Beruflich Dokumente
Kultur Dokumente
Muchos de los hackers originales del mundo eran aficionados, programadores y estudiantes de
informática durante los años 60. Originalmente, el término hacker describió a las personas con
habilidades de programación avanzada. Los hackers utilizan estas habilidades de programación
para probar los límites y las capacidades de los primeros sistemas. Estos primeros hackers también
estaban involucrados en el desarrollo de los primeros juegos de computadora. Muchos de estos
juegos incluían paladines y destrezas.
A medida que la cultura de hacking evolucionaba, incorporó el léxico de estos juegos en la cultura
en sí. Incluso el mundo exterior comenzó a proyectar la imagen de los paladines poderosos sobre
esta cultura de hacking incomprendida. Libros como Where Wizards Stay up Late: The Origins of
The Internet (Cuando los paladines se quedan despiertos hasta tarde: los orígenes del Internet)
publicado en 1996 agregó la mística de la cultura de hacking. La imagen y el léxico se estancaron.
Muchos grupos de hacking hoy adoptan estas imágenes. Uno de los grupos de hacker más infames
se lo conoce con el nombre de Legion of Doom. Es importante comprender la cultura cibernética
para comprender a los delincuentes del mundo cibernético y sus motivaciones.
Sun Tzu era un filósofo chino y guerrero en el siglo seis a. C. Sun Tzu escribió el libro llamado The
Art of War (El arte de la guerra) que es un trabajo clásico sobre las estrategias disponibles para
vencer al enemigo. Su libro ha orientado a los estrategas durante siglos.
Uno de los principios guía de Sun Tzu fue conocer a su oponente. Aunque él se refería
específicamente a la guerra, gran parte de sus consejos se traducen en otros aspectos de la vida,
incluidos los desafíos de la ciberseguridad. Este capítulo comienza explicando la estructura del
mundo de la ciberseguridad y el motivo por el que sigue creciendo.
En este capítulo se analizará el rol de los delincuentes cibernéticos y sus motivaciones. Finalmente,
en el capítulo se explica cómo convertirse en un especialista en ciberseguridad. Estos héroes
cibernéticos ayudan a vencer a los delincuentes cibernéticos que amenazan el mundo cibernético.
Existen muchos grupos de datos que conforman el “mundo cibernético”. Cuando los grupos
pueden recopilar y utilizar enormes cantidades de datos, comienzan a acumular poder e influencia.
Estos datos pueden estar en la forma de números, imágenes, video, audio o cualquier tipo de
datos que puedan digitalizarse. Estos grupos podrían resultar tan poderosos que funcionan como si
fueran reinos. Empresas como Google, Facebook y LinkedIn se pueden considerar castillos de datos
en la analogía del reino del mundo cibernético. Si extendemos aún más la analogía, las personas
que trabajan en estas empresas digitales podrían considerarse paladines cibernéticos.
Los paladines cibernéticos en Google crearon uno de los primeros y más poderosos castillos del
reino cibernético. Miles de millones de personas utilizan Google para buscar en la red diariamente.
Google ha creado lo que podría considerarse la red más grande de recopilación de datos del
mundo. Google desarrolla Android, los sistemas operativos instalados en más del 80 % de todos los
dispositivos móviles conectados a Internet. Cada dispositivo requiere que los usuarios creen
cuentas de Google que pueden guardar marcadores e información de la cuenta, guardar los
resultados de búsqueda, e incluso ubicar el dispositivo. Haga clic aquí para ver algunos de los
numerosos servicios que Google ofrece actualmente. Facebook es otro castillo poderoso en el
reino cibernético. Los paladines cibernéticos en Facebook reconocieron que las personas crean
cuentas personales a diario para comunicarse con amigos y familiares. Al hacerlo, proporcionan
muchos datos personales. Estos paladines de Facebook formaron un castillo masivo de datos para
ayudar a las personas a conectarse de maneras nunca antes imaginadas en el pasado. Facebook
afecta la vida de millones de personas a diario y permite a las empresas y las organizaciones
comunicarse con las personas de manera más personal y orientada.
LinkedIn es otro castillo de datos en el reino cibernético. Los paladines cibernéticos de LinkedIn
reconocieron que sus miembros compartirían información en la búsqueda de crear una red
profesional. Los usuarios de LinkedIn cargan esta información para crear perfiles en línea y
conectarse con otros miembros. LinkedIn conecta a los empleados con los empleadores y a las
empresas con otras empresas de todo el mundo.
Una mirada dentro de estos castillos revela cómo están diseñados. En un nivel fundamental, estos
castillos son firmes debido a la capacidad para recopilar datos del usuario que contribuyen los
usuarios. Estos datos incluyen a menudo los antecedentes de los usuarios, discusiones,
preferencias, ubicaciones, viajes, intereses, amigos y miembros de la familia, profesiones,
pasatiempos y programas de trabajo y personales. Los paladines cibernéticos crean un gran valor
para las organizaciones interesadas en usar estos datos para comprender y comunicarse mejor con
sus clientes y empleados.
Los datos recopilados del mundo cibernético van más allá de los datos que los usuarios
contribuyen voluntariamente. El reino cibernético continúa creciendo a medida que la ciencia y la
tecnología evolucionan, lo que permite que los paladines cibernéticos recopilen otras formas de
datos. Los paladines cibernéticos ahora cuentan con la tecnología para hacer un seguimiento de las
tendencias mundiales del clima, monitorear los océanos y seguir el movimiento y el
comportamiento de las personas, los animales y los objetos en tiempo real.
Surgieron nuevas tecnologías, como los Sistemas de información geoespaciales (GIS) y el Internet
de todo (IdT). Estas nuevas tecnologías pueden seguir los tipos de árboles de un vecindario y
proporcionar ubicaciones actualizadas de los vehículos, los dispositivos, las personas y los
materiales. Este tipo de información puede ahorrar energía, mejorar la eficiencia y reducir los
riesgos de seguridad. Cada una de estas tecnologías también expandirá de manera exponencial la
cantidad de datos recopilados, analizados y utilizados para comprender el mundo. Los datos
recopilados por GIS y el IdT constituyen un gran desafío para los profesionales de la ciberseguridad
en el futuro. El tipo de datos generado por estos dispositivos tiene el potencial para permitir a los
delincuentes cibernéticos obtener acceso a los aspectos muy íntimos de la vida cotidiana.
En los primeros años del mundo de la ciberseguridad, los delincuentes cibernéticos típicos eran
adolescentes o aficionados que operaban desde una PC doméstica, y sus ataques se limitaban a
bromas y vandalismo. Actualmente, el mundo de los delincuentes cibernéticos se ha vuelto más
peligroso. Los atacantes son personas o grupos que intentan atacar las vulnerabilidades para
obtener una ganancia personal o financiera. Los delincuentes cibernéticos están interesados en
todo, desde las tarjetas de crédito hasta los diseños de producto y todo lo que tenga valor.
Aficionados: los aficionados, o script kiddies, tienen pocas habilidades o ninguna, y generalmente
usan herramientas existentes o instrucciones que se encuentran en Internet para realizar ataques.
Algunos solo son curiosos, mientras que otros intentan demostrar sus habilidades y causar daños.
Pueden utilizar herramientas básicas, pero los resultados aún pueden ser devastadores.
Hackers: este grupo de delincuentes penetran en las computadoras o redes para obtener acceso
por varios motivos. La intención por la que interrumpen determina la clasificación de estos
atacantes como delincuentes de sombrero blanco, gris o negro. Los atacantes de sombrero blanco
penetran en las redes o los sistemas informáticos para descubrir las debilidades a fin de mejorar la
seguridad de estos sistemas. Los propietarios del sistema les otorgan permiso para realizar la
interrupción y reciben los resultados de la prueba. Por otro lado, los atacantes de sombrero negro
aprovechan las vulnerabilidades para obtener una ganancia ilegal personal, financiera o política.
Los atacantes de sombrero gris están en algún lugar entre los atacantes de sombrero blanco y
negro. Los atacantes de sombrero gris pueden encontrar una vulnerabilidad y señalarla a los
propietarios del sistema si esa acción coincide con sus propósitos. Algunos hackers de sombrero
gris publican los hechos sobre la vulnerabilidad en Internet para que otros atacantes puedan
sacarles provecho.
La figura ofrece detalles sobre los términos hacker de sombrero blanco, negro y gris.
Haga clic aquí para ver representaciones gráficas de los perfiles de los hackers.
Los perfiles de los delincuentes cibernéticos y los motivos han cambiado a lo largo de los años. El
hacking comenzó en los años 60 con el «phone freaking» (o el «phreaking»), una actividad que
hace referencia al uso de diversas frecuencias de audio para manipular los sistemas telefónicos. A
mediados de los años 80, los delincuentes utilizaban módems de internet por acceso telefónico de
la computadora para conectar las computadoras a las redes y utilizaban programas de descifrado
de contraseñas para obtener acceso a los datos. Hoy en día, los delincuentes van más allá del robo
de información. Los delincuentes ahora pueden usar el malware y los virus como instrumentos de
alta tecnología. Sin embargo, la motivación más grande para la mayoría de los delincuentes
cibernéticos es financiera. Los delitos cibernéticos se han vuelto más lucrativos que las
transacciones de las drogas ilegales.
Los perfiles generales del hacker y los motivos han cambiado un poco. La figura muestra los
términos de hacking modernos y una breve descripción de cada una.
Frustrar a los delincuentes cibernéticos es una tarea difícil y no existe algo como una «fórmula
mágica». Sin embargo, las empresas, el gobierno y las organizaciones internacionales han
comenzado a tomar medidas coordinadas para limitar o mantener a raya a los delincuentes
cibernéticos. Las acciones coordinadas incluyen las siguientes:
Promulgación de nuevas leyes para desalentar los ataques cibernéticos y las violaciones de datos.
Estas leyes tienen multas severas para penalizar a los delincuentes cibernéticos que realicen
acciones ilegales.
La figura muestra las medidas para frustrar a los delincuentes cibernéticos y una breve descripción
de cada una.
Los paladines cibernéticos son innovadores y visionarios que crean el reino cibernético. Tienen la
inteligencia y el conocimiento para reconocer el poder de los datos y aprovechan ese poder para
crear grandes organizaciones, proporcionar servicios y proteger a las personas de los ciberataques
Los paladines cibernéticos reconocen la amenaza que presentan los datos si se utilizan contra las
personas.
Las amenazas y vulnerabilidades son la principal inquietud de los paladines cibernéticos. Una
amenaza a la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque. La
vulnerabilidad es una debilidad que hace que un objetivo sea susceptible a un ataque. Por
ejemplo, los datos en manos incorrectas pueden provocar la pérdida de privacidad para los
propietarios, pueden afectar su crédito o comprometer sus relaciones profesionales o personales.
El robo de identidad es un gran negocio. Sin embargo, Google y Facebook no son necesariamente
los que presentan el riesgo más grande. Las escuelas, los hospitales, las instituciones financieras,
los organismos gubernamentales, el lugar de trabajo y el comercio electrónico plantean mayores
riesgos. Las organizaciones como Google y Facebook cuentan con los recursos para contratar
grandes talentos en ciberseguridad para proteger sus castillos. A medida que las organizaciones
desarrollan los castillos de datos, aumenta la necesidad de profesionales de la ciberseguridad. Esto
deja a las empresas y organizaciones más pequeñas en la competencia por el grupo restante de
profesionales de la ciberseguridad. Las amenazas cibernéticas son particularmente peligrosas para
algunos sectores y los registros que deben mantener.
Los siguientes ejemplos son solo algunas fuentes de datos que pueden provenir de organizaciones
establecidas.
-Historias clínicas
Ir al consultorio médico da como resultado la adición de más información a una historia clínica
electrónica (EHR). La prescripción de su médico de cabecera se vuelve parte de la EHR. Una EHR
incluye el estado físico y mental, y otra información personal que puede no estar relacionada
médicamente. Por ejemplo, una persona va a terapia cuando era niño debido a cambios
importantes en la familia. Esto aparecerá en alguna parte de su historia clínica. Además de la
historia clínica y la información personal, la EHR también puede incluir información sobre la familia
de esa persona. Varias leyes abordan la protección de los registros de pacientes.
Los dispositivos médicos, como las bandas de estado físico, utilizan la plataforma de la nube para
permitir la transferencia, el almacenamiento y la visualización inalámbricos de los datos clínicos,
como el ritmo cardíaco, la presión arterial y el azúcar en sangre. Estos dispositivos pueden generar
una enorme cantidad de datos clínicos que pueden volverse parte de sus historias clínicas.
-Registros educativos
La información de empleo puede incluir empleos y rendimientos pasados. Los registros de empleo
también pueden incluir información sobre sueldos y seguros. Los registros financieros pueden
incluir información sobre ingresos y gastos. Los registros de impuestos pueden incluir talones de
cheques de pago, resúmenes de la tarjeta de crédito, calificación de crédito e información
bancaria.
Los servicios del reino son los mismos servicios que necesita una red y, en última instancia,
Internet para operar. Estos servicios incluyen routing, asignación de direcciones, designación de
nombres y administración de bases de datos. Estos servicios también sirven como objetivos
principales para los delincuentes cibernéticos.
Los delincuentes utilizan herramientas de análisis de paquetes para capturar flujos de datos en una
red. Esto significa que todos los datos confidenciales, como nombres de usuario, contraseñas y
números de tarjetas de crédito, están en riesgo. Los analizadores de protocolos de paquetes
supervisan y registran toda la información que proviene de una red. Los delincuentes pueden
utilizar además dispositivos falsos, como puntos de acceso a Wi-Fi no seguros. Si el delincuente
configuran estos dispositivos cerca de un lugar público, como una cafetería, las personas
desprevenidas pueden conectarse y el analizador de protocolos copiará su información personal.
Los paquetes transportan datos a través de una red o de Internet. La falsificación del paquete (o la
inyección de paquetes) interfiere con una comunicación de red establecida mediante la creación
de paquetes para que parezca como si fueran parte de una comunicación. La falsificación de
paquetes permite a un delincuente alterar o interceptar los paquetes. Este proceso permite a los
delincuentes secuestrar una conexión autorizada o denegar la capacidad de una persona para usar
determinados servicios de red. Los profesionales cibernéticos denominan esta actividad un ataque
man-in-the-middle.
Los ejemplos dado solo son ejemplos generales de los tipos de amenazas que los delincuentes
pueden lanzar contra los servicios del reino.
Los sectores del reino incluyen los sistemas de infraestructura como la fabricación, la energía, la
comunicación y el transporte. Por ejemplo, la matriz inteligente es una mejora del sistema de
distribución y generación eléctrica. La matriz eléctrica lleva la energía de los generadores centrales
a un gran número de clientes. Una matriz inteligente utiliza la información para crear una red
avanzada y automatizada de distribución de energía. Los líderes globales reconocen que la
protección de la infraestructura es fundamental para proteger su economía.
Durante la última década, los ciberataques como Stuxnet demostraron que un ataque cibernético
puede destruir o interrumpir con éxito las infraestructuras críticas. Específicamente, el ataque de
Stuxnet apuntó al sistema de control de supervisión y adquisición de datos (SCADA) utilizados para
controlar y supervisar los procesos industriales. El SCADA puede ser parte de diversos procesos
industriales de los sistemas de fabricación, producción, energía y comunicación. Haga clic aquí para
ver más información sobre el ataque de Stuxnet.
Un ataque cibernético podría anular o interrumpir los sectores industriales como los sistemas de
telecomunicaciones, de transporte o de generación y distribución de energía eléctrica. También
puede interrumpir el sector de servicios financieros. Uno de los problemas con los entornos que
incorporan un SCADA es que los diseñadores no se conectaron el SCADA al entorno de TI
tradicional e Internet. Por lo tanto, no tuvieron en cuenta la ciberseguridad de manera adecuada
durante la fase de desarrollo de estos sistemas. Como otros sectores, las organizaciones que
utilizan los sistemas SCADA reconocen el valor de la recopilación de datos para mejorar las
operaciones y disminuir los costos. La tendencia resultante es conectar los sistemas SCADA a los
sistemas de TI tradicionales. Sin embargo, esto aumenta la vulnerabilidad de los sectores que
utilizan los sistemas SCADA.
El potencial avanzado de amenazas que existe en los reinos en la actualidad exige una generación
especial de especialistas en ciberseguridad.
La ciberseguridad es el esfuerzo constante por proteger los sistemas de red y los datos del acceso
no autorizado. A nivel personal, todas las personas necesitan proteger su identidad, sus datos y sus
dispositivos informáticos. A nivel corporativo, es responsabilidad de los empleados proteger la
reputación, los datos y los clientes de la organización. A nivel estatal, la seguridad nacional y la
seguridad y el bienestar de los ciudadanos están en juego. Los profesionales de ciberseguridad a
menudo están involucrados en el trabajo con los organismos gubernamentales en la identificación
y recopilación de datos.
Los esfuerzos por proteger la forma de vida de las personas a menudo entran en conflicto con su
derecho a la privacidad. Será interesante ver qué sucede con el equilibrio entre estos derechos y la
seguridad del reino.
Los ataques pueden originarse dentro de una organización o fuera de ella, como se muestra en la
figura. Un usuario interno, como un empleado o un partner contratado, puede de manera
accidental o intencional:
Facilitar los ataques externos al conectar medios USB infectados al sistema informático corporativo
Invitar accidentalmente al malware a la red con correos electrónicos o páginas web maliciosos
Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas
porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de
infraestructura. Los atacantes internos normalmente tienen conocimiento de la red corporativa,
sus recursos y sus datos confidenciales. También pueden tener conocimiento de las contramedidas
de seguridad, las políticas y los niveles más altos de privilegios administrativos.
Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las
vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como
trucos, para obtener acceso. Los ataques externos aprovechan las debilidades o vulnerabilidades
para obtener acceso a los recursos internos.
Datos tradicionales
Los datos corporativos incluyen información del personal, de financieros. La información del
personal incluye el material de las postulaciones, la nómina, la carta de oferta, los acuerdos del
empleado, y cualquier información utilizada para tomar decisiones de empleo. La propiedad
intelectual, como patentes, marcas registradas y planes de nuevos productos, permite a una
empresa obtener una ventaja económica sobre sus competidores. Considere esta propiedad
intelectual como un secreto comercial; perder esta información puede ser desastroso para el
futuro de la empresa. Los datos financieros, como las declaraciones de ingresos, los balances y las
declaraciones de flujo de caja brindan información sobre el estado de la empresa.
El Internet de las cosas (IdC ) es el conjunto de tecnologías que permiten la conexión de varios
dispositivos a Internet. La evolución tecnológica asociada con la llegada del IdC está cambiando los
entornos comerciales y de consumidores. Las tecnologías del IdC permiten que las personas
conecten miles de millones de dispositivos a Internet. Estos dispositivos incluyen trabas, motores y
dispositivos de entretenimiento, solo por mencionar algunos ejemplos. Esta tecnología afecta la
cantidad de datos que necesitan protección. Los usuarios acceden a estos dispositivos en forma
remota, lo cual aumenta la cantidad de redes que requieren protección.
Con el surgimiento del IdC, hay muchos más datos que deben administrarse y protegerse. Todas
estas conexiones, además de la capacidad y los servicios de almacenamiento expandidos que se
ofrecen a través de la nube y la virtualización, han generado el crecimiento exponencial de los
datos. Esta expansión de datos ha creado una nueva área de interés en la tecnología y los negocios
denominada “datos masivos”.
Los datos masivos son el resultado de los conjuntos de datos que son grandes y complejos, lo que
hace que las aplicaciones tradicionales de procesamiento de datos sean inadecuadas. Los datos
masivos presentan desafíos y oportunidades según tres dimensiones:
Existen muchos ejemplos de amenazas de gran envergadura en las noticias. Las empresas como
Target, Home Depot y PayPal son objetos de ataques muy promocionados. Como resultado, los
sistemas empresariales deben realizar cambios drásticos en los diseños de producto de seguridad y
las actualizaciones importantes a las tecnologías y las prácticas. Además, los gobiernos y las
industrias están introduciendo más regulaciones y obligaciones que requieren una mejor
protección de los datos y controles de seguridad para ayudar a proteger los datos masivos.
Las vulnerabilidades de software actualmente tienen como base los errores de programación, las
vulnerabilidades de protocolo o las configuraciones erróneas del sistema. El delincuente
cibernético tan solo tiene que aprovechar una de estas. Por ejemplo, un ataque común fue la
construcción de una entrada a un programa para sabotear el programa, haciendo que funcione
mal. Este mal funcionamiento proporcionó una entrada al programa o provocó que filtre
información.
Actualmente, se percibe una creciente sofisticación en los ciberataques. Una amenaza persistente
avanzada (APT) es una amenaza continua a las computadoras que se realizan en el radar contra un
objeto específico. Los delincuentes eligen generalmente una APT por motivos políticos o
empresariales. Una APT se produce durante un período prolongado con un alto nivel de
confidencialidad utilizando malware sofisticado.
Los ataques a los algoritmos pueden rastrear los datos de informe propio de un sistema, como la
cantidad de energía que utiliza una computadora, y usar esa información para seleccionar los
objetivos o para activar alertas falsas. Los ataques algorítmicos también pueden desactivar una
computadora forzándola a usar memoria o a trabajar demasiado su unidad de procesamiento
central. Los ataques a los algoritmos son más taimados porque atacan a los diseños utilizados para
mejorar el ahorro de energía, disminuir las fallas del sistema y mejorar las eficiencias.
La administración de identidades federada se refiere a varias empresas que permiten a los usuarios
utilizar las mismas credenciales de identificación que obtienen acceso a las redes de todas las
empresas del grupo. Esto amplía el alcance y aumenta las posibilidades de un efecto en cascada si
se produce un ataque.
Implicaciones de seguridad
Los centros de llamadas de emergencia en EE. UU. son vulnerables a los ciberataques que podrían
apagar las redes de 911 y comprometer así la seguridad pública. Un ataque de denegación de
servicios telefónicos (TDoS) utiliza las llamadas telefónicas a una red telefónica objetivo, lo que
condiciona el sistema y evita que las llamadas legítimas pasen. Los centros de llamadas 911 de
próxima generación son vulnerables porque utilizan los sistemas de voz sobre IP (VoIP) en lugar de
líneas fijas tradicionales. Además de los ataques de TDoS, estos centros de llamadas también
pueden estar a merced de ataques de denegación de servicio distribuido (DDoS) que utilizan
muchos sistemas para saturar los recursos del objetivo, lo que hace que este no esté disponible
para los usuarios legítimos. En la actualidad, existen muchas maneras de solicitar la ayuda del 911,
desde el uso de una aplicación en un smartphone hasta un sistema de seguridad en el hogar.
Las defensas contra los ciberataques al inicio de la era cibernética eran bajas. Un estudiante
inteligente de escuela secundaria o script kiddie podría tener acceso a los sistemas. Los países de
todo el mundo son más conscientes de las amenazas de los ciberataques. La amenaza que
presentaron los ciberataques ahora encabezan la lista de las mayores amenazas a la seguridad
nacional y económica en la mayoría de los países.
En EE. UU., el Instituto Nacional de Normas y Tecnologías (NIST) creó un marco de trabajo para las
empresas y las organizaciones que necesitan profesionales en el área de la ciberseguridad. El
marco de trabajo les permite a las empresas identificar los tipos principales de responsabilidades,
los cargos y destrezas de la fuerza laboral necesarias. El marco de trabajo nacional de la fuerza
laboral de ciberseguridad clasifica y describe el trabajo de ciberseguridad. Proporciona un lenguaje
común que define el trabajo de ciberseguridad junto con un conjunto común de tareas y
habilidades requeridas para convertirse en un especialista en ciberseguridad. El marco de trabajo
ayuda a definir los requisitos profesionales en ciberseguridad.
-Investigar incluye la investigación de los eventos cibernéticos o los delitos informáticos que
involucran a los recursos de TI.
Dentro de cada categoría, existen varias áreas de especialidad. Las áreas de especialidad luego
definen los tipos comunes de trabajo de ciberseguridad.
La figura muestra cada una de las categorías y una breve descripción de cada uno.
Organizaciones profesionales
Los especialistas en ciberseguridad deben colaborar a menudo con colegas profesionales. Las
organizaciones internacionales de tecnología a menudo patrocinan talleres y conferencias. Estas
organizaciones generalmente mantienen inspirados y motivados a los profesionales de la
ciberseguridad.
Haga clic en los logos de la figura para aprender más sobre algunas organizaciones de seguridad
importantes.
Los especialistas en ciberseguridad deben tener las mismas destrezas que los hackers,
especialmente que los hackers de sombrero negro, para ofrecer protección contra los ataques.
¿Cómo puede una persona crear y practicar las aptitudes necesarias convertirse en un especialista
en ciberseguridad? Las competencias de habilidades del estudiante son una excelente manera de
desarrollar habilidades y capacidades de conocimiento en ciberseguridad. Existen muchas
competencias nacionales de habilidades en ciberseguridad disponibles para los estudiantes de
ciberseguridad.
Haga clic en los logos de la figura para obtener más información sobre las competencias, las
organizaciones y los clubes de ciberseguridad de los estudiantes.
Security+ es un programa de pruebas patrocinado por CompTIA que certifica la competencia de los
administradores de TI en la seguridad de la información. La prueba de Security+ abarca los
principios más importantes para proteger una red y administrar el riesgo, incluidas las inquietudes
relacionadas con la computación en la nube.
Hacker ético certificado por el Consejo Internacional de Consulta de Comercio Electrónico (CEH)
Esta certificación de nivel intermedio afirma que los especialistas en ciberseguridad que cuentan
con esta credencial poseen las habilidades y el conocimiento para varias prácticas de hacking. Estos
especialistas en ciberseguridad utilizan las mismas habilidades y técnicas que utilizan los
delincuentes cibernéticos para identificar las vulnerabilidades y puntos de acceso del sistema en
los sistemas.
La certificación GSEC es una buena opción como credencial de nivel básico para especialistas en
ciberseguridad que pueden demostrar que comprenden la terminología y los conceptos de
seguridad, y tienen las habilidades y la experiencia necesarias para puestos “prácticos” en
seguridad. El programa SANS GIAC ofrece varias certificaciones adicionales en los campos de
administración de la seguridad, informática forense y auditoría.
La certificación de CISSP es una certificación neutral para proveedores para los especialistas en
ciberseguridad con mucha experiencia técnica y administrativa. También está aprobada
formalmente por el Departamento de Defensa (DoD) de EE. UU. y es una certificación con
reconocimiento global del sector en el campo de la seguridad.
Otras credenciales importantes para los especialistas en ciberseguridad son las certificaciones
patrocinadas por la empresa. Estas certificaciones miden el conocimiento y la competencia en la
instalación, la configuración y el mantenimiento de los productos de los proveedores. Cisco y
Microsoft son ejemplos de empresas con certificaciones que prueban el conocimiento de sus
productos. Haga clic aquí para explorar la matriz de las certificaciones de Cisco que se muestran en
la figura.
Asociado en redes con certificación de Cisco (Seguridad de CCNA)
Haga clic aquí para obtener más información sobre la certificación de Seguridad de CCNA.
Los héroes cibernéticos también analizan las políticas, las tendencias y la inteligencia para
comprender cómo piensan los delincuentes cibernéticos. Muchas veces, esto pueden incluir una
gran cantidad de trabajo de detección.
Estudie: conozca los aspectos básicos al completar los cursos en TI. Sea un estudiante durante toda
su vida. La ciberseguridad es un campo en constante cambio y los especialistas en ciberseguridad
deben mantenerse actualizados.
Busque pasantías: la búsqueda de una pasantía en seguridad como estudiante puede traducirse en
oportunidades en el futuro.
Resumen
En este capítulo se explicó la estructura del mundo en ciberseguridad y el motivo por el que sigue
creciendo con los datos y la información como la divisa más preciada.
Aquí también se analizó el rol de los delincuentes cibernéticos al examinar aquello que los motiva.
Se presentó la propagación del lado oscuro debido a las transformaciones técnicas en constante
expansión que transcurren en todo el mundo.
Si desea continuar explorando los conceptos de este capítulo, consulte la página Recursos y
actividades adicionales en Recursos para el estudiante.
----------------------------------------------------------
-La primera dimensión del cubo de destrezas de ciberseguridad incluye los tres principios de
seguridad informática. Los profesionales en ciberseguridad hacen referencia a las tres principios
como la Tríada de CID.
-La tercera dimensión del cubo identifica los poderes de los hechiceros que proporcionan
protección. Estos poderes son las tres categorías de mecanismos de las medidas de ciberseguridad.
La primera dimensión del cubo de destrezas de ciberseguridad identifica los objetivos para
proteger al mundo cibernético. Los objetivos identificados en la primera dimensión son los
principios básicos del mundo de la ciberseguridad. Estos tres principios son la confidencialidad,
integridad y disponibilidad. Los principios proporcionan el enfoque y permiten al hechicero
cibernético priorizar las acciones en la protección del mundo cibernético.
El mundo cibernético es un mundo de datos; por lo tanto, los hechiceros cibernéticos se centran en
la protección de los datos. La segunda dimensión del cubo de destrezas de ciberseguridad se
concentra en los problemas de proteger todos los estados de los datos en el mundo cibernético.
Los datos tienen tres estados posibles:
Datos en tránsito
Datos almacenados
Datos en proceso
La protección del mundo cibernético requiere que los profesionales en ciberseguridad expliquen la
protección de los datos en los tres estados.
Medidas de ciberseguridad
La tercera dimensión del cubo de destrezas de ciberseguridad define los tipos de poderes a los que
un hechicero en ciberseguridad recurre para proteger al mundo cibernético. Los profesionales en
ciberseguridad deben utilizar todos los poderes disponibles a su disposición para proteger los
datos del mundo cibernético.
El cubo de destrezas de ciberseguridad identifica los tres tipos de poderes e intrumentos utilizados
para proporcionar protección. El primer tipo de poder incluye tecnologías, dispositivos y productos
disponibles para proteger los sistemas de información y mantener alejados a los delincuentes
cibernéticos. Los profesionales en ciberseguridad tienen una reputación por dominar las
herramientas tecnológicas a su disposición. Sin embargo, McCumber recuerda que las
herramientas tecnológicas no son suficientes para derrotar a los delincuentes informáticos. Los
profesionales en ciberseguridad también deben crear una defensa sólida al establecer las políticas,
los procedimientos y las pautas que permiten a los ciudadanos del mundo cibernético mantenerse
seguros y seguir las prácticas adecuadas. Por último, al igual que el mundo de los hechiceros, los
ciudadanos del mundo cibernético deben esforzarse por obtener más conocimientos sobre su
mundo y los peligros que amenazan su mundo. Deben buscar continuamente un mayor
conocimiento y establecer una cultura de aprendizaje y conciencia.
El principio de confidencialidad
Las organizaciones necesitan capacitar a los empleados sobre las mejores prácticas en la
protección de la información confidencial para protegerse a sí mismos y a la organización de los
ataques. Los métodos utilizados para garantizar la confidencialidad incluyen el cifrado de datos, la
autenticación y el control de acceso.
Las organizaciones recopilan grandes cantidades de datos. La mayor parte de estos datos no es
confidencial porque está públicamente disponible, como nombres y números de teléfono. Otros
datos recopilados, sin embargo, son confidenciales. La información confidencial hace referencia a
los datos protegidos contra el acceso no autorizado para proteger a una persona u organización.
Existen tres tipos de información confidencial:
-La información personal en la información de identificación personal (PII) que lleva hacia una
persona. En la Figura 2 se enumera esta categoría de datos.
-La información comercial es la información que incluye todo lo que representa un riesgo para la
organización si el público o la competencia la descubre. En la Figura 3 se enumera esta categoría de
datos.
-La información clasificada es información que pertenece a una entidad gubernamental clasificada
por su nivel de confidencialidad. En la Figura 4 se enumera esta categoría de datos.
Control de acceso
El control de acceso define varios esquemas de protección que evita el acceso no autorizado a una
computadora, red, base de datos o a otros recursos de datos. El concepto de AAA involucra tres
servicios de seguridad: Autenticación, Autorización y Auditoría. Estos servicios proporcionan el
marco de trabajo principal para controlar el acceso.
Por ejemplo, si va a un ATM a buscar efectivo, necesita su tarjeta de banco (algo que tiene) y
necesita conocer el PIN. Este también es un ejemplo de autenticación de varios factores. La
autenticación de varios factores requiere más de un tipo de autenticación. La forma de
autenticación más popular es el uso de contraseñas.
Autorización Los servicios autorización determinan a qué recursos pueden acceder los usuarios,
junto con las operaciones que los usuarios pueden realizar, como se muestra en la Figura 2.
Algunos sistemas logran esto con una lista de control de acceso o ACL. Una ACL determina si un
usuario tiene ciertos privilegios de acceso una vez que el usuario autentica. Solo porque no puede
iniciar sesión en la red de la empresa no significa que tenga permitido utilizar la impresora a color
de alta velocidad. La autorización también puede controlar cuándo un usuario tiene acceso a un
recurso específico. Por ejemplo, los empleados pueden tener acceso a una base de datos de ventas
durante el horario de trabajo, pero el sistema los bloquea después del horario.
Contabilidad Rastrea las actividades de los usuarios, incluidos los sitios a los que tienen acceso, la
cantidad de tiempo que tienen acceso a los recursos y los cambios realizados. Por ejemplo, un
banco hace un seguimiento de cada cuenta del cliente. Una auditoría de ese sistema puede revelar
el tiempo y la cantidad de todas las transacciones y el empleado o el sistema que ejecutaron las
transacciones. Los servicios de auditoría de ciberseguridad trabajan de la misma manera. El
sistema realiza un seguimiento de cada transacción de datos y proporciona resultados de auditoría.
Un administrador puede configurar las políticas de la computadora, como se muestra en la Figura
3, para habilitar la auditoría del sistema.
El concepto de AAA es similar al uso de una tarjeta de crédito, como se indica en la Figura 4. La
tarjeta de crédito identifica quién la usa y cuánto puede gastar el usuario de ésta y explica cuántos
elementos o servicios adquirió el usuario.
La auditoría de la ciberseguridad rastrea y monitorea en tiempo real. Sitios web, como Norse,
muestran los ataques en tiempo real según los datos recopilados como parte de una auditoría o
sistema de seguimiento. Haga clic aquí para visitar el sitio web de seguimiento en tiempo real de
Norse.
Leyes y responsabilidades
La privacidad es el uso adecuado de los datos. Cuando las organizaciones recopilan información
proporcionada por los clientes o empleados, solo pueden utilizar esos datos para su objetivo
previsto. La mayoría de las organizaciones requieren que un cliente o empleado firme un
formulario de autorización que otorga permiso a la organización para usar los datos.
Todas las leyes enumeradas en la figura incluyen una disposición para abordar la privacidad que
comienza con las leyes de EE. UU. en la Figura 1. La Figura 2 enumera una muestra de los esfuerzos
internacionales. La mayoría de estas leyes son una respuesta al crecimiento masivo de la
recopilación de datos.
El creciente número de estatutos relacionados con la privacidad crea una enorme carga en las
organizaciones que recopilan y analizan datos. Las políticas son la mejor forma de que una
organización cumpla con el número cada vez mayor de leyes relacionadas con la privacidad. Las
políticas permiten a las organizaciones aplicar reglas, procedimientos y procesos específicos al
recopilar, almacenar y compartir datos.
La integridad es la precisión, uniformidad y confiabilidad de los datos durante su ciclo de vida. Otro
término para la integridad es el de calidad. Los datos experimentan varias operaciones como
captura, almacenamiento, recuperación, actualización y transferencia. Las entidades no
autorizadas deben mantener inalteradas los datos durante todas estas operaciones.
Los métodos utilizados para garantizar la integridad de los datos incluyen la función de hash, las
comprobaciones de validación de datos, las comprobaciones de consistencia de los datos y los
controles de acceso. Los sistemas de integridad de datos pueden incluir uno o más de los métodos
mencionados anteriormente.
Nivel crítico
Nivel alto
Comercio electrónico y análisis:
Nivel intermedio
Nivel bajo
Verificaciones de la integridad
Las funciones de hash comunes incluyen MD5, SHA-1, SHA-256 y SHA-512. Estas funciones de hash
usan algoritmos matemáticos complejos. El valor de hash está sencillamente allí para la
comparación. Por ejemplo, después de descargar un archivo, el usuario puede verificar la
integridad del archivo al comparar los valores de hash de la fuente con el que genera cualquier
calculadora de hash. Las organizaciones utilizan el control de versiones para evitar cambios
accidentales realizados por usuarios autorizados. Dos usuarios no pueden actualizar el mismo
objeto. Los objetos pueden ser archivos, registros de la base de datos o transacciones. Por
ejemplo, el primer usuario en abrir un documento tiene permiso para cambiar ese documento; la
segunda persona tiene una versión de solo lectura. Las copias de respaldo precisas permiten
mantener la integridad de datos si los datos se dañan. Una empresa necesita verificar el proceso
de copia de respaldo para garantizar la integridad de la copia de seguridad antes de que se
produzca la pérdida de datos. La autorización determina quién tiene acceso a los recursos de una
organización según la necesidad de información. Por ejemplo, los permisos de archivos y los
controles de acceso del usuario garantizan que solo ciertos usuarios pueden modificar los datos.
Un administrador puede configurar permisos de solo lectura para un archivo. Como resultado, un
usuario con acceso a ese archivo no puede realizar ningún cambio.
El principio de disponibilidad
Las personas utilizan distintos sistemas de información en sus vidas cotidianas. Las
computadoras y los sistemas de información controlan las comunicaciones, el transporte
y la fabricación de productos. La disponibilidad continua de los sistemas de información
es fundamental para la vida moderna. El término "alta disponibilidad", describe los
sistemas diseñados para evitar el tiempo de inactividad. La alta disponibilidad asegura
un nivel de rendimiento por un período más alto de lo normal. Los sistemas de alta
disponibilidad suelen incluir tres principios de diseño (Figura 1):
Asegurar la disponibilidad
Los datos almacenados hacen referencia a los datos guardados. Los datos almacenados
significan que un tipo de dispositivo de almacenamiento conserva los datos cuando
ningún usuario o proceso los utiliza. Un dispositivo de almacenamiento puede ser local
(en un dispositivo informático) o centralizado (en la red). Existen varias opciones para
almacenar datos.
Las organizaciones tienen una tarea difícil al intentar protegen los datos almacenados.
Para mejorar el almacenamiento de datos, las empresas pueden automatizar y
centralizar las copias de respaldo de datos.
El almacenamiento de conexión directa puede ser uno de los tipos más difíciles de
almacenamiento de datos en administrar y controlar. El almacenamiento de conexión
directa es vulnerable a los ataques maliciosos en el host local. Los datos almacenados
también pueden incluir los datos de copia de respaldo. Las copias de respaldo pueden
ser manuales o automáticas. Las organizaciones deben limitar los tipos de datos
almacenados en el almacenamiento de conexión directa. En particular, una organización
no almacenaría los datos críticos en dispositivos de almacenamiento de conexión
directa.
Los sistemas de almacenamiento en red ofrecen una alternativa más segura. Los
sistemas de almacenamiento en red incluidos RAID, SAN y NAS proporcionan mayor
rendimiento y redundancia. Sin embargo, los sistemas de almacenamiento en red son
más complicados para configurar y administrar. También manejan más datos, lo que
presenta un mayor riesgo para la organización si falla el dispositivo. Los desafíos
particulares de los sistemas de almacenamiento en red incluyen la configuración, la
prueba y la supervisión del sistema.
Red de transferencia: utiliza medios extraíbles para mover físicamente los datos
de una computadora a otra
Las redes cableadas incluyen redes de cableado de cobre y fibra óptica. Las redes
cableadas pueden servir a un área geográfica local (red de área local) o pueden abarcar
grandes distancias (redes de área amplia).
Las redes inalámbricas están reemplazando a las redes cableadas. Las redes
inalámbricas son cada vez más rápidas y son capaces de manejar más ancho de banda.
Las redes inalámbricas extienden la cantidad de usuarios invitados con los dispositivos
móviles en la oficina pequeña y oficina doméstica (SOHO) y las redes empresariales.
La protección de los datos transmitidos es uno de los trabajos más desafiantes para un
profesional de ciberseguridad. Con el crecimiento de los dispositivos móviles e
inalámbricos, los profesionales de ciberseguridad son responsables de proteger
cantidades masivas de datos que cruzan la red a diario. Los profesionales de
ciberseguridad deben afrontar varios desafíos al proteger estos datos:
Contramedidas:
VPN
SSL
IPsec
Cifrado/Descifrado
Hash
Redundancia
Reserva activa
El tercer estado de los datos es el de datos en proceso. Esto se refiere a los datos
durante la entrada, la modificación, el cómputo o el resultado.
La protección de la integridad de los datos comienza con la entrada inicial de datos. Las
organizaciones utilizan varios métodos para recopilar datos, como ingreso manual de
datos, formularios de análisis, cargas de archivos y datos recopilados de los sensores.
Cada uno de estos métodos representa amenazas potenciales a la integridad de los
datos. Un ejemplo de daños a los datos durante el proceso de captación, incluye errores
en la entrada de datos o sensores del sistema desconectados, con funcionamiento
incorrecto o inoperables. Otros ejemplos pueden incluir formatos de datos identificación
errónea, incorrectos o no coincidentes.
La modificación de los datos se refiere a cualquier cambio en los datos originales, como
la modificación manual que realizan los usuarios de los datos, el procesamiento de
programas y el cambio de datos, y las fallas en el equipo, lo que provoca la modificación
de los datos. Los procesos como la codificación y decodificación, compresión y
descompresión y cifrado y descifrado son ejemplos de la modificación de los datos. El
código malicioso también provoca daños en los datos.
El daño a los datos también ocurre durante el proceso de salida de datos. La salida de
datos se refiere a los datos que salen de impresoras, pantallas electrónicas o
directamente a otros dispositivos. La precisión de los datos de salida es fundamental ya
que el resultado proporciona información y afecta la toma de decisiones. Los ejemplos
de daños a los datos incluyen el uso incorrecto de delimitadores de datos,
configuraciones incorrectas de comunicación e impresoras configuradas
incorrectamente.
La protección de los datos durante el proceso requiere sistemas bien diseñados. Los
profesionales de ciberseguridad diseñan políticas y procedimientos que requieren
pruebas, mantenimientos y actualización de sistemas para mantenerlos en
funcionamiento con la menor cantidad de errores.
Control de acceso
Validación de datos
Duplicación de datos
Las medidas de protección de software incluyen programas y servicios que protegen los
sistemas operativos, las bases de datos y otros servicios que operan en las estaciones
de trabajo, los dispositivos portátiles y los servidores. Los administradores instalan las
contramedidas o las protecciones basadas en software en los hosts o los servidores
individuales. Existen varias tecnologías basadas en software utilizadas para proteger los
activos de la organización:
Los firewalls del software controlan el acceso remoto a un sistema. Los sistemas
operativos generalmente incluyen un firewall o un usuario puede adquirir o
descargar un software de terceros.
Existen varias tecnologías basadas en hardware utilizadas para proteger los activos de
la organización:
Existen varias tecnologías basadas en red que se utilizan para proteger los activos de la
organización:
La red privada virtual (VPN) es una red virtual segura que utiliza la red pública (es
decir, Internet). La seguridad de una VPN reside en el cifrado del contenido de
paquetes entre los terminales que definen la VPN.
Software como servicio (SaaS) permite que los usuarios tengan acceso al
software y las bases de datos de la aplicación. Los proveedores de la nube
administran la infraestructura. Los usuarios almacenan datos en los servidores del
proveedor de la nube.
Infraestructura como servicio (IaaS) proporciona recursos informáticos
virtualizados a través de Internet. El proveedor es el host del hardware, del
software, de los servidores y de los componentes de almacenamiento.
Los proveedores de servicios en la nube han ampliado estas opciones para incluir la TI
como servicio (ITaaS), que brinda soporte de TI a los modelos de servicio de IaaS, PaaS y
SaaS. En el modelo de ITaaS, una organización tiene un contrato con el proveedor de la
nube para servicios individuales o agrupados.
El reconocimiento de la seguridad debe ser un proceso continuo dado que las nuevas
amenazas y técnicas están siempre en el horizonte.
Los miembros de una organización deben tener en cuenta las políticas de seguridad y
tener el conocimiento para hacer de la seguridad una parte de sus actividades diarias.
El nivel de amenaza
Políticas
Las políticas de seguridad informan a los usuarios, al personal y a los gerentes los
requisitos de una organización para proteger la tecnología y los activos de información.
Una política de seguridad también especifica los mecanismos necesarios para cumplir
con los requisitos de seguridad.
Políticas de uso aceptable: identifican los recursos y el uso de red que son
aceptables para la organización. También puede identificar las consecuencias de las
violaciones de la política.
Uno de los componentes más comunes de la política de seguridad es una política de uso
aceptable (AUP). Este componente define qué pueden y no pueden realizar los usuarios
en los distintos componentes del sistema. El AUP debe ser lo más explícito posible para
evitar la malainterpretación. Por ejemplo, un AUP enumera las páginas web, los grupos
informativos o las aplicaciones de uso intensivo de ancho de banda específicos a las que
los usuarios no pueden acceder utilizando las computadoras o la red de la empresa.
Estándares
Pautas
Las pautas constan de una lista de sugerencias sobre cómo hacer las cosas de manera
más eficaz y segura. Son similares a los estándares, pero son más flexibles y
generalmente no son obligatorias. Las pautas definen cómo se desarrollan los
estándares y garantizan el cumplimiento de las políticas de seguridad general.
Algunas de las pautas más útiles conforman las mejores prácticas de una organización.
Además de las mejores prácticas que define una organización, las pautas también están
disponibles a partir de lo siguiente:
Procedimientos
Los documentos de procedimiento son más detallados que los estándares y las pautas.
Los documentos de procedimiento incluyen detalles de implementación que contienen
generalmente instrucciones paso a paso y gráficos.
La figura muestra un ejemplo del procedimiento que se utilizó para cambiar una
contraseña. Las grandes organizaciones deben usar documentos de procedimientos para
mantener la uniformidad de la implementación que se necesita para un entorno seguro.
Dominios de la ciberseguridad
La estructura del modelo de ciberseguridad de ISO es diferente del modelo de OSI ya que
utiliza dominios en lugar de capas para describir las categorías de seguridad. El motivo
es que el modelo de ciberseguridad de ISO no es una relación jerárquica. Es un modelo
de pares en el que cada dominio tiene una relación directa con los otros dominios. El
modelo de ciberseguridad de ISO 27000 es muy similar al modelo de OSI en que es
fundamental que los hechiceros en ciberseguridad comprendan ambos modelos para
tener éxito.
Haga clic en cada dominio de la figura para ver una descripción breve.
Los doce dominios sirven como base común para desarrollar estándares de seguridad
organizativa y prácticas eficaces de administración de seguridad. También facilitan la
comunicación entre organizaciones.
-Control de acceso: Describe la restricción de los derechos de acceso a las redes, los
sistemas, las aplicaciones, las funciones y los datos.
Objetivos de control
Los doce dominios constan de objetivos de control definidos en la parte 27001 del
estándar. Los objetivos de control definen los requisitos de alto nivel para implementar
un ISM completo. El equipo de administración de una organización utiliza los objetivos de
control de ISO 27001 para definir y publicar las políticas de seguridad de la organización.
Los objetivos de control proporcionan una lista de comprobación para utilizar durante las
auditorías de administración de seguridad. Muchas organizaciones deben aprobar una
auditoría de ISMS para obtener una designación de cumplimiento del estándar ISO
27001.
Controles
Utilice contraseñas seguras. Una contraseña segura consta de al menos ocho caracteres
que son una combinación de letras, números y símbolos (@, #, $, %, etc.) si están
permitidos. Las contraseñas distinguen entre mayúsculas y minúsculas, de modo que
una contraseña segura contiene letras en mayúsculas y minúsculas.
Los controles deben mantener la neutralidad del proveedor para evitar la imagen
de que respalda a un producto o a una empresa específica.
Los controles son como las pautas. Esto significa que puede haber más de una
manera de cumplir con el objetivo.
La norma ISO 27000 es un marco de trabajo universal para cada tipo de organización.
Para utilizar el marco de trabajo de manera eficaz, una organización debe restringir los
dominios, los objetivos de control y los controles que aplican a su entorno y sus
operaciones.
Los objetivos de control de ISO 27001 funcionan como una lista de verificación. El primer
paso que una organización toma es para determinar si estos objetivos de control se
aplican a la organización. La mayoría de las organizaciones generan un documento
llamado Declaración de aplicabilidad (SOA). La SOA define los objetivos de control que la
organización necesita usar.
En este ejemplo, los representantes de cada uno de los tres grupos ayudan a identificar
los controles que son aplicables y la prioridad de cada control en su área. El
representante del grupo de seguridad de la red identifica los controles que garantizan la
confidencialidad, integridad y disponibilidad de todos los datos transmitidos.
Los objetivos de control de ISO 27001 se relacionan directamente con las políticas, los
procedimientos y las pautas de ciberseguridad de la organización que la administración
superior determina. Los controles de ISO 27002 proporcionan dirección técnica. Por
ejemplo, la administración superior establece una política que especifica la protección
de todos los datos que ingresan o salen de la organización. La implementación de la
tecnología para cumplir con los objetivos de la política no involucraría a la
administración superior. Es responsabilidad de los profesionales de TI implementar y
configurar correctamente el equipo utilizado para satisfacer las directivas de la política
establecidas por la administración superior.
Los diferentes grupos de una organización pueden ser responsables de los datos de cada
uno de los distintos estados. Por ejemplo, el grupo de seguridad de la red es responsable
de los datos durante la transmisión. Los programadores y las personas encargadas del
ingreso de los datos son responsables de los datos durante el procesamiento. Los
especialistas en soporte de hardware y servidor son responsables de los datos
almacenados. Los controles de ISO abordan específicamente los objetivos de seguridad
de los datos de cada uno de los tres estados. En este ejemplo, los representantes de
cada uno de los tres grupos ayudan a identificar los controles que son aplicables y la
prioridad de cada control en su área. El representante del grupo de seguridad de la red
identifica los controles que garantizan la confidencialidad, integridad y disponibilidad de
todos los datos transmitidos.
Los objetivos de control de ISO 27001 se relacionan directamente con las políticas, los
procedimientos y las pautas de ciberseguridad de la organización que la administración
superior determina. Los controles de ISO 27002 proporcionan dirección técnica. Por
ejemplo, la administración superior establece una política que especifica la protección
de todos los datos que ingresan o salen de la organización. La implementación de la
tecnología para cumplir con los objetivos de la política no involucraría a la
administración superior. Es responsabilidad de los profesionales de TI implementar y
configurar correctamente el equipo utilizado para satisfacer las directivas de la política
establecidas por la administración superior.
En este capítulo se analizaron las tres dimensiones del cubo de destrezas de seguridad.
La responsabilidad central de un hechicero de ciberseguridad es proteger los sistemas y
los datos de una organización. En el capítulo se explicó cómo cada una de las tres
dimensiones contribuye a ese esfuerzo.
¿Qué es el malware?
El software malicioso, o malware, es un término que se utiliza para describir el software
diseñado para interrumpir las operaciones de la computadora u obtener acceso a los
sistemas informáticos, sin el conocimiento o el permiso del usuario. El malware se ha
convertido en un término general que se utiliza para describir todo el software hostil o
intruso. El término malware incluye virus, gusanos, troyanos, ransomware, spyware,
adware, scareware y otros programas maliciosos. El malware puede ser obvio y simple
de identificar o puede ser muy sigiloso y casi imposible de detectar.
Gusanos: Los gusanos son códigos maliciosos que se replican al explotar de manera
independiente las vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan
las redes. Mientras que un virus requiere la ejecución de un programa del host, los
gusanos pueden ejecutarse por sí mismos. A excepción de la infección inicial, los
gusanos ya no requieren la participación del usuario. Después de que un gusano afecta a
un host, se puede propagar muy rápido en la red. Los gusanos comparten patrones
similares. Todos tienen una vulnerabilidad de activación, una manera de propagarse y
contienen una carga útil.
Los gusanos son responsables de algunos de los ataques más devastadores en Internet.
Por ejemplo, en 2001, el gusano Code Red infectó a 658 servidores. En 19 horas, el
gusano infectó a más de 300 000 servidores.
Una bomba lógica es un programa malicioso que utiliza un activador para reactivar el
código malicioso. Por ejemplo, los activadores pueden ser fechas,horas, otros programas
en ejecución o la eliminación de una cuenta de usuario. La bomba lógica permanece
inactiva hasta que se produce el evento activador. Una vez activada, una bomba lógica
implementa un código malicioso que provoca daños en una computadora. Una bomba
lógica puede sabotear los registros de bases de datos, borrar los archivos y atacar los
sistemas operativos o aplicaciones. Los paladines cibernéticos descubrieron
recientemente las bombas lógicas que atacan y destruyen a los componentes de
hardware de una estación de trabajo o un servidor, como ventiladores de refrigeración,
CPU, memorias, unidades de disco duro y fuentes de alimentación. La bomba lógica
abruma estos dispositivos hasta que se sobrecalientan o fallan.
Ransomware
El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta
que el objetivo haga un pago. El ransomware trabaja generalmente encriptando los datos
de la computadora con una clave desconocida para el usuario. El usuario debe pagar un
rescate a los delincuentes para eliminar la restricción.
Un rootkit modifica el sistema operativo para crear una puerta trasera. Los atacantes
luego utilizan la puerta trasera para acceder a la computadora de forma remota. La
mayoría de los rootkits aprovecha las vulnerabilidades de software para realizar el
escalamiento de privilegios y modificar los archivos del sistema. El escalamiento de
privilegios aprovecha los errores de programación o las fallas de diseño para otorgar al
delincuente el acceso elevado a los recursos y datos de la red. También es común que
los rootkits modifiquen la informática forense del sistema y las herramientas de
supervisión, por lo que es muy difícil detectarlos. A menudo, el usuario debe limpiar y
reinstalar el sistema operativo de una computadora infectada por un rootkit.
Algunos pasos simples pueden ayudar a brindar protección contra todas las formas de
malware.
El texto del correo electrónico tiene palabras mal escritas o puntuación extraña.
Los enlaces del correo electrónico son largos o crípticos.
Haga clic aquí para obtener más información sobre el correo no deseado.
Si un usuario recibe un correo electrónico que contiene uno o más de estos indicadores,
este no debe abrir el correo electrónico ni los archivos adjuntos. Es muy común que la
política de correo electrónico de una organización requiera que un usuario que recibe
este tipo de correo electrónico lo informe al personal de seguridad cibernética. Casi
todos los proveedores de correo electrónico filtran el correo electrónico no deseado.
Desafortunadamente, el correo electrónico no deseado aún consume ancho de banda y el
servidor del destinatario debe procesar el mensaje de igual manera.
Falsificación de identidad
Haga clic aquí para leer un artículo de RSA sobre la suplantación de identidad y las
actividades de «smishing», «vishing» y «whaling».
Complementos
Hasta hace poco, los complementos tenían un registro notable de seguridad. Si bien el
contenido basado en flash creció y se hizo más popular, los delincuentes examinaron los
complementos y el software de Flash, determinaron las vulnerabilidades y atacaron a
Flash Player. El ataque exitoso puede provocar el colapso de un sistema o permitir que un
delincuente tome el control del sistema afectado. Espere el aumento de las pérdidas de
datos a medida que los delincuentes sigan investigando las vulnerabilidades de los
complementos y protocolos más populares.
Envenenamiento SEO
Secuestrador de navegadores
Es difícil detener el correo electrónico no deseado, pero existen maneras de reducir sus
efectos. Por ejemplo, la mayoría de los ISP filtran el correo no deseado antes de que
llegue a la bandeja de entrada del usuario. Muchos antivirus y programas de software de
correo electrónico realizan automáticamente el filtrado de correo electrónico. Esto
significa que detectan y eliminan el correo no deseado de la bandeja de entrada del
correo electrónico.
Las organizaciones también advierten a los empleados sobre los peligros de abrir
archivos adjuntos de correo electrónico que pueden contener un virus o un gusano. No
suponga que los archivos adjuntos de correo electrónico son seguros, aun cuando
provengan de un contacto de confianza. Un virus puede intentar propagarse al usar la
computadora del emisor. Siempre examine los archivos adjuntos de correo electrónico
antes de abrirlos.
Si mantiene todo el software actualizado, esto garantiza que el sistema tenga todos los
últimos parches de seguridad aplicados para remover las vulnerabilidades conocidas.
Haga clic aquí para obtener más información sobre cómo evitar ataques al navegador
Ingeniería social
-Algo por algo (quid pro quo): esto es cuando un atacante solicita información personal
de una parte a cambio de algo, por ejemplo, un obsequio.
Autoridad: es más probable que las personas cumplan cuando reciben las
instrucciones de “una autoridad”
Intimidación: los delincuentes hostigan a una víctima para que tome medidas
Escasez: las personas tomarán medidas cuando consideren que existe una
cantidad limitada
Urgencia: las personas tomarán medidas cuando consideren que existe un tiempo
limitado
Confianza: los delincuentes crean una relación de confianza con una víctima la
cual puede tomar más tiempo en establecerse.
Un delincuente observa, o espía por encima del hombre, para recoger los PIN, los
códigos de acceso o los números de tarjetas de crédito. Un atacante puede estar muy
cerca de su víctima o puede utilizar los prismáticos o las cámaras de circuito cerrado
para espiar. Ese es un motivo por el que una persona solo puede leer una pantalla de ATM
en determinados ángulos. Estos tipos de medidas de seguridad hacen la técnica de
espiar por encima del hombro sea mucho más difícil.
«La basura de un hombre es el tesoro de otro hombre». Esta frase puede ser
especialmente cierta en la actividad de «búsqueda en la basura» que es el proceso por
el cual se busca en la basura de un objetivo para ver qué información desecha una
organización. Tenga en cuenta proteger el receptáculo de basura. Cualquier información
confidencial debe desecharse correctamente mediante el destrozo o el uso de bolsas
para incineración, un contenedor que conserva los documentos confidenciales para la
destrucción posterior mediante incineración.
«Piggybacking» y «Tailgating»
Apuntan a una víctima que es descuidada con respecto a las reglas de las
instalaciones
Una trampa evita la práctica de «piggybacking» al usar dos conjuntos de puertas. Una
vez que las personas ingresan a una puerta externa, esa puerta debe cerrarse antes de
ingresar a la puerta interna.
Haga clic aquí para obtener más información sobre el conocimiento de ciberseguridad
Denegación de servicio
Los ataques de denegación de servicio (DoS) son un tipo de ataque a la red. Un ataque
de DoS da como resultado cierto tipo de interrupción de los servicios de red a los
usuarios, los dispositivos o las aplicaciones. Existen dos tipos principales de ataques de
DoS:
Los ataques de DoS son un riesgo importante porque pueden interrumpir fácilmente la
comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques son
relativamente simples de llevar a cabo, incluso por un atacante inexperto.
Un atacante crea una red de hosts infectados, denominada botnet, compuesta por
zombis. Los zombis son hosts infectados. El atacante utiliza sistemas del controlador
para controlar a los zombis. Las computadoras zombis constantemente analizan e
infectan más hosts, lo que genera más zombis. Cuando está listo, el pirata informático
proporciona instrucciones a los sistemas manipuladores para que los botnet de zombis
lleven a cabo un ataque de DDoS.
Haga clic en Reproducir en la Figura 2 para ver las animaciones de un ataque de DDoS.
Un ataque de denegación de servicio distribuido (DDoS) utiliza muchos zombis para
sobrecargar un objetivo.
Análisis
La práctica de análisis también tiene sus beneficios. Los administradores de red pueden
utilizar analizadores de protocolos para analizar el tráfico de red, identificar problemas
de ancho de banda y para solucionar otros problemas de red.
Ataque man-in-the-middle
Haga clic en los pasos de la figura para aprender los conceptos básicos de un ataque
MitM.
Un ataque de día cero, a veces denominado una amenaza de día cero, es un ataque de la
computadora que intenta explotar las vulnerabilidades del software que son
desconocidas o no reveladas por el proveedor de software. El término hora cero describe
el momento en que alguien descubre el ataque. Durante el tiempo que le toma al
proveedor de software desarrollar y lanzar un parche, la red es vulnerable a estos
ataques, como se muestra en la figura. La defensa contra estos rápidos ataques requiere
que los profesionales de seguridad de red adopten una visión más sofisticada de la
arquitectura de red. Ya no es posible contener las intrusiones en algunos puntos de la
red.
El registro del teclado es un programa de software que registra las teclas de los usuarios
del sistema. Los delincuentes pueden implementar registros de teclas mediante software
instalado en un sistema informático o a través de hardware conectado físicamente a una
computadora. El delincuente configura el software de registro de claves para enviar por
correo electrónico el archivo de registro. Las teclas capturadas en el archivo de registro
pueden revelar nombres de usuario, contraseñas, sitios web visitados y otra información
confidencial.
Los registros de teclado pueden ser software comerciales y legítimos. A menudo, los
padres adquieren software de registro de clave para realizar el seguimiento de sitios web
y del comportamiento de los niños que utilizan Internet. Muchas aplicaciones
antispyware pueden detectar y eliminar registros de clave no autorizados. Si bien el
software de registro de claves es legal, los delincuentes usan el software para fines
ilegales.
Una organización puede realizar varios pasos para defenderse de diversos ataques.
Configure firewalls para descartar cualquier paquete fuera de la red que tenga
direcciones que indican que se originaron dentro de la red. Esta situación no ocurre
normalmente, e indica que un delincuente cibernéticos intentó realizar un ataque de
suplantación de identidad.
Para evitar ataques de DoS y DDoS, asegúrese de que los parches y las actualizaciones
sean actuales, distribuya la carga de trabajo en todos los sistemas de servidores y
bloquee los paquetes de Prootocolo de mensajería de control de Internet (ICMP) en la
frontera. Los dispositivos de red utilizan paquetes ICMP para enviar mensajes de error.
Por ejemplo, el comando ping utiliza paquetes ICMP para verificar que un dispositivo
pueda comunicarse con otra en la red.
Los sistemas pueden evitar ser víctimas de un ataque de repetición al cifrar el tráfico,
proporcionar autenticación criptográfica e incluir una marca de tiempo con cada parte
del mensaje. Haga clic aquí para obtener más información sobre las maneras de evitar
ataques cibernéticos.
Grayware y SMiShing
Un ataque con AP de red intrusa utiliza el punto de acceso de delictiva gracias a una
mayor potencia y antenas más altas de ganancias de ser una mejor opción de conexión
para los usuarios. Una vez que los usuarios se conectan al punto de acceso no
autorizado, los delincuentes pueden analizar el tráfico y ejecutar ataques de MitM.
Interferencia de RF
«Bluejacking» y «Bluesnarfing»
Las vulnerabilidades del Bluetooth han surgido, pero por el rango limitado de Bluetooth,
la víctima y al atacante deba estar dentro del rango de la otra persona.
El protocolo WEP utiliza una clave para la encriptación. No existen disposiciones para la
administración de claves con WEP, por lo que la cantidad de personas que comparten la
clave crecerá continuamente. Dado que todas las personas utilizan la misma clave, el
delincuente tiene acceso a una gran cantidad de tráfico para los ataques analíticos.
El WEP también tiene varios problemas con el vector de inicialización (IV) que es uno de
los componentes del sistema criptográfico:
Es estático, por lo que los flujos de claves idénticas se repetirán en una red
ocupada.
El protocolo de acceso protegido Wi-Fi (WPA) y luego el WPA2 salieron como protocolos
mejorados para reemplazar al protocolo WEP. El protocolo WPA2 no tienen los mismos
problemas de encriptación porque un atacante no puede recuperar la clave al observar el
tráfico. El protocolo WPA2 es susceptible a ataques porque los delincuentes cibernéticos
pueden analizar los paquetes que se envían entre el punto de acceso y un usuario
legítimo. Los delincuentes cibernéticos utilizan un analizador de protocolos de paquetes
y luego ejecutan los ataques sin conexión en la contraseña.
Defensa contra los ataques a dispositivos móviles e
inalámbricos
Existen varios pasos a seguir para defenderse de los ataques a los dispositivos móviles e
inalámbricos. La mayoría de los productos de WLAN utilizan configuraciones
predeterminadas. Aproveche las características básicas de seguridad inalámbrica como
la autenticación y la encriptación al cambiar los ajustes de configuración
predeterminada.
Restrinja la ubicación del punto de acceso con la red al colocar estos dispositivos fuera
del firewall o dentro de una zona perimetral (DMZ) que contenga otros dispositivos no
confiables, como correo electrónico y servidores web.
El scripts entre sitios (XSS) es una vulnerabilidad que se encuentra en las aplicaciones
Web. El XSS permite a los delincuentes inyectar scripts en las páginas web que ven los
usuarios. Este script puede contener un código malicioso.
Los scripts entre sitios tienen tres participantes: el delincuente, la víctima y el sitio web.
El delincuente cibernético no apunta a una víctima directamente. El delincuente
aprovecha la vulnerabilidad en un sitio web o una aplicación web. Los delincuentes
introducen scripts de cliente en sitios web que ven los usuarios, las víctimas. El script
malicioso se transfiere sin saberlo al navegador del usuario. Un script malicioso de este
tipo puede acceder a cookies, tokens de sesiones u otra información confidencial. Si los
delincuentes obtienen la cookie de sesión de la víctima, pueden suplantar la identidad de
ese usuario.
Inyección de códigos
Una manera de almacenar datos en un sitio web es utilizar una base de datos. Existen
diferentes tipos de bases de datos, como una base de datos de Lenguaje de consulta
estructurado (SQL) o una base de datos de Lenguaje de marcado extensible (XML). Los
ataques de inyección XML y SQL aprovechan las debilidades del programa, como no
validar las consultas de la base de datos correctamente.
Inyección XML
Cuando se utiliza una base de datos de XML, una inyección XML es un ataque que puede
dañar los datos. Una vez que el usuario proporciona la entrada, el sistema obtiene
acceso a los datos necesarios mediante una consulta. El problema se produce cuando el
sistema no inspecciona correctamente la solicitud de entrada proporcionada por el
usuario. Los delincuentes pueden manipular la consulta al programarla para que se
adapte a sus necesidades y puedan tener acceso a la información de la base de datos.
Todos los datos confidenciales almacenados en la base de datos son accesibles para los
delincuentes y pueden hacer cualquier cantidad de cambios en el sitio web. Un ataque
de inyección XML amenaza a la seguridad del sitio web.
Inyección SQL
Un desbordamiento de búfer se produce cuando los datos van más allá de los límites de
un búfer. Los búferes son áreas de memoria asignadas a una aplicación. Al cambiar los
datos más allá de los límites de un búfer, la aplicación accede a la memoria asignada a
otros procesos. Esto puede llevar a un bloqueo del sistema, comprometer los datos u
ocasionar el escalamiento de los privilegios.
El CERT/CC de la Universidad de Carnegie Mellon estima que casi la mitad de todos los
ataques de programas informáticos surgen históricamente de alguna forma de
desbordamiento del búfer. La clasificación genérica de desbordamientos del búfer
incluye muchas variantes, como rebasamientos de búfer estático, errores de indexación,
errores de cadena de formato, incompatibilidades de tamaño del búfer ANSI y Unicode, y
rebasamiento en pila.
Las vulnerabilidades que permiten que los delincuentes cibernéticos ejecuten códigos
maliciosos y tomen el control de un sistema con los privilegios del usuario que ejecuta la
aplicación. La ejecución remota de códigos permite que un delictiva ejecutar cualquier
comando en una máquina de destino.
Java opera a través de un intérprete, la Máquina virtual Java (JVM). La JVM habilita la
funcionalidad del programa de Java. La JVM aísla el código no confiable del resto del
sistema operativo. Existen vulnerabilidades que permiten que el código no confiable
sortee las restricciones impuestas por el sandbox. También existen vulnerabilidades en
la biblioteca de clase Java, que una aplicación utiliza para su seguridad. Java es la
segunda vulnerabilidad de seguridad más grande junto al complemento Flash de Adobe.
Resumen
Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines
de ciberseguridad. En este capítulo se analizaron diversos ataques de ciberseguridad
que los delincuentes cibernéticos lanzan. En el capítulo se explicó la amenaza de
malware y de código malicioso. En el capítulo se analizaron los tipos de trucos
involucrados en la ingeniería social. Las maniobras explicaron los tipos de ataques que
experimentan las redes inalámbricas y cableadas. Finalmente, en el capítulo se
analizaron las vulnerabilidades que presentan los ataques a las aplicaciones.
El control de acceso es, como su nombre lo indica, una forma de controlar el acceso a un
edificio, una sala, un sistema, una base de datos, un archivo e información. Las
organizaciones emplean una variedad de técnicas de control de acceso para proteger la
confidencialidad. Este capítulo analizará los cuatro pasos del proceso de control de
acceso: 1) identificación, 2) autenticación, 3) autorización y 4) responsabilidad. Además,
en el capítulo también se describen los diversos modelos de control de acceso y los
tipos de control de acceso.
El capítulo concluye con el análisis de las diversas maneras en que los usuarios
enmascaran los datos. La ofuscación de datos y la esteganografía son dos técnicas
utilizadas para lograr el enmascaramiento de datos.
¿Qué es la criptografía?
Al activar la encriptación, los datos legibles son textos simples o textos sin cifrar,
mientras que la versión cifrada es texto encriptado o texto cifrado. La encriptación
convierte el mensaje legible de texto simple en texto cifrado, que es el mensaje ilegible,
oculto. El descifrado invierte el proceso. La encriptación también requiere una clave, que
desempeña un rol importante en la encriptación y desencriptación de un mensaje. Las
personas que poseen la clave pueden descifrar el texto cifrado a texto simple.
Durante siglos, varios métodos de cifrado, dispositivos físicos y otros recursos de ayuda
cifraban y descifraban el texto:
Scytale (Figura 1)
Todos los métodos de cifrado utilizan una clave para cifrar o descifrar un mensaje. La
clave es un componente importante en el algoritmo de encriptación. Un algoritmo de
encriptación es tan bueno como la clave utilizada. Cuanto más complejidad presente,
más seguro será el algoritmo. La administración de claves es una parte importante del
proceso.
Cada método de encriptación utiliza un algoritmo específico, llamado código, para cifrar
y descifrar los mensajes. Un código consta de una serie de pasos bien definidos
utilizados para encriptar y descifrar los mensajes. Existen varios métodos para crear un
texto cifrado:
Libreta de un solo uso: texto no cifrado combinado con una clave secreta que
crea un nuevo caracter, que luego se combina con el texto simple para producir el
texto cifrado (Figura 3)
Existen dos enfoques para garantizar la seguridad de los datos al utilizar la encriptación.
La primera es proteger el algoritmo. Si la seguridad de un sistema de encriptación
depende del secreto del algoritmo, el aspecto más importante es proteger al algoritmo a
toda costa. Cada vez que alguien descubre los detalles del algoritmo, cada parte
involucrada debe cambiar el algoritmo. Este enfoque no suena muy seguro o razonable.
El segundo enfoque es proteger las claves. Con la criptografía moderna, suelen usarse
algoritmos públicos. Las claves criptográficas garantizan la privacidad de los datos. Las
claves criptográficas son contraseñas que forman parte de la información en un
algoritmo de encriptación en conjunto con datos que requieren encriptación.
Algoritmos asimétricos: los algoritmos de encriptación asimétrica usan una clave para
cifrar los datos y una clave diferente para descifrarlos. Una clave es pública y la otra es
privada. En un sistema de cifrado de clave pública, cualquier persona puede cifrar un
mensaje con la clave pública del receptor, y el receptor es el único que puede descifrarlo
mediante su clave privada. Las partes intercambian mensajes seguros sin necesidad de
utilizar una clave precompartida, como se muestra en la Figura 2. Los algoritmos
asimétricos son más complejos. Estos algoritmos requieren muchos recursos y son más
lentos para ejecutar.
Por ejemplo, Alice y Bob viven en diferentes ubicaciones y desean intercambiar mensajes
secretos entre sí a través del sistema de correo. Alice desea enviar un mensaje secreto a
Bob.
El cifrado de clave privada utiliza un algoritmo simétrico. Como se ilustra por las claves
en la figura, Alice y Bob tienen claves idénticas para un único candado. El intercambio de
claves sucedió antes de enviar un mensaje privado. Alice escribe un mensaje privado y lo
coloca en una caja pequeña que cierra con el candado. Le envía la caja a Bob. El
mensaje está seguro dentro de la caja mientras esta se abre camino a través del sistema
de oficina postal. Cuando Bob recibe la caja, usa la clave para abrir el candado y
recuperar el mensaje. Bob puede utilizar la misma caja y el mismo candado para enviar
una respuesta secreta a Alice.
Si Bob desea hablar con Carol, necesita una nueva clave precompartida para que esa
comunicación sea secreta para Alice. Con cuantas más personas Bob desee
comunicarse de manera segura, más claves deberá manejar.
Tipos de criptografía
Los tipos más comunes de criptografía son cifrados por bloques y cifrados de flujo. Cada
método se diferencia en la forma de agrupar bits de datos para cifrarlo.
Los cifrados por bloques transforman un bloque de texto simple, de longitud fija en un
bloque común de texto cifrado de 64 o 128 bits. El tamaño del bloque es la cantidad de
datos cifrados en cualquier momento. Para descifrar este texto cifrado, aplique la
transformación inversa al bloque de texto cifrado, utilizando la misma clave secreta.
Los cifrados por bloques producen generalmente los datos de salida que son mayores
que los datos de entrada, porque el texto cifrado debe ser un múltiplo del tamaño del
bloque. Por ejemplo, el Estándar de cifrado de datos (DES) es un algoritmo simétrico que
cifra los bloques en fragmentos de 64 bits mediante una clave de 56 bits. Para lograr
esto, el algoritmo de bloque toma un fragmento de datos por vez, por ejemplo, 8 bytes por
fragmento, hasta que todo el bloque está completo. Si hay menos datos de entrada que
uno bloque completo, el algoritmo agrega datos artificiales o espacios en blanco, hasta
que utiliza los 64 bits completos, como se muestra en la Figura 1 para los 64 bits de la
izquierda.
Cifrado de flujo
A diferencia de los cifrados por bloque, los cifrados de flujo cifran el texto simple un byte
o un bit por vez, como se muestra en la Figura 2. Piense en los cifrados de flujo como el
cifrado de bloques con el tamaño de bloque de un bit. Con un cifrado de flujo, la
transformación de estas unidades más pequeñas de texto simple varía, según cuándo se
las encuentra durante el proceso de encriptación. Los cifrados de flujo pueden ser
mucho más rápidos que los cifrados en bloque, y no aumentan generalmente el tamaño
del mensaje, ya que pueden cifrar un número arbitrario de bits.
El DES triple cifra los datos tres veces y utiliza una clave diferente para al menos una de
las tres veces, proporcionando un tamaño de clave acumulativo de 112 a 168 bits. El
3DES es resistente a ataques, pero es más lento que DES.
AES: el Estándar de encriptación avanzada (AES) tiene un tamaño de bloque fijo de 128
bits con un tamaño de clave de 128, 192 o 256 bits. El Instituto Nacional de Normas y
Tecnología (NIST) aprobó el algoritmo AES en diciembre de 2001. El gobierno de los
EE. UU. utiliza el AES para proteger la información clasificada.
El AES es un algoritmo sólido que utiliza claves de mayor longitud. El AES es más rápido
que DES y 3DES, lo que brinda una solución para las aplicaciones de software así como
también el uso de hardware en los firewalls y los routers.
Otros cifrados por bloque incluyen Skipjack (desarrollados por la NSA), Blowfish y
Twofish.
Por ejemplo, en la Figura 1, Alice solicita y obtiene la clave pública de Bob. En la Figura
2, Alice utiliza la clave pública de Bob para cifrar un mensaje con un algoritmo acordado.
Alice envía el mensaje cifrado a Bob y este luego usa su clave privada para descifrar el
mensaje, como se muestra en la Figura 3.
Los algoritmos asimétricos utilizan fórmulas que cualquier persona puede buscar. El par
de claves no relacionadas es lo que hace que estos algoritmos sean seguros. Los
algoritmos asimétricos incluyen los siguientes:
Criptografía de curva elíptica (ECC): usa curvas elípticas como parte del algoritmo. En
EE. UU., la Agencia de Seguridad Nacional utiliza la ECC para la generación de firma
digital y el intercambio de claves.
Administración de claves
Aplicaciones
La industria de pago electrónico utiliza 3DES. Los sistemas operativos utilizan DES para
proteger los archivos de usuarios y los datos del sistema con contraseñas. La mayoría de
los sistemas de archivos de cifrado, como NTFS, utilizan AES.
Shell seguro (SSH), un protocolo que proporciona una conexión de acceso remoto
segura a un dispositivo de red.
Una VPN es una red privada que utiliza una red pública, generalmente Internet, para
crear un canal de comunicación seguro. Una VPN conecta dos terminales como dos
oficinas remotas mediante Internet para crear la conexión.
Las VPN utilizan IPsec. IPsec es un conjunto de protocolos desarrollado para lograr
servicios seguros en las redes. Los servicios de IPSec permiten la autenticación, la
integridad, el control de acceso y la confidencialidad. Con IPsec, los sitios remotos
pueden intercambiar información cifrada y verificada.
Los datos en uso son una preocupación cada vez mayor para muchas organizaciones.
Cuando se encuentran en uso, los datos ya no tienen cualquier protección porque el
usuario necesita abrir y cambiar los datos. La memoria del sistema contiene los datos en
uso y puede contener los datos confidenciales como la clave de cifrado. Si los
delincuentes comprometen los datos en uso, tendrán acceso a los datos almacenados y
a los datos en movimiento.
Son obstáculos reales implementados para evitar el contacto directo con los sistemas. El
objetivo es evitar que los usuarios no autorizados tengan acceso físico a las
instalaciones, el equipo y otros activos de la organización.
El control de acceso físico determina quién puede ingresar (o salir) y dónde y cuándo
puede hacerlo.
Los controles de acceso lógico son soluciones de hardware y software que se utilizan
para administrar el acceso a recursos y sistemas. Estas soluciones basadas en
tecnología incluyen las herramientas y los protocolos que los sistemas informáticos
utilizan para la identificación, autenticación, autorización y responsabilidad.
Las listas de control de acceso (ACL) definen el tipo de tráfico permitido en una
red
Los protocolos son un conjunto de reglas que rigen el intercambio de datos entre
dispositivos
Haga clic en cada tipo de control de acceso lógico de la figura para obtener más
información.
Los controles de acceso administrativo son las políticas y los procedimientos que
definen las organizaciones para implementar y hacer cumplir todos los aspectos del
control de acceso no autorizado. Los controles administrativos se enfocan en las
prácticas de personal y las prácticas empresariales. Los controles administrativos
incluyen los siguientes:
Las prácticas de contratación comprende los pasos que una organización sigue
para encontrar empleados calificados
El control de acceso obligatorio (MAC) restringe las acciones que un sujeto puede
realizar en un objeto. Un sujeto puede ser un usuario o un proceso. Un objeto puede ser
un archivo, un puerto o un dispositivo de entrada/salida. Una regla de autorización se
aplica si un sujeto puede acceder al objeto o no.
Las listas de control de acceso son otros mecanismos comunes utilizados para
implementar el control de acceso discrecional. Un lista de control de acceso utiliza
reglas para determinar qué tráfico puede ingresar o salir de una red
El control de acceso basado en roles (RBAC) depende del rol del sujeto. Los roles son las
funciones de trabajo en una organización. Los roles específicos requieren permisos para
realizar determinadas operaciones. Los usuarios adquieren permisos a través de su
función.
El RBAC puede trabajar junto con DAC o MAC al hacer cumplir las políticas de cualquiera
de ellos. El RBAC ayuda a implementar la administración de seguridad en grandes
organizaciones con cientos de usuarios y miles de permisos posibles. Las organizaciones
aceptan ampliamente el uso de RBAC para administrar permisos en un sistema o una
aplicación, como una mejor práctica.
El control de acceso basado en reglas utiliza listas de control de acceso (ACL) para
ayudar a determinar si otorga acceso o no. Una serie de reglas se incluye en la ACL,
como se muestra en la figura. Establecer si se debe otorgar acceso depende de estas
reglas. Un ejemplo de esa regla es una que indica que ningún empleado puede acceder al
archivo de nómina después de horario o los fines de semana.
Como ocurre con el MAC, los usuarios no pueden cambiar las reglas de acceso. Las
organizaciones pueden combinar el control de acceso basado en reglas con otras
estrategias para implementar las restricciones de acceso. Por ejemplo, los métodos de
MAC pueden utilizar un enfoque basado en reglas para la implementación.
Hora del día, clasificación del sujeto, propiedades del objeto, necesidades de
conocimiento, pertenencia a grupos, propiedades del objeto.
¿Qué es la identificación?
Controles de identificación
Contraseñas o PIN son ejemplos de algo que un usuario conoce. Las contraseñas son el
método más popular que se utiliza para la autenticación. Los términos, contraseña, clave
de acceso o PIN se conocen de manera genérica como contraseña. Una contraseña es
una cadena de caracteres que se utiliza para autenticar la identidad de un usuario. Si
esta cadena de caracteres se relaciona con un usuario (como un nombre, una fecha de
nacimiento o una dirección), será más fácil para los delincuentes cibernéticos adivinar la
contraseña del usuario.
Los usuarios necesitan utilizar contraseñas diferentes para los distintos sistemas porque
si un delincuente decodifica la contraseña de usuario una vez, podrá acceder a todas las
cuentas de un usuario. El administrador de contraseñas puede ayudar a un usuario a
crear y a recordar las contraseñas seguras. Haga clic aquí para ver un generador de
contraseñas seguras.
Seguridad de tarjeta inteligente (Figura 1): una tarjeta inteligente es una pequeña tarjeta
de plástico, aproximadamente del tamaño de una tarjeta de crédito, con un pequeño chip
incorporado en ella. El chip es un portador de datos inteligente, capaz de procesar,
almacenar, y de proteger los datos. Las tarjetas inteligentes almacenan información
privada, como números de cuenta bancaria, identificación personal, historias clínicas y
firmas digitales. Las tarjetas inteligentes proporcionan autenticación y cifrado para
mantener los datos a salvo.
Quién es
Una característica física única, como una huella digital, una retina o una voz que
identifica a un usuario específico se denomina biométrica. La seguridad biométrica
compara características físicas con perfiles almacenados para autenticar usuarios. Un
perfil es un archivo de datos que contiene características conocidas de una persona. El
sistema otorga acceso de usuario si sus características coinciden con las
configuraciones guardadas. Un lector de huellas digitales es un dispositivo biométrico
común.
Los datos biométricos son cada vez más popular en sistemas de seguridad pública,
productos electrónicos de consumo y aplicaciones de punto de venta. La implementación
de datos biométricos utiliza un dispositivo de escaneo o lectura, un software que
convierte la información escaneada en formato digital y una base de datos que almacena
datos biométricos para su comparación.
¿Qué es la autorización?
Uso de la autorización
¿Qué es la responsabilidad?
La responsabilidad rastrea una acción hasta una persona o un proceso y realiza el
cambio a un sistema, recopila esta información e informa los datos de uso. La
organización puede utilizar estos datos para fines como auditorías o facturación. Los
datos recopilados pueden incluir el tiempo de inicio de sesión de un usuario, si el inicio
de sesión fue un éxito o una falla o los recursos de red a los que el usuario tenía acceso.
Esto permite que una organización localice acciones y errores durante una auditoría o
una investigación.
Implementación de la responsabilidad
Controles preventivos
Prevenir significa evitar que algo suceda. Los controles de acceso preventivo evitan que
ocurran actividades no deseadas o no autorizadas. Para un usuario autorizado, un control
de acceso preventivo significa restricciones. La asignación de privilegios específicos a
un usuario en un sistema es un ejemplo de control preventivo. Aunque un usuario es un
usuario autorizado, el sistema establece límites para evitar que el usuario tenga acceso
y realice acciones no autorizadas. Un firewall que bloquea el acceso a un puerto o
servicio que los delincuentes cibernéticos puedan atacar también se considera un tipo
de control preventivo.
Controles disuasivos
Los obstáculos hacen que los delincuentes cibernéticos potenciales piensen dos veces
antes de cometer un delito. La figura enumera los obstáculos comunes de control de
acceso que se utilizan en el mundo de la ciberseguridad.
Controles de detección
Un control compensativo también puede ser una sustitución utilizada en lugar del control
que no es posible en determinadas circunstancias. Por ejemplo, una organización puede
no tener un perro guardián, entonces implementa un detector de movimiento con un
reflector y un sonido de ladridos.
Existen varias técnicas de enmascaramiento de datos que pueden garantizar que los
datos sigan siendo importantes pero se cambien lo suficiente para protegerlos:
La sustitución reemplaza los datos por valores que parecen auténticos para
aplicar el anonimato a los registros de datos.
¿Qué es la esteganografía?
La esteganografía oculta datos (el mensaje) en otro archivo, como un archivo de texto
gráfico, de audio u otro archivo de texto. La ventaja de la esteganografía con respecto a
la criptografía es que el mensaje secreto no atrae ninguna atención especial. Nadie
sabría nunca que una imagen contenía realmente un mensaje secreto al ver el archivo en
formato electrónico o impreso.
Técnicas de esteganografía
El enfoque utilizado para integrar los datos en una imagen cubierta utiliza los bits menos
significativos (LSB). Este método utiliza bits de cada píxel en la imagen. Un píxel es la
unidad básica de color programable en una imagen de computadora. El color específico
de un píxel es una combinación de tres colores: rojo, verde y azul (RGB). Tres bytes de
datos especifican el color de un píxel (un byte para cada color). Ocho bits conforman un
byte. El sistema de colores de 24 bits utiliza los tres bytes. LSB utiliza un bit de cada uno
de los componentes rojo, verde y azul. Cada píxel puede ahorrar 3 bits.
La figura muestra tres píxeles de una imagen de 24 bits. Una de las letras del mensaje
secreto es la letra T y la inserción del caracter T solo cambia dos bits del color. El ojo
humano no puede reconocer los cambios realizados a los bits menos significativos. El
resultado es un carácter oculto.
En promedio, menos de la mitad de los bits de una imagen deberá cambiar para ocultar
un mensaje secreto de manera eficaz.
Esteganografía social
Las personas en los países que censuran los medios también utilizan la esteganografía
social para mandar sus mensajes al deletrear las palabras de manera incorrecta a
propósito o hacer referencias imprecisas. En efecto, se comunican con diferentes
audiencias de manera simultánea.
Detección
Los patrones de la estegoimagen generan sospecha. Por ejemplo, un disco puede tener
áreas sin utilizar que ocultan información. Las utilidades de análisis de disco pueden
informar sobre la información oculta en clústeres sin utilizar de dispositivos de
almacenamiento. Los filtros pueden capturar los paquetes de datos que contienen
información oculta en los encabezados de paquete. Ambos métodos usan las firmas de
esteganografía.
Ofuscación
Aplicaciones
Resumen
En este capítulo, se analizaron los principios de criptología utilizados para
comunicaciones seguras. En el capítulo se explicaron los algoritmos de encriptación
simétrica y asimétrica, se compararon los dos algoritmos y se proporcionaron ejemplos
de su uso.
El capítulo concluyó con el análisis de las diversas maneras en que los usuarios
enmascaran los datos. La ofuscación de datos y la esteganografía son dos técnicas
utilizadas para lograr el enmascaramiento de datos.
¿Qué es el hash?
Los usuarios deben saber que sus datos permanecen sin cambios mientras se
encuentran almacenados o en tránsito. El hash es una herramienta que garantiza la
integridad de datos al tomar los datos binarios (el mensaje) y generar una representación
de longitud fija llamada valor hash o compendio del mensaje, como se muestra en la
figura.
La herramienta de hash utiliza una función criptográfica de hash para verificar y proteger
la integridad de los datos. También puede verificar la autenticación. Las funciones de
hash reemplazan la contraseña de texto no cifrado o las claves de encriptación porque
las funciones de hash son funciones unidireccionales. Esto significa, que si se realiza el
hash de una contraseña con un algoritmo de hash específico, siempre dará como
resultado la misma compendio de hash. Se le considera unidireccional porque con
funciones de hash, es informáticamente inviable que dos conjuntos diferentes de datos
tengan la misma compendio o el mismo resultado de hash.
Cada vez que se cambian o se modifican los datos, el valor hash también cambia. Debido
a esto, los valores hash criptográficos se conocen a menudos como huellas dactilares
digitales. Pueden detectar archivos de datos duplicados, cambios en las versiones de los
archivos y aplicaciones similares. Estos valores protegen de un cambio accidental o
intencional a los datos y el daño de datos accidental. El hash también es muy eficaz. Un
archivo grande o el contenido de toda una unidad de disco genera un valor hash con el
mismo tamaño.
Algoritmos de hash
Las funciones de hash son útiles para asegurar que un usuario o un error de
comunicación modifique los datos por accidente. Por ejemplo, es posible que un emisor
desee asegurarse de que nadie modifique un mensaje en camino al destinatario. El
dispositivo de envío introduce el mensaje en un algoritmo de hash y computa su
compendio o huella digital de longitud fija.
Haga clic aquí para calcular el hash de 8 bits para el mensaje BOB.
1. Convierta BOB al sistema binario con el código ASCII, como se muestra en la Figura 1.
VALOR HASH = 3A
VALOR HASH = FB
MD5 produce un valor hash de 128 bits. El malware Flame comprometió la seguridad de
MD5 en 2012. Los creadores del malware Flame utilizaron una colisión MD5 para forjar un
certificado de firma de códigos de Windows. Haga clic aquípara leer una explicación de
ataque de colisión del malware Flame.
Instituto Nacional de Normas y Tecnología (NIST) de los Estados Unidos desarrolló SHA,
el algoritmo especificado en el Estándar de hash seguro (SHS). NIST publicó SHA-1 en
1994. SHA-2 reemplazó a SHA-1 por cuatro funciones de hash adicionales para componer
la familia SHA:
SHA-2 es un algoritmo más sólido y reemplaza a MD5. SHA-256, SHA-384 y SHA-512 son
los algoritmos de próxima generación.
La integridad garantiza que los datos y la información estén completos y sin alteraciones
al momento de la adquisición. Esto es importante para saber cuando un usuario descarga
un archivo de Internet o un examinador forense busca la evidencia en los medios
digitales.
Para verificar la integridad de todas las imágenes de IOS, Cisco proporciona checksums
de MD5 y SHA en el sitio web de software de descarga de Cisco. El usuario puede realizar
una comparación de esta compendio de MD5 contra el compendio de MD5 de una imagen
de IOS instalada en un dispositivo, como se muestra en la figura. El usuario puede estar
tranquilo ahora de que nadie alteró ni modificó el archivo de imagen de IOS.
Nota: el comando verify /md5, que se muestra en la figura, excede el alcance de este
curso.
El campo de informática forense digital usa el hash para verificar todos los medios
digitales que contienen archivos. Por ejemplo, el examinador crea un hash y una copia de
bit por bit de los medios que contienen archivos para producir un clon digital. El
examinador compara el hash de los medios originales con la copia. Si los dos valores
coinciden, las copias son idénticas. El hecho de que un conjunto de bits sea idéntico al
conjunto original de bits establece fijación. La fijación ayuda a responder algunas
preguntas:
Hash de contraseñas
Los algoritmos de hash convierten cualquier cantidad de datos en una huella digital o
hash digital de longitud fija. Un delincuente no puede invertir un hash digital para
descubrir la entrada original. Si la entrada cambia por completo, puede dar lugar a un
hash diferente. Esto funciona para proteger las contraseñas. Un sistema debe almacenar
una contraseña de manera que pueda protegerla y aun así pueda verificar que la
contraseña de un usuario es correcta.
Aplicaciones
Para proporcionar una prueba de autenticidad cuando se utiliza con una clave de
autenticación secreta simétrica, como Seguridad IP (IPsec) o autenticación del
protocolo de routing.
Desciframiento de hashes
Para descifrar un hash, un atacante debe adivinar la contraseña. Los dos ataques
principales utilizados para adivinar las contraseñas son los ataques de diccionario y de
fuerza bruta.
Un ataque de fuerza bruta intenta cada combinación posible de caracteres hasta una
longitud determinada. Un ataque de fuerza bruta lleva mucho tiempo del procesador, pero
solo es cuestión de tiempo para que este método descubra la contraseña. Las
contraseñas deben ser lo suficientemente largas para compensar el tiempo que tarda en
realizarse un ataque de fuerza bruta demasiado prolongado para ser provechoso. Las
contraseñas de hash permiten que sea más difícil para el delincuente recuperar esas
contraseñas.
¿Qué es el «salting»?
La técnica de «salting» permite que el hash de la contraseña sea más seguro. Si dos
usuarios tienen la misma contraseña, también tendrán los mismos hashes de la
contraseña. Un salt, que es una cadena aleatoria de caracteres, es una entrada adicional
a la contraseña antes del hash. Esto crea un resultado distinto de hash para las dos
contraseñas como se muestra en la figura. Una base de datos almacena el hash y el salt.
Prevención de ataques
La técnica de «salting» evita que un atacante utilice un ataque de diccionario para
adivinar las contraseñas. El «salting» también hace imposible usar las tablas de
búsqueda y las tablas de arcoíris para descifrar un hash.
Tablas de búsqueda
Tablas de arcoíris
Las tablas de arcoíris sacrifican la velocidad de descifrado de hash para que las tablas
de búsqueda sean más pequeñas. Una tabla más pequeña significa que la tabla puede
almacenar las soluciones para más hashes en la misma cantidad de espacio.
La longitud del salt debe coincidir con la extensión del resultado de la función de
hash.
Los pasos que una aplicación de base de datos utiliza para almacenar y validar una
contraseña salt se muestran en la figura.
¿Qué es un HMAC?
Como se muestra en la Figura 1, el dispositivo emisor introduce los datos (como el pago
de Terry Smith de $100 y la clave secreta) en el algoritmo de hash y calcula el compendio
o huella digital de HMAC de longitud fija. El receptor obtiene huellas digitales
autenticadas anexadas al mensaje.
Las VPN que utilizan IPsec dependen de las funciones de HMAC para autenticar el origen
de cada paquete y proporcionar verificación de la integridad de los datos.
Los routers de Cisco IOS utilizan el hash con las claves secretas utilizando el
HMAC como la manera de agregar información de autenticación a las
actualizaciones de protocolo de routing.
Los gateways y los clientes de IPsec utilizan algoritmos de hash, como MD5 y
SHA-1 en el modo HMAC, para proporcionar integridad y autenticidad del paquete.
Nota: El término entidad puede referirse a los dispositivos o sistemas dentro de una
organización.
Las firmas manuscritas y los sellos estampados prueban la autoría de los contenidos del
documento. Las firmas digitales pueden proporcionar la misma funcionalidad que las
firmas manuscritas.
Los documentos digitales sin protección son muy fáciles de cambiar para cualquier
persona. Una firma digital se utiliza para determinar si alguien edita un documento
después de que el usuario lo firma. Una firma digital es un método matemático utilizado
para validar la autenticidad y la integridad de un mensaje, documento digital o software.
En muchos países, las firmas digitales tienen la misma importancia legal que un
documento manualmente firmado. Las firmas electrónicas son vinculantes para
contratos, negociaciones o cualquier otro documento que requiere una firma manuscrita.
Un registro de auditoría sigue el historial de documentos electrónicos para fines de
defensa normativos y legales.
Las firmas digitales son una alternativa a HMAC. La firma la firma la firma
No rechazo
Alicia desea enviar a Bob un correo electrónico que contiene información importante
para la distribución de un producto nuevo. Alicia desea asegurarse de que Bob sepa que
el mensaje provino de ella y que este no cambió después de que ella lo envió.
Alicia crea el mensaje junto con un compendio del mensaje. Luego cifra este compendio
con su clave privada como se muestra en la Figura 1. Alicia ata el mensaje, el compendio
del mensaje cifrado y su clave pública para crear el documento firmado. Alicia envía esto
a Bob como se muestra en la Figura 2.
Bob recibe el mensaje y lo lee. Para asegurarse de que el mensaje proviene de Alice, él
crea un compendio de mensaje del mensaje. Él toma el compendio del mensaje cifrado
recibido de Alicia y lo descifra con la clave pública de Alicia. Bob compara el compendio
del mensaje que recibió de Alicia con el compendio que él generó. Si coinciden, Bob sabe
que puede confiar en que nadie manipuló el mensaje, como se muestra en la Figura 3.
Haga clic aquí para ver un video que explica el proceso de creación de un certificado
digital.
Los tres algoritmos comunes de firma digital son el Algoritmo de firma digital (DSA),
Rivest-Shamir-Adleman (RSA y el Algoritmo de firma digital de curva elíptica (ECDSA).
Los tres generan y verifican firmas digitales. Estos algoritmos dependen de las técnicas
de cifrado asimétrico y de clave pública. Las firmas digitales requieren dos operaciones:
1. Generación de claves
2. Verificación de claves
El DSA utiliza la factorización de números grandes. Los gobiernos utilizan el DSA para las
firmas, a fin de crear firmas digitales. El DSA no se extiende más allá de la firma del
mensaje.
El DSA es más rápido que el RSA como un servicio de firma de un documento digital. El
RSA es el más adecuado para las aplicaciones que requieren la firma y la verificación de
documentos electrónicos y encriptación de mensaje.
Al igual que la mayoría de las áreas de la criptografía, el algoritmo RSA se basa en dos
principios matemáticos; factorización de módulos y de números primos. Haga
clic aquí para obtener más información sobre cómo RSA utiliza la factorización de
módulos y de números primos.
ECDSA es el algoritmo de firma digital más nuevo que está reemplazando gradualmente a
RSA. La ventaja de este nuevo algoritmo es que puede utilizar tamaños de clave mucho
más pequeños para la misma seguridad y requiere menos cómputo que RSA.
Los certificados digitales son similares a los certificados físicos. Por ejemplo, el
certificado Asociado en redes con certificación de Cisco (CCNA-S) en papel, en la Figura
1 identifica a las personas, la autoridad del certificado (quién autorizó el certificado) y
durante cuánto tiempo el certificado es válido. Observe de qué manera el certificado
digital en la Figura 2 también identifica los elementos similares.
Para poder comprender cómo usar un certificado digital, consulte la Figura 1. En este
escenario, Bob confirma un pedido con Alicia. El servidor web de Alicia utiliza un
certificado digital para garantizar una transacción segura.
Paso 1: Bob examina el sitio web de Alicia. Un navegador designa una conexión segura al
mostrar un icono de bloqueo en la barra de estado de seguridad.
Paso 4: Bob aún necesita autenticar y proporcionar una contraseña. Esto crea una sesión
segura en segundo plano entre la computadora de Bob y el servidor web de Alicia.
Paso 5: El navegador web de Bob crea una clave única de sesión por única vez.
Paso 6: El navegador de Bob utiliza la clave pública del servidor web en su certificado
para cifrar la sesión. El resultado es que solo el servidor web de Alicia pueda leer las
transacciones enviadas desde el navegador de Bob.
Haga clic en los signos más (+) en la figura 2 para mostrar cómo Alicia utilizará el
certificado digital.
Por ejemplo, en la figura, Alice solicita una licencia de conducir. En este proceso,
presenta evidencia de su identidad, como partida de nacimiento, identificación con
fotografía, etc. a una oficina gubernamental de otorgamiento de licencias. La oficina
valida la identidad de Alice y permite que Alice complete el examen de conducir. Al
completarlo exitosamente, la oficina de otorgamiento de licencias emite una licencia de
conducir a Alice. Posteriormente, Alice debe cobrar un cheque en el banco. Al presentar
el cheque al cajero del banco, el cajero del banco le solicita la Id. El banco, debido a que
confía en la oficina gubernamental de otorgamiento de licencias, verifica su identidad y
cobra el cheque.
Una autoridad de certificación (CA) funciona de la misma manera que una oficina de
otorgamiento de licencias. La CA emite certificados digitales que autentican la identidad
de las organizaciones y de los usuarios. Estos certificados también firman mensajes para
asegurarse de que nadie los manipuló.
Siempre y cuando un certificado digital siga una estructura estándar, cualquier entidad
podrá leer y comprenderlo, independientemente del emisor. El X.509 es un estándar de la
infraestructura de clave pública (PKI) para administrar los certificados digitales. La PKI
consta de las políticas, las funciones y los procedimientos necesarios para crear,
administrar, distribuir, utilizar, almacenar y revocar los certificados digitales. El estándar
X.509 especifica que los certificados digitales contienen la información estándar que se
muestra en la figura.
El proceso de validación
La figura muestra una cadena de certificados para una CA de dos niveles. Existe una CA
de raíz sin conexión y una CA subordinada en línea. El motivo de la estructura de dos
niveles es que la firma X.509 permite una recuperación más sencilla en caso de riesgo.
Si existe una CA sin conexión, puede firmar el nuevo certificado de CA en línea. Si no hay
ninguna CA sin conexión, el usuario debe instalar un nuevo certificado de CA de raíz en
cada máquina, teléfono o tablet cliente.
Integridad de datos
Las bases de datos proporcionan una forma eficiente de almacenar, recuperar y analizar
datos. A medida que la recopilación de datos aumenta y los datos se vuelven más
sensibles, es importante que los profesionales de la ciberseguridad protejan el creciente
número de bases de datos. Piense en una base de datos como un sistema de llenado
electrónico. La integridad de datos se refiere a la precisión, la uniformidad y la
confiabilidad de los datos almacenados en una base de datos. La responsabilidad de la
integridad de los datos depende de los diseñadores de bases de datos, desarrolladores y
la administración de la organización.
Las cuatro reglas o restricciones de integridad de los datos son las siguientes:
Integridad de dominio: Todos los datos almacenados en una columna deben seguir
el mismo formato y tener la misma definición (Figura 2).
Cuente con una opción desplegable para las tablas principales en lugar de solicitar a las
personas que introduzcan los datos. Un ejemplo de despliegue de controles de datos
principales implica el uso de la lista de ubicaciones del sistema de dirección postal de
EE. UU. para estandarizar las direcciones.
Máscaras de entrada que evitan que los usuarios ingresen datos no válidos o
ayuden a garantizar que introducen datos constantemente (como un número de
teléfono, por ejemplo)
Los rangos de datos garantizan que un usuario ingrese datos dentro de un rango
determinado (como una fecha de nacimiento introducida como 01-18-1820, por
ejemplo)
Aprobación obligatoria de segundas personas (un cajero del banco recibe una
solicitud de depósito o de retiro superior al valor especificado lo cual requiere una
segunda o tercera aprobación)
Reglas de validación
Una regla de validación verifica que los datos se incluyan en los parámetros definidos
por el diseñador de la base de datos. Una regla de validación ayuda a garantizar la
integridad, la precisión y la coherencia de los datos. Los criterios utilizados en una regla
de validación incluyen los siguientes:
Rango: Controla que los datos se encuentran dentro de un valor mínimo y un valor
máximo
Haga clic en cada paso de la figura para ver el resultado del cálculo del dígito de control.
La validación del tipo de datos es la validación de datos más simple y verifica que un
usuario que ingresa datos concuerde con el tipo de caracteres esperados. Por ejemplo,
un número de teléfono no debería contener caracteres alfabéticos. Las bases de datos
permiten tres tipos de datos: Números enteros, cadenas y decimales.
Validación de entrada
Por ejemplo, los usuarios completan un formulario a través de una aplicación web para
suscribirse a un boletín. Una aplicación de base de datos genera y envía
automáticamente confirmaciones por correo electrónico. Cuando los usuarios reciben
las confirmaciones por correo electrónico con un enlace URL para confirmar su
suscripción, los atacantes modifican el enlace URL. Estas modificaciones incluyen el
cambio de nombre de usuario, dirección de correo electrónico o estado de suscripción.
El correo electrónico regresa al servidor que aloja la aplicación. Si el servidor web no
verificó que la dirección de correo electrónico u otra información enviada de la cuenta
coincide con la información de suscripción, el servidor recibió información falsa. Los
hackers pueden automatizar el ataque para colmar la aplicación web con miles de
suscriptores no válidos en la base de datos del boletín.
Verificación de anomalías
Integridad de la entidad
Integridad referencial
La integridad del dominio garantiza que todos los elementos de datos de una columna se
incluyan en un conjunto definido de valores válidos. Cada columna de una tabla tiene un
conjunto definido de valores, como el conjunto de todos los números para los números de
tarjetas de crédito, los números de seguridad social o las direcciones de correo
electrónico. La limitación del valor asignado a una instancia de esa columna (un atributo)
aplica la integridad de dominio. La aplicación de la integridad del dominio puede ser tan
simple como elegir el tipo de datos, la longitud y el formato correcto para una columna.
Resumen
En este capítulo se analizó el arte de la integridad que se utiliza para garantizar que
nada ni nadie modifique los datos durante su ciclo de vida completo. Este capítulo
comenzó analizando los tipos de controles de integridad de datos. Los algoritmos de
hash, el salt de contraseña y el código de autenticación de mensajes de hash con clave
(HMAC) son conceptos importantes que los héroes cibernéticos deben utilizar en la
implementación de firmas y certificados digitales. Estas herramientas proporcionan una
manera para que los especialistas en ciberseguridad verifiquen la autenticidad de los
mensajes y documentos. El capítulo finalizado con un análisis de las aplicaciones de
integridad de la base de datos. Tener un sistema de integridad de datos bien controlado y
bien definido permite aumentar la estabilidad, el rendimiento y la capacidad de
mantenimiento de un sistema de base de datos.
Este capítulo analiza diversos enfoques que las organizaciones pueden adoptar para
cumplir sus objetivos de disponibilidad. La redundancia brinda respaldo e incluye
componentes adicionales para las computadoras o los sistemas de red a fin de
garantizar la disponibilidad de los sistemas. Los componentes redundantes pueden
incluir hardware, como unidades de disco, servidores, switches y routers, o software,
como sistemas operativos, aplicaciones y bases de datos. El capítulo también analiza la
recuperabilidad y la capacidad de un servidor, una red o un centro de datos para
recuperarse rápidamente y continuar con la operación.
Los cinco nueves significan que los sistemas y servicios están disponibles el 99,999%
del tiempo. Esto quiere decir que tanto el tiempo de inactividad planificado como no
planificado es menor que 5,26 minutos por año. El gráfico en la figura ofrece una
comparación del tiempo de inactividad para varios porcentajes de disponibilidad.
La alta disponibilidad hace referencia a un sistema o componente continuamente
operativo durante un espacio dado de tiempo. Para garantizar la alta disponibilidad:
Sostener una alta disponibilidad como estándar de los cinco nueves puede incrementar
los costos y requerir muchos recursos. El incremento de los costos se debe a la
adquisición de hardware adicional, como servidores y componentes. A medida que una
organización agrega componentes, el resultado es un incremento en la complejidad de la
configuración. Desafortunadamente, la complejidad incrementada de la configuración
aumenta los factores de riesgo. Cuantas más partes móviles se involucran, mayor es la
probabilidad de componentes defectuosos.
Aunque el costo de sostener la alta disponibilidad pueda ser muy elevado para algunos
sectores, muchos entornos requieren cinco nueves.
Amenazas a la disponibilidad
Las siguientes amenazas representan un alto riesgo para la disponibilidad de los datos y
la información:
La degradación del sitio web de una organización afecta las relaciones públicas.
Daños por agua como resultado de una inundación o una falla de aspersión.
3. Tolerancia a fallas.
Haga clic en cada principio en la figura para ver una breve descripción.
Es importante comprender las formas de abordar el punto de falla único. El punto de falla
único puede incluir routers o switches centrales, servicios de red e incluso personal de
TI altamente calificado. La clave es que una pérdida de un sistema, un proceso o una
persona puede tener un impacto muy negativo en todo el sistema. La clave es contar con
procesos, recursos y componentes que reduzcan los puntos de falla únicos. Los clústeres
de alta disponibilidad son una manera de proporcionar redundancia. Estos clústeres
constan de un grupo de computadoras que tienen acceso al mismo almacenamiento
compartido y configuraciones de red idénticas. Todos los servidores participan en el
proceso de un servicio simultáneamente. Desde el exterior, el grupo de servidores
parece un dispositivo. Si un servidor dentro del clúster falla, los otros servidores
continúan procesando el mismo servicio que el dispositivo defectuoso.
La tolerancia a fallas permite que un sistema siga operando si uno o más componentes
fallan. La replicación de puertos es un ejemplo de tolerancia a fallas. Si se produce una
"falla" que provoca la interrupción de un dispositivo, como un controlador de disco, el
sistema replicado proporciona los datos solicitados sin interrupciones aparentes en el
servicio al usuario.
Identificación de activos
Una organización debe conocer qué hardware y software tiene como requisito previo a
saber qué parámetros de configuración necesita. La administración de activos incluye un
inventario completo del hardware y software.
Esto quiere decir que una organización debe conocer todos los componentes que pueden
estar sujetos a riesgos de seguridad, entre ellos:
Todo el firmware.
Una organización puede elegir una solución automatizada para seguir sus activos. Un
administrador debe investigar cualquier configuración modificada dado que puede
significar que la configuración no está actualizada. También puede significar que ocurren
cambios no autorizados.
Estandarización de activos
Identificación de amenazas
Haga clic aquí para obtener más información sobre el identificador de CVE.
Análisis de riesgos
El análisis de riesgos es el proceso de analizar los peligros que plantean los eventos de
causa natural y humana a los activos de una organización.
Un usuario debe realizar una identificación de activos para determinar qué activos
proteger. El análisis de riesgos tiene cuatro objetivos:
La tasa de frecuencia anual (ARO) es la probabilidad de que una pérdida ocurra durante
el año (también expresada como porcentaje). La ARO puede ser mayor que 100% si una
pérdida ocurre más de una vez al año.
Un equipo evalúa cada amenaza a un activo y la compara con la tabla. El equipo clasifica
los resultados y los utiliza como guía. Puede determinar la adopción de medidas solo
para las amenazas de la zona roja.
Los números utilizados en la tabla no se relacionan directamente con ningún aspecto del
análisis. Por ejemplo, un impacto catastrófico de 4 no es mucho peor que un impacto
marginal de 2. Este método es subjetivo por naturaleza.
Mitigación
Una estrategia a corto plazo es aceptar el riesgo que necesita la creación de planes de
contingencia para dicho riesgo. Las personas y las organizaciones deben aceptar el
riesgo diariamente. Las metodologías modernas reducen el riesgo mediante el desarrollo
incremental de software y la provisión de parches y actualizaciones periódicas para
abordar las vulnerabilidades y los errores de configuración.
Estratificación
Si hay únicamente una defensa vigente para proteger los datos y la información, los
ciberdelincuentes solo deben sortear esa única defensa. Para garantizar la disponibilidad
de los datos y la información, una organización debe elaborar distintos niveles de
protección.
Un enfoque estratificado proporciona la protección más integral. Si los ciberdelincuentes
penetran un nivel, aún deben lidiar con varios niveles más, cada uno más complejo que el
anterior.
Restricción
Limitar el acceso a los datos y la información reduce la posibilidad de una amenaza. Una
organización debe restringir el acceso para que los usuarios solo tengan el nivel de
acceso requerido para realizar su trabajo. Por ejemplo, las personas en el departamento
de marketing no necesitan acceder a los registros de nómina para realizar sus tareas.
Las soluciones basadas en la tecnología, como el uso de permisos de archivos, son una
manera de limitar el acceso; una organización también debe implementar medidas
procedimentales. Debe haber un procedimiento vigente que prohíba a un empleado
eliminar los documentos confidenciales de las instalaciones.
Diversidad
Si todos los niveles protegidos fueran iguales, no sería muy difícil que los
ciberdelincuentes realicen un ataque exitoso. Por lo tanto, los niveles deben ser
diferentes. Si los ciberdelincuentes penetran un nivel, la misma técnica no funcionará en
los demás niveles. Infringir un nivel de seguridad no compromete todo el sistema. Una
organización puede usar diferentes algoritmos de encriptación o sistemas de
autenticación para proteger los datos en distintos estados.
Ocultamiento
Simplicidad
La complejidad no necesariamente garantiza la seguridad. Si una organización
implementa sistemas complejos difíciles de comprender y solucionar, pueden resultar
contraproducentes. Si los empleados no comprenden cómo configurar correctamente
una solución compleja, puede resultarles fácil a los ciberdelincuentes comprometer
dichos sistemas. Para mantener la disponibilidad, una solución de seguridad debe ser
simple internamente, pero compleja externamente.
Un punto de falla único es una operación crítica dentro de una organización. Otras
operaciones pueden depender de éste y las fallas interrumpen su operación fundamental.
Un punto de falla único puede ser una pieza especial de hardware, un proceso, una
sección de datos específica o incluso una utilidad esencial. Los puntos de falla únicos
son los enlaces débiles en la cadena que pueden causar una interrupción en las
operaciones de la organización. Generalmente, la solución para un punto de falla único
es modificar la operación crítica a fin de que no dependa de un solo elemento. La
organización también puede desarrollar componentes redundantes en la operación
crítica para controlar el proceso si uno de estos puntos falla.
Redundancia N+1
En un centro de datos, la redundancia N+1 significa que el diseño del sistema puede
soportar la pérdida de un componente. La N se refiere a diferentes componentes que
conforman el centro de datos, incluidos servidores, fuentes de alimentación, switches y
routers. El +1 es el componente o sistema adicional en espera listo para utilizar si es
necesario.
RAID
Una solución de RAID puede estar basada en hardware o software. Una solución basada
en hardware requiere un controlador de hardware especializado en el sistema que
contiene las unidades de RAID. Los siguientes términos describen cómo la RAID
almacena los datos en los distintos discos:
Haga clic aquí para ver un tutorial del nivel de RAID que explica la tecnología de RAID.
Árbol de expansión
El protocolo de árbol de expansión (STP) resuelve estos problemas. La función básica del
STP es evitar bucles en la red cuando los switches se interconectan a través de varias
rutas. El STP garantiza que los enlaces físicos redundantes estén libres de bucles.
Garantiza que solo haya una ruta lógica entre todos los destinos en la red. El STP
bloquea intencionalmente las rutas redundantes que pueden generar un bucle.
El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red. Las
rutas físicas aún existen para proporcionar redundancia, pero el STP deshabilita estas
rutas para evitar que se generen bucles. Si un switch o cable de red falla, el STP
recalcula las rutas y desbloquea los puertos necesarios para permitir que la ruta
redundante se active.
Haga clic en Reproducir en la figura para ver el STP cuando ocurre una falla:
La siguiente lista define las opciones disponibles para la redundancia de router según el
protocolo que define la comunicación entre los dispositivos de red:
Redundancia de la ubicación
Sincrónica
Replicación asíncrona
Diseño de recuperabilidad
La recuperabilidad son los métodos y las configuraciones utilizados para hacer que un
sistema o una red sean tolerantes a las fallas. Por ejemplo, una red puede tener enlaces
redundantes entre los switches que ejecutan el STP. Si bien el STP ofrece una ruta
alternativa a través de la red en caso de que falle un enlace, es posible que el
intercambio no sea inmediato si la configuración no es óptima.
Los protocolos de routing también ofrecen recuperabilidad, pero el ajuste puede mejorar
el intercambio de manera tal que los usuarios de la red no lo notarán. Los
administradores deben investigar las configuraciones no predeterminadas en una red de
prueba para ver si pueden mejorar los tiempos de recuperación de la red.
El diseño robusto es más que solo añadir redundancia. Es fundamental comprender las
necesidades empresariales de la organización e incorporar la redundancia para crear
una red recuperable.
Recuperabilidad de la aplicación
El sistema operativo interfuncional (IOS) para los routers y switches de Cisco incluye
una función de configuración de recuperabilidad. Permite una recuperación más rápida si
alguien maliciosa o inintencionadamente reformatea la memoria flash o borra el archivo
de configuración de inicio. La función mantiene una copia de funcionamiento segura del
archivo de imagen del IOS del router y una copia del archivo de configuración en
ejecución. El usuario no puede eliminar estos archivos seguros también conocidos como
bootset primario.
Preparación
Prueba el plan.
Detección y análisis
Alertas y notificaciones
Supervisión y seguimiento
Los esfuerzos de contención incluyen las acciones inmediatas realizadas, por ejemplo, la
desconexión de un sistema de la red para evitar una filtración de la información.
El propósito del control de admisión de redes (NAC) es permitir que los usuarios
autorizados con sistemas compatibles accedan a la red. Un sistema compatible cumple
todos los requisitos de las políticas de la organización. Por ejemplo, una PC portátil que
forma parte de una red inalámbrica doméstica no puede conectarse remotamente a la
red corporativa. El NAC evalúa un dispositivo entrante frente a las políticas de la red. El
NAC también coloca en cuarentena los sistemas que no cumplen y administra su
corrección.
Un marco de trabajo del NAC puede utilizar la infraestructura de red existente y software
de terceros para imponer el cumplimiento de las políticas de seguridad para todos los
terminales. Alternativamente, un dispositivo de NAC controla el acceso a la red, evalúa el
cumplimiento y aplica la política de seguridad. Las comprobaciones de los sistemas de
NAC comunes incluyen:
El tráfico de red no pasa por los IDS, a menos que esté replicado.
Pasivamente significa que los IDS supervisan e informan el tráfico. No adoptan ninguna
medida. Esta es la definición de operar en modo promiscuo.
La ventaja de operar con una copia del tráfico es que el IDS no afecta negativamente el
flujo de paquetes del tráfico reenviado. La desventaja de operar con una copia del tráfico
es que el IDS no puede evitar que los ataques maliciosos a un único paquete alcancen el
objetivo antes de responder al ataque. Un IDS a menudo requiere la asistencia de otros
dispositivos de red, como routers y firewalls, para responder a un ataque.
Un IPS se basa en la tecnología del IDS. Sin embargo, un dispositivo del IPS opera en el
modo en línea. Esto significa que todo el tráfico entrante y saliente debe pasar por éste
para su procesamiento. Como se muestra en la figura, el IPS no permite que los paquetes
ingresen en el lado confiable de la red, a menos que haya analizado los paquetes. Puede
detectar y abordar inmediatamente un problema de red.
Un IPS supervisa el tráfico de red. Analiza el contenido y la carga útil de los paquetes en
busca de ataques integrados más sofisticados que puedan incluir datos maliciosos.
Algunos sistemas utilizan una combinación de tecnologías de detección, entre ellas,
detección de intrusiones basada en análisis de protocolos, firmas y perfiles. Este análisis
más exhaustivo permite al IPS identificar, detener y bloquear ataques que pasarían a
través de un dispositivo tradicional de firewall. Cuando un paquete ingresa a través de
una interfaz en un IPS, la interfaz saliente o de confianza no recibe el paquete hasta que
el IPS lo analiza.
La ventaja de operar en el modo en línea es que el IPS puede evitar que los ataques a un
único paquete alcancen el sistema objetivo. La desventaja es que un IPS mal configurado
puede afectar negativamente el flujo de paquetes del tráfico reenviado.
NetFlow e IPFIX
NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes
que atraviesan un router o switch multicapa de Cisco. NetFlow es el estándar para
recopilar datos operativos de las redes. El grupo de trabajo de ingeniería de Internet
(IETF) usa NetFlow (versión 9) de Cisco como base para la exportación de datos de flujo
de IP (IPFIX).
Las aplicaciones que admiten la IPFIX pueden mostrar estadísticas de los routers que
admiten el estándar. La recopilación, el almacenamiento, el análisis y la información
agregada proporcionada por los dispositivos que admiten la IPFIX ofrecen los siguientes
beneficios:
Haga clic aquí para ver el video sobre cómo NetFlow de Cisco contribuye a la detección
de amenazas de seguridad.
Las organizaciones pueden detectar los indicadores de ataque en los informes de los
sistemas y registros para las siguientes alertas:
Bloqueos de cuentas
Tipos de desastres
Es fundamental mantener la organización en funcionamiento cuando se produce un
desastre. Un desastre incluye cualquier evento de causa natural o humana que daña los
activos o la propiedad y perjudica la capacidad de la organización para seguir operando.
Desastres naturales
Los desastres naturales varían según la ubicación. Algunos de estos eventos son difíciles
de predecir. Los desastres naturales se dividen en las siguientes categorías:
Haga clic aquí para ver fotos satelitales de Japón antes y después del terremoto y
tsunami de 2011.
¿Cuál es el proceso?
Un DRP debe identificar qué procesos de la organización son más importantes. Durante
el proceso de recuperación, la organización restaura primero sus sistemas críticos.
Las medidas preventivas incluyen controles que impiden que ocurra un desastre.
Estas medidas buscan identificar los riesgos.
Haga clic en los controles en la figura para ver ejemplos de cada uno.
Los controles de continuidad de los negocios son mucho más que una simple copia de
respaldo de los datos y redundancia del hardware. Las organizaciones necesitan
empleados para configurar y operar correctamente los sistemas. Los datos pueden ser
irrelevantes hasta que proporcionan información. Una organización debe tener en cuenta
lo siguiente:
La configuración de la documentación.
El suministro eléctrico.
1. Escribir una política que brinde orientación para desarrollar un plan de continuidad
empresarial y asigne roles para realizar las tareas.
2. Identificar los procesos y sistemas críticos y darles prioridad según sea necesario.
7. Probar el plan.
Este capítulo comienza explicando el concepto de los cinco nueves, un estándar de alta
disponibilidad que permite 5,26 minutos de tiempo de inactividad anuales. El capítulo
analiza los diferentes enfoques que las organizaciones adoptan para garantizar la
disponibilidad del sistema. Un diseño sólido del sistema incluye la incorporación de
medidas que proporcionan redundancia y recuperabilidad para que una organización
pueda recuperarse rápidamente y continuar operando.
Una red es apenas tan segura como su enlace más débil. Es importante proteger los
terminales que residen en la red. La seguridad de los terminales incluye la protección de
los dispositivos de infraestructura de red en la red de área local (LAN) y los sistemas
finales, como las estaciones de trabajo, los servidores, los teléfonos IP y los puntos de
acceso.
Una organización debe tener un enfoque sistemático vigente para abordar las
actualizaciones de sistemas mediante:
Otro requisito fundamental para proteger los sistemas operativos es identificar posibles
vulnerabilidades. Esto puede lograrse mediante el establecimiento de una línea de base.
Establecer una línea de base permite al administrador hacer una comparación de cómo
funciona un sistema frente a las expectativas de la línea de base.
Es posible que deban utilizarse varios programas distintos y múltiples análisis para
eliminar todo el software malicioso por completo. Ejecute solo un programa de
protección contra malware a la vez.
Tenga cuidado con los productos antivirus falsos maliciosos que puedan aparecer
mientras navega por Internet. La mayoría de estos productos antivirus falsos muestra un
anuncio o un elemento emergente que luce como un mensaje de advertencia real de
Windows, como se muestra en la Figura 2. Usualmente indican que la computadora está
siendo infectada por malware e instan al usuario a eliminarlo. Al hacer clic en cualquier
lugar dentro de la ventana, comienza la descarga e instalación del malware.
Administración de parches
Los parches son actualizaciones de códigos que proporcionan los fabricantes para evitar
que un virus o gusano recientemente descubierto logre atacar con éxito.
Periódicamente, los fabricantes combinan parches y actualizaciones en una aplicación
de actualización integral denominada paquete de servicios. Numerosos ataques de virus
devastadores podrían haber sido mucho menos graves si más usuarios hubieran
descargado e instalado el último paquete de servicios.
Una solución basada en el host es una aplicación de software que se ejecuta en una
computadora host local para protegerla. El software funciona con el sistema operativo
para prevenir ataques.
El HIDS almacena todos los datos de registro localmente. El rendimiento del sistema
puede verse afectado debido a su uso intensivo de los recursos. Un sistema de detección
de intrusiones basado en el host no puede supervisar el tráfico de red que no alcanza el
sistema host, pero puede monitorear los procesos del sistema crítico y el sistema
operativo específicos del host.
omunicaciones seguras
Una VPN es una red privada que conecta sitios o usuarios remotos a través de una red
pública, como Internet. El tipo más común de VPN accede a una red privada corporativa.
La VPN utiliza conexiones seguras dedicadas enrutadas a través de Internet desde la red
privada corporativa hasta el usuario remoto. Al conectarse a la red privada corporativa,
los usuarios se convierten en parte de dicha red y tienen acceso a todos los servicios y
recursos, como si estuvieran físicamente conectados a la LAN corporativa.
Los usuarios de acceso remoto deben tener un cliente de VPN instalado en sus
computadoras para establecer una conexión segura con la red privada corporativa. El
software de cliente de VPN cifra los datos antes de enviarlos al gateway de VPN de la
red privada corporativa a través de Internet. Los gateways de VPN establecen,
administran y controlan las conexiones de VPN, también denominadas túneles de VPN.
Los sistemas operativos incluyen un cliente de VPN que el usuario configura para una
conexión de VPN.
WEP
Uno de los componentes más importantes de la informática moderna son los dispositivos
móviles. La mayoría de los dispositivos presentes hoy en día en la red son PC portátiles,
tablets, smartphones y otros dispositivos inalámbricos. Los dispositivos móviles
transmiten datos mediante señales de radio que cualquier dispositivo con una antena
compatible puede recibir. Por este motivo, la industria informática ha desarrollado un
conjunto de dispositivos, productos y estándares de seguridad inalámbrica o móvil. Estos
estándares encriptan la información transmitida a través de ondas de radio por los
dispositivos móviles.
La privacidad equivalente por cable (WEP) es uno de los primeros y más utilizados
estándares de seguridad Wi-Fi. El estándar de WEP brinda protecciones de encriptación y
autenticación. Los estándares de WEP son obsoletos, pero muchos dispositivos aún
admiten la WEP para la compatibilidad retrospectiva. El estándar de WEP se convirtió en
un estándar de seguridad Wi-Fi en 1999 cuando las comunicaciones inalámbricas
comenzaban a hacerse populares. A pesar de las revisiones al estándar y el incremento
del tamaño de la clave, la WEP sufrió numerosas debilidades de seguridad. Los
ciberdelincuentes podían descifrar las contraseñas de WEP en minutos con el software
gratuito disponible. Pese a las mejoras, la WEP sigue siendo muy vulnerable y los
usuarios deben actualizar los sistemas que dependen de la WEP.
WPA/WPA2
Autenticación mutua
Los permisos son las reglas configuradas para limitar el acceso a una carpeta o un
archivo a una persona o un grupo de usuarios. La figura enumera los permisos que están
disponibles para archivos y carpetas.
Debe limitarse el acceso de los usuarios únicamente a los recursos que necesitan de un
sistema informático o una red. Por ejemplo, no deberían poder acceder a todos los
archivos en un servidor si solo necesitan acceso a una carpeta. Si bien puede resultar
más sencillo permitir el acceso de los usuarios a toda la unidad, es más seguro limitar el
acceso solo a la carpeta que necesitan para realizar su trabajo. Esto se conoce como
principio de privilegios mínimos. Limitar el acceso a los recursos también permite evitar
el acceso de programas malintencionados a dichos recursos en caso de que se infecte la
computadora del usuario.
Cuando un usuario cambia los permisos de una carpeta, tiene la opción de aplicar los
mismos permisos a todas las subcarpetas. Esto se conoce como propagación de
permisos. La propagación de permisos es una forma sencilla de aplicar permisos a
muchos archivos y carpetas rápidamente. Una vez que se establecen los permisos de la
carpeta principal, las carpetas y los archivos que se crean dentro de ésta heredan sus
permisos.
Los datos que se copian en el mismo volumen heredan los nuevos permisos.
Los datos que se transfieren a otro volumen heredan los nuevos permisos.
Los datos que se copian en otro volumen heredan los nuevos permisos.
Encriptación de archivos
Un usuario también puede elegir cifrar una unidad de disco duro completa en Windows
con una función denominada BitLocker. Para utilizar BitLocker, se debe contar con dos
volúmenes como mínimo en un disco duro.
Una organización puede perder datos si los ciberdelincuentes los roban, el equipo falla o
se produce un desastre. Por este motivo, es importante realizar periódicamente copias
de respaldo de datos.
Haga clic aquí para ver una comparación de los proveedores de software de control de
contenido.
Haga clic aquí para ver una comparación del software de clonación de discos.
El tipo más común de cerradura de puerta es la entrada con cerradura con llave
estándar. No se cierra automáticamente al cerrar la puerta. Además, una persona puede
calzar una tarjeta de plástico delgada, como una tarjeta de crédito, entre la cerradura y
el marco de la puerta para forzar su apertura. Las cerraduras de las puertas en edificios
comerciales son diferentes de las cerraduras de las puertas residenciales. Para mayor
seguridad, una cerradura con pestillo proporciona seguridad adicional. Aunque cualquier
cerradura con llave presenta una vulnerabilidad si se pierden, roban o duplican las llaves.
Una cerradura cifrada, como se muestra en la Figura 2, utiliza botones que un usuario
presiona conforme a una secuencia determinada para abrir la puerta. Es posible
programar una cerradura cifrada. Esto significa que el código de un usuario solo
funcionará durante determinados días o cierto tiempo. Por ejemplo, una cerradura
cifrada puede permitir que Bob acceda únicamente a la sala de servidores entre las
7 a. m. y las 6 p. m. de lunes a viernes. La cerradura cifrada también puede mantener un
registro de cuándo se abre la puerta y el código utilizado para abrirla.
Los empleados pueden o no cerrar sesión de sus computadoras cuando dejan el lugar de
trabajo. Por lo tanto, es una de las mejores prácticas de seguridad configurar un
temporizador de inactividad que desactive automáticamente al usuario y bloquee la
pantalla después de un período determinado. El usuario debe volver a iniciar sesión para
desbloquear la pantalla.
En algunas situaciones, una organización puede desear que los empleados inicien sesión
durante horas específicas, como de 7 a. m. a 6 p. m. El sistema bloquea los inicios de
sesión en el horario fuera de las horas de inicio de sesión permitidas.
Muchas aplicaciones de telefonía celular utilizan el seguimiento del GPS para rastrear la
ubicación de un teléfono. Por ejemplo, Facebook permite a los usuarios registrar una
ubicación, que es visible para las personas en sus redes.
Los sistemas de RFID operan dentro de distintas frecuencias. Los sistemas de baja
frecuencia tienen un rango de lectura más corto y tasas de lectura de datos más bajas,
pero no son tan sensibles a las interferencias de las ondas de radio ocasionadas por los
líquidos y metales presentes. Las frecuencias más altas tienen una velocidad de
transferencia de datos más rápida y mayores rangos de lectura, pero son más sensibles a
las interferencias de las ondas de radio.
Con el sistema operativo Windows, los técnicos pueden usar el asistente remoto y el
escritorio remoto para reparar y actualizar las computadoras. El escritorio remoto, como
se muestra en la figura, permite a los técnicos ver y controlar una computadora desde
una ubicación remota. El asistente remoto permite a los técnicos ayudar a los clientes
en la solución de problemas desde una ubicación remota. El asistente remoto también
permite al cliente ver la reparación o actualización en tiempo real en la pantalla.
El protocolo de copia segura (SCP) transfiere de forma segura los archivos informáticos
entre dos sistemas remotos. El SCP usa el SSH para la transferencia de datos (incluido el
elemento de autenticación), por lo que el SCP garantiza la autenticidad y la
confidencialidad de los datos en tránsito.
Los ciberdelincuentes atacan los servicios que se ejecutan en un sistema porque saben
que la mayoría de los dispositivos ejecuta más servicios o programas que los necesarios.
Un administrador debe observar cada servicio para comprobar su necesidad y evaluar el
riesgo. Elimine cualquier servicio innecesario.
Cuentas privilegiadas
Los ciberdelincuentes atacan las cuentas privilegiadas porque son las más poderosas
dentro de la organización. Las cuentas privilegiadas tienen credenciales para acceder a
los sistemas y brindan acceso elevado sin restricción. Los administradores usan estas
cuentas para implementar y administrar los sistemas operativos, las aplicaciones y los
dispositivo de red. La figura resume los tipos de cuentas privilegiadas.
La organización debe adoptar las siguientes mejores prácticas para proteger las cuentas
privilegiadas:
Identificar y reducir la cantidad de cuentas privilegiadas.
Implementar un proceso para cambiar las contraseñas integradas para los scripts
y las cuentas de servicio.
Políticas de grupo
Un registro registra todos los eventos a medida que ocurren. Las entradas de registro
conforman el archivo de registro y contienen toda la información relacionada con un
evento específico. Los registros relacionados con la seguridad informática han crecido
en importancia.
Por ejemplo, un registro de auditoría sigue los intentos de autenticación del usuario y un
registro de acceso proporciona todos los datos de solicitudes de archivos específicos en
un sistema. Monitorear los registros del sistema puede determinar cómo se produjo un
ataque y si las defensas implementadas se realizaron correctamente.
Los registros del sistema operativo registran eventos que ocurren por acciones
operativas realizadas por el sistema operativo. Los eventos del sistema incluyen lo
siguiente:
Alimentación
Un aspecto crítico de la protección de los sistemas de información son los sistemas y las
consideraciones de energía eléctrica. El suministro constante de electricidad es
fundamental en las actuales instalaciones de almacenamiento de datos y servidores
masivos. Estas son algunas reglas generales en el desarrollo de sistemas de suministro
eléctrico eficaces:
Los centros de datos deben estar en una fuente de alimentación distinta al resto
del edificio.
Acondicionamiento de la energía.
Una organización debe protegerse contra varios problemas al diseñar sus sistemas de
fuente de alimentación eléctrica.
Exceso de energía.
Pérdida de energía.
Los sistemas de HVAC son fundamentales para la seguridad de las personas y los
sistemas de información en las instalaciones de la organización. Al diseñar instalaciones
de TI modernas, estos sistemas juegan un papel importante en la seguridad general. Los
sistemas de HVAC controlan el entorno ambiental (temperatura, humedad, flujo de aire y
filtración de aire) y deben planificarse y operarse junto a otros componentes de centros
de datos, como hardware informático, cableado, almacenamiento de datos, protección
contra incendios, sistemas de seguridad física y energía. Casi todos los dispositivos de
hardware informático físicos tienen requisitos ambientales que incluyen temperatura y
rangos de humedad aceptables. Los requisitos ambientales aparecen en un documento
de especificaciones del producto o en una guía de planificación física. Es fundamental
mantener estos requisitos ambientales para evitar fallas del sistema y extender la vida
útil de los sistemas de TI. Los sistemas de HVAC comerciales y otros sistemas de
administración de edificios ahora se conectan a Internet para su supervisión y control.
Eventos recientes han demostrado que dichos sistemas (a menudo denominados
“sistemas inteligentes”) también aumentan las repercusiones de seguridad.
Uno de los riesgos asociados a los sistemas inteligentes es que las personas que
acceden y administran el sistema trabajan para un contratista o un proveedor externo.
Debido a que los técnicos de HVAC necesitan encontrar la información rápidamente, los
datos cruciales tienden a almacenarse en muchos lugares diferentes, lo que los hace
accesibles a muchas más personas. Tal situación permite que una amplia red de
individuos, entre ellos, asociados de los contratistas, accedan a las credenciales del
sistema de HVAC. La interrupción de estos sistemas puede representar un riesgo
considerable para la seguridad informática de la organización.
Los sistemas de HVAC son fundamentales para la seguridad de las personas y los
sistemas de información en las instalaciones de la organización. Al diseñar instalaciones
de TI modernas, estos sistemas juegan un papel importante en la seguridad general. Los
sistemas de HVAC controlan el entorno ambiental (temperatura, humedad, flujo de aire y
filtración de aire) y deben planificarse y operarse junto a otros componentes de centros
de datos, como hardware informático, cableado, almacenamiento de datos, protección
contra incendios, sistemas de seguridad física y energía. Casi todos los dispositivos de
hardware informático físicos tienen requisitos ambientales que incluyen temperatura y
rangos de humedad aceptables. Los requisitos ambientales aparecen en un documento
de especificaciones del producto o en una guía de planificación física. Es fundamental
mantener estos requisitos ambientales para evitar fallas del sistema y extender la vida
útil de los sistemas de TI. Los sistemas de HVAC comerciales y otros sistemas de
administración de edificios ahora se conectan a Internet para su supervisión y control.
Eventos recientes han demostrado que dichos sistemas (a menudo denominados
“sistemas inteligentes”) también aumentan las repercusiones de seguridad.
Uno de los riesgos asociados a los sistemas inteligentes es que las personas que
acceden y administran el sistema trabajan para un contratista o un proveedor externo.
Debido a que los técnicos de HVAC necesitan encontrar la información rápidamente, los
datos cruciales tienden a almacenarse en muchos lugares diferentes, lo que los hace
accesibles a muchas más personas. Tal situación permite que una amplia red de
individuos, entre ellos, asociados de los contratistas, accedan a las credenciales del
sistema de HVAC. La interrupción de estos sistemas puede representar un riesgo
considerable para la seguridad informática de la organización.
Supervisión de hardware
Centros de operaciones
Ambas entidades usan una estructura de nivel jerárquico para administrar los eventos. El
primer nivel administra todos los eventos e incluye cualquier evento que no pueda
administrarse en el segundo nivel. El personal del segundo nivel revisa el evento en
detalle para intentar resolverlo. Si no pueden hacerlo, pasan el evento al tercer nivel, el
de los expertos en la materia.
Switches
Los switches de red son el corazón de la red de comunicación de datos moderna. Las
principales amenazas para los switches de red son el robo, el hacking y el acceso
remoto, los ataques contra los protocolos de red, como ARP/STP, o los ataques contra el
rendimiento y la disponibilidad. Varias contramedidas y controles pueden proteger los
switches de red, incluidas la seguridad física mejorada, la configuración avanzada y la
implementación de actualizaciones y parches adecuados del sistema según sea
necesario. Otro control eficaz es la implementación de la seguridad de los puertos. Un
administrador debe proteger todos los puertos de switch (interfaces) antes de
implementar el switch para fines de producción. Una forma de proteger los puertos es
mediante la implementación de una característica denominada “seguridad de puertos”.
La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el
puerto. El switch permite el acceso a dispositivos con direcciones MAC legítimas y
rechaza otras direcciones MAC.
VLAN
Las VLAN ofrecen una forma de agrupar dispositivos dentro de una LAN y en switches
individuales. Las VLAN usan conexiones lógicas en lugar de conexiones físicas. Los
puertos individuales de switch pueden asignarse a una VLAN específica. Se pueden usar
otros puertos para interconectar físicamente los switches y permitir el tráfico de varias
VLAN entre los switches. Estos puertos se denominan enlaces troncales.
Firewalls
Los firewalls son soluciones de hardware o de software que aplican las políticas de
seguridad de la red. Un firewall filtra el ingreso de tráfico potencialmente peligroso o no
autorizado en la red (Figura 2). Un firewall simple proporciona funcionalidades básicas de
filtrado de tráfico mediante listas de control de acceso (ACL). Los administradores
utilizan las ACL para detener el tráfico o para permitir solamente tráfico específico en
sus redes. Una ACL es una lista secuencial de instrucciones de permiso o denegación
que se aplican a los protocolos o las direcciones. Las ACL son una herramienta potente
para controlar el tráfico hacia y desde la red. Los firewalls mantienen los ataques
alejados de la red privada; un objetivo común de los hackers es vencer las protecciones
del firewall. Las principales amenazas para los firewalls son el robo, el hacking y el
acceso remoto, los ataques contra las ACL o los ataques contra el rendimiento y la
disponibilidad. Varias contramedidas y controles pueden proteger los firewalls, entre
ellos, seguridad física mejorada, configuración avanzada, acceso remoto y autenticación
seguros, y actualizaciones y parches adecuados del sistema según sea necesario.
Routers
Los routers forman la red troncal de Internet y las comunicaciones entre las diferentes
redes. Los routers se comunican unos con otros para identificar la mejor ruta posible a
fin de distribuir el tráfico a las diferentes redes. Los routers usan protocolos de routing
para tomar decisiones de routing. Los routers también pueden integrar otros servicios,
como las funcionalidades de switching y firewall. Estas operaciones hacen que los
routers sean los principales objetivos. Las principales amenazas para los routers de red
son el robo, el hacking y el acceso remoto, los ataques contra los protocolo de routing,
como RIP/OSPF, o los ataques contra el rendimiento y la disponibilidad. Varias
contramedidas y controles pueden proteger los routers de red, entre ellos, la seguridad
física mejorada, la configuración avanzada, el uso de protocolos de routing seguros con
autenticación, y la implementación de actualizaciones y parches adecuados del sistema
según sea necesario.
Las tres técnicas de autenticación de clave compartida para las WLAN son las
siguientes:
Privacidad equivalente por cable (WEP): era la especificación 802.11 original que
protegía las WLAN. Sin embargo, la clave de cifrado nunca cambiaba al intercambiar
paquetes, por lo que era fácil de descifrar.
Acceso protegido a Wi-Fi (WPA): este estándar utiliza la WEP, pero protege los
datos con un algoritmo de cifrado del protocolo de integridad de clave temporal
(TKIP), que es mucho más seguro. El TKIP cambia la clave para cada paquete, lo que
hace que sea mucho más difícil de descifrar.
Desde 2006, cualquier dispositivo que tenga el logotipo de Certificado para Wi-Fi tiene la
certificación WPA2. Por lo tanto, las WLAN modernas deben utilizar el estándar
802.11i/WPA2. Otras contramedidas incluyen la seguridad física mejorada y las
actualizaciones y los parches regulares del sistema de los dispositivos.
El DNS resuelve una dirección de sitio web o URL de localizador de recursos uniforme
(http://www.cisco.com) para la dirección IP del sitio. Cuando los usuarios escriben una
dirección web en la barra de direcciones, dependen de los servidores del DNS para
resolver la dirección IP real del destino. Los atacantes apuntan a los servidores del DNS
para denegar el acceso a los recursos de la red o redirigir el tráfico a sitios web falsos.
Haga clic en la Figura 2 para ver una lista de comprobación de seguridad para los DNS.
Utilice el servicio y la autenticación seguros entre los servidores del DNS para
protegerlos de estos ataques.
Los dispositivos de red usan ICMP para enviar mensajes de error, como un servicio
solicitado que no está disponible o un host que no puede llegar a un router. El comando
ping es una utilidad de red que emplea ICMP para probar la posibilidad de conexión de un
host en una red. El ping envía mensajes de ICMP al host y espera una respuesta. Los
ciberdelincuentes pueden alterar el uso de ICMP para los fines maliciosos que se
enumeran en la Figura 3. Los ataques de denegación de servicio usan ICMP. Muchas
redes filtran ciertas solicitudes de ICMP para evitar estos ataques.
El RIP limita la cantidad de saltos permitida en una ruta en una red desde el dispositivo
de origen hasta el destino. La cantidad máxima de saltos permitida para el RIP es
quince. El RIP es un protocolo de routing que se usa para intercambiar información de
routing sobre qué redes alcanza cada router y el alcance de dichas redes. El RIP calcula
la mejor ruta según el recuento de saltos. La Figura 4 enumera las vulnerabilidades y
defensas del RIP frente a los ataques al RIP. Los hackers pueden atacar los routers y el
RIP. Los ataques a los servicios de routing pueden afectar el rendimiento y la
disponibilidad. Algunos ataques incluso pueden dar como resultado el
redireccionamiento del tráfico. Utilice los servicios seguros con autenticación e
implemente parches y actualizaciones del sistema para proteger los servicios de routing,
como el RIP.
Es importante tener la hora correcta dentro de las redes. Las marcas de tiempo
correctas hacen un seguimiento preciso de los eventos de red, por ejemplo, las
violaciones de seguridad. Además, la sincronización de relojes es fundamental para la
interpretación correcta de los eventos dentro de los archivos de datos syslog, así como
para los certificados digitales.
El protocolo de tiempo de red (NTP) es un protocolo que sincroniza los relojes de los
sistemas informáticos sobre las redes de datos. El NTP permite que los dispositivos de
red sincronicen la configuración de la hora con un servidor del NTP. En la Figura 5 se
enumeran los diferentes métodos utilizados para proporcionar una sincronización segura
para la red. Los ciberdelincuentes atacan los servidores de tiempo para interrumpir la
comunicación segura que depende de certificados digitales y ocultar la información del
ataque, como marcas de tiempo precisas.
Equipos de VoIP
La voz sobre IP (VoIP) utiliza redes, como Internet, para realizar y recibir llamadas
telefónicas. El equipo requerido para VoIP incluye una conexión a Internet y un teléfono.
Varias opciones están disponibles para los equipos de teléfono:
La mayoría de los servicios de VoIP para consumidores utiliza Internet para las llamadas
telefónicas. Muchas organizaciones, sin embargo, utilizan sus redes privadas debido a
que proporcionan una seguridad más sólida y un servicio de calidad. La seguridad de
VoIP es tan confiable como la seguridad de red subyacente. Los ciberdelincuentes
apuntan a estos sistemas para obtener acceso para liberar servicios telefónicos,
escuchar llamadas telefónicas o afectar el rendimiento y la disponibilidad.
Cámaras
Una cámara de Internet envía y recibe datos a través de una LAN o Internet. Un usuario
puede ver de forma remota video en vivo con un explorador web en una amplia variedad
de dispositivos, entre ellos, sistemas informáticos, PC portátiles, tablets y smartphones.
Las cámaras de Internet transmiten video digital a través de una conexión de datos. La
cámara se conecta directamente a la red y tiene todo lo necesario para transferir las
imágenes sobre la red. La figura enumera las mejores prácticas para los sistemas de
cámara.
Equipo de videoconferencia
Muchas farmacias locales emplean asistentes médicos que pueden conectarse en vivo
con los médicos mediante la videoconferencia para programar visitas o respuestas de
emergencia. Muchas organizaciones manufactureras usan la teleconferencia para ayudar
a los ingenieros y técnicos a realizar operaciones o tareas de mantenimiento complejas.
El equipo de videoconferencia puede ser muy costoso y es un objetivo de alto valor para
los ladrones y ciberdelincuentes. Haga clic aquí para ver un video que demuestra el
poder de los sistemas de videoconferencia. Los ciberdelincuentes apuntan a estos
sistemas para infiltrarse en las videollamadas o afectar el rendimiento y la
disponibilidad.
Las empresas utilizan estos dispositivos para realizar un seguimiento del inventario, los
vehículos y el personal. Los dispositivos de IdC tienen sensores geoespaciales. Un
usuario puede localizar, monitorear y controlar globalmente las variables del entorno,
como la temperatura, la humedad y la iluminación. El sector de IdC representa un
enorme desafío para los profesionales de seguridad de la información porque muchos
dispositivos de IdC capturan y transmiten información confidencial. Los
ciberdelincuentes apuntan a estos sistemas para interceptar los datos o afectar el
rendimiento y la disponibilidad.
Cercas y barricadas
Las barreras físicas son lo primero que viene a la mente cuando se piensa en la
seguridad física. Este es el nivel más remoto de seguridad y estas soluciones son las
más visibles públicamente. Un sistema de seguridad perimetral generalmente consta de
los siguientes componentes:
Refugios de protección.
Una cerca es una barrera que comprende áreas seguras y designa límites de la
propiedad. Todas las barreras deben cumplir los requisitos de diseño específicos y las
especificaciones de la estructura. Las áreas de alta seguridad a menudo requieren una
“protección superior”, como un alambre de púas o concertina. Al diseñar el perímetro, los
sistemas de cercado utilizan las siguientes reglas:
2 metros (6 a 7 pies) son muy altos para escalar para los intrusos casuales.
Las cercas requieren un mantenimiento regular. Los animales pueden cavar debajo de la
cerca o la tierra puede socavarse y dejar la cerca inestable, lo que proporcionará un
acceso sencillo al intruso. Inspeccione los sistemas de cercado con regularidad. No
aparque ningún vehículo junto a las cercas. Un vehículo aparcado en las inmediaciones
de una cerca puede ayudar al intruso a escalar o dañar la cerca. Haga clic aquí para
conocer las recomendaciones de cercado adicionales.
Biometría
Al comparar los sistemas biométricos, hay varios factores importantes que se deben
considerar, entre ellos, la precisión, la tasa de velocidad o rendimiento, la aceptación de
los usuarios, la singularidad de las acciones u órganos biométricos, la resistencia a la
falsificación, la confiabilidad, los requisitos de almacenamiento de datos, el tiempo de
inscripción y la impertinencia del análisis. El factor más importante es la precisión. La
precisión se expresa en los índices y los tipos de errores.
El primer índice de error es el Error de tipo I o los falsos rechazos. El Error de tipo I
rechaza a una persona que se registra y es un usuario autorizado. En el control de
acceso, si el requisito es mantener a los malos afuera, el falso rechazo es el error menos
grave. Sin embargo, en muchas aplicaciones biométricas, los falsos rechazos pueden
tener un impacto muy negativo en la empresa. Por ejemplo, un banco o comercio
minorista debe autenticar la identidad del cliente y el saldo de la cuenta. El falso rechazo
significa que la transacción o la venta se pierde y el cliente se siente disgustado. La
mayoría de los banqueros y los minoristas están dispuestos a admitir algunas
aceptaciones falsas siempre y cuando los falsos rechazos sean mínimos.
Guardias y escoltas
Todos los controles de acceso físico, incluidos los sistemas de disuasión y detección,
dependen en última instancia del personal para intervenir y detener el ataque o la
intrusión real. En las instalaciones de sistemas de información de alta seguridad, los
guardias controlan el acceso a las áreas confidenciales de la organización. El beneficio
de usar guardias es que pueden adaptarse más que los sistemas automatizados. Los
guardias pueden descubrir y diferenciar varias condiciones y situaciones y tomar
decisiones en el lugar. Los guardias de seguridad son la mejor solución para el control de
acceso cuando la situación requiere una respuesta correcta e instantánea. Sin embargo,
los guardias no son siempre la mejor solución. Existen numerosas desventajas en el uso
de guardias de seguridad, como el costo y la capacidad para supervisar y registrar el
tráfico de alto volumen. El uso de guardias también introduce el error humano en la
combinación.
La vigilancia por video y electrónica también puede ser más precisa en la captura de
eventos incluso después de que ocurran. Otra ventaja importante es que la vigilancia por
video y electrónica ofrece puntos de vista que no se obtienen fácilmente con los
guardias. También puede resultar mucho más económica que el uso de cámaras para
supervisar el perímetro completo de una instalación. En un entorno altamente seguro,
una organización debe colocar la vigilancia por video y electrónica en todas las entradas,
las salidas, los compartimientos de carga, las escaleras y las áreas de recolección de
basura. En la mayoría de los casos, la vigilancia por video y electrónica complementa a
los guardias de seguridad.
Resumen
Este capítulo analiza las tecnologías, los procesos y los procedimientos que los ciber-
magos usan para defender los sistemas, los dispositivos y los datos que conforman la
infraestructura de la red.
Políticas de seguridad mal aplicadas: Todos los usuarios deben conocer las
políticas de seguridad y las consecuencias del cumplimiento de las políticas de la
organización.
Robo de datos: El robo de datos por parte de los usuarios tiene un costo
financiero para las organizaciones; Esto genera daños en la reputación de las
organizaciones o supone una responsabilidad legal asociada a la divulgación de
información confidencial.
Ninguna solución, control o contramedida técnica hace que los sistemas de información
sean más seguros que los comportamientos y los procesos de las personas que los usan.
Las organizaciones pueden implementar diversas medidas para manejar las amenazas a
los usuarios:
Educar a los usuarios anualmente sobre las políticas, los manuales de personal y
las actualizaciones de guías.
Vincular el reconocimiento de seguridad con los objetivos de revisión del
rendimiento.
La tabla que se muestra en la figura une las amenazas al dominio de usuario con las
contramedidas utilizadas para manejarlas.
Descargas del usuario: Los archivos, las fotos, la música o los videos
descargados pueden ser un vehículo para el código malicioso.
Software sin parches: las vulnerabilidades en la seguridad del software ofrecen
debilidades que los cibercriminales pueden aprovechar.
Proteger los armarios de cableado, los centros de datos y las salas informáticas.
Denegar el acceso a cualquier persona sin las credenciales adecuadas.
La tabla que se muestra en la figura une las amenazas al dominio de LAN con las
contramedidas utilizadas para manejarlas.
Las organizaciones pueden implementar diversas medidas para manejar las amenazas a
la nube privada:
La tabla que se muestra en la figura une las amenazas al dominio de nube privada con
las contramedidas utilizadas para manejarlas.
El dominio de nube pública incluye los servicios alojados por un proveedor de la nube, un
proveedor de servicios o un proveedor de Internet. Los proveedores de la nube
implementan controles de seguridad para proteger el entorno de la nube, pero las
organizaciones son responsables de proteger sus recursos en la nube. Existen tres
modelos de servicios diferentes entre los que una organización puede elegir:
Software como servicio (SaaS): un modelo por suscripción que brinda acceso al
software alojado de manera centralizada al que los usuarios acceden mediante un
navegador web.
Plataforma como servicio (PaaS): proporciona una plataforma que permite que
una organización desarrolle, ejecute y administre sus aplicaciones en el hardware
del servicio con herramientas provistas por el servicio.
Violaciones de datos.
Credenciales comprometidas.
Las organizaciones pueden implementar varias medidas para manejar las amenazas a las
instalaciones físicas:
Uso de la encriptación.
Diligencia debida.
Políticas.
La tabla que se muestra en la figura una las amenazas al dominio de nube pública con
las contramedidas utilizadas para manejarlas.
Interrupciones eléctricas.
Robo.
Pasillos abiertos que permiten que un visitante camine directamente hacia las
instalaciones internas.
Falta de vigilancia.
Las organizaciones pueden implementar varias medidas para manejar las amenazas a las
instalaciones físicas:
El dominio de aplicación incluye todos los sistemas críticos, las aplicaciones y los datos.
Además, incluye hardware y cualquier diseño lógico requeridos. Las organizaciones
están moviendo aplicaciones, como el correo electrónico, el monitoreo de la seguridad y
la administración de la base de datos a la nube pública.
Pérdida de datos.
Las organizaciones pueden implementar diversas medidas para manejar las amenazas al
dominio de aplicación:
Desarrollar una política para abordar las actualizaciones del sistema operativo y
el software de aplicaciones.
Implementar procedimientos de copia de respaldo.
La tabla que se muestra en la figura une las amenazas al dominio de aplicación con las
contramedidas utilizadas para manejarlas.
Durante el siglo XIX, Jeremy Benthan y John Stuart Mill desarrollaron la ética de los
servicios públicos. El principio rector es que cualquier acción en la que el bien supere al
mal es una opción ética.
El principio rector del enfoque de los derechos es que las personas tienen el derecho de
tomar sus propias decisiones. Esta perspectiva observa cómo una acción afecta los
derechos de otras personas para evaluar si una acción es correcta o incorrecta. Estos
derechos incluyen el derecho a la verdad, la privacidad y la seguridad; la sociedad debe
aplicar las leyes equitativamente para todos sus miembros.
El enfoque del bien común propone que el bien común es lo que beneficia a la
comunidad. En este caso, un especialista en ciberseguridad observa cómo una acción
afecta el bien común de la sociedad o la comunidad.
Ninguna respuesta inequívoca proporciona soluciones obvias para los problemas éticos a
los que se enfrentan los especialistas en ciberseguridad. La respuesta sobre qué es
correcto o incorrecto puede cambiar según la situación y la perspectiva ética.
Delito cibernético
Delito cibernético
El crecimiento del delito cibernético se debe a varios motivos. Hoy en día existen muchas
herramientas ampliamente disponibles en Internet y los posibles usuarios no necesitan
mucha experiencia para usarlas.
En los Estados Unidos hay tres fuentes primarias de leyes y regulaciones: leyes
estatutarias, leyes administrativas y leyes comunes. Las tres fuentes involucran la
seguridad informática. El Congreso de los Estados Unidos estableció agencias
administrativas federales y un marco de trabajo regulatorio que incluye sanciones civiles
y penales para quienes incumplen las reglas.
Los derechos penales aplican un código moral comúnmente aceptado respaldado por la
autoridad gubernamental. Las regulaciones establecen reglas diseñadas para abordar las
consecuencias en una sociedad en constante cambio que aplica sanciones por infringir
dichas reglas. Por ejemplo, la Ley de Abuso y Fraude Informático es una ley estatutaria.
Administrativamente, la FCC y la Comisión Federal de Comercio se ocupan de problemas
tales como el fraude y el robo de la propiedad intelectual. Por último, los casos de leyes
comunes resuelven sus problemas a través del sistema judicial que ofrece precedentes y
bases constitucionales para las leyes.
Evaluación de riesgos
Las empresas recopilan cantidades cada vez mayores de información personal sobre sus
clientes, desde contraseñas de cuentas y direcciones de correo electrónico hasta
información médica y financiera altamente confidencial. Las empresas grandes y
pequeñas reconocen el valor del análisis de datos masivos y datos. Esto fomenta a las
organizaciones a recopilar y almacenar información. Los ciberdelincuentes buscan
constantemente nuevas maneras de obtener dicha información o de acceder y atacar los
datos más confidenciales de una empresa. Las organizaciones que recopilan datos
confidenciales deben ser buenos guardianes de datos. En respuesta a este crecimiento
en la recopilación de datos, varias leyes requieren que las organizaciones que recopilan
datos de información personal notifiquen a las personas si se produce una violación de
sus datos personales. Para ver una lista de estas leyes, haga clic aquí.
La Ley de Abuso y Fraude Informático (CFAA) ha estado en vigencia por más de 20 años.
La CFAA proporciona la base para las leyes estadounidenses que penalizan el acceso no
autorizado a los sistemas informáticos. La CFAA considera un delito acceder
intencionadamente y sin permiso a una computadora del gobierno o una computadora
utilizada en el mercado interestatal. La CFAA también penaliza el uso de una
computadora en un delito de naturaleza interestatal.
Protección de la privacidad
Esta ley establece un Código de práctica de información justa que rige la recopilación, el
mantenimiento, el uso y la transmisión de la información de identificación personal de
los individuos conservada en sistemas de registro por las agencias federales.
La FOIA permite el acceso público a los registros del gobierno estadounidense. La FOIA
lleva aparejada la presunción de divulgación, por lo que la carga recae en el gobierno
acerca de por qué no puede hacer pública la información.
Esta ley federal concedió acceso a los estudiantes a los registros educativos. La FERPA
es opcional, dado que el estudiante debe aprobar la divulgación de la información antes
de que suceda. Cuando un alumno cumple 18 años o ingresa en una institución
postsecundaria a cualquier edad, los derechos de la FERPA pasan de los padres del
estudiante al estudiante.
Esta ley federal se aplica a la recopilación en línea de información personal por parte de
personas o entidades bajo la jurisdicción estadounidense para niños menores de 13 años.
Antes de recopilar y utilizar la información de niños (de 13 años o menos), se debe
obtener el permiso de los padres.
Esta ley federal se aplica a la recopilación en línea de información personal por parte de
personas o entidades bajo la jurisdicción estadounidense para niños menores de 13 años.
Antes de recopilar y utilizar la información de niños (de 13 años o menos), se debe
obtener el permiso de los padres.
El Congreso de los Estados Unidos aprobó la CIPA en el año 2000 para proteger a los
niños menores de 17 años de la exposición a contenidos ofensivos y material obsceno de
Internet.
La Ley de Protección de Privacidad de Videos protege a las personas que rentan cintas
de video, DVD y juegos de la divulgación a terceros. El estatuto ofrece protección de
forma predeterminada, por lo que requiere que las empresas de renta de videos obtengan
el consentimiento del arrendatario para optar por la exclusión de las protecciones si
desean divulgar información personal sobre las rentas. Muchos abogados de privacidad
consideran que la VPPA es la ley de privacidad más fuerte de los EE. UU.
California fue el primer estado en aprobar una ley relacionada con la notificación de la
divulgación no autorizada de información de identificación personal. Desde entonces,
muchos otros estados han seguido el ejemplo. Cada una de estas leyes de notificación
de la divulgación es diferente, lo que plantea el caso de un estatuto federal unificado
convincente. Esta ley requiere que las agencias notifiquen a los consumidores sus
derechos y responsabilidades. Exige que el estado notifique a los ciudadanos cuando se
pierde o divulga la PII. Desde que se aprobó la SB 1386, muchos otros estados han
modelado su legislación sobre este proyecto de ley.
Políticas de privacidad
El SCAP utiliza estándares abiertos para enumerar las fallas y los problemas de
configuración del software de seguridad. Las especificaciones organizan y miden la
información relacionada con la seguridad de maneras estandarizadas. La comunidad del
SCAP es una asociación entre el sector de nubes públicas y privadas que fomenta la
estandarización de las operaciones de seguridad técnicas. Haga clic aquí para visitar el
sitio web del protocolo de automatización de contenido de seguridad (SCAP).
La división del CERT del SEI estudia y resuelve los problemas en el área de la
ciberseguridad, entre ellos, las vulnerabilidades en la seguridad en los productos de
software, los cambios en los sistemas de red y la capacitación para mejorar la
ciberseguridad. El CERT ofrece los siguientes servicios:
El CERT tiene una amplia base de datos de información sobre las vulnerabilidades del
software y los códigos maliciosos que ayuda a desarrollar soluciones y estrategias de
corrección. Haga clic aquí para visitar el sitio web del CERT.
Internet Storm Center (ISC) proporciona un servicio de análisis y alerta gratuito a las
organizaciones y los usuarios de Internet. También trabaja con los proveedores de
servicios de Internet para combatir a los ciberdelincuentes maliciosos. Internet Storm
Center recopila millones de entradas de registros de sistemas de detección de
intrusiones cada día mediante sensores que cubren 500 000 direcciones IP en más de
50 países. El ISC identifica los sitios utilizados para los ataques y proporciona datos
sobre los tipos de ataques lanzados contra diversos sectores y regiones del mundo.
Haga clic aquí para visitar el Internet Storm Center. El sitio web ofrece los siguientes
recursos:
El SANS apoya el Internet Storm Center. El SANS es una fuente confiable para la
investigación, la certificación y la capacitación en seguridad informática.
El Centro de Ciberseguridad Avanzada (ACSC) es una organización sin fines de lucro que
reúne a la industria, los círculos académicos y el gobierno para abordar las
ciberamenazas avanzadas. La organización comparte información sobre ciberamenazas,
participa en la investigación y el desarrollo de la ciberseguridad y crea programas
educativos para promover la profesión de la ciberseguridad.
Escáneres de vulnerabilidades
Parches faltantes.
Puertos abiertos.
Direcciones IP activas.
Pruebas de penetración
Uno de los motivos principales por los que una organización utiliza las evaluaciones de
intrusión es la búsqueda y la corrección de las vulnerabilidades antes de que lo hagan
los ciberdelincuentes. La prueba de penetración también se conoce como hackeo ético.
Analizadores de paquetes
Haga clic aquí para ver una comparación de los analizadores de paquetes.
Herramientas de seguridad
Kali
Una organización debe tener la capacidad de supervisar las redes, analizar los datos
resultantes y detectar actividades maliciosas. Haga clic aquí para acceder a una serie de
herramientas de análisis de tráfico desarrolladas por el CERT.
Administradores de seguridad.
Los constructores son los verdaderos técnicos que crean e instalan soluciones de
seguridad.
Haga clic en los puestos de seguridad informática que desempeñan una función clave en
cualquier organización para conocer los componentes clave de cada uno.
Indeed.com
Publicitado como el sitio de trabajo número uno del mundo, Indeed.com atrae a más de
180 millones de visitantes exclusivos por mes de más de 50 países diferentes. Indeed es
verdaderamente un sitio de trabajo mundial. Indeed ayuda a las empresas de todos los
tamaños a contratar a los mejores talentos y ofrece las mejores oportunidades para
quienes buscan trabajo.
CareerBuilder.com
USAJobs.gov
El gobierno federal publica cualquier vacante en USAJobs. Haga clic aquí para obtener
más información sobre el proceso de aplicación utilizado por el gobierno
estadounidense.
Resumen: