Ciber Seguridad Personal

Conceptos

“Uno de los principales riesgos cibernéticos es pensar que no existen. El

otro es tratar de remediarlos todos…” Stéphane Nappo

Ataque: Es cualquier intento de exponer, alterar, deshabilitar, destruir,

robar u obtener acceso no autorizado o hacer un uso no autorizado de
un activo.

Ciber-Ataque: Es cualquier maniobra ofensiva que es hecha buscando

dañar sistemas informáticos.

Ciber-Crimen|Ciber-Delito: Conductas delictivas cometidas por medio de

las TIC’s.

Ciber-Crimen avanzado: Ataques sofisticados contra hardware y

software de computadoras.

Ataques de salami: ​es una estrategia política mediante la cual un grupo

es debilitado mediante la segmentación de sus componentes, ya sea
mediante amenazas o alianzas.

La ingeniería social, en el contexto de la seguridad informática, se

refiere a la manipulación psicológica de las personas para realizar
acciones o divulgar información confidencial.

Autenticación 2FA | MFA: es un método para confirmar la identidad de

un usuario en la que se le otorga acceso a un servicio o aplicación, solo
después de presentar con éxito dos o más pruebas a un mecanismo.

Política:​Orientación o manera de actuar de una persona en un asunto

determinado.
Norma:Conjunto de reglas que determinan el uso correcto de una
variante.

BIA: Business Impact Analysis.

Análisis forense: El análisis forense digital se corresponde con un

conjunto de técnicas destinadas a extraer información valiosa de discos,
sin alterar el estado de los mismos.

El proceso de análisis forense se aplica principalmente en

investigaciones, en las cuales se desea encontrar evidencia que soporte
una hipótesis.

Tipos de ciber criminales

-Script Kiddies: En la programación es un individuo que utiliza scripts o

programas desarrollados por terceros para atacar sitios web, redes y
sistemas informáticos.
-Scammers: ​literalmente, estafador. Concretamente, en el mundo virtual
se denomina de esta forma a todas aquellas personas que utilizan la
información desprotegida que circula por internet para aprovecharse de
una víctima y estafarle.
-Hacker groups: Comenzaron a aparecer a principios de los 80’s. (grupo
de personas fanáticas de la computadoras).
-Phishers: Individuos que se dedican al robo de información por medio
de ingeniería social. (suplantación de identidad).
-Grupos politicos | religiosos | comerciales.
-Insiders: Persona dentro de una empresa que divulga información
sensible.
-Advancer Persistent Threat (APT): ​es un conjunto de procesos
informáticos sigilosos y continuos, a menudo orquestados por humanos,
dirigidos a penetrar la seguridad informática de una entidad específica.

Motivos detrás de un ciber crimen

-Necesidad de reconocimiento.
-Necesidad de dinero rápido.
-Para pelear por una causa de la que se es fiel creyente.

Clasificación general de los ciber crímenes

-Contra los individuos: Porno, acoso, difamación, phishing, etc.

-Contra la propiedad: Vandalismo, propiedad intelectual, extorsión,
ataques de salami.
-Contra organizaciones: Ciber terrorismo, trolling, doxing, DoS,
defacements.
-Contra la sociedad: Crimenes financieros, contaminación de la
juventud, fake news, ciber terrorismo.

Ciber crímenes que involucran correo electrónico

-Email Fraud: Fraudes por correo.

-Email Forgery: Falsificación de firmas.
-Email Spoofing: Creación de mensajes usando remitentes falsos.
-Email Bombing: Envío masivo de mensajes con la finalidad de causar
DoS.
-Email Threatening: Amenazas por correo.
-Email Spamming: Publicidad no solicitada.
-Malware by email: Diseminación de código malicioso por correo.

Hacking

-Email hacking: Acceso no autorizado o manipulación de cuentas de

correo.
-Network hacking: Acceso no autorizado a una red o pc desde la red.
-Password Cracking: Recuperación o descifrado no autorizado de
contraseñas.
-Computer Hacking: Acceso no autorizado a una computadora.

Ciber terrorismo
Cyber extortion
Cyber vandalism
Cyber hate
Cyber harassment

Crímenes financieros

Cyber laundry
Credit card fraud
Salami attacks
Online gambling
Online illegals sales
Crypto mining

Hurto de identidad

-Phishing: Engaños por correo para obtener información.

-Pharming: Dirigir usuarios hacia páginas falsas usando engaños.
-Smishing: Código malicioso por sms (troyanos).
-Vishing: Suplantación de identidad por medio de llamadas o mensajes
de voz.

Ransomware-Vectores de Ataque (Restringe el acceso al sistema

exigiendo un pago de rescate)

-Dropped: Malware entregado por otro malware que ya se encuentra en

el sistema, un kit de explotación, software de terceros infectados o
manualmente por un actor de amenazas.
-Malvertisement: Malware introducido a través de un anuncio malicioso.
-Multiple: Se refiere al malware que actualmente usa al menos dos
vectores.
-Malspam: Correos electrónicos no solicitados, que dirigen a los
usuarios a descargar malware de sitios web maliciosos.
-Network: Malware introducido a través del abuso de protocolos o
herramientas de red legítimas, SMB o PowerShell remoto.

Fases de un ciber ataque

Modelo clásico
• Fase 1 | Reconocimiento
• Fase 2 | Exploración
• Fase 3 | Ganando acceso
• Fase 4 | Mantener el acceso
• Fase 5 | Cubriendo pistas

Modelo mejorado | Lockheet Martin’s Cyber Kill Chain

• Reconocimiento
• Instrumentación
• Entrega
• Explotación
• Instalación
• Control y Comando
• Acciones sobre el objetivo

Ciclo de vida de una vulnerabilidad

Passwords

Riesgo de usar weak passwords: Fácilmente puede ser descifrada para

usarla en algún otro sitio.

Sitio web de seguridad mínima: Si el sitio es hackeado se puede

recuperar la contraseña para usarla de manera maliciosa.

-Administrar contraseñas:
 1. Listar los sitios donde se tienen cuentas.
2. Determinar la contraseña actual.
3. Obtener un manejador de contraseñas.
4. Cambiar una a una las contraseñas por contraseñas
seguras.

-Mejorar la seguridad de las preguntas de recuperación.

Password Managers

Avast Passwords
LastPass
OnePass
1Password

Autenticación 2FA | MFA

-Microsoft Authenticator: Te ayuda a probar tu identidad sin tener que

recordar una contraseña. En lugar de una contraseña, inicia sesión con
tu nombre de usuario y a continuación usas el dispositivo móvil para
usar un PIN, huella digital, etc, para determinar que eres tu.
También permite usar verificación en 2 pasos.

-Google Authenticator: Para una verificación en 2 pasos puedes usar

GA para recibir códigos incluso sin conexión a internet o datos.

2FA backup codes

-Son códigos pre-calculados que se utilizan para validar el acceso,

cuando el generador de códigos no está disponible.
-Cada código solo funciona 1 vez.
-Pueden usarse para comprometer la seguridad de la cuenta.

Seguridad para redes sociales

-Redes sociales: Son plataformas de comunicación en línea donde el
contenido es creado por los propios usuarios mediante el uso de las
tecnologías de la Web 2.0 que facilitan la edición, la publicación y el
intercambio de información.

Riesgos comunes:
-Todo lo que se publica tiene el potencial de volverse publico.
-Nada puede removerse una vez es público.
-Es muy fácil sacar comentarios fuera de contexto.
-Las cuentas de spam a veces son muy convincentes.
-Las redes sociales pueden ser, sin darse cuenta, una fuente de
violación de confidencialidad de sus clientes.

Mobile cyber security

-Activar el passcode
-utilice el lector biométrico de huellas digitales.
-Pantalla de bloqueo luego de 5 mins.
-Encriptar la SD.
-Desactivar servicios de ubicación.

Phishing

-Revisar el remitente.
-Sospechar de correos “Querido cliente”.
-Sospechar de errores ortográficos, gramática, etc.
-Sospechar de correos que solicitan acción inmediata.
-Si se recibe un correo de alguien no significa que sea de él.

Retención de datos: email

-Solo mantener correos electrónicos por 1 año.

-Eliminar correos anteriores al periodo.
-Eliminar completamente los correos de cuentas inactivas.
-Eliminar información confidencial que envíe datos sensibles.
Cloud Security

-Realizar copias de seguridad adicionales de todos los archivos en la

nube.
-Eliminar el historial de navegación al cerrar el navegador.
-Remover la información que contenga cualquier cuenta o servicio en la
nube que ya no se use.

Gobierno de la seguridad de la información

CMM 4: Procedimiento estándar y un proceso para mantener la gestión

de seguridad. La gestión de riesgos en la seguridad de la información es
una función gerencial.

Al seleccionar un departamento, unidad de negocio o área en particular

dentro de la organización, puede considerarse el nivel de madurez de la
primera declaración del CMM 4.

Una política apropiada para tratar este requerimiento podría establecer

lo siguiente:
Los riesgos de seguridad de la información deben contar con
regularidad o a medida que los cambios en las condiciones justifiquen la
utilización de procedimientos estandarizados y tienen que incluir todas
las tecnologías y procesos relevantes.

Los dominios de alta seguridad que abarcan sistema de negocios

críticos y/o información confidencial o protegida deberán valorarse cada
año para efectos de riesgos, o con mayor frecuencia si existen:
-Cambios importantes en las amenazas.
-Cambios en el hardware o software.
-Cambios en el negocio o los objetivos.
Las valoraciones son responsabilidad del dueño del sistema o de los
datos y deberán enviarse al área de seguridad corporativa para su
revisión oportuna.
Declaraciones del CMM 4:
-La primera declaración: Es la valoración del riesgo es un procedimiento
estándar y la gestión de seguridad debería estar en capacidad de
detectar cualquier desviación en la ejecución de este procedimiento.
-La segunda declaración: La gestión de riesgos en la seguridad de la
información es una función gerencial definida bajo la responsabilidad del
nivel superior.
-La tercera declaración: La alta dirección y la gerencia de seguridad de
la información han determinado los niveles de riesgo que tolerará la
organización y tendrá medidas establecidas para las relaciones de
riesgo/retorno.

Criterios de declaraciones: Quién tiene la facultad de declarar un

incidente o desastre que requiera de una respuesta apropiada.
Criterios de gravedad: Quién tiene la autoridad para determinar la
gravedad de un incidente.

Muestras adicionales de políticas

-Clara asignación de roles y responsabilidades.
-Activos de información que se han identificado y clasificado de acuerdo
con su criticidad y sensibilidad.
-Que se hayan diseñado, implementado y mantenido controles
efectivos.
-Que se cuente con procesos de monitoreo eficaces.
-Que se cuente con procesos eficaces de cumplimiento y exigencia de
cumplimiento.
-Que se tengan capacidades de respuesta ante emergencias e
incidentes, funcionales y probadas.
-Que se cuente con planes probados de continuidad de
negocio/recuperación de desastre.

Las normas proporcionan los límites de seguridad consistentes y una

herramienta altamente eficaz para implementar el gobierno de la
seguridad de la información.
Encargados de la revisión de las normas: Departamento de auditoría
como las unidades organizacionales afectadas.

Metas intermedias del plan de acción

Ejemplo de un plan de acción a corto plazo para alcanzar CMM 4:

-Cada unidad de negocio tiene que identificar las aplicaciones actuales
en uso.
-Tiene que revisarse el 25% de toda la información almacenada para
determinar su propiedad, criticidad y sensibilidad.
-Cada unidad de negocio llevará a cabo un BIA de los recursos de
información a fin de identificar los recursos críticos.
-Las unidades de negocio tienen que dar cumplimiento a las
regulaciones.
-Deben definirse todos los roles y las responsabilidades de seguridad.
-Se desarrollará un proceso para verificar los vínculos a los procesos de
negocio.

La importancia de una estrategia integrada: Soluciones no integradas

que se han implementado en respuesta a una serie de crisis se vuelven
cada vez más costosas y difíciles de manejar.

Objetivos del programa de seguridad de la información

El objetivo del programa de seguridad de la información: es proteger

tanto los intereses de aquellos que dependen de la información como
los procesos, sistemas y comunicaciones que la manejan, almacenan y
entregan de sufrir algún daño que sea consecuencia de fallas en la
disponibilidad, confidencialidad e integridad de dicha información.

Características de que el objetivo de la seguridad se cumple:

-La información está disponible y se puede utilizar cuando se le
requiere, y los sistemas que la proporcionan pueden resistir ataques en
forma apropiada (disponibilidad).
-La información se divulga sólo a aquellos que tengan derecho a
conocerla y sólo puede ser observada por ellos (confidencialidad).
-La información está protegida contra modificaciones no autorizadas
(integridad).
-Se puede confiar en las transacciones de negocio y en el intercambio
de información entre locaciones de la empresa o con socios
(autenticidad y no repudio).

FTK

FTK → Forensic ToolKit: Herramienta reconocida alrededor del mundo

como el estándar en software forense de computadoras.

-Permite: El análisis forense de computadoras, descifrado de contraseña

y de información, todo ello en una interfaz intuitiva y personalizable.
Descifrar una contraseña, analizar correos electrónicos o buscar
caracteres específicos en archivos.
-Creador: AccessData.

Herramientas

-Análisis de correo electrónico

-Descifrado de archivos
-Tallado de datos
-Visualización de datos
-Visor web
-Cerberus
-OCR (Optical Character Recognition)

Características
-Fácil de usar
-Análisis de correo electrónico y de archivos ZIP
-Opciones de búsqueda avanzada
-Archivos y formatos de adquisición admitidos

Ventajas

-Velocidad y estabilidad inigualables

-Búsqueda más rápida
-Database driven o base de datos compartida de casos
-Accesorio de detección de imágenes explícitas (EID)

FTK Imager

Crea imágenes de discos duros, CD y dispositivos USB. Además cuenta

con funciones de vista previa de datos Esto se puede utilizar para
obtener una vista previa de ambos archivos/carpetas y los contenidos
que residen en esos archivos.

FTK → Solo funciona durante un tiempo limitado sin licencia.

FTK Imager → Gratuito indefinidamente.