Módulo 1.

Conceptos Básicos Y Contexto Actual

De La Ciberseguridad.
La importancia de la ciberseguridad y sus implicaciones
En una sociedad tecnológica y en red como la actual, la ciberseguridad afecta
prácticamente a todas las facetas de la vida cotidiana de personas, organizaciones y
gobiernos. Vamos a analizar las implicaciones que esto tiene con más profundidad.

Ciberseguridad: el conjunto de servicios, mecanismos y políticas que aseguran que

el modo de operación de un sistema informático sea seguro, tanto el que se
especificó en su fase de diseño, como el que se configuró en tiempo de
administración/uso. Para conocer cómo proteger un activo, debemos conocer aquello
que lo amenaza, por ello utilizaremos un enfoque de ataques/contramedidas (también
conocido como seguridad ofensiva/defensiva).

Seguridad: Protección de activos frente amenazas.

Activo: Es un bien tangible o intangible que posee una persona o una organización.
Amenaza: Hecho que puede producir un daño.

Contexto actual y ejemplos

Estamos hablando de proteger activos frente a amenazas, pero ¿es esto necesario en
nuestro contexto actual? Cuando se trabaja en ciberseguridad se plantea esta pregunta a
menudo, pero ¿quién va a querer atacarme a mí o a mi organización? Si yo no soy
importante.
En primer lugar hay que considerar que la ciberseguridad nos protege, no sólo de
ataques intencionados, sino de accidentes provocados por catástrofes naturales,
descuidos de empleados sin mala intención, etc. Y en segundo lugar, aunque a veces nos
cueste comprenderlo, en el contexto actual los ataques intencionados están a la orden
del día, tanto los que nos convierten en víctimas por azar (probablemente por ser un
objetivo sencillo debido a nuestro nivel de desprotección) como los que van dirigidos
específicamente contra nosotros o nuestra organización con un objetivo muy concreto,
que casi siempre será económico.

Desconfianza por supervivencia.

Basta con atender a las noticias en los medios de comunicación generalistas todos los
días. Si te fijas, es raro el día que no surja alguna noticia relacionada con un ataque a la
ciberseguridad. En los últimos dos años los ataques más sonados y que más han dañado
a la reputación de gobiernos y grandes corporaciones han sido los que han provocado
denegaciones de servicio (las plataformas de videojuegos para consolas y de
videojuegos on-line más importantes, Apple Daily y PopVote durante las protestas en
Hong Kong, SpamHaus, GitHub y distintos medios de comunicación europeos han
sufrido recientemente este tipo de ataque) y brechas de datos (diferentes casos en el
gobierno de EEUU, la Universidad de Harvard, Citibank, Banco Santander, AT&T,
Sony, EBay, JPMorgan, Yahoo, redes sociales y multitud de hospitales y de compañías
de seguros de salud, por ejemplo). Pero no hay que olvidar otras amenazas que están
siendo muy graves en la actualidad y que estudiaremos en las próximas semanas.

Te vamos a recordar a continuación algunos ejemplos significativos cuyos detalles

técnicos analizaremos en profundidad a lo largo del MOOC:

 En el verano del 2014 el troyano bancario Luuuk consiguió robar, en sólo una
semana, alrededor de 680.000 dólares a particulares italianos y turcos.
 En las Navidades del 2014 el grupo de hackers Lizard Squad realizó un ataque de
denegación de servicio distribuido, que dejó sin servicio a los usuarios de la
PlayStation Network y de Xbox Live (probablemente, en los días de más uso de
todo el año). Posteriormente, este grupo lanzó un servicio que permitía a usuarios
inexpertos pagar por realizar este mismo tipo de ataque, hasta que ellos mismos
fueron atacados y se hicieron públicas las identidades de sus 14.242 usuarios.
 A principios del 2015 McAfee descubrió en la deep web una herramienta on-line y
gratuita denominada Tox que permitía crear y parametrizar con facilidad (incluso
para aquellos sin conocimientos específicos sobre ciberseguridad) software de tipo
ransomware, una de las plagas más destacadas de los últimos meses, que consiste
en un malware que encripta los datos de la víctima y le ofrece desencriptarlos a
cambio de un rescate, lo podríamos denominar como "un secuestro digital en toda
regla".

El número de usuarios afectados por ransomware no ha dejado de crecer en los últimos

meses.

 Además, Lenovo reconoció haber comercializado ordenadores portátiles con un

adware instalado (Superfish) capaz de realizar ataques de man-in-the-middle, que
secuestraban el tráfico HTTP y HTTPS para insertar publicidad de Lenovo y de sus
socios en los sitios web visitados por los usuarios. Pero este mismo adware podría
ser utilizado por terceros maliciosos con otros objetivos. El fabricante tuvo que
dejar de instalar este adware en sus nuevos equipos y deshabilitarlo en los ya
vendidos inmediatamente.
 En el verano del 2015 las contraseñas de usuario de los empleados de 47 agencias
del gobierno estadounidense fueron reveladas. Algo especialmente crítico en las 12
agencias en las que estas contraseñas se empleaban como único factor de
autenticación. Semanas antes el gobierno federal tuvo que reconocer que en un
ataque anterior se podrían haber robado cerca de 4.000.000 de números de la
seguridad social, correspondientes a empleados suyos.
 Más o menos al mismo tiempo, el servicio LastPass (para recordar las contraseñas
de todos los servicios de Internet de un usuario a partir de una contraseña maestra)
fue comprometido, lo que obligó a la compañía a pedir a todos sus usuarios a
cambiar su contraseña maestra por precaución. Pero no ha sido la única compañía
relacionada con la ciberseguridad que ha tenido problemas en 2015, Karpersky o
Verizon, por poner un par de ejemplos, también han tenido que reconocer que han
sido objetivo de ataques que han comprometido datos de sus clientes.
 Uno días después el grupo Impact Team robó la base de datos del sitio web Ashley
Madison para chantajear a la compañía propietaria, Avid Life Media. Como esta
compañía no cedió al chantaje, los atacantes hicieron públicos todos los datos
 robados (correspondientes a 37 millones de usuarios), lo que provocó incluso
suicidios.
 Por último hay que recordar que el mayor robo en el año 2015 fue completamente
digital. Un grupo desconocido de cibercriminales consiguió infiltrarse desde el año
2013 en numerosos bancos de Rusia, EEUU, China, Alemania o Ucrania (en total
100 bancos en 30 países) mediante ataques de phishing con ficheros adjuntos
infectados por malware. Esta infiltración ha permitido a los ladrones sacar dinero
en cajeros o transferirse efectivo a cuentas controladas por ellos. Kaspersky Lab
sigue investigando este ciberataque, pero se cree que se ha robado alrededor de 1
billón de dólares.

Desde entonces, hemos observado cómo más de 200.000 ciudadanos de Ucrania se

quedaban sin energía en pleno invierno tras un ciberataque, el robo al banco de
Bangladesh, la brecha de datos en un despacho de abogados que desencadenaba el caso
conocido como los "papeles de Panamá" o la caída de los servicios más importantes de
Internet durante horas. Incluso se sospecha acerca de la influencia de gobiernos terceros
en procesos electorales, o incluso de la posible manipulación de sus resultados. ¿Qué
decir acerca de esa semana del pasado Mayo en la que los medios de comunicación no
hablaban de otra cosa que del WannaCry?

En 2014 se reconoció el robo de 1.023.108.267 registros con datos de particulares

(emails, dirección particular, número de seguridad social, tarjeta de crédito, etc.). La
cifra no deja de crecer desde entonces, puedes comprobarlo casi en tiempo real en este
enlace

Enfoque actual para la ciberseguridad y su ciclo continuo

¿Cómo se trabaja hoy en día en el campo de la ciberseguridad? ¿Qué tipo de
enfoques y paradigmas se siguen?
Como puedes imaginar, en un área que evoluciona tan rápido estos enfoques y
paradigmas cambian constantemente. Los profesionales deben tener la capacidad
de adaptarse en cada momento a su entorno y de proponer nuevas soluciones,
controles, defensas y contramedidas. Aunque en esencia, lo que llamamos en el
siguiente vídeo el ciclo continuo de la seguridad es un marco de trabajo en el que
siempre pueden basarse para trabajar.

Por lo tanto recuerda no irte a los extremos: no te despreocupes por la ciberseguridad,

sea cual sea tu entorno de trabajo, seguro que hay amenazas que tienes que analizar.
Pero tampoco te abrumes ni te vuelvas un paranoico, poco a poco. Intenta ver el
problema como una búsqueda del equilibrio y ten en cuenta tu punto de partida: el nivel
de madurez tecnológica de tu organización.
A partir de ese punto, céntrate en "entrar en la rueda" identificar-prevenir-detectar-
responder-recuperar, teniendo siempre en cuenta el enfoque incremental y la mejora
continua. Y no tengas miedo a fallar, por mucho que se protejan los activos, en algún
momento puede haber incidentes de seguridad, lo importante es responder
adecuadamente y aprender de esos fallos para el futuro. Las películas y las series en las
que se trata la ciberseguridad no son realistas: ni los hackers consiguen sus objetivos a
la primera ni los profesionales de la ciberseguridad pueden convertir sus sistemas en
inexpugnables.
Te lo imaginabas ¿verdad?

Ciberseguridad Clásica: Se basa en la protección básica del perímetro de la red. Los

activos estaban protegidos dentro del perímetro de la red. Lo demás quedaba fuera. -
>FORTIFICACION

GESTIONAR LA RED->ACTIVOS A PROTEGER y de que.

Prevenir posibles problemas.

Medios para dectectarlos y mecanismos para contestar a estos problemas.
En caso de problema recuperar activos en menos tiempo.
En tiempo incremental. Poco dinero y pocos recursos. Mejora

Principios de la ciberseguridad en el contexto actual

Como puedes imaginar, la seguridad completa no existe. Pero ¿qué principios se
siguen en la actualidad para conseguir el máximo de nivel de seguridad en una
organización? ¿Se busca siempre el máximo nivel, o es mejor buscar un nivel óptimo
teniendo en cuenta un compromiso entre seguridad, esfuerzo, recursos, etc.?
Vamos a intentar dar respuesta a estas preguntas.

Siempre que trabajes en ciberseguridad recuerda estos tres principios:

 Mínimo privilegio.
 Mínima superficie de exposición.
 Defensa en profundidad. Principio de la cebolla. Se contruyen por capas en
distintos niveles.

En ciberseguridad, mejor pagar lo necesario para tener que rezar lo justo.

Funcionalidad -> No puede afectar la ciberseguridad

Facilidad de Uso

Principio de funcionalidad: Que no se anulen unas a otras y que no degraden el

rendimiento de los activos.

Los pilares de la ciberseguridad

En el siguiente podcast puedes escuchar las definiciones de confidencialidad, integridad
y disponibilidad, así como las de otros aspectos que suelen asociarse a estos pilares
clásicos de la ciberseguridad.
Tal y como has escuchado al final del audio, es muy importante aprender a priorizar.
Pero para ello es necesario que primero comprendas algunos conceptos esenciales en
ciberseguridad.
Alguno ya lo hemos empleado, pero ¿sabes qué implica exactamente una amenaza en
ciberseguridad? ¿Y en qué se diferencia de una vulnerabilidad? ¿O cómo se cuantifica
el riesgo que se corre?
Porque son estos conceptos los que te van a ayudar a establecer prioridades... Dentro de
una hora lo tendrás más claro, es lo siguiente que estudiaremos.

Disponibilidad-> un usuario siempre pueda acceder activos y pueda

Integridad los activos no pueden ser modificados
Confidencialidad-> privacidad.

Se pueden añadir:

Control de acceso – prevenir el uso no autorizado de un activo

No repudio-> prevenir que un emisor niegue su participación en una comunicación

Conceptos de amenaza, riesgo y vulnerabilidad

Un sistema seguro es un sistema para el que existe una garantía de que se comportará
de acuerdo a aquello para lo que fue diseñado. Es prácticamente imposible que un
sistema sea seguro al 100%.
A continuación vamos a estudiar los conceptos de riesgo, amenaza y vulnerabilidad.
Ten cuidado, son conceptos muy relacionados entre sí pero que debes aprender a
distinguir, habitualmente se confunden y usan indistintamente, pero esto no es correcto.
En el ámbito de la ciberseguridad, podemos definir el riesgo como la probabilidad de
que ocurra un incidente de seguridad. Como el riesgo no es más que una probabilidad,
se puede medir y se suele cuantificar con un número entre 0 y 1 o con un porcentaje.
Por otro lado, la amenaza es una acción que podría tener un potencial efecto negativo
sobre un activo. Es decir, una amenaza es cualquier cosa que pueda salir mal. Hay que
tener en cuenta que una amenaza por sí misma no provoca un daño, pero podría
provocarlo. Las amenazas se comprenden mejor si se clasifican atendiendo a cómo
pueden dañar a un activo: esencialmente, pueden afectar a su disponibilidad, a su
confidencialidad o su integridad (también pueden saltarse el control de acceso).
Para que se produzca un daño es necesario que exista una debilidad o fallo en el sistema
que permita que se materialice una amenaza. Estas debilidades, fallos o “agujeros de
seguridad” son las vulnerabilidades, que pueden ser de diferente naturaleza, de diseño,
de arquitectura y configuración, de estándares de uso y procedimientos, etc. Es decir,
cuando se dice que un activo es vulnerable, significa que tiene un agujero que puede
ser aprovechado para provocar un incidente de seguridad. Cuanto mayor sea el número
de vulnerabilidades de un activo, mayor riego se corre de que se materialice una
amenaza (porque la probabilidad del incidente se incrementa, un potencial atacante tiene
más posibilidades de éxito). Pero no sólo es importante el número de vulnerabilidades,
sino también su criticidad. Ya iremos hablando de esto en las siguientes pantallas.
Algunos conceptos aparecen a menudo asociados al de vulnerabilidad. Por ejemplo, es
típico hablar de exploits. Un exploit no es más que es un programa o fragmento de
código creado específicamente para explotar una vulnerabilidad del sistema. Estos
exploits tienen la doble vertiente, por un lado, sirven a los profesionales de la seguridad
para conocer una vulnerabilidad y comprenderla mejor, para saber si un sistema
presenta esta vulnerabilidad, para analizar cómo la explotaría un atacante, etc. Pero
también pueden ser utilizados directamente por los atacantes durante los ataques. Esta
doble vertiente es muy común en ciberseguridad, como comprobarás a lo largo del
MOOC.
 El riesgo está relacionado de manera directa con las amenazas, las vulnerabilidades y sus
posibles impactos en la organización.

Un sistema seguro es un sistema que se comportara como se ha diseñado.

Ciclo y contexto de una amenaza

Estas dos figuras te pueden ayudar a comprender el ciclo y el contexto de una amenaza
actual, están extraídas de documentación y estándares muy conocidos y se basan en el
vocabulario que se maneja habitualmente. Invierte un momento en analizarlas y en
comprender los conceptos que resumen.
Ejemplos de amenazas, riesgos y vulnerabilidades
Veamos algunos ejemplos de estos conceptos para terminar de comprenderlos. En lo
que se refiere al riesgo, como ya hemos dicho no es más que la probabilidad de sufrir
una amenaza, así que diríamos "estamos corriendo un riesgo alto de sufrir una brecha de
datos" o "el riesgo de sufrir una denegación de servicio es bajo". Incluso si utilizamos
alguna metodología de análisis de riesgo que nos permita cuantificarlo, hablaríamos en
estos dos ejemplos de un riesgo 90 o de un riesgo 10.

En cuanto a las amenazas, estos serían algunos ejemplos:

 Virus informáticos y malware en general.

 Daños físicos en los equipos y centros de datos (intencionados o por desastres naturales).
 Pérdida o robo de portátiles y dispositivos móviles.
 Brechas de datos.
 Denegaciones de servicio.
 Robo de identidad/credenciales.

La siguiente figura presenta un resumen de las amenazas más relevantes en el año 2014
según la ENISA, teniendo en cuenta por separado las tecnologías, modelos y
paradigmas más emergentes. Inmediatamente llama la atención la tendencia creciente de
casi todas ellas en la inmensa mayoría de los escenarios considerados. ENISA publica
anualmente un informe con las amenazas más importantes (ETL por ENISA's Threat
Landscape), pero no es la única institución que lo hace, puedes encontrar informes
similares de otros organismos y empresas del sector de la ciberseguridad, normalmente
al final o al principio de cada año.
 Amenazas más relevantes en el 2014 según el informe anual de ENISA. Puedes consultar
el informe del 2015 y el del 2016 (siempre se publica antes del verano) y comparar su
evolución.

Por último, si nos centramos en vulnerabilidades, estos serían algunos ejemplos:

 Formulario web que no comprueba los parámetros introducidos por el usuario.

 Mala ubicación de un servidor de base de datos dentro de la red corporativa.
 Hardware obsoleto y sistemas operativos sin actualizar.
 Ausencia de copias de seguridad.
 Cuentas de usuario mal configuradas.

Como puedes ver, afectan a todo tipo de activos y pueden ser de muy distinta
naturaleza. Como ya hemos visto con anterioridad, puede ayudarte a comprenderlas el
clasificarlas en función del "responsable" (piensa quién tiene la culpa de la
vulnerabilidad y por lo tanto, a quién le correspondería arreglarla). En la figura
siguiente podemos ver los tipos de vulnerabilidades haciendo esta clasificación:
vulnerabilidades de diseño, de arquitectura y configuración )por lo tanto, no de diseño
sino de despliegue) o de estándares de uso/procedimientos. En este último caso, el
problema no viene de la fase de diseño, ni siquiera de la despliegue, sino de un mal uso
de los activos por falta de políticas, por una mala definición de las mismas, etc. Dentro
de poco analizarás la importancia del factor humano en ciberseguridad, y verás cómo
puede provocar un gran número de vulnerabilidades.
 Tipos de vulnerabilidades atendiendo a su causa.

Ciclo de vida de una vulnerabilidad

Las vulnerabilidades de código son quizás las más conocidas, analizadas y clasificadas.
Nos centraremos en la categoría de vulnerabilidades de software, y sólo de diseño, dado
que hasta el momento no se han dado estas iniciativas para otros tipos de
vulnerabilidades. Vamos a estudiar a continuación el ciclo de vida de una
vulnerabilidad de código:
1. Detección y descripción de la vulnerabilidad con su CVE-ID. Se trata de un estándar de
nomenclatura de vulnerabilidades con el fin de facilitar el intercambio de información
entre diferentes bases de datos y herramientas.
2. Implementación de la explotación de la vulnerabilidad del sistema (desarrollo de
exploits).
3. Solución al problema.
4. Generación de parche de actualización o de nueva versión del código.

La CVE (Common Vulnerabilities and Exposures) es una lista de información

registrada sobre vulnerabilidades de software conocidas. Cada referencia tiene un
número de identificación único, el CVE-ID asignado durante la primer fase del ciclo de
vida. De esta forma se consigue una nomenclatura común y pública de las
vulnerabilidades, al igual que la CWE (Common Weakness Enumeration) realiza la
misma labor con las debilidades (que es un concepto algo más amplio que el de
vulnerabilidad). Además la organización internacional FIRST gestiona y mantiene
el CVSS (Common Vulnerability Scoring System), un sistema de valoración de
vulnerabilidades creado como un método estándar para determinar la "criticidad" de las
vulnerabilidades desde diferentes puntos de vista y poder clasificarlas, ya que el CVE se
limita a proporcionarles un identificador y a enumerarlas, sin entrar a valorarlas desde
ningún punto de vista.

El formato para identificar los elementos de la lista CVE es:

CVE-YYYY-NNNN dónde YYYY indica el año y NNNN el número de vulnerabilidad.

Desde el año 2014 se contempla utilizar más dígitos para el código de vulnerabilidad, en
previsión de que sean detectadas más de 9999 vulnerabilidades en un año. Para registrar
una vulnerabilidad se deben superar tres etapas:

 Tratamiento: El CVE Content Team analiza, investiga y procesa las solicitudes de registro
de nuevas vulnerabilidades.
  Asignación del CVE-ID: Habitualmente, los grandes fabricantes reservan en el año un
"lote" de IDs que van asignando a sus boletines de seguridad, y los individuos que piden
registrar una vulnerabilidad también pueden hacer una pre-reserva de ID. Pero si ningún
fabricante o individuo asume/registra la vulnerabilidad, es el CVE Content Team o el
editor encargado quien asigna directamente el identificador.
 Publicación: Se agrega la vulnerabilidad a la lista, se publica en el sitio web, se redacta la
descripción, se van añadiendo nuevas referencias, etc.

Se pueden dar casos especiales, en los que un CVE-ID puede necesitar dividirse en
distintos identificadores debido a la complejidad de la vulnerabilidad. Aunque también
puede darse el caso inverso, es decir, que varios identificadores se agrupen. Es posible
incluso, que algún CVE-ID sea eliminado de las listas junto con su respectivo
contenido; esto puede deberse a distintos factores:

 Que una vulnerabilidad ya haya sido registrada bajo otro CVE-ID y se compruebe
posteriormente que se trata de la misma.
 Que un posterior análisis de la vulnerabilidad demuestre que en realidad no existe.
 Que el informe relativo a la vulnerabilidad deba ser reformulado en su totalidad.

Existen diferentes listas/bases de datos de vulnerabilidades: horizontales (genéricas,

casi todas son subconjuntos del CVE) y verticales (sectoriales). Estas bases de datos
deben ser consultadas con regularidad por auditores y administradores para conocer las
amenazas a las que se están exponiendo los activos. Se denomina zero day (0-day) al
día que una vulnerabilidad se hace pública en este tipo de bases de datos y por lo tanto,
se hace conocida para toda la comunidad de administradores y usuarios. Y tiempo de
reacción, al tiempo que, desde este día, se tarda en tener una solución, mediante algún
tipo de parche o actualización del software o incluso con una nueva versión.

Se conoce como vulnerabilidad de zero day o 0-day (vulnerabilidad de día 0) a la

situación que aparece cuando sólo una persona (o muy pocas personas) conocen una
vulnerabilidad y están en una situación de ventaja para poder explotarla. Es decir, la
persona que ha encontrado la vulnerabilidad no la ha hecho pública, de modo que ni el
fabricante ni los administradores/usuarios son conocedores del problema. Los atacantes
más avanzados suelen dejar de explotar una vulnerabilidad de día cero una vez que esta
se hace pública y se remedia, para evitar ser detectados, buscan emplear una
vulnerabilidad alternativa. En el año 2013 se detectó la explotación de 23
vulnerabilidades de día 0, lo que supone un aumento del 61% respecto a las detectadas
el año anterior. Este incremento se ha seguido observando estos últimos años ya que
este tipo de vulnerabilidades cotizan al alza en el mercado negro.

Análisis de riesgo
Asegurar un sistema supone realizar un análisis de riesgo adecuado y desplegar los
mecanismos, contramedidas y controles necesarios para alcanzar el máximo nivel de
seguridad posible. En la siguiente figura se presenta un proceso típico de análisis del
riesgo:

Proceso de análisis de riesgo.

 El análisis del riesgo debe ser un ciclo continuo debido al rápido avance de las TIC.

Existen multitud de herramientas y metodologías para realizar estos procesos de análisis

de riesgo, cada organización o compañía debe seleccionar el más adecuado para su
tamaño, sector de actividad, regulación que le afecta, etc. Para que te hagas una idea de
cómo se llevan a cabo estos análisis a continuación te presentamos un sencillo ejemplo
de análisis del riesgo con CRAMM (CCTA Risk Analysis and Management
Method). Los tres pasos del análisis son:
 Paso 1. Establecimiento de objetivos.
 Paso 2. Evaluación del riesgo.
 Paso 3. Selección de contramedidas.

Paso 1.Establecimiento de objetivos.

Se define el alcance del sistema evaluado. En este paso se identifican:

 Activos físicos del sistema (hardware, redes).

 Software, aplicaciones y servicios.
 Datos e información.
Y se valora el impacto económico para el negocio que tendría que no estuvieran
disponibles, que se destruyeran, que se revelaran o que se accediera a ellos sin
autorización (para tener en cuenta amenazas a la disponibilidad, a la integridad, a la
confidencialidad, al control de acceso, etc.).

Paso 2. Evaluación del riesgo.

Se enumeran las amenazas que puede sufrir el sistema y a continuación se estima la
frecuencia esperada para estas amenazas. Por ejemplo, con una escala del 1 al 10,
(donde Impacto 1 implica menos de una vez cada 10 años y en el otro extremo el
impacto 10 implica al menos una vez al mes).

También se analizan las principales vulnerabilidades asociadas a los activos

identificados. Y se estima en qué grado es vulnerable cada activo. En este caso, la
calificación tiene que ver con la probabilidad de que nuestro sistema sufra la peor de las
consecuencias ante una determinada amenaza. Por ejemplo: vulnerabilidad 1 implica
que hay menos de un 10% de probabilidad de ver el peor escenario mientras que
vulnerabilidad 10 implica una probabilidad de entre un 90 y un 100% de ver el peor
escenario.

Si se combina la frecuencia esperada con este grado de vulnerabilidad mediante una

sencilla multiplicación es posible cuantificar el riesgo.

Paso 3. Selección de contramedidas.

Supongamos que tras el paso 2 del análisis del riesgo hemos identificado tres amenazas
para un determinado activo que es crítico para la organización. Y que hemos
cuantificado el riesgo de estas tres amenazas como 90, 64 y 56. Con las siguiente tabla
podríamos priorizar las contramedidas y saber cuál es la inversión máxima
recomendada en cada una de ellas. Recuerda siempre que si estimas los impactos
económicos por año, tienes que tener en cuenta la vida media de las contramedidas
(puedes invertir 100.000 euros un año pero que la contramedida te dure 10 años, por
ejemplo, y eso hay que tenerlo en cuenta).

Riesgos Tipo de amenaza Impacto económico en el Inversión máxima

peor escenario (pérdidas recomendada (anual)
anuales)

90 Destrucción física/lógica Por parada en el servicio 90% de X

y/o pérdida de imagen: X
 64 Incapacidad de acceder a Por descontrol de los 64% de Y
la información acerca de procesos de venta: Y
los clientes

56 Actuación maliciosa Por daños al cliente y/o 56 % de Z

pérdida de imagen: Z

El análisis de vulnerabilidades pasa por ser uno de los pasos críticos para la
evaluación del riesgo, se utilice la metodología que se utilice siempre es necesario. De
hecho para cualquier plan director de seguridad o iniciativa de fortificación, se trata
del punto de partida, hay que saber qué vulnerabilidades presentan nuestros activos en el
presente. Dado lo rápido que caducan estos procesos, debemos hablar de un ciclo
continuo de análisis. Podemos clasificar los diferentes análisis en tres grandes bloques:
 Caja negra: El auditor o analista trabaja sin conocimiento previo del objetivo, se simula
un ataque real y se evalúa el comportamiento del sistema desde fuera. Es posible
identificar síntomas, pero no causas, dando lugar a un gran número de falsos negativos
(no detectar como un problema algo que realmente sí lo es).
 Caja blanca: Se basa en un conocimiento completo del objetivo por parte del auditor o
analista. En este caso, se identifican los orígenes de posibles vulnerabilidades
(debilidades), si bien es posible que se generen gran número de falsos positivos (detectar
como un problema algo que realmente no lo es).
 Caja gris: Se trata de una solución intermedia que intenta combinar los beneficios de los
dos métodos anteriores, el auditor o analista no trabaja a ciegas pero tampoco con el
100% de la información acerca de los activos analizados.

La importancia del factor humano en ciberseguridad

¿Cómo es más probable que se produzca una brecha de datos en una organización? La
respuesta habitual sería “por el ataque de un hacker”. Sin embargo, todos los estudios
apuntan a que un descuido o un ataque intencionado de un empleado de la propia
empresa son los responsables de las mayores pérdidas de datos de las organizaciones.
Aunque menores en número, estos ataques son mucho más dañinospara la
organización que los ataques maliciosos externos (más de dos tercios de los datos
expuestos el año pasado, en volumen, lo fueron por causa interna según la Open
Security Foundation).
Las personas formamos parte de la seguridad de los sistemas. Por un lado, somos las
personas las que los diseñamos desarrollamos, desplegamos, configuramos; por otro,
somos también las personas quienes los utilizamos. Somos parte ineludible de la
seguridad, pero no somos máquinas, de ahí que el factor humano en la seguridad sea
más difícil de controlar, de predecir, de mitigar, etc., como veremos en las amenazas
que aprovechan el factor humano que vamos a tratar en esta unidad.
Se habla a menudo de que las personas somos el “eslabón más débil” en la
ciberseguridad, como muy bien nos recuerda Kevin Mitnick (un famoso hacker experto
en ingeniería social entre otras cosas): "Usted puede tener la mejor tecnología, firewalls,
sistemas de detección de intrusos, dispositivos biométricos. Lo único que se necesita es
una llamada a un empleado desprevenido para acceder al sistema sin más. Tienen todo
en sus manos".
Muchas veces somos nosotros mismos los que sin darnos cuenta facilitamos demasiada
información, como se puede analizar en los siguientes ejemplos:
 En 2005 se detuvo al asesino en serie de Wichita conocido como BTK que asesinó a 10
personas entre 1974 y 1991. Para su arresto fue fundamental la información recuperada
de los metadatos de un documento en Word que estaba en un disquete que el propio
asesino envió a una cadena de televisión y que no había borrado de forma segura.
 Hay una página web que localiza las viviendas de miles de gatos (y por tanto de sus
dueños) en el mundo gracias a los metadatos de geolocalización de las fotografías que
sus dueños publican en Internet.
 En junio de 2015 el ejército de los Estados Unidos bombardeó un cuartel general del
Estado Islámico que fue localizado gracias a la publicación de un “selfie” de uno de los
miembros de dicha organización.

En la siguiente pantalla veremos más ejemplos de amenazas que aprovechan descuidos,

la falta de (in)formación o la excesiva confianza por parte de los empleados para lograr
que estos instalen software malicioso o revelen información sensible. Según el informe
de Forrester “Understand the state of data security and privacy” de 2013 la causa más
frecuente de brechas de datos (36%) fue el descuido o mal uso de la información por
parte de los empleados de forma inconsciente. De hecho, casi todos los ciberataques
aprovechan en algún momento el factor humano, sobre todo en las primeras fases del
ataque para recoger información sobre el objetivo, robar credenciales o instalar algún
tipo de malware.

Algunos ejemplos de ataques externos detectados recientemente que suelen comenzar

con el envío masivo de emails (phishing o spear-phishing, como veremos un poco más
adelante) son los siguientes:

 Epic Turla: Campaña de ciberespionaje detectada en 2014 y que empleando técnicas de

spear-phishing y watering-hole desde 2007 consiguió infectar miles de memorias USB y
los equipos en los que éstas se utilizaban.
 Darkhotel APT: Campaña que tiene como objetivo altos ejecutivos que se alojan en
hoteles durante sus viajes de negocios, donde son víctimas de este malware.
 Red October: Campaña que desde 2008 ha afectado a cientos de agencias diplomáticas y
gubernamentales, instituciones y empresas de todo el mundo, no sólo a sus equipos
informáticos, sino también a sus teléfonos móviles.
 MiniDuke: Ce destapó en 2013 robando datos de casi 60 agencias gubernamentales y
entidades de investigación.
 NetTraveler: Campaña de 2004 que se descubrió en 2013 y que obtuvo datos sobre la
exploración del espacio, nanotecnología, producción energética, plantas nucleares,
láseres, medicina y telecomunicaciones de más de 350 organizaciones de 40 países.
 IceFog: Desde 2011 hasta 2013 atacó a numerosas instituciones de gobiernos, contratas
militares, navieras, operadoras de telecomunicaciones y satélites, empresas industriales y
tecnológicas y de comunicación, al igual que todas las anteriores con el spear-phishing
como primer paso.
Además, si tenemos al “enemigo en casa” es más difícil protegernos, no sólo de
descuidos, ignorancia o ganas de agradar de nuestros compañeros o empleados sino
también de los ataques intencionados desde dentro (la denominada amenaza
del malicious insider), de empleados descontentos o ambiciosos con acceso a equipos e
información sensible, que son de los más peligroso. Como buenos ejemplos que han
salido a la luz pública recientemente tenemos los siguientes casos:

Edward Snowden
Consultor tecnológico estadounidense, informante, antiguo empleado de la CIA y de la
NSA. En 2013 hizo públicos documentos clasificados como alto secreto sobre varios
programas de la NSA, incluyendo los programas de vigilancia masiva PRISM y
XKeyscore.

Bradley Manning
Ex-soldado y analista de inteligencia del ejército de Estados Unidos. En 2010 filtró a
Wikileaks miles de documentos clasificados de las guerras de Afganistán e Irak,
incluyendo cables diplomáticos de varias embajadas estadounidenses y el vídeo del
ejército conocido como “Collateral murder”, en el que se ve cómo un helicóptero
estadounidense mata a un grupo de civiles en Irak, del que formaban parte dos
periodistas de la agencia Reuters.

Hervé Falciani
Ingeniero de sistemas italo-francés que trabajó en reforzar la seguridad de la filial suiza
del banco HSBC entre 2001 y 2008. En ese periodo logró sustraer información de hasta
130.000 evasores fiscales (la conocida como “lista Falciani”) que desde 2009 es
utilizada por la justicia de varios países para luchar contra el fraude fiscal.
En ciberseguridad estamos acostumbrados a aplicar soluciones tecnológicas “sencillas”,
empleando productos existentes en el mercado para cubrir la parte técnica de las
amenazas. Y a menudo nos limitamos a eso: “tengo un antivirus/firewall instalado,
entonces ya estoy seguro”. Sin embargo, el factor humano necesita otro tipo de
soluciones más difíciles de implementar, más complejas, a medio/largo plazo, basadas
en la creación de políticas y procedimientos de seguridad, su difusión entre los
usuarios, la motivación de los mismos a aplicarlas, la generación de cambios de
comportamiento, etc.
En muchas ocasiones es una mala experiencia (por ejemplo, la pérdida de un
smartphone con información sensible) lo que dispara la alarma en la empresa de que hay
que tener en cuenta el factor humano en la seguridad, y es en ese momento cuando se
buscan posibles soluciones al problema.

Pero antes de entrar a describir los problemas y sus soluciones, sí que habría que dejar
claro que debemos cuidar ambas facetas de la seguridad, tanto la parte técnica como la
humana, pues dependen la una de la otra para lograr que nuestro sistema sea lo más
seguro posible. Un claro ejemplo es el eterno debate de seguridad frente a usabilidad,
donde debemos llegar a una solución de compromiso. Todos sabemos que una
contraseña de 20 caracteres combinando mayúsculas, minúsculas, símbolos y números y
que cambie todos los días será muy segura, pero eso es inmanejable por una persona.
Debemos buscar soluciones de seguridad adaptadas según el contexto al que van
dirigidas (tal vez esa política de contraseñas sea válida en una instalación militar, pero
no tendría ningún sentido aplicarla en el equipo de mi casa), y que sean comprensibles y
utilizables por el usuario.

Amenazas que aprovechan el factor humano

Muchas de las técnicas que amenazan a la seguridad que aprovechan el factor humano
se basan en la ingeniería social (social engineering). Esta es una mezcla entre ciencia,
psicología y arte, por la que se intenta influir o manipular a una persona para que lleve a
cabo acciones o facilite información confidencial, normalmente en contra de sus
intereses. Se trata habitualmente de técnicas psicológicas que combinadas con
ciertas habilidades sociales se aprovechan de la buena (o mala) fe de las personas de
dentro de una organización, para que realicen determinadas acciones (como por ejemplo
instalar software malicioso) u obtener de ellas información o acceso a zonas
restringidas, y poder así llevar a cabo un ataque con éxito. También se conoce como
“hackear a la persona” (human hacking).
Un atacante externo puede aprovechar los descuidos o la escasa formación de un
empleado para acceder a la información suficiente para realizar un ataque con éxito.
También puede ser directamente el propio empleado (insider) el que de forma
consciente (ya sea por venganza, por dinero, por coacción, etc.) proporcione la
información al atacante o incluso lleve él mismo a cabo el ataque.

Diferentes expertos en seguridad han demostrado con distintas pruebas y experimentos

que es muy sencillo obtener información confidencial de empresas, bancos,
hospitales, etc. con tan sólo una búsqueda en Internet de algunos datos del objetivo y
una simple (pero convincente) llamada de teléfono. Sorprendentemente preguntas como
“soy Sonia, de soporte, estamos teniendo problemas con la red y necesitamos reiniciar
tu equipo, ¿podrías hacerlo ahora? De no ser así, ¿podrías facilitarme tu usuario y clave
para poder hacerlo nosotros en remoto esta noche?” obtienen la información que
buscan sin levantar sospechas en la víctima. Tampoco solemos pedir identificación a la
persona que pasa detrás de nosotros en la puerta de acceso sin fichar (incluso le
sujetamos la puerta), o al técnico que viene a mirar un momento el ordenador. Muchos
somos confiados por naturaleza, y la ingeniería social aprovecha ese exceso de
confianza y nuestras ganas de agradar para obtener lo que busca: acceso al edificio,
credenciales, instalar un malware en un equipo, etc.
Ya verás que muchos de los ataques que veremos en este MOOC comienzan por una
recogida de información sobre el potencial objetivo. Para esta recogida se pueden
emplear técnicas de ingeniería social, algunos ejemplos son:

 No presenciales: Contacto con empleados, normalmente realizando algún tipo de

suplantación por teléfono (vishing), correo electrónico (phishing), mensajería
instantánea, etc.
 Presenciales: Búsqueda en la basura (dumpster diving), seguimiento de personas y
vehículos, vigilancia de salas y edificios, generación de situaciones de crisis, presión
psicológica, soborno, chantaje o extorsión, etc.

Mención especial merece el phishing. Consiste en el envío masivo de comunicaciones

(normalmente correos electrónicos) desde lo que parece un origen de confianza, con el
aspecto de un escrito real en el que requiere al receptor que facilite determinada
información, bien respondiendo al email, bien conectándose a una página web que
parece real donde introducirá sus datos. El éxito del phishing se basa en el envío
masivo y la probabilidad, dado que el número de víctimas potenciales es muy grande,
es muy probable que alguna de ellas caiga en la trampa y facilite esa información que el
atacante tan amablemente solicita.

¿Quién no ha recibido un email como estos?

Además del phishing para la obtención de credenciales de usuario, también están los
correos de phishing que buscan que la víctima abra un documento de su interés o pinche
sobre un enlace que descargará software malicioso, y que aprovechará alguna
vulnerabilidad del equipo para funcionar con éxito. De hecho el phishing es uno de los
vectores de entrada más comunes de malware en los equipos.

Otras versiones del phishing son:

 Spear-phishing: Variante que perfecciona y personaliza la comunicación (la traducción

sería pesca con arpón), adaptándola a cada individuo, gracias a un análisis previo de la
empresa, los nombres de los empleados/jefes/personal de servicio técnico, nombres de
clientes, etc. En definitiva, cualquier información que pueda ser útil para hacer más
creíble la comunicación que va a recibir la víctima. Los envíos no son masivos como los
mencionados anteriormente, sino muy dirigidos a un grupo de posibles víctimas
concretas.
 Whaling: Tiene como objetivo los directivos de la empresa, de manera que al igual que
con el spear-phishing se personalizan mucho más las comunicaciones que se envían en
lugar de hacer envíos masivos. Este tipo de técnica suele tener una alta probabilidad de
éxito ya que los directivos no suelen asistir a las sesiones de concienciación o de
formación que se organizan para los empleados.

Además de los mencionados anteriormente, otros ataques basados en phishing de los

que seguro que has escuchado hablar son:

 En 2011 la multinacional de seguridad RSA recibió un ataque que costó a su empresa

matriz, EMC, 66 millones de dólares, además de ver comprometido su popular sistema
de autenticación en dos pasos (SecurID). El atacante envió dos correos de phishing a
varios empleados muy bien construidos, contenían un archivo adjunto de Excel que tenía
un exploit para una vulnerabilidad de 0-day que instalaba una puerta trasera (por una
vulnerabilidad de Adobe Flash). Algunos empleados cayeron en la trampa.
 En 2013 la cadena de tiendas Target sufrió un ataque a su red con el que se obtuvieron
los datos de nada menos que 40 millones de tarjetas de crédito y débito. Lo curioso es
que las credenciales para acceder a la red de Target las obtuvieron mediante un ataque
por phishing previo (con el troyano Citadel), no a la empresa Target sino a su sub-
contrata Fazio Mechanical Services que se encargaba de la calefacción, ventilación y aire
acondicionado de las tiendas.
 En 2013 la cuenta de Twitter de Associated Press fue secuestrada, publicando la falsa
noticia de que dos explosiones en la Casa Blanca habían herido al Presidente Obama, algo
que provocó el desplome inmediato de la bolsa. Todo comenzó cuando algunos
empleados cayeron en la trampa de pinchar en el enlace que venía en el siguiente correo:
Sent: Tue 4/23/2013 12:12 PM

From: [An AP staffer]

Subject: News

Hello,

Please read the following article, it’s very important :

http://www.washingtonpost.com/blogs/worldviews/wp/2013/04/23/

[A different AP staffer]

Associated Press

San Diego

mobile [removed]

Watering-holes (la traducción sería abrevaderos) es otra de las técnicas que, aunque no
explota directamente el factor humano, sí que se suele emplear conjuntamente con
técnicas de recogida de información como las comentadas anteriormente. Se trata de
averiguar primero qué páginas o sitios web suelen visitar los empleados de la empresa
objetivo, para infectar alguna de ellas con malware o con algún exploit específico, de
forma que si algún empleado no está convenientemente protegido (de nuevo entra en
juego la probabilidad) pueda ver su sistema comprometido simplemente por el hecho de
visitar esa página o sitio. Es más sutil que el phishing y se suele emplear cuando éste
falla. El grupo de ciberespionaje “Hidden Lynx” es el rey de esta técnica, llevando a
cabo el ataque a la empresa de seguridad Bit9 en 2013, comprometiendo sus certificados
de firma de código que emplearon para firmar malware que usaron para atacar no sólo a
la propia Bit9 sino también a sus clientes. Otros ataques conocidos de este grupo fueron
VOHO y la Operación Aurora.
Hay muchas otras técnicas en las que interviene el factor humano, veamos un resumen
en el siguiente vídeo.

Cómo gestionar el factor humano: políticas y procedimientos

Una vez hemos analizado algunas de las posibles amenazas que se aprovechan del
factor humano, veamos ahora cómo podemos hacerles frente.

Para seguir mi última recomendación del vídeo, este es el enlace en la página web
de SANS. Las políticas de seguridad suelen resumirse en un enunciado corto, ni
demasiado genérico ni demasiado concreto y que no lleve a confusión acerca del
dominio o alcance de la política. Además, deben incorporar un bloque de Estándares
de seguridad en el que se especifican detalles concretos de uso del hardware y software
(y de otros tipo de activos) que afectan a sus usuarios. Teniendo en cuenta estos
estándares se define el bloque de Procedimientos de seguridad, que describe en detalle
los pasos a seguir por los administradores, el equipo de seguridad, etc. para implantar
las políticas de seguridad aprobadas por la organización. Estos procedimientos suelen
permitir definir a su vez Planes de seguridad, que son un conjunto de decisiones que
definen las acciones a seguir, así como los medios que se van a utilizar (planes de
instalación, testeo, administración, configuración, etc.) para que la organización esté
preparada para seguir las políticas que se han definido. Por ejemplo, si un estándar de
una política de seguridad pide a los usuarios que se conecten siempre a los activos de la
organización desde el exterior a través de una VPN, los procedimientos deben indicar a
los administradores cómo configurar y mantener esta VPN, y debe existir algún plan
que prevea el despliegue de esta VPN. Los estándares y procedimientos de seguridad se
completan cuando se define una política con las Guías y mejores prácticas,
sugerencias que no son obligatorias e información complementaria que pueden mejorar
el nivel de cumplimiento de objetivos, facilitar el trabajo de administradores y usuarios,
etc.

El valor de las empresas reside en los activos que las empresas poseen.

Para ello muchas empresas han creado CSO (Chief Security Officer) o CISO(Chief
Information Security Officer) encargado de supervisar la implementación del sistema de
gestión de la seguridad de la información.(SGSI)

Siguinedo normalmente algún estándar internacional como el iso 27001

Según el SGSI (Sistema de gestión de la seguridad de la información) se trata de varias

etapas.

1.Vision: introducir el tema de seguridad

2. Defeinir los provesos de flujo de información

Capacitar a los gerentes y directivod.

Designar y designar jefes de área.

Definir y trabajar en aureas que puedan tener mejoras rapidas

Comunicaciones internas sobre las mejoras

Identificar áreas de riesgo

Capacitar a todos lso trabajadores en seguridad

Protocolos de seguridad: Politicas de seguridad. RFC2196 como declaración formal de

las reglas de las personas que tienen acceso a una organización y que deben de seguir.

Ejmpleos: uso aceptable: organización permite o no permite hacera los usuarios de la

compañía (prohibir instalar, o escuchar música)
Conciencia de seguridad: especifica como el personal tiene la consciencia de como usar
la información

Clasificacion de activos: como se organizan los activos.

Seguridad física y mesas limpias: premite evitar robo de información sensible.

Sans.org esta todo esto.

Estandares de seguridad->detalles a seguir para implantar la seguridad.

Planes de seguridad – planes que se van a llevar a cabo.

Procedimientos ->guias y mejores practicas.

Ambitos y políticas de seguridad

S.Fisica

S.red corporativo

S.Usuario

S.Datos

Auditoria de Seguridad.

Aspectos legales.

Politicas de seguridad

Contraseñas, cambio de ellas que sean fuertes, que no se vean…

La gestión de las personas

Las organizaciones deben definir claramente unos roles y responsabilidades respecto a
la seguridad, de forma que cada miembro de la organización sepa exactamente qué
papel desempeña y qué obligaciones conlleva. En definitiva, qué se espera de él.
Veamos qué implica todo esto.