Fundamentos de Seguridad de la Información

Rafael Páez PhD

paez-r@javeriana.edu.co
Ed. Jose Gabriel Maldonado
2do piso
Departamento de Ing. de Sistemas

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Metodología
Aprendizaje Directivo

Práctica
Autoaprendizaje

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Evaluación

• Primer Parcial 20%

• Segundo Parcial 20%
• Talleres 20%
• Proyecto 20%
• Quices, ejercicios 20%

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Fuente: Centro Cibernético Policial. Informe Cibercrimen 2020

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 ¿Qué es seguridad?
Relacionada con temas digitales

www.menti.com
Código 8331949

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Seguridad de la información Vs Seguridad Informática

• Protección de la información y de los • Prevención, protección y recuperación

sistemas de información de acceso no de infraestructura de IT y servicios de
autorizado, uso, divulgación, interrupción, comunicaciones
modificación o destrucción
• Táctica
• Brindar confidencialidad, integridad y
disponibilidad. • Sistemas interconectados
• Estrategia
• ISO 27001

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Relación entre la seguridad de la información y las comunicaciones, la seguridad de la información y
la ciberseguridad

Activos basados en
información almacenados
o transmitidos mediante
TIC

Activos
basados en
información Activos no basados
almacenados Seguridad en información que
Seguridad de Ciberseguridad son VULNERABLES a
o transmitidos de la las TIC
que NO información las amenazas a
utilizan las TIC través de las TIC

Fuente: Rossouw von Solms*, Johan van Niekerk. “From

information security to cyber security”.

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Seguridad

Guerra Espionaje

Ciber…
Conflicto Delito

Terrorismo Activismo

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Seguridad
Práctica de proteger
sistemas, redes y
Guerra
programas de ataques
Espionaje

digitales (www.cisco.com)
Ciber…
Conflicto Delito (video)

Terrorismo Activismo

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Actividades cibernéticas
Seguridad
coordinadas de delincuentes
sofisticados y entidades
Guerra Espionaje
estatales.
APT – Advance Persistent
Threats: buscan extraer
información a un ritmo lento y sin
Ciber… ser detectado.
Conflicto Delito

Terrorismo Activismo
Anatomy of an APT (Advanced Persistent Threat) Attack | Fir
eEye

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Seguridad

Guerra Espionaje
Actividad delictiva que
involucra las TIC en todas
las esferas de la vida.
Ciber…
Conflicto
Ley 1273 de 2009: “De la
Delito

Protección de la
información y de los
Terrorismo Activismo
datos”.

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Ciberdelito

Actos antijuridicos y Tiene como objetivo

destruir o dañar
delictivos realizados Computadores, medios
por una persona u electrónicos, redes e
organización. información.

Que se da por vías

informáticas a través de
internet, red privada,
publica o sistema
informático domestico.

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
Ciber delito
• Sabotaje, Piratería, Cajeros y tarjetas de crédito, Robo de identidad

www.clarin.com/tecnologia/unidos-fbi-cibercriminales-hackers-iran-rusia-china_0_AGs9x02rt.html

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Características del Ciberdelito

Amplio alcance internacional Difícil rastreo,

necesidad de técnicos

Masificación del delito Facilidad de

enmascararse

Facilidad de mentir y Dificultad de conseguir

engañar pruebas

Poca denuncia de las victimas Diversidad de motivos

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Perfil Del Ciberdelincuente Informático (Generalidades)

• Por su situación laboral se encuentran en

• Listos lugares estratégicos - información sensible.
• Decididos • Dispuestos a aceptar un reto tecnológico
• Motivados • Personas con un rango de edad entre los 15
• Tienen habilidades para el manejo de los y 40 años
sistemas informáticos • Trabaja de noche.

Usando
Personas o
Actividades computadora A través de Daño a
grupo de
ilegales s o equipos internet terceros
personas
electrónicos

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Ciberdelincuente informático
PIRATAS HACKER CRACKER PHREAKER
INFORMÁTICOS

Hacen uso de copias Apasionado por la Del inglés crack, romper. Con conocimientos de
ilegales "copia pirata", seguridad informática. Rompen sistemas de telefonía para realizar
sin permiso o licencia. "Black hats" "White hats“ seguridad con el fin de actividades no autorizadas
"Grey hats“. robar o destruir con los teléfonos, por lo
información valiosa. general celulares.

LAMMERS GURUS - no esta activo BUCANEROS - no existen en la Red

Trabaja con el conocimiento Son los maestros y enseñan a los Son comerciantes. venden los productos
adquirido en publicaciones de futuros Hackers. Se trata se crackeados (tarjetas de control de
expertos. Tienen falta de personas adultas, con experiencia acceso de canales de pago). Suelen ser
conocimientos y herramientas sobre los sistemas informáticos o personas no tienen conocimientos ni de
propias. electrónicos. electrónica ni de informática.
Mas información: Estudios criminológicos contemporáneos (IX): La Cibercriminología y el perfil del ciberdelincuente(*)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Motivaciones de Ciberdelincuentes

Políticos Intereses de estado

Se conocen como hacktivistas Actúan como parte de la
que trasladan a internet un estrategia de un país para
conflicto político, religioso, conseguir información
ético o cultural. confidencial

Terroristas Económico - empresariales Económico

Usan internet como medio Actúan por petición de los Pequeñas estafas y los que de
para distribuir propaganda representantes de alguna manera profesional a través de
difundiendo sus ideales o empresa o corporación. organizaciones criminales
compras de materiales ilícitos obtienen importantes
beneficios.

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Perfil Del Ciberdelincuente Informático (Generalidades)

• Por su situación laboral se encuentran en

• Listos lugares estratégicos - información sensible.
• Decididos • Dispuestos a aceptar un reto tecnológico
• Motivados • Personas del sexo masculino con un rango de
• Tienen habilidades para el manejo de los edad entre los 15 y 40 años
sistemas informáticos • Trabaja de noche.

Usando
Personas o
Actividades computadora A través de Daño a
grupo de
ilegales s o equipos internet terceros
personas
electrónicos

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Seguridad

Guerra Espionaje

Hacktivismo
Usar redes sociales y tecnologías online
para realizar activismo: abarcar
Ciber… seguidores, movilizar audiencias,
difundir mensajes, debate social
Conflicto Delito (smartwin) o hacer crecer una causa o
movimiento.

A muchos defensores de derechos

Terrorismo Activismo
humanos se les arresta y se les aplican
cargos de cibercrímenes o de
difamación.
Front line defenders

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Seguridad

Tienen objetivos políticos Guerra Espionaje

y buscan provocar miedo,

intimidar o coartar una
entidad gubernamental o Ciber…
una población, amenazando Conflicto Delito

o causando daño.

UNODC - United Nations Office on Drugs an Terrorismo Activismo

d Crime
- Cybercrime Module 14 Key Issues:
Cyberterrorism (unodc.org)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Seguridad
Se fundamentan en
relaciones internacionales Guerra Espionaje

o traen consecuencias que

pueden escalar a nivel
político o diplomático Ciber…
Conflicto Delito
Cyberconflict: How it can reach beyond governm
ent systems, and how to protect your business –
TechRepublic

Introduction to Understanding Cyber Conflict: 14

Terrorismo Activismo
Analogies - Understanding Cyber Conflict: 14
Analogies - Carnegie Endowment for
International Peace

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Comprometen sistemas de
infraestructura crítica o seres Seguridad

humanos.
Ataque armado con efectos Guerra Espionaje

destructivos (muerte, daño físico

a personas, destrucción de la
propiedad).
Sólo los gobiernos, los organismos Ciber
del estado, o individuos o grupos Conflicto Delito

dirigidos o patrocinados por el

estado pueden causar actos de
ciberguerra.
Cybercrime Module 14 Key Issues: Cyberwarfare Terrorismo Activismo
(unodc.org)

Ciberguerra: los gobiernos recibirán ataques desde cafeteras y neveras (canaltrece.com.co)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Riesgo, amenaza y vulnerabilidad
Riesgo
Probabilidad latente de que
ocurra un hecho que
produzca ciertos efectos
Amenaza
Potencial ocurrencia de un
hecho que pueda
manifestarse en un lugar
específico, con una
duración e intensidad
determinadas.
Materialización del riesgo.
Vulnerabilidad
Debilidad o grado de
exposición de un sujeto,
objeto o sistema, que
puedan ser aprovechadas
por los delincuentes.

1.3. Riesgo, Amenaza y Vulnerabilidad (epn.gov.co)

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Riesgo, amenaza y vulnerabilidad
Vulnerabilidad
Explota Vivo cerca a un Afecta
bosque

Generan Activo
Amenaza
Casa
Incendio
Nivel de Riesgo

Proteger contra Selección e

Genera Sufre
implantación

Reducir Impacto
Medidas de Perdida del hogar
Seguridad

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Ataques informáticos

Intento de un acceso no autorizado que pone en riesgo la seguridad

informática y compromete un equipo o conjunto de equipos, con el fin
de robar, modificar o causar daños deliberados que afecten a su
funcionamiento.

https://cybermap.kaspersky.com/es
https://owasp.org/www-project-top-ten/
https://nvd.nist.gov/
http://cve.mitre.org/

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Tipos de ataques

Ataques Internos Ataques externos

Premeditación (Empleados mal intencionados • Hackers, Crackers, Lammers, Script-

o ex empleados con información privilegiada) Kiddies
• Motivaciones: Ranking, reto personal, robo
Descuido
de datos, pruebas (pen test), etc.
Ignorancia
Indiferencia de las políticas de seguridad

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Redes Sociales y exposición de información

Cuéntenos quien es su compañero, el siguiente en la lista

OSINT – Open-Source Intelligence

SOCMINT – Social Media Intelligence

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Identidad Digital
Compilación de datos personales existentes en Identidad Fecha de nacimiento
línea que puedan rastrearse hasta una persona real Digital Atributos Historial médico

Información bancaria
Amazing mind reader reveals his 'gift' – YouT Usuario / claves
ube
Datos biométricos
See how easily freaks can take over your life -
YouTube Likes y comentarios
Actividades Fotos
Historial de compras
Posts
Descargas
Historial de búsqueda

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Como proteger nuestra Identidad Digital
 Trabajar con motores de búsqueda que respeten la privacidad
 Usar administradores de contraseñas
 Utilizar VPN
 Configurar bien el celular (ej, compartir ubicación)
 Validar a quien aceptamos en nuestras redes

¿Qué es la identidad digital? | Avast

Identidad digital: ¿Qué es y cómo protegerla? | BBVA

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas
 Referencias
https://youtu.be/nWXQacWRn5I
https://youtu.be/NPE7i8wuupk

Ingeniería de
Fundamentos de Seguridad de la Información
Sistemas