. Las
memorias USB, por ejemplo, pueden ser denegadas. Esto podría impedir que los
representantes coloquen memorias USB dañinas que encuentren en el área de
estacionamiento en sus PC de trabajo.
Para protegerse, debe instruir a su equipo de trabajo sobre temas, por ejemplo, qué es
la ingeniería social, cómo detectarlo y qué hacer al respecto. Los representantes deben
aprender sobre los efectos secundarios especializados y de conducta de un truco de
ingeniería social como parte de su preparación. Los indicadores técnicos de un correo
electrónico malicioso, por ejemplo, podrían incluir: Enlaces sospechosos: examinar los
enlaces y archivos adjuntos del correo electrónico puede revelar su validez. Las URL
largas o complejas, así como los errores tipográficos en los nombres de dominio, son
sospechosos. Los indicadores de comportamiento, por otro lado, podrían incluir:
En general, una de las contramedidas más efectivas contra la ingeniería social es educar
a sus empleados sobre qué es, por qué es peligrosa y cómo prevenirla. Los empleados
pueden ser educados en una variedad de métodos. Considere brindar a sus empleados
conocimientos sobre los siguientes temas: Ingeniería basada en redes sociales. Se han
producido varias violaciones importantes de la seguridad cibernética dentro de grandes
instituciones como resultado de fraudes basados en las redes sociales. Debido a que los
empleados poseen y operan cuentas personales de redes sociales, monitorear la
© Universidad Estatal de Milagro – UNEMI
información que las personas publican es casi imposible. Sin embargo, puede compartir
información sobre los peligros reales de compartir información en exceso. También
puede proporcionar información sobre las señales de alerta que indican una estafa. La
ubicación, una dirección de correo electrónico del trabajo, las credenciales, las fechas
de vacaciones inminentes, los números de teléfono y las ubicaciones físicas son
ejemplos de información que los empleados no deben compartir en las redes sociales.
infiltrarse en los límites digitales de una empresa. Por más banal que pueda parecer un
mensaje de texto, una víctima de este tipo de ataque puede causar pérdidas
corporativas accidentalmente. (Rashid, et al., 2018)Los empleados pueden utilizar una
VPN para evitar el smishing, ejecutar una búsqueda en la web tanto del número de
teléfono vinculado con el mensaje como del contenido en línea, y volver a verificar la
autenticidad de los mensajes que parecen provenir de un colega, pero suenan
sintácticamente "incorrectos".
Los marcos de seguridad son más inteligentes que nunca en la memoria reciente, gracias
al Internet de las cosas, que se está preparando para avances asociados y coordinados
entre empresas. Las etapas basadas en la nube, las fuerzas laborales dispersas y la
innovación portátil, por otra parte, aumentan el riesgo. Para una forma total de lidiar
con la seguridad, la combinación de seguridad digital y real une estos dos marcos y
grupos particulares. Las decepciones de seguridad reales podrían dejar a su empresa
indefensa, independientemente de si utiliza estrategias estrictas de protección de la red,
como el cifrado y los impedimentos de IP. Las personas pueden obtener acceso a la
información y los datos privados con mayor eficacia si la metodología de seguridad
actual incluye fallas, como certificaciones débiles o capacidades de verificación
deficientes. Es básico evaluar los posibles peligros y agujeros en su seguridad actual
antes de agregar esfuerzos de seguridad en su estructura o ambiente de trabajo. En
cuanto a la seguridad real, el descubrimiento es vital. Si bien es difícil mantenerse
alejado de todas las invasiones o rupturas de seguridad reales, tener los avances
correctos configurados para reconocer y responder ataques disminuye el impacto
general en su negocio. Piense en todos sus focos de paso público mientras encuentra
© Universidad Estatal de Milagro – UNEMI
Introducción
El reconocimiento se refiere a recopilar información sobre un objetivo, que es el primer
paso en cualquier ataque a un sistema. Tiene sus raíces en las operaciones militares,
donde el término se refiere a la misión de recopilar información sobre un enemigo.
línea todo el otoño bajo el paraguas de la seguridad de datos. Está relacionado con
la confirmación de datos, que se utiliza para proteger los datos de peligros no
individuales, como decepciones del servidor o eventos catastróficos. En correlación,
la protección de la red solo cubre los peligros basados en Internet y la información
computarizada. Además, la seguridad de la red permite la inclusión de información
cruda y no clasificada, mientras que la seguridad de los datos no. (Husari, et al., 2018)
Suponiendo que una actualización indistinguible se recibe dos veces, no brinda el
doble de la información que proporcionó el evento principal: el evento posterior no
Las redes, los servidores, los dispositivos de los clientes, los dispositivos móviles y
los centros de datos se encuentran entre los componentes de la infraestructura que
están protegidos por técnicas de seguridad de la infraestructura. Sin la protección
suficiente, la mayor interconexión entre estos y otros componentes de la
infraestructura pone en riesgo la información. Debido a que la conexión propaga
vulnerabilidades a través de sus sistemas, esto es un peligro. Todos los componentes
dependientes se ven afectados si una parte de su infraestructura falla o se ve
comprometida. Como resultado, minimizar las dependencias y aislar los
componentes sin dejar de permitir las intercomunicaciones es un objetivo clave de
la seguridad de la infraestructura (Husari, et al., 2018).
© Universidad Estatal de Milagro – UNEMI
Footprinting Pasivo: Implica recopilar información sin interacción directa. Este tipo de
Footprinting es principalmente útil cuando existe el requisito de que el objetivo no
detecte las actividades de recopilación de información.
Hoy en día, se puede acceder a la información en una variedad de etapas, y los atacantes
se esfuerzan continuamente por obtener la información confidencial de los clientes y las
organizaciones. En este sentido, los datos individuales de los clientes se adquieren a
través de sitios web de entretenimiento como Facebook, Twitter y otros. En general,
también se designan valores de acciones, perfiles corporativos, organizaciones,
licencias, cálculos y una variedad de componentes de estrategia. Posteriormente, es
juicioso practicar la alerta antes de ser perseguido. Por lo general, los índices web, como
Google Chrome, Bing y Yahoo, son los mejores dispositivos para recopilar información
sobre el elemento que el cliente está buscando. Las herramientas de búsqueda web
utilizan la web para recopilar muchos tipos de información. Aquí los atacantes obtienen
datos sobre el conjunto de experiencias o patrones de la información de conducción.
Esto ayudará a los atacantes a acceder a la información privada y social del cliente. El
atacante recopila información jerárquica oficial, información privada confinada,
información del sitio, etc. El atacante puede utilizar herramientas de búsqueda
© Universidad Estatal de Milagro – UNEMI
monetarias en la web como Google, Yahoo y otras para adquirir información financiera
sobre la máquina objetivo.
Quien Es (WHOIS)
otros. Los Registros Regionales de Internet se mantienen por regiones geológicas que
no son parte de naciones o distritos (RIR). Los RIR mantienen actualizado el conjunto de
datos de WHOIS. El conjunto de datos es mantenido por RIR como LACNIC (Registro de
Direcciones de Internet de América Latina y el Caribe) y APNIC (Centro de Información
de Redes de Asia Pacífico). Una URL, por ejemplo, brinda datos sobre el nombre del área
y el nombre del host. La Corporación de Internet para la Asignación de Nombres y
Números (ICANN) luego, en ese momento, confirma que el nombre del espacio está en
manos de una sola organización. La Corporación de Internet para la Asignación de
Nombres y Números (ICANN) garantiza esto al exigir que los nombres de los espacios se
registren de una manera única. Por cierto, ARINA (Registro estadounidense de números
de Internet) mantiene el RIR de direcciones IP estáticas de América del Norte. El
dispositivo WHOIS consulta el conjunto de datos de alistamiento para asuntos sociales
y los datos relacionados con el espacio.
Email Footprinting
DNS Footprinting
zonas de destino. La técnica de transferencia de zona permite que los servidores DNS
actualicen su información mediante la transferencia de la base de datos. Cuando un
pirata informático solicita información de DNS, la solicitud se enruta a través de la
estructura jerárquica de DNS.
Informar a los representantes de que todos los mensajes enviados a través de los
© Universidad Estatal de Milagro – UNEMI
5. Preguntas de Cómprensión de la
Unidad 2
1. Pregunta de comprensión Nro. 1
¿Cuál es el ciclo de un ataque de ingeniería social?
A. Recolección de información, relación de confianza, manipulación y salida.
B. Recolección de información, manipulación, relación de confianza y salida.
C. Salida, Recolección de información, relación de confianza y manipulación.
D. Recolección de información, salida, relación de confianza y manipulación.
Implica recopilar información con interacción directa. El objetivo puede reconocer el proceso
de recopilación de información en curso, ya que interactuamos abiertamente con la red
objetivo.
A. Footprinting Pasivo
B. Footprinting Activo
C. Ingeniería Social
© Universidad Estatal de Milagro – UNEMI
6. Material Cómplementarió
Los siguientes recursos complementarios son sugerencias para que se pueda ampliar la
información sobre el tema trabajado, como parte de su proceso de aprendizaje
autónomo:
Bibliografía de apoyo:
EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through
4 ed. Albuquerque: EC-Council.
Costantino, G., La Marra, A., Martinelli, F. & Matteucci, I., 2018. A social
engineering attack to leak information from infotainment system. IEEE
Vehicular Technology Conference, p. 1–5.
© Universidad Estatal de Milagro – UNEMI
7. Bibliógrafía
» Abdi, F. y otros, 2018. Guaranteed Physical Security with Restart-Based Design
for Cyber-Physical Systems. ACM/IEEE Int. Conf. Cyber-Physical Syst, p. 10–21.
» Alshanfari, I., Ismail, R., Zaizi, M. & Wahid, F. A., 2020. Ontology-based formal
specifications for social engineering. International Journal of Technology
Management and Information System 2, p. 35–46.
» Aroyo, A. M., Rea, F., Sandini, G. & Sciutti, A., 2018. Trust and social engineering
in human robot interaction: Will a robot make you disclose sensitive
information, conform to its recommendations or gamble. IEEE Robot. Autom.
Lett., p. 3701–3708.
» Costantino, G., La Marra, A., Martinelli, F. & Matteucci, I., 2018. A social
engineering attack to leak information from infotainment system.. IEEE
Vehicular Technology Conference, p. 1–5.
» EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through
4 ed. Albuquerque: EC-Council.
© Universidad Estatal de Milagro – UNEMI
» Foundation, O., 2017. OWASP: The Open Web Application Security Project.
s.l.:OWASP Foundation.
» Gupta, B. B., Agrawal, . D. P. & Wang, H., 2019. Computer and Cyber Security
Principles, Algorithm, Applications, and Perspectives. Boca Raton: Taylor &
Francis Group, LLC.
» Husari, G., Niu, X., Chu, B. & Al-Shaer, E., 2018. Using entropy and mutual in-
formation to extract threat actions from cyber threat intelligence. IEEE
International Conference on Intelligence and Security Informatics, p. 1–6.
» Idierukevbe, K., 2019. Physical Security Best Practices. Phys. Secure., 12(3), p.
15–29.
» Opazo, B., Whitteker, D. & Shing, C., 2018. Secrets of spoofing, the dangers of
social engineering, and how we can help.. International Conference on Natural
Computation, Fuzzy Systems and Knowledge Discovery, p. 2812–2817.
» Rashid, A. y otros, 2018. Scoping the Cyber security body of knowledge. IEEE
© Universidad Estatal de Milagro – UNEMI
» Rasner, G. C., 2021. Cybersecurity and Third-Party Risk. Third Party Threat
Hunting ed. New Jersey: John Wiley & Sons, Inc..
» Stallings, W. & Brown, L., 2018. Computer Security: Principles and Practice. New
Jersey: Pearson Education, Inc..