Cybersecurity Essentials2.pdf
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Cybersecurity Essentials2.pdf as PDF for free.
More details
- Words: 62,238
- Pages: 178
Loading documents preview...
Cybersecurity Essentials - ES 0118
Cybersecurity Essentials - ES 0118
1
Cybersecurity Essentials - ES 0118
2
Cybersecurity Essentials - ES 0118
3
Cybersecurity Essentials - ES 0118
4
Capítulo 1: la ciberseguridad, un mundo de paladines, héroes y delincuentes Muchos de los hackers originales del mundo eran aficionados, programadores y estudiantes de informática durante los años 60. Originalmente, el término hacker describió a las personas con habilidades de programación avanzada. Los hackers utilizan estas habilidades de programación para probar los límites y las capacidades de los primeros sistemas. Estos primeros hackers también estaban involucrados en el desarrollo de los primeros juegos de computadora. Muchos de estos juegos incluían paladines y destrezas. A medida que la cultura de hacking evolucionaba, incorporó el léxico de estos juegos en la cultura en sí. Incluso el mundo exterior comenzó a proyectar la imagen de los paladines poderosos sobre esta cultura de hacking incomprendida. Libros como Where Wizards Stay up Late: The Origins of The Internet (Cuando los paladines se quedan despiertos hasta tarde: los orígenes del Internet) publicado en 1996 agregó la mística de la cultura de hacking. La imagen y el léxico se estancaron. Muchos grupos de hacking hoy adoptan estas imágenes. Uno de los grupos de hacker más infames se lo conoce con el nombre de Legion of Doom. Es importante comprender la cultura cibernética para comprender a los delincuentes del mundo cibernético y sus motivaciones. Sun Tzu era un filósofo chino y guerrero en el siglo seis a. C. Sun Tzu escribió el libro llamado The Art of War (El arte de la guerra) que es un trabajo clásico sobre las estrategias disponibles para vencer al enemigo. Su libro ha orientado a los estrategas durante siglos. Uno de los principios guía de Sun Tzu fue conocer a su oponente. Aunque él se refería específicamente a la guerra, gran parte de sus consejos se traducen en otros aspectos de la vida, incluidos los desafíos de la ciberseguridad. Este capítulo comienza explicando la estructura del mundo de la ciberseguridad y el motivo por el que sigue creciendo. En este capítulo se analizará el rol de los delincuentes cibernéticos y sus motivaciones. Finalmente, en el capítulo se explica cómo convertirse en un especialista en ciberseguridad. Estos héroes cibernéticos ayudan a vencer a los delincuentes cibernéticos que amenazan el mundo cibernético.
Descripción general de los reinos Existen muchos grupos de datos que conforman el “mundo cibernético”. Cuando los grupos pueden recopilar y utilizar enormes cantidades de datos, comienzan a acumular poder e influencia. Estos datos pueden estar en la forma de números, imágenes, video, audio o cualquier tipo de datos que puedan digitalizarse. Estos grupos podrían resultar tan poderosos que funcionan como si fueran reinos. Empresas como Google, Facebook y LinkedIn se pueden considerar castillos de datos en la analogía del reino del mundo cibernético. Si extendemos aún más la analogía, las personas que trabajan en estas empresas digitales podrían considerarse paladines cibernéticos.
Castillos del mundo cibernético Los paladines cibernéticos en Google crearon uno de los primeros y más poderosos castillos del reino cibernético. Miles de millones de personas utilizan Google para buscar en la red diariamente. Google ha creado lo que podría considerarse la red más grande de recopilación de datos del mundo. Google desarrolla Android, los sistemas operativos instalados en más del 80 % de todos los dispositivos móviles conectados a Internet. Cada dispositivo requiere que los usuarios creen cuentas de Google que pueden guardar marcadores e información de la cuenta, guardar los resultados de búsqueda, e incluso ubicar el dispositivo. Haga clic aquí para ver algunos de los numerosos servicios que Google ofrece actualmente. Facebook es otro castillo poderoso en el reino cibernético. Los paladines cibernéticos en Facebook reconocieron que las personas crean cuentas personales a diario para comunicarse con amigos y familiares. Al hacerlo, proporcionan muchos datos personales. Estos paladines de Facebook formaron un castillo masivo de datos para ayudar a las personas a conectarse de maneras nunca antes imaginadas en el pasado. Facebook afecta la vida de millones de personas a diario y permite a las empresas y las organizaciones comunicarse con las personas de manera más personal y orientada.
Cybersecurity Essentials - ES 0118
5
LinkedIn es otro castillo de datos en el reino cibernético. Los paladines cibernéticos de LinkedIn reconocieron que sus miembros compartirían información en la búsqueda de crear una red profesional. Los usuarios de LinkedIn cargan esta información para crear perfiles en línea y conectarse con otros miembros. LinkedIn conecta a los empleados con los empleadores y a las empresas con otras empresas de todo el mundo. Una mirada dentro de estos castillos revela cómo están diseñados. En un nivel fundamental, estos castillos son firmes debido a la capacidad para recopilar datos del usuario que contribuyen los usuarios. Estos datos incluyen a menudo los antecedentes de los usuarios, discusiones, preferencias, ubicaciones, viajes, intereses, amigos y miembros de la familia, profesiones, pasatiempos y programas de trabajo y personales. Los paladines cibernéticos crean un gran valor para las organizaciones interesadas en usar estos datos para comprender y comunicarse mejor con sus clientes y empleados.
El crecimiento de los reinos cibernéticos Los datos recopilados del mundo cibernético van más allá de los datos que los usuarios contribuyen voluntariamente. El reino cibernético continúa creciendo a medida que la ciencia y la tecnología evolucionan, lo que permite que los paladines cibernéticos recopilen otras formas de datos. Los paladines cibernéticos ahora cuentan con la tecnología para hacer un seguimiento de las tendencias mundiales del clima, monitorear los océanos y seguir el movimiento y el comportamiento de las personas, los animales y los objetos en tiempo real. Surgieron nuevas tecnologías, como los Sistemas de información geoespaciales (GIS) y el Internet de todo (IdT). Estas nuevas tecnologías pueden seguir los tipos de árboles de un vecindario y proporcionar ubicaciones actualizadas de los vehículos, los dispositivos, las personas y los materiales. Este tipo de información puede ahorrar energía, mejorar la eficiencia y reducir los riesgos de seguridad. Cada una de estas tecnologías también expandirá de manera exponencial la cantidad de datos recopilados, analizados y utilizados para comprender el mundo. Los datos recopilados por GIS y el IdT constituyen un gran desafío para los profesionales de la ciberseguridad en el futuro. El tipo de datos generado por estos dispositivos tiene el potencial para permitir a los delincuentes cibernéticos obtener acceso a los aspectos muy íntimos de la vida cotidiana.
¿Quiénes son los delincuentes cibernéticos? En los primeros años del mundo de la ciberseguridad, los delincuentes cibernéticos típicos eran adolescentes o aficionados que operaban desde una PC doméstica, y sus ataques se limitaban a bromas y vandalismo. Actualmente, el mundo de los delincuentes cibernéticos se ha vuelto más peligroso. Los atacantes son personas o grupos que intentan atacar las vulnerabilidades para obtener una ganancia personal o financiera. Los delincuentes cibernéticos están interesados en todo, desde las tarjetas de crédito hasta los diseños de producto y todo lo que tenga valor. Aficionados: los aficionados, o script kiddies, tienen pocas habilidades o ninguna, y generalmente usan herramientas existentes o instrucciones que se encuentran en Internet para realizar ataques. Algunos solo son curiosos, mientras que otros intentan demostrar sus habilidades y causar daños. Pueden utilizar herramientas básicas, pero los resultados aún pueden ser devastadores. Hackers: este grupo de delincuentes penetran en las computadoras o redes para obtener acceso por varios motivos. La intención por la que interrumpen determina la clasificación de estos atacantes como delincuentes de sombrero blanco, gris o negro. Los atacantes de sombrero blanco penetran en las redes o los sistemas informáticos para descubrir las debilidades a fin de mejorar la seguridad de estos sistemas. Los propietarios del sistema les otorgan permiso para realizar la interrupción y reciben los resultados de la prueba. Por otro lado, los atacantes de sombrero negro aprovechan las vulnerabilidades para obtener una ganancia ilegal personal, financiera o política. Los atacantes de sombrero gris están en algún lugar entre los atacantes de sombrero blanco y negro. Los atacantes de sombrero gris pueden encontrar una vulnerabilidad y señalarla a los propietarios del sistema si esa acción coincide con sus propósitos. Algunos hackers de sombrero gris publican los hechos sobre la vulnerabilidad en Internet para que otros atacantes puedan sacarles provecho. La figura ofrece detalles sobre los términos hacker de sombrero blanco, negro y gris. Hackers organizados: estos hackers incluyen organizaciones de delincuentes informáticos, hacktivistas, terroristas y hackers patrocinados por el estado. Los delincuentes cibernéticos generalmente son grupos
Cybersecurity Essentials - ES 0118
6
de delincuentes profesionales centrados en el control, la energía y la riqueza. Los delincuentes son muy sofisticados y organizados, e incluso pueden proporcionar el delito cibernético como un servicio. Los hacktivistas hacen declaraciones políticas para concientizar sobre los problemas que son importantes para ellos. Los hacktivistas publican de manera pública información embarazosa sobre sus víctimas. Los atacantes patrocinados por el estado reúnen inteligencia o sabotean en nombre de su gobierno. Estos atacantes suelen estar altamente capacitados y bien financiados. Sus ataques se centran en objetivos específicos que resultan beneficiosos para su gobierno. Algunos atacantes patrocinados por el estado son incluso miembros de las fuerzas armadas de sus países. Haga clic aquí para ver representaciones gráficas de los perfiles de los hackers.
Motivos de los delincuentes cibernéticos Los perfiles de los delincuentes cibernéticos y los motivos han cambiado a lo largo de los años. El hacking comenzó en los años 60 con el «phone freaking» (o el «phreaking»), una actividad que hace referencia al uso de diversas frecuencias de audio para manipular los sistemas telefónicos. A mediados de los años 80, los delincuentes utilizaban módems de internet por acceso telefónico de la computadora para conectar las computadoras a las redes y utilizaban programas de descifrado de contraseñas para obtener acceso a los datos. Hoy en día, los delincuentes van más allá del robo de información. Los delincuentes ahora pueden usar el malware y los virus como instrumentos de alta tecnología. Sin embargo, la motivación más grande para la mayoría de los delincuentes cibernéticos es financiera. Los delitos cibernéticos se han vuelto más lucrativos que las transacciones de las drogas ilegales. Los perfiles generales del hacker y los motivos han cambiado un poco. La figura muestra los términos de hacking modernos y una breve descripción de cada una.
Cybersecurity Essentials - ES 0118
7
¿Por qué convertirse en un especialista en ciberseguridad? La demanda de especialistas en ciberseguridad ha crecido más que la demanda de otros trabajos de TI. Toda la tecnología que transforma el reino y mejora la forma de vida de las personas también puede hacerlos más vulnerables a los ataques. La tecnología en sí misma no puede prevenir, detectar, responder ni recuperarse de los incidentes de ciberseguridad. Considere lo siguiente:
El nivel de habilidad que requiere un especialista eficiente en ciberseguridad y la escasez de profesionales calificados en ciberseguridad se traduce en la posibilidad de mayores ingresos.
La tecnología de la información cambia constantemente. Esto también es cierto para la ciberseguridad. La naturaleza muy dinámica del campo de la ciberseguridad puede ser difícil y fascinante.
La carrera de un especialista en ciberseguridad también es muy transferible. Los trabajos en casi todas las ubicaciones geográficas.
Los especialistas en ciberseguridad proporcionan un servicio necesario a sus organizaciones, países y empresas, casi como las autoridades encargada del orden público o los equipos de respuesta ante una emergencia.
Cybersecurity Essentials - ES 0118
8
Convertirse en un especialista en ciberseguridad es una oportunidad profesional gratificante.
Cómo frustrar a los delincuentes cibernéticos Frustrar a los delincuentes cibernéticos es una tarea difícil y no existe algo como una «fórmula mágica». Sin embargo, las empresas, el gobierno y las organizaciones internacionales han comenzado a tomar medidas coordinadas para limitar o mantener a raya a los delincuentes cibernéticos. Las acciones coordinadas incluyen las siguientes:
La creación de bases de datos completas de firmas conocidas de vulnerabilidades y ataques del sistema (una disposición única de la información que se utiliza para identificar el intento de un atacante de explotar una vulnerabilidad conocida). Las organizaciones comparten estas bases de datos en todo el mundo para ayudar a prepararse y mantener alejados muchos ataques comunes.
Establecimiento de sensores de advertencia temprana y redes de alerta. Debido al costo y la imposibilidad de supervisar cada red, las organizaciones supervisan los objetivos de gran valor o crean impostores que se parecen a los objetivos de gran valor. Debido a que estos objetivos de gran valor tienen más probabilidades de experimentar los ataques, advierten a otros de los ataques potenciales.
Intercambio de información de inteligencia cibernética. Las empresas, los organismos gubernamentales y los países ahora colaboran para compartir información esencial sobre los ataques graves a los objetivos fundamentales para evitar ataques similares en otros lugares. Muchos países han establecido agencias de inteligencia cibernética para colaborar en todo el mundo en la lucha contra los ciberataques importantes.
Establecimiento de estándares de administración de seguridad de la información entre organizaciones nacionales e internacionales. ISO 27000 es un buen ejemplo de estos esfuerzos internacionales.
Promulgación de nuevas leyes para desalentar los ataques cibernéticos y las violaciones de datos. Estas leyes tienen multas severas para penalizar a los delincuentes cibernéticos que realicen acciones ilegales.
La figura muestra las medidas para frustrar a los delincuentes cibernéticos y una breve descripción de cada una.
Cybersecurity Essentials - ES 0118
9
Amenazas a las personas del reino Los paladines cibernéticos son innovadores y visionarios que crean el reino cibernético. Tienen la inteligencia y el conocimiento para reconocer el poder de los datos y aprovechan ese poder para crear grandes organizaciones, proporcionar servicios y proteger a las personas de los ciberataques Los paladines cibernéticos reconocen la amenaza que presentan los datos si se utilizan contra las personas. Las amenazas y vulnerabilidades son la principal inquietud de los paladines cibernéticos. Una amenaza a la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque. La vulnerabilidad es una debilidad que hace que un objetivo sea susceptible a un ataque. Por ejemplo, los datos en manos incorrectas pueden provocar la pérdida de privacidad para los propietarios, pueden afectar su crédito o comprometer sus relaciones profesionales o personales. El robo de identidad es un gran negocio. Sin embargo, Google y Facebook no son necesariamente los que presentan el riesgo más grande. Las escuelas, los hospitales, las instituciones financieras, los organismos gubernamentales, el lugar de trabajo y el comercio electrónico plantean mayores riesgos. Las organizaciones como Google y Facebook cuentan con los recursos para contratar grandes talentos en ciberseguridad para proteger sus castillos. A medida que las organizaciones desarrollan los castillos de datos, aumenta la necesidad de profesionales de la ciberseguridad. Esto deja a las empresas y organizaciones más pequeñas en la competencia por el grupo restante de profesionales de la ciberseguridad. Las amenazas cibernéticas son particularmente peligrosas para algunos sectores y los registros que deben mantener.
Tipos de registros personales Los siguientes ejemplos son solo algunas fuentes de datos que pueden provenir de organizaciones establecidas. Historias clínicas Ir al consultorio médico da como resultado la adición de más información a una historia clínica electrónica (EHR). La prescripción de su médico de cabecera se vuelve parte de la EHR. Una EHR incluye el estado físico y mental, y otra información personal que puede no estar relacionada médicamente. Por ejemplo, una persona va a terapia cuando era niño debido a cambios importantes en la familia. Esto aparecerá en alguna parte de su historia clínica. Además de la historia clínica y la información personal, la EHR también
Cybersecurity Essentials - ES 0118
10
puede incluir información sobre la familia de esa persona. Varias leyes abordan la protección de los registros de pacientes. Los dispositivos médicos, como las bandas de estado físico, utilizan la plataforma de la nube para permitir la transferencia, el almacenamiento y la visualización inalámbricos de los datos clínicos, como el ritmo cardíaco, la presión arterial y el azúcar en sangre. Estos dispositivos pueden generar una enorme cantidad de datos clínicos que pueden volverse parte de sus historias clínicas. Registros educativos Los registros educativos incluyen información sobre calificaciones, puntajes de evaluaciones, asistencia, cursos realizados, premios, grados otorgados e informes disciplinarios. Este registro también puede incluir información de contacto, salud y registros de la inmunización, y registros de educación especial, incluidos los programas educativos individualizados (IEP). Registros de empleo y financieros La información de empleo puede incluir empleos y rendimientos pasados. Los registros de empleo también pueden incluir información sobre sueldos y seguros. Los registros financieros pueden incluir información sobre ingresos y gastos. Los registros de impuestos pueden incluir talones de cheques de pago, resúmenes de la tarjeta de crédito, calificación de crédito e información bancaria.
Cybersecurity Essentials - ES 0118
11
Amenazas a los servicios del reino Los servicios del reino son los mismos servicios que necesita una red y, en última instancia, Internet para operar. Estos servicios incluyen routing, asignación de direcciones, designación de nombres y administración de bases de datos. Estos servicios también sirven como objetivos principales para los delincuentes cibernéticos. Los delincuentes utilizan herramientas de análisis de paquetes para capturar flujos de datos en una red. Esto significa que todos los datos confidenciales, como nombres de usuario, contraseñas y números de tarjetas de crédito, están en riesgo. Los analizadores de protocolos de paquetes supervisan y registran toda la información que proviene de una red. Los delincuentes pueden utilizar además dispositivos falsos, como puntos de acceso a Wi-Fi no seguros. Si el delincuente configuran estos dispositivos cerca de un lugar público, como una cafetería, las personas desprevenidas pueden conectarse y el analizador de protocolos copiará su información personal. El Servicio de nombres de dominio (DNS) traduce un nombre de dominio, por ejemplo www.facebook.com en su dirección IP numérica. Si un servidor DNS no conoce la dirección IP, consultará a otro servidor DNS. Con una suplantación de identidad DNS (o envenenamiento de caché DNS), el delincuente introduce datos falsos en la caché de resolución de DNS. Estos ataques de envenenamiento atacan una debilidad en el software DNS que hace que los servidores DNS redirijan el tráfico de un dominio específico a la computadora del delincuente, en lugar de redirigirlo al propietario legítimo del dominio. Los paquetes transportan datos a través de una red o de Internet. La falsificación del paquete (o la inyección de paquetes) interfiere con una comunicación de red establecida mediante la creación de paquetes para que parezca como si fueran parte de una comunicación. La falsificación de paquetes permite a un delincuente alterar o interceptar los paquetes. Este proceso permite a los delincuentes secuestrar una conexión autorizada o denegar la capacidad de una persona para usar determinados servicios de red. Los profesionales cibernéticos denominan esta actividad un ataque man-in-the-middle. Los ejemplos dado solo son ejemplos generales de los tipos de amenazas que los delincuentes pueden lanzar contra los servicios del reino.
Amenazas a los sectores del reino Los sectores del reino incluyen los sistemas de infraestructura como la fabricación, la energía, la comunicación y el transporte. Por ejemplo, la matriz inteligente es una mejora del sistema de distribución y generación eléctrica. La matriz eléctrica lleva la energía de los generadores centrales a un gran número de clientes. Una matriz inteligente utiliza la información para crear una red avanzada y automatizada de distribución de energía. Los líderes globales reconocen que la protección de la infraestructura es fundamental para proteger su economía. Durante la última década, los ciberataques como Stuxnet demostraron que un ataque cibernético puede destruir o interrumpir con éxito las infraestructuras críticas. Específicamente, el ataque de Stuxnet apuntó al sistema de control de supervisión y adquisición de datos (SCADA) utilizados para controlar y supervisar los procesos industriales. El SCADA puede ser parte de diversos procesos industriales de los sistemas de fabricación, producción, energía y comunicación. Haga clic aquí para ver más información sobre el ataque de Stuxnet. Un ataque cibernético podría anular o interrumpir los sectores industriales como los sistemas de telecomunicaciones, de transporte o de generación y distribución de energía eléctrica. También puede interrumpir el sector de servicios financieros. Uno de los problemas con los entornos que incorporan un SCADA es que los diseñadores no se conectaron el SCADA al entorno de TI tradicional e Internet. Por lo tanto, no tuvieron en cuenta la ciberseguridad de manera adecuada durante la fase de desarrollo de estos sistemas. Como otros sectores, las organizaciones que utilizan los sistemas SCADA reconocen el valor de la recopilación de datos para mejorar las operaciones y disminuir los costos. La tendencia resultante es conectar los sistemas SCADA a los sistemas de TI tradicionales. Sin embargo, esto aumenta la vulnerabilidad de los sectores que utilizan los sistemas SCADA. El potencial avanzado de amenazas que existe en los reinos en la actualidad exige una generación especial de especialistas en ciberseguridad.
Cybersecurity Essentials - ES 0118
12
Amenazas a la forma de vida del reino La ciberseguridad es el esfuerzo constante por proteger los sistemas de red y los datos del acceso no autorizado. A nivel personal, todas las personas necesitan proteger su identidad, sus datos y sus dispositivos informáticos. A nivel corporativo, es responsabilidad de los empleados proteger la reputación, los datos y los clientes de la organización. A nivel estatal, la seguridad nacional y la seguridad y el bienestar de los ciudadanos están en juego. Los profesionales de ciberseguridad a menudo están involucrados en el trabajo con los organismos gubernamentales en la identificación y recopilación de datos. En EE. UU., la Agencia de Seguridad Nacional (NSA) es responsable de las actividades de recopilación y vigilancia de inteligencia. La NSA creó un nuevo centro de datos para procesar el volumen de información cada vez mayor. En 2015, el Congreso de EE. UU. aprobó la Ley de Libertad de EE. UU. que ponía fin a la práctica de recopilar de forma masiva los registros telefónicos de los ciudadanos de EE. UU. El programa proporcionó los metadatos y otorgó a la NSA información sobre las comunicaciones enviadas y recibidas. Los esfuerzos por proteger la forma de vida de las personas a menudo entran en conflicto con su derecho a la privacidad. Será interesante ver qué sucede con el equilibrio entre estos derechos y la seguridad del reino
Cybersecurity Essentials - ES 0118
13
Amenazas internas y externas Amenazas de seguridad internas Los ataques pueden originarse dentro de una organización o fuera de ella, como se muestra en la figura. Un usuario interno, como un empleado o un partner contratado, puede de manera accidental o intencional:
Manipular de manera incorrecta los datos confidenciales
Amenazar las operaciones de los servidores internos o de los dispositivos de la infraestructura de red
Facilitar los ataques externos al conectar medios USB infectados al sistema informático corporativo
Invitar accidentalmente al malware a la red con correos electrónicos o páginas web maliciosos
Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura. Los atacantes internos normalmente tienen conocimiento de la red corporativa, sus recursos y sus datos confidenciales. También pueden tener conocimiento de las contramedidas de seguridad, las políticas y los niveles más altos de privilegios administrativos. Amenazas de seguridad externas Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como trucos, para obtener acceso. Los ataques externos aprovechan las debilidades o vulnerabilidades para obtener acceso a los recursos internos. Datos tradicionales Los datos corporativos incluyen información del personal, de propiedad intelectual y datos financieros. La información del personal incluye el material de las postulaciones, la nómina, la carta de oferta, los acuerdos del empleado, y cualquier información utilizada para tomar decisiones de empleo. La propiedad intelectual, como patentes, marcas registradas y planes de nuevos productos, permite a una empresa obtener una ventaja económica sobre sus competidores. Considere esta propiedad intelectual como un secreto comercial; perder esta información puede ser desastroso para el futuro de la empresa. Los datos financieros, como las declaraciones de ingresos, los balances y las declaraciones de flujo de caja brindan información sobre el estado de la empresa.
Cybersecurity Essentials - ES 0118
14
Las vulnerabilidades de los dispositivos móviles En el pasado, los empleados generalmente utilizaban computadoras de la empresa conectadas a una LAN corporativa. Los administradores supervisan y actualizan continuamente estas computadoras para cumplir con los requisitos de seguridad. En la actualidad, los dispositivos móviles como iPhones, smartphones, tablets y miles de otros dispositivos son sustitutos poderosos o agregados de las computadoras tradicionales. La gente usa cada vez más estos dispositivos para tener acceso a la información de la empresa. Bring Your Own Device (BYOD) es una tendencia en crecimiento. La incapacidad para administrar y actualizar de manera central los dispositivos móviles presenta una amenaza en crecimiento para las organizaciones que permiten el uso de dispositivos móviles de los empleados en sus redes.
El surgimiento del internet de las cosas El Internet de las cosas (IdC ) es el conjunto de tecnologías que permiten la conexión de varios dispositivos a Internet. La evolución tecnológica asociada con la llegada del IdC está cambiando los entornos comerciales y de consumidores. Las tecnologías del IdC permiten que las personas conecten miles de millones de dispositivos a Internet. Estos dispositivos incluyen trabas, motores y dispositivos de entretenimiento, solo por mencionar algunos ejemplos. Esta tecnología afecta la cantidad de datos que necesitan protección. Los usuarios acceden a estos dispositivos en forma remota, lo cual aumenta la cantidad de redes que requieren protección. Con el surgimiento del IdC, hay muchos más datos que deben administrarse y protegerse. Todas estas conexiones, además de la capacidad y los servicios de almacenamiento expandidos que se ofrecen a través de la nube y la virtualización, han generado el crecimiento exponencial de los datos. Esta expansión de datos ha creado una nueva área de interés en la tecnología y los negocios denominada “datos masivos”.
Cybersecurity Essentials - ES 0118
15
El impacto de los datos masivos Los datos masivos son el resultado de los conjuntos de datos que son grandes y complejos, lo que hace que las aplicaciones tradicionales de procesamiento de datos sean inadecuadas. Los datos masivos presentan desafíos y oportunidades según tres dimensiones:
El volumen o la cantidad de datos
La velocidad de los datos
La variedad o el rango de los tipos y fuentes de datos
Existen muchos ejemplos de amenazas de gran envergadura en las noticias. Las empresas como Target, Home Depot y PayPal son objetos de ataques muy promocionados. Como resultado, los sistemas empresariales deben realizar cambios drásticos en los diseños de producto de seguridad y las actualizaciones importantes a las tecnologías y las prácticas. Además, los gobiernos y las industrias están introduciendo más regulaciones y obligaciones que requieren una mejor protección de los datos y controles de seguridad para ayudar a proteger los datos masivos.
Uso de instrumentos avanzados Las vulnerabilidades de software actualmente tienen como base los errores de programación, las vulnerabilidades de protocolo o las configuraciones erróneas del sistema. El delincuente cibernético tan solo tiene que aprovechar una de estas. Por ejemplo, un ataque común fue la construcción de una entrada a un programa para sabotear el programa, haciendo que funcione mal. Este mal funcionamiento proporcionó una entrada al programa o provocó que filtre información. Actualmente, se percibe una creciente sofisticación en los ciberataques. Una amenaza persistente avanzada (APT) es una amenaza continua a las computadoras que se realizan en el radar contra un objeto específico. Los delincuentes eligen generalmente una APT por motivos políticos o empresariales. Una APT se produce durante un período prolongado con un alto nivel de confidencialidad utilizando malware sofisticado. Los ataques a los algoritmos pueden rastrear los datos de informe propio de un sistema, como la cantidad de energía que utiliza una computadora, y usar esa información para seleccionar los objetivos o para activar alertas falsas. Los ataques algorítmicos también pueden desactivar una computadora forzándola a usar memoria o a trabajar demasiado su unidad de procesamiento central. Los ataques a los algoritmos son más taimados porque atacan a los diseños utilizados para mejorar el ahorro de energía, disminuir las fallas del sistema y mejorar las eficiencias. Por último, la nueva generación de ataques involucra la selección inteligente de víctimas. En el pasado, los ataques seleccionaban las opciones más fáciles o las víctimas más vulnerables. Sin embargo, con más atención a la detección y el aislamiento de los ciberataques, los delincuentes cibernéticos deben ser más cuidadosos. No pueden arriesgar la detección temprana o los especialistas en ciberseguridad cerrarán las puertas del castillo. Como resultado, muchos de los ataques más sofisticados solo se lanzarán si el atacante puede igualar la firma objeto del objetivo.
Un alcance más amplio y el efecto cascada La administración de identidades federada se refiere a varias empresas que permiten a los usuarios utilizar las mismas credenciales de identificación que obtienen acceso a las redes de todas las empresas del grupo. Esto amplía el alcance y aumenta las posibilidades de un efecto en cascada si se produce un ataque. Una identidad federada conecta la identidad electrónica de un sujeto mediante sistemas de administración de identidades separados. Por ejemplo, un sujeto puede iniciar sesión en Yahoo! con credenciales de Google o de Facebook. Este es un ejemplo de inicio de sesión social.
Cybersecurity Essentials - ES 0118
16
El objetivo de la administración de identidades federada es compartir la información de identidad automáticamente a través de los límites del castillo. Desde la perspectiva del usuario particular, esto significa un único inicio de sesión a la red. Es imprescindible que las organizaciones escudriñen la información de identificación compartida con los partners. Los números de seguridad social, los nombres y las direcciones pueden permitir a los ladrones de identidad la oportunidad de robar esta información del partner para perpetrar un fraude. La manera más común de proteger la identidad federada es vincular la capacidad de inicio de sesión a un dispositivo autorizado.
Implicaciones de seguridad Los centros de llamadas de emergencia en EE. UU. son vulnerables a los ciberataques que podrían apagar las redes de 911 y comprometer así la seguridad pública. Un ataque de denegación de servicios telefónicos (TDoS) utiliza las llamadas telefónicas a una red telefónica objetivo, lo que condiciona el sistema y evita que las llamadas legítimas pasen. Los centros de llamadas 911 de próxima generación son vulnerables porque utilizan los sistemas de voz sobre IP (VoIP) en lugar de líneas fijas tradicionales. Además de los ataques de TDoS, estos centros de llamadas también pueden estar a merced de ataques de denegación de servicio distribuido (DDoS) que utilizan muchos sistemas para saturar los recursos del objetivo, lo que hace que este no esté disponible para los usuarios legítimos. En la actualidad, existen muchas maneras de solicitar la ayuda del 911, desde el uso de una aplicación en un smartphone hasta un sistema de seguridad en el hogar.
Reconocimiento mejorado de las amenazas a la ciberseguridad Las defensas contra los ciberataques al inicio de la era cibernética eran bajas. Un estudiante inteligente de escuela secundaria o script kiddie podría tener acceso a los sistemas. Los países de todo el mundo son más conscientes de las amenazas de los ciberataques. La amenaza que presentaron los ciberataques ahora encabezan la lista de las mayores amenazas a la seguridad nacional y económica en la mayoría de los países.
Cómo abordar la escasez de especialistas en ciberseguridad En EE. UU., el Instituto Nacional de Normas y Tecnologías (NIST) creó un marco de trabajo para las empresas y las organizaciones que necesitan profesionales en el área de la ciberseguridad. El marco de trabajo les permite a las empresas identificar los tipos principales de responsabilidades, los cargos y destrezas de la fuerza laboral necesarias. El marco de trabajo nacional de la fuerza laboral de ciberseguridad clasifica y describe el trabajo de ciberseguridad. Proporciona un lenguaje común que define el trabajo de ciberseguridad junto con un conjunto común de tareas y habilidades requeridas para convertirse en un especialista en ciberseguridad. El marco de trabajo ayuda a definir los requisitos profesionales en ciberseguridad.
Siete categorías de paladines en el área de la ciberseguridad El marco de la fuerza laboral categoriza el trabajo en ciberseguridad en siete categorías. Operar y mantener incluye proporcionar soporte técnico, administración, y el mantenimiento necesario para garantizar el rendimiento y la seguridad de los sistemas de TI. Proteger y defender incluye la identificación, el análisis y la mitigación de amenazas a los sistemas internos y redes internas. Investigar incluye la investigación de los eventos cibernéticos o los delitos informáticos que involucran a los recursos de TI. Recopilar y operar incluye operaciones especializadas de ataque y engaño, y la recopilación de información sobre ciberseguridad.
Cybersecurity Essentials - ES 0118
17
Analizar incluye la revisión y evaluación altamente especializada de la información entrante de ciberseguridad para determinar si es útil para la inteligencia. Supervisión y desarrollo establece el liderazgo, la administración y la dirección para realizar el trabajo de ciberseguridad de manera eficaz. Disponer de manera segura incluye conceptualización, diseño y creación de sistemas de TI seguros. Dentro de cada categoría, existen varias áreas de especialidad. Las áreas de especialidad luego definen los tipos comunes de trabajo de ciberseguridad. La figura muestra cada una de las categorías y una breve descripción de cada uno.
Organizaciones profesionales Los especialistas en ciberseguridad deben colaborar a menudo con colegas profesionales. Las organizaciones internacionales de tecnología a menudo patrocinan talleres y conferencias. Estas organizaciones generalmente mantienen inspirados y motivados a los profesionales de la ciberseguridad. Haga clic en los logos de la figura para aprender más sobre algunas organizaciones de seguridad importantes.
Competencias y organizaciones estudiantiles de ciberseguridad Los especialistas en ciberseguridad deben tener las mismas destrezas que los hackers, especialmente que los hackers de sombrero negro, para ofrecer protección contra los ataques. ¿Cómo puede una persona crear y practicar las aptitudes necesarias convertirse en un especialista en ciberseguridad? Las competencias de habilidades del estudiante son una excelente manera de desarrollar habilidades y capacidades de conocimiento en ciberseguridad. Existen muchas competencias nacionales de habilidades en ciberseguridad disponibles para los estudiantes de ciberseguridad. Haga clic en los logos de la figura para obtener más información sobre las competencias, las organizaciones y los clubes de ciberseguridad de los estudiantes.
Certificaciones del sector En un mundo de amenazas a la ciberseguridad, existe una gran necesidad de contar con profesionales expertos y calificados en seguridad de la información. La industria de TI estableció estándares para que los especialistas en ciberseguridad obtengan certificaciones profesionales que proporcionan pruebas de las habilidades y el nivel de conocimiento. CompTIA Security+ Security+ es un programa de pruebas patrocinado por CompTIA que certifica la competencia de los administradores de TI en la seguridad de la información. La prueba de Security+ abarca los principios más importantes para proteger una red y administrar el riesgo, incluidas las inquietudes relacionadas con la computación en la nube. Hacker ético certificado por el Consejo Internacional de Consulta de Comercio Electrónico (CEH) Esta certificación de nivel intermedio afirma que los especialistas en ciberseguridad que cuentan con esta credencial poseen las habilidades y el conocimiento para varias prácticas de hacking. Estos especialistas en ciberseguridad utilizan las mismas habilidades y técnicas que utilizan los delincuentes cibernéticos para identificar las vulnerabilidades y puntos de acceso del sistema en los sistemas. SANS GIAC Security Essentials (GSEC) La certificación GSEC es una buena opción como credencial de nivel básico para especialistas en ciberseguridad que pueden demostrar que comprenden la terminología y los conceptos de seguridad, y
Cybersecurity Essentials - ES 0118
18
tienen las habilidades y la experiencia necesarias para puestos “prácticos” en seguridad. El programa SANS GIAC ofrece varias certificaciones adicionales en los campos de administración de la seguridad, informática forense y auditoría. (ISC)^2 Profesional certificado en seguridad de los sistemas informáticos (CISSP) La certificación de CISSP es una certificación neutral para proveedores para los especialistas en ciberseguridad con mucha experiencia técnica y administrativa. También está aprobada formalmente por el Departamento de Defensa (DoD) de EE. UU. y es una certificación con reconocimiento global del sector en el campo de la seguridad. Certificación para administradores de seguridad informática (CISM) de ISACA Los héroes cibernéticos responsables de administrar, desarrollar y supervisar los sistemas de seguridad de la información a nivel empresarial o para aquellos que desarrollan las mejores prácticas de seguridad puedan obtener la certificación CISM. Los titulares de estas credenciales poseen aptitudes avanzadas en la administración de riesgos de seguridad.
Certificaciones patrocinadas por la empresa Otras credenciales importantes para los especialistas en ciberseguridad son las certificaciones patrocinadas por la empresa. Estas certificaciones miden el conocimiento y la competencia en la instalación, la configuración y el mantenimiento de los productos de los proveedores. Cisco y Microsoft son ejemplos de empresas con certificaciones que prueban el conocimiento de sus productos. Haga clic aquí para explorar la matriz de las certificaciones de Cisco que se muestran en la figura. Asociado en redes con certificación de Cisco (Seguridad de CCNA) La certificación de Seguridad de CCNA ratifica que un especialista en ciberseguridad cuenta con el conocimiento y las habilidades necesarias para proteger las redes de Cisco. Haga clic aquí para obtener más información sobre la certificación de Seguridad de CCNA.
Cybersecurity Essentials - ES 0118
19
Cómo convertirse en un héroe cibernético Para convertirse en un especialista exitoso en ciberseguridad, el candidato potencial debe tener en cuenta algunos de los requisitos exclusivos. Los héroes deben ser capaces de responder a las amenazas tan pronto como ocurran. Esto significa que las horas de trabajo pueden ser poco convencionales. Los héroes cibernéticos también analizan las políticas, las tendencias y la inteligencia para comprender cómo piensan los delincuentes cibernéticos. Muchas veces, esto pueden incluir una gran cantidad de trabajo de detección. Las siguientes recomendaciones ayudarán a los aspirantes a especialistas en ciberseguridad a alcanzar sus objetivos:
Estudie: conozca los aspectos básicos al completar los cursos en TI. Sea un estudiante durante toda su vida. La ciberseguridad es un campo en constante cambio y los especialistas en ciberseguridad deben mantenerse actualizados.
Obtenga certificaciones: las certificaciones patrocinadas por la empresa y el sector, de organizaciones como Microsoft y Cisco demuestran que uno posee los conocimientos necesarios para buscar empleo como especialista en ciberseguridad.
Busque pasantías: la búsqueda de una pasantía en seguridad como estudiante puede traducirse en oportunidades en el futuro.
Únase a organizaciones profesionales: únase a las organizaciones de seguridad informática, asista a reuniones y conferencias y participe en foros y blogs para obtener conocimiento de los expertos.
Resumen Capítulo 1: la ciberseguridad, un mundo de paladines, héroes y delincuentes En este capítulo se explicó la estructura del mundo en ciberseguridad y el motivo por el que sigue creciendo con los datos y la información como la divisa más preciada. Aquí también se analizó el rol de los delincuentes cibernéticos al examinar aquello que los motiva. Se presentó la propagación del lado oscuro debido a las transformaciones técnicas en constante expansión que transcurren en todo el mundo. Finalmente, en el capítulo se explicó cómo convertirse en un especialista en ciberseguridad para ayudar a vencer a los delincuentes cibernéticos que fortalecen el lado oscuro. También se analizaron los recursos disponibles para ayudar a crear más héroes. Los héroes cibernéticos deben contar con las mismas destrezas que los delincuentes cibernéticos. Si desea continuar explorando los conceptos de este capítulo, consulte la página Recursos y actividades adicionales en Recursos para el estudiante.
Cybersecurity Essentials - ES 0118
20
Capítulo 2: El cubo de destrezas de ciberseguridad El término "hecicero" es una etiqueta que describe a los profesionales en ciberseguridad que protegen el mundo cibernético. Como los hechiceros del mundo místico, los hechiceros cibernéticos están interesados en promover el bien y proteger a otros. John McCumber es uno de los primeros hechiceros en ciberseguridad. Desarrolló un marco de trabajo denominado Cubo de McCumber que los hechiceros de ciberseguridad utilizan para proteger el mundo cibernético. El cubo de McCumber se parece al Cubo de Rubik. La primera dimensión del cubo de destrezas de ciberseguridad incluye los tres principios de seguridad informática. Los profesionales en ciberseguridad hacen referencia a las tres principios como la Tríada de CID. La segunda dimensión identifica los tres estados de información o de datos. La tercera dimensión del cubo identifica los poderes de los hechiceros que proporcionan protección. Estos poderes son las tres categorías de mecanismos de las medidas de ciberseguridad. En el capítulo también se analiza el modelo de ciberseguridad de ISO. El modelo representa un marco de trabajo internacional para estandarizar la administración de los sistemas de información.
Los principios de seguridad La primera dimensión del cubo de destrezas de ciberseguridad identifica los objetivos para proteger al mundo cibernético. Los objetivos identificados en la primera dimensión son los principios básicos del mundo de la ciberseguridad. Estos tres principios son la confidencialidad, integridad y disponibilidad. Los principios proporcionan el enfoque y permiten al hechicero cibernético priorizar las acciones en la protección del mundo cibernético. La confidencialidad previene la divulgación de información a las personas los recursos o los procesos no autorizados. La integridad hace referencia a la precisión, la uniformidad y la confiabilidad de datos. Por último, la disponibilidad garantiza que los usuarios pueden tener acceso a la información cuando sea necesario. Utilice el acrónimo CID para recordar estos tres principios.
Cybersecurity Essentials - ES 0118
21
Estados de los datos El mundo cibernético es un mundo de datos; por lo tanto, los hechiceros cibernéticos se centran en la protección de los datos. La segunda dimensión del cubo de destrezas de ciberseguridad se concentra en los problemas de proteger todos los estados de los datos en el mundo cibernético. Los datos tienen tres estados posibles:
Datos en tránsito
Datos almacenados
Datos en proceso
La protección del mundo cibernético requiere que los profesionales en ciberseguridad expliquen la protección de los datos en los tres estados.
Cybersecurity Essentials - ES 0118
22
Medidas de ciberseguridad La tercera dimensión del cubo de destrezas de ciberseguridad define los tipos de poderes a los que un hechicero en ciberseguridad recurre para proteger al mundo cibernético. Los profesionales en ciberseguridad deben utilizar todos los poderes disponibles a su disposición para proteger los datos del mundo cibernético. El cubo de destrezas de ciberseguridad identifica los tres tipos de poderes e intrumentos utilizados para proporcionar protección. El primer tipo de poder incluye tecnologías, dispositivos y productos disponibles para proteger los sistemas de información y mantener alejados a los delincuentes cibernéticos. Los profesionales en ciberseguridad tienen una reputación por dominar las herramientas tecnológicas a su disposición. Sin embargo, McCumber recuerda que las herramientas tecnológicas no son suficientes para derrotar a los delincuentes informáticos. Los profesionales en ciberseguridad también deben crear una defensa sólida al establecer las políticas, los procedimientos y las pautas que permiten a los ciudadanos del mundo cibernético mantenerse seguros y seguir las prácticas adecuadas. Por último, al igual que el mundo de los hechiceros, los ciudadanos del mundo cibernético deben esforzarse por obtener más conocimientos sobre su mundo y los peligros que amenazan su mundo. Deben buscar continuamente un mayor conocimiento y establecer una cultura de aprendizaje y conciencia.
Cybersecurity Essentials - ES 0118
23
El principio de confidencialidad La confidencialidad previene la divulgación de información a las personas los recursos y los procesos no autorizados. Otro término para la confidencialidad es el de privacidad. Las organizaciones restringen el acceso para asegurar que solo los operadores autorizados pueden usar los datos u otros recursos de red. Por ejemplo, un programador no debe tener acceso a la información personal de todos los empleados. Las organizaciones necesitan capacitar a los empleados sobre las mejores prácticas en la protección de la información confidencial para protegerse a sí mismos y a la organización de los ataques. Los métodos utilizados para garantizar la confidencialidad incluyen el cifrado de datos, la autenticación y el control de acceso.
Protección de la privacidad de los datos Las organizaciones recopilan grandes cantidades de datos. La mayor parte de estos datos no es confidencial porque está públicamente disponible, como nombres y números de teléfono. Otros datos recopilados, sin embargo, son confidenciales. La información confidencial hace referencia a los datos protegidos contra el acceso no autorizado para proteger a una persona u organización. Existen tres tipos de información confidencial:
La información personal en la información de identificación personal (PII) que lleva hacia una persona. En la Figura 2 se enumera esta categoría de datos.
La información comercial es la información que incluye todo lo que representa un riesgo para la organización si el público o la competencia la descubre. En la Figura 3 se enumera esta categoría de datos.
Cybersecurity Essentials - ES 0118
24
La información clasificada es información que pertenece a una entidad gubernamental clasificada por su nivel de confidencialidad. En la Figura 4 se enumera esta categoría de datos.
Control de acceso El control de acceso define varios esquemas de protección que evita el acceso no autorizado a una computadora, red, base de datos o a otros recursos de datos. El concepto de AAA involucra tres servicios de seguridad: Autenticación, Autorización y Auditoría. Estos servicios proporcionan el marco de trabajo principal para controlar el acceso. La primera “A” de AAA representa la autenticación. Autenticación Verifica la identidad de un usuario para evitar el acceso no autorizado. Los usuarios prueban su identidad con un nombre de usuario o una Id. Además, los usuarios deben verificar su identidad mediante una de las siguientes maneras, como se muestra en la figura 1:
Algo que saben (por ejemplo, una contraseña)
Algo que tienen (por ejemplo, un token o tarjeta)
Algo que son (por ejemplo, una huella digital)
Por ejemplo, si va a un ATM a buscar efectivo, necesita su tarjeta de banco (algo que tiene) y necesita conocer el PIN. Este también es un ejemplo de autenticación de varios factores. La autenticación de varios factores requiere más de un tipo de autenticación. La forma de autenticación más popular es el uso de contraseñas. Autorización Los servicios autorización determinan a qué recursos pueden acceder los usuarios, junto con las operaciones que los usuarios pueden realizar, como se muestra en la Figura 2. Algunos sistemas logran esto con una lista de control de acceso o ACL. Una ACL determina si un usuario tiene ciertos privilegios de acceso una vez que el usuario autentica. Solo porque no puede iniciar sesión en la red de la empresa no significa que tenga permitido utilizar la impresora a color de alta velocidad. La autorización también puede controlar cuándo un usuario tiene acceso a un recurso específico. Por ejemplo, los empleados pueden tener acceso a una base de datos de ventas durante el horario de trabajo, pero el sistema los bloquea después del horario. Contabilidad Rastrea las actividades de los usuarios, incluidos los sitios a los que tienen acceso, la cantidad de tiempo que tienen acceso a los recursos y los cambios realizados. Por ejemplo, un banco hace un seguimiento de cada cuenta del cliente. Una auditoría de ese sistema puede revelar el tiempo y la cantidad de todas las transacciones y el empleado o el sistema que ejecutaron las transacciones. Los servicios de auditoría de ciberseguridad trabajan de la misma manera. El sistema realiza un seguimiento de cada transacción de datos y proporciona resultados de auditoría. Un administrador puede configurar las políticas de la computadora, como se muestra en la Figura 3, para habilitar la auditoría del sistema. El concepto de AAA es similar al uso de una tarjeta de crédito, como se indica en la Figura 4. La tarjeta de crédito identifica quién la usa y cuánto puede gastar el usuario de ésta y explica cuántos elementos o servicios adquirió el usuario. La auditoría de la ciberseguridad rastrea y monitorea en tiempo real. Sitios web, como Norse, muestran los ataques en tiempo real según los datos recopilados como parte de una auditoría o sistema de seguimiento. Haga clic aquí para visitar el sitio web de seguimiento en tiempo real de Norse.
Cybersecurity Essentials - ES 0118
25
Leyes y responsabilidades La confidencialidad y la privacidad parecen intercambiables, pero desde un punto de vista legal, tienen distintos significados. La mayoría de los datos de privacidad son confidenciales, pero no todos los datos confidenciales son privados. El acceso a la información confidencial ocurre después de confirmar la autorización apropiada. Las instituciones financieras, los hospitales, los profesionales médicos, los estudios jurídicos y las empresas administran la información confidencial. La información confidencial tiene estado privado. Mantener la confidencialidad es más que un deber ético. La privacidad es el uso adecuado de los datos. Cuando las organizaciones recopilan información proporcionada por los clientes o empleados, solo pueden utilizar esos datos para su objetivo previsto. La mayoría de las organizaciones requieren que un cliente o empleado firme un formulario de autorización que otorga permiso a la organización para usar los datos. Todas las leyes enumeradas en la figura incluyen una disposición para abordar la privacidad que comienza con las leyes de EE. UU. en la Figura 1. La Figura 2 enumera una muestra de los esfuerzos internacionales. La mayoría de estas leyes son una respuesta al crecimiento masivo de la recopilación de datos. El creciente número de estatutos relacionados con la privacidad crea una enorme carga en las organizaciones que recopilan y analizan datos. Las políticas son la mejor forma de que una organización cumpla con el número cada vez mayor de leyes relacionadas con la privacidad. Las políticas permiten a las organizaciones aplicar reglas, procedimientos y procesos específicos al recopilar, almacenar y compartir datos.
Cybersecurity Essentials - ES 0118
26
Principio de integridad de los datos La integridad es la precisión, uniformidad y confiabilidad de los datos durante su ciclo de vida. Otro término para la integridad es el de calidad. Los datos experimentan varias operaciones como captura, almacenamiento, recuperación, actualización y transferencia. Las entidades no autorizadas deben mantener inalteradas los datos durante todas estas operaciones. Los métodos utilizados para garantizar la integridad de los datos incluyen la función de hash, las comprobaciones de validación de datos, las comprobaciones de consistencia de los datos y los controles de acceso. Los sistemas de integridad de datos pueden incluir uno o más de los métodos mencionados anteriormente.
La necesidad de contar con la integridad de datos La integridad de datos es un componente fundamental de la seguridad informática. La necesidad de contar con la integridad de datos varían según cómo una organización utiliza los datos. Por ejemplo, Facebook no verifica los datos que un usuario publica en un perfil. Un banco u organización financiera asigna una mayor importancia a la integridad de los datos que Facebook. Las transacciones y las cuentas de los clientes deben ser precisas. En una organización de servicios de salud, la integridad de datos puede ser una cuestión de vida o muerte. La información sobre prescripciones debe ser precisa. Proteger la integridad de los datos es un desafío constante para la mayoría de las organizaciones. La pérdida de la integridad de los datos puede lograr que todos los recursos de datos sean dudosos o inutilizables.
Verificaciones de la integridad Una verificación de integridad es una manera de medir la uniformidad de una recopilación de datos (un archivo, una imagen, un registro). La verificación de integridad realiza un proceso denominado función de hash para tomar una instantánea de los datos en un instante de tiempo. La verificación de integridad utiliza la instantánea para asegurar que los datos permanezcan sin cambios. Un checksum es un ejemplo de una función de hash. Un checksum verifica la integridad de los archivos o cadenas de caracteres, antes y después de que ellos transfieran de un dispositivo a otro a través de una red local o Internet. Los checksums convierten simplemente cada pieza de información a un valor y suman el total. Para comprobar la integridad de los datos, un sistema receptor simplemente repite el proceso. Si las dos sumas son iguales, los datos son válidos (Figura 1). Si no son iguales, se produjo un cambio en alguna parte de la línea (Figura 2).
Cybersecurity Essentials - ES 0118
27
Las funciones de hash comunes incluyen MD5, SHA-1, SHA-256 y SHA-512. Estas funciones de hash usan algoritmos matemáticos complejos. El valor de hash está sencillamente allí para la comparación. Por ejemplo, después de descargar un archivo, el usuario puede verificar la integridad del archivo al comparar los valores de hash de la fuente con el que genera cualquier calculadora de hash. Las organizaciones utilizan el control de versiones para evitar cambios accidentales realizados por usuarios autorizados. Dos usuarios no pueden actualizar el mismo objeto. Los objetos pueden ser archivos, registros de la base de datos o transacciones. Por ejemplo, el primer usuario en abrir un documento tiene permiso para cambiar ese documento; la segunda persona tiene una versión de solo lectura. Las copias de respaldo precisas permiten mantener la integridad de datos si los datos se dañan. Una empresa necesita verificar el proceso de copia de respaldo para garantizar la integridad de la copia de seguridad antes de que se produzca la pérdida de datos. La autorización determina quién tiene acceso a los recursos de una organización según la necesidad de información. Por ejemplo, los permisos de archivos y los controles de acceso del usuario garantizan que solo ciertos usuarios pueden modificar los datos. Un administrador puede configurar permisos de solo lectura para un archivo. Como resultado, un usuario con acceso a ese archivo no puede realizar ningún cambio.
El principio de disponibilidad La disponibilidad de los datos es el principio que se utiliza para describir la necesidad de mantener la disponibilidad de los sistemas y servicios de información en todo momento. Los ataques cibernéticos y las fallas en el sistema pueden impedir el acceso a los sistemas y servicios de información. Por ejemplo, alterar la disponibilidad del sitios web de la competencia al eliminarla puede proporcionar una ventaja a su rival. Estos ataques de denegación de servicio (DoS) amenazan la disponibilidad del sistema y evitan que los usuarios legítimos tengan acceso y usen sistemas de información cuando sea necesario. Los métodos utilizados para garantizar la disponibilidad incluyen la redundancia del sistema, las copias de seguridad del sistema, mayor recuperabilidad del sistema, mantenimiento del equipo, sistemas operativos y software actualizados y planes para recuperarse rápidamente de desastres no planificados.
Cybersecurity Essentials - ES 0118
28
Los cinco nueves Las personas utilizan distintos sistemas de información en sus vidas cotidianas. Las computadoras y los sistemas de información controlan las comunicaciones, el transporte y la fabricación de productos. La disponibilidad continua de los sistemas de información es fundamental para la vida moderna. El término "alta disponibilidad", describe los sistemas diseñados para evitar el tiempo de inactividad. La alta disponibilidad asegura un nivel de rendimiento por un período más alto de lo normal. Los sistemas de alta disponibilidad suelen incluir tres principios de diseño (Figura 1):
Eliminar puntos sencillos de falla
Proporcionar una conexión cruzada confiable
Detecte fallas a medida que se producen
El objetivo es la capacidad para seguir funcionando en condiciones extremas, como durante un ataque. Una de las prácticas de alta disponibilidad más populares es la práctica de los cinco nueves. Los cinco nueves hacen referencia al 99,999 %. Esto significa que el tiempo de inactividad es de menos de 5,26 minutos al año. La Figura 2 proporciona tres enfoques a los cinco nueves.
Cybersecurity Essentials - ES 0118
29
Asegurar la disponibilidad Las organizaciones pueden garantizar la disponibilidad al implementar lo siguiente:
Realizar el mantenimiento del equipo
Realizar actualizaciones del SO y del sistema
Realizar las pruebas de copia de respaldo
Realizar una planificación para evitar desastres
Realizar implementaciones de nuevas tecnologías
Realizar el monitoreo de actividades inusuales
Realizar la prueba de disponibilidad
Tipos de almacenamiento de datos Los datos almacenados hacen referencia a los datos guardados. Los datos almacenados significan que un tipo de dispositivo de almacenamiento conserva los datos cuando ningún usuario o proceso los utiliza. Un dispositivo de almacenamiento puede ser local (en un dispositivo informático) o centralizado (en la red). Existen varias opciones para almacenar datos. Almacenamiento de conexión directa (DAS) proporciona almacenamiento conectado a una computadora. Una unidad de disco duro o una unidad de memoria flash USB son un ejemplo de almacenamiento de conexión directa. De manera predeterminada, los sistemas no están configurados para compartir el almacenamiento de conexión directa. La Matriz redundante de discos independientes (RAID) utiliza varios discos duros en una matriz, que es un método para combinar varios discos de modo que el sistema operativo los vea como un solo disco. RAID proporciona un mejor rendimiento y una mejor tolerancia a fallas. Un dispositivo de almacenamiento conectado a la red (NAS) es un dispositivo de almacenamiento conectado a una red que permite el almacenamiento y la recuperación de datos desde una ubicación centralizada por parte de los usuarios autorizados de la red. Los dispositivos de NAS son flexibles y escalables, lo cual significa que los administradores pueden aumentar la capacidad según sea necesario. Una arquitectura de red de área de almacenamiento (SAN) es un sistema de almacenamiento con base en la red. Los sistemas de SAN se conectan a la red mediante las interfaces de alta velocidad que permiten un mejor rendimiento y la capacidad para conectarse varios servidores a un repositorio centralizado de almacenamiento en disco. El almacenamiento en la nube es una opción de almacenamiento remoto que usa el espacio en un proveedor del centro de datos y es accesible desde cualquier computadora con acceso a Internet. Google Drive, iCloud y Dropbox son ejemplos de proveedores de almacenamiento en la nube.
Desafíos en la protección de los datos almacenados Las organizaciones tienen una tarea difícil al intentar protegen los datos almacenados. Para mejorar el almacenamiento de datos, las empresas pueden automatizar y centralizar las copias de respaldo de datos. El almacenamiento de conexión directa puede ser uno de los tipos más difíciles de almacenamiento de datos en administrar y controlar. El almacenamiento de conexión directa es vulnerable a los ataques
Cybersecurity Essentials - ES 0118
30
maliciosos en el host local. Los datos almacenados también pueden incluir los datos de copia de respaldo. Las copias de respaldo pueden ser manuales o automáticas. Las organizaciones deben limitar los tipos de datos almacenados en el almacenamiento de conexión directa. En particular, una organización no almacenaría los datos críticos en dispositivos de almacenamiento de conexión directa. Los sistemas de almacenamiento en red ofrecen una alternativa más segura. Los sistemas de almacenamiento en red incluidos RAID, SAN y NAS proporcionan mayor rendimiento y redundancia. Sin embargo, los sistemas de almacenamiento en red son más complicados para configurar y administrar. También manejan más datos, lo que presenta un mayor riesgo para la organización si falla el dispositivo. Los desafíos particulares de los sistemas de almacenamiento en red incluyen la configuración, la prueba y la supervisión del sistema.
Métodos de transmisión de datos La transmisión de datos implica el envío de la información de un dispositivo a otro. Existen diversos métodos para transmitir información entre dispositivos, entre los que se incluyen los siguientes:
Red de transferencia: utiliza medios extraíbles para mover físicamente los datos de una computadora a otra
Redes cableadas: utilizan cables para transmitir datos
Redes inalámbricas: utilizan ondas de radio para transmitir datos
Las organizaciones nunca podrán eliminar el uso de una red de transferencia. Las redes cableadas incluyen redes de cableado de cobre y fibra óptica. Las redes cableadas pueden servir a un área geográfica local (red de área local) o pueden abarcar grandes distancias (redes de área amplia). Las redes inalámbricas están reemplazando a las redes cableadas. Las redes inalámbricas son cada vez más rápidas y son capaces de manejar más ancho de banda. Las redes inalámbricas extienden la cantidad de usuarios invitados con los dispositivos móviles en la oficina pequeña y oficina doméstica (SOHO) y las redes empresariales. Las redes cableadas e inalámbricas utilizan paquetes o unidades de datos. El término paquete se refiere a una unidad de datos que se desplaza entre un origen y un destino de la red. Los protocolos estándar como el protocolo de Internet (IP) y el Hypertext Transfer Protocol (HTTP) definen la estructura y formación de paquetes de datos. Estos estándares son de código abierto y están disponibles al público. La protección de la confidencialidad, integridad y disponibilidad de los datos transmitidos es una de las responsabilidades más importantes de un profesional de ciberseguridad.
Desafíos en la protección de datos en tránsito La protección de los datos transmitidos es uno de los trabajos más desafiantes para un profesional de ciberseguridad. Con el crecimiento de los dispositivos móviles e inalámbricos, los profesionales de ciberseguridad son responsables de proteger cantidades masivas de datos que cruzan la red a diario. Los profesionales de ciberseguridad deben afrontar varios desafíos al proteger estos datos:
Protección de la confidencialidad de los datos: los delincuentes cibernéticos pueden capturar, guardar y robar datos en tránsito. Los profesionales cibernéticos deben tomar medidas para contrarrestar estas acciones.
Protección de la integridad de los datos: los delincuentes cibernéticos pueden interceptar y alterar los datos en tránsito. Los profesionales de ciberseguridad implementan sistemas de integridad de los datos que evalúan la integridad y la autenticidad de los datos transmitidos para responder a estas acciones.
Cybersecurity Essentials - ES 0118
31
Protección de la disponibilidad de los datos: los delincuentes informáticos pueden usar dispositivos falsos o no autorizados para interrumpir la disponibilidad de los datos. Un dispositivo móvil simple puede presentarse como un punto de acceso inalámbrico local y engañar a los usuarios desprevenidos al asociarse con el dispositivo falso. Los delincuentes cibernéticos puede secuestrar una conexión autorizada a un servicio o un dispositivo protegido. Los profesionales de seguridad de red pueden implementar sistemas de autenticación mutua para responder a estas acciones. Los sistemas de autenticación mutua requieren que el usuario autentique al servidor y solicita que el servidor autentique al usuario.
Formas de procesamiento y cómputo de datos El tercer estado de los datos es el de datos en proceso. Esto se refiere a los datos durante la entrada, la modificación, el cómputo o el resultado. La protección de la integridad de los datos comienza con la entrada inicial de datos. Las organizaciones utilizan varios métodos para recopilar datos, como ingreso manual de datos, formularios de análisis, cargas de archivos y datos recopilados de los sensores. Cada uno de estos métodos representa amenazas potenciales a la integridad de los datos. Un ejemplo de daños a los datos durante el proceso de captación, incluye errores en la entrada de datos o sensores del sistema desconectados, con funcionamiento incorrecto o inoperables. Otros ejemplos pueden incluir formatos de datos identificación errónea, incorrectos o no coincidentes. La modificación de los datos se refiere a cualquier cambio en los datos originales, como la modificación manual que realizan los usuarios de los datos, el procesamiento de programas y el cambio de datos, y las fallas en el equipo, lo que provoca la modificación de los datos. Los procesos como la codificación y decodificación, compresión y descompresión y cifrado y descifrado son ejemplos de la modificación de los datos. El código malicioso también provoca daños en los datos. El daño a los datos también ocurre durante el proceso de salida de datos. La salida de datos se refiere a los datos que salen de impresoras, pantallas electrónicas o directamente a otros dispositivos. La precisión de los datos de salida es fundamental ya que el resultado proporciona información y afecta la toma de decisiones. Los ejemplos de daños a los datos incluyen el uso incorrecto de delimitadores de datos, configuraciones incorrectas de comunicación e impresoras configuradas incorrectamente.
Cybersecurity Essentials - ES 0118
32
Desafíos en la protección de datos en proceso La protección contra la modificación de los datos no válidos durante el proceso puede tener un efecto adverso. Los errores de software son el motivo de muchas desgracias y desastres. Por ejemplo, solo dos semanas antes de Navidad, algunos de los comercios minoristas terceros de Amazon experimentaron un cambio en el precio publicado en sus elementos a solo un centavo. El inconveniente duró una hora. El error provocó que miles de compradores obtuvieran el descuento de sus vidas y la empresa perdió ingresos. En 2016, el termostato de Nest funcionaba incorrectamente y dejó a los usuarios sin calefacción. El termostato de Nest es una tecnología inteligente propiedad de Google. Una falla de software dejó a los usuarios, literalmente, afuera en el frío. Una actualización de software fue el problema y las baterías del dispositivo se agotaron y le impidió controlar la temperatura. Como resultado, los clientes no podían calentar sus hogares ni obtener agua caliente en uno de los fines de semana más fríos del año. La protección de los datos durante el proceso requiere sistemas bien diseñados. Los profesionales de ciberseguridad diseñan políticas y procedimientos que requieren pruebas, mantenimientos y actualización de sistemas para mantenerlos en funcionamiento con la menor cantidad de errores.
Medidas de protección tecnológicas con base en software Las medidas de protección de software incluyen programas y servicios que protegen los sistemas operativos, las bases de datos y otros servicios que operan en las estaciones de trabajo, los dispositivos portátiles y los servidores. Los administradores instalan las contramedidas o las protecciones basadas en software en los hosts o los servidores individuales. Existen varias tecnologías basadas en software utilizadas para proteger los activos de la organización:
Los firewalls del software controlan el acceso remoto a un sistema. Los sistemas operativos generalmente incluyen un firewall o un usuario puede adquirir o descargar un software de terceros.
Los escáneres de redes y puertos detectan y supervisan los puertos abiertos en un host o un servidor.
Cybersecurity Essentials - ES 0118
33
Los analizadores de protocolos o los analizadores de firmas, son dispositivos que recopilan y analizan el tráfico de red. Identifican problemas de rendimiento, detectan configuraciones incorrectas, identifican aplicaciones que funcionan de manera incorrecta, establecen una línea de base y patrones de tráfico normal y depuran los problemas de comunicación.
Los escáneres de vulnerabilidad son programas informáticos diseñados para evaluar las debilidades en las computadoras o redes.
Los sistemas de detección de intrusiones (IDS) basados en el host examinan la actividad en los sistemas host. Un IDS genera archivos de registro y mensajes de alarma cuando detecta actividad inusual. Un sistema que almacena datos confidenciales o que proporciona servicios críticos es un candidato para el IDS basado en host.
Medidas de protección tecnológicas con base en hardware Existen varias tecnologías basadas en hardware utilizadas para proteger los activos de la organización:
Los dispositivos de firewall bloquean el tráfico no deseado. Los firewalls contienen reglas que definen el tráfico permitido dentro y fuera de la red.
Los sistemas de detección de intrusiones (IDS) exclusivos detectan signos de ataques o de tráfico inusual en una red y envía una alerta.
Los sistemas de prevención de intrusiones (IPS) detectan signos de ataques o de tráfico inusual en una red, generan una alerta y toman medidas correctivas.
Los servicios de filtrado de contenido controlan el acceso y la transmisión de contenido inaceptable u ofensivo.
Cybersecurity Essentials - ES 0118
34
Medidas de protección tecnológicas con base en la red Existen varias tecnologías basadas en red que se utilizan para proteger los activos de la organización:
La red privada virtual (VPN) es una red virtual segura que utiliza la red pública (es decir, Internet). La seguridad de una VPN reside en el cifrado del contenido de paquetes entre los terminales que definen la VPN.
Control de acceso a la red (NAC) requiere un conjunto de verificaciones antes de permitir que un dispositivo se conecte a una red. Algunos verificaciones comunes incluyen la instalación de actualizaciones de software antivirus o de sistema operativo.
Seguridad de punto de acceso inalámbrico incluye la implementación de la autenticación y encriptación.
Medidas de protección tecnológicas con base en la nube Las tecnologías con base en la nube cambian el componente de tecnología de la organización al proveedor de la nube. Los tres servicios principales de computación en la nube incluyen los siguientes:
Software como servicio (SaaS) permite que los usuarios tengan acceso al software y las bases de datos de la aplicación. Los proveedores de la nube administran la infraestructura. Los usuarios almacenan datos en los servidores del proveedor de la nube.
Infraestructura como servicio (IaaS) proporciona recursos informáticos virtualizados a través de Internet. El proveedor es el host del hardware, del software, de los servidores y de los componentes de almacenamiento.
Plataforma como servicio (PaaS) proporciona acceso a las herramientas de desarrollo y a los servicios utilizados para proporcionar las aplicaciones.
Los proveedores de servicios en la nube han ampliado estas opciones para incluir la TI como servicio (ITaaS), que brinda soporte de TI a los modelos de servicio de IaaS, PaaS y SaaS. En el modelo de ITaaS, una organización tiene un contrato con el proveedor de la nube para servicios individuales o agrupados. Los proveedores de servicios en la nube utilizan dispositivos de seguridad virtual que se ejecutan en un entorno virtual con un sistema operativo preempaquetado y reforzado que se ejecuta en un hardware virtualizado.
Cómo implementar la capacitación y formación en ciberseguridad Invertir mucho dinero en tecnología no variará si las personas dentro de la organización son el eslabón más débil en el área de ciberseguridad. Un programa de reconocimiento de seguridad es sumamente importante para una organización. Un empleado puede no ser malicioso de manera intencionada, pero no conocer cuáles son los procedimientos adecuados. Existen muchas maneras de implementar un programa de capacitación formal:
Hacer de la capacitación en el conocimiento de la seguridad una parte del proceso de incorporación de los empleados
Vincular el conocimiento de la seguridad con los requisitos o las evaluaciones de rendimiento
Realizar sesiones de capacitación en persona
Cybersecurity Essentials - ES 0118
35
Completar los cursos en línea
El reconocimiento de la seguridad debe ser un proceso continuo dado que las nuevas amenazas y técnicas están siempre en el horizonte.
Establecimiento de una cultura de conocimiento de la ciberseguridad Los miembros de una organización deben tener en cuenta las políticas de seguridad y tener el conocimiento para hacer de la seguridad una parte de sus actividades diarias. Un programa de reconocimiento de seguridad depende de:
El entorno de la organización
El nivel de amenaza
La creación de una cultura de conocimiento de la ciberseguridad es un esfuerzo continuo que requiere el liderazgo de la administración superior y el compromiso de todos los usuarios y empleados. La modificación de la cultura de la ciberseguridad de una organización comienza con el establecimiento de políticas y procedimientos por parte de la administración. Por ejemplo, muchas organizaciones tienen días de concientización sobre la ciberseguridad. Las organizaciones también pueden publicar mensajes y señalizaciones para aumentar el conocimiento general sobre ciberseguridad. La creación de talleres y seminarios de orientación en ciberseguridad ayudan a aumentar la conciencia.
Políticas Una política de seguridad es un conjunto de objetivos de seguridad para una empresa que incluye las reglas de comportamiento de usuarios y administradores y especificar los requisitos del sistema. Estos objetivos, estas reglas y estos requisitos en conjunto garantizan la seguridad de una red, de los datos y de los sistemas informáticos de una organización. Una política de seguridad completa logra varias tareas:
Demuestra el compromiso de una organización con la seguridad.
Establece las reglas para el comportamiento esperado.
Garantiza la uniformidad en las operaciones del sistema, el software y la adquisición y uso de hardware, y el mantenimiento.
Define las consecuencias legales de violaciones.
Brinda al personal de seguridad el respaldo de la administración.
Las políticas de seguridad informan a los usuarios, al personal y a los gerentes los requisitos de una organización para proteger la tecnología y los activos de información. Una política de seguridad también especifica los mecanismos necesarios para cumplir con los requisitos de seguridad. Como se muestra en la figura, una política de seguridad generalmente incluye:
Políticas de autenticación e identificación: determinan cuáles son las personas autorizadas que pueden acceder a los recursos de red y describen los procedimientos de verificación.
Políticas de contraseña: garantizan que las contraseñas cumplan con requisitos mínimos y se cambien periódicamente.
Cybersecurity Essentials - ES 0118
36
Políticas de uso aceptable: identifican los recursos y el uso de red que son aceptables para la organización. También puede identificar las consecuencias de las violaciones de la política.
Políticas de acceso remoto: identifican cómo los usuarios remotos pueden obtener acceso a la red y cuál es accesible de manera remota.
Políticas de mantenimiento de red: especifican los sistemas operativos de los dispositivos de la red y los procedimientos de actualización de las aplicaciones de los usuarios finales.
Políticas de manejo de incidentes: describen cómo se manejan los incidentes de seguridad.
Uno de los componentes más comunes de la política de seguridad es una política de uso aceptable (AUP). Este componente define qué pueden y no pueden realizar los usuarios en los distintos componentes del sistema. El AUP debe ser lo más explícito posible para evitar la malainterpretación. Por ejemplo, un AUP enumera las páginas web, los grupos informativos o las aplicaciones de uso intensivo de ancho de banda específicos a las que los usuarios no pueden acceder utilizando las computadoras o la red de la empresa.
Estándares Los estándares ayudan al personal de TI a mantener la uniformidad en el funcionamiento de la red. Los documentos sobre estándares proporcionan las tecnologías que los usuarios o los programas específicos necesitan, además de los requisitos o criterios del programa que una organización debe seguir. Esto permite al personal de TI mejorar la eficiencia y simplicidad en el diseño, el mantenimiento y la resolución de problemas. Uno de los principios de seguridad más importantes es el de uniformidad. Por este motivo, es necesario que las organizaciones establezcan estándares. Cada organización desarrolla estándares para admitir el entorno operativo único. Por ejemplo, una organización establece una política de contraseñas. El estándar es que las contraseñas requieran un mínimo de ocho caracteres alfanuméricos de letras mayúsculas y minúsculas, con al menos un carácter especial. Un usuario debe cambiar una contraseña cada 30 días y un historial de contraseñas de 12 contraseñas anteriores garantiza que el usuario cree contraseñas únicas por un año.
Pautas Las pautas constan de una lista de sugerencias sobre cómo hacer las cosas de manera más eficaz y segura. Son similares a los estándares, pero son más flexibles y generalmente no son obligatorias. Las pautas definen cómo se desarrollan los estándares y garantizan el cumplimiento de las políticas de seguridad general. Algunas de las pautas más útiles conforman las mejores prácticas de una organización. Además de las mejores prácticas que define una organización, las pautas también están disponibles a partir de lo siguiente:
Instituto Nacional de Normas y Tecnología (NIST), Centro de recursos de seguridad informática (Figura 1)
Departamento de Seguridad Nacional (NSA), Guías para la configuraciones de seguridad (Figura 2)
El estándar de criterios comunes (Figura 3)
Mediante el ejemplo de políticas de contraseña, una pauta es una sugerencia en l a que el usuario toma una frase como “I have a dream” y lo convierte en una contraseña segura, Ihv@dr3 @m. El usuario puede crear otras contraseñas a partir de esta frase al cambiar el número, mover el símbolo o cambiar el signo de puntuación.
Cybersecurity Essentials - ES 0118
37
Procedimientos Los documentos de procedimiento son más detallados que los estándares y las pautas. Los documentos de procedimiento incluyen detalles de implementación que contienen generalmente instrucciones paso a paso y gráficos. La figura muestra un ejemplo del procedimiento que se utilizó para cambiar una contraseña. Las grandes organizaciones deben usar documentos de procedimientos para mantener la uniformidad de la implementación que se necesita para un entorno seguro.
Descripción general del modelo Los profesionales de seguridad necesitan proteger la información de manera completa en la organización. Esta es una tarea monumental y no es razonable esperar que una persona tenga todo el conocimiento necesario. La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) desarrollaron un marco de trabajo global para guiar la administración de la seguridad de la información. El modelo de ciberseguridad de ISO es para los profesionales de la ciberseguridad lo que el modelo de red de OSI es para los ingenieros de redes. Ambos proporcionan un marco para comprender y abordar las tareas complejas.
Dominios de la ciberseguridad La norma ISO/IEC 27000 es un estándar de seguridad informática publicada en 2005 y revisada en 2013. ISO publica los estándares ISO 27000. Si bien los estándares no son obligatorios, la mayoría de los países los utilizan como marco trabajo de facto para implementar la seguridad informática. Los estándares ISO 27000 describen la implementación de un sistema de administración de seguridad de la información (ISMS) completo. Un ISMS incluye todos los controles administrativos, técnicos y operativos para mantener la información segura dentro de una organización. Doce dominios independientes representan los componentes del estándar ISO 27000. Estos doce dominios sirven para organizar, en un nivel alto, las vastas áreas de información bajo el término general de seguridad informática. La estructura del modelo de ciberseguridad de ISO es diferente del modelo de OSI ya que utiliza dominios en lugar de capas para describir las categorías de seguridad. El motivo es que el modelo de ciberseguridad de ISO no es una relación jerárquica. Es un modelo de pares en el que cada dominio tiene una relación directa con los otros dominios. El modelo de ciberseguridad de ISO 27000 es muy similar al modelo de OSI en que es fundamental que los hechiceros en ciberseguridad comprendan ambos modelos para tener éxito. Haga clic en cada dominio de la figura para ver una descripción breve. Los doce dominios sirven como base común para desarrollar estándares de seguridad organizativa y prácticas eficaces de administración de seguridad. También facilitan la comunicación entre organizaciones.
Objetivos de control Los doce dominios constan de objetivos de control definidos en la parte 27001 del estándar. Los objetivos de control definen los requisitos de alto nivel para implementar un ISM completo. El equipo de administración de una organización utiliza los objetivos de control de ISO 27001 para definir y publicar las políticas de seguridad de la organización. Los objetivos de control proporcionan una lista de comprobación para utilizar durante las auditorías de administración de seguridad. Muchas organizaciones deben aprobar una auditoría de ISMS para obtener una designación de cumplimiento del estándar ISO 27001. La certificación y el cumplimiento proporcionan confianza para dos organizaciones que deben confiar los datos y las operaciones confidenciales de cada uno. Las auditorías de cumplimiento y de seguridad
Cybersecurity Essentials - ES 0118
38
demuestran que las organizaciones aumentan continuamente su sistema de administración de seguridad informática. El siguiente es un ejemplo de un objetivo de control: Controlar el acceso a las redes mediante los mecanismos de autenticación adecuados para los usuarios y los equipos.
Controles El estándar ISO/IEC 27002 define los controles del sistema de administración de seguridad informática. Los controles son más detallados que los objetivos. Los objetivos de control indican a la organización lo que debe hacer. Los controles definen cómo alcanzar el objetivo. Según el objetivo de control, para controlar el acceso a las redes mediante los mecanismos de autenticación adecuados para los usuarios y los equipos, el control sería el siguiente: Utilice contraseñas seguras. Una contraseña segura consta de al menos ocho caracteres que son una combinación de letras, números y símbolos (@, #, $, %, etc.) si están permitidos. Las contraseñas distinguen entre mayúsculas y minúsculas, de modo que una contraseña segura contiene letras en mayúsculas y minúsculas. Los profesionales de ciberseguridad reconocen lo siguiente:
Los controles no son obligatorios, sino que están ampliamente aceptados y adoptadas.
Los controles deben mantener la neutralidad del proveedor para evitar la imagen de que respalda a un producto o a una empresa específica.
Los controles son como las pautas. Esto significa que puede haber más de una manera de cumplir con el objetivo.
Cybersecurity Essentials - ES 0118
39
El modelo de ciberseguridad de ISO y la Tríada de CID La norma ISO 27000 es un marco de trabajo universal para cada tipo de organización. Para utilizar el marco de trabajo de manera eficaz, una organización debe restringir los dominios, los objetivos de control y los controles que aplican a su entorno y sus operaciones. Los objetivos de control de ISO 27001 funcionan como una lista de verificación. El primer paso que una organización toma es para determinar si estos objetivos de control se aplican a la organización. La mayoría de las organizaciones generan un documento llamado Declaración de aplicabilidad (SOA). La SOA define los objetivos de control que la organización necesita usar. Las distintas organizaciones dan mayor prioridad a la confidencialidad, integridad y disponibilidad según el tipo de industria. Por ejemplo, Google otorga el valor más alto a la confidencialidad y disponibilidad de los datos del usuario y menos a la integridad. Google no verifica los datos del usuario. Amazon pone un gran énfasis a la disponibilidad. Si el sitio no está disponible, Amazon no realiza la venta. Esto no significa que Amazon ignora la confidencialidad a favor de la disponibilidad. Amazon solo da mayor prioridad a la disponibilidad. Por lo tanto, Amazon puede dedicar más recursos y garantizar que haya más servidores disponibles para manejar las compras de los clientes.
Cybersecurity Essentials - ES 0118
40
Una organización adapta su uso de los objetivos de control y los controles disponibles para satisfacer de mejor manera sus prioridades con respecto a la confidencialidad, integridad y disponibilidad.
El modelo y los mecanismos de protección de la ciberseguridad de ISO Los objetivos de control de ISO 27001 se relacionan directamente con las políticas, los procedimientos y las pautas de ciberseguridad de la organización que la administración superior determina. Los controles de ISO 27002 proporcionan dirección técnica. Por ejemplo, la administración superior establece una política que especifica la protección de todos los datos que ingresan o salen de la organización. La implementación de la tecnología para cumplir con los objetivos de la política no involucraría a la administración superior. Es responsabilidad de los profesionales de TI implementar y configurar correctamente el equipo utilizado para satisfacer las directivas de la política establecidas por la administración superior.
Resumen Capítulo 2: El cubo de destrezas de ciberseguridad En este capítulo se analizaron las tres dimensiones del cubo de destrezas de seguridad. La responsabilidad central de un hechicero de ciberseguridad es proteger los sistemas y los datos de una organización. En el capítulo se explicó cómo cada una de las tres dimensiones contribuye a ese esfuerzo. En el capítulo también se analizó el modelo de ciberseguridad de ISO. El modelo representa un marco de trabajo internacional para estandarizar la administración de los sistemas de información. En este capítulo se analizaron los doce dominios. El modelo proporciona objetivos de control que abordan el diseño y la implementación de alto nivel de un sistema completo de administración de seguridad de la información (ISMS). En el capítulo también se analizó cómo los profesionales de seguridad utilizan controles para identificar las tecnologías, los dispositivos y los productos para proteger la organización.
Cybersecurity Essentials - ES 0118
41
Capítulo 3: amenazas, vulnerabilidades y ataques a la ciberseguridad Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de ciberseguridad. Una amenaza a la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque. Una vulnerabilidad es una debilidad que hace que un objetivo sea susceptible a un ataque. Un ataque es una explotación deliberada de una debilidad detectadas en sistemas de información de la computadora, ya sea como objetivos específicos o simplemente como objetivos de la oportunidad. Los delincuentes informáticos pueden tener diferentes motivaciones para seleccionar un objetivo de un ataque. Los delincuentes cibernéticos tienen éxito al buscar e identificar continuamente los sistemas con vulnerabilidades evidentes. Las víctimas comunes incluyen sistemas sin parches o sistemas que no cuentan con detección de virus y de correo no deseado. En este capítulo se examinan los ataques más comunes a la ciberseguridad. Los hechiceros cibernéticos deben saber cómo funciona cada ataque, lo que aprovecha y cómo afecta a la víctima. El capítulo comienza explicando la amenaza de malware y de código malicioso, y luego explica los tipos de trucos involucrados en la ingeniería social. Un ataque cibernético es un tipo de maniobra ofensiva utilizada por los delincuentes cibernéticos para atacar a los sistemas de información de la computadora, las redes informáticas u otros dispositivos de la computadora, mediante un acto malicioso. Los delincuentes cibernéticos lanzan maniobras ofensivas contra redes cableadas e inalámbricas.
Virus, gusanos y troyanos Los delincuentes cibernéticos apuntan a los terminales del usuario mediante la instalación de malware. Haga clic en Reproducir para ver una animación de los tres tipos más comunes de malware. Virus Un virus es un código malicioso ejecutable asociado a otro archivo ejecutable, como un programa legítimo. La mayoría de los virus requieren la inicialización del usuario final y pueden activarse en un momento o fecha específica. Los virus informáticos generalmente se propagan en una de tres maneras: desde medios extraíbles; desde descargas de Internet y desde archivos adjuntos de correo electrónico. Los virus pueden ser inofensivos y simplemente mostrar una imagen o pueden ser destructivos, como los que modifican o borran datos. Para evitar la detección, un virus se transforma. El simple acto de abrir un archivo puede activar un virus. Un sector de arranque o un virus del sistema de archivos, infecta las unidades de memoria flash USB y puede propagarse al disco duro del sistema. La ejecución de un programa específico puede activar un virus del programa. Una vez que el virus del programa está activo, infectará generalmente otros programas en la computadora u otras computadoras de la red. El virus Melissa es un ejemplo de virus que se propaga por correo electrónico. Melissa afectó a decenas de miles de usuarios y causó daños por una cifra estimada en USD 1,2 mil millones. Haga clic aquí para leer más sobre los virus. Gusanos Los gusanos son códigos maliciosos que se replican al explotar de manera independiente las vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan las redes. Mientras que un virus requiere la ejecución de un programa del host, los gusanos pueden ejecutarse por sí mismos. A excepción de la infección inicial, los gusanos ya no requieren la participación del usuario. Después de que un gusano afecta a un host, se puede propagar muy rápido en la red. Los gusanos comparten patrones similares. Todos tienen una vulnerabilidad de activación, una manera de propagarse y contienen una carga útil. Los gusanos son responsables de algunos de los ataques más devastadores en Internet. Por ejemplo, en 2001, el gusano Code Red infectó a 658 servidores. En 19 horas, el gusano infectó a más de 300 000 servidores. Troyano Un troyano es un malware que ejecuta operaciones maliciosas bajo la apariencia de una operación deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan. Un troyano se diferencia
Cybersecurity Essentials - ES 0118
42
de un virus debido a que el troyano está relacionado con los archivos no ejecutables, como archivos de imagen, de audio o juegos.
Bomba lógica Una bomba lógica es un programa malicioso que utiliza un activador para reactivar el código malicioso. Por ejemplo, los activadores pueden ser fechas,horas, otros programas en ejecución o la eliminación de una cuenta de usuario. La bomba lógica permanece inactiva hasta que se produce el evento activador. Una vez activada, una bomba lógica implementa un código malicioso que provoca daños en una computadora. Una bomba lógica puede sabotear los registros de bases de datos, borrar los archivos y atacar los sistemas operativos o aplicaciones. Los paladines cibernéticos descubrieron recientemente las bombas lógicas que atacan y destruyen a los componentes de hardware de una estación de trabajo o un servidor, como ventiladores de refrigeración, CPU, memorias, unidades de disco duro y fuentes de alimentación. La bomba lógica abruma estos dispositivos hasta que se sobrecalientan o fallan.
Ransomware El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta que el objetivo haga un pago. El ransomware trabaja generalmente encriptando los datos de la computadora con una clave desconocida para el usuario. El usuario debe pagar un rescate a los delincuentes para eliminar la restricción. Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para bloquearlo. El ransomware se propaga como un troyano y es el resultado de un archivo descargado o de alguna debilidad del software. El pago a través de un sistema de pago ilocalizable siempre es el objetivo del delincuente. Una vez que la víctima paga, los delincuentes proporcionan un programa que descifra los archivos o envían un código de desbloqueo. Haga clic aquí para leer más sobre el ransomware.
Puertas traseras y rootkits Una puerta trasera o un rootkit se refiere al programa o al código que genera un delincuente que ha comprometido un sistema. La puerta trasera omite la autenticación normal que se utiliza para tener acceso a un sistema. Algunos programas comunes de puerta trasera son Netbus y Back Orifice, que permiten el acceso remoto a los usuarios no autorizados del sistema. El propósito de la puerta trasera es otorgar a los delincuentes cibernéticos el acceso futuro al sistema, incluso si la organización arregla la vulnerabilidad original utilizada para atacar al sistema. Por lo general, los delincuentes logran que los usuarios autorizados ejecuten sin saberlo un programa de troyanos en su máquina para instalar la puerta trasera. Un rootkit modifica el sistema operativo para crear una puerta trasera. Los atacantes luego utilizan la puerta trasera para acceder a la computadora de forma remota. La mayoría de los rootkits aprovecha las vulnerabilidades de software para realizar el escalamiento de privilegios y modificar los archivos del sistema. El escalamiento de privilegios aprovecha los errores de programación o las fallas de diseño para otorgar al delincuente el acceso elevado a los recursos y datos de la red. También es común que los rootkits modifiquen la informática forense del sistema y las herramientas de supervisión, por lo que es muy difícil detectarlos. A menudo, el usuario debe limpiar y reinstalar el sistema operativo de una computadora infectada por un rootkit.
Defensa contra malware Algunos pasos simples pueden ayudar a brindar protección contra todas las formas de malware.
Programa antivirus: la mayoría de los conjuntos de antivirus adquieren las formas más generalizadas de malware. Sin embargo, los delincuentes cibernéticos desarrollan e implementan nuevas amenazas a diario. Por lo tanto, la clave para una solución antivirus eficaz es mantener
Cybersecurity Essentials - ES 0118
43
actualizadas las firmas. Una firma es como una huella. Identifica las características de un código malicioso.
Software de actualización: muchas formas de malware alcanzan sus objetivos mediante la explotación de las vulnerabilidades del software, en el sistema operativo y las aplicaciones. Aunque las vulnerabilidades del sistema operativo eran la fuente principal de los problemas, las vulnerabilidades actuales a nivel de las aplicaciones representan el riesgo más grande. Desafortunadamente, aunque los fabricantes de sistemas operativos son cada vez más receptivos a los parches, la mayoría de los proveedores de aplicaciones no lo son.
Correo electrónico no deseado El correo electrónico es un servicio universal utilizado por miles de millones de personas en todo el mundo. Como uno de los servicios más populares, el correo electrónico se ha convertido en una vulnerabilidad importante para usuarios y organizaciones. El correo no deseado, también conocido como “correo basura”, es correo electrónico no solicitado. En la mayoría de los casos, el correo no deseado es un método publicitario. Sin embargo, el correo no deseado se puede utilizar para enviar enlaces nocivos, malware o contenido engañoso. El objetivo final es obtener información confidencial, como información de un número de seguro social o de una cuenta bancaria. La mayor parte del correo no deseado proviene de varias computadoras en redes infectadas por un virus o gusano. Estas computadoras comprometidas envían la mayor cantidad posible de correo electrónico masivo. Incluso con la implementación de estas características de seguridad, algunos correos no deseados aún pueden llegar a la bandeja de entrada. Algunos de los indicadores más comunes de correo no deseado son los siguientes:
El correo electrónico no tiene asunto.
El correo electrónico solicita la actualización de una cuenta.
El texto del correo electrónico tiene palabras mal escritas o puntuación extraña.
Los enlaces del correo electrónico son largos o crípticos.
Un correo electrónico se parece a una correspondencia de una empresa legítima.
El correo electrónico solicita que el usuario abra un archivo adjunto.
Haga clic aquí para obtener más información sobre el correo no deseado. Si un usuario recibe un correo electrónico que contiene uno o más de estos indicadores, este no debe abrir el correo electrónico ni los archivos adjuntos. Es muy común que la política de correo electrónico de una organización requiera que un usuario que recibe este tipo de correo electrónico lo informe al personal de seguridad cibernética. Casi todos los proveedores de correo electrónico filtran el correo electrónico no deseado. Desafortunadamente, el correo electrónico no deseado aún consume ancho de banda y el servidor del destinatario debe procesar el mensaje de igual manera.
Spyware, adware y scareware El spyware es un software que permite a un delincuente obtener información sobre las actividades informáticas de un usuario. El spyware incluye a menudo rastreadores de actividades, recopilación de pulsaciones de teclas y captura de datos. En el intento por superar las medidas de seguridad, el spyware a menudo modifica las configuraciones de seguridad. El spyware con frecuencia se agrupa con el software legítimo o con troyanos. Muchos sitios web de shareware están llenos de spyware. El adware muestra generalmente los elementos emergentes molestos para generar ingresos para sus autores. El malware puede analizar los intereses del usuario al realizar el seguimiento de los sitios web visitados. Luego puede enviar la publicidad emergente en relación con esos sitios. Algunas versiones de
Cybersecurity Essentials - ES 0118
44
software instalan automáticamente el adware. Algunos adwares solo envían anuncios, pero también es común que el adware incluya spyware. El scareware convence al usuario a realizar acciones específicas según el temor. El scareware falsifica ventanas emergentes que se asemejan a las ventanas de diálogo del sistema operativo. Estas ventanas transportan los mensajes falsificados que exponen que el sistema está en riesgo o necesita la ejecución de un programa específico para volver al funcionamiento normal. En realidad, no existen problemas y si el usuario acepta y permite que el programa mencionado se ejecute, el malware infectará su sistema.
Falsificación de identidad La suplantación de identidad es una forma de fraude. Los delincuentes cibernéticos utilizan el correo electrónico, la mensajería instantánea u otros medios sociales para intentar recopilar información como credenciales de inicio de sesión o información de la cuenta disfrazándose como una entidad o persona de confianza. La suplantación de identidad ocurre cuando una parte maliciosa envía un correo electrónico fraudulento disfrazado como fuente legítima y confiable. El objetivo de este mensaje es engañar al destinatario para que instale malware en su dispositivo o comparta información personal o financiera. Un ejemplo de suplantación de identidad es un correo electrónico falsificado similar al que provino de un negocio minorista, que solicita al usuario que haga clic en un enlace para reclamar un premio. El enlace puede ir a un sitio falso que solicita información personal o puede instalar un virus. La suplantación de identidad focalizada es un ataque de falsificación de identidad altamente dirigido. Si bien la suplantación de identidad y la suplantación de identidad focalizada usan correos electrónicos para llegar a las víctimas, mediante la suplantación de identidad focalizada se envía correos electrónicos personalizados a una persona específica. El delincuente investiga los intereses del objetivo antes de enviarle el correo electrónico. Por ejemplo, el delincuente descubre que al objetivo le interesan los automóviles y que está interesado en la compra de un modelo específico de automóvil. El delincuente se une al mismo foro de debate sobre automóviles donde el objetivo es miembro, fragua una oferta de venta del automóvil y envía un correo electrónico al objetivo. El correo electrónico contiene un enlace a imágenes del automóvil. Cuando el objetivo hace clic en el enlace, instala sin saberlo el malware en la computadora. Haga clic aquí para obtener más información sobre los fraudes de correo electrónico.
«Vishing», «Smishing», «Pharming» y «Whaling» El «Vishing» es una práctica de suplantación de identidad mediante el uso de la tecnología de comunicación de voz. Los delincuentes pueden realizar llamadas de suplantación de fuentes legítimas mediante la tecnología de voz sobre IP (VoIP). Las víctimas también pueden recibir un mensaje grabado que parezca legítimo. Los delincuentes desean obtener los números de tarjetas de crédito u otra información para robar la identidad de la víctima. El «Vishing» aprovecha el hecho de que las personas dependen de la red telefónica. El «Smishing» (suplantación del servicio de mensajes cortos) es una suplantación de identidad mediante la mensajería de texto en los teléfonos móviles. Los delincuentes se hacen pasar por una fuente legítima en un intento por ganar la confianza de la víctima. Por ejemplo, un ataque de «smishing» puede enviar a la víctima un enlace de sitio web. Cuando la víctima visita el sitio web, el malware se instala en el teléfono móvil. El «Pharming» es la suplantación de un sitio web legítimo en un esfuerzo por engañar a los usuarios al ingresar sus credenciales. El «Pharming» dirige erróneamente a los usuarios a un sitio web falsas que parece ser oficial. Las víctimas luego ingresan su información personal pensando que se conectaron a un sitio legítimo. El «Whaling» es un ataque de suplantación de identidad que apunta a objetivos de alto nivel dentro de una organización, como ejecutivos sénior. Los objetivos adicionales incluyen políticos o celebridades. Haga clic aquí para leer un artículo de RSA sobre la suplantación de identidad y las actividades de «smishing», «vishing» y «whaling».
Cybersecurity Essentials - ES 0118
45
Complementos y envenenamiento del navegador Las infracciones a la seguridad pueden afectar a los navegadores web al mostrar anuncios emergentes, recopilar información de identificación personal o instalar adware, virus o spyware. Un delincuente puede hackear el archivo ejecutable de un navegador, los componentes de un navegador o sus complementos. Complementos Los complementos de memoria flash y shockwave de Adobe permiten el desarrollo de animaciones interesantes de gráfico y caricaturas que mejoran considerablemente la apariencia de una página web. Los complementos muestran el contenido desarrollado mediante el software adecuado. Hasta hace poco, los complementos tenían un registro notable de seguridad. Si bien el contenido basado en flash creció y se hizo más popular, los delincuentes examinaron los complementos y el software de Flash, determinaron las vulnerabilidades y atacaron a Flash Player. El ataque exitoso puede provocar el colapso de un sistema o permitir que un delincuente tome el control del sistema afectado. Espere el aumento de las pérdidas de datos a medida que los delincuentes sigan investigando las vulnerabilidades de los complementos y protocolos más populares. Envenenamiento SEO Los motores de búsqueda, como Google, funcionan clasificando páginas y presentando resultados relevantes conforme a las consultas de búsqueda de los usuarios. Según la importancia del contenido del sitio web, puede aparecer más arriba o más abajo en la lista de resultados de la búsqueda. La SEO (optimización de motores de búsqueda) es un conjunto de técnicas utilizadas para mejorar la clasificación de un sitio web por un motor de búsqueda. Aunque muchas empresas legítimas se especializan en la optimización de sitios web para mejorar su posición, el envenenamiento SEO utiliza la SEO para hacer que un sitio web malicioso aparezca más arriba en los resultados de la búsqueda. El objetivo más común del envenenamiento SEO es aumentar el tráfico a sitios maliciosos que puedan alojar malware o perpetrar la ingeniería social. Para forzar un sitio malicioso para que califique más alto en los resultados de la búsqueda, los atacantes se aprovechan de los términos de búsqueda populares. Secuestrador de navegadores Un secuestrador de navegadores es el malware que altera la configuración del navegador de una computadora para redirigir al usuario a sitios web que pagan los clientes de los delincuentes cibernéticos. Los secuestradores de navegadores instalan sin permiso del usuario y generalmente son parte de una descarga desapercibida. Una descarga desde una unidad es un programa que se descarga automáticamente a la computadora cuando un usuario visita un sitio web o ve un mensaje de correo electrónico HTML. Siempre lea los acuerdos de usuario detalladamente al descargar programas de evitar este tipo de malware.
Cómo defenderse de los ataques a correos electrónicos y navegadores Los métodos para tratar con correo no deseado incluyen el filtrado de correo electrónico, la formación del usuario sobre las precauciones frente a correos electrónicos desconocidos y el uso de filtros de host y del servidor. Es difícil detener el correo electrónico no deseado, pero existen maneras de reducir sus efectos. Por ejemplo, la mayoría de los ISP filtran el correo no deseado antes de que llegue a la bandeja de entrada del usuario. Muchos antivirus y programas de software de correo electrónico realizan automáticamente el filtrado de correo electrónico. Esto significa que detectan y eliminan el correo no deseado de la bandeja de entrada del correo electrónico. Las organizaciones también advierten a los empleados sobre los peligros de abrir archivos adjuntos de correo electrónico que pueden contener un virus o un gusano. No suponga que los archivos adjuntos de correo electrónico son seguros, aun cuando provengan de un contacto de confianza. Un virus puede intentar propagarse al usar la computadora del emisor. Siempre examine los archivos adjuntos de correo electrónico antes de abrirlos.
Cybersecurity Essentials - ES 0118
46
El Grupo de trabajo contra la suplantación de identidad (APWG) es una asociación del sector que se dedica a eliminar el robo de identidad y el fraude ocasionado por la suplantación de identidad y la suplantación de correo electrónico. Si mantiene todo el software actualizado, esto garantiza que el sistema tenga todos los últimos parches de seguridad aplicados para remover las vulnerabilidades conocidas. Haga clic aquí para obtener más información sobre cómo evitar ataques al navegador
Ingeniería social La ingeniería social es un medio completamente no técnico por el que el delincuente reúne información sobre un objetivo. La ingeniería social es un ataque que intenta manipular a las personas para que realicen acciones o divulguen información confidencial. Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ser útiles, pero también se aprovechan de sus vulnerabilidades. Por ejemplo, un atacante puede llamar a un empleado autorizado con un problema urgente que requiere acceso inmediato a la red. El atacante puede atraer la vanidad o la codicia del empleado o invocar la autoridad mediante técnicas de nombres. Estos son algunos tipos de ataques de ingeniería social: Pretexto: esto es cuando un atacante llama a una persona y miente en el intento de obtener acceso a datos privilegiados. Un ejemplo implica a un atacante que pretende necesitar datos personales o financieros para confirmar la identidad del destinatario. Algo por algo (quid pro quo): esto es cuando un atacante solicita información personal de una parte a cambio de algo, por ejemplo, un obsequio.
Tácticas de ingeniería social Los ingenieros sociales utilizan varias tácticas. Las tácticas de ingeniería social incluyen las siguientes:
Autoridad: es más probable que las personas cumplan cuando reciben las instrucciones de “una autoridad”
Intimidación: los delincuentes hostigan a una víctima para que tome medidas
Consenso/prueba social: las personas tomarán medidas si sienten que a otras personas les gusta también
Escasez: las personas tomarán medidas cuando consideren que existe una cantidad limitada
Urgencia: las personas tomarán medidas cuando consideren que existe un tiempo limitado
Familiaridad/agrado: los delincuentes desarrollan una buena relación con la víctima para establecer una relación y confianza
Confianza: los delincuentes crean una relación de confianza con una víctima la cual puede tomar más tiempo en establecerse.
Haga clic en cada táctica de la figura para ver un ejemplo. Los profesionales en ciberseguridad son responsables de formar a otras personas en la organización con respecto a las tácticas de los ingenieros sociales. Haga clic aquí para obtener más información sobre las tácticas de ingeniería social.
Cybersecurity Essentials - ES 0118
47
«Espiar por encima del hombro» y «hurgar en la basura» Un delincuente observa, o espía por encima del hombre, para recoger los PIN, los códigos de acceso o los números de tarjetas de crédito. Un atacante puede estar muy cerca de su víctima o puede utilizar los prismáticos o las cámaras de circuito cerrado para espiar. Ese es un motivo por el que una persona solo puede leer una pantalla de ATM en determinados ángulos. Estos tipos de medidas de seguridad hacen la técnica de espiar por encima del hombro sea mucho más difícil. «La basura de un hombre es el tesoro de otro hombre». Esta frase puede ser especialmente cierta en la actividad de «búsqueda en la basura» que es el proceso por el cual se busca en la basura de un objetivo para ver qué información desecha una organización. Tenga en cuenta proteger el receptáculo de basura. Cualquier información confidencial debe desecharse correctamente mediante el destrozo o el uso de bolsas para incineración, un contenedor que conserva los documentos confidenciales para la destrucción posterior mediante incineración.
Simulación de identidad y engaños La simulación de identidad es la acción de pretender ser alguien más. Por ejemplo, una reciente estafa telefónica afectó a los contribuyentes. Un delincuente, que se presentó como empleado del IRS, le dijo a las víctimas que debían dinero al IRS. Las víctimas deben pagar de inmediato a través de una transferencia bancaria. El imitador amenazó que si no pagaba, esto generaría un arresto. Los delincuentes también utilizan la simulación para atacar a otras personas. Pueden poner en riesgo la credibilidad de las personas al utilizan las publicaciones del sitio web o de los medios sociales. Un engaño es un acto realizado con la intención de embaucar o engañar. Un engaño cibernético puede causar tanta interrupción como puede provocar una violación real. Un engaño provoca la reacción de un usuario. La reacción puede provocar miedo innecesario y comportamiento irracional. Los usuarios transmiten los engaños a través del correo electrónico y de los medios sociales. Haga clic aquí para visitar un sitio web que ofrece una lista de los mensajes de engaños.
«Piggybacking» y «Tailgating» El «Piggybacking» es una práctica mediante la cual un delincuente sigue a una persona autorizada a todas partes para obtener ingreso a una ubicación segura o a un área restringida. Los delincuentes utilizan varios métodos para efectuar la actividad de «piggyback»:
Dan la apariencia de estar acompañados por una persona autorizada
Se unen a una multitud grande y fingen ser miembro
Apuntan a una víctima que es descuidada con respecto a las reglas de las instalaciones
El «Tailgating» es otro término que describe la misma práctica. Una trampa evita la práctica de «piggybacking» al usar dos conjuntos de puertas. Una vez que las personas ingresan a una puerta externa, esa puerta debe cerrarse antes de ingresar a la puerta interna.
Trucos en línea y por correo electrónico Si en el lugar de trabajo reenvía correos electrónicos engañosos y otras bromas, películas graciosas y correos electrónicos que no están relacionados con el trabajo, puede violar la política de uso aceptable de la empresa y esto puede generar medidas disciplinarias. Haga clic aquí para visitar un sitio web que publica rumores y controla la información
Cybersecurity Essentials - ES 0118
48
Cómo defenderse contra el uso de trucos Las organizaciones deben promover el conocimiento de tácticas de ingeniería social y formar correctamente a los empleados en relación con las medidas de prevención, como las siguientes:
Nunca proporcione información confidencial o credenciales por correo electrónico, sesiones de chat, en persona o por teléfono a desconocidos.
Resista el impulso de hacer clic en correos electrónicos y enlaces de sitio web atractivos.
Preste atención a las descargas no iniciadas o automáticas.
Establezca políticas y brinde formación a los empleados sobre esas políticas.
Cuando se trata de la seguridad, ofrezca a los empleados un sentido de la propiedad.
No se sienta presionado por personas desconocidas.
Haga clic aquí para obtener más información sobre el conocimiento de ciberseguridad
Denegación de servicio Los ataques de denegación de servicio (DoS) son un tipo de ataque a la red. Un ataque de DoS da como resultado cierto tipo de interrupción de los servicios de red a los usuarios, los dispositivos o las aplicaciones. Existen dos tipos principales de ataques de DoS:
Cantidad abrumadora de tráfico: el atacante envía una gran cantidad de datos a una velocidad que la red, el host o la aplicación no puede manejar. Esto ocasiona una disminución de la velocidad de transmisión o respuesta o una falla en un dispositivo o servicio.
Paquetes maliciosos formateados: esto sucede cuando se envía un paquete malicioso formateado a un host o una aplicación y el receptor no puede manejarlo. Por ejemplo, una aplicación no puede identificar los paquetes que contienen errores o paquetes incorrectamente formateados, reenviados por el atacante. Esto hace que el dispositivo receptor se ejecute muy lentamente o se detenga.
Los ataques de DoS son un riesgo importante porque pueden interrumpir fácilmente la comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques son relativamente simples de llevar a cabo, incluso por un atacante inexperto. El objetivo de un ataque de denegación de servicio es denegar el acceso a usuarios autorizados al hacer que la red no esté disponible (recuerde los tres principios básicos de seguridad: confidencialidad, integridad y disponibilidad). Haga clic en Reproducir en la Figura 1 para ver las animaciones de un ataque de DoS. Un ataque de DoS distribuida (DDoS) es similar a un ataque de DoS pero proviene de múltiples fuentes coordinadas. Por ejemplo, un ataque de DDoS podría darse de la siguiente manera: Un atacante crea una red de hosts infectados, denominada botnet, compuesta por zombis. Los zombis son hosts infectados. El atacante utiliza sistemas del controlador para controlar a los zombis. Las computadoras zombis constantemente analizan e infectan más hosts, lo que genera más zombis. Cuando está listo, el pirata informático proporciona instrucciones a los sistemas manipuladores para que los botnet de zombis lleven a cabo un ataque de DDoS. Haga clic en Reproducir en la Figura 2 para ver las animaciones de un ataque de DDoS. Un ataque de denegación de servicio distribuido (DDoS) utiliza muchos zombis para sobrecargar un objetivo.
Cybersecurity Essentials - ES 0118
49
Análisis La técnica de análisis es similar a escuchar a escondidas a alguien. Ocurre cuando los atacantes examinan todo el tráfico de red a medida que pasa por la NIC, independientemente de si el tráfico está dirigidos a ellos o no. Los delincuentes logran realizar análisis de la red con una aplicación de software, dispositivo de hardware o una combinación de ambos. Como se muestra en la figura, la práctica de análisis consiste en ver todo el tráfico de red o puede dirigirse a un protocolo, un servicio o incluso una cadena de caracteres específica, como un inicio de sesión o una contraseña. Algunos analizadores de protocolos de red observan todo el tráfico y modifican todo el tráfico o parte de este. La práctica de análisis también tiene sus beneficios. Los administradores de red pueden utilizar analizadores de protocolos para analizar el tráfico de red, identificar problemas de ancho de banda y para solucionar otros problemas de red. La seguridad física es importante para evitar la introducción de analizadores de protocolos en la red interna.
Falsificación de identidad (spoofing) La falsificación de identidad es un ataque que aprovecha una relación de confianza entre dos sistemas. Si dos sistemas aceptan la autenticación lograda por cada uno, es posible que una persona registrada en un sistema no pase nuevamente por un proceso de autenticación para acceder al otro sistema. Un atacante puede aprovechar esta disposición al enviar un paquete a un sistema que parece provenir de un sistema confiable. Dado que la relación de confianza existe, el sistema objetivo puede realizar la tarea solicitada sin autenticación. Existen varios tipos de ataques de suplantación de identidad.
La falsificación de direcciones MAC se produce cuando una computadora acepta los paquetes de datos según la dirección MAC de otra computadora.
La falsificación de direcciones IP envía paquetes IP de una dirección de origen falsificada para disfrazarse.
El Protocolo de resolución de dirección (ARP) es un protocolo que corrige las direcciones IP a direcciones MAC para transmitir datos. La suplantación de ARP envía mensajes ARP falsos a través de la LAN para conectar la dirección MAC del delincuente a la dirección IP de un miembro autorizado de la red.
El Sistema de nombres de dominio (DNS) asigna nombres de dominios en direcciones IP. La suplantación de identidad de servidor DNS modifica el servidor DNS para redirigir un nombre de dominio específico a una dirección IP diferente, controlada por el delincuente.
Ataque man-in-the-middle Un delincuente realiza un ataque man-in-the-middle (MitM) al interceptar las comunicaciones entre las computadoras para robar la información que transita por la red. El delincuente también puede elegir manipular los mensajes y retransmitir información falsa entre los hosts ya que estos desconocen que se produjo una modificación en los mensajes. El ataque MitM permite que el delincuente tome el control de un dispositivo sin el conocimiento del usuario. Haga clic en los pasos de la figura para aprender los conceptos básicos de un ataque MitM. Man-In-The-Mobile (MitMo) es una variación de man-in-middle. MitMo toma el control de un dispositivo móvil. El dispositivo móvil infectado envía información confidencial del usuario a los atacantes. ZeuS, un ejemplo de ataque con capacidades de MitMo, permite que los atacantes capturen silenciosamente SMS de verificación de 2 pasos enviados a los usuarios. Por ejemplo, cuando un usuario establece una Id. de Apple, debe proporcionar un número de teléfono que admita SMS para recibir un código de verificación
Cybersecurity Essentials - ES 0118
50
temporal mediante el mensaje de texto para probar la identidad del usuario. El malware espía en este tipo de comunicación y transmite la información a los delincuentes. Un ataque de repetición se produce cuando un atacante captura una porción de una comunicación entre dos hosts y luego transmite el mensaje capturado más adelante. Los ataques de repetición evitan los mecanismos de autenticación.
Ataques de día cero Un ataque de día cero, a veces denominado una amenaza de día cero, es un ataque de la computadora que intenta explotar las vulnerabilidades del software que son desconocidas o no reveladas por el proveedor de software. El término hora cero describe el momento en que alguien descubre el ataque. Durante el tiempo que le toma al proveedor de software desarrollar y lanzar un parche, la red es vulnerable a estos ataques, como se muestra en la figura. La defensa contra estos rápidos ataques requiere que los profesionales de seguridad de red adopten una visión más sofisticada de la arquitectura de red. Ya no es posible contener las intrusiones en algunos puntos de la red.
Cybersecurity Essentials - ES 0118
51
Registro del teclado El registro del teclado es un programa de software que registra las teclas de los usuarios del sistema. Los delincuentes pueden implementar registros de teclas mediante software instalado en un sistema informático o a través de hardware conectado físicamente a una computadora. El delincuente configura el software de registro de claves para enviar por correo electrónico el archivo de registro. Las teclas capturadas en el archivo de registro pueden revelar nombres de usuario, contraseñas, sitios web visitados y otra información confidencial. Los registros de teclado pueden ser software comerciales y legítimos. A menudo, los padres adquieren software de registro de clave para realizar el seguimiento de sitios web y del comportamiento de los niños que utilizan Internet. Muchas aplicaciones antispyware pueden detectar y eliminar registros de clave no autorizados. Si bien el software de registro de claves es legal, los delincuentes usan el software para fines ilegales.
Cómo defenderse de los ataques Una organización puede realizar varios pasos para defenderse de diversos ataques. Configure firewalls para descartar cualquier paquete fuera de la red que tenga direcciones que indican que se originaron dentro de la red. Esta situación no ocurre normalmente, e indica que un delincuente cibernéticos intentó realizar un ataque de suplantación de identidad. Para evitar ataques de DoS y DDoS, asegúrese de que los parches y las actualizaciones sean actuales, distribuya la carga de trabajo en todos los sistemas de servidores y bloquee los paquetes de Prootocolo de mensajería de control de Internet (ICMP) en la frontera. Los dispositivos de red utilizan paquetes ICMP para enviar mensajes de error. Por ejemplo, el comando ping utiliza paquetes ICMP para verificar que un dispositivo pueda comunicarse con otra en la red. Los sistemas pueden evitar ser víctimas de un ataque de repetición al cifrar el tráfico, proporcionar autenticación criptográfica e incluir una marca de tiempo con cada parte del mensaje. Haga clic aquí para obtener más información sobre las maneras de evitar ataques cibernéticos.
Grayware y SMiShing La técnica de Grayware se está convirtiendo en una área problemática en la seguridad móvil con la popularidad de los smartphones. La técnica de Grayware incluye aplicaciones que se comportan de
Cybersecurity Essentials - ES 0118
52
manera molesta o no deseada. La técnica de Grayware puede no tener un malware reconocible, pero aún puede representar un riesgo para el usuario. Por ejemplo, el grayware puede rastrear la ubicación del usuario. Los creadores de grayware mantienen generalmente la legitimidad al incluir las capacidades de una aplicación en la letra chica del contrato de licencia de software. Los usuarios instalan muchas aplicaciones móviles sin considerar realmente sus capacidades. El término SMiShing es la abreviatura de suplantación de identidad de SMS. Utiliza el Servicio de mensajes cortos (SMS) para enviar mensajes de texto falsos. Los delincuentes engañan al usuario al visitar un sitio web o llamar a un número de teléfono. Las víctimas desprevenidas pueden proporcionar información confidencial como información de la tarjeta de crédito. Visitar una página web puede provocar que el usuario descargue sin saberlo el malware que infecta al dispositivo.
Puntos de acceso no autorizados Un punto de acceso dudoso es un punto de acceso inalámbrico instalado en una red segura sin autorización explícita. Un punto de acceso dudoso se puede configurar de dos maneras. La primera es cuando un empleado bienintencionado intenta ser útil al facilitar la conexión de dispositivos móviles. La segunda manera es cuando un delincuente tiene acceso físico a una organización al escabullirse e instalar el punto de acceso dudoso. Dado que ambas son maneras no autorizadas, presentan riesgos para la organización. Un punto de acceso dudoso también puede referirse al punto de acceso de un delincuente. En este caso, el delincuente configura el punto de acceso como un dispositivo de MitM para captar información de inicio de sesión de los usuarios. Un ataque con AP de red intrusa utiliza el punto de acceso de delictiva gracias a una mayor potencia y antenas más altas de ganancias de ser una mejor opción de conexión para los usuarios. Una vez que los usuarios se conectan al punto de acceso no autorizado, los delincuentes pueden analizar el tráfico y ejecutar ataques de MitM.
Interferencia de RF Las señales inalámbricas son susceptibles a la interferencia electromagnética (EMI), a la interferencia de radiofrecuencia (RFI) e incluso pueden ser vulnerables a los rayos o ruidos de luces fluorescentes. Las señales inalámbricas también son vulnerables a la interferencia deliberada. La interferencia de radiofrecuencia (RF) interrumpe la transmisión de una estación de radio o satelital para que la señal no alcance la estación receptora. La frecuencia, la modulación y el poder del que realiza la interferencia de RF debe ser igual a la del dispositivo que el delincuente desea discontinuar para interferir correctamente la señal inalámbrica.
«Bluejacking» y «Bluesnarfing» El Bluetooth es un protocolo de corto alcance y baja energía. El Bluetooth transmite datos en una red de área personal, o PAN, y puede incluir dispositivos como teléfonos móviles, PC portátiles e impresoras. El Bluetooth ha pasado por varias versiones nuevas. La configuración sencilla es una característica del Bluetooth, por lo que no hay necesidad de usar direcciones de red. El Bluetooth utiliza el emparejamiento para establecer la relación entre los dispositivos. Al establecer el emparejamiento, ambos dispositivos utilizan la misma clave de acceso. Las vulnerabilidades del Bluetooth han surgido, pero por el rango limitado de Bluetooth, la víctima y al atacante deba estar dentro del rango de la otra persona.
El «Bluejacking» es el término que se utiliza para enviar mensajes no autorizados a otro dispositivo Bluetooth. Una variación de esto es enviar una imagen impactante a otro dispositivo.
El «Bluesnarfing» ocurre cuando el atacante copia la información de la víctima de su dispositivo. Esta información puede incluir correos electrónicos y listas de contactos.
Cybersecurity Essentials - ES 0118
53
Ataques a los protocolos WEP y WPA Privacidad equivalente por cable (WEP): es un protocolo de seguridad que intentó proporcionar una red de área local inalámbrica (WLAN) con el mismo nivel de seguridad que una red LAN cableada. Dado que las medidas de seguridad física ayudan a proteger una red LAN cableada, el protocolo WEP busca proporcionar protección similar para los datos transmitidos mediante la WLAN con encriptación. El protocolo WEP utiliza una clave para la encriptación. No existen disposiciones para la administración de claves con WEP, por lo que la cantidad de personas que comparten la clave crecerá continuamente. Dado que todas las personas utilizan la misma clave, el delincuente tiene acceso a una gran cantidad de tráfico para los ataques analíticos. El WEP también tiene varios problemas con el vector de inicialización (IV) que es uno de los componentes del sistema criptográfico:
Es un campo de 24 bits, lo cual es demasiado pequeño.
Es un texto no cifrado, lo que significa que es legible.
Es estático, por lo que los flujos de claves idénticas se repetirán en una red ocupada.
El protocolo de acceso protegido Wi-Fi (WPA) y luego el WPA2 salieron como protocolos mejorados para reemplazar al protocolo WEP. El protocolo WPA2 no tienen los mismos problemas de encriptación porque un atacante no puede recuperar la clave al observar el tráfico. El protocolo WPA2 es susceptible a ataques porque los delincuentes cibernéticos pueden analizar los paquetes que se envían entre el punto de acceso y un usuario legítimo. Los delincuentes cibernéticos utilizan un analizador de protocolos de paquetes y luego ejecutan los ataques sin conexión en la contraseña.
Defensa contra los ataques a dispositivos móviles e inalámbricos Existen varios pasos a seguir para defenderse de los ataques a los dispositivos móviles e inalámbricos. La mayoría de los productos de WLAN utilizan configuraciones predeterminadas. Aproveche las características básicas de seguridad inalámbrica como la autenticación y la encriptación al cambiar los ajustes de configuración predeterminada. Restrinja la ubicación del punto de acceso con la red al colocar estos dispositivos fuera del firewall o dentro de una zona perimetral (DMZ) que contenga otros dispositivos no confiables, como correo electrónico y servidores web. Las herramientas de WLAN como NetStumbler pueden descubrir puntos de acceso dudosos o estaciones de trabajo no autorizadas. Desarrolle una política de invitado para abordar la necesidad cuando los invitados legítimos necesitan conectarse a Internet mientras están de visita. Para los empleados autorizados, utilice una red privada virtual (VPN) de acceso remoto para el acceso a la WLAN.
Scripting entre sitios El scripts entre sitios (XSS) es una vulnerabilidad que se encuentra en las aplicaciones Web. El XSS permite a los delincuentes inyectar scripts en las páginas web que ven los usuarios. Este script puede contener un código malicioso. Los scripts entre sitios tienen tres participantes: el delincuente, la víctima y el sitio web. El delincuente cibernético no apunta a una víctima directamente. El delincuente aprovecha la vulnerabilidad en un sitio web o una aplicación web. Los delincuentes introducen scripts de cliente en sitios web que ven los usuarios, las víctimas. El script malicioso se transfiere sin saberlo al navegador del usuario. Un script malicioso de este tipo puede acceder a cookies, tokens de sesiones u otra información confidencial. Si los delincuentes obtienen la cookie de sesión de la víctima, pueden suplantar la identidad de ese usuario.
Cybersecurity Essentials - ES 0118
54
Inyección de códigos Una manera de almacenar datos en un sitio web es utilizar una base de datos. Existen diferentes tipos de bases de datos, como una base de datos de Lenguaje de consulta estructurado (SQL) o una base de datos de Lenguaje de marcado extensible (XML). Los ataques de inyección XML y SQL aprovechan las debilidades del programa, como no validar las consultas de la base de datos correctamente. Inyección XML Cuando se utiliza una base de datos de XML, una inyección XML es un ataque que puede dañar los datos. Una vez que el usuario proporciona la entrada, el sistema obtiene acceso a los datos necesarios mediante una consulta. El problema se produce cuando el sistema no inspecciona correctamente la solicitud de entrada proporcionada por el usuario. Los delincuentes pueden manipular la consulta al programarla para que se adapte a sus necesidades y puedan tener acceso a la información de la base de datos. Todos los datos confidenciales almacenados en la base de datos son accesibles para los delincuentes y pueden hacer cualquier cantidad de cambios en el sitio web. Un ataque de inyección XML amenaza a la seguridad del sitio web. Inyección SQL El delincuente cibernético ataca a una vulnerabilidad al insertar una declaración maliciosa de SQL en un campo de entrada. Nuevamente, el sistema no filtra correctamente los caracteres de entrada del usuario en una declaración de SQL. Los delincuentes utilizan la inyección SQL en sitios web o cualquier base de datos SQL. Los delincuentes pueden suplantar la identidad, modificar datos existentes, destruir datos o convertirse en administradores de servidores de bases de datos.
Desbordamiento del búfer Un desbordamiento de búfer se produce cuando los datos van más allá de los límites de un búfer. Los búferes son áreas de memoria asignadas a una aplicación. Al cambiar los datos más allá de los límites de un búfer, la aplicación accede a la memoria asignada a otros procesos. Esto puede llevar a un bloqueo del sistema, comprometer los datos u ocasionar el escalamiento de los privilegios. El CERT/CC de la Universidad de Carnegie Mellon estima que casi la mitad de todos los ataques de programas informáticos surgen históricamente de alguna forma de desbordamiento del búfer. La clasificación genérica de desbordamientos del búfer incluye muchas variantes, como rebasamientos de búfer estático, errores de indexación, errores de cadena de formato, incompatibilidades de tamaño del búfer ANSI y Unicode, y rebasamiento en pila.
Ejecuciones remotas de códigos Las vulnerabilidades que permiten que los delincuentes cibernéticos ejecuten códigos maliciosos y tomen el control de un sistema con los privilegios del usuario que ejecuta la aplicación. La ejecución remota de códigos permite que un delictiva ejecutar cualquier comando en una máquina de destino. Considere, por ejemplo, Metasploit. Metasploit es una herramienta para desarrollar y ejecutar el código de ataque contra un objetivo remoto. Meterpreter es un módulo de ataque dentro de Metasploit que proporciona características avanzadas. Meterpreter permite a los delincuentes escribir sus propias extensiones como un objeto compartido. Los delincuentes cargan e introducen estos archivos en un proceso en ejecución del objetivo. Meterpreter carga y ejecuta todas las extensiones de la memoria, para que nunca incluyan la unidad de disco duro. Esto también significa que estos archivos se desplazan bajo el radar de la detección antivirus Meterpreter tiene un módulo para controlar la cámara web de un sistema remoto. Una vez que el delincuente instala Meterpreter en el sistema de la víctima, este puede ver y capturar imágenes desde la cámara web de la víctima.
Cybersecurity Essentials - ES 0118
55
Controles ActiveX y Java Al explorar la Web, es posible que algunas páginas no funcionen correctamente a menos que el usuario instale un control ActiveX. Los controles ActiveX y Java proporcionan la funcionalidad de un complemento a Internet Explorer. Los controles ActiveX son piezas de software instalados por usuarios para proporcionar funcionalidades extendidas. Los terceros escriben algunos controles ActiveX y estos pueden ser maliciosos. Pueden monitorear los hábitos de navegación, instalar malware o registrar teclas. Los controles ActiveX también funcionan en otras aplicaciones de Microsoft. Java opera a través de un intérprete, la Máquina virtual Java (JVM). La JVM habilita la funcionalidad del programa de Java. La JVM aísla el código no confiable del resto del sistema operativo. Existen vulnerabilidades que permiten que el código no confiable sortee las restricciones impuestas por el sandbox. También existen vulnerabilidades en la biblioteca de clase Java, que una aplicación utiliza para su seguridad. Java es la segunda vulnerabilidad de seguridad más grande junto al complemento Flash de Adobe.
Defensa de los ataques a las aplicaciones La primera línea de defensa contra un ataque a las aplicaciones es escribir un código sólido. Independientemente del idioma usado o el origen de entrada externa, la práctica de programación prudente es tratar como hostil las entradas que estén fuera de una función. Valide todas las entradas como si fueran hostiles. Mantenga actualizado todo el software, que incluye sistemas operativos y aplicaciones, y no ignore los indicadores de actualización. No todos los programas se actualizan automáticamente. Como mínimo, seleccione la opción de actualización manual. Las actualizaciones manuales permiten a los usuarios ver exactamente qué actualizaciones se realizan.
Resumen Capítulo 3: amenazas, vulnerabilidades y ataques a la ciberseguridad Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de ciberseguridad. En este capítulo se analizaron diversos ataques de ciberseguridad que los delincuentes cibernéticos lanzan. En el capítulo se explicó la amenaza de malware y de código malicioso. En el capítulo se analizaron los tipos de trucos involucrados en la ingeniería social. Las maniobras explicaron los tipos de ataques que experimentan las redes inalámbricas y cableadas. Finalmente, en el capítulo se analizaron las vulnerabilidades que presentan los ataques a las aplicaciones. La comprensión de los tipos de amenazas posibles permite que una organización identifique las vulnerabilidades que hacen que esta sea un objetivo. La organización luego podrá conocer cómo defenderse de los trucos y maniobras de ciberseguridad.
Cybersecurity Essentials - ES 0118
56
Capítulo 4: el arte de proteger los secretos Los principios de la criptología explican cómo los protocolos y los algoritmos modernos aseguran las comunicaciones. La criptología es la ciencia de generar y descifrar códigos secretos. La criptografía consta del desarrollo y el uso de códigos. El criptoanálisis es el estudio y el desciframiento de los códigos. La sociedad ha utilizado la criptografía durante siglos para proteger los documentos secretos. Por ejemplo, Julio César utilizó una cifra alfabética simple para cifrar los mensajes a sus generales en el campo. Sus generales tenían conocimiento de la clave de cifrado requerida para descifrar los mensajes. Actualmente, los métodos criptográficos modernos garantizan comunicaciones seguras. El control de acceso es, como su nombre lo indica, una forma de controlar el acceso a un edificio, una sala, un sistema, una base de datos, un archivo e información. Las organizaciones emplean una variedad de técnicas de control de acceso para proteger la confidencialidad. Este capítulo analizará los cuatro pasos del proceso de control de acceso: 1) identificación, 2) autenticación, 3) autorización y 4) responsabilidad. Además, en el capítulo también se describen los diversos modelos de control de acceso y los tipos de control de acceso. El capítulo concluye con el análisis de las diversas maneras en que los usuarios enmascaran los datos. La ofuscación de datos y la esteganografía son dos técnicas utilizadas para lograr el enmascaramiento de datos.
¿Qué es la criptografía? La criptología es la ciencia de generar y descifrar códigos secretos. La criptografía es un método para almacenar y transmitir datos de modo que el receptor destinado pueda leerlos o procesarlos. La criptografía moderna utiliza algoritmos seguros a nivel informático para asegurarse de que los delincuentes cibernéticos no puedan poner en peligro fácilmente la información protegida. La confidencialidad de los datos garantiza la privacidad de modo que solo el receptor previsto pueda leer el mensaje. Las partes logran esto mediante la encriptación. La encriptación es el proceso de codificar datos de modo que una parte no autorizada no puede leerlos fácilmente. Al activar la encriptación, los datos legibles son textos simples o textos sin cifrar, mientras que la versión cifrada es texto encriptado o texto cifrado. La encriptación convierte el mensaje legible de texto simple en texto cifrado, que es el mensaje ilegible, oculto. El descifrado invierte el proceso. La encriptación también requiere una clave, que desempeña un rol importante en la encriptación y desencriptación de un mensaje. Las personas que poseen la clave pueden descifrar el texto cifrado a texto simple. Históricamente, las partes han utilizado diversos algoritmos y métodos de encriptación. Un algoritmo es el proceso o la fórmula utilizada para resolver un problema. Se dice que Julio César aseguraba los mensajes al poner dos conjuntos de alfabeto, uno al lado del otro, y luego cambiaba uno de ellos con un número específico de lugares. El número de lugares en el cambio sirve como la clave. Se convirtió el texto no cifrado en texto cifrado usando esta clave, y solo sus generales, que también tenían la clave, sabían cómo descifrar los mensajes. Este método se conoce como el cifrado César. La figura muestra un mensaje secreto mediante el cifrado de César.
La historia de la criptografía La historia de la criptografía comenzó en los círculos diplomáticos hace miles de años. Los mensajeros de la corte del rey llevaban mensajes cifrados a otras cortes. Ocasionalmente, otras cortes no involucradas en la comunicación, intentaban robar los mensajes enviados a un reino que consideraban un adversario. Poco después, los comandantes militares comenzaron a utilizar la encriptación para asegurar los mensajes. Durante siglos, varios métodos de cifrado, dispositivos físicos y otros recursos de ayuda cifraban y descifraban el texto:
Scytale (Figura 1)
Cybersecurity Essentials - ES 0118
57
Cifrado César (Figura 2)
Cifrado de Vigenère (Figura 3)
Máquina Enigma (Figura 4)
Todos los métodos de cifrado utilizan una clave para cifrar o descifrar un mensaje. La clave es un componente importante en el algoritmo de encriptación. Un algoritmo de encriptación es tan bueno como la clave utilizada. Cuanto más complejidad presente, más seguro será el algoritmo. La administración de claves es una parte importante del proceso.
Creación del texto cifrado Cada método de encriptación utiliza un algoritmo específico, llamado código, para cifrar y descifrar los mensajes. Un código consta de una serie de pasos bien definidos utilizados para encriptar y descifrar los mensajes. Existen varios métodos para crear un texto cifrado:
Transposición: las letras se cambian (Figura 1)
Sustitución: las letras se reemplazan (Figura 2)
Libreta de un solo uso: texto no cifrado combinado con una clave secreta que crea un nuevo caracter, que luego se combina con el texto simple para producir el texto cifrado (Figura 3)
Los viejos algoritmos de encriptación, como el cifrado César o la máquina Enigma, dependían del secreto del algoritmo para alcanzar la confidencialidad. Con la tecnología moderna, donde a menudo la ingeniería inversa es simple, las partes utilizan los algoritmos de dominio público. Con la mayoría de los algoritmos modernos, el descifrado correcto requiere el conocimiento de las claves criptográficas adecuadas. Esto significa que la seguridad de la encriptación reside en la privacidad de las claves, no del algoritmo. Algunos algoritmos de encriptación modernos siguen utilizando la transposición como parte del algoritmo. La administración de claves es la parte más difícil del diseño de un sistema criptográfico. Muchos sistemas criptográficos han fallado por errores en la administración de claves y todos los algoritmos criptográficos modernos requieren procedimientos de administración de claves. En la práctica, la mayoría de los ataques en sistemas criptográficos implican el ataque del sistema de administración de claves, en lugar del algoritmo criptográfico en sí mismo.
Cybersecurity Essentials - ES 0118
58
Dos tipos de encriptación La encriptación criptográfica puede proporcionar confidencialidad al incorporar diversas herramientas y protocolos. Existen dos enfoques para garantizar la seguridad de los datos al utilizar la encriptación. La primera es proteger el algoritmo. Si la seguridad de un sistema de encriptación depende del secreto del algoritmo, el aspecto más importante es proteger al algoritmo a toda costa. Cada vez que alguien descubre los detalles del algoritmo, cada parte involucrada debe cambiar el algoritmo. Este enfoque no suena muy seguro o razonable. El segundo enfoque es proteger las claves. Con la criptografía moderna, suelen usarse algoritmos públicos. Las claves criptográficas garantizan la privacidad de los datos. Las claves criptográficas son contraseñas que forman parte de la información en un algoritmo de encriptación en conjunto con datos que requieren encriptación. Existen dos clases de algoritmos de encriptación: Los algoritmos simétricos: estos algoritmos utilizan la misma clave precompartida, a veces llamada un par de clave secreta, para cifrar y descifrar datos. El emisor y el receptor conocen la clave precompartida antes de que comience cualquier comunicación cifrada. Como se muestra en la figura 1, los algoritmos simétricos usan la misma clave para cifrar y descifrar texto no cifrado. Los algoritmos de encriptación que utilizan una clave común son más simples y necesitan menos capacidad informática. Algoritmos asimétricos: los algoritmos de encriptación asimétrica usan una clave para cifrar los datos y una clave diferente para descifrarlos. Una clave es pública y la otra es privada. En un sistema de cifrado de clave pública, cualquier persona puede cifrar un mensaje con la clave pública del receptor, y el receptor es el único que puede descifrarlo mediante su clave privada. Las partes intercambian mensajes seguros sin necesidad de utilizar una clave precompartida, como se muestra en la Figura 2. Los algoritmos asimétricos son más complejos. Estos algoritmos requieren muchos recursos y son más lentos para ejecutar.
Cybersecurity Essentials - ES 0118
59
Proceso de encriptación simétrica Los algoritmos simétricos utilizan la misma clave precompartida para cifrar y descifrar datos, un método también conocido como encriptación de clave privada. Por ejemplo, Alice y Bob viven en diferentes ubicaciones y desean intercambiar mensajes secretos entre sí a través del sistema de correo. Alice desea enviar un mensaje secreto a Bob. El cifrado de clave privada utiliza un algoritmo simétrico. Como se ilustra por las claves en la figura, Alice y Bob tienen claves idénticas para un único candado. El intercambio de claves sucedió antes de enviar un mensaje privado. Alice escribe un mensaje privado y lo coloca en una caja pequeña que cierra con el candado. Le envía la caja a Bob. El mensaje está seguro dentro de la caja mientras esta se abre camino a través del sistema de oficina postal. Cuando Bob recibe la caja, usa la clave para abrir el candado y recuperar el mensaje. Bob puede utilizar la misma caja y el mismo candado para enviar una respuesta secreta a Alice. Si Bob desea hablar con Carol, necesita una nueva clave precompartida para que esa comunicación sea secreta para Alice. Con cuantas más personas Bob desee comunicarse de manera segura, más claves deberá manejar.
Cybersecurity Essentials - ES 0118
60
Tipos de criptografía Los tipos más comunes de criptografía son cifrados por bloques y cifrados de flujo. Cada método se diferencia en la forma de agrupar bits de datos para cifrarlo. Cifrado por bloques Los cifrados por bloques transforman un bloque de texto simple, de longitud fija en un bloque común de texto cifrado de 64 o 128 bits. El tamaño del bloque es la cantidad de datos cifrados en cualquier momento. Para descifrar este texto cifrado, aplique la transformación inversa al bloque de texto cifrado, utilizando la misma clave secreta. Los cifrados por bloques producen generalmente los datos de salida que son mayores que los datos de entrada, porque el texto cifrado debe ser un múltiplo del tamaño del bloque. Por ejemplo, el Estándar de cifrado de datos (DES) es un algoritmo simétrico que cifra los bloques en fragmentos de 64 bits mediante una clave de 56 bits. Para lograr esto, el algoritmo de bloque toma un fragmento de datos por vez, por ejemplo, 8 bytes por fragmento, hasta que todo el bloque está completo. Si hay menos datos de entrada que uno bloque completo, el algoritmo agrega datos artificiales o espacios en blanco, hasta que utiliza los 64 bits completos, como se muestra en la Figura 1 para los 64 bits de la izquierda. Cifrado de flujo A diferencia de los cifrados por bloque, los cifrados de flujo cifran el texto simple un byte o un bit por vez, como se muestra en la Figura 2. Piense en los cifrados de flujo como el cifrado de bloques con el tamaño de bloque de un bit. Con un cifrado de flujo, la transformación de estas unidades más pequeñas de texto simple varía, según cuándo se las encuentra durante el proceso de encriptación. Los cifrados de flujo pueden ser mucho más rápidos que los cifrados en bloque, y no aumentan generalmente el tamaño del mensaje, ya que pueden cifrar un número arbitrario de bits. El A5 es un cifrado de flujo que proporciona privacidad de voz y cifra las comunicaciones de telefonía celular. También es posible utilizar el DES en el modo de cifrado de flujo. Los sistemas criptográficos complejos pueden combinar el bloque y el flujo en el mismo proceso.
Cybersecurity Essentials - ES 0118
61
Algoritmos de encriptación simétrica Los numerosos sistemas de encriptación usan la encriptación simétrica. Algunos de los estándares de encriptación comunes que usan la encriptación simétrica incluyen los siguientes: 3DES (DES triple): el Estándar de encriptación digital (DES) es un cifrado de bloques simétrico con un tamaño de bloque de 64 bits que utiliza una clave de 56 bits. Se necesita un bloque de texto simple de 64 bits de entrada y genera un bloque de 64 bits de texto cifrado. Opera siempre en bloques de igual tamaño y utiliza las permutaciones y las sustituciones en el algoritmo. Una permutación es una manera de organizar todos los elementos de un conjunto. El DES triple cifra los datos tres veces y utiliza una clave diferente para al menos una de las tres veces, proporcionando un tamaño de clave acumulativo de 112 a 168 bits. El 3DES es resistente a ataques, pero es más lento que DES. El ciclo de encriptación 3DES es el siguiente: 1. Datos cifrados por el primer DES 2. Datos descifrados por el segundo DES 3. Datos vueltos a cifrar por el tercer DES El proceso inverso descifra el texto cifrado. IDEA: el Algoritmo internacional de cifrado de datos (IDEA) utiliza bloques de 64 bits y claves de 128 bits. IDEA realiza ocho rondas de las transformaciones en cada uno de los 16 bloques que se producen al dividir cada bloque de 64 bits. IDEA fue el reemplazo de DES y ahora la PGP (Pretty Good Privacy) la utiliza. El PGP es un programa que proporciona privacidad y autenticación para la comunicación de datos. La protección de privacidad GNU (GPG) es una versión de PGP gratuita y con licencia. AES: el Estándar de encriptación avanzada (AES) tiene un tamaño de bloque fijo de 128 bits con un tamaño de clave de 128, 192 o 256 bits. El Instituto Nacional de Normas y Tecnología (NIST) aprobó el algoritmo AES en diciembre de 2001. El gobierno de los EE. UU. utiliza el AES para proteger la información clasificada. El AES es un algoritmo sólido que utiliza claves de mayor longitud. El AES es más rápido que DES y 3DES, lo que brinda una solución para las aplicaciones de software así como también el uso de hardware en los firewalls y los routers. Otros cifrados por bloque incluyen Skipjack (desarrollados por la NSA), Blowfish y Twofish.
Cybersecurity Essentials - ES 0118
62
El proceso de encriptación asimétrica La encriptación asimétrica, también denominada cifrado de clave pública, utiliza una clave para la encriptación que es diferente de la clave utilizada para el descifrado. Un delincuente no puede calcular la clave de descifrado según el conocimiento de la clave de cifrado, y viceversa, en una cantidad de tiempo razonable. Si Alice y Bob intercambian un mensaje secreto mediante la encriptación de clave pública, utilizan un algoritmo asimétrico. Esta vez, Bob y Alice no intercambian claves antes de enviar los mensajes secretos. En cambio, Bob y Alice poseen un candado separado con las claves correspondientes separadas. Para que Alice envíe un mensaje privado de Bob, primero debía ponerse en contacto con él y solicitarle que le envíe su candado abierto. Bob envía el candado pero mantiene la clave. Cuando Alice recibe el candado, escribe su mensaje secreto y lo coloca en una caja pequeña. También coloca su candado abierto en la caja pero mantiene la clave. Luego cierra la caja con el candado de Bob. Cuando Alice cierra la caja, ya no puede ingresar ya que no tiene una clave para ese candado. Le envía la caja a Bob y, como esta viaja a través del sistema de correo, nadie puede abrirlo. Cuando Bob recibe la caja, puede usar su clave para abrir la caja y recuperar el mensaje de Alice. Para enviar una respuesta segura, Bob pone su mensaje secreto en la caja, junto con su candado abierto y cierra la caja con el candado de Alice. Bob envía por correo la caja asegurada a Alice. Por ejemplo, en la Figura 1, Alice solicita y obtiene la clave pública de Bob. En la Figura 2, Alice utiliza la clave pública de Bob para cifrar un mensaje con un algoritmo acordado. Alice envía el mensaje cifrado a Bob y este luego usa su clave privada para descifrar el mensaje, como se muestra en la Figura 3.
Algoritmo de encriptación asimétrica Los algoritmos asimétricos utilizan fórmulas que cualquier persona puede buscar. El par de claves no relacionadas es lo que hace que estos algoritmos sean seguros. Los algoritmos asimétricos incluyen los siguientes: RSA (Rivest-Shamir-Adleman): utiliza el producto de dos números primos muy grandes con una longitud igual de entre 100 y 200 dígitos. Los navegadores utilizan RSA para establecer una conexión segura.
Cybersecurity Essentials - ES 0118
63
Diffie-Hellman: proporciona un método de intercambio electrónico para compartir la clave secreta. Los protocolos seguros, como Secure Sockets Layer (SSL), Transport Layer Security (TLS), Shell seguro (SSH) y Protocolo de seguridad de Internet (IPsec), utilizan Diffie-Hellman. ElGamal: utiliza el estándar del gobierno de EE. UU. para las firmas digitales. Este algoritmo es gratuito ya que nadie posee la patente. Criptografía de curva elíptica (ECC): usa curvas elípticas como parte del algoritmo. En EE. UU., la Agencia de Seguridad Nacional utiliza la ECC para la generación de firma digital y el intercambio de claves.
Administración de claves La administración de claves incluye generación, intercambio, almacenamiento, uso y reemplazo de claves utilizadas en un algoritmo de encriptación. La administración de claves es la parte más difícil del diseño de un sistema criptográfico. Muchos sistemas criptográficos han fallado por errores en los procedimientos de administración de claves. En la práctica, la mayoría de los ataques a los sistemas criptográficos se realizan en el nivel de administración de claves, en lugar del algoritmo criptográfico en sí mismo. Como se muestra en la figura, existen varias características esenciales de administración de claves que deben considerarse. Dos términos utilizados para describir las claves son:
Longitud de las claves: también denominado tamaño de la clave, es la medida en bits.
Espacio de clave: es la cantidad de intentos que una longitud de clave específica puede generar.
A medida que aumenta la longitud de la clave, el espacio aumenta de manera exponencial. El espacio de clave de un algoritmo es el conjunto de todos los valores posibles de la clave. Las claves más largas son más seguras; sin embargo, también requieren más recursos. Casi todos los algoritmos tienen algunas claves débiles en su espacio de clave que permiten a un delincuente descifrar las claves a través de un acceso directo.
Comparación de los tipos de encriptación Es importante comprender las diferencias entre los métodos de encriptación simétricos y asimétricos. Los sistemas de encriptación simétrica son más eficientes y pueden manejar más datos. Sin embargo, la administración de claves con sistemas de encriptación simétrica es más problemática y más difícil de manejar. La criptografía asimétrica es más eficiente en la protección de la confidencialidad de pequeñas cantidades de datos y su tamaño y velocidad permiten que sea más segura para tareas como el intercambio de claves electrónicas que es una pequeña cantidad de datos en lugar de cifrar grandes bloques de datos. Mantener la confidencialidad es importante para los datos almacenados y los datos en movimiento. En ambos casos, la encriptación simétrica resulta favorecida debido a su velocidad y la simplicidad del algoritmo. Algunos algoritmos asimétricos pueden aumentar considerablemente el tamaño del objeto cifrado. Por lo tanto, en el caso de los datos en movimiento, use la criptografía de clave pública para intercambiar la clave secreta y luego la criptografía simétrica para garantizar la confidencialidad de los datos enviados.
Cybersecurity Essentials - ES 0118
64
Aplicaciones Existen numerosas aplicaciones para los algoritmos simétricos y asimétricos. El token de generación de contraseñas de única vez es un dispositivo de hardware que utiliza la criptografía para generar una contraseña única. Una contraseña de única vez es una cadena de caracteres numérica o alfanumérica generada automáticamente que autentica al usuario para una transacción de solo una sesión. El número cambia cada 30 segundos aproximadamente. La contraseña de la sesión aparece en una pantalla y el usuario introduce la contraseña. La industria de pago electrónico utiliza 3DES. Los sistemas operativos utilizan DES para proteger los archivos de usuarios y los datos del sistema con contraseñas. La mayoría de los sistemas de archivos de cifrado, como NTFS, utilizan AES. Cuatro protocolos utilizan algoritmos de clave asimétrica:
Intercambio de claves por Internet (IKE), que es un componente fundamental de las redes privadas virtuales (VPN) de IPsec.
Secure Sockets Layer (SSL), un medio para implementar la criptografía en un navegador web.
Shell seguro (SSH), un protocolo que proporciona una conexión de acceso remoto segura a un dispositivo de red.
Pretty Good Privacy (PGP), un programa informático que proporciona privacidad y autenticación criptográfica para mejorar la seguridad de las comunicaciones por correo electrónico.
Una VPN es una red privada que utiliza una red pública, generalmente Internet, para crear un canal de comunicación seguro. Una VPN conecta dos terminales como dos oficinas remotas mediante Internet para crear la conexión. Las VPN utilizan IPsec. IPsec es un conjunto de protocolos desarrollado para lograr servicios seguros en las redes. Los servicios de IPSec permiten la autenticación, la integridad, el control de acceso y la confidencialidad. Con IPsec, los sitios remotos pueden intercambiar información cifrada y verificada. Los datos en uso son una preocupación cada vez mayor para muchas organizaciones. Cuando se encuentran en uso, los datos ya no tienen cualquier protección porque el usuario necesita abrir y cambiar los datos. La memoria del sistema contiene los datos en uso y puede contener los datos confidenciales como la clave de cifrado. Si los delincuentes comprometen los datos en uso, tendrán acceso a los datos almacenados y a los datos en movimiento.
Cybersecurity Essentials - ES 0118
65
Controles de acceso físico Son obstáculos reales implementados para evitar el contacto directo con los sistemas. El objetivo es evitar que los usuarios no autorizados tengan acceso físico a las instalaciones, el equipo y otros activos de la organización. El control de acceso físico determina quién puede ingresar (o salir) y dónde y cuándo puede hacerlo. Los ejemplos de controles de acceso físico incluyen los siguientes:
Las protecciones (Figura 1) supervisan las instalaciones
Las cercas (Figura 2) protegen el perímetro
Los detectores de movimiento (Figura 3) detectan objetos móviles
Los bloqueos de las PC portátiles (Figura 4) protegen los equipos portátiles
Las puertas bloqueadas (Figura 5) evitan el acceso no autorizado
Las tarjetas de deslizamiento (Figura 6) permiten el acceso a las áreas restringidas
Los perros guardianes (Figura 7) protegen las instalaciones
Las videocámaras (Figura 8) supervisan las instalaciones al recopilar y registrar las imágenes
Las trampas (Figura 9) permiten el acceso al área segura después de que la puerta 1 se cierra
Las alarmas (Figura 10) detectan intrusiones
Cybersecurity Essentials - ES 0118
66
Control de acceso lógico Los controles de acceso lógico son soluciones de hardware y software que se utilizan para administrar el acceso a recursos y sistemas. Estas soluciones basadas en tecnología incluyen las herramientas y los protocolos que los sistemas informáticos utilizan para la identificación, autenticación, autorización y responsabilidad. Los controles de acceso lógico incluyen los siguientes:
La encriptación es el proceso de tomar el texto simple y crear el texto cifrado
Las tarjetas inteligentes tienen un microchip integrado
Las contraseñas constan de una cadena de caracteres protegida
La biométrica consta de las características físicas de los usuarios
Las listas de control de acceso (ACL) definen el tipo de tráfico permitido en una red
Los protocolos son un conjunto de reglas que rigen el intercambio de datos entre dispositivos
Los firewalls evitan el tráfico de red no deseado
Los routers conectan al menos dos redes
Los sistemas de detección de intrusiones supervisan una red para detectar actividades sospechosas
Los niveles de recorte son determinados umbrales permitidos para detectar errores antes de activar una indicador rojo
Haga clic en cada tipo de control de acceso lógico de la figura para obtener más información.
Controles de acceso administrativo Los controles de acceso administrativo son las políticas y los procedimientos que definen las organizaciones para implementar y hacer cumplir todos los aspectos del control de acceso no autorizado. Los controles administrativos se enfocan en las prácticas de personal y las prácticas empresariales. Los controles administrativos incluyen los siguientes:
Las políticas son declaraciones de intenciones
Los procedimientos son los pasos detallados necesarios para realizar una actividad
Las prácticas de contratación comprende los pasos que una organización sigue para encontrar empleados calificados
Las comprobaciones de antecedentes son un evaluación del empleo que incluye la información de la última verificación de empleo, historial de crédito y antecedentes penales
La clasificación de datos califica los datos según su sensibilidad
La capacitación de seguridad capacita a los empleados sobre las políticas de seguridad en una organización
Cybersecurity Essentials - ES 0118
67
Las revisiones evalúan el rendimiento laboral de un empleado
Control de acceso obligatorio El control de acceso obligatorio (MAC) restringe las acciones que un sujeto puede realizar en un objeto. Un sujeto puede ser un usuario o un proceso. Un objeto puede ser un archivo, un puerto o un dispositivo de entrada/salida. Una regla de autorización se aplica si un sujeto puede acceder al objeto o no. Las organizaciones utilizan el MAC donde se encuentran diferentes niveles de clasificaciones de seguridad. Cada objeto tiene una etiqueta y cada sujeto tiene una espacio libre. Un sistema MAC restringe a un sujeto según la clasificación de seguridad del objeto y la etiqueta anexada al usuario. Por ejemplo, tome las clasificaciones de seguridad militar denominadas «secreto» y «máxima confidencialidad». Si un archivo (un objeto) se considera de máxima confidencialidad, es un archivo que se clasifica (etiqueta) como «máxima confidencialidad». Las únicas personas (sujetos) que pueden ver el archivo (objeto) son aquellas con un permiso de «maxima confidencialidad». El mecanismo de control de acceso debe garantizar que una persona (sujeto) con permiso «Secreto» solamente, nunca obtenga acceso a un archivo catalogado como «de máxima confidencialidad». De manera similar, un usuario (sujeto) con permiso de acceso «de máxima confidencialidad» no puede cambiar la clasificación de un archivo (objeto) catalogado como «de máxima confidencialidas» a «secreto». Además, un usuario con permiso de «máxima confidencialidad» no puede enviar un archivo de máxima confidencialidad a un usuario que solo tiene permiso para ver información secreta.
Control de acceso discrecional El propietario de un objeto determina si permite el acceso a un objeto con control de acceso discrecional (DAC). DAC otorga o restringe el acceso de objeto determinado por el propietario del objeto. Como su nombre lo indica, los controles son discrecionales porque el propietario de un objeto con ciertos permisos de acceso pueden transferir esos permisos a otro sujeto. En sistemas que emplean controles de acceso discrecionales, el propietario de un objeto puede decidir qué sujetos pueden acceder al objeto y qué acceso específico pueden tener. Un método común para lograr esto es con permisos, como se muestra en la figura. El propietario de un archivo puede especificar qué permisos (lectura/escritura/ejecución) pueden tener otros usuarios. Las listas de control de acceso son otros mecanismos comunes utilizados para implementar el control de acceso discrecional. Un lista de control de acceso utiliza reglas para determinar qué tráfico puede ingresar o salir de una red
Control de acceso basado en roles El control de acceso basado en roles (RBAC) depende del rol del sujeto. Los roles son las funciones de trabajo en una organización. Los roles específicos requieren permisos para realizar determinadas operaciones. Los usuarios adquieren permisos a través de su función. El RBAC puede trabajar junto con DAC o MAC al hacer cumplir las políticas de cualquiera de ellos. El RBAC ayuda a implementar la administración de seguridad en grandes organizaciones con cientos de usuarios y miles de permisos posibles. Las organizaciones aceptan ampliamente el uso de RBAC para administrar permisos en un sistema o una aplicación, como una mejor práctica.
Control de acceso basado en reglas El control de acceso basado en reglas utiliza listas de control de acceso (ACL) para ayudar a determinar si otorga acceso o no. Una serie de reglas se incluye en la ACL, como se muestra en la figura. Establecer si se debe otorgar acceso depende de estas reglas. Un ejemplo de esa regla es una que indica que ningún empleado puede acceder al archivo de nómina después de horario o los fines de semana.
Cybersecurity Essentials - ES 0118
68
Como ocurre con el MAC, los usuarios no pueden cambiar las reglas de acceso. Las organizaciones pueden combinar el control de acceso basado en reglas con otras estrategias para implementar las restricciones de acceso. Por ejemplo, los métodos de MAC pueden utilizar un enfoque basado en reglas para la implementación.
¿Qué es la identificación? La identificación aplica las reglas establecidas por la política de autorización: Un sujeto solicita acceso a un recurso del sistema. Cada vez que el sujeto solicita acceso a un recurso, los controles de acceso determinan si otorgar o denegar el acceso. Por ejemplo, la política de autorización determina qué actividades puede realizar un usuario en un recurso. Un identificador único garantiza la asociación correcta entre las actividades permitidas y los sujetos. Un nombre de usuario es el método más común utilizado para identificar a un usuario. Un nombre de usuario puede ser una combinación alfanumérica, un número de identificación personal (PIN), una tarjeta inteligente o método biométrico, por ejemplo una huella digital, el escaneo de retina o el reconocimiento de voz. Un identificador único garantiza que un sistema pueda identificar a cada usuario de manera individual; por lo tanto, permite que un usuario autorizado realice las acciones adecuadas en un recurso particular.
Qué es lo que sabe Contraseñas o PIN son ejemplos de algo que un usuario conoce. Las contraseñas son el método más popular que se utiliza para la autenticación. Los términos, contraseña, clave de acceso o PIN se conocen de manera genérica como contraseña. Una contraseña es una cadena de caracteres que se utiliza para autenticar la identidad de un usuario. Si esta cadena de caracteres se relaciona con un usuario (como un nombre, una fecha de nacimiento o una dirección), será más fácil para los delincuentes cibernéticos adivinar la contraseña del usuario. Varias publicaciones recomiendan que la contraseña tenga al menos ocho caracteres. Los usuarios no deben crear una contraseña que sea tan larga y por lo tanto sea difícil de memorizar, o a la inversa, que sea tan corta y que por lo tanto sea fácil de descifrarla. Las contraseñas deben contener una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Haga clic aquí para probar las contraseñas actuales. Los usuarios necesitan utilizar contraseñas diferentes para los distintos sistemas porque si un delincuente decodifica la contraseña de usuario una vez, podrá acceder a todas las cuentas de un usuario. El administrador de contraseñas puede ayudar a un usuario a crear y a recordar las contraseñas seguras. Haga clic aquí para ver un generador de contraseñas seguras.
Qué es lo que tiene Las tarjetas inteligentes y los llaveros de seguridad son dos ejemplos de algo que los usuarios tienen en su poder. Seguridad de tarjeta inteligente (Figura 1): una tarjeta inteligente es una pequeña tarjeta de plástico, aproximadamente del tamaño de una tarjeta de crédito, con un pequeño chip incorporado en ella. El chip es un portador de datos inteligente, capaz de procesar, almacenar, y de proteger los datos. Las tarjetas inteligentes almacenan información privada, como números de cuenta bancaria, identificación personal, historias clínicas y firmas digitales. Las tarjetas inteligentes proporcionan autenticación y cifrado para mantener los datos a salvo. Llaveros de seguridad (Figura 2): un llavero de seguridad es un dispositivo que es lo suficientemente pequeño como para llevarlo en un llavero. Utiliza un proceso llamado autenticación de dos factores, que es más seguro que una combinación de nombre de usuario y contraseña. Primero, el usuario ingresa un número de identificación personal (PIN). Si está ingresado correctamente, el llavero de seguridad mostrará un número. Éste es el segundo factor que el usuario debe ingresar para iniciar sesión en el dispositivo o la red.
Cybersecurity Essentials - ES 0118
69
Quién es Una característica física única, como una huella digital, una retina o una voz que identifica a un usuario específico se denomina biométrica. La seguridad biométrica compara características físicas con perfiles almacenados para autenticar usuarios. Un perfil es un archivo de datos que contiene características conocidas de una persona. El sistema otorga acceso de usuario si sus características coinciden con las configuraciones guardadas. Un lector de huellas digitales es un dispositivo biométrico común. Existen dos tipos de identificadores biométricos:
Características fisiológicas: incluyen huellas digitales, ADN, características de rostro, manos, retina oído
Características de comportamiento: incluye patrones de comportamiento, como gestos, voz, ritmo de escritura o la manera de caminar de un usuario
Los datos biométricos son cada vez más popular en sistemas de seguridad pública, productos electrónicos de consumo y aplicaciones de punto de venta. La implementación de datos biométricos utiliza un dispositivo de escaneo o lectura, un software que convierte la información escaneada en formato digital y una base de datos que almacena datos biométricos para su comparación.
Autenticación de varios factores La autenticación de varios factores utiliza al menos dos métodos de verificación. Un llavero con clave de seguridad es un buen ejemplo Los dos factores son algo que usted sabe, como una contraseña, y algo que posee, como un transmisor de seguridad. Avance un paso más al agregar algo que usted es, por ejemplo el escaneo de huellas digitales. La autenticación de varios factores pueden reducir la incidencia de robo de identidad en línea porque al conocer la contraseña no le daría acceso a los delincuentes cibernéticos a la información del usuario. Por ejemplo, un sitio web de banca en línea puede requerir una contraseña y un PIN que el usuario recibe en su smartphone. Como se muestra en la figura, el retiro de efectivo de un ATM es otro ejemplo de autenticación de varios factores. El usuario debe tener la tarjeta de un banco y conocer el PIN antes de que el ATM dispense dinero.
¿Qué es la autorización? La autorización controla lo que el usuario puede hacer o no en la red después de una autenticación satisfactoria: Después de que un usuario prueba su identidad, el sistema verifica a qué recursos de red puede acceder el usuario y qué pueden hacer los usuarios con los recursos. Como se muestra en la figura, la autorización responda la pregunta, «¿Qué privilegios de lectura, copia, creación y eliminación tiene el usuario?» La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red. El sistema compara estos atributos a la información contenida en la base de datos de autenticación, determina un conjunto de restricciones para ese usuario y lo envía al router local donde el usuario está conectado. La autorización es automática y no requiere que los usuarios tomen medidas adicionales después de la autenticación. Implemente la autorización inmediatamente después de que el usuario realice la autenticación.
Uso de la autorización La definición de reglas de autorización es el primer paso para controlar el acceso. Una política de autorización establece estas reglas.
Cybersecurity Essentials - ES 0118
70
Una política de pertenencia a grupos define la autorización según la pertenencia a un grupo determinado. Por ejemplo, todos los empleados de una organización tienen una tarjeta de deslizamiento, que proporciona acceso a las instalaciones. Si el trabajo de un empleado no requiere que este tenga acceso a la sala de servidores, la tarjeta de seguridad no le permitirá ingrese a esa sala. Una política de autoridad define los permisos de acceso según la posición de un empleado dentro de la organización. Por ejemplo, solo los empleados de nivel sénior en un departamento de TI pueden tener acceso a la sala de servidores.
¿Qué es la responsabilidad? La responsabilidad rastrea una acción hasta una persona o un proceso y realiza el cambio a un sistema, recopila esta información e informa los datos de uso. La organización puede utilizar estos datos para fines como auditorías o facturación. Los datos recopilados pueden incluir el tiempo de inicio de sesión de un usuario, si el inicio de sesión fue un éxito o una falla o los recursos de red a los que el usuario tenía acceso. Esto permite que una organización localice acciones y errores durante una auditoría o una investigación.
Implementación de la responsabilidad La implementación de responsabilidad consta de tecnologías, políticas procedimientos y formación. Los archivos de registro proporcionan información detallada según los parámetros seleccionados. Por ejemplo, una organización puede ver el registro de los inicios de sesión fallidos y correctos. Las fallas de inicio de sesión pueden indicar que un delincuente intentó hackear una cuenta. Los inicios de sesión exitosos indican a una organización qué usuarios utilizan qué recursos y cuándo. ¿Es normal que un usuario autorizado tenga acceso a la red de la empresa a las 3:00 a.m.? Las políticas y los procedimientos de la organización explican qué medidas deben registrarse y cómo se generan, se revisan y almacenan los archivos de registro. La retención de datos, la eliminación de medios y los requisitos de cumplimiento proporcionan la responsabilidad. Muchas leyes requiere la implementación de medidas para proteger diferentes tipos de datos. Estas leyes guían a una organización de forma correcta para administrar, almacenar y desechar datos. La educación y el conocimiento de las políticas, los procedimientos y las leyes relacionadas de una organización también pueden contribuir a la responsabilidad.
Controles preventivos Prevenir significa evitar que algo suceda. Los controles de acceso preventivo evitan que ocurran actividades no deseadas o no autorizadas. Para un usuario autorizado, un control de acceso preventivo significa restricciones. La asignación de privilegios específicos a un usuario en un sistema es un ejemplo de control preventivo. Aunque un usuario es un usuario autorizado, el sistema establece límites para evitar que el usuario tenga acceso y realice acciones no autorizadas. Un firewall que bloquea el acceso a un puerto o servicio que los delincuentes cibernéticos puedan atacar también se considera un tipo de control preventivo.
Controles disuasivos Un obstáculo es lo opuesto a una recompensa. Una recompensa alienta a las personas a hacer lo correcto, mientras que un obstáculo las desalienta a hacer lo incorrecto. Los profesionales y las empresas de seguridad cibernética utilizan obstáculos para limitar o para mitigar una acción o un comportamiento, pero los controles disuasivos no los dejan. Los obstáculos del control de acceso desalientan a los delincuentes cibernéticos a obtener acceso no autorizado a los sistemas de información o a datos confidenciales. Los obstáculos del control de acceso desalientan los ataques al sistema, el robo de datos o la propagación de códigos maliciosos. Las organizaciones utilizan obstáculos de control de acceso para hacer cumplir las políticas de ciberseguridad.
Cybersecurity Essentials - ES 0118
71
Los obstáculos hacen que los delincuentes cibernéticos potenciales piensen dos veces antes de cometer un delito. La figura enumera los obstáculos comunes de control de acceso que se utilizan en el mundo de la ciberseguridad.
Controles de detección La detección es el acto o proceso de advertir o descubrir algo Las detecciones de control de acceso identifican diferentes tipos de actividad no autorizada. Los sistemas de detección pueden ser muy simples, como un detector de movimiento o un guardia de seguridad. También pueden ser más complejos, como un sistema de detección de intrusiones. Todos los sistemas de detección tienen muchas cosas en común; buscan la actividad inusual o prohibida. También proporcionan métodos para registrar o alertar a los operadores del sistema sobre un posible acceso no autorizado. Los controles de detección no impiden que algo suceda; más bien son medidas que se toman después de que se realiza el hecho.
Controles correctivos Los controles correctivos contrarrestan algo que no es deseable. Las organizaciones establecen controles de acceso correctivos después de que un sistema experimenta una amenaza. Los controles correctivos restauran el sistema a un estado de confidencialidad, integridad y disponibilidad. También pueden restaurar los sistemas a la normalidad luego de que se produzca una actividad no autorizada.
Cybersecurity Essentials - ES 0118
72
Controles de recuperación La recuperación implica volver a un estado normal. Los controles de acceso de recuperación restauran recursos, funciones y capacidades después de una violación de la política de seguridad. Los controles de recuperación pueden reparar el daño, además de detener cualquier otro daño. Estos controles tienen capacidades más avanzadas sobre los controles de acceso correctivos.
Cybersecurity Essentials - ES 0118
73
Controles compensativos Implican compensar algo. Los controles de acceso compensativos ofrecen opciones a otros controles para fomentar el cumplimiento en respaldo de la política de seguridad. Un control compensativo también puede ser una sustitución utilizada en lugar del control que no es posible en determinadas circunstancias. Por ejemplo, una organización puede no tener un perro guardián, entonces implementa un detector de movimiento con un reflector y un sonido de ladridos.
Cybersecurity Essentials - ES 0118
74
¿Qué es el enmascaramiento de datos? El enmascaramiento de datos es una tecnología que protege los datos al reemplazar la información confidencial por una versión no confidencial. La versión no confidencial se parece a la información original. Esto significa que un proceso comercial puede usar los datos no confidenciales y no es necesario cambiar las aplicaciones de respaldo o las instalaciones de almacenamiento de datos. En el caso de uso más común, el enmascaramiento limita la propagación de datos confidenciales dentro de los sistemas de TI al distribuir los conjuntos de datos sustitutos para la prueba y el análisis. La información puede estar enmascarada dinámicamente si el sistema o la aplicación determina que una solicitud de información confidencial del usuario es arriesgada.
Técnicas de enmascaramiento de datos El enmascaramiento de datos puede reemplazar los datos confidenciales en los entornos no productivos para proteger la información subyacente. Existen varias técnicas de enmascaramiento de datos que pueden garantizar que los datos sigan siendo importantes pero se cambien lo suficiente para protegerlos:
La sustitución reemplaza los datos por valores que parecen auténticos para aplicar el anonimato a los registros de datos.
El desplazamiento deriva un conjunto de sustitución de la misma columna de datos que un usuario desea enmascarar. Esta técnica funciona bien para la información financiera en una base de datos de prueba, por ejemplo.
La anulación aplica un valor nulo a un campo específico, lo cual evita completamente la visibilidad de los datos.
Cybersecurity Essentials - ES 0118
75
¿Qué es la esteganografía? La esteganografía oculta datos (el mensaje) en otro archivo, como un archivo de texto gráfico, de audio u otro archivo de texto. La ventaja de la esteganografía con respecto a la criptografía es que el mensaje secreto no atrae ninguna atención especial. Nadie sabría nunca que una imagen contenía realmente un mensaje secreto al ver el archivo en formato electrónico o impreso. Existen varios componentes involucrados en el ocultamiento de datos: Primero, existen los datos integrados, que es el mensaje secreto. El texto cubierto (imagen cubierta o audio cubierto) oculta los datos integrados y genera un estegotexto (o una estegoimagen o estegoaudio). Una estegoclave controla el proceso de ocultamiento.
Técnicas de esteganografía El enfoque utilizado para integrar los datos en una imagen cubierta utiliza los bits menos significativos (LSB). Este método utiliza bits de cada píxel en la imagen. Un píxel es la unidad básica de color programable en una imagen de computadora. El color específico de un píxel es una combinación de tres colores: rojo, verde y azul (RGB). Tres bytes de datos especifican el color de un píxel (un byte para cada color). Ocho bits conforman un byte. El sistema de colores de 24 bits utiliza los tres bytes. LSB utiliza un bit de cada uno de los componentes rojo, verde y azul. Cada píxel puede ahorrar 3 bits. La figura muestra tres píxeles de una imagen de 24 bits. Una de las letras del mensaje secreto es la letra T y la inserción del caracter T solo cambia dos bits del color. El ojo humano no puede reconocer los cambios realizados a los bits menos significativos. El resultado es un carácter oculto. En promedio, menos de la mitad de los bits de una imagen deberá cambiar para ocultar un mensaje secreto de manera eficaz.
Esteganografía social La esteganografía social oculta información a plena vista al crear un mensaje que algunos pueden leer de determinada manera para recibir el mensaje. Otras personas que lo ven de manera normal, no verán el mensaje. Los adolescente utilizan esta táctica en los medios sociales para comunicarse con sus amigos más cercanos mientras que otros, como sus padres, desconocen el significado real del mensaje. Por ejemplo, la frase «vamos al cine» puede significar «vamos a la playa».
Cybersecurity Essentials - ES 0118
76
Las personas en los países que censuran los medios también utilizan la esteganografía social para mandar sus mensajes al deletrear las palabras de manera incorrecta a propósito o hacer referencias imprecisas. En efecto, se comunican con diferentes audiencias de manera simultánea.
Detección El estegoanálisis es el descubrimiento de que existe información oculta. El objetivo del estegoanálisis es detectar información oculta. Los patrones de la estegoimagen generan sospecha. Por ejemplo, un disco puede tener áreas sin utilizar que ocultan información. Las utilidades de análisis de disco pueden informar sobre la información oculta en clústeres sin utilizar de dispositivos de almacenamiento. Los filtros pueden capturar los paquetes de datos que contienen información oculta en los encabezados de paquete. Ambos métodos usan las firmas de esteganografía. Al comparar una imagen original con la estegoimagen, un analista puede recoger patrones repetitivos de manera visual.
Ofuscación La ofuscación de datos es el uso y la práctica de las técnicas de esteganografía y enmascaramiento de los datos en el área de ciberseguridad y la profesión de inteligencia cibernética: La ofuscación es el arte de hacer que el mensaje sea confuso, ambiguo o más difícil comprender. Un sistema puede codificar mensajes deliberadamente para evitar el acceso no autorizado a la información confidencial.
Aplicaciones La marca el agua de software protege al software del acceso o la modificación no autorizada. La marca de agua de software inserta un mensaje secreto en el programa como prueba de propiedad. El mensaje secreto es la marca de agua del software. Si alguien intenta eliminar la marca de agua, el resultado es un código no funcional.
Cybersecurity Essentials - ES 0118
77
La ofuscación de software traduce el software a una versión equivalente a la original, pero a una solución que es más difícil de analizar para los atacantes. Si se intenta revertir la ingeniería del software esto puede brindar resultados incomprensibles de un software que todavía funciona.
Resumen Capítulo 4: el arte de proteger los secretos En este capítulo, se analizaron los principios de criptología utilizados para comunicaciones seguras. En el capítulo se explicaron los algoritmos de encriptación simétrica y asimétrica, se compararon los dos algoritmos y se proporcionaron ejemplos de su uso. En el capítulo se explicó cómo el control de acceso evita el acceso no autorizado a un edificio, a una sala, a un sistema o a un archivo mediante la identificación, autenticación, autorización y responsabilidad. Además, en el capítulo también se describieron los diversos modelos de control de acceso y los tipos de control de acceso. El capítulo concluyó con el análisis de las diversas maneras en que los usuarios enmascaran los datos. La ofuscación de datos y la esteganografía son dos técnicas utilizadas para lograr el enmascaramiento de datos.
Cybersecurity Essentials - ES 0118
78
Cybersecurity Essentials - ES 0118
79
Capítulo 5: El arte de garantizar la integridad La integridad garantiza que nada ni nadie modifique los datos y que estos sean confiables durante su ciclo de vida completo. La integridad de los datos es un componente fundamental para el diseño, la implementación y el uso de cualquier sistema que almacene, procese o transmita datos. Este capítulo comienza analizando los tipos de controles de integridad de datos utilizados, por ejemplo los algoritmos de hash, la técnica de «salting» y el código de autenticación de mensajes de hash con clave (HMAC). El uso de firmas y certificados digitales incorpora los controles de integridad de datos para proporcionar a los usuarios una manera de verificar la autenticación de mensajes y documentos. El capítulo finaliza con un análisis de las aplicaciones de integridad de la base de datos. Tener un sistema de integridad de datos bien controlado y bien definido permite aumentar la estabilidad, el rendimiento y la capacidad de mantenimiento de un sistema de base de datos.
¿Qué es el hash? Los usuarios deben saber que sus datos permanecen sin cambios mientras se encuentran almacenados o en tránsito. El hash es una herramienta que garantiza la integridad de datos al tomar los datos binarios (el mensaje) y generar una representación de longitud fija llamada valor hash o compendio del mensaje, como se muestra en la figura. La herramienta de hash utiliza una función criptográfica de hash para verificar y proteger la integridad de los datos. También puede verificar la autenticación. Las funciones de hash reemplazan la contraseña de texto no cifrado o las claves de encriptación porque las funciones de hash son funciones unidireccionales. Esto significa, que si se realiza el hash de una contraseña con un algoritmo de hash específico, siempre dará como resultado la misma compendio de hash. Se le considera unidireccional porque con funciones de hash, es informáticamente inviable que dos conjuntos diferentes de datos tengan la misma compendio o el mismo resultado de hash. Cada vez que se cambian o se modifican los datos, el valor hash también cambia. Debido a esto, los valores hash criptográficos se conocen a menudos como huellas dactilares digitales. Pueden detectar archivos de datos duplicados, cambios en las versiones de los archivos y aplicaciones similares. Estos valores protegen de un cambio accidental o intencional a los datos y el daño de datos accidental. El hash también es muy eficaz. Un archivo grande o el contenido de toda una unidad de disco genera un valor hash con el mismo tamaño.
Cybersecurity Essentials - ES 0118
80
Propiedades de hash El hash es una función matemática unidireccional que es relativamente fácil de computar, pero es mucho más difícil de revertir. El café molido es una buena analogía de una función unidireccional. Es fácil moler los granos de café, pero es casi imposible volver a unir todas las partes minúsculas para reconstruir los granos originales. Una función de hash criptográfica tiene las siguientes propiedades:
La entrada puede ser de cualquier longitud.
La salida tiene una longitud fija.
La función de hash es unidireccional y es irreversible.
Dos valores de entrada distintos casi nunca darán como resultado distintos valores hash.
Cybersecurity Essentials - ES 0118
81
Algoritmos de hash Las funciones de hash son útiles para asegurar que un usuario o un error de comunicación modifique los datos por accidente. Por ejemplo, es posible que un emisor desee asegurarse de que nadie modifique un mensaje en camino al destinatario. El dispositivo de envío introduce el mensaje en un algoritmo de hash y computa su compendio o huella digital de longitud fija. Algoritmo de hash simple (checksum de 8 bits) El checksum de 8 bits es uno de los primeros algoritmos de hash y es la forma más simple de una función de hash. Un checksum de 8 bits calcula el hash al convertir el mensaje en números binarios y luego organizando la cadena de números binarios en fragmentos de 8 bits. El algoritmo añade los valores de 8 bits. El último paso es convertir el resultado mediante un proceso llamado el complemento de 2. El complemento de 2 convierte un sistema binario al valor opuesto y luego agrega uno. Esto significa que un cero se convierte en uno y un uno se convierte en un cero. El último paso es agregar 1 lo que genera un valor hash de 8 bits. Haga clic aquí para calcular el hash de 8 bits para el mensaje BOB. 1. Convierta BOB al sistema binario con el código ASCII, como se muestra en la Figura 1.
Cybersecurity Essentials - ES 0118
82
2. Convierta los números binarios a hexadecimales, como se muestra en la Figura 2. 3. Introduzca los números hexadecimales en la calculadora (42 4F 42). 4. Haga clic en el botón Calcular. El resultado es el valor hash 2D. Pruebe los siguientes ejemplos: SECRET = “S”=53 “E”=45 “C”=43 “R”=52 “E”=45 “T”=54 VALOR HASH = 3A MESSAGE = “M”=4D “E”=45 “S”=53 “S”=53 “A”=41 “G”=47 “E”=45 VALOR HASH = FB
Algoritmos de hash modernos Existen muchos algoritmos de hash modernos que se utilizan ampliamente en la actualidad. Dos de los más populares son MD5 y SHA. Algoritmo de compendio del mensaje 5 (MD5) Ron Rivest desarrolló el algoritmo de hash MD5 y varias aplicaciones de Internet lo utilizan en la actualidad. MD5 es una función unidireccional que facilita el cálculo de un hash de datos de entrada dados, pero dificulta el cálculo de los datos de entrada con un solo valor hash. MD5 produce un valor hash de 128 bits. El malware Flame comprometió la seguridad de MD5 en 2012. Los creadores del malware Flame utilizaron una colisión MD5 para forjar un certificado de firma de códigos de Windows. Haga clic aquí para leer una explicación de ataque de colisión del malware Flame. Algoritmo de hash seguro (SHA)
Cybersecurity Essentials - ES 0118
83
Instituto Nacional de Normas y Tecnología (NIST) de los Estados Unidos desarrolló SHA, el algoritmo especificado en el Estándar de hash seguro (SHS). NIST publicó SHA-1 en 1994. SHA-2 reemplazó a SHA-1 por cuatro funciones de hash adicionales para componer la familia SHA:
SHA-224 (224 bits)
SHA-256 (256 bits)
SHA-384 (384 bits)
SHA-512 (512 bits)
SHA-2 es un algoritmo más sólido y reemplaza a MD5. SHA-256, SHA-384 y SHA-512 son los algoritmos de próxima generación.
Archivos y medios digitales de hash La integridad garantiza que los datos y la información estén completos y sin alteraciones al momento de la adquisición. Esto es importante para saber cuando un usuario descarga un archivo de Internet o un examinador forense busca la evidencia en los medios digitales. Para verificar la integridad de todas las imágenes de IOS, Cisco proporciona checksums de MD5 y SHA en el sitio web de software de descarga de Cisco. El usuario puede realizar una comparación de esta compendio de MD5 contra el compendio de MD5 de una imagen de IOS instalada en un dispositivo, como se muestra en la figura. El usuario puede estar tranquilo ahora de que nadie alteró ni modificó el archivo de imagen de IOS. Nota: el comando verify /md5, que se muestra en la figura, excede el alcance de este curso. El campo de informática forense digital usa el hash para verificar todos los medios digitales que contienen archivos. Por ejemplo, el examinador crea un hash y una copia de bit por bit de los medios que contienen archivos para producir un clon digital. El examinador compara el hash de los medios originales con la copia. Si los dos valores coinciden, las copias son idénticas. El hecho de que un conjunto de bits sea idéntico al conjunto original de bits establece fijación. La fijación ayuda a responder algunas preguntas:
¿El examinador tiene los archivos que espera?
Cybersecurity Essentials - ES 0118
84
¿Los datos están dañados o modificados?
¿Puede el examinador probar que los archivos no están dañados?
Ahora el experto en informática forense puede examinar la copia en busca de cualquier evidencia digital mientras deja el archivo original intacto y sin modificar.
Hash de contraseñas Los algoritmos de hash convierten cualquier cantidad de datos en una huella digital o hash digital de longitud fija. Un delincuente no puede invertir un hash digital para descubrir la entrada original. Si la entrada cambia por completo, puede dar lugar a un hash diferente. Esto funciona para proteger las contraseñas. Un sistema debe almacenar una contraseña de manera que pueda protegerla y aun así pueda verificar que la contraseña de un usuario es correcta. La figura muestra el flujo de trabajo para el registro y la autenticación de cuentas de usuarios mediante un sistema basado en hash. El sistema nunca escribe la contraseña en la unidad de disco duro, solo almacena el hash digital.
Cybersecurity Essentials - ES 0118
85
Aplicaciones Utilice las funciones de hash criptográficas en las siguientes situaciones:
Para proporcionar una prueba de autenticidad cuando se utiliza con una clave de autenticación secreta simétrica, como Seguridad IP (IPsec) o autenticación del protocolo de routing.
Para proporcionar autenticación al generar respuestas de única vez y unidireccionales a los desafíos que se presentan en los protocolos de autenticación
Para proporcionar una prueba de verificación de la integridad del mensaje, como las utilizadas en los contratos con firma digital y en los certificados de infraestructura de clave pública (PKI), como aquellos aceptados al acceder a un sitio seguro mediante un navegador
Al elegir un algoritmo de hash, utilice SHA-256 o superior ya que son los más seguros actualmente. Evite los algoritmos SHA-1 y MD5 debido a la detección de fallas de seguridad. En las redes de producción, implemente SHA-256 o superior. Aunque el hash puede detectar cambios accidentales, no puede protegerse de los cambios deliberados. No existe información de identificación única del emisor en el procedimiento de hash. Esto significa que cualquier persona puede calcular un hash para los datos, siempre y cuando tengan la función de hash correcta. Por ejemplo, cuando un mensaje atraviesa la red, un atacante potencial puede interceptar el mensaje, cambiarlo, recalcular el hash y añadir el hash al mensaje. El dispositivo receptor solo validará el hash que esté añadido. Por lo tanto, el hash es vulnerable a los ataques man-in-the-middle y no proporciona seguridad a los datos transmitidos.
Cybersecurity Essentials - ES 0118
86
Desciframiento de hashes Para descifrar un hash, un atacante debe adivinar la contraseña. Los dos ataques principales utilizados para adivinar las contraseñas son los ataques de diccionario y de fuerza bruta. Un ataque de diccionario utiliza un archivo que contiene palabras, frases y contraseñas comunes. El archivo contiene los hashes calculados. Un ataque de diccionario compara los hashes del archivo con los hashes de la contraseña. Si un hash coincide, el atacante conoce un grupo de contraseñas potencialmente buenas. Un ataque de fuerza bruta intenta cada combinación posible de caracteres hasta una longitud determinada. Un ataque de fuerza bruta lleva mucho tiempo del procesador, pero solo es cuestión de tiempo para que este método descubra la contraseña. Las contraseñas deben ser lo suficientemente largas para compensar el tiempo que tarda en realizarse un ataque de fuerza bruta demasiado prolongado para ser provechoso. Las contraseñas de hash permiten que sea más difícil para el delincuente recuperar esas contraseñas.
Qué es el «salting»? La técnica de «salting» permite que el hash de la contraseña sea más seguro. Si dos usuarios tienen la misma contraseña, también tendrán los mismos hashes de la contraseña. Un salt, que es una cadena aleatoria de caracteres, es una entrada adicional a la contraseña antes del hash. Esto crea un resultado distinto de hash para las dos contraseñas como se muestra en la figura. Una base de datos almacena el hash y el salt.
Cybersecurity Essentials - ES 0118
87
En la figura, la misma contraseña genera un hash diferente porque el «salt» en cada instancia es diferente. El «salt» no tiene que ser secreto ya que es un número aleatorio.
Prevención de ataques La técnica de «salting» evita que un atacante utilice un ataque de diccionario para adivinar las contraseñas. El «salting» también hace imposible usar las tablas de búsqueda y las tablas de arcoíris para descifrar un hash. Tablas de búsqueda Una tabla de búsqueda almacena los hashes previamente computados de las contraseñas en un diccionario de contraseñas junto con la contraseña correspondiente. Una tabla de búsqueda es una estructura de datos que procesa cientos de búsquedas de hash por segundo. Haga clic aquí para ver qué tan rápidamente una tabla de búsqueda puede descifrar un hash. Tablas de búsqueda inversas Este ataque permite que el delincuente cibernético inicie un ataque de diccionario o de fuerza bruta en muchos hashes sin la tabla de búsqueda previamente computada. El delincuente cibernético crea una tabla de búsqueda que grafica cada hash de contraseña de la base de datos de la cuenta vulnerada a una lista de usuarios. El delincuente cibernético realiza un hash de cada conjeturas de la contraseña y usa la tabla de búsqueda para obtener una lista de usuarios cuya contraseña coincida con las conjeturas del delincuente cibernético, como se muestra en la figura. Debido a que muchos usuarios tienen la misma contraseña, el ataque funciona bien. Tablas de arcoíris Las tablas de arcoíris sacrifican la velocidad de descifrado de hash para que las tablas de búsqueda sean más pequeñas. Una tabla más pequeña significa que la tabla puede almacenar las soluciones para más hashes en la misma cantidad de espacio.
Implementación de la técnica de «salting» Un generador criptográficamente seguro de números pseudoaleatorios (CSPRNG) es la mejor opción para generar un salt. CSPRNGs genera un número aleatorio que tiene un alto nivel de aleatoriedad y es totalmente impredecible, por lo que es criptográficamente seguro. Para implementar correctamente la técnica de «salting», utilice las siguientes recomendaciones:
El salt debe ser único para cada contraseña de usuario.
Nunca reutilice un salt.
La longitud del salt debe coincidir con la extensión del resultado de la función de hash.
Siempre realice el hash en el servidor en una aplicación web.
Cybersecurity Essentials - ES 0118
88
Con una técnica llamada «alargamiento de claves» también podrá protegerse de los ataques. El alargamiento de claves hace que el hash funcione muy lentamente. Esto impide que el hardware de alto nivel que puede calcular miles de millones de hashes por segundo sea menos eficaz. Los pasos que una aplicación de base de datos utiliza para almacenar y validar una contraseña salt se muestran en la figura.
¿Qué es un HMAC? El siguiente paso en prevenir que un delincuentes cibernético inicie un ataque de diccionario o un ataque de fuerza bruta en un hash es agregar una clave secreta al hash. Solo la persona que conoce el hash puede validar una contraseña. Una manera de lograrlo es incluir la clave secreta en el hash mediante un algoritmo de hash llamado código de autenticación de mensajes de hash con clave (HMAC o KHMAC). Los HMAC utilizan una clave secreta adicional como entrada a la función de hash. El uso de HMAC va un paso más allá de garantizar la integridad al incorporar la autenticación. Un HMAC utiliza un algoritmo específico que combina una función de hash criptográfica con una clave secreta, como se muestra en la figura. Solo el emisor y el receptor conocen la clave secreta y el resultado de la función de hash ahora depende de los datos de entrada y la clave secreta. Solo las partes que tienen acceso a esa clave secreta pueden calcular el compendio de una función de HMAC. Esta característica derrota los ataques man-in-the-middle y proporciona autenticación del origen de los datos.
Cybersecurity Essentials - ES 0118
89
Funcionamiento del HMAC Considere un ejemplo en el que un emisor desea asegurarse de que un mensaje permanezca sin cambios y en tránsito, y desea proporcionar una manera de que el receptor autentique el origen del mensaje. Como se muestra en la Figura 1, el dispositivo emisor introduce los datos (como el pago de Terry Smith de $100 y la clave secreta) en el algoritmo de hash y calcula el compendio o huella digital de HMAC de longitud fija. El receptor obtiene huellas digitales autenticadas anexadas al mensaje. En la Figura 2, el dispositivo receptor elimina la huella digital del mensaje y utiliza el mensaje de texto simple con su clave secreta como entrada a la misma función de hash. Si el dispositivo receptor calcula una huella digital igual a la huella enviada, el mensaje aún se encontrará en su formato original. Además, el receptor conoce el origen del mensaje porque solo el emisor posee una copia de la clave secreta compartida. La función de HMAC comprobó la autenticación del mensaje.
Aplicación del uso de HMAC Los HMAC también pueden autenticar a un usuario web. Muchos servicios web utilizan la autenticación básica, la cual no cifra el nombre de usuario y la contraseña durante la transmisión. Con el HMAC, el usuario envía un identificador de clave privada y un HMAC. El servidor busca la clave privada del usuario y crea un HMAC. El HMAC del usuario debe coincidir con el que calcula el servidor.
Cybersecurity Essentials - ES 0118
90
Las VPN que utilizan IPsec dependen de las funciones de HMAC para autenticar el origen de cada paquete y proporcionar verificación de la integridad de los datos. Como se muestra en la figura, los productos de Cisco utilizan el hash para la autenticación de la entidad, la integridad de datos y para la autenticidad de datos:
Los routers de Cisco IOS utilizan el hash con las claves secretas utilizando el HMAC como la manera de agregar información de autenticación a las actualizaciones de protocolo de routing.
Los gateways y los clientes de IPsec utilizan algoritmos de hash, como MD5 y SHA-1 en el modo HMAC, para proporcionar integridad y autenticidad del paquete.
Las imágenes del software de Cisco en Cisco.com tienen un checksum basado en MD5 disponible para que los clientes puedan verificar la integridad de las imágenes descargadas.
Nota: El término entidad puede referirse a los dispositivos o sistemas dentro de una organización.
¿Qué es una firma digital? Las firmas manuscritas y los sellos estampados prueban la autoría de los contenidos del documento. Las firmas digitales pueden proporcionar la misma funcionalidad que las firmas manuscritas. Los documentos digitales sin protección son muy fáciles de cambiar para cualquier persona. Una firma digital se utiliza para determinar si alguien edita un documento después de que el usuario lo firma. Una firma digital es un método matemático utilizado para validar la autenticidad y la integridad de un mensaje, documento digital o software.
Cybersecurity Essentials - ES 0118
91
En muchos países, las firmas digitales tienen la misma importancia legal que un documento manualmente firmado. Las firmas electrónicas son vinculantes para contratos, negociaciones o cualquier otro documento que requiere una firma manuscrita. Un registro de auditoría sigue el historial de documentos electrónicos para fines de defensa normativos y legales. Una firma digital ayuda a establecer la autenticidad, la integridad y la imposibilidad de rechazo. Las firmas digitales tienen propiedades específicas que permiten la autenticación de la entidad y la integridad de los datos como se muestra en la figura. Las firmas digitales son una alternativa a HMAC.
No rechazo Rechazar significa denegar. La no repudiación es una manera de garantizar que el emisor de un mensaje o documento no pueda negar el envío del mensaje o del documento y que el destinatario no puede negar haber recibido el mensaje o documento. Una firma digital garantiza que el emisor firmó electrónicamente el mensaje o documento. Dado que una firma digital es única para las personas que la crean, esa persona no puede negar posteriormente que proporcionó la firma.
Procesos de creación de una firma digital La criptografía asimétrica es la base de las firmas digitales. Un algoritmo de clave pública como RSA genera dos claves: Una privada y otra pública. Las claves se relacionan matemáticamente. Alicia desea enviar a Bob un correo electrónico que contiene información importante para la distribución de un producto nuevo. Alicia desea asegurarse de que Bob sepa que el mensaje provino de ella y que este no cambió después de que ella lo envió. Alicia crea el mensaje junto con un compendio del mensaje. Luego cifra este compendio con su clave privada como se muestra en la Figura 1. Alicia ata el mensaje, el compendio del mensaje cifrado y su clave pública para crear el documento firmado. Alicia envía esto a Bob como se muestra en la Figura 2. Bob recibe el mensaje y lo lee. Para asegurarse de que el mensaje proviene de Alice, él crea un compendio de mensaje del mensaje. Él toma el compendio del mensaje cifrado recibido de Alicia y lo descifra con la clave pública de Alicia. Bob compara el compendio del mensaje que recibió de Alicia con el compendio que él generó. Si coinciden, Bob sabe que puede confiar en que nadie manipuló el mensaje, como se muestra en la Figura 3. Haga clic aquí para ver un video que explica el proceso de creación de un certificado digital.
Cybersecurity Essentials - ES 0118
92
Uso de firmas digitales La firma de un hash en lugar del documento completo proporciona eficiencia, compatibilidad e integridad. Es probable que las organizaciones deseen reemplazar los documentos impresos y las firmas de tinta con una solución que garantice que el documento electrónico cumple con todos los requisitos legales. Las siguientes dos situaciones proporcionan ejemplos de uso de firmas digitales:
Firma de código: Se utiliza para verificar la integridad de los archivos ejecutables descargados del sitio web de un proveedor. La firma de códigos también utiliza certificados digitales firmados para autenticar y verificar la identidad del sitio (Figura 1).
Certificados digitales: Se utilizan para verificar la identidad de una organización o de una persona para autenticar el sitio web de un proveedor y para establecer una conexión cifrada a fin de intercambiar datos confidenciales (Figura 2).
Comparación de los algoritmos de firma digital Los tres algoritmos comunes de firma digital son el Algoritmo de firma digital (DSA), Rivest-ShamirAdleman (RSA y el Algoritmo de firma digital de curva elíptica (ECDSA). Los tres generan y verifican firmas digitales. Estos algoritmos dependen de las técnicas de cifrado asimétrico y de clave pública. Las firmas digitales requieren dos operaciones: 1. Generación de claves 2. Verificación de claves Ambas operaciones requieren la encriptación y el descifrado de clave.
Cybersecurity Essentials - ES 0118
93
El DSA utiliza la factorización de números grandes. Los gobiernos utilizan el DSA para las firmas, a fin de crear firmas digitales. El DSA no se extiende más allá de la firma del mensaje. El RSA es el algoritmo más común de la criptografía de clave pública en la actualidad. El RSA se denomina así por las personas que lo crearon en 1977: Ron Rivest, Adi Shamir, Adi Shamir y Leonard Adleman. El RSA depende del cifrado asimétrico. El RSA cubre la firma y también cifra el contenido del mensaje. El DSA es más rápido que el RSA como un servicio de firma de un documento digital. El RSA es el más adecuado para las aplicaciones que requieren la firma y la verificación de documentos electrónicos y encriptación de mensaje. Al igual que la mayoría de las áreas de la criptografía, el algoritmo RSA se basa en dos principios matemáticos; factorización de módulos y de números primos. Haga clic aquí para obtener más información sobre cómo RSA utiliza la factorización de módulos y de números primos. ECDSA es el algoritmo de firma digital más nuevo que está reemplazando gradualmente a RSA. La ventaja de este nuevo algoritmo es que puede utilizar tamaños de clave mucho más pequeños para la misma seguridad y requiere menos cómputo que RSA.
¿Qué es un certificado digital? Un certificado digital es equivalente a un pasaporte electrónico. Permiten a los usuarios, hosts y organizaciones intercambiar información de manera segura a través de Internet. Específicamente, un certificado digital autentica y verifica que los usuarios que envían un mensaje sean quienes afirman ser. Los certificados digitales también pueden proporcionar confidencialidad para el receptor con los medios para cifrar una respuesta. Los certificados digitales son similares a los certificados físicos. Por ejemplo, el certificado Asociado en redes con certificación de Cisco (CCNA-S) en papel, en la Figura 1 identifica a las personas, la autoridad del certificado (quién autorizó el certificado) y durante cuánto tiempo el certificado es válido. Observe de qué manera el certificado digital en la Figura 2 también identifica los elementos similares.
Uso de certificados digitales Para poder comprender cómo usar un certificado digital, consulte la Figura 1. En este escenario, Bob confirma un pedido con Alicia. El servidor web de Alicia utiliza un certificado digital para garantizar una transacción segura. Paso 1: Bob examina el sitio web de Alicia. Un navegador designa una conexión segura al mostrar un icono de bloqueo en la barra de estado de seguridad. Paso 2: El servidor web de Alicia envía un certificado digital al navegador de Bob. Paso 3: El navegador de Bob comprueba el certificado almacenado en los ajustes del navegador. Solo los certificados confiables permiten que la transacción siga adelante. Paso 4: El navegador web de Bob crea una clave única de sesión por única vez. Paso 5: El navegador de Bob utiliza la clave pública del servidor web en su certificado para cifrar la sesión. Paso 6: El resultado es que solo el servidor web de Alicia pueda leer las transacciones enviadas desde el navegador de Bob.
Cybersecurity Essentials - ES 0118
94
¿Qué es una autoridad de certificación? En Internet, sería poco práctico intercambiar continuamente la identificación entre todas las partes. Por lo tanto, las personas acuerdan aceptar la palabra de un tercero neutral. Probablemente, el tercero realiza una investigación exhaustiva antes de emitir las credenciales. Después de esta investigación exhaustiva, el tercero emite credenciales que son difíciles de falsificar. Desde ese momento, todas las personas que confían en el tercero simplemente aceptan las credenciales que emite el tercero. Por ejemplo, en la figura, Alice solicita una licencia de conducir. En este proceso, presenta evidencia de su identidad, como partida de nacimiento, identificación con fotografía, etc. a una oficina gubernamental de otorgamiento de licencias. La oficina valida la identidad de Alice y permite que Alice complete el examen de conducir. Al completarlo exitosamente, la oficina de otorgamiento de licencias emite una licencia de conducir a Alice. Posteriormente, Alice debe cobrar un cheque en el banco. Al presentar el cheque al cajero del banco, el cajero del banco le solicita la Id. El banco, debido a que confía en la oficina gubernamental de otorgamiento de licencias, verifica su identidad y cobra el cheque. Una autoridad de certificación (CA) funciona de la misma manera que una oficina de otorgamiento de licencias. La CA emite certificados digitales que autentican la identidad de las organizaciones y de los usuarios. Estos certificados también firman mensajes para asegurarse de que nadie los manipuló.
Cybersecurity Essentials - ES 0118
95
¿Qué contiene un certificado digital? Siempre y cuando un certificado digital siga una estructura estándar, cualquier entidad podrá leer y comprenderlo, independientemente del emisor. El X.509 es un estándar de la infraestructura de clave pública (PKI) para administrar los certificados digitales. La PKI consta de las políticas, las funciones y los procedimientos necesarios para crear, administrar, distribuir, utilizar, almacenar y revocar los certificados digitales. El estándar X.509 especifica que los certificados digitales contienen la información estándar que se muestra en la figura.
El proceso de validación Los navegadores y las aplicaciones realizan una comprobación de validación antes de confiar en un certificado para asegurarse de que es válido. Los tres procesos incluyen lo siguiente:
La detección de certificados valida el trayecto de certificación al marcar cada certificado desde el comienzo con el certificado de la CA raíz
La validación del trayecto selecciona un certificado de la CA de emisión para cada certificado de la cadena
La revocación determina si el certificado fue revocado y por qué
El trayecto del certificado Una persona obtiene un certificado para una clave pública de un CA comercial. El certificado pertenece a una cadena de certificados llamada cadena de confianza. El número de certificados en la cadena depende de la estructura jerárquica de la CA.
Cybersecurity Essentials - ES 0118
96
La figura muestra una cadena de certificados para una CA de dos niveles. Existe una CA de raíz sin conexión y una CA subordinada en línea. El motivo de la estructura de dos niveles es que la firma X.509 permite una recuperación más sencilla en caso de riesgo. Si existe una CA sin conexión, puede firmar el nuevo certificado de CA en línea. Si no hay ninguna CA sin conexión, el usuario debe instalar un nuevo certificado de CA de raíz en cada máquina, teléfono o tablet cliente.
Integridad de datos Las bases de datos proporcionan una forma eficiente de almacenar, recuperar y analizar datos. A medida que la recopilación de datos aumenta y los datos se vuelven más sensibles, es importante que los profesionales de la ciberseguridad protejan el creciente número de bases de datos. Piense en una base de datos como un sistema de llenado electrónico. La integridad de datos se refiere a la precisión, la uniformidad y la confiabilidad de los datos almacenados en una base de datos. La responsabilidad de la integridad de los datos depende de los diseñadores de bases de datos, desarrolladores y la administración de la organización.
Cybersecurity Essentials - ES 0118
97
Las cuatro reglas o restricciones de integridad de los datos son las siguientes:
Integridad de la entidad: Todas las filas deben tener un identificador único llamado Clave principal (Figura 1).
Integridad de dominio: Todos los datos almacenados en una columna deben seguir el mismo formato y tener la misma definición (Figura 2).
Integridad referencial: Las relaciones entre tablas deben permanecer congruentes. Por lo tanto, un usuario no puede eliminar un registro que se relaciona con otro (Figura 3).
Integridad definida por el usuario: Un conjunto de reglas definidas por un usuario que no pertenece a una de las demás categorías. Por ejemplo, un cliente realiza un pedido nuevo, como se muestra en la Figura 4. El usuario primero verifica si este es un cliente nuevo. Si lo es, el usuario agrega al cliente nuevo a la tabla de clientes.
Controles del ingreso de los datos El ingreso de datos implica introducir datos en un sistema. Un conjunto de comandos garantiza que los usuarios introduzcan los datos correctos. Despliegue los controles de datos principales Cuente con una opción desplegable para las tablas principales en lugar de solicitar a las personas que introduzcan los datos. Un ejemplo de despliegue de controles de datos principales implica el uso de la lista de ubicaciones del sistema de dirección postal de EE. UU. para estandarizar las direcciones. Controles de validación del campo de datos Configure las reglas para las verificaciones básicas, que incluyen:
Entrada obligatoria que garantiza que un campo obligatorio contenga datos
Máscaras de entrada que evitan que los usuarios ingresen datos no válidos o ayuden a garantizar que introducen datos constantemente (como un número de teléfono, por ejemplo)
Cantidades positivas en dólares
Los rangos de datos garantizan que un usuario ingrese datos dentro de un rango determinado (como una fecha de nacimiento introducida como 01-18-1820, por ejemplo)
Aprobación obligatoria de segundas personas (un cajero del banco recibe una solicitud de depósito o de retiro superior al valor especificado lo cual requiere una segunda o tercera aprobación)
Activador de modificador de registro máximo (si la cantidad de registros modificados supera un número predeterminado dentro de un período específico bloquea a un usuario hasta que el administrador identifica si las transacciones eran legítimas o no)
Indicador de actividad inusual (un sistema se bloquea cuando reconoce actividad inusual)
Reglas de validación Una regla de validación verifica que los datos se incluyan en los parámetros definidos por el diseñador de la base de datos. Una regla de validación ayuda a garantizar la integridad, la precisión y la coherencia de los datos. Los criterios utilizados en una regla de validación incluyen los siguientes:
Cybersecurity Essentials - ES 0118
98
Tamaño: Controla la cantidad de caracteres en un elemento de datos
Formato: Controla que los datos se ajusten a un formato específico
Coherencia: Controla la coherencia de los códigos en los elementos de datos relacionados
Rango: Controla que los datos se encuentran dentro de un valor mínimo y un valor máximo
Dígito de control: Proporciona un cálculo adicional para generar un dígito de control para la detección de errores.
Haga clic en cada paso de la figura para ver el resultado del cálculo del dígito de control.
Validación del tipo de datos La validación del tipo de datos es la validación de datos más simple y verifica que un usuario que ingresa datos concuerde con el tipo de caracteres esperados. Por ejemplo, un número de teléfono no debería contener caracteres alfabéticos. Las bases de datos permiten tres tipos de datos: Números enteros, cadenas y decimales.
Validación de entrada Uno de los aspectos más vulnerables de la administración de la integridad de la base de datos es controlar el proceso de entrada de datos. Muchos ataques conocidos se ejecutan contra una base de datos e insertan datos malformados. El ataque puede confundir, colapsar o hacer que la aplicación divulgue demasiada información al atacante. Los atacantes usan los ataques de entrada automatizados. Por ejemplo, los usuarios completan un formulario a través de una aplicación web para suscribirse a un boletín. Una aplicación de base de datos genera y envía automáticamente confirmaciones por correo electrónico. Cuando los usuarios reciben las confirmaciones por correo electrónico con un enlace URL para confirmar su suscripción, los atacantes modifican el enlace URL. Estas modificaciones incluyen el cambio de nombre de usuario, dirección de correo electrónico o estado de suscripción. El correo electrónico regresa al servidor que aloja la aplicación. Si el servidor web no verificó que la dirección de correo electrónico u otra información enviada de la cuenta coincide con la información de suscripción, el servidor recibió información falsa. Los hackers pueden automatizar el ataque para colmar la aplicación web con miles de suscriptores no válidos en la base de datos del boletín.
Verificación de anomalías La detección de anomalías se refiere a la identificación de patrones en los datos que no se ajustan al comportamiento esperado. Estos patrones no se ajustan son anomalías, valores atípicos, excepciones o aberraciones o sorpresas en diferentes aplicaciones de bases de datos. La detección y verificación de anomalías es una contramedida o protección importante en la identificación de la detección de fraudes. La detección de anomalías en la base de datos puede identificar fraudes en tarjetas de crédito y seguros. La detección de anomalías en la base de datos puede proteger los datos de la destrucción o los cambios masivos. La verificación de anormalías requiere solicitudes o modificaciones de datos de verificación cuando el sistema detecta patrones inusuales o sorpresivos. Un ejemplo de esto es una tarjeta de crédito con dos transacciones en ubicaciones de solicitud muy diferentes en poco tiempo. Si una solicitud de transacción de la ciudad de Nueva York se realiza a las 10:30 a. m. y una segunda solicitud proviene de Chicago a las 10:35 a. m., el sistema activa una verificación de la segunda transacción. Un segundo ejemplo se produce cuando una cantidad inusual de modificaciones en la dirección de correo electrónico se produce en un número inusual de registros de la base de datos. Dado que los datos de correo electrónico lanzan ataques de denegación de servicio, la modificación de correo electrónico de cientos de registros podría indicar que un atacante utiliza la base de datos de una organización como herramienta para su ataque de denegación de servicio.
Cybersecurity Essentials - ES 0118
99
Integridad de la entidad Una base de datos es como un sistema de llenado electrónico. Mantener un archivado correcto es fundamental para mantener la confianza y la utilidad de los datos en la base de datos. Las tablas, los registros, los campos y los datos dentro de cada campo conforman una base de datos. Para mantener la integridad del sistema de archivado en la base de datos, los usuarios deben cumplir con determinadas reglas. La integridad de la entidad es una regla de integridad, que afirma que cada tabla debe tener una clave primaria y que la columna o las columnas elegidas para ser la clave principal deben ser únicas y no NULAS. El término «nulo» en una base de datos hace referencia a valores faltantes o desconocidos. La integridad de la entidad permite la organización adecuada de los datos para ese registro como se muestra en la figura.
Integridad referencial Otro concepto importante es la relación entre los diferentes sistemas o tablas de llenado. La base de la integridad referencial es la clave externa. Una clave externa en una tabla hace referencia a una clave principal en una segunda tabla. La clave principal de una tabla identifica de manera única a las entidades (filas) de la tabla. La integridad referencial mantiene la integridad de las claves externas.
Cybersecurity Essentials - ES 0118
10 0
Integridad del dominio La integridad del dominio garantiza que todos los elementos de datos de una columna se incluyan en un conjunto definido de valores válidos. Cada columna de una tabla tiene un conjunto definido de valores, como el conjunto de todos los números para los números de tarjetas de crédito, los números de seguridad social o las direcciones de correo electrónico. La limitación del valor asignado a una instancia de esa columna (un atributo) aplica la integridad de dominio. La aplicación de la integridad del dominio puede ser tan simple como elegir el tipo de datos, la longitud y el formato correcto para una columna.
Resumen Capítulo 5: El arte de garantizar la integridad En este capítulo se analizó el arte de la integridad que se utiliza para garantizar que nada ni nadie modifique los datos durante su ciclo de vida completo. Este capítulo comenzó analizando los tipos de controles de integridad de datos. Los algoritmos de hash, el salt de contraseña y el código de autenticación de mensajes de hash con clave (HMAC) son conceptos importantes que los héroes cibernéticos deben utilizar en la implementación de firmas y certificados digitales. Estas herramientas proporcionan una manera para que los especialistas en ciberseguridad verifiquen la autenticidad de los mensajes y documentos. El capítulo finalizado con un análisis de las aplicaciones de integridad de la base de datos. Tener un sistema de integridad de datos bien controlado y bien definido permite aumentar la estabilidad, el rendimiento y la capacidad de mantenimiento de un sistema de base de datos.
Cybersecurity Essentials - ES 0118
10 1
Capítulo 6: El reino de los cinco nueves Las organizaciones que desean maximizar la disponibilidad de sus sistemas y datos pueden adoptar medidas extraordinarias para minimizar o eliminar la pérdida de datos. El objetivo es minimizar el tiempo de inactividad de los procesos críticos. Si los empleados no pueden realizar sus tareas regulares, la organización está en riesgo de perder ingresos. Las organizaciones miden la disponibilidad conforme al porcentaje de tiempo de actividad. Este capítulo comienza explicando el concepto de los cinco nueves. Muchos sectores deben mantener los mayores estándares de disponibilidad dado que el tiempo de inactividad puede significar literalmente una diferencia entre la vida y la muerte. Este capítulo analiza diversos enfoques que las organizaciones pueden adoptar para cumplir sus objetivos de disponibilidad. La redundancia brinda respaldo e incluye componentes adicionales para las computadoras o los sistemas de red a fin de garantizar la disponibilidad de los sistemas. Los componentes redundantes pueden incluir hardware, como unidades de disco, servidores, switches y routers, o software, como sistemas operativos, aplicaciones y bases de datos. El capítulo también analiza la recuperabilidad y la capacidad de un servidor, una red o un centro de datos para recuperarse rápidamente y continuar con la operación. Las organizaciones deben prepararse para responder ante un incidente estableciendo procedimientos que deben seguirse después de que ocurre un evento. El capítulo finaliza con un debate sobre la recuperación tras un desastre y la planificación de la continuidad de los negocios, fundamentales para el mantenimiento de la disponibilidad de los recursos de una organización.
¿Qué son los cinco nueves? Los cinco nueves significan que los sistemas y servicios están disponibles el 99,999% del tiempo. Esto quiere decir que tanto el tiempo de inactividad planificado como no planificado es menor que 5,26 minutos por año. El gráfico en la figura ofrece una comparación del tiempo de inactividad para varios porcentajes de disponibilidad. La alta disponibilidad hace referencia a un sistema o componente continuamente operativo durante un espacio dado de tiempo. Para garantizar la alta disponibilidad:
Elimine los puntos de falla únicos.
Diseñe para la confiabilidad.
Detecte fallas cuando ocurren.
Sostener una alta disponibilidad como estándar de los cinco nueves puede incrementar los costos y requerir muchos recursos. El incremento de los costos se debe a la adquisición de hardware adicional, como servidores y componentes. A medida que una organización agrega componentes, el resultado es un incremento en la complejidad de la configuración. Desafortunadamente, la complejidad incrementada de la configuración aumenta los factores de riesgo. Cuantas más partes móviles se involucran, mayor es la probabilidad de componentes defectuosos.
Entornos que requieren los cinco nueves Aunque el costo de sostener la alta disponibilidad pueda ser muy elevado para algunos sectores, muchos entornos requieren cinco nueves.
El sector financiero debe mantener una alta disponibilidad para un comercio, un cumplimiento y una confianza del cliente continuos. Haga clic aquí para leer sobre la interrupción de cuatro horas en la Bolsa de Valores de Nueva York en 2015.
Cybersecurity Essentials - ES 0118
10 2
Las instalaciones de servicios de salud requieren alta disponibilidad para brindar atención a los pacientes en todo momento. Haga clic aquí para leer sobre los costos promedio incurridos para el tiempo de inactividad del centro de datos en el sector de servicios de salud.
La industria de la seguridad pública incluye agencias que brindan seguridad y servicios a la comunidad, el estado o la nación. Haga clic aquí para leer sobre una interrupción de la red en la Agencia de Policía del Pentágono de los EE. UU.
La industria minorista depende de cadenas de abastecimiento eficientes y de la entrega de productos a los clientes. Una interrupción puede ser devastadora, especialmente durante los tiempos de demanda, como las fiestas.
El público espera que el sector de los medios de comunicación comunique información sobre los eventos a medida que ocurren. El ciclo de comunicación ahora está disponible las 24 horas, los 7 días de la semana.
Amenazas a la disponibilidad Las siguientes amenazas representan un alto riesgo para la disponibilidad de los datos y la información:
Un usuario no autorizado penetra exitosamente y compromete la base de datos principal de una organización.
Un ataque de denegación de servicio exitoso afecta significativamente las operaciones.
Una organización sufre una importante pérdida de datos confidenciales.
Una aplicación crítica se desconecta.
Ocurre un problema del administrador o usuario raíz.
Se comparte la detección de un script entre sitios o un servidor de archivos ilegal.
La degradación del sitio web de una organización afecta las relaciones públicas.
Una fuerte tormenta, como un huracán o un tornado.
Un evento catastrófico, como un ataque terrorista, el bombardeo de una construcción o el incendio de un edificio.
La interrupción del proveedor de servicios o la utilidad a largo plazo.
Daños por agua como resultado de una inundación o una falla de aspersión.
Clasificar el nivel de impacto de cada amenaza ayuda a una organización a dilucidar el impacto en dólares de las amenazas. Haga clic en las categorías de amenazas en la figura para ver un ejemplo de cada una.
Diseño del sistema de alta disponibilidad La alta disponibilidad incorpora tres principios fundamentales para lograr el objetivo de un acceso ininterrumpido a los datos y servicios: 1. Eliminación o reducción de puntos de falla únicos.
Cybersecurity Essentials - ES 0118
10 3
2. Recuperabilidad del sistema. 3. Tolerancia a fallas. Haga clic en cada principio en la figura para ver una breve descripción. Es importante comprender las formas de abordar el punto de falla único. El punto de falla único puede incluir routers o switches centrales, servicios de red e incluso personal de TI altamente calificado. La clave es que una pérdida de un sistema, un proceso o una persona puede tener un impacto muy negativo en todo el sistema. La clave es contar con procesos, recursos y componentes que reduzcan los puntos de falla únicos. Los clústeres de alta disponibilidad son una manera de proporcionar redundancia. Estos clústeres constan de un grupo de computadoras que tienen acceso al mismo almacenamiento compartido y configuraciones de red idénticas. Todos los servidores participan en el proceso de un servicio simultáneamente. Desde el exterior, el grupo de servidores parece un dispositivo. Si un servidor dentro del clúster falla, los otros servidores continúan procesando el mismo servicio que el dispositivo defectuoso. La recuperabilidad de los sistemas se refiere a la capacidad para mantener la disponibilidad de los datos y el proceso operativo a pesar de eventos de interrupción o ataques. Por lo general, esto requiere sistemas redundantes en términos de potencia y procesamiento de manera tal que, en caso de que falle un sistema, el otro pueda tomar el control de las operaciones sin ninguna interrupción del servicio. La recuperabilidad del sistema es más que la protección de los dispositivos; requiere que tanto los datos como los servicios estén disponibles incluso durante un ataque. La tolerancia a fallas permite que un sistema siga operando si uno o más componentes fallan. La replicación de puertos es un ejemplo de tolerancia a fallas. Si se produce una "falla" que provoca la interrupción de un dispositivo, como un controlador de disco, el sistema replicado proporciona los datos solicitados sin interrupciones aparentes en el servicio al usuario.
Identificación de activos Una organización debe conocer qué hardware y software tiene como requisito previo a saber qué parámetros de configuración necesita. La administración de activos incluye un inventario completo del hardware y software. Esto quiere decir que una organización debe conocer todos los componentes que pueden estar sujetos a riesgos de seguridad, entre ellos:
Cada sistema de hardware.
Cada sistema operativo.
Cada dispositivo de red del hardware.
Cada sistema operativo del dispositivo de red.
Cada aplicación de software.
Todo el firmware.
Todos los entornos de tiempo de ejecución del lenguaje.
Todas las bibliotecas individuales.
Una organización puede elegir una solución automatizada para seguir sus activos. Un administrador debe investigar cualquier configuración modificada dado que puede significar que la configuración no está actualizada. También puede significar que ocurren cambios no autorizados.
Cybersecurity Essentials - ES 0118
10 4
Clasificación de activos La clasificación de activos asigna todos los recursos de la organización a un grupo según las características comunes. Una organización debe aplicar un sistema de clasificación de activos a los documentos, los registros de datos, los archivos de datos y los discos. La información más importante debe recibir el mayor nivel de protección e incluso puede requerir un manejo especial. Una organización puede adoptar un sistema de etiquetado según cuán valiosa, confidencial y crítica sea la información. Complete los pasos siguientes para identificar y clasificar los activos de una organización: 1. Determine la categoría de identificación de activos correcta. 2. Establezca la auditoría de activos mediante la identificación del propietario de todos los recursos de información y software de aplicaciones. 3. Determine los criterios de clasificación. 4. Implemente un esquema de clasificación. La figura proporciona más detalles para estos pasos. Por ejemplo, el gobierno estadounidense se basa en la confidencialidad para clasificar los datos de la siguiente manera: secretos, absolutamente secretos, confidenciales, de confianza pública o sin clasificar.
Cybersecurity Essentials - ES 0118
10 5
Estandarización de activos La administración de activos administra el ciclo de vida y el inventario de los activos tecnológicos, incluidos los dispositivos y el software. Como parte del sistema de administración de activos de TI, una organización especifica los activos de TI aceptables que cumplen los objetivos. Esta práctica reduce eficazmente los diferentes tipos de activos. Por ejemplo, una organización instalará únicamente aplicaciones que cumplan con las pautas. Cuando los administradores eliminen las aplicaciones que no cumplan con las pautas, incrementarán la seguridad con eficacia. Los estándares de activos identifican los productos de hardware y software específicos que la organización usa y respalda. Cuando ocurre una falla, actuar inmediatamente ayuda a mantener tanto el acceso como la seguridad. Si una organización no estandariza su selección de hardware, el personal deberá esforzarse por encontrar los componentes de repuesto. Los entornos no estandarizados requieren más experiencia para su administración y aumentan el costo de los contratos de mantenimiento e inventario. Haga clic aquí para leer sobre cómo los militares pasaron al hardware basado en estándares para sus comunicaciones militares.
Identificación de amenazas El equipo de Respuesta ante Emergencias Informáticas de los Estados Unidos (US-CERT) y el Departamento de Seguridad Nacional de los EE. UU. patrocinan un diccionario de vulnerabilidades y exposiciones comunes (CVE). Las CVE contienen un número de identificación estándar con una descripción breve y referencias a informes de vulnerabilidades y avisos relacionados. The Mitre Corporation mantiene una lista de CVE y su sitio web público. La identificación de amenazas comienza con el proceso de creación de un identificador de CVE para las vulnerabilidades de ciberseguridad conocidas públicamente. Cada identificador de CVE incluye lo siguiente:
El número de identificador de CVE.
Cybersecurity Essentials - ES 0118
10 6
Una breve descripción de la vulnerabilidad en la seguridad.
Cualquier referencia importante.
Haga clic aquí para obtener más información sobre el identificador de CVE.
Análisis de riesgos El análisis de riesgos es el proceso de analizar los peligros que plantean los eventos de causa natural y humana a los activos de una organización. Un usuario debe realizar una identificación de activos para determinar qué activos proteger. El análisis de riesgos tiene cuatro objetivos:
Identificar los activos y su valor.
Identificar las vulnerabilidades y las amenazas.
Cuantificar la probabilidad y el impacto de las amenazas identificadas.
Equilibrar el impacto de las amenazas con el costo de las contramedidas.
Hay dos enfoques para el análisis de riesgos. Análisis de riesgos cuantitativo Un análisis cuantitativo asigna números al proceso de análisis de riesgos (Figura 1). El valor de un activo es el costo de reemplazo del activo. El valor de un activo también puede medirse por los ingresos obtenidos del uso del activo. El factor de exposición (EF) es un valor subjetivo expresado como porcentaje de las pérdidas de activos debidas a una amenaza particular. Si se produce una pérdida total, el EF equivale a 1,0 (100%). En el ejemplo cuantitativo, el servidor tiene un valor de activo de USD 15 000. Cuando el servidor falla, ocurre una pérdida total (el EF equivale a 1,0). El valor de activo de USD 15 000 multiplicado por el factor de exposición 1 da como resultado una única expectativa de pérdida de USD 15 000. La tasa de frecuencia anual (ARO) es la probabilidad de que una pérdida ocurra durante el año (también expresada como porcentaje). La ARO puede ser mayor que 100% si una pérdida ocurre más de una vez al año. El cálculo de la expectativa de pérdida anual (ALE) brinda a la gerencia cierta orientación sobre lo que debe gastar para proteger los activos. Análisis de riesgos cualitativo El análisis de riesgos cualitativo utiliza opiniones y situaciones. En la Figura 2 se presenta un ejemplo de la tabla que se usa en el análisis de riesgos cualitativo, que compara la probabilidad de una amenaza con su impacto. Por ejemplo, la amenaza de una falla del servidor puede ser probable, pero su impacto será mínimo. Un equipo evalúa cada amenaza a un activo y la compara con la tabla. El equipo clasifica los resultados y los utiliza como guía. Puede determinar la adopción de medidas solo para las amenazas de la zona roja. Los números utilizados en la tabla no se relacionan directamente con ningún aspecto del análisis. Por ejemplo, un impacto catastrófico de 4 no es mucho peor que un impacto marginal de 2. Este método es subjetivo por naturaleza.
Cybersecurity Essentials - ES 0118
10 7
Mitigación La mitigación implica la reducción de la gravedad de la pérdida o de la probabilidad de ocurrencia de la pérdida. Muchos controles técnicos mitigan el riesgo, incluidos los sistemas de autenticación, los permisos de archivos y los firewalls. La organización y los profesionales de seguridad deben comprender que la mitigación de riesgos puede tener tanto un impacto positivo como negativo en la organización. La buena mitigación de riesgos encuentra un equilibrio entre el impacto negativo de las contramedidas y los controles y el beneficio de la reducción del riesgo. Existen cuatro maneras comunes de reducir el riesgo:
Cybersecurity Essentials - ES 0118
10 8
Aceptar el riesgo y reevaluarlo periódicamente.
Reducir el riesgo mediante la implementación de controles.
Evitar el riesgo modificando completamente el enfoque.
Transferir el riesgo a terceros.
Una estrategia a corto plazo es aceptar el riesgo que necesita la creación de planes de contingencia para dicho riesgo. Las personas y las organizaciones deben aceptar el riesgo diariamente. Las metodologías modernas reducen el riesgo mediante el desarrollo incremental de software y la provisión de parches y actualizaciones periódicas para abordar las vulnerabilidades y los errores de configuración. Los servicios de subcontratación y la adquisición de seguros o contratos de mantenimiento son ejemplos de transferencia del riesgo. Contratar especialistas para realizar las tareas fundamentales a fin de reducir el riesgo puede ser una buena opción y producir mejores resultados con una menor inversión a largo plazo. Un buen plan de mitigación de riesgos puede incluir dos o más estrategias.
Estratificación La defensa en profundidad no proporcionará un blindaje cibernético impenetrable, pero ayudará a una organización a minimizar el riesgo manteniéndose un paso adelante de los ciberdelincuentes. Si hay únicamente una defensa vigente para proteger los datos y la información, los ciberdelincuentes solo deben sortear esa única defensa. Para garantizar la disponibilidad de los datos y la información, una organización debe elaborar distintos niveles de protección. Un enfoque estratificado proporciona la protección más integral. Si los ciberdelincuentes penetran un nivel, aún deben lidiar con varios niveles más, cada uno más complejo que el anterior. La estratificación es la creación de una barrera de múltiples defensas coordinadas para prevenir ataques. Por ejemplo, una organización puede almacenar sus documentos confidenciales en un servidor en un edificio rodeado por una cerca electrónica.
Cybersecurity Essentials - ES 0118
10 9
Restricción Limitar el acceso a los datos y la información reduce la posibilidad de una amenaza. Una organización debe restringir el acceso para que los usuarios solo tengan el nivel de acceso requerido para realizar su trabajo. Por ejemplo, las personas en el departamento de marketing no necesitan acceder a los registros de nómina para realizar sus tareas. Las soluciones basadas en la tecnología, como el uso de permisos de archivos, son una manera de limitar el acceso; una organización también debe implementar medidas procedimentales. Debe haber un procedimiento vigente que prohíba a un empleado eliminar los documentos confidenciales de las instalaciones.
Diversidad Si todos los niveles protegidos fueran iguales, no sería muy difícil que los ciberdelincuentes realicen un ataque exitoso. Por lo tanto, los niveles deben ser diferentes. Si los ciberdelincuentes penetran un nivel, la misma técnica no funcionará en los demás niveles. Infringir un nivel de seguridad no compromete todo el sistema. Una organización puede usar diferentes algoritmos de encriptación o sistemas de autenticación para proteger los datos en distintos estados.
Cybersecurity Essentials - ES 0118
11 0
Para alcanzar el objetivo de la diversidad, las organizaciones pueden utilizar productos de seguridad fabricados por empresas diferentes para la autenticación de varios factores. Por ejemplo, el servidor que contiene los documentos confidenciales se encuentra en una sala cerrada que requiere una tarjeta magnética de una empresa y la autenticación biométrica de otra empresa.
Ocultamiento El ocultamiento de información también puede proteger los datos y la información. Una organización no debe revelar ninguna información que los ciberdelincuentes puedan usar para descubrir qué versión de sistema operativo ejecuta un servidor o el tipo de equipos que usa. Por ejemplo, los mensajes de error no deben contener detalles que los ciberdelincuentes puedan usar para determinar qué vulnerabilidades están presentes. Ocultar ciertos tipos de información hace más difícil que los ciberdelincuentes ataquen un sistema.
Simplicidad La complejidad no necesariamente garantiza la seguridad. Si una organización implementa sistemas complejos difíciles de comprender y solucionar, pueden resultar contraproducentes. Si los empleados no comprenden cómo configurar correctamente una solución compleja, puede resultarles fácil a los ciberdelincuentes comprometer dichos sistemas. Para mantener la disponibilidad, una solución de seguridad debe ser simple internamente, pero compleja externamente.
Puntos de falla únicos Un punto de falla único es una operación crítica dentro de una organización. Otras operaciones pueden depender de éste y las fallas interrumpen su operación fundamental. Un punto de falla único puede ser una pieza especial de hardware, un proceso, una sección de datos específica o incluso una utilidad esencial. Los puntos de falla únicos son los enlaces débiles en la cadena que pueden causar una interrupción en las operaciones de la organización. Generalmente, la solución para un punto de falla único es modificar la operación crítica a fin de que no dependa de un solo elemento. La organización también puede desarrollar componentes redundantes en la operación crítica para controlar el proceso si uno de estos puntos falla.
Redundancia N+1 La redundancia N+1 garantiza la disponibilidad del sistema en caso de una falla de componentes. Los componentes (N) deben tener al menos un componente de respaldo (+1). Por ejemplo, un automóvil tiene cuatro neumáticos (N) y un neumático de repuesto en el baúl en caso de un reventón (+1). En un centro de datos, la redundancia N+1 significa que el diseño del sistema puede soportar la pérdida de un componente. La N se refiere a diferentes componentes que conforman el centro de datos, incluidos servidores, fuentes de alimentación, switches y routers. El +1 es el componente o sistema adicional en espera listo para utilizar si es necesario. Un ejemplo de redundancia N+1 en un centro de datos es un generador de energía que se conecta cuando ocurre algo con la fuente de alimentación principal. Aunque un sistema N+1 contenga equipos redundantes, no es un sistema totalmente redundante.
RAID Una matriz redundante de discos independientes (RAID) combina múltiples unidades de disco duro físicas en una única unidad lógica para proporcionar redundancia de datos y mejorar el rendimiento. La matriz redundante de discos independientes (RAID) toma datos normalmente almacenados en un disco duro y los extiende por varios discos. Si se pierde un disco, el usuario puede recuperar los datos de otros discos donde residen los datos.
Cybersecurity Essentials - ES 0118
11 1
La RAID además puede incrementar la velocidad de la recuperación de datos. El uso de varias unidades permite la rápida recuperación de datos solicitados en lugar de depender de un solo disco para realizar el trabajo. Una solución de RAID puede estar basada en hardware o software. Una solución basada en hardware requiere un controlador de hardware especializado en el sistema que contiene las unidades de RAID. Los siguientes términos describen cómo la RAID almacena los datos en los distintos discos:
Paridad: Detecta errores de datos.
Creación de bandas de datos: Escribe datos en varios discos.
Replicación de disco: Almacena los datos duplicados en una segunda unidad.
Hay varios niveles de RAID disponibles, como se muestra en la figura. Haga clic aquí para ver un tutorial del nivel de RAID que explica la tecnología de RAID.
Cybersecurity Essentials - ES 0118
11 2
Árbol de expansión La redundancia aumenta la disponibilidad de la infraestructura protegiendo la red de un punto de falla único, como un cable de red o un switch defectuosos. Cuando los diseñadores incorporan la redundancia física en una red, se producen bucles y tramas duplicadas. Esto trae consecuencias graves para las redes conmutadas. El protocolo de árbol de expansión (STP) resuelve estos problemas. La función básica del STP es evitar bucles en la red cuando los switches se interconectan a través de varias rutas. El STP garantiza que los enlaces físicos redundantes estén libres de bucles. Garantiza que solo haya una ruta lógica entre todos los destinos en la red. El STP bloquea intencionalmente las rutas redundantes que pueden generar un bucle.
Cybersecurity Essentials - ES 0118
11 3
El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red. Las rutas físicas aún existen para proporcionar redundancia, pero el STP deshabilita estas rutas para evitar que se generen bucles. Si un switch o cable de red falla, el STP recalcula las rutas y desbloquea los puertos necesarios para permitir que la ruta redundante se active. Haga clic en Reproducir en la figura para ver el STP cuando ocurre una falla:
La PC1 envía una transmisión a la red.
El enlace troncal entre el S2 y el S1 falla, lo que da como resultado una interrupción en la ruta original.
El S2 desbloquea el puerto que se había bloqueado anteriormente para Trunk2 y permite que el tráfico de difusión atraviese la ruta alternativa alrededor de la red, lo que permite que continúe la comunicación.
Si el enlace entre el S2 y el S1 tiene copia de respaldo, el STP bloquea el enlace entre el S2 y el S3.
Redundancia del router El gateway predeterminado generalmente es el router que proporciona acceso a los dispositivos al resto de la red o Internet. Si solo hay un router como gateway predeterminado, hay un punto de falla único. La organización puede elegir instalar un router de suspensión adicional.
Cybersecurity Essentials - ES 0118
11 4
En la Figura 1, el router de transmisión y el router de suspensión utilizan un protocolo de redundancia para determinar qué router debe tener un rol activo en el reenvío de tráfico. Cada router está configurado con una dirección IP física y una dirección IP de router virtual. Los terminales usan la dirección IP virtual como gateway predeterminado. El router de transmisión escucha el tráfico que se dirige a 192.0.2.100. El router de transmisión y el router de suspensión utilizan sus direcciones IP físicas para enviar mensajes periódicos. El objetivo de estos mensajes es asegurarse de que ambos sigan en línea y disponibles. Si el router de suspensión no recibe más estos mensajes periódicos del router de transmisión, el router de suspensión asume el rol de transmisión, como se muestra en la Figura 2. La capacidad que tiene una red para recuperarse dinámicamente de la falla de un dispositivo que funciona como gateway predeterminado se conoce como “redundancia de primer salto”.
Cybersecurity Essentials - ES 0118
11 5
Cybersecurity Essentials - ES 0118
11 6
Opciones de redundancia de router La siguiente lista define las opciones disponibles para la redundancia de router según el protocolo que define la comunicación entre los dispositivos de red:
Protocolo de router de reserva activa (HSRP): el HSRP proporciona alta disponibilidad de red mediante una redundancia de routing de primer salto. Un grupo de routers utiliza el HSRP para seleccionar un dispositivo activo y un dispositivo en espera. En un grupo de interfaces de dispositivos, el dispositivo activo es el dispositivo que enruta los paquetes; el dispositivo en espera es el dispositivo que toma el control cuando falla el dispositivo activo. La función del router de suspensión del HSRP es controlar el estado operativo del grupo de HSRP y asumir rápidamente la responsabilidad de reenvío de paquetes si falla el router activo.
Protocolo de redundancia de router virtual (VRRP): el router de VRRP ejecuta el VRRP junto con uno o más routers conectados a la LAN. En la configuración del VRRP, el router elegido es el router virtual maestro y los otros routers actúan como respaldo en caso de que falle el router virtual maestro.
Protocolo de equilibrio de carga de gateway (GLBP): el GLBP protege el tráfico de datos contra fallas del router o el circuito, como HSRP y VRRP, y permite el equilibrio de carga (también denominado uso compartido de carga) entre un grupo de routers redundantes.
Redundancia de la ubicación Una organización debe considerar la redundancia de la ubicación según sus necesidades. A continuación se describen tres formas de redundancia de la ubicación. Sincrónica
Sincroniza ambas ubicaciones en tiempo real.
Requiere el uso intensivo de ancho de banda.
Las ubicaciones deben estar juntas para reducir la latencia.
Replicación asíncrona
Sincronizada en tiempo casi real.
Requiere menos ancho de banda.
Los sitios pueden estar separados porque la latencia no representa un problema.
Replicación en un punto determinado
Actualiza la ubicación de los datos de copia de respaldo periódicamente.
La mayor parte del ancho de banda es conservadora porque no requiere una conexión constante.
El equilibrio correcto entre el costo y la disponibilidad determinará la opción adecuada para una organización.
Cybersecurity Essentials - ES 0118
11 7
Diseño de recuperabilidad La recuperabilidad son los métodos y las configuraciones utilizados para hacer que un sistema o una red sean tolerantes a las fallas. Por ejemplo, una red puede tener enlaces redundantes entre los switches que ejecutan el STP. Si bien el STP ofrece una ruta alternativa a través de la red en caso de que falle un enlace, es posible que el intercambio no sea inmediato si la configuración no es óptima. Los protocolos de routing también ofrecen recuperabilidad, pero el ajuste puede mejorar el intercambio de manera tal que los usuarios de la red no lo notarán. Los administradores deben investigar las configuraciones no predeterminadas en una red de prueba para ver si pueden mejorar los tiempos de recuperación de la red. El diseño robusto es más que solo añadir redundancia. Es fundamental comprender las necesidades empresariales de la organización e incorporar la redundancia para crear una red recuperable.
Recuperabilidad de la aplicación La recuperabilidad de la aplicación es la capacidad de la aplicación para reaccionar ante los problemas en uno de sus componentes mientras aún funcionan. El tiempo de inactividad se debe a las fallas ocasionadas por los errores de aplicación o a las fallas de la infraestructura. Un administrador eventualmente deberá cerrar las aplicaciones para colocar parches, actualizar las versiones o implementar nuevas características. El tiempo de inactividad también puede ser el resultado de la corrupción de los datos, las fallas de los equipos, los errores de las aplicaciones y los errores humanos. Muchas organizaciones intentan equilibrar el costo de lograr la recuperabilidad de la infraestructura de las aplicaciones con el costo de perder clientes o negocios debido a una falla de las aplicaciones. La alta disponibilidad de las aplicaciones es compleja y costosa. La figura muestra tres soluciones disponibles para abordar la recuperabilidad de las aplicaciones. A medida que aumenta el factor de disponibilidad de cada solución, también aumentan la complejidad y el costo.
Recuperabilidad del IOS El sistema operativo interfuncional (IOS) para los routers y switches de Cisco incluye una función de configuración de recuperabilidad. Permite una recuperación más rápida si alguien maliciosa o inintencionadamente reformatea la memoria flash o borra el archivo de configuración de inicio. La función mantiene una copia de funcionamiento segura del archivo de imagen del IOS del router y una copia del archivo de configuración en ejecución. El usuario no puede eliminar estos archivos seguros también conocidos como bootset primario. Los comandos que se muestran en la figura protegen el archivo de configuración en ejecución e imagen del IOS.
Cybersecurity Essentials - ES 0118
11 8
Preparación La respuesta ante los incidentes es el procedimiento que una organización sigue después de que ocurre un evento fuera del rango normal. Una violación de datos divulga información a un entorno poco confiable. Una violación de datos puede ocurrir como resultado de un acto accidental o intencional. Una violación de datos se produce cada vez que una persona no autorizada copia, transmite, mira, roba o accede a información confidencial. Cuando ocurre un incidente, la organización debe saber cómo responder. Una organización debe desarrollar un plan de respuesta ante los incidentes y constituir un equipo de respuesta ante los incidentes de seguridad informática (CSIRT) para administrar la respuesta. El equipo lleva a cabo las siguientes funciones:
Mantiene el plan de respuesta ante los incidentes.
Garantiza que sus miembros conozcan el plan.
Prueba el plan.
Obtiene la aprobación del plan por parte de la gerencia.
El CSIRT puede ser un grupo establecido dentro de la organización o uno ad hoc. El equipo sigue un conjunto de pasos predeterminados para asegurarse de que el enfoque sea uniforme y no saltearse ningún paso. Los CSIRT nacionales supervisan el manejo de incidentes de un país.
Detección y análisis La detección comienza cuando alguien detecta un incidente. Las organizaciones pueden adquirir los sistemas de detección más sofisticados; sin embargo, si los administradores no revisan los registros ni supervisan las alertas, los sistemas son inútiles. La detección adecuada incluye la forma en que se
Cybersecurity Essentials - ES 0118
11 9
produce el incidente, los datos involucrados y los sistemas implicados. La notificación de una violación se envía a la alta gerencia y los gerentes encargados de los datos y sistemas para que participen en la corrección y reparación. La detección y el análisis incluyen lo siguiente:
Alertas y notificaciones
Supervisión y seguimiento
El análisis de incidentes ayuda a identificar el origen, la medida, el impacto y los detalles de una violación de datos. Es posible que la organización deba decidir si debe convocar un equipo de expertos para realizar la investigación de informática forense.
Contención, erradicación y recuperación Los esfuerzos de contención incluyen las acciones inmediatas realizadas, por ejemplo, la desconexión de un sistema de la red para evitar una filtración de la información. Después de identificar la amenaza, la organización debe contenerla y erradicarla. Esto puede requerir tiempo de inactividad adicional para los sistemas. La etapa de recuperación incluye las acciones que una organización debe llevar a cabo para resolver la violación y restaurar los sistemas involucrados. Después de la corrección, la organización debe restaurar todos los sistemas a su estado original antes de la violación.
Seguimiento posterior a los incidentes Después de restablecer todas las operaciones al estado normal, la organización debe buscar la causa del incidente y responder las siguientes preguntas:
¿Qué acciones evitarán que vuelva a ocurrir el incidente?
¿Qué medidas preventivas deben reforzarse?
¿Cómo puede mejorar el control del sistema?
¿Cómo puede minimizar el tiempo de inactividad durante las fases de contención, erradicación y recuperación?
¿Cómo puede la administración minimizar el impacto en el negocio?
Revisar las lecciones aprendidas ayuda a la organización a prepararse mejor optimizando el plan de respuesta ante los incidentes.
Control de admisión de redes El propósito del control de admisión de redes (NAC) es permitir que los usuarios autorizados con sistemas compatibles accedan a la red. Un sistema compatible cumple todos los requisitos de las políticas de la organización. Por ejemplo, una PC portátil que forma parte de una red inalámbrica doméstica no puede conectarse remotamente a la red corporativa. El NAC evalúa un dispositivo entrante frente a las políticas de la red. El NAC también coloca en cuarentena los sistemas que no cumplen y administra su corrección. Un marco de trabajo del NAC puede utilizar la infraestructura de red existente y software de terceros para imponer el cumplimiento de las políticas de seguridad para todos los terminales. Alternativamente, un dispositivo de NAC controla el acceso a la red, evalúa el cumplimiento y aplica la política de seguridad. Las comprobaciones de los sistemas de NAC comunes incluyen: 1. Detección actualizada de virus.
Cybersecurity Essentials - ES 0118
12 0
2. Actualizaciones y parches de los sistemas operativos. 3. Aplicación de contraseñas complejas.
Sistemas de detección de intrusiones Los sistemas de detección de intrusiones (IDS) supervisan de forma pasiva el tráfico en la red. La figura muestra que un dispositivo habilitado para el IDS copia el flujo de tráfico y analiza el tráfico copiado en lugar de los paquetes realmente reenviados. Al trabajar sin conexión, se compara el flujo de tráfico capturado con firmas maliciosas conocidas de manera similar al software que verifica la existencia de un virus. Trabajar sin conexión significa varias cosas:
Los IDS trabajan pasivamente.
El dispositivo del IDS se encuentra físicamente en la red, por lo que el tráfico debe replicarse.
El tráfico de red no pasa por los IDS, a menos que esté replicado.
Pasivamente significa que los IDS supervisan e informan el tráfico. No adoptan ninguna medida. Esta es la definición de operar en modo promiscuo. La ventaja de operar con una copia del tráfico es que el IDS no afecta negativamente el flujo de paquetes del tráfico reenviado. La desventaja de operar con una copia del tráfico es que el IDS no puede evitar que los ataques maliciosos a un único paquete alcancen el objetivo antes de responder al ataque. Un IDS a menudo requiere la asistencia de otros dispositivos de red, como routers y firewalls, para responder a un ataque. Una mejor solución es utilizar un dispositivo que pueda detectar y detener inmediatamente un ataque. Un sistema de prevención de intrusiones (IPS) realiza esta función.
Cybersecurity Essentials - ES 0118
12 1
Sistemas de prevención de intrusiones Un IPS se basa en la tecnología del IDS. Sin embargo, un dispositivo del IPS opera en el modo en línea. Esto significa que todo el tráfico entrante y saliente debe pasar por éste para su procesamiento. Como se muestra en la figura, el IPS no permite que los paquetes ingresen en el lado confiable de la red, a menos que haya analizado los paquetes. Puede detectar y abordar inmediatamente un problema de red. Un IPS supervisa el tráfico de red. Analiza el contenido y la carga útil de los paquetes en busca de ataques integrados más sofisticados que puedan incluir datos maliciosos. Algunos sistemas utilizan una combinación de tecnologías de detección, entre ellas, detección de intrusiones basada en análisis de protocolos, firmas y perfiles. Este análisis más exhaustivo permite al IPS identificar, detener y bloquear ataques que pasarían a través de un dispositivo tradicional de firewall. Cuando un paquete ingresa a través de una interfaz en un IPS, la interfaz saliente o de confianza no recibe el paquete hasta que el IPS lo analiza. La ventaja de operar en el modo en línea es que el IPS puede evitar que los ataques a un único paquete alcancen el sistema objetivo. La desventaja es que un IPS mal configurado puede afectar negativamente el flujo de paquetes del tráfico reenviado. La diferencia más importante entre el IDS y el IPS es que el IPS responde inmediatamente y no permite el paso del tráfico malicioso, mientras que el IDS permite que el tráfico malicioso pase antes de abordar el problema.
Cybersecurity Essentials - ES 0118
12 2
NetFlow e IPFIX NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que atraviesan un router o switch multicapa de Cisco. NetFlow es el estándar para recopilar datos operativos de las redes. El grupo de trabajo de ingeniería de Internet (IETF) usa NetFlow (versión 9) de Cisco como base para la exportación de datos de flujo de IP (IPFIX). La IPFIX es un formato estándar de exportación de la información basada en routers sobre flujos de tráfico de red a los dispositivos de recopilación de datos. La IPFIX funciona en los routers y las aplicaciones de administración que admiten el protocolo. Los administradores de red pueden exportar la información de tráfico de red de un router y utilizar esta información para optimizar el rendimiento de la red. Las aplicaciones que admiten la IPFIX pueden mostrar estadísticas de los routers que admiten el estándar. La recopilación, el almacenamiento, el análisis y la información agregada proporcionada por los dispositivos que admiten la IPFIX ofrecen los siguientes beneficios:
Protegen la red de amenazas internas y externas.
Solucionan fallas en la red de manera rápida y precisa.
Analizan los flujos de red para planificar la capacidad.
Cybersecurity Essentials - ES 0118
12 3
Haga clic aquí para ver el video sobre cómo NetFlow de Cisco contribuye a la detección de amenazas de seguridad.
Inteligencia de amenazas avanzada La inteligencia de amenazas avanzada puede ayudar a las organizaciones a detectar ataques antes o durante una de las etapas de ciberataque con la información correcta. Las organizaciones pueden detectar los indicadores de ataque en los informes de los sistemas y registros para las siguientes alertas:
Bloqueos de cuentas
Todos los eventos de la base de datos
Creación y eliminación de activos
Modificación de la configuración de los sistemas
La inteligencia de amenazas avanzada es un tipo de evento o dato de perfil que puede contribuir al monitoreo y la respuesta de la seguridad. A medida que los ciberdelincuentes se vuelven más sofisticados, es importante comprender las maniobras de malware. Con una visibilidad mejorada de las metodologías de ataque, una organización puede responder más rápidamente a los incidentes.
Cybersecurity Essentials - ES 0118
12 4
Tipos de desastres Es fundamental mantener la organización en funcionamiento cuando se produce un desastre. Un desastre incluye cualquier evento de causa natural o humana que daña los activos o la propiedad y perjudica la capacidad de la organización para seguir operando. Desastres naturales Los desastres naturales varían según la ubicación. Algunos de estos eventos son difíciles de predecir. Los desastres naturales se dividen en las siguientes categorías:
Los desastres geológicos incluyen terremotos, derrumbamientos, erupciones volcánicas y tsunamis.
Los desastres meteorológicos incluyen huracanes, tornados, tormentas de nieve, rayos y granizo.
Los desastres sanitarios incluyen enfermedades generalizadas, cuarentenas y pandemias.
Cybersecurity Essentials - ES 0118
12 5
Los desastres variados incluyen incendios, inundaciones, tormentas solares y avalanchas.
Desastres provocados por el hombre Los desastres provocados por el hombre implican personas u organizaciones y se dividen en las siguientes categorías:
Los eventos laborales incluyen huelgas, paros y recesiones.
Los eventos políticos incluyen vandalismo, bloqueos, protestas, sabotaje, terrorismo y guerra.
Los eventos materiales incluyen derrames e incendios peligrosos.
Las interrupciones de los servicios incluyen cortes de electricidad, interrupciones en las comunicaciones, escasez de combustible y lluvia radiactiva.
Haga clic aquí para ver fotos satelitales de Japón antes y después del terremoto y tsunami de 2011.
Plan de recuperación tras un desastre Una organización pone su plan de recuperación tras un desastre (DRP) en acción mientras el desastre está en curso y los empleados intentan proteger los sistemas críticos en línea. El DRP incluye actividades que la organización lleva a cabo para evaluar, recuperar, reparar y restaurar las instalaciones y los activos dañados. Para crear el DRP, responda las siguientes preguntas:
¿Quién es responsable de este proceso?
¿Qué necesita la persona para realizar el proceso?
¿Dónde realiza la persona el proceso?
¿Cuál es el proceso?
¿Por qué es importante el proceso?
Un DRP debe identificar qué procesos de la organización son más importantes. Durante el proceso de recuperación, la organización restaura primero sus sistemas críticos.
Implementación de controles de recuperación tras un desastre Los controles de recuperación tras un desastre minimizan los efectos de un desastre para garantizar que los recursos y procesos empresariales puedan reanudar la operación. Existen tres tipos de controles de recuperación tras un desastre de TI:
Las medidas preventivas incluyen controles que impiden que ocurra un desastre. Estas medidas buscan identificar los riesgos.
Las medidas de detección incluyen controles que detectan eventos no deseados. Estas medidas descubren nuevas posibles amenazas.
Las medidas correctivas incluyen controles que restauran el sistema después de un evento o desastre.
Cybersecurity Essentials - ES 0118
12 6
Haga clic en los controles en la figura para ver ejemplos de cada uno.
Necesidad de la continuidad de los negocios La continuidad de los negocios es uno de los conceptos más importantes de la seguridad informática. Por más que las empresas hagan lo que esté a su alcance para evitar desastres y pérdidas de datos, es imposible predecir cada escenario posible. Es importante para las empresas tener planes vigentes que garanticen la continuidad de los negocios independientemente de lo que pueda ocurrir. Un plan de continuidad empresarial es un plan más amplio que el DRP, dado que incluye el envío de sistemas críticos a otra ubicación mientras la reparación de la instalación original está en curso. El personal continúa realizando todos los procesos empresariales de manera alternativa hasta que se reanudan las operaciones normales. La disponibilidad garantiza que los recursos necesarios para mantener vigente una organización sigan estando disponibles para el personal y los sistemas que dependen de ellos.
Consideraciones de la continuidad de los negocios Los controles de continuidad de los negocios son mucho más que una simple copia de respaldo de los datos y redundancia del hardware. Las organizaciones necesitan empleados para configurar y operar correctamente los sistemas. Los datos pueden ser irrelevantes hasta que proporcionan información. Una organización debe tener en cuenta lo siguiente:
La colocación de las personas adecuadas en los lugares correctos.
La configuración de la documentación.
El establecimiento de canales de comunicación alternativos de voz y datos.
El suministro eléctrico.
La identificación de todas las dependencias para las aplicaciones y los procesos para su correcta comprensión.
La comprensión de cómo realizar las tareas automatizadas manualmente.
Mejores prácticas de la continuidad de los negocios Como se muestra en la figura, el Instituto Nacional de Normas y Tecnología (NIST) desarrolló las siguientes mejores prácticas: 1. Escribir una política que brinde orientación para desarrollar un plan de continuidad empresarial y asigne roles para realizar las tareas. 2. Identificar los procesos y sistemas críticos y darles prioridad según sea necesario. 3. Identificar vulnerabilidades, amenazas y calcular riesgos. 4. Identificar e implementar controles y contramedidas para reducir el riesgo. 5. Elaborar métodos para recuperar rápidamente los sistemas críticos. 6. Escribir procedimientos para mantener la organización en funcionamiento durante un estado caótico. 7. Probar el plan.
Cybersecurity Essentials - ES 0118
12 7
8. Actualizar el plan regularmente.
Resumen Capítulo 6: El reino de los cinco nueves Este capítulo comienza explicando el concepto de los cinco nueves, un estándar de alta disponibilidad que permite 5,26 minutos de tiempo de inactividad anuales. El capítulo analiza los diferentes enfoques que las organizaciones adoptan para garantizar la disponibilidad del sistema. Un diseño sólido del sistema incluye la incorporación de medidas que proporcionan redundancia y recuperabilidad para que una organización pueda recuperarse rápidamente y continuar operando. El capítulo además analiza cómo una organización responde a un incidente estableciendo los procedimientos para seguir tras la ocurrencia de un evento. El capítulo concluye con un análisis de la recuperación tras un desastre y la planificación de la continuidad de los negocios.
Cybersecurity Essentials - ES 0118
12 8
Capítulo 7: Protección del reino La protección del reino es un proceso continuo para proteger la infraestructura de red de una organización. Requiere que las personas permanezcan constantemente alerta a las amenazas contra el reino y adopten medidas para evitar cualquier riesgo. Este capítulo analiza las tecnologías, los procesos y los procedimientos que los paladines cibernéticos utilizan para proteger los sistemas, dispositivos y datos que conforman la infraestructura de red. Una red es apenas tan segura como su enlace más débil. Es importante proteger los terminales que residen en la red. La seguridad de los terminales incluye la protección de los dispositivos de infraestructura de red en la red de área local (LAN) y los sistemas finales, como las estaciones de trabajo, los servidores, los teléfonos IP y los puntos de acceso. La protección de los dispositivos es una tarea fundamental para la seguridad de la red. Implica la implementación de métodos comprobados de protección física de los dispositivos de red. Algunos de estos métodos implican el acceso administrativo seguro, el mantenimiento de las contraseñas y la implementación de comunicaciones seguras.
Seguridad del sistema operativo El sistema operativo desempeña un rol importante en la operación de un sistema informático y es el objetivo de muchos ataques. La seguridad del sistema operativo tiene un efecto en cascada en la seguridad general de un sistema informático. Un administrador protege un sistema operativo mediante la modificación de la configuración predeterminada para que sea más seguro frente a las amenazas externas. Este proceso incluye la eliminación de servicios y programas innecesarios. Otro requisito crítico de la protección de los sistemas operativos es la aplicación de actualizaciones y parches de seguridad. Las actualizaciones y los parches de seguridad son correcciones que las empresas lanzan en su esfuerzo por mitigar las vulnerabilidades y corregir las fallas de sus productos. Una organización debe tener un enfoque sistemático vigente para abordar las actualizaciones de sistemas mediante:
El establecimiento de procedimientos para monitorear la información relacionada con la seguridad.
La evaluación de las actualizaciones respecto de su aplicabilidad.
La planificación de la instalación de actualizaciones y parches en las aplicaciones.
La instalación de actualizaciones mediante un plan documentado.
Otro requisito fundamental para proteger los sistemas operativos es identificar posibles vulnerabilidades. Esto puede lograrse mediante el establecimiento de una línea de base. Establecer una línea de base permite al administrador hacer una comparación de cómo funciona un sistema frente a las expectativas de la línea de base. El analizador de seguridad de la línea de base de Microsoft (MBSA) evalúa los errores de configuración y las actualizaciones de seguridad que faltan en Microsoft Windows. El MBSA comprueba las contraseñas en blanco, simples o inexistentes, la configuración del firewall, el estado de las cuentas de usuario temporal, los detalles de la cuenta de administrador, la auditoría de eventos de seguridad, los servicios innecesarios, los intercambios de red y las configuraciones de registros. Después de reforzar el sistema operativo, el administrador crea políticas y procedimientos para mantener un alto nivel de seguridad.
Cybersecurity Essentials - ES 0118
12 9
Protección contra malware El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y adware. Todos invaden la privacidad, roban información, dañan el sistema o eliminan y corrompen datos. Es importante proteger las computadoras y los dispositivos móviles usando software de antimalware de confianza. Los siguientes tipos de software de antimalware se encuentran disponibles:
Protección antivirus: El programa monitorea continuamente en busca de virus. Cuando detecta un virus, el programa advierte al usuario e intenta poner en cuarentena o eliminar el virus, como se muestra en la Figura 1.
Protección contra adware: El programa busca continuamente programas que muestren anuncios publicitarios en la computadora.
Protección contra la suplantación de identidad: El programa bloquea las direcciones IP de sitios web conocidos que realizan la suplantación de identidad y avisa al usuario acerca de los sitios sospechosos.
Protección contra spyware: El programa busca registradores de teclado y otro tipo de spyware.
Fuentes confiables y no confiables: el programa advierte al usuario sobre programas inseguros que intentan instalarse o sitios web inseguros antes de que un usuario los visite.
Es posible que deban utilizarse varios programas distintos y múltiples análisis para eliminar todo el software malicioso por completo. Ejecute solo un programa de protección contra malware a la vez. Varias organizaciones con experiencia en seguridad, como McAfee, Symantec y Kaspersky, ofrecen protección contra malware integral para computadoras y dispositivos móviles. Tenga cuidado con los productos antivirus falsos maliciosos que puedan aparecer mientras navega por Internet. La mayoría de estos productos antivirus falsos muestra un anuncio o un elemento emergente que luce como un mensaje de advertencia real de Windows, como se muestra en la Figura 2. Usualmente indican que la computadora está siendo infectada por malware e instan al usuario a eliminarlo. Al hacer clic en cualquier lugar dentro de la ventana, comienza la descarga e instalación del malware.
Cybersecurity Essentials - ES 0118
13 0
El software no aprobado o indebido no es solo el software instalado involuntariamente en una computadora. También puede provenir de usuarios que quisieron instalarlo. Puede que no sea malicioso, pero aún puede infringir la política de seguridad. Este tipo de sistema indebido puede interferir en el software de la empresa o los servicios de red. Los usuarios deben eliminar el software no autorizado inmediatamente.
Administración de parches Los parches son actualizaciones de códigos que proporcionan los fabricantes para evitar que un virus o gusano recientemente descubierto logre atacar con éxito. Periódicamente, los fabricantes combinan parches y actualizaciones en una aplicación de actualización integral denominada paquete de servicios. Numerosos ataques de virus devastadores podrían haber sido mucho menos graves si más usuarios hubieran descargado e instalado el último paquete de servicios. Windows verifica sistemáticamente el sitio web de Windows Update en busca de actualizaciones de alta prioridad que ayuden a proteger una computadora de las amenazas de seguridad más recientes. Estas actualizaciones incluyen actualizaciones de seguridad, actualizaciones críticas y paquetes de servicios. Según la configuración seleccionada, Windows descarga e instala automáticamente todas las actualizaciones de alta prioridad que la computadora necesita o notifica al usuario que dichas actualizaciones están disponibles. Es posible que algunas organizaciones quieran probar un parche antes de implementarlo en la organización. La organización utilizará un servicio para administrar los parches localmente en lugar de usar el servicio de actualización en línea del proveedor. Los beneficios de utilizar un servicio de actualización de parches automatizado incluyen lo siguiente:
Los administradores pueden aprobar o rechazar las actualizaciones.
Los administradores pueden imponer la actualización de los sistemas para una fecha específica.
Los administradores pueden obtener informes sobre la actualización necesaria para cada sistema.
No es necesario conectar todas las computadoras al servicio del proveedor para descargar parches; un sistema obtiene la actualización de un servidor local.
Los usuarios no pueden desactivar ni eludir las actualizaciones.
El servicio de parches automatizado proporciona a los administradores una configuración más controlada.
Firewalls basados en el host y sistemas de detección de intrusiones Una solución basada en el host es una aplicación de software que se ejecuta en una computadora host local para protegerla. El software funciona con el sistema operativo para prevenir ataques. Firewalls basados en el host Un firewall de software es un programa que se ejecuta en una computadora para permitir o impedir el tráfico entre la computadora y otras computadoras conectadas. El firewall de software aplica un conjunto de reglas a las transmisiones de datos mediante la inspección y el filtrado de paquetes de datos. El firewall de Windows es un ejemplo de firewall de software. El sistema operativo Windows lo instala de manera predeterminada en la instalación. El usuario puede controlar el tipo de datos enviados hacia y desde la computadora abriendo o bloqueando los puertos seleccionados. Los firewalls bloquean las conexiones de red entrantes y salientes, a menos que se definan excepciones para abrir y cerrar los puertos que necesita un programa. En la Figura 1, el usuario selecciona Reglas de entrada para configurar los tipos de tráfico permitidos en el sistema. Configurar las reglas de entrada ayudará a proteger el sistema contra el tráfico no deseado.
Cybersecurity Essentials - ES 0118
13 1
Sistemas de detección de intrusiones basado en el host Un sistema de detección de intrusiones basado en el host (HIDS) es un software que se ejecuta en una computadora host para monitorear la actividad sospechosa. Cada servidor o sistema de escritorio que exige protección debe contar con el software instalado como se muestra en la Figura 2. El HIDS monitorea las llamadas del sistema y el acceso al sistema de archivos para asegurarse de que las solicitudes no sean el resultado de actividades maliciosas. También controla los parámetros de registro del sistema. El registro conserva la información de la configuración de la computadora. El HIDS almacena todos los datos de registro localmente. El rendimiento del sistema puede verse afectado debido a su uso intensivo de los recursos. Un sistema de detección de intrusiones basado en el host no puede supervisar el tráfico de red que no alcanza el sistema host, pero puede monitorear los procesos del sistema crítico y el sistema operativo específicos del host.
Comunicaciones seguras Al conectarse a la red local y compartir archivos, la comunicación entre las computadoras permanece dentro de la red. Los datos permanecen seguros porque están fuera de otras redes e Internet. Para comunicar y compartir recursos por una red que no es segura, los usuarios emplean una red privada virtual (VPN). Una VPN es una red privada que conecta sitios o usuarios remotos a través de una red pública, como Internet. El tipo más común de VPN accede a una red privada corporativa. La VPN utiliza conexiones seguras dedicadas enrutadas a través de Internet desde la red privada corporativa hasta el usuario remoto. Al conectarse a la red privada corporativa, los usuarios se convierten en parte de dicha red y tienen acceso a todos los servicios y recursos, como si estuvieran físicamente conectados a la LAN corporativa. Los usuarios de acceso remoto deben tener un cliente de VPN instalado en sus computadoras para establecer una conexión segura con la red privada corporativa. El software de cliente de VPN cifra los datos antes de enviarlos al gateway de VPN de la red privada corporativa a través de Internet. Los gateways de VPN establecen, administran y controlan las conexiones de VPN, también denominadas túneles de VPN. Los sistemas operativos incluyen un cliente de VPN que el usuario configura para una conexión de VPN.
WEP Uno de los componentes más importantes de la informática moderna son los dispositivos móviles. La mayoría de los dispositivos presentes hoy en día en la red son PC portátiles, tablets, smartphones y otros dispositivos inalámbricos. Los dispositivos móviles transmiten datos mediante señales de radio que cualquier dispositivo con una antena compatible puede recibir. Por este motivo, la industria informática ha desarrollado un conjunto de dispositivos, productos y estándares de seguridad inalámbrica o móvil. Estos estándares encriptan la información transmitida a través de ondas de radio por los dispositivos móviles. La privacidad equivalente por cable (WEP) es uno de los primeros y más utilizados estándares de seguridad Wi-Fi. El estándar de WEP brinda protecciones de encriptación y autenticación. Los estándares de WEP son obsoletos, pero muchos dispositivos aún admiten la WEP para la compatibilidad retrospectiva. El estándar de WEP se convirtió en un estándar de seguridad Wi-Fi en 1999 cuando las comunicaciones inalámbricas comenzaban a hacerse populares. A pesar de las revisiones al estándar y el incremento del tamaño de la clave, la WEP sufrió numerosas debilidades de seguridad. Los ciberdelincuentes podían descifrar las contraseñas de WEP en minutos con el software gratuito disponible. Pese a las mejoras, la WEP sigue siendo muy vulnerable y los usuarios deben actualizar los sistemas que dependen de la WEP.
WPA/WPA2 La siguiente mejora importante a la seguridad inalámbrica fue la introducción del WPA y WPA2. El acceso protegido a Wi-Fi (WPA) fue la respuesta del sector informático a las debilidades del estándar de WEP. La configuración más común del WPA es WPA-PSK (clave precompartida). Las claves utilizadas por el WPA
Cybersecurity Essentials - ES 0118
13 2
son de 256 bits, un aumento significativo respecto de las claves de 64 y 128 bits empleadas por el sistema de WEP. El estándar de WPA proporcionó varias mejoras de seguridad. Primero, el WPA proporcionó controles de integridad de mensajes (MIC) que podían detectar si un atacante había capturado y alterado los datos que pasaban entre el punto de acceso inalámbrico y un cliente inalámbrico. Otro avance de la seguridad de las claves fue el protocolo de integridad de la clave temporal (TKIP). El estándar de TKIP mejoró la capacidad para manejar, proteger y modificar las claves de cifrado. La norma de cifrado avanzado (AES) reemplazó el TKIP para una mejor protección de la administración y cifrado de claves. El WPA, como su predecesor WEP, incluyó varias vulnerabilidades ampliamente reconocidas. Como resultado, el lanzamiento del estándar de acceso protegido a Wi-Fi II (WPA2) tuvo lugar en el año 2006. Una de las mejoras más importantes en la seguridad del WPA al WPA2 fue el uso obligatorio de los algoritmos de la AES y la introducción del modo de cifrado inverso con protocolo de código de autenticación de mensajes encadenados en bloques (CCM) como reemplazo del TKIP.
Autenticación mutua Una de las grandes vulnerabilidades de las redes inalámbricas es el uso de puntos de acceso falsos. Los puntos de acceso son dispositivos que se comunican con los dispositivos inalámbricos y se conectan a la red cableada. Todo dispositivo que tenga un transmisor inalámbrico y una interfaz cableada a una red pueden actuar potencialmente como puntos de acceso no autorizados o falsos. El punto de acceso falso puede imitar un punto de acceso autorizado. El resultado es que los dispositivos inalámbricos de la red inalámbrica se comunican con el punto de acceso falso en lugar del punto de acceso autorizado. El impostor puede recibir solicitudes de conexión, copiar los datos de la solicitud y transmitir los datos al punto de acceso a la red autorizado. Este tipo de ataque de intermediarios es muy difícil de detectar y puede generar el robo de las credenciales de inicio de sesión y los datos transmitidos. Para evitar los puntos de acceso falsos, el sector informático desarrolló la autenticación mutua. La autenticación mutua, también llamada autenticación de dos vías, es un proceso o una tecnología donde ambas entidades en un enlace de comunicación se autentican unas a otras. En un entorno de red inalámbrica, el cliente autentica el punto de acceso y el punto de acceso autentica el cliente. Esta mejora permitió a los clientes detectar puntos de acceso falsos antes de conectarse al dispositivo no autorizado.
Cybersecurity Essentials - ES 0118
13 3
Control de acceso a los archivos Los permisos son las reglas configuradas para limitar el acceso a una carpeta o un archivo a una persona o un grupo de usuarios. La figura enumera los permisos que están disponibles para archivos y carpetas. Principio de privilegios mínimos Debe limitarse el acceso de los usuarios únicamente a los recursos que necesitan de un sistema informático o una red. Por ejemplo, no deberían poder acceder a todos los archivos en un servidor si solo necesitan acceso a una carpeta. Si bien puede resultar más sencillo permitir el acceso de los usuarios a toda la unidad, es más seguro limitar el acceso solo a la carpeta que necesitan para realizar su trabajo. Esto se conoce como principio de privilegios mínimos. Limitar el acceso a los recursos también permite evitar el acceso de programas malintencionados a dichos recursos en caso de que se infecte la computadora del usuario. Restricción de los permisos de usuario Si un administrador deniega los permisos a un intercambio de red para una persona o un grupo, esta denegación anula cualquier otra configuración de permisos. Por ejemplo, si un administrador le niega el permiso de acceso a un intercambio de red a una persona, el usuario no podrá acceder a este intercambio aunque sea el administrador o forme parte del grupo de administradores. La política de seguridad local debe describir los recursos a los que puede acceder cada usuario y cada grupo y el tipo de acceso para cada uno. Cuando un usuario cambia los permisos de una carpeta, tiene la opción de aplicar los mismos permisos a todas las subcarpetas. Esto se conoce como propagación de permisos. La propagación de permisos es una forma sencilla de aplicar permisos a muchos archivos y carpetas rápidamente. Una vez que se establecen los permisos de la carpeta principal, las carpetas y los archivos que se crean dentro de ésta heredan sus permisos. Además, la ubicación de los datos y la acción realizada en los datos determinan la propagación de los permisos:
Cybersecurity Essentials - ES 0118
13 4
Los datos que se transmiten al mismo volumen mantienen los permisos originales.
Los datos que se copian en el mismo volumen heredan los nuevos permisos.
Los datos que se transfieren a otro volumen heredan los nuevos permisos.
Los datos que se copian en otro volumen heredan los nuevos permisos.
Encriptación de archivos La encriptación es una herramienta que se usa para proteger datos. La encriptación transforma los datos con un algoritmo complicado para que no puedan leerse. Una clave especial transforma la información ilegible en información legible. Los programas de software cifran archivos, carpetas e incluso unidades enteras. El sistema de cifrado de archivos (EFS) es una característica de Windows que permite cifrar datos. La implementación de Windows del EFS se conecta directamente con la cuenta de un usuario específico. Solo el usuario que cifró los datos podrá acceder a las carpetas o los archivos cifrados. Un usuario también puede elegir cifrar una unidad de disco duro completa en Windows con una función denominada BitLocker. Para utilizar BitLocker, se debe contar con dos volúmenes como mínimo en un disco duro. Antes de utilizar BitLocker, el usuario debe habilitar el módulo de plataforma confiable (TPM) en el BIOS. El TPM es un chip especializado que se instala en la placa madre. El TPM almacena información específica del sistema host, como claves de cifrado, certificados digitales y contraseñas. Las aplicaciones, como BitLocker, que utilizan cifrado pueden aprovechar el chip del TPM. Haga clic en Administración del TPM para ver los detalles del TPM, como se muestra en la figura. BitLocker To Go cifra unidades extraíbles. BitLocker To Go no utiliza un chip del TPM, pero aún proporciona cifrado para datos y requiere una contraseña.
Sistema y copias de respaldo de datos Una organización puede perder datos si los ciberdelincuentes los roban, el equipo falla o se produce un desastre. Por este motivo, es importante realizar periódicamente copias de respaldo de datos. Las copias de respaldo de datos almacenan una copia de la información de una computadora en medios de copia de respaldo extraíbles. El operador almacena los medios de copia de respaldo en un lugar seguro. La realización de copias de respaldo de datos es uno de los métodos más eficaces para evitar la pérdida de estos. Si el hardware de la computadora falla, el usuario puede restaurar los datos de la copia de respaldo una vez que el sistema sea funcional.
Cybersecurity Essentials - ES 0118
13 5
La política de seguridad de la organización debe incluir copias de respaldo de datos. Los usuarios deben realizar copias de respaldo de datos con regularidad. Las copias de respaldo de datos suelen almacenarse externamente para proteger los medios de copia de respaldo en caso de que ocurra algo en la instalación principal. Las siguientes son algunas consideraciones para las copias de respaldo de datos:
Frecuencia: La realización de copias de respaldo puede llevar mucho tiempo. En ocasiones, es más sencillo realizar una copia de respaldo completa mensual o semanalmente y luego realizar copias de respaldo parciales de los datos que se hayan modificado desde la última copia de respaldo completa. No obstante, tener muchas copias de respaldo parciales incrementa el tiempo necesario para restaurar los datos.
Almacenamiento: Para mayor seguridad, las copias de respaldo se deben trasladar a una ubicación de almacenamiento externa diariamente, semanalmente o mensualmente, según lo exija la política de seguridad.
Seguridad: proteja las copias de respaldo con contraseñas. El operador debe ingresar la contraseña antes de restaurar los datos de los medios de copia de respaldo.
Validación: Siempre deben validarse las copias de respaldo para garantizar la integridad de los datos.
Bloqueo y filtración de contenido El software de control de contenido restringe el contenido al que un usuario puede acceder mediante un navegador web a través de Internet. El software de control de contenido puede bloquear los sitios que contienen ciertos tipos de materiales, como pornografía o contenido político o religioso controversial. Un padre puede implementar el software de control de contenido en la computadora utilizada por un niño. Las bibliotecas y las escuelas también implementan el software para evitar el acceso a contenido considerado censurable. Un administrador puede implementar los siguientes tipos de filtros:
Filtros basados en el navegador mediante una extensión de navegador de terceros.
Filtros de correo electrónico mediante un filtro basado en el servidor o cliente.
Filtros del lado del cliente instalados en una computadora específica.
Filtros de contenido basados en el router que bloquean el ingreso de tráfico en la red.
Filtros de contenido basados en dispositivos similares a los basados en el router.
Filtros de contenido basados en la nube.
Los motores de búsqueda, como Google, ofrecen la opción de activar un filtro de seguridad para excluir los enlaces inadecuados de los resultados de la búsqueda. Haga clic aquí para ver una comparación de los proveedores de software de control de contenido.
Congelamiento y clonación de discos Hay muchas aplicaciones de terceros disponibles para restaurar un sistema al estado predeterminado. Esto permite que el administrador proteja el sistema operativo y los archivos de configuración de un sistema.
Cybersecurity Essentials - ES 0118
13 6
La clonación de discos copia el contenido del disco duro de la computadora en un archivo de imagen. Por ejemplo, un administrador crea las particiones requeridas en un sistema, formatea la partición y luego instala el sistema operativo. Instala todo el software de aplicación requerido y configura todo el hardware. El administrador utiliza el software de clonación de discos para crear el archivo de imagen. El administrador puede utilizar la imagen clonada de la siguiente manera:
Para limpiar automáticamente un sistema y restaurar la imagen principal limpia.
Para implementar nuevas computadoras dentro de la organización.
Para proporcionar una copia de respaldo del sistema completa.
Haga clic aquí para ver una comparación del software de clonación de discos. La congelación bloquea la partición de la unidad de disco duro. Cuando un usuario reinicia un sistema, el sistema se revierte a la configuración congelada. El sistema no guarda ningún cambio del usuario, por lo que cualquier aplicación instalada o archivo guardado se pierden cuando el sistema se reinicia. Si el administrador necesita cambiar la configuración del sistema, primero debe reanudar la partición protegida desactivando la congelación. Después de realizar los cambios, debe volver a activar el programa. El administrador puede configurar la congelación para que se reinicie después de que un usuario cierra sesión, después del apagado tras un período de inactividad o en un horario programado. Estos productos no ofrecen protección en tiempo real. Un sistema sigue siendo vulnerable hasta que el usuario o un evento programado reinicien el sistema. Sin embargo, un sistema infectado con código malicioso obtiene un nuevo comienzo ni bien se reinicia el sistema.
Cerraduras y cables de seguridad Existen varios métodos para proteger físicamente los equipos informáticos:
Utilizar seguros de cables en los equipos, como se muestra en la Figura 1.
Mantener cerradas las salas de telecomunicaciones.
Utilizar jaulas de seguridad alrededor de los equipos.
Muchos dispositivos portátiles y monitores de computadoras costosos tienen incorporada una ranura de seguridad de acero especial para utilizar junto con los seguros de cables. El tipo más común de cerradura de puerta es la entrada con cerradura con llave estándar. No se cierra automáticamente al cerrar la puerta. Además, una persona puede calzar una tarjeta de plástico delgada, como una tarjeta de crédito, entre la cerradura y el marco de la puerta para forzar su apertura. Las cerraduras de las puertas en edificios comerciales son diferentes de las cerraduras de las puertas residenciales. Para mayor seguridad, una cerradura con pestillo proporciona seguridad adicional. Aunque cualquier cerradura con llave presenta una vulnerabilidad si se pierden, roban o duplican las llaves. Una cerradura cifrada, como se muestra en la Figura 2, utiliza botones que un usuario presiona conforme a una secuencia determinada para abrir la puerta. Es posible programar una cerradura cifrada. Esto significa que el código de un usuario solo funcionará durante determinados días o cierto tiempo. Por ejemplo, una cerradura cifrada puede permitir que Bob acceda únicamente a la sala de servidores entre las 7 a. m. y las 6 p. m. de lunes a viernes. La cerradura cifrada también puede mantener un registro de cuándo se abre la puerta y el código utilizado para abrirla.
Temporizadores de cierre de sesión Un empleado se levanta y deja su computadora para tomar un descanso. Si el empleado no adopta ninguna medida para proteger su estación de trabajo, cualquier información en el sistema es vulnerable
Cybersecurity Essentials - ES 0118
13 7
ante un usuario no autorizado. Una organización puede adoptar las siguientes medidas para impedir el acceso no autorizado: Tiempo de espera de inactividad y bloqueo de pantalla Los empleados pueden o no cerrar sesión de sus computadoras cuando dejan el lugar de trabajo. Por lo tanto, es una de las mejores prácticas de seguridad configurar un temporizador de inactividad que desactive automáticamente al usuario y bloquee la pantalla después de un período determinado. El usuario debe volver a iniciar sesión para desbloquear la pantalla. Horario de inicio de sesión En algunas situaciones, una organización puede desear que los empleados inicien sesión durante horas específicas, como de 7 a. m. a 6 p. m. El sistema bloquea los inicios de sesión en el horario fuera de las horas de inicio de sesión permitidas.
Seguimiento por GPS El sistema de posicionamiento global (GPS) utiliza satélites y computadoras para determinar la ubicación de un dispositivo. La tecnología del GPS es una característica estándar en los smartphones que proporciona seguimiento de la posición en tiempo real. El seguimiento por GPS puede identificar una ubicación en el rango de 100 metros. Esta tecnología está disponible para seguir a los hijos, los adultos mayores, las mascotas y los vehículos. Utilizar el GPS para localizar un teléfono celular sin el permiso del usuario es una invasión a la privacidad y es ilegal. Muchas aplicaciones de telefonía celular utilizan el seguimiento del GPS para rastrear la ubicación de un teléfono. Por ejemplo, Facebook permite a los usuarios registrar una ubicación, que es visible para las personas en sus redes.
Inventario y etiquetas de RFID La identificación por radiofrecuencia (RFID) utiliza ondas de radio para identificar y rastrear objetos. Los sistemas de inventario de RFID usan etiquetas adjuntas a todos los elementos que una organización desea rastrear. Las etiquetas contienen un circuito integrado que se conecta a una antena. Las etiquetas de RFID son pequeñas y requieren muy poca energía, por lo que no necesitan batería para almacenar información para intercambiar con un lector. La RFID puede ayudar a automatizar el seguimiento de los activos o bloquear, desbloquear o configurar inalámbricamente los dispositivos electrónicos. Los sistemas de RFID operan dentro de distintas frecuencias. Los sistemas de baja frecuencia tienen un rango de lectura más corto y tasas de lectura de datos más bajas, pero no son tan sensibles a las interferencias de las ondas de radio ocasionadas por los líquidos y metales presentes. Las frecuencias más altas tienen una velocidad de transferencia de datos más rápida y mayores rangos de lectura, pero son más sensibles a las interferencias de las ondas de radio.
Administración del acceso remoto El acceso remoto se refiere a cualquier combinación de hardware y software que permite a los usuarios acceder a una red interna local de manera remota. Con el sistema operativo Windows, los técnicos pueden usar el asistente remoto y el escritorio remoto para reparar y actualizar las computadoras. El escritorio remoto, como se muestra en la figura, permite a los técnicos ver y controlar una computadora desde una ubicación remota. El asistente remoto permite a los técnicos ayudar a los clientes en la solución de problemas desde una ubicación remota. El asistente remoto también permite al cliente ver la reparación o actualización en tiempo real en la pantalla. El proceso de instalación de Windows no activa el escritorio remoto de manera predeterminada. Al habilitar esta función, se abre el puerto 3389, lo que puede ocasionar una vulnerabilidad si un usuario no necesita este servicio.
Cybersecurity Essentials - ES 0118
13 8
Telnet, SSH y SCP El shell seguro (SSH) es un protocolo que proporciona una conexión de administración segura (cifrada) a un dispositivo remoto. El SSH debe reemplazar a Telnet para las conexiones de administración. Telnet es un protocolo más antiguo que usa la transmisión no segura de texto no cifrado de la autenticación de inicio de sesión (nombre de usuario y contraseña) y de los datos transmitidos entre los dispositivos que se comunican. El SSH proporciona seguridad para las conexiones remotas mediante el cifrado seguro cuando se autentica un dispositivo (nombre de usuario y contraseña) y para los datos transmitidos entre los dispositivos de comunicación. El SSH utiliza el puerto TCP 22. Telnet utiliza el puerto TCP 23. En la Figura 1, los ciberdelincuentes monitorean paquetes con Wireshark. En la Figura 2, los ciberdelincuentes capturan el nombre de usuario y la contraseña del administrador desde la sesión de Telnet de texto no cifrado. En la Figura 3, se muestra la vista de Wireshark de una sesión de SSH. Los ciberdelincuentes rastrean la sesión mediante la dirección IP del dispositivo del administrador, pero en la Figura 4 la sesión cifra el nombre de usuario y la contraseña. El protocolo de copia segura (SCP) transfiere de forma segura los archivos informáticos entre dos sistemas remotos. El SCP usa el SSH para la transferencia de datos (incluido el elemento de autenticación), por lo que el SCP garantiza la autenticidad y la confidencialidad de los datos en tránsito.
Protección de puertos y servicios Los ciberdelincuentes atacan los servicios que se ejecutan en un sistema porque saben que la mayoría de los dispositivos ejecuta más servicios o programas que los necesarios. Un administrador debe observar cada servicio para comprobar su necesidad y evaluar el riesgo. Elimine cualquier servicio innecesario. Un método simple que muchos administradores usan para contribuir a la seguridad de la red ante accesos no autorizados es la inhabilitación de todos los puertos del switch que no se utilizan. Por ejemplo, si un switch tiene 24 puertos y hay tres conexiones Fast Ethernet en uso, es aconsejable inhabilitar los 21 puertos que no se utilizan. El proceso de habilitación e inhabilitación de puertos puede llevar mucho tiempo, pero mejora la seguridad de la red y vale la pena el esfuerzo.
Cuentas privilegiadas Los ciberdelincuentes atacan las cuentas privilegiadas porque son las más poderosas dentro de la organización. Las cuentas privilegiadas tienen credenciales para acceder a los sistemas y brindan acceso elevado sin restricción. Los administradores usan estas cuentas para implementar y administrar los sistemas operativos, las aplicaciones y los dispositivo de red. La figura resume los tipos de cuentas privilegiadas. La organización debe adoptar las siguientes mejores prácticas para proteger las cuentas privilegiadas:
Identificar y reducir la cantidad de cuentas privilegiadas.
Aplicar el principio de privilegios mínimos.
Establecer un proceso para la revocación de derechos cuando los empleados dejan o cambian de trabajo.
Eliminar las cuentas compartidas con contraseñas que no caducan.
Proteger el almacenamiento de contraseñas.
Cybersecurity Essentials - ES 0118
13 9
Eliminar las credenciales compartidas entre varios administradores.
Cambiar automáticamente las contraseñas de la cuenta privilegiada cada 30 o 60 días.
Registrar las sesiones privilegiadas.
Implementar un proceso para cambiar las contraseñas integradas para los scripts y las cuentas de servicio.
Registrar toda la actividad del usuario.
Generar las alertas para comportamientos inusuales.
Deshabilitar las cuentas privilegiadas inactivas.
Usar la autenticación de varios factores para todo el acceso administrativo.
Implementar un gateway entre el usuario final y los activos confidenciales para limitar la exposición de la red al malware.
Bloquear las cuentas privilegiadas es fundamental para la seguridad de la organización. Proteger estas cuentas debe ser un proceso continuo. Una organización debe evaluar el proceso de realización de todos los ajustes necesarios para mejorar la seguridad.
Políticas de grupo En la mayoría de las redes que usan computadoras Windows, un administrador configura Active Directory con dominios en Windows Server. Las computadoras con Windows son miembros de un dominio. El administrador configura una directiva de seguridad de dominio que se aplica a todas las computadoras que se unan. Las directivas de cuenta se configuran automáticamente cuando un usuario inicia sesión en Windows. Cuando una computadora no es parte de un dominio de Active Directory, el usuario configura las políticas a través de la política de seguridad local de Windows. En todas las versiones de Windows, excepto la edición doméstica, ingrese secpol.msc en Ejecutar comando para abrir la herramienta de política de seguridad local. Un administrador configura las políticas de cuenta de usuario, como políticas de contraseña y políticas de bloqueo, expandiendo Políticas de cuentas > Políticas de contraseñas. Con las configuraciones que se muestran en la Figura 1, los usuarios deben cambiar sus contraseñas cada 90 días y utilizar la nueva contraseña al menos un (1) día. Las contraseñas deben contener ocho (8) caracteres y tres de las siguientes cuatro categorías: letras mayúsculas, letras minúsculas, números y símbolos. Por último, el usuario puede reutilizar la contraseña después de 24 contraseñas únicas. Una política de bloqueo de cuentas bloquea una computadora durante un tiempo determinado cuando ocurren demasiados intentos de acceso incorrecto al sistema. Por ejemplo, la política que se muestra en la Figura 2 permite que el usuario introduzca un nombre de usuario o una contraseña incorrectos cinco veces. Después de cinco intentos, la cuenta queda bloqueada por 30 minutos. Después de 30 minutos, la cantidad de intentos se restablece a cero y el usuario puede intentar iniciar sesión nuevamente. Hay más configuraciones de seguridad disponibles ampliando la carpeta Políticas locales. Una política de auditoría crea un archivo de registro de seguridad que se utiliza para rastrear los eventos enumerados en la Figura 3.
Cybersecurity Essentials - ES 0118
14 0
Habilitación de registros y alertas Un registro registra todos los eventos a medida que ocurren. Las entradas de registro conforman el archivo de registro y contienen toda la información relacionada con un evento específico. Los registros relacionados con la seguridad informática han crecido en importancia. Por ejemplo, un registro de auditoría sigue los intentos de autenticación del usuario y un registro de acceso proporciona todos los datos de solicitudes de archivos específicos en un sistema. Monitorear los registros del sistema puede determinar cómo se produjo un ataque y si las defensas implementadas se realizaron correctamente. Con el aumento de la gran cantidad de archivos de registro generados para fines de seguridad informática, una organización debe considerar el proceso de administración de registros. La administración de registros determina el proceso para generar, transmitir, almacenar, analizar y eliminar datos de registro de seguridad informática. Registros del sistema operativo Los registros del sistema operativo registran eventos que ocurren por acciones operativas realizadas por el sistema operativo. Los eventos del sistema incluyen lo siguiente:
Las solicitudes de clientes y las respuestas de servidores, como autenticaciones de usuario exitosas.
Información de uso que contiene la cantidad y el tamaño de las transacciones en un período determinado.
Registros de aplicación de seguridad Las organizaciones utilizan software de seguridad basado en la red o el sistema para detectar actividades maliciosas. Este software genera un registro de seguridad para proporcionar datos de seguridad informática. Los registros son útiles para realizar el análisis de auditoría e identificar las tendencias y los problemas a largo plazo. Los registros además permiten que una organización proporcione documentación que evidencie el cumplimiento de las leyes y los requisitos normativos.
Alimentación Un aspecto crítico de la protección de los sistemas de información son los sistemas y las consideraciones de energía eléctrica. El suministro constante de electricidad es fundamental en las actuales instalaciones de almacenamiento de datos y servidores masivos. Estas son algunas reglas generales en el desarrollo de sistemas de suministro eléctrico eficaces:
Los centros de datos deben estar en una fuente de alimentación distinta al resto del edificio.
Fuentes de alimentación redundantes: dos o más fuentes que provienen de dos o más subestaciones eléctricas.
Acondicionamiento de la energía.
Con frecuencia se requieren sistemas energéticos de respaldo.
Debe contarse con un UPS para apagar satisfactoriamente los sistemas.
Una organización debe protegerse contra varios problemas al diseñar sus sistemas de fuente de alimentación eléctrica. Exceso de energía.
Cybersecurity Essentials - ES 0118
14 1
Sobre voltaje: Alto voltaje momentáneo.
Explosión: Alto voltaje prolongado.
Pérdida de energía.
Falla: Pérdida de energía momentánea.
Apagón: Pérdida de energía completa.
Degradación de energía.
Holgura/caída: Bajo voltaje momentáneo.
Apagón: Bajo voltaje prolongado.
Corriente de irrupción: sobre voltaje inicial de energía.
Calefacción, ventilación y aire acondicionado (HVAC) Los sistemas de HVAC son fundamentales para la seguridad de las personas y los sistemas de información en las instalaciones de la organización. Al diseñar instalaciones de TI modernas, estos sistemas juegan un papel importante en la seguridad general. Los sistemas de HVAC controlan el entorno ambiental (temperatura, humedad, flujo de aire y filtración de aire) y deben planificarse y operarse junto a otros componentes de centros de datos, como hardware informático, cableado, almacenamiento de datos, protección contra incendios, sistemas de seguridad física y energía. Casi todos los dispositivos de hardware informático físicos tienen requisitos ambientales que incluyen temperatura y rangos de humedad aceptables. Los requisitos ambientales aparecen en un documento de especificaciones del producto o en una guía de planificación física. Es fundamental mantener estos requisitos ambientales para evitar fallas del sistema y extender la vida útil de los sistemas de TI. Los sistemas de HVAC comerciales y otros sistemas de administración de edificios ahora se conectan a Internet para su supervisión y control. Eventos recientes han demostrado que dichos sistemas (a menudo denominados “sistemas inteligentes”) también aumentan las repercusiones de seguridad. Uno de los riesgos asociados a los sistemas inteligentes es que las personas que acceden y administran el sistema trabajan para un contratista o un proveedor externo. Debido a que los técnicos de HVAC necesitan encontrar la información rápidamente, los datos cruciales tienden a almacenarse en muchos lugares diferentes, lo que los hace accesibles a muchas más personas. Tal situación permite que una amplia red de individuos, entre ellos, asociados de los contratistas, accedan a las credenciales del sistema de HVAC. La interrupción de estos sistemas puede representar un riesgo considerable para la seguridad informática de la organización.
Supervisión de hardware El monitoreo de hardware a menudo se encuentra en torres de servidores grandes. Una torre de servidores es una instalación que aloja cientos o miles de servidores de empresas. Google tiene muchas torres de servidores en todo el mundo para proporcionar servicios óptimos. Incluso las empresas más pequeñas construyen torres de servidores locales para alojar el creciente número de servidores necesarios para realizar los negocios. Los sistemas de control de hardware se utilizan para monitorear el estado de dichos sistemas y minimizar el tiempo de inactividad de la aplicación y el servidor. Los sistemas de control de hardware modernos utilizan los puertos de red y USB para transmitir la condición de temperatura de la CPU, el estado de la fuente de alimentación, la velocidad y la temperatura del ventilador, el estado de la memoria, el espacio en disco y el estado de la tarjeta de red. Los sistemas de control de hardware permiten a un técnico supervisar cientos o miles de sistemas desde un solo terminal. A medida que la cantidad de torres de servidores aumenta, los sistemas de control de hardware se han convertido en contramedidas esenciales para la seguridad.
Cybersecurity Essentials - ES 0118
14 2
Centros de operaciones El Centro de Operaciones de Red (NOC) se compone de una o más ubicaciones que contienen las herramientas que proporcionan a los administradores un estado detallado de la red de una organización. El NOC es el punto cero de la solución de problemas, la supervisión del rendimiento, la distribución de software y actualizaciones, la administración de comunicaciones y la administración de dispositivos. El Centro de Operaciones de Seguridad (SOC) es un sitio dedicado que supervisa, evalúa y protege los sistemas de información de la organización, como sitios web, aplicaciones, bases de datos, centros de datos, redes, servidores y sistemas de usuario. Un SOC es un equipo de expertos en seguridad que detectan, analizan, responden, informan y evitan incidentes de ciberseguridad. Ambas entidades usan una estructura de nivel jerárquico para administrar los eventos. El primer nivel administra todos los eventos e incluye cualquier evento que no pueda administrarse en el segundo nivel. El personal del segundo nivel revisa el evento en detalle para intentar resolverlo. Si no pueden hacerlo, pasan el evento al tercer nivel, el de los expertos en la materia. Para medir la eficacia general de un centro de operaciones, una organización impulsará ejercicios y prácticas realistas. Un ejercicio de simulación de tablero es un recorrido estructurado de un equipo para simular un evento y evaluar la eficacia del centro. Una medida más eficaz es simular una intrusión hecha y derecha sin advertencia. Esto supone el uso de un equipo rojo, un grupo independiente de personas que desafía los procesos en una organización para evaluar su eficacia. Por ejemplo, el equipo rojo debe atacar un sistema crítico, incluidos el reconocimiento y el ataque, el escalamiento de privilegios y el acceso remoto.
Switches, routers y dispositivos de red Los dispositivos de red se envían sin contraseñas o con contraseñas predeterminadas. Cambie las contraseñas predeterminadas antes de conectar un dispositivo a la red. Documente y registre los cambios en los dispositivos de red. Por último, examine todos los registros de configuración. En las siguientes secciones se analizan varias medidas que un administrador puede adoptar para proteger diferentes dispositivos de red. Switches Los switches de red son el corazón de la red de comunicación de datos moderna. Las principales amenazas para los switches de red son el robo, el hacking y el acceso remoto, los ataques contra los protocolos de red, como ARP/STP, o los ataques contra el rendimiento y la disponibilidad. Varias contramedidas y controles pueden proteger los switches de red, incluidas la seguridad física mejorada, la configuración avanzada y la implementación de actualizaciones y parches adecuados del sistema según sea necesario. Otro control eficaz es la implementación de la seguridad de los puertos. Un administrador debe proteger todos los puertos de switch (interfaces) antes de implementar el switch para fines de producción. Una forma de proteger los puertos es mediante la implementación de una característica denominada “seguridad de puertos”. La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el puerto. El switch permite el acceso a dispositivos con direcciones MAC legítimas y rechaza otras direcciones MAC. VLAN Las VLAN ofrecen una forma de agrupar dispositivos dentro de una LAN y en switches individuales. Las VLAN usan conexiones lógicas en lugar de conexiones físicas. Los puertos individuales de switch pueden asignarse a una VLAN específica. Se pueden usar otros puertos para interconectar físicamente los switches y permitir el tráfico de varias VLAN entre los switches. Estos puertos se denominan enlaces troncales. Por ejemplo, el Departamento de Recursos Humanos debe proteger sus datos confidenciales. Las VLAN permiten que el administrador segmente las redes según factores tales como la función, el equipo del proyecto o la aplicación, independientemente de la ubicación física del usuario o el dispositivo, como se muestra en la Figura 1. Los dispositivos dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque compartan una misma infraestructura con otras VLAN. Una VLAN puede separar los grupos que tienen datos confidenciales del resto de la red, lo que disminuye las posibilidades
Cybersecurity Essentials - ES 0118
14 3
de violaciones de la información confidencial. Los enlaces troncales permiten que las personas en la VLAN de RR. HH. se conecten físicamente a varios switches. Existen varios tipos de vulnerabilidades y ataques de VLAN diferentes. Estos pueden incluir ataques a los protocolos de los enlaces troncales y la VLAN. Los detalles de estos ataques están más allá del alcance de este curso. Los hackers también pueden atacar el rendimiento y la disponibilidad de la VLAN. Las contramedidas comunes incluyen el monitoreo de los cambios y el rendimiento de la VLAN, las configuraciones avanzadas, y los parches y las actualizaciones regulares del sistema para el IOS. Firewalls Los firewalls son soluciones de hardware o de software que aplican las políticas de seguridad de la red. Un firewall filtra el ingreso de tráfico potencialmente peligroso o no autorizado en la red (Figura 2). Un firewall simple proporciona funcionalidades básicas de filtrado de tráfico mediante listas de control de acceso (ACL). Los administradores utilizan las ACL para detener el tráfico o para permitir solamente tráfico específico en sus redes. Una ACL es una lista secuencial de instrucciones de permiso o denegación que se aplican a los protocolos o las direcciones. Las ACL son una herramienta potente para controlar el tráfico hacia y desde la red. Los firewalls mantienen los ataques alejados de la red privada; un objetivo común de los hackers es vencer las protecciones del firewall. Las principales amenazas para los firewalls son el robo, el hacking y el acceso remoto, los ataques contra las ACL o los ataques contra el rendimiento y la disponibilidad. Varias contramedidas y controles pueden proteger los firewalls, entre ellos, seguridad física mejorada, configuración avanzada, acceso remoto y autenticación seguros, y actualizaciones y parches adecuados del sistema según sea necesario. Routers Los routers forman la red troncal de Internet y las comunicaciones entre las diferentes redes. Los routers se comunican unos con otros para identificar la mejor ruta posible a fin de distribuir el tráfico a las diferentes redes. Los routers usan protocolos de routing para tomar decisiones de routing. Los routers también pueden integrar otros servicios, como las funcionalidades de switching y firewall. Estas operaciones hacen que los routers sean los principales objetivos. Las principales amenazas para los routers de red son el robo, el hacking y el acceso remoto, los ataques contra los protocolo de routing, como RIP/OSPF, o los ataques contra el rendimiento y la disponibilidad. Varias contramedidas y controles pueden proteger los routers de red, entre ellos, la seguridad física mejorada, la configuración avanzada, el uso de protocolos de routing seguros con autenticación, y la implementación de actualizaciones y parches adecuados del sistema según sea necesario.
Cybersecurity Essentials - ES 0118
14 4
Dispositivos móviles e inalámbricos Los dispositivos móviles e inalámbricos se han convertido en el tipo de dispositivo predominante en la mayoría de las redes modernas. Ofrecen movilidad y conveniencia, pero representan un conjunto de vulnerabilidades. Estas vulnerabilidades incluyen el robo, el hacking y el acceso remoto no autorizado, el espionaje, los ataques de intermediarios, y los ataques contra el rendimiento y la disponibilidad. La mejor manera de proteger una red inalámbrica es utilizar la autenticación y el cifrado. El estándar inalámbrico original (801.11) introdujo dos tipos de autenticación, como se muestra en la figura:
Autenticación del sistema abierto: Cualquier dispositivo inalámbrico puede conectarse a la red inalámbrica. Use este método en situaciones donde la seguridad no sea un problema.
Autenticación de clave compartida: Proporciona mecanismos para autenticar y cifrar datos entre el cliente inalámbrico y un AP o router inalámbrico.
Las tres técnicas de autenticación de clave compartida para las WLAN son las siguientes:
Privacidad equivalente por cable (WEP): era la especificación 802.11 original que protegía las WLAN. Sin embargo, la clave de cifrado nunca cambiaba al intercambiar paquetes, por lo que era fácil de descifrar.
Acceso protegido a Wi-Fi (WPA): este estándar utiliza la WEP, pero protege los datos con un algoritmo de cifrado del protocolo de integridad de clave temporal (TKIP), que es mucho más seguro. El TKIP cambia la clave para cada paquete, lo que hace que sea mucho más difícil de descifrar.
IEEE 802.11i/WPA2:: IEEE 802.11i es un estándar de la industria para proteger las WLAN. Tanto 802.11i como WPA2 usan la norma de cifrado avanzado (AES) para el cifrado, actualmente el protocolo de encriptación más sólido.
Desde 2006, cualquier dispositivo que tenga el logotipo de Certificado para Wi-Fi tiene la certificación WPA2. Por lo tanto, las WLAN modernas deben utilizar el estándar 802.11i/WPA2. Otras contramedidas
Cybersecurity Essentials - ES 0118
14 5
incluyen la seguridad física mejorada y las actualizaciones y los parches regulares del sistema de los dispositivos.
Servicios de routing y red Los ciberdelincuentes usan servicios de red vulnerables para atacar un dispositivo o usarlo como parte del ataque. Para verificar si existen servicios de red inseguros, revise el dispositivo y busque puertos abiertos mediante un escáner de puertos. Un escáner de puertos es una aplicación que sondea un dispositivo en busca de puertos abiertos; envía un mensaje a cada puerto y espera su respuesta. La respuesta indica cómo se utiliza el puerto. Los ciberdelincuentes también usan escáneres de puertos por el mismo motivo. Proteger los servicios de red garantiza que solo los puertos necesarios estén expuestos y disponibles. Protocolo de configuración dinámica de host (DHCP) El DHCP usa un servidor para asignar una dirección IP y otra información de configuración automáticamente a los dispositivos de red. En efecto, el dispositivo obtiene un formulario de permiso del servidor del DHCP para utilizar la red. Los atacantes pueden apuntar a los servidores del DHCP para denegar el acceso a los dispositivos en la red. La Figura 1 proporciona una lista de comprobación de seguridad para el DHCP. Sistema de nombres de dominio (DNS) El DNS resuelve una dirección de sitio web o URL de localizador de recursos uniforme (http://www.cisco.com) para la dirección IP del sitio. Cuando los usuarios escriben una dirección web en la barra de direcciones, dependen de los servidores del DNS para resolver la dirección IP real del destino. Los atacantes apuntan a los servidores del DNS para denegar el acceso a los recursos de la red o redirigir el tráfico a sitios web falsos. Haga clic en la Figura 2 para ver una lista de comprobación de seguridad para los DNS. Utilice el servicio y la autenticación seguros entre los servidores del DNS para protegerlos de estos ataques. Protocolo de mensajes de control de Internet (ICMP) Los dispositivos de red usan ICMP para enviar mensajes de error, como un servicio solicitado que no está disponible o un host que no puede llegar a un router. El comando ping es una utilidad de red que emplea
Cybersecurity Essentials - ES 0118
14 6
ICMP para probar la posibilidad de conexión de un host en una red. El ping envía mensajes de ICMP al host y espera una respuesta. Los ciberdelincuentes pueden alterar el uso de ICMP para los fines maliciosos que se enumeran en la Figura 3. Los ataques de denegación de servicio usan ICMP. Muchas redes filtran ciertas solicitudes de ICMP para evitar estos ataques. Protocolo de información de enrutamiento (RIP) El RIP limita la cantidad de saltos permitida en una ruta en una red desde el dispositivo de origen hasta el destino. La cantidad máxima de saltos permitida para el RIP es quince. El RIP es un protocolo de routing que se usa para intercambiar información de routing sobre qué redes alcanza cada router y el alcance de dichas redes. El RIP calcula la mejor ruta según el recuento de saltos. La Figura 4 enumera las vulnerabilidades y defensas del RIP frente a los ataques al RIP. Los hackers pueden atacar los routers y el RIP. Los ataques a los servicios de routing pueden afectar el rendimiento y la disponibilidad. Algunos ataques incluso pueden dar como resultado el redireccionamiento del tráfico. Utilice los servicios seguros con autenticación e implemente parches y actualizaciones del sistema para proteger los servicios de routing, como el RIP. Protocolo de tiempo de red (NTP) Es importante tener la hora correcta dentro de las redes. Las marcas de tiempo correctas hacen un seguimiento preciso de los eventos de red, por ejemplo, las violaciones de seguridad. Además, la sincronización de relojes es fundamental para la interpretación correcta de los eventos dentro de los archivos de datos syslog, así como para los certificados digitales. El protocolo de tiempo de red (NTP) es un protocolo que sincroniza los relojes de los sistemas informáticos sobre las redes de datos. El NTP permite que los dispositivos de red sincronicen la configuración de la hora con un servidor del NTP. En la Figura 5 se enumeran los diferentes métodos utilizados para proporcionar una sincronización segura para la red. Los ciberdelincuentes atacan los servidores de tiempo para interrumpir la comunicación segura que depende de certificados digitales y ocultar la información del ataque, como marcas de tiempo precisas.
Equipos de VoIP La voz sobre IP (VoIP) utiliza redes, como Internet, para realizar y recibir llamadas telefónicas. El equipo requerido para VoIP incluye una conexión a Internet y un teléfono. Varias opciones están disponibles para los equipos de teléfono:
Un teléfono tradicional con un adaptador (el adaptador actúa como interfaz de hardware entre el teléfono analógico tradicional y la línea de VoIP digital).
Un teléfono habilitado para VoIP.
Software de VoIP instalado en una computadora.
La mayoría de los servicios de VoIP para consumidores utiliza Internet para las llamadas telefónicas. Muchas organizaciones, sin embargo, utilizan sus redes privadas debido a que proporcionan una seguridad más sólida y un servicio de calidad. La seguridad de VoIP es tan confiable como la seguridad de red subyacente. Los ciberdelincuentes apuntan a estos sistemas para obtener acceso para liberar servicios telefónicos, escuchar llamadas telefónicas o afectar el rendimiento y la disponibilidad. Implemente las siguientes contramedidas para proteger la VoIP:
Cifre los paquetes de mensajes de voz para protegerlos de las infiltraciones.
Utilice el SSH para proteger los gateways y switches.
Cambie las contraseñas predeterminadas.
Utilice un sistema de detección de intrusiones para detectar ataques, como el envenenamiento del ARP.
Cybersecurity Essentials - ES 0118
14 7
Utilice la autenticación sólida para mitigar la suplantación de registros (los ciberdelincuentes enrutan todas las llamadas entrantes de la víctima hacia ellos), la suplantación del proxy (engaña a la víctima para que se comunique con un proxy falso establecido por los ciberdelincuentes) y la usurpación de llamadas (la llamada se intercepta y redirige a una ruta diferente antes de que llegue al destino).
Implemente firewalls que reconozcan la VoIP para monitorear las transmisiones y filtrar las señales anormales.
Cuando la red deja de funcionar, también lo hacen las comunicaciones de voz.
Cámaras Una cámara de Internet envía y recibe datos a través de una LAN o Internet. Un usuario puede ver de forma remota video en vivo con un explorador web en una amplia variedad de dispositivos, entre ellos, sistemas informáticos, PC portátiles, tablets y smartphones. Las cámaras vienen en distintos formatos, incluidas las cámaras de seguridad tradicionales. Otras opciones incluyen cámaras de Internet discretamente ocultas en radiodespertadores, libros o reproductores de DVD. Las cámaras de Internet transmiten video digital a través de una conexión de datos. La cámara se conecta directamente a la red y tiene todo lo necesario para transferir las imágenes sobre la red. La figura enumera las mejores prácticas para los sistemas de cámara.
Cybersecurity Essentials - ES 0118
14 8
Equipo de videoconferencia La videoconferencia permite que dos o más ubicaciones se comuniquen de forma simultánea mediante tecnologías de telecomunicación. Estas tecnologías aprovechan los nuevos estándares de video de alta definición. Los productos tales como Cisco TelePresence permiten que un grupo de personas en una ubicación diserte con un grupo de personas en otras ubicaciones en tiempo real. La videoconferencia ahora forma parte de las operaciones diarias normales de las industrias, como el campo médico. Los médicos pueden revisar los síntomas de un paciente y consultar con expertos para identificar posibles tratamientos. Muchas farmacias locales emplean asistentes médicos que pueden conectarse en vivo con los médicos mediante la videoconferencia para programar visitas o respuestas de emergencia. Muchas organizaciones manufactureras usan la teleconferencia para ayudar a los ingenieros y técnicos a realizar operaciones o tareas de mantenimiento complejas. El equipo de videoconferencia puede ser muy costoso y es un objetivo de alto valor para los ladrones y ciberdelincuentes. Haga clic aquí para ver un video que demuestra el poder de los sistemas de videoconferencia. Los ciberdelincuentes apuntan a estos sistemas para infiltrarse en las videollamadas o afectar el rendimiento y la disponibilidad.
Red y sensores de IdC Uno de los sectores más rápidos de la tecnología de la información es el uso de sensores y dispositivos inteligentes. La industria informática lidera este sector como Internet de las cosas (IdC). Las empresas y los consumidores usan dispositivos de IdC para automatizar procesos, supervisar condiciones del entorno y alertar a los usuarios acerca de condiciones adversas. La mayoría de los dispositivos de IdC se conecta a una red a través de la tecnología inalámbrica e incluye cámaras, cerraduras de puertas, sensores de proximidad, luces y otros tipos de sensores utilizados para recopilar información acerca de un entorno o el estado de un dispositivo. Varios fabricantes de dispositivos utilizan IdC para informar a los usuarios que las piezas deben reemplazarse, los componentes son defectuosos o los suministros se están acabando. Las empresas utilizan estos dispositivos para realizar un seguimiento del inventario, los vehículos y el personal. Los dispositivos de IdC tienen sensores geoespaciales. Un usuario puede localizar, monitorear y controlar globalmente las variables del entorno, como la temperatura, la humedad y la iluminación. El sector de IdC representa un enorme desafío para los profesionales de seguridad de la información porque muchos dispositivos de IdC capturan y transmiten información confidencial. Los ciberdelincuentes apuntan a estos sistemas para interceptar los datos o afectar el rendimiento y la disponibilidad.
Cercas y barricadas Las barreras físicas son lo primero que viene a la mente cuando se piensa en la seguridad física. Este es el nivel más remoto de seguridad y estas soluciones son las más visibles públicamente. Un sistema de seguridad perimetral generalmente consta de los siguientes componentes:
Un sistema de cerca perimetral.
Un sistema de puerta de seguridad.
Bolardos (pequeños postes utilizados para protegerse contra intrusiones de vehículos, como se muestra en la Figura 2).
Barreras de entrada de vehículos.
Refugios de protección.
Una cerca es una barrera que comprende áreas seguras y designa límites de la propiedad. Todas las barreras deben cumplir los requisitos de diseño específicos y las especificaciones de la estructura. Las áreas de alta seguridad a menudo requieren una “protección superior”, como un alambre de púas o concertina. Al diseñar el perímetro, los sistemas de cercado utilizan las siguientes reglas:
Cybersecurity Essentials - ES 0118
14 9
1 metro (3 a 4 pies) solo disuadirán a los intrusos casuales.
2 metros (6 a 7 pies) son muy altos para escalar para los intrusos casuales.
2,5 metros (8 pies) ofrecerán una demora limitada a un intruso determinado.
Las protecciones superiores proporcionan un impedimento adicional y pueden cortar gravemente al intruso; sin embargo, los atacantes pueden utilizar una manta o un colchón para mitigar esta amenaza.
Las normas locales pueden restringir el tipo de sistema de cercado que usa una organización. Las cercas requieren un mantenimiento regular. Los animales pueden cavar debajo de la cerca o la tierra puede socavarse y dejar la cerca inestable, lo que proporcionará un acceso sencillo al intruso. Inspeccione los sistemas de cercado con regularidad. No aparque ningún vehículo junto a las cercas. Un vehículo aparcado en las inmediaciones de una cerca puede ayudar al intruso a escalar o dañar la cerca. Haga clic aquí para conocer las recomendaciones de cercado adicionales.
Biometría Los datos biométricos describen los métodos automatizados de reconocimiento de una persona en función de una característica fisiológica o conductual. Los sistemas de autenticación biométrica incluyen medidas del rostro, huellas digitales, geometría de la mano, iris, retina, firma y voz. Las tecnologías biométricas son la base de la identificación altamente segura y las soluciones de verificación personal. La popularidad y el uso de sistemas biométricos han aumentado debido a la mayor cantidad de infracciones a la seguridad y fraude de transacciones. Los datos biométricos proporcionan transacciones financieras confidenciales y privacidad de los datos personales. Por ejemplo, Apple utiliza la tecnología de huellas digitales en sus smartphones. Las huellas digitales de los usuarios desbloquean el dispositivo y permiten el acceso a varias aplicaciones, como aplicaciones de pago o banca en línea. Al comparar los sistemas biométricos, hay varios factores importantes que se deben considerar, entre ellos, la precisión, la tasa de velocidad o rendimiento, la aceptación de los usuarios, la singularidad de las acciones u órganos biométricos, la resistencia a la falsificación, la confiabilidad, los requisitos de almacenamiento de datos, el tiempo de inscripción y la impertinencia del análisis. El factor más importante es la precisión. La precisión se expresa en los índices y los tipos de errores. El primer índice de error es el Error de tipo I o los falsos rechazos. El Error de tipo I rechaza a una persona que se registra y es un usuario autorizado. En el control de acceso, si el requisito es mantener a los malos afuera, el falso rechazo es el error menos grave. Sin embargo, en muchas aplicaciones biométricas, los falsos rechazos pueden tener un impacto muy negativo en la empresa. Por ejemplo, un banco o comercio minorista debe autenticar la identidad del cliente y el saldo de la cuenta. El falso rechazo significa que la transacción o la venta se pierde y el cliente se siente disgustado. La mayoría de los banqueros y los minoristas están dispuestos a admitir algunas aceptaciones falsas siempre y cuando los falsos rechazos sean mínimos. La velocidad de aceptación se expone como porcentaje y es la velocidad con la que un sistema acepta a las personas no registradas o los impostores como usuarios auténticos. La falsa aceptación es un Error de tipo II. El Error de tipo II permite el ingreso de los delincuentes, por lo que normalmente se considera el error más importante para un sistema de control de acceso biométrico. El método más ampliamente utilizado para medir la precisión de la autenticación biométrica es el índice de error de conexión cruzada (CER). El CER es la velocidad donde la velocidad de falso rechazo y la velocidad de aceptación falsa son equivalentes, como se muestra en la figura.
Registros de acceso y tarjetas de identificación La tarjeta de identificación de acceso permite que una persona obtenga acceso a un área con puntos de ingreso automatizados. Un punto de ingreso puede ser una puerta, un molinete, una entrada u otra barrera. Las tarjetas de identificación de acceso usan varias tecnologías, como una cinta magnética, un código de barras o la biometría.
Cybersecurity Essentials - ES 0118
15 0
Un lector de tarjetas lee un número contenido en la tarjeta de identificación de acceso. El sistema envía el número a una computadora que toma las decisiones de control de acceso en función de las credenciales provistas. El sistema registra la transacción para su posterior recuperación. Los informes revelan quién ingresó, el punto de ingreso y la hora.
Vigilancia por video y electrónica La vigilancia por video y electrónica complementa o, en algunos casos, reemplaza a los guardias de seguridad. El beneficio del video y la vigilancia electrónica es la capacidad de supervisar las áreas cuando no hay guardias ni personal presente, la capacidad de registrar datos y videos de vigilancia durante largos períodos y la capacidad de incorporar la detección de movimiento y la notificación. La vigilancia por video y electrónica también puede ser más precisa en la captura de eventos incluso después de que ocurran. Otra ventaja importante es que la vigilancia por video y electrónica ofrece puntos de vista que no se obtienen fácilmente con los guardias. También puede resultar mucho más económica que el uso de cámaras para supervisar el perímetro completo de una instalación. En un entorno altamente seguro, una organización debe colocar la vigilancia por video y electrónica en todas las entradas, las salidas, los compartimientos de carga, las escaleras y las áreas de recolección de basura. En la mayoría de los casos, la vigilancia por video y electrónica complementa a los guardias de seguridad.
Vigilancia inalámbrica e RFID Administrar y localizar activos de sistemas de información importantes constituyen un desafío clave para la mayoría de las organizaciones. El crecimiento en la cantidad de dispositivos móviles y dispositivos de IdC ha hecho que este trabajo sea incluso más difícil. El tiempo que insume buscar equipos críticos puede provocar costosas demoras o tiempo de inactividad. El uso de etiquetas de identificación de recursos de identificación por radiofrecuencia (RFID) puede ser de gran valor para el personal de seguridad. Una organización puede posicionar lectores de RFID en los marcos de las puertas de las áreas seguras de manera tal que no sean visibles para las personas. El beneficio de las etiquetas de identificación de recursos de RFID es que pueden seguir cualquier activo que deje físicamente un área segura. Los nuevos sistemas de etiquetas de identificación de recursos de RFID pueden leer múltiples etiquetas en simultáneo. Los sistemas de RFID no requieren una línea de visión para analizar las etiquetas. Otra ventaja de la RFID es la capacidad para leer las etiquetas que no son visibles. A diferencia de los códigos de barras y las etiquetas legibles para los humanos que deben ubicarse físicamente y ser visibles para leer, las etiquetas de RFID no necesitan ser visibles para su análisis. Por ejemplo, etiquetar una PC debajo de un escritorio requiere que el personal se agache debajo el escritorio para ubicar y visualizar físicamente la etiqueta mediante un proceso de código de barras o manual. Una etiqueta de RFID permitirá al personal escanear la etiqueta sin siquiera verla.
Resumen Capítulo 7: Protección del reino Este capítulo analiza las tecnologías, los procesos y los procedimientos que los ciber-magos usan para defender los sistemas, los dispositivos y los datos que conforman la infraestructura de la red.
La protección del host incluye la protección del sistema operativo, la implementación de una solución antivirus y el uso de soluciones basadas en el host, como firewalls y sistemas de detección de intrusiones.
La protección del servidor incluye la administración del acceso remoto, la protección de las cuentas privilegiadas y los servicios de supervisión.
La protección de datos incluye el control de acceso a los archivos y la implementación de las medidas de seguridad para garantizar la confidencialidad, la integridad y la disponibilidad de los datos.
Cybersecurity Essentials - ES 0118
15 1
La protección de dispositivos además implica la implementación de métodos comprobados de protección física de dispositivos de red. Fortificar el reino es un proceso continuo para proteger la infraestructura de red de una organización y requiere una vigilancia constante de las amenazas contra el reino.
Cybersecurity Essentials - ES 0118
15 2
Capítulo 8: Uniéndose al orden de los héroes cibernéticos El avance de la tecnología produjo varios dispositivos que se usan en la sociedad diariamente para interconectar el mundo. Esta creciente conectividad, sin embargo, produce mayor riesgo de robo, fraude y abuso en la infraestructura tecnológica. Este capítulo categoriza la infraestructura de la tecnología de la información en siete dominios. Cada dominio requiere controles de seguridad adecuados para cumplir los requisitos de la tríada CIA. El capítulo analiza las leyes que afectan los requisitos de la ciberseguridad y la tecnología. Muchas de estas leyes se centran en los diferentes tipos de datos que se encuentran en diversos sectores y contienen los conceptos de privacidad y seguridad informática. Varias agencias dentro del gobierno estadounidense regulan el cumplimiento de estos tipos de leyes por parte de una organización. Los especialistas en ciberseguridad deben comprender cómo las leyes y los intereses de la organización ayudan a guiar las decisiones éticas. La ética cibernética analiza el efecto del uso de computadoras y tecnologías en las personas y la sociedad. Las organizaciones emplean a especialistas en ciberseguridad en varios puestos diferentes, como analizadores de penetración, expertos en seguridad y otros profesionales de seguridad de la red. Los especialistas en ciberseguridad ayudan a proteger los datos personales y la capacidad de utilizar los servicios basados en la red. El capítulo analiza el camino para convertirse en un especialista en ciberseguridad. Por último, este capítulo analiza varias herramientas disponibles para los especialistas en ciberseguridad.
Vulnerabilidades y amenazas comunes a los usuarios El dominio de usuario incluye a los usuarios que acceden al sistema de información de la organización. Los usuarios pueden ser empleados, clientes, contratistas empresariales y otros individuos que deben acceder a los datos. Los usuarios generalmente son el eslabón más débil en los sistemas de seguridad informática y representan una amenaza importante para la confidencialidad, la integridad y la disponibilidad de los datos de la organización. A menudo, las prácticas de usuario riesgosas o deficientes socavan incluso hasta el mejor sistema de seguridad. Las siguientes son amenazas comunes a los usuarios presentes en muchas organizaciones:
Ningún reconocimiento de la seguridad: Los usuarios deben conocer los datos confidenciales, las políticas y los procedimientos de seguridad, las tecnologías y las contramedidas proporcionados para proteger la información y los sistemas de información.
Políticas de seguridad mal aplicadas: Todos los usuarios deben conocer las políticas de seguridad y las consecuencias del cumplimiento de las políticas de la organización.
Robo de datos: El robo de datos por parte de los usuarios tiene un costo financiero para las organizaciones; Esto genera daños en la reputación de las organizaciones o supone una responsabilidad legal asociada a la divulgación de información confidencial.
Descargas no autorizadas: Muchas infecciones y ataques a redes y estaciones de trabajo se remontan a los usuarios que descargan correos electrónicos, fotos, música, juegos, aplicaciones, programas y videos no autorizados en las estaciones de trabajo, las redes o los dispositivos de almacenamiento.
Medios no autorizados: El uso de medios no autorizados como CD, unidades USB y dispositivos de almacenamiento en red pueden provocar infecciones y ataques de malware.
VPN no autorizadas: Las VPN pueden ocultar el robo de información no autorizada. La encriptación que normalmente se usa para proteger la confidencialidad no permite que el personal de seguridad de TI vea la transmisión de datos sin la debida autorización.
Sitios web no autorizados: El acceso a sitios web no autorizados puede representar un riesgo para los datos del usuario, los dispositivos y la organización. Muchos sitios web solicitan a los visitantes
Cybersecurity Essentials - ES 0118
15 3
que descarguen scripts o complementos que contienen código malicioso o adware. Algunos de estos sitios pueden apoderarse de dispositivos, como cámaras, y aplicaciones.
Destrucción de sistemas, aplicaciones o datos: La destrucción accidental o deliberada; O el sabotaje de sistemas, aplicaciones y datos supone un gran riesgo para todas las organizaciones. Los activistas, los empleados descontentos y los competidores del sector pueden eliminar datos, destruir dispositivos o configurar mal los dispositivos para que no pueda disponerse de los datos y los sistemas de información.
Ninguna solución, control o contramedida técnica hace que los sistemas de información sean más seguros que los comportamientos y los procesos de las personas que los usan.
Manejo de las amenazas a los usuarios Las organizaciones pueden implementar diversas medidas para manejar las amenazas a los usuarios:
Realizar capacitaciones de reconocimiento de seguridad mostrando carteles de reconocimiento de seguridad, insertando recordatorios en anuncios de saludo y enviando recordatorios por correo electrónico a los empleados.
Educar a los usuarios anualmente sobre las políticas, los manuales de personal y las actualizaciones de guías.
Vincular el reconocimiento de seguridad con los objetivos de revisión del rendimiento.
Habilitar la detección del antivirus y el filtrado de contenido para los archivos adjuntos por correo electrónico.
Utilizar el filtrado de contenido para aceptar o rechazar nombres de dominio específicos conforme a las políticas de uso aceptable (AUP).
Deshabilitar los puertos USB y las unidades de CD internas.
Cybersecurity Essentials - ES 0118
15 4
Habilitar el análisis antivirus automático para medios insertados, archivos y adjuntos por correo electrónico.
Restringir el acceso a los usuarios a solo aquellos sistemas, aplicaciones y datos necesarios para realizar el trabajo.
Minimizar los permisos de escritura/eliminación del propietario de datos únicamente.
Seguir y controlar el comportamiento anormal de los empleados, el rendimiento laboral errático y el uso de la infraestructura de TI en horarios no laborales.
Implementar procedimientos de bloqueo del control de acceso basados en el monitoreo y el cumplimiento de las AUP.
Habilitar el sistema de detección de intrusiones y el sistema de prevención de intrusiones (IDS/IPS) que monitorean los accesos y puestos confidenciales de los empleados.
La tabla que se muestra en la figura une las amenazas al dominio de usuario con las contramedidas utilizadas para manejarlas.
Amenazas comunes a los dispositivos Un dispositivo es cualquier computadora de escritorio, PC portátil, tablet o smartphone que se conecta a la red. Las siguientes son amenazas a los dispositivos:
Estaciones de trabajo desatendidas: Las estaciones de trabajo que se dejan encendidas y desatendidas representan un riesgo de acceso no autorizado a los recursos de la red.
Descargas del usuario: Los archivos, las fotos, la música o los videos descargados pueden ser un vehículo para el código malicioso.
Cybersecurity Essentials - ES 0118
15 5
Software sin parches: las vulnerabilidades en la seguridad del software ofrecen debilidades que los cibercriminales pueden aprovechar.
Malware: Nuevos virus, gusanos y otros códigos maliciosos salen a luz diariamente.
Medios no autorizados: Los usuarios que insertan unidades USB, CD o DVD pueden introducir malware o correr el riesgo de comprometer los datos almacenados en la estación de trabajo.
Violación de la política de uso aceptable: Las políticas existen para proteger la infraestructura de TI de la organización.
Manejo de las amenazas a los dispositivos Las organizaciones pueden implementar diversas medidas para manejar las amenazas a los dispositivos:
Establecer políticas para los umbrales de bloqueo y protección de contraseñas en todos los dispositivos.
Habilitar el bloqueo de la pantalla durante las horas de inactividad.
Desactivar los derechos administrativos de los usuarios.
Definir pautas, procedimientos, estándares y políticas de control de acceso.
Actualizar y corregir todos los sistemas operativos y las aplicaciones de software.
Cybersecurity Essentials - ES 0118
15 6
Implementar soluciones de antivirus automatizadas que exploren el sistema y actualizar el software antivirus para proporcionar la protección adecuada.
Desactivar todos los puertos USB, CD y DVD.
Habilitar los análisis de antivirus automáticos para cualquier CD, DVD o unidad USB insertados.
Usar el filtrado de contenido.
Realizar capacitaciones de reconocimiento de seguridad anuales obligatorias o implementar campañas y programas de concienciación sobre seguridad que se ejecuten durante todo el año.
La tabla que se muestra en la figura une las amenazas al dominio de dispositivo con las contramedidas utilizadas para manejarlas.
Amenazas comunes a la LAN La red de área local (LAN) es un conjunto de dispositivos interconectados mediante cables u ondas de radio. El dominio de LAN requiere sólidos controles de acceso y seguridad, dado que los usuarios pueden acceder a los sistemas, las aplicaciones y los datos del dominio de LAN de la organización. Las siguientes son amenazas a la LAN:
Acceso a la LAN no autorizado: Los armarios de cableado, los centros de datos y las salas de computación deben permanecer seguras.
Acceso no autorizado a sistemas, aplicaciones y datos.
Vulnerabilidades de software del sistema operativo de la red.
Actualizaciones del sistema operativo de la red.
Acceso no autorizado de usuarios dudosos a las redes inalámbricas.
Ataques a datos en tránsito.
Cybersecurity Essentials - ES 0118
15 7
Servidores de LAN con diferentes sistemas operativos o hardware: Administrar y solucionar problemas de los servidores se torna cada vez más difícil con las variadas configuraciones.
Escaneo de puertos y sondeo de redes no autorizados.
Firewall mal configurado.
Manejo de las amenazas a la LAN Las organizaciones pueden implementar diversas medidas para manejar las amenazas a la red de área local:
Proteger los armarios de cableado, los centros de datos y las salas informáticas. Denegar el acceso a cualquier persona sin las credenciales adecuadas.
Definir pautas, procedimientos, estándares y políticas de control de acceso estrictos.
Restringir los privilegios de acceso a determinadas carpetas y archivos en función de la necesidad.
Requerir contraseñas o la autenticación para las redes inalámbricas.
Implementar la encriptación entre los dispositivos y las redes inalámbricas para mantener la confidencialidad.
Implementar estándares de configuración del servidor de la LAN.
Realizar pruebas de penetración posterior a la configuración.
Cybersecurity Essentials - ES 0118
15 8
Deshabilitar el ping y escaneo de puertos.
La tabla que se muestra en la figura une las amenazas al dominio de LAN con las contramedidas utilizadas para manejarlas.
Amenazas comunes a la nube privada El dominio de nube privada incluye servidores, recursos e infraestructura de TI privados disponibles para los miembros de la organización a través de Internet. Las siguientes son amenazas a la nube privada:
Escaneo de puertos y sondeo de redes no autorizados.
Acceso no autorizado a los recursos.
Vulnerabilidades de software del sistema operativo del dispositivo de red, firewall o router.
Error de configuración del dispositivo de red, firewall o router.
Usuarios remotos que acceden a la infraestructura de la organización y descargan datos confidenciales.
Cybersecurity Essentials - ES 0118
15 9
Manejo de las amenazas a la nube privada Las organizaciones pueden implementar diversas medidas para manejar las amenazas a la nube privada:
Desactivar el ping, el sondeo y el escaneo de puertos.
Implementar sistemas de prevención y detección de intrusiones.
Supervisar las anomalías del tráfico IP entrante.
Actualizar los dispositivos con parches y correcciones de seguridad.
Realizar pruebas de penetración posteriores a la configuración.
Probar el tráfico entrante y saliente.
Implementar un estándar de clasificación de datos.
Implementar el escaneo y la supervisión de la transferencia de archivos para los tipos de archivos desconocidos.
La tabla que se muestra en la figura une las amenazas al dominio de nube privada con las contramedidas utilizadas para manejarlas.
Cybersecurity Essentials - ES 0118
16 0
Amenazas comunes a la nube pública El dominio de nube pública incluye los servicios alojados por un proveedor de la nube, un proveedor de servicios o un proveedor de Internet. Los proveedores de la nube implementan controles de seguridad para proteger el entorno de la nube, pero las organizaciones son responsables de proteger sus recursos en la nube. Existen tres modelos de servicios diferentes entre los que una organización puede elegir:
Software como servicio (SaaS): un modelo por suscripción que brinda acceso al software alojado de manera centralizada al que los usuarios acceden mediante un navegador web.
Plataforma como servicio (PaaS): proporciona una plataforma que permite que una organización desarrolle, ejecute y administre sus aplicaciones en el hardware del servicio con herramientas provistas por el servicio.
Infraestructura como servicio (IaaS): proporciona recursos de computación virtualizados, como hardware, software, servidores, almacenamiento y otros componentes de infraestructura en Internet.
Las siguientes son amenazas a la nube pública:
Violaciones de datos.
Pérdida o robo de propiedad intelectual.
Credenciales comprometidas.
Los repositorios de identidad federados son un objetivo de gran valor.
Secuestro de una cuenta.
Falta de comprensión por parte de la organización.
Ataques de ingeniería social que atraen a la víctima.
Cybersecurity Essentials - ES 0118
16 1
Violación del cumplimiento.
Manejo de las amenazas a la nube pública Las organizaciones pueden implementar varias medidas para manejar las amenazas a las instalaciones físicas:
Autenticación de varios factores.
Uso de la encriptación.
Implementación de contraseñas de un solo uso, autenticación telefónica y tarjetas inteligentes.
Aplicaciones y datos de distribución a través de varias zonas.
Procedimientos de copia de respaldo de datos.
Diligencia debida.
Programas de concientización de seguridad.
Políticas.
La tabla que se muestra en la figura una las amenazas al dominio de nube pública con las contramedidas utilizadas para manejarlas.
Cybersecurity Essentials - ES 0118
16 2
Amenazas comunes a las instalaciones físicas El dominio de instalaciones físicas incluye todos los servicios utilizados por una organización, entre ellos, la HVAC, el agua y la detección de incendios. Este dominio además incluye medidas de seguridad física empleadas para proteger la instalación. Las siguientes son amenazas a las instalaciones de la organización:
Amenazas naturales, incluidos problemas meteorológicos y riesgos geológicos.
Acceso no autorizado a las instalaciones.
Interrupciones eléctricas.
Ingeniería social para conocer los procedimientos de seguridad y las políticas de la oficina.
Violación de las defensas del perímetro electrónico.
Robo.
Pasillos abiertos que permiten que un visitante camine directamente hacia las instalaciones internas.
Centros de datos desbloqueados.
Falta de vigilancia.
Cybersecurity Essentials - ES 0118
16 3
Manejo de las amenazas a las instalaciones físicas Las organizaciones pueden implementar varias medidas para manejar las amenazas a las instalaciones físicas:
Implementar el control de acceso y la cobertura de circuito de TV cerrado (CCTV) en todas las entradas.
Establecer políticas y procedimientos para los invitados que visitan la instalación.
Probar la seguridad en edificios a través de medios cibernéticos y físicos para obtener acceso encubierto.
Implementar la encriptación de tarjetas de identificación para el acceso a las entradas.
Desarrollar un plan de recuperación tras un desastre.
Desarrollar un plan de continuidad empresarial.
Realizar capacitaciones de concientización en seguridad periódicamente.
Implementar un sistema de etiquetado de activos.
La tabla que se muestra en la figura une las amenazas al dominio de instalaciones físicas con las contramedidas utilizadas para manejarlas.
Cybersecurity Essentials - ES 0118
16 4
Amenazas comunes a las aplicaciones El dominio de aplicación incluye todos los sistemas críticos, las aplicaciones y los datos. Además, incluye hardware y cualquier diseño lógico requeridos. Las organizaciones están moviendo aplicaciones, como el correo electrónico, el monitoreo de la seguridad y la administración de la base de datos a la nube pública. Las siguientes son amenazas a las aplicaciones:
Acceso no autorizado a los centros de datos, las salas de computadoras y los armarios de cableado.
Tiempo de inactividad del servidor para fines de mantenimiento.
Vulnerabilidades de software del sistema operativo de la red.
Acceso no autorizado a los sistemas.
Pérdida de datos.
Tiempo de inactividad de los sistemas de TI durante un largo período.
Vulnerabilidades de desarrollo de aplicaciones web o de cliente/servidor.
Cybersecurity Essentials - ES 0118
16 5
Manejo de las amenazas a las aplicaciones Las organizaciones pueden implementar diversas medidas para manejar las amenazas al dominio de aplicación:
Implementar políticas, estándares y procedimientos para que el personal y los visitantes se aseguren de que las instalaciones están seguras.
Realizar pruebas de software antes del lanzamiento.
Implementar estándares de clasificación de datos.
Desarrollar una política para abordar las actualizaciones del sistema operativo y el software de aplicaciones.
Implementar procedimientos de copia de respaldo.
Desarrollar un plan de continuidad empresarial para que las aplicaciones críticas mantengan la disponibilidad de las operaciones.
Desarrollar un plan de recuperación tras un desastre para las aplicaciones y los datos críticos.
Implementar inicios de sesión.
La tabla que se muestra en la figura une las amenazas al dominio de aplicación con las contramedidas utilizadas para manejarlas.
Cybersecurity Essentials - ES 0118
16 6
Ética de los especialistas en ciberseguridad La ética es la pequeña voz en segundo plano que orienta a los especialistas en ciberseguridad sobre qué deben hacer, independientemente de si es legal. La organización encomienda a los especialistas en ciberseguridad los recursos y los datos más confidenciales. Los especialistas en ciberseguridad deben comprender cómo las leyes y los intereses de la organización ayudan a guiar las decisiones éticas. Los ciberdelincuentes que ingresan en un sistema, roban números de tarjetas de crédito y liberan un gusano realizan acciones poco éticas. ¿Cómo distingue una organización las acciones de un especialista en ciberseguridad si son similares? Por ejemplo, un especialista en ciberseguridad puede detener la propagación de un gusano de forma preventiva con un parche. De hecho, el especialista en ciberseguridad lanza un gusano. Sin embargo, el gusano no es malicioso. ¿Se aprueban sus acciones en este caso? Los siguientes sistemas éticos ven la ética desde varias perspectivas. Ética de los servicios públicos Durante el siglo XIX, Jeremy Benthan y John Stuart Mill desarrollaron la ética de los servicios públicos. El principio rector es que cualquier acción en la que el bien supere al mal es una opción ética. Enfoque de los derechos El principio rector del enfoque de los derechos es que las personas tienen el derecho de tomar sus propias decisiones. Esta perspectiva observa cómo una acción afecta los derechos de otras personas para evaluar si una acción es correcta o incorrecta. Estos derechos incluyen el derecho a la verdad, la privacidad y la seguridad; la sociedad debe aplicar las leyes equitativamente para todos sus miembros. Enfoque del bien común El enfoque del bien común propone que el bien común es lo que beneficia a la comunidad. En este caso, un especialista en ciberseguridad observa cómo una acción afecta el bien común de la sociedad o la comunidad. Ninguna respuesta inequívoca proporciona soluciones obvias para los problemas éticos a los que se enfrentan los especialistas en ciberseguridad. La respuesta sobre qué es correcto o incorrecto puede cambiar según la situación y la perspectiva ética.
Cybersecurity Essentials - ES 0118
16 7
Instituto de Ética Informática El Instituto de Ética Informática es un recurso que identifica, evalúa y responde a problemas éticos en el sector de la tecnología de la información. El CEI (por sus siglas en inglés) fue una de las primeras organizaciones en reconocer los problemas de políticas públicas y éticas que surgían del rápido crecimiento del campo de la tecnología de la información. La figura enumera los diez mandamientos de la ética informática creados por el Instituto de Ética Informática.
Delito cibernético Las leyes prohíben los comportamientos no deseados. Desafortunadamente, los avances de las tecnologías del sistema de información son mayores que los avances del sistema legal de avenencia y legislación. Cierta cantidad de leyes y regulaciones afecta el ciberespacio. Varias leyes específicas rigen las políticas y los procedimientos desarrollados por una organización para garantizar su cumplimiento. Delito cibernético Una computadora puede verse involucrada en un delito cibernético de diferentes maneras. Puede ser un delito asistido por computadora, un delito dirigido a una computadora o un delito informático incidental. La pornografía infantil es un ejemplo de delito informático incidental; La computadora es un dispositivo de almacenamiento y no es la herramienta real utilizada para cometer el delito. El crecimiento del delito cibernético se debe a varios motivos. Hoy en día existen muchas herramientas ampliamente disponibles en Internet y los posibles usuarios no necesitan mucha experiencia para usarlas. Organizaciones creadas para luchar contra el delito cibernético Hay una cantidad de agencias y organizaciones que ayudan a combatir el delito cibernético. Haga clic en cada uno de los enlaces en la figura para visitar los sitios web de estas organizaciones que ayudan a mantenerse al día con los problemas importantes.
Ciberleyes regulatorias, civiles y penales En los Estados Unidos hay tres fuentes primarias de leyes y regulaciones: leyes estatutarias, leyes administrativas y leyes comunes. Las tres fuentes involucran la seguridad informática. El Congreso de los Estados Unidos estableció agencias administrativas federales y un marco de trabajo regulatorio que incluye sanciones civiles y penales para quienes incumplen las reglas. Los derechos penales aplican un código moral comúnmente aceptado respaldado por la autoridad gubernamental. Las regulaciones establecen reglas diseñadas para abordar las consecuencias en una sociedad en constante cambio que aplica sanciones por infringir dichas reglas. Por ejemplo, la Ley de Abuso y Fraude Informático es una ley estatutaria. Administrativamente, la FCC y la Comisión Federal de Comercio se ocupan de problemas tales como el fraude y el robo de la propiedad intelectual. Por último, los casos de leyes comunes resuelven sus problemas a través del sistema judicial que ofrece precedentes y bases constitucionales para las leyes. Ley Federal de Administración de Seguridad de la Información (FISMA) El Congreso elaboró la FISMA en 2002 para cambiar el enfoque del gobierno estadounidense respecto de la seguridad informática. Como los mayores creadores y usuarios de información, los sistemas de TI federales son objetivos de alto valor para los ciberdelincuentes. La FISMA se aplica a los sistemas de TI de las agencias federales y estipula que las agencias deben crear un programa de seguridad de la información que incluya lo siguiente:
Evaluación de riesgos
Inventario anual de los sistemas de TI
Cybersecurity Essentials - ES 0118
16 8
Políticas y procedimientos para reducir el riesgo
Capacitaciones de concientización en seguridad
Prueba y evaluación de todos los controles del sistema de TI
Procedimiento de respuesta ante los incidentes
Continuidad del plan de operaciones
Leyes específicas del sector Muchas leyes específicas del sector tienen un componente de privacidad o seguridad. El gobierno estadounidense requiere el cumplimiento de las organizaciones de estos sectores. Los especialistas en ciberseguridad deben ser capaces de traducir los requisitos legales en prácticas y políticas de seguridad. Ley Gramm-Leach-Bliley (GLBA) La Ley Gramm-Leach-Bliley es una ley que afecta principalmente el sector financiero. Parte de dicha ley, sin embargo, incluye disposiciones de privacidad para los individuos. La disposición permite métodos de exclusión voluntaria para que los individuos puedan controlar el uso de la información provista en una transacción comercial con una organización que forma parte de la institución financiera. La GLBA restringe el intercambio de información con firmas externas. Ley Sarbanes-Oxley (SOX) Después de varios escándalos contables corporativos de alto perfil en los Estados Unidos, el congreso aprobó la Ley Sarbanes-Oxley (SOX). El propósito de la SOX era revisar los estándares contables corporativos y financieros, específicamente los estándares de las firmas públicas comercializadas estadounidenses. Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) El sector privado también reconoce la importancia de los estándares uniformes y ejecutables. Un Consejo de Estándares de Seguridad integrado por las principales corporaciones en el sector de las tarjetas de pago diseñó una iniciativa del sector privado para mejorar la confidencialidad de las comunicaciones de red. El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de reglas contractuales que rige cómo proteger los datos de las tarjetas de crédito cuando los bancos y los comerciantes intercambian transacciones. El PCI DSS es (en teoría) un estándar voluntario y los comerciantes/proveedores pueden elegir si desean cumplirlo. Sin embargo, el incumplimiento de los proveedores puede provocar tasas de transacción significativamente mayores, multas de hasta USD 500 000 e incluso la pérdida de la capacidad para procesar tarjetas de crédito. Restricciones a la importación/exportación de encriptación Desde la Segunda Guerra Mundial, Estados Unidos ha regulado la exportación de la criptografía debido a consideraciones de seguridad nacional. La Oficina de Industria y Seguridad del Departamento de Comercio ahora controla las exportaciones criptográficas no militares. Aún hay restricciones de exportación para los estados agresores y las organizaciones terroristas. Los países pueden decidir si desean restringir la importación de las tecnologías criptográficas por los siguientes motivos:
La tecnología puede contener una puerta trasera o una vulnerabilidad en la seguridad.
Los ciudadanos pueden comunicarse anónimamente y evitar el monitoreo.
Cybersecurity Essentials - ES 0118
16 9
La criptografía puede aumentar los niveles de privacidad a un nivel aceptable.
Leyes de notificación de infracciones a la seguridad Las empresas recopilan cantidades cada vez mayores de información personal sobre sus clientes, desde contraseñas de cuentas y direcciones de correo electrónico hasta información médica y financiera altamente confidencial. Las empresas grandes y pequeñas reconocen el valor del análisis de datos masivos y datos. Esto fomenta a las organizaciones a recopilar y almacenar información. Los ciberdelincuentes buscan constantemente nuevas maneras de obtener dicha información o de acceder y atacar los datos más confidenciales de una empresa. Las organizaciones que recopilan datos confidenciales deben ser buenos guardianes de datos. En respuesta a este crecimiento en la recopilación de datos, varias leyes requieren que las organizaciones que recopilan datos de información personal notifiquen a las personas si se produce una violación de sus datos personales. Para ver una lista de estas leyes, haga clic aquí. Ley de Privacidad de Comunicaciones Electrónicas (ECPA) La Ley de Privacidad de Comunicaciones Electrónicas (ECPA) aborda una infinidad de cuestiones legales de privacidad que surgen del uso cada vez mayor de computadoras y otras tecnologías específicas para las telecomunicaciones. Las secciones de esta ley abordan el correo electrónico, las comunicaciones celulares, la privacidad del lugar de trabajo y el host, entre otros problemas relacionados con la comunicación electrónica. Ley de Abuso y Fraude Informático (1986) La Ley de Abuso y Fraude Informático (CFAA) ha estado en vigencia por más de 20 años. La CFAA proporciona la base para las leyes estadounidenses que penalizan el acceso no autorizado a los sistemas informáticos. La CFAA considera un delito acceder intencionadamente y sin permiso a una computadora del gobierno o una computadora utilizada en el mercado interestatal. La CFAA también penaliza el uso de una computadora en un delito de naturaleza interestatal. La ley penaliza el tráfico de contraseñas o información de acceso similar y la transmisión intencionada de un programa, un código o un comando que da como resultado un daño.
Protección de la privacidad Las siguientes leyes estadounidenses protegen la privacidad. Ley de Privacidad de 1974 Esta ley establece un Código de práctica de información justa que rige la recopilación, el mantenimiento, el uso y la transmisión de la información de identificación personal de los individuos conservada en sistemas de registro por las agencias federales. Ley de Libertad de Información (FOIA) La FOIA permite el acceso público a los registros del gobierno estadounidense. La FOIA lleva aparejada la presunción de divulgación, por lo que la carga recae en el gobierno acerca de por qué no puede hacer pública la información. Hay nueve exenciones de divulgación relacionadas con la FOIA:
Información de políticas externas y seguridad nacional.
Prácticas y reglas para el personal interno de una agencia.
Información específicamente exenta por estatuto.
Información empresarial confidencial.
Cybersecurity Essentials - ES 0118
17 0
Comunicación interinstitucional o intrainstitucional sujeta a procesos deliberativos, litigaciones y otros privilegios.
Información que, si se divulga, constituirá una clara invasión infundada a la privacidad personal.
Registros de aplicación de las leyes que implican uno de varios problemas enumerados.
Información de agencias de instituciones financieras.
Información geológica y geofísica relacionada con los pozos.
Ley de Privacidad y Registros de Educación Familiar (FERPA) Esta ley federal concedió acceso a los estudiantes a los registros educativos. La FERPA es opcional, dado que el estudiante debe aprobar la divulgación de la información antes de que suceda. Cuando un alumno cumple 18 años o ingresa en una institución postsecundaria a cualquier edad, los derechos de la FERPA pasan de los padres del estudiante al estudiante. Ley de Abuso y Fraude Informático (CFAA) de los Estados Unidos Esta ley federal se aplica a la recopilación en línea de información personal por parte de personas o entidades bajo la jurisdicción estadounidense para niños menores de 13 años. Antes de recopilar y utilizar la información de niños (de 13 años o menos), se debe obtener el permiso de los padres. Ley de Protección de la Privacidad Infantil en Línea (COPPA) de los Estados Unidos Esta ley federal se aplica a la recopilación en línea de información personal por parte de personas o entidades bajo la jurisdicción estadounidense para niños menores de 13 años. Antes de recopilar y utilizar la información de niños (de 13 años o menos), se debe obtener el permiso de los padres. Ley de Protección Infantil en Internet (CIPA) de los Estados Unidos El Congreso de los Estados Unidos aprobó la CIPA en el año 2000 para proteger a los niños menores de 17 años de la exposición a contenidos ofensivos y material obsceno de Internet. Ley de Protección de Privacidad de Videos (VPPA) La Ley de Protección de Privacidad de Videos protege a las personas que rentan cintas de video, DVD y juegos de la divulgación a terceros. El estatuto ofrece protección de forma predeterminada, por lo que requiere que las empresas de renta de videos obtengan el consentimiento del arrendatario para optar por la exclusión de las protecciones si desean divulgar información personal sobre las rentas. Muchos abogados de privacidad consideran que la VPPA es la ley de privacidad más fuerte de los EE. UU. Ley de Portabilidad y Responsabilidad del Seguro Médico Los estándares exigen protecciones de seguridad para el almacenamiento físico, el mantenimiento, la transmisión y el acceso de la información médica de las personas. La HIPAA exige que las organizaciones que utilizan firmas electrónicas cumplan los estándares y garanticen la integridad de la información, la autenticación del firmante y el no repudio. Ley del Senado de California de 1386 (SB 1386) California fue el primer estado en aprobar una ley relacionada con la notificación de la divulgación no autorizada de información de identificación personal. Desde entonces, muchos otros estados han seguido el ejemplo. Cada una de estas leyes de notificación de la divulgación es diferente, lo que plantea el caso de un estatuto federal unificado convincente. Esta ley requiere que las agencias notifiquen a los consumidores sus derechos y responsabilidades. Exige que el estado notifique a los ciudadanos cuando se pierde o divulga la PII. Desde que se aprobó la SB 1386, muchos otros estados han modelado su legislación sobre este proyecto de ley. Políticas de privacidad
Cybersecurity Essentials - ES 0118
17 1
Las políticas son la mejor manera de garantizar el cumplimiento en una organización; Una política de privacidad desempeña un rol importante dentro de una organización, especialmente con la cantidad de leyes decretadas para proteger la privacidad. Uno de los resultados directos de los estatutos legales asociados a la privacidad ha sido el desarrollo de la necesidad de políticas de privacidad corporativas relacionadas con la recopilación de datos. Evaluación del impacto en la privacidad (PIA) La evaluación del impacto en la privacidad garantiza que la información de identificación personal (PII) esté correctamente administrada dentro de una organización.
Establezca el alcance de la PIA.
Identifique las partes interesadas clave.
Documente todos los contactos con la PII.
Revise los requisitos legales y normativos.
Documente los posibles problemas causados al comparar requisitos y prácticas.
Revise los resultados con las partes interesadas clave.
Leyes internacionales Con el crecimiento de las conexiones de red global e Internet, el acceso no autorizado a un sistema informático o la violación de una computadora son preocupaciones que pueden tener consecuencias nacionales e internacionales. Las leyes nacionales sobre violaciones a una computadora existen en muchos países, pero siempre existe la posibilidad de brechas en cómo estas naciones manejan este tipo de delito. Convención sobre Delito Cibernético La Convención sobre Delito Cibernético es el primer tratado internacional sobre delitos de Internet (UE, Estados Unidos, Canadá, Japón y otros). Las políticas comunes manejan el delito cibernético y abordan lo siguiente: infracción de derechos de autor, fraude relacionado con la computación, pornografía infantil e infracciones a la seguridad de la red. Haga clic aquí para leer más sobre la Convención sobre Delito Cibernético. Centro de Información sobre la Privacidad Electrónica (EPIC) El EPIC promueve políticas y leyes gubernamentales abiertas y de privacidad globalmente, pero se centra en las relaciones entre la UE y los Estados Unidos. Haga clic aquí para ver las últimas novedades.
Base de datos nacional de vulnerabilidades La base de datos nacional de vulnerabilidades (NVD) es un repositorio de datos de administración de vulnerabilidades basadas en estándares del gobierno estadounidense que utiliza el protocolo de automatización de contenido de seguridad (SCAP). El SCAP es un método para utilizar estándares específicos para automatizar la administración de vulnerabilidades, la medición y la evaluación del cumplimiento de políticas. Haga clic aquí para visitar el sitio web de la base de datos nacional de vulnerabilidades. El SCAP utiliza estándares abiertos para enumerar las fallas y los problemas de configuración del software de seguridad. Las especificaciones organizan y miden la información relacionada con la seguridad de maneras estandarizadas. La comunidad del SCAP es una asociación entre el sector de nubes públicas y privadas que fomenta la estandarización de las operaciones de seguridad técnicas. Haga clic aquí para visitar el sitio web del protocolo de automatización de contenido de seguridad (SCAP).
Cybersecurity Essentials - ES 0118
17 2
La NVD utiliza el sistema de calificación de vulnerabilidades comunes para evaluar el impacto de las vulnerabilidades. Una organización puede usar las puntuaciones para clasificar la gravedad de las vulnerabilidades que encuentra dentro de la red. Esto, a su vez, puede ayudar a determinar la estrategia de mitigación. El sitio además contiene varias listas de comprobación que proporcionan orientación sobre la configuración de los sistemas operativos y las aplicaciones para un entorno protegido. Haga clic aquí para visitar el repositorio nacional de programas de listas de comprobación.
CERT El Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon ayuda al gobierno y las organizaciones del sector a desarrollar, operar y mantener sistemas de software innovadores, asequibles y confiables. Se trata de un centro de investigación y desarrollo subvencionado por el gobierno federal patrocinado por el Departamento de Defensa de los Estados Unidos. La división del CERT del SEI estudia y resuelve los problemas en el área de la ciberseguridad, entre ellos, las vulnerabilidades en la seguridad en los productos de software, los cambios en los sistemas de red y la capacitación para mejorar la ciberseguridad. El CERT ofrece los siguientes servicios:
Ayuda a resolver las vulnerabilidades del software.
Desarrolla herramientas, productos y métodos para realizar exámenes de informática forense.
Desarrolla herramientas, productos y métodos para analizar vulnerabilidades.
Desarrolla herramientas, productos y métodos para supervisar grandes redes.
Ayuda a las organizaciones a determinar cuán eficaces son las prácticas relacionadas con la seguridad.
El CERT tiene una amplia base de datos de información sobre las vulnerabilidades del software y los códigos maliciosos que ayuda a desarrollar soluciones y estrategias de corrección. Haga clic aquí para visitar el sitio web del CERT.
Internet Storm Center Internet Storm Center (ISC) proporciona un servicio de análisis y alerta gratuito a las organizaciones y los usuarios de Internet. También trabaja con los proveedores de servicios de Internet para combatir a los ciberdelincuentes maliciosos. Internet Storm Center recopila millones de entradas de registros de sistemas de detección de intrusiones cada día mediante sensores que cubren 500 000 direcciones IP en más de 50 países. El ISC identifica los sitios utilizados para los ataques y proporciona datos sobre los tipos de ataques lanzados contra diversos sectores y regiones del mundo. Haga clic aquí para visitar el Internet Storm Center. El sitio web ofrece los siguientes recursos:
Un archivo de blog diario de seguridad informática.
Podcasts, como Daily Stormcasts; Actualizaciones diarias de amenazas a la seguridad informática que duran entre 5 y 10 minutos.
Publicaciones de empleos de seguridad informática.
Noticias sobre seguridad informática.
Herramientas de seguridad informática.
Cybersecurity Essentials - ES 0118
17 3
Informes de seguridad informática.
Foros de seguridad informática para el ISC del SANS.
El SANS apoya el Internet Storm Center. El SANS es una fuente confiable para la investigación, la certificación y la capacitación en seguridad informática.
Centro de Ciberseguridad Avanzada El Centro de Ciberseguridad Avanzada (ACSC) es una organización sin fines de lucro que reúne a la industria, los círculos académicos y el gobierno para abordar las ciberamenazas avanzadas. La organización comparte información sobre ciberamenazas, participa en la investigación y el desarrollo de la ciberseguridad y crea programas educativos para promover la profesión de la ciberseguridad. El ACSC definió cuatro desafíos que definen sus prioridades:
Desarrollar sistemas sólidos para recuperarse de ataques y fallas.
Mejorar la seguridad móvil.
Elaborar intercambios de amenazas en tiempo real.
Integrar los riesgos cibernéticos con los marcos de trabajo de riesgo empresariales.
Haga clic aquí para visitar el Centro de Ciberseguridad Avanzada.
Escáneres de vulnerabilidades Un escáner de vulnerabilidades evalúa las computadoras, los sistemas informáticos, las redes o las aplicaciones en busca de debilidades. Los escáneres de vulnerabilidades ayudan a automatizar la auditoría de seguridad escaneando la red en busca de riesgos de seguridad y produciendo una lista prioritaria para abordar las debilidades. Un escáner de vulnerabilidades busca los siguientes tipos de vulnerabilidades:
Uso de contraseñas predeterminadas o contraseñas comunes.
Parches faltantes.
Puertos abiertos.
Errores de configuración del software y los sistemas operativos.
Direcciones IP activas.
Al momento de evaluar un escáner de vulnerabilidades, observe cómo se clasifica su precisión, confiabilidad, escalabilidad e informes. Existen dos tipos de escáneres de vulnerabilidades entre los que puede elegir: Basados en software o basados en la nube. El análisis de vulnerabilidades es fundamental para las organizaciones con redes que incluyen una gran cantidad de segmentos de red, routers, firewalls, servidores y otros dispositivos empresariales. Haga clic aquí para ver varias opciones disponibles tanto para las versiones comerciales como gratuitas.
Cybersecurity Essentials - ES 0118
17 4
Pruebas de penetración La prueba de penetración (evaluación de intrusión) es un método para probar las áreas de debilidades en los sistemas mediante diversas técnicas maliciosas. La evaluación de intrusión no es lo mismo que la prueba de vulnerabilidades. La prueba de vulnerabilidades identifica los posibles problemas. La evaluación de intrusión involucra a un especialista en ciberseguridad que hackea un sitio web, una red o un servidor con el permiso de la organización para intentar obtener acceso a recursos sabiendo los nombres de usuario y las contraseñas o por otros medios normales. La diferencia más importante entre los ciberdelincuentes y los especialistas en ciberseguridad es que los especialistas en ciberseguridad tienen el permiso de la organización para realizar estas pruebas. Uno de los motivos principales por los que una organización utiliza las evaluaciones de intrusión es la búsqueda y la corrección de las vulnerabilidades antes de que lo hagan los ciberdelincuentes. La prueba de penetración también se conoce como hackeo ético.
Analizadores de paquetes Los analizadores de paquetes (o analizadores de protocolos de paquetes) interceptan y registran el tráfico de red. El analizador de paquetes captura cada paquete, muestra los valores de varios campos en el paquete y analiza el contenido. Un analizador de protocolos puede capturar el tráfico de red tanto en redes cableadas como inalámbricas. Los analizadores de paquetes realizan las siguientes funciones:
Análisis de problemas de red.
Detección de intentos de intrusión en la red.
Aislamiento del sistema explotado.
Registro del tráfico.
Detección de usos indebidos de la red.
Haga clic aquí para ver una comparación de los analizadores de paquetes.
Cybersecurity Essentials - ES 0118
17 5
Herramientas de seguridad No existe un criterio único cuando se trata de las mejores herramientas de seguridad. Mucho depende de la situación, la circunstancia y la preferencia del personal. Un especialista en ciberseguridad debe saber dónde obtener información correcta. Kali Kali es una distribución de seguridad de Linux de código abierto. Los profesionales de TI usan Kali de Linux para probar la seguridad de sus redes. Kali de Linux incorpora más de 300 pruebas de penetración y programas de auditoría de seguridad en una plataforma de Linux. Haga clic aquí para visitar el sitio web. Conocimiento de la situación de la red Una organización debe tener la capacidad de supervisar las redes, analizar los datos resultantes y detectar actividades maliciosas. Haga clic aquí para acceder a una serie de herramientas de análisis de tráfico desarrolladas por el CERT.
Definición de las funciones del paladín de ciberseguridad El estándar ISO define las funciones de los paladines de ciberseguridad. El marco de trabajo ISO 27000 requiere:
Un alto directivo responsable de TI e ISM (generalmente el patrocinador de la auditoría).
Profesionales de seguridad informática.
Administradores de seguridad.
Un administrador de seguridad física/en el sitio y contactos de las instalaciones.
Cybersecurity Essentials - ES 0118
17 6
Un contacto de R.H. para los problemas de Recursos Humanos, como las capacitaciones y las medidas disciplinarias.
Administradores de redes y sistemas, arquitectos de seguridad y otros profesionales de TI.
Los tipos de puestos de seguridad informática se dividen de la siguiente manera:
Los definidores proporcionan políticas, pautas y estándares e incluyen asesores, que realizan evaluaciones de riesgos y desarrollan arquitecturas técnicas y productos, y personas en el más alto nivel dentro de la organización, que tienen un conocimiento amplio pero poco profundo.
Los constructores son los verdaderos técnicos que crean e instalan soluciones de seguridad.
Los supervisores administran las herramientas de seguridad, realizan la función de monitoreo de seguridad y mejoran los procesos.
Haga clic en los puestos de seguridad informática que desempeñan una función clave en cualquier organización para conocer los componentes clave de cada uno.
Herramientas de búsqueda laboral Una variedad de sitios web y aplicaciones móviles publicita trabajos de tecnología de la información. Cada sitio está dirigido a los diversos postulantes laborales y proporciona diferentes herramientas para los candidatos que investigan el puesto de trabajo ideal. Muchos sitios son agregadores de sitios de trabajo, sitios de búsqueda laboral que recopilan listas de otros sitios de empleos empresariales y bolsas laborales en una única ubicación. Indeed.com Publicitado como el sitio de trabajo número uno del mundo, Indeed.com atrae a más de 180 millones de visitantes exclusivos por mes de más de 50 países diferentes. Indeed es verdaderamente un sitio de trabajo mundial. Indeed ayuda a las empresas de todos los tamaños a contratar a los mejores talentos y ofrece las mejores oportunidades para quienes buscan trabajo. CareerBuilder.com CareerBuilder ayuda a muchas empresas grandes y prestigiosas. Como resultado, este sitio atrae a los candidatos específicos que poseen la mayor educación y las credenciales más altas. Los empleadores que publican en CareerBuilder comúnmente obtienen más candidatos con títulos universitarios, credenciales avanzadas y certificaciones industriales. USAJobs.gov El gobierno federal publica cualquier vacante en USAJobs. Haga clic aquí para obtener más información sobre el proceso de aplicación utilizado por el gobierno estadounidense.
Rsumen Capítulo 8: Uniéndose al orden de los héroes cibernéticos Este capítulo categoriza la infraestructura de la tecnología de la información creada por el avance de la tecnología en siete dominios. Un especialista en ciberseguridad exitoso debe conocer los controles de seguridad adecuados de cada dominio requeridos para cumplir con los requisitos de la tríada de CID. El capítulo analiza las leyes que afectan la tecnología y los requisitos de la ciberseguridad. Las leyes, como FISMA, GLBA y FERPA, se centran en la protección de la confidencialidad. Las leyes que se enfocan en la protección de la integridad incluyen la FISMA, SOX y FERPA; las leyes relacionadas con la disponibilidad son la FISMA, GLBA, SOX y CIPA. Además de las leyes vigentes, los especialistas en ciberseguridad deben comprender cómo el uso de las computadoras y la tecnología afecta tanto a los individuos como a la sociedad.
Cybersecurity Essentials - ES 0118
17 7
El capítulo también explora la oportunidad de convertirse en un especialista en ciberseguridad. Por último, este capítulo analiza varias herramientas disponibles para los especialistas en ciberseguridad.
Cybersecurity Essentials - ES 0118
17 8
Cybersecurity Essentials - ES 0118
1
Cybersecurity Essentials - ES 0118
2
Cybersecurity Essentials - ES 0118
3
Cybersecurity Essentials - ES 0118
4
Capítulo 1: la ciberseguridad, un mundo de paladines, héroes y delincuentes Muchos de los hackers originales del mundo eran aficionados, programadores y estudiantes de informática durante los años 60. Originalmente, el término hacker describió a las personas con habilidades de programación avanzada. Los hackers utilizan estas habilidades de programación para probar los límites y las capacidades de los primeros sistemas. Estos primeros hackers también estaban involucrados en el desarrollo de los primeros juegos de computadora. Muchos de estos juegos incluían paladines y destrezas. A medida que la cultura de hacking evolucionaba, incorporó el léxico de estos juegos en la cultura en sí. Incluso el mundo exterior comenzó a proyectar la imagen de los paladines poderosos sobre esta cultura de hacking incomprendida. Libros como Where Wizards Stay up Late: The Origins of The Internet (Cuando los paladines se quedan despiertos hasta tarde: los orígenes del Internet) publicado en 1996 agregó la mística de la cultura de hacking. La imagen y el léxico se estancaron. Muchos grupos de hacking hoy adoptan estas imágenes. Uno de los grupos de hacker más infames se lo conoce con el nombre de Legion of Doom. Es importante comprender la cultura cibernética para comprender a los delincuentes del mundo cibernético y sus motivaciones. Sun Tzu era un filósofo chino y guerrero en el siglo seis a. C. Sun Tzu escribió el libro llamado The Art of War (El arte de la guerra) que es un trabajo clásico sobre las estrategias disponibles para vencer al enemigo. Su libro ha orientado a los estrategas durante siglos. Uno de los principios guía de Sun Tzu fue conocer a su oponente. Aunque él se refería específicamente a la guerra, gran parte de sus consejos se traducen en otros aspectos de la vida, incluidos los desafíos de la ciberseguridad. Este capítulo comienza explicando la estructura del mundo de la ciberseguridad y el motivo por el que sigue creciendo. En este capítulo se analizará el rol de los delincuentes cibernéticos y sus motivaciones. Finalmente, en el capítulo se explica cómo convertirse en un especialista en ciberseguridad. Estos héroes cibernéticos ayudan a vencer a los delincuentes cibernéticos que amenazan el mundo cibernético.
Descripción general de los reinos Existen muchos grupos de datos que conforman el “mundo cibernético”. Cuando los grupos pueden recopilar y utilizar enormes cantidades de datos, comienzan a acumular poder e influencia. Estos datos pueden estar en la forma de números, imágenes, video, audio o cualquier tipo de datos que puedan digitalizarse. Estos grupos podrían resultar tan poderosos que funcionan como si fueran reinos. Empresas como Google, Facebook y LinkedIn se pueden considerar castillos de datos en la analogía del reino del mundo cibernético. Si extendemos aún más la analogía, las personas que trabajan en estas empresas digitales podrían considerarse paladines cibernéticos.
Castillos del mundo cibernético Los paladines cibernéticos en Google crearon uno de los primeros y más poderosos castillos del reino cibernético. Miles de millones de personas utilizan Google para buscar en la red diariamente. Google ha creado lo que podría considerarse la red más grande de recopilación de datos del mundo. Google desarrolla Android, los sistemas operativos instalados en más del 80 % de todos los dispositivos móviles conectados a Internet. Cada dispositivo requiere que los usuarios creen cuentas de Google que pueden guardar marcadores e información de la cuenta, guardar los resultados de búsqueda, e incluso ubicar el dispositivo. Haga clic aquí para ver algunos de los numerosos servicios que Google ofrece actualmente. Facebook es otro castillo poderoso en el reino cibernético. Los paladines cibernéticos en Facebook reconocieron que las personas crean cuentas personales a diario para comunicarse con amigos y familiares. Al hacerlo, proporcionan muchos datos personales. Estos paladines de Facebook formaron un castillo masivo de datos para ayudar a las personas a conectarse de maneras nunca antes imaginadas en el pasado. Facebook afecta la vida de millones de personas a diario y permite a las empresas y las organizaciones comunicarse con las personas de manera más personal y orientada.
Cybersecurity Essentials - ES 0118
5
LinkedIn es otro castillo de datos en el reino cibernético. Los paladines cibernéticos de LinkedIn reconocieron que sus miembros compartirían información en la búsqueda de crear una red profesional. Los usuarios de LinkedIn cargan esta información para crear perfiles en línea y conectarse con otros miembros. LinkedIn conecta a los empleados con los empleadores y a las empresas con otras empresas de todo el mundo. Una mirada dentro de estos castillos revela cómo están diseñados. En un nivel fundamental, estos castillos son firmes debido a la capacidad para recopilar datos del usuario que contribuyen los usuarios. Estos datos incluyen a menudo los antecedentes de los usuarios, discusiones, preferencias, ubicaciones, viajes, intereses, amigos y miembros de la familia, profesiones, pasatiempos y programas de trabajo y personales. Los paladines cibernéticos crean un gran valor para las organizaciones interesadas en usar estos datos para comprender y comunicarse mejor con sus clientes y empleados.
El crecimiento de los reinos cibernéticos Los datos recopilados del mundo cibernético van más allá de los datos que los usuarios contribuyen voluntariamente. El reino cibernético continúa creciendo a medida que la ciencia y la tecnología evolucionan, lo que permite que los paladines cibernéticos recopilen otras formas de datos. Los paladines cibernéticos ahora cuentan con la tecnología para hacer un seguimiento de las tendencias mundiales del clima, monitorear los océanos y seguir el movimiento y el comportamiento de las personas, los animales y los objetos en tiempo real. Surgieron nuevas tecnologías, como los Sistemas de información geoespaciales (GIS) y el Internet de todo (IdT). Estas nuevas tecnologías pueden seguir los tipos de árboles de un vecindario y proporcionar ubicaciones actualizadas de los vehículos, los dispositivos, las personas y los materiales. Este tipo de información puede ahorrar energía, mejorar la eficiencia y reducir los riesgos de seguridad. Cada una de estas tecnologías también expandirá de manera exponencial la cantidad de datos recopilados, analizados y utilizados para comprender el mundo. Los datos recopilados por GIS y el IdT constituyen un gran desafío para los profesionales de la ciberseguridad en el futuro. El tipo de datos generado por estos dispositivos tiene el potencial para permitir a los delincuentes cibernéticos obtener acceso a los aspectos muy íntimos de la vida cotidiana.
¿Quiénes son los delincuentes cibernéticos? En los primeros años del mundo de la ciberseguridad, los delincuentes cibernéticos típicos eran adolescentes o aficionados que operaban desde una PC doméstica, y sus ataques se limitaban a bromas y vandalismo. Actualmente, el mundo de los delincuentes cibernéticos se ha vuelto más peligroso. Los atacantes son personas o grupos que intentan atacar las vulnerabilidades para obtener una ganancia personal o financiera. Los delincuentes cibernéticos están interesados en todo, desde las tarjetas de crédito hasta los diseños de producto y todo lo que tenga valor. Aficionados: los aficionados, o script kiddies, tienen pocas habilidades o ninguna, y generalmente usan herramientas existentes o instrucciones que se encuentran en Internet para realizar ataques. Algunos solo son curiosos, mientras que otros intentan demostrar sus habilidades y causar daños. Pueden utilizar herramientas básicas, pero los resultados aún pueden ser devastadores. Hackers: este grupo de delincuentes penetran en las computadoras o redes para obtener acceso por varios motivos. La intención por la que interrumpen determina la clasificación de estos atacantes como delincuentes de sombrero blanco, gris o negro. Los atacantes de sombrero blanco penetran en las redes o los sistemas informáticos para descubrir las debilidades a fin de mejorar la seguridad de estos sistemas. Los propietarios del sistema les otorgan permiso para realizar la interrupción y reciben los resultados de la prueba. Por otro lado, los atacantes de sombrero negro aprovechan las vulnerabilidades para obtener una ganancia ilegal personal, financiera o política. Los atacantes de sombrero gris están en algún lugar entre los atacantes de sombrero blanco y negro. Los atacantes de sombrero gris pueden encontrar una vulnerabilidad y señalarla a los propietarios del sistema si esa acción coincide con sus propósitos. Algunos hackers de sombrero gris publican los hechos sobre la vulnerabilidad en Internet para que otros atacantes puedan sacarles provecho. La figura ofrece detalles sobre los términos hacker de sombrero blanco, negro y gris. Hackers organizados: estos hackers incluyen organizaciones de delincuentes informáticos, hacktivistas, terroristas y hackers patrocinados por el estado. Los delincuentes cibernéticos generalmente son grupos
Cybersecurity Essentials - ES 0118
6
de delincuentes profesionales centrados en el control, la energía y la riqueza. Los delincuentes son muy sofisticados y organizados, e incluso pueden proporcionar el delito cibernético como un servicio. Los hacktivistas hacen declaraciones políticas para concientizar sobre los problemas que son importantes para ellos. Los hacktivistas publican de manera pública información embarazosa sobre sus víctimas. Los atacantes patrocinados por el estado reúnen inteligencia o sabotean en nombre de su gobierno. Estos atacantes suelen estar altamente capacitados y bien financiados. Sus ataques se centran en objetivos específicos que resultan beneficiosos para su gobierno. Algunos atacantes patrocinados por el estado son incluso miembros de las fuerzas armadas de sus países. Haga clic aquí para ver representaciones gráficas de los perfiles de los hackers.
Motivos de los delincuentes cibernéticos Los perfiles de los delincuentes cibernéticos y los motivos han cambiado a lo largo de los años. El hacking comenzó en los años 60 con el «phone freaking» (o el «phreaking»), una actividad que hace referencia al uso de diversas frecuencias de audio para manipular los sistemas telefónicos. A mediados de los años 80, los delincuentes utilizaban módems de internet por acceso telefónico de la computadora para conectar las computadoras a las redes y utilizaban programas de descifrado de contraseñas para obtener acceso a los datos. Hoy en día, los delincuentes van más allá del robo de información. Los delincuentes ahora pueden usar el malware y los virus como instrumentos de alta tecnología. Sin embargo, la motivación más grande para la mayoría de los delincuentes cibernéticos es financiera. Los delitos cibernéticos se han vuelto más lucrativos que las transacciones de las drogas ilegales. Los perfiles generales del hacker y los motivos han cambiado un poco. La figura muestra los términos de hacking modernos y una breve descripción de cada una.
Cybersecurity Essentials - ES 0118
7
¿Por qué convertirse en un especialista en ciberseguridad? La demanda de especialistas en ciberseguridad ha crecido más que la demanda de otros trabajos de TI. Toda la tecnología que transforma el reino y mejora la forma de vida de las personas también puede hacerlos más vulnerables a los ataques. La tecnología en sí misma no puede prevenir, detectar, responder ni recuperarse de los incidentes de ciberseguridad. Considere lo siguiente:
El nivel de habilidad que requiere un especialista eficiente en ciberseguridad y la escasez de profesionales calificados en ciberseguridad se traduce en la posibilidad de mayores ingresos.
La tecnología de la información cambia constantemente. Esto también es cierto para la ciberseguridad. La naturaleza muy dinámica del campo de la ciberseguridad puede ser difícil y fascinante.
La carrera de un especialista en ciberseguridad también es muy transferible. Los trabajos en casi todas las ubicaciones geográficas.
Los especialistas en ciberseguridad proporcionan un servicio necesario a sus organizaciones, países y empresas, casi como las autoridades encargada del orden público o los equipos de respuesta ante una emergencia.
Cybersecurity Essentials - ES 0118
8
Convertirse en un especialista en ciberseguridad es una oportunidad profesional gratificante.
Cómo frustrar a los delincuentes cibernéticos Frustrar a los delincuentes cibernéticos es una tarea difícil y no existe algo como una «fórmula mágica». Sin embargo, las empresas, el gobierno y las organizaciones internacionales han comenzado a tomar medidas coordinadas para limitar o mantener a raya a los delincuentes cibernéticos. Las acciones coordinadas incluyen las siguientes:
La creación de bases de datos completas de firmas conocidas de vulnerabilidades y ataques del sistema (una disposición única de la información que se utiliza para identificar el intento de un atacante de explotar una vulnerabilidad conocida). Las organizaciones comparten estas bases de datos en todo el mundo para ayudar a prepararse y mantener alejados muchos ataques comunes.
Establecimiento de sensores de advertencia temprana y redes de alerta. Debido al costo y la imposibilidad de supervisar cada red, las organizaciones supervisan los objetivos de gran valor o crean impostores que se parecen a los objetivos de gran valor. Debido a que estos objetivos de gran valor tienen más probabilidades de experimentar los ataques, advierten a otros de los ataques potenciales.
Intercambio de información de inteligencia cibernética. Las empresas, los organismos gubernamentales y los países ahora colaboran para compartir información esencial sobre los ataques graves a los objetivos fundamentales para evitar ataques similares en otros lugares. Muchos países han establecido agencias de inteligencia cibernética para colaborar en todo el mundo en la lucha contra los ciberataques importantes.
Establecimiento de estándares de administración de seguridad de la información entre organizaciones nacionales e internacionales. ISO 27000 es un buen ejemplo de estos esfuerzos internacionales.
Promulgación de nuevas leyes para desalentar los ataques cibernéticos y las violaciones de datos. Estas leyes tienen multas severas para penalizar a los delincuentes cibernéticos que realicen acciones ilegales.
La figura muestra las medidas para frustrar a los delincuentes cibernéticos y una breve descripción de cada una.
Cybersecurity Essentials - ES 0118
9
Amenazas a las personas del reino Los paladines cibernéticos son innovadores y visionarios que crean el reino cibernético. Tienen la inteligencia y el conocimiento para reconocer el poder de los datos y aprovechan ese poder para crear grandes organizaciones, proporcionar servicios y proteger a las personas de los ciberataques Los paladines cibernéticos reconocen la amenaza que presentan los datos si se utilizan contra las personas. Las amenazas y vulnerabilidades son la principal inquietud de los paladines cibernéticos. Una amenaza a la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque. La vulnerabilidad es una debilidad que hace que un objetivo sea susceptible a un ataque. Por ejemplo, los datos en manos incorrectas pueden provocar la pérdida de privacidad para los propietarios, pueden afectar su crédito o comprometer sus relaciones profesionales o personales. El robo de identidad es un gran negocio. Sin embargo, Google y Facebook no son necesariamente los que presentan el riesgo más grande. Las escuelas, los hospitales, las instituciones financieras, los organismos gubernamentales, el lugar de trabajo y el comercio electrónico plantean mayores riesgos. Las organizaciones como Google y Facebook cuentan con los recursos para contratar grandes talentos en ciberseguridad para proteger sus castillos. A medida que las organizaciones desarrollan los castillos de datos, aumenta la necesidad de profesionales de la ciberseguridad. Esto deja a las empresas y organizaciones más pequeñas en la competencia por el grupo restante de profesionales de la ciberseguridad. Las amenazas cibernéticas son particularmente peligrosas para algunos sectores y los registros que deben mantener.
Tipos de registros personales Los siguientes ejemplos son solo algunas fuentes de datos que pueden provenir de organizaciones establecidas. Historias clínicas Ir al consultorio médico da como resultado la adición de más información a una historia clínica electrónica (EHR). La prescripción de su médico de cabecera se vuelve parte de la EHR. Una EHR incluye el estado físico y mental, y otra información personal que puede no estar relacionada médicamente. Por ejemplo, una persona va a terapia cuando era niño debido a cambios importantes en la familia. Esto aparecerá en alguna parte de su historia clínica. Además de la historia clínica y la información personal, la EHR también
Cybersecurity Essentials - ES 0118
10
puede incluir información sobre la familia de esa persona. Varias leyes abordan la protección de los registros de pacientes. Los dispositivos médicos, como las bandas de estado físico, utilizan la plataforma de la nube para permitir la transferencia, el almacenamiento y la visualización inalámbricos de los datos clínicos, como el ritmo cardíaco, la presión arterial y el azúcar en sangre. Estos dispositivos pueden generar una enorme cantidad de datos clínicos que pueden volverse parte de sus historias clínicas. Registros educativos Los registros educativos incluyen información sobre calificaciones, puntajes de evaluaciones, asistencia, cursos realizados, premios, grados otorgados e informes disciplinarios. Este registro también puede incluir información de contacto, salud y registros de la inmunización, y registros de educación especial, incluidos los programas educativos individualizados (IEP). Registros de empleo y financieros La información de empleo puede incluir empleos y rendimientos pasados. Los registros de empleo también pueden incluir información sobre sueldos y seguros. Los registros financieros pueden incluir información sobre ingresos y gastos. Los registros de impuestos pueden incluir talones de cheques de pago, resúmenes de la tarjeta de crédito, calificación de crédito e información bancaria.
Cybersecurity Essentials - ES 0118
11
Amenazas a los servicios del reino Los servicios del reino son los mismos servicios que necesita una red y, en última instancia, Internet para operar. Estos servicios incluyen routing, asignación de direcciones, designación de nombres y administración de bases de datos. Estos servicios también sirven como objetivos principales para los delincuentes cibernéticos. Los delincuentes utilizan herramientas de análisis de paquetes para capturar flujos de datos en una red. Esto significa que todos los datos confidenciales, como nombres de usuario, contraseñas y números de tarjetas de crédito, están en riesgo. Los analizadores de protocolos de paquetes supervisan y registran toda la información que proviene de una red. Los delincuentes pueden utilizar además dispositivos falsos, como puntos de acceso a Wi-Fi no seguros. Si el delincuente configuran estos dispositivos cerca de un lugar público, como una cafetería, las personas desprevenidas pueden conectarse y el analizador de protocolos copiará su información personal. El Servicio de nombres de dominio (DNS) traduce un nombre de dominio, por ejemplo www.facebook.com en su dirección IP numérica. Si un servidor DNS no conoce la dirección IP, consultará a otro servidor DNS. Con una suplantación de identidad DNS (o envenenamiento de caché DNS), el delincuente introduce datos falsos en la caché de resolución de DNS. Estos ataques de envenenamiento atacan una debilidad en el software DNS que hace que los servidores DNS redirijan el tráfico de un dominio específico a la computadora del delincuente, en lugar de redirigirlo al propietario legítimo del dominio. Los paquetes transportan datos a través de una red o de Internet. La falsificación del paquete (o la inyección de paquetes) interfiere con una comunicación de red establecida mediante la creación de paquetes para que parezca como si fueran parte de una comunicación. La falsificación de paquetes permite a un delincuente alterar o interceptar los paquetes. Este proceso permite a los delincuentes secuestrar una conexión autorizada o denegar la capacidad de una persona para usar determinados servicios de red. Los profesionales cibernéticos denominan esta actividad un ataque man-in-the-middle. Los ejemplos dado solo son ejemplos generales de los tipos de amenazas que los delincuentes pueden lanzar contra los servicios del reino.
Amenazas a los sectores del reino Los sectores del reino incluyen los sistemas de infraestructura como la fabricación, la energía, la comunicación y el transporte. Por ejemplo, la matriz inteligente es una mejora del sistema de distribución y generación eléctrica. La matriz eléctrica lleva la energía de los generadores centrales a un gran número de clientes. Una matriz inteligente utiliza la información para crear una red avanzada y automatizada de distribución de energía. Los líderes globales reconocen que la protección de la infraestructura es fundamental para proteger su economía. Durante la última década, los ciberataques como Stuxnet demostraron que un ataque cibernético puede destruir o interrumpir con éxito las infraestructuras críticas. Específicamente, el ataque de Stuxnet apuntó al sistema de control de supervisión y adquisición de datos (SCADA) utilizados para controlar y supervisar los procesos industriales. El SCADA puede ser parte de diversos procesos industriales de los sistemas de fabricación, producción, energía y comunicación. Haga clic aquí para ver más información sobre el ataque de Stuxnet. Un ataque cibernético podría anular o interrumpir los sectores industriales como los sistemas de telecomunicaciones, de transporte o de generación y distribución de energía eléctrica. También puede interrumpir el sector de servicios financieros. Uno de los problemas con los entornos que incorporan un SCADA es que los diseñadores no se conectaron el SCADA al entorno de TI tradicional e Internet. Por lo tanto, no tuvieron en cuenta la ciberseguridad de manera adecuada durante la fase de desarrollo de estos sistemas. Como otros sectores, las organizaciones que utilizan los sistemas SCADA reconocen el valor de la recopilación de datos para mejorar las operaciones y disminuir los costos. La tendencia resultante es conectar los sistemas SCADA a los sistemas de TI tradicionales. Sin embargo, esto aumenta la vulnerabilidad de los sectores que utilizan los sistemas SCADA. El potencial avanzado de amenazas que existe en los reinos en la actualidad exige una generación especial de especialistas en ciberseguridad.
Cybersecurity Essentials - ES 0118
12
Amenazas a la forma de vida del reino La ciberseguridad es el esfuerzo constante por proteger los sistemas de red y los datos del acceso no autorizado. A nivel personal, todas las personas necesitan proteger su identidad, sus datos y sus dispositivos informáticos. A nivel corporativo, es responsabilidad de los empleados proteger la reputación, los datos y los clientes de la organización. A nivel estatal, la seguridad nacional y la seguridad y el bienestar de los ciudadanos están en juego. Los profesionales de ciberseguridad a menudo están involucrados en el trabajo con los organismos gubernamentales en la identificación y recopilación de datos. En EE. UU., la Agencia de Seguridad Nacional (NSA) es responsable de las actividades de recopilación y vigilancia de inteligencia. La NSA creó un nuevo centro de datos para procesar el volumen de información cada vez mayor. En 2015, el Congreso de EE. UU. aprobó la Ley de Libertad de EE. UU. que ponía fin a la práctica de recopilar de forma masiva los registros telefónicos de los ciudadanos de EE. UU. El programa proporcionó los metadatos y otorgó a la NSA información sobre las comunicaciones enviadas y recibidas. Los esfuerzos por proteger la forma de vida de las personas a menudo entran en conflicto con su derecho a la privacidad. Será interesante ver qué sucede con el equilibrio entre estos derechos y la seguridad del reino
Cybersecurity Essentials - ES 0118
13
Amenazas internas y externas Amenazas de seguridad internas Los ataques pueden originarse dentro de una organización o fuera de ella, como se muestra en la figura. Un usuario interno, como un empleado o un partner contratado, puede de manera accidental o intencional:
Manipular de manera incorrecta los datos confidenciales
Amenazar las operaciones de los servidores internos o de los dispositivos de la infraestructura de red
Facilitar los ataques externos al conectar medios USB infectados al sistema informático corporativo
Invitar accidentalmente al malware a la red con correos electrónicos o páginas web maliciosos
Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura. Los atacantes internos normalmente tienen conocimiento de la red corporativa, sus recursos y sus datos confidenciales. También pueden tener conocimiento de las contramedidas de seguridad, las políticas y los niveles más altos de privilegios administrativos. Amenazas de seguridad externas Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como trucos, para obtener acceso. Los ataques externos aprovechan las debilidades o vulnerabilidades para obtener acceso a los recursos internos. Datos tradicionales Los datos corporativos incluyen información del personal, de propiedad intelectual y datos financieros. La información del personal incluye el material de las postulaciones, la nómina, la carta de oferta, los acuerdos del empleado, y cualquier información utilizada para tomar decisiones de empleo. La propiedad intelectual, como patentes, marcas registradas y planes de nuevos productos, permite a una empresa obtener una ventaja económica sobre sus competidores. Considere esta propiedad intelectual como un secreto comercial; perder esta información puede ser desastroso para el futuro de la empresa. Los datos financieros, como las declaraciones de ingresos, los balances y las declaraciones de flujo de caja brindan información sobre el estado de la empresa.
Cybersecurity Essentials - ES 0118
14
Las vulnerabilidades de los dispositivos móviles En el pasado, los empleados generalmente utilizaban computadoras de la empresa conectadas a una LAN corporativa. Los administradores supervisan y actualizan continuamente estas computadoras para cumplir con los requisitos de seguridad. En la actualidad, los dispositivos móviles como iPhones, smartphones, tablets y miles de otros dispositivos son sustitutos poderosos o agregados de las computadoras tradicionales. La gente usa cada vez más estos dispositivos para tener acceso a la información de la empresa. Bring Your Own Device (BYOD) es una tendencia en crecimiento. La incapacidad para administrar y actualizar de manera central los dispositivos móviles presenta una amenaza en crecimiento para las organizaciones que permiten el uso de dispositivos móviles de los empleados en sus redes.
El surgimiento del internet de las cosas El Internet de las cosas (IdC ) es el conjunto de tecnologías que permiten la conexión de varios dispositivos a Internet. La evolución tecnológica asociada con la llegada del IdC está cambiando los entornos comerciales y de consumidores. Las tecnologías del IdC permiten que las personas conecten miles de millones de dispositivos a Internet. Estos dispositivos incluyen trabas, motores y dispositivos de entretenimiento, solo por mencionar algunos ejemplos. Esta tecnología afecta la cantidad de datos que necesitan protección. Los usuarios acceden a estos dispositivos en forma remota, lo cual aumenta la cantidad de redes que requieren protección. Con el surgimiento del IdC, hay muchos más datos que deben administrarse y protegerse. Todas estas conexiones, además de la capacidad y los servicios de almacenamiento expandidos que se ofrecen a través de la nube y la virtualización, han generado el crecimiento exponencial de los datos. Esta expansión de datos ha creado una nueva área de interés en la tecnología y los negocios denominada “datos masivos”.
Cybersecurity Essentials - ES 0118
15
El impacto de los datos masivos Los datos masivos son el resultado de los conjuntos de datos que son grandes y complejos, lo que hace que las aplicaciones tradicionales de procesamiento de datos sean inadecuadas. Los datos masivos presentan desafíos y oportunidades según tres dimensiones:
El volumen o la cantidad de datos
La velocidad de los datos
La variedad o el rango de los tipos y fuentes de datos
Existen muchos ejemplos de amenazas de gran envergadura en las noticias. Las empresas como Target, Home Depot y PayPal son objetos de ataques muy promocionados. Como resultado, los sistemas empresariales deben realizar cambios drásticos en los diseños de producto de seguridad y las actualizaciones importantes a las tecnologías y las prácticas. Además, los gobiernos y las industrias están introduciendo más regulaciones y obligaciones que requieren una mejor protección de los datos y controles de seguridad para ayudar a proteger los datos masivos.
Uso de instrumentos avanzados Las vulnerabilidades de software actualmente tienen como base los errores de programación, las vulnerabilidades de protocolo o las configuraciones erróneas del sistema. El delincuente cibernético tan solo tiene que aprovechar una de estas. Por ejemplo, un ataque común fue la construcción de una entrada a un programa para sabotear el programa, haciendo que funcione mal. Este mal funcionamiento proporcionó una entrada al programa o provocó que filtre información. Actualmente, se percibe una creciente sofisticación en los ciberataques. Una amenaza persistente avanzada (APT) es una amenaza continua a las computadoras que se realizan en el radar contra un objeto específico. Los delincuentes eligen generalmente una APT por motivos políticos o empresariales. Una APT se produce durante un período prolongado con un alto nivel de confidencialidad utilizando malware sofisticado. Los ataques a los algoritmos pueden rastrear los datos de informe propio de un sistema, como la cantidad de energía que utiliza una computadora, y usar esa información para seleccionar los objetivos o para activar alertas falsas. Los ataques algorítmicos también pueden desactivar una computadora forzándola a usar memoria o a trabajar demasiado su unidad de procesamiento central. Los ataques a los algoritmos son más taimados porque atacan a los diseños utilizados para mejorar el ahorro de energía, disminuir las fallas del sistema y mejorar las eficiencias. Por último, la nueva generación de ataques involucra la selección inteligente de víctimas. En el pasado, los ataques seleccionaban las opciones más fáciles o las víctimas más vulnerables. Sin embargo, con más atención a la detección y el aislamiento de los ciberataques, los delincuentes cibernéticos deben ser más cuidadosos. No pueden arriesgar la detección temprana o los especialistas en ciberseguridad cerrarán las puertas del castillo. Como resultado, muchos de los ataques más sofisticados solo se lanzarán si el atacante puede igualar la firma objeto del objetivo.
Un alcance más amplio y el efecto cascada La administración de identidades federada se refiere a varias empresas que permiten a los usuarios utilizar las mismas credenciales de identificación que obtienen acceso a las redes de todas las empresas del grupo. Esto amplía el alcance y aumenta las posibilidades de un efecto en cascada si se produce un ataque. Una identidad federada conecta la identidad electrónica de un sujeto mediante sistemas de administración de identidades separados. Por ejemplo, un sujeto puede iniciar sesión en Yahoo! con credenciales de Google o de Facebook. Este es un ejemplo de inicio de sesión social.
Cybersecurity Essentials - ES 0118
16
El objetivo de la administración de identidades federada es compartir la información de identidad automáticamente a través de los límites del castillo. Desde la perspectiva del usuario particular, esto significa un único inicio de sesión a la red. Es imprescindible que las organizaciones escudriñen la información de identificación compartida con los partners. Los números de seguridad social, los nombres y las direcciones pueden permitir a los ladrones de identidad la oportunidad de robar esta información del partner para perpetrar un fraude. La manera más común de proteger la identidad federada es vincular la capacidad de inicio de sesión a un dispositivo autorizado.
Implicaciones de seguridad Los centros de llamadas de emergencia en EE. UU. son vulnerables a los ciberataques que podrían apagar las redes de 911 y comprometer así la seguridad pública. Un ataque de denegación de servicios telefónicos (TDoS) utiliza las llamadas telefónicas a una red telefónica objetivo, lo que condiciona el sistema y evita que las llamadas legítimas pasen. Los centros de llamadas 911 de próxima generación son vulnerables porque utilizan los sistemas de voz sobre IP (VoIP) en lugar de líneas fijas tradicionales. Además de los ataques de TDoS, estos centros de llamadas también pueden estar a merced de ataques de denegación de servicio distribuido (DDoS) que utilizan muchos sistemas para saturar los recursos del objetivo, lo que hace que este no esté disponible para los usuarios legítimos. En la actualidad, existen muchas maneras de solicitar la ayuda del 911, desde el uso de una aplicación en un smartphone hasta un sistema de seguridad en el hogar.
Reconocimiento mejorado de las amenazas a la ciberseguridad Las defensas contra los ciberataques al inicio de la era cibernética eran bajas. Un estudiante inteligente de escuela secundaria o script kiddie podría tener acceso a los sistemas. Los países de todo el mundo son más conscientes de las amenazas de los ciberataques. La amenaza que presentaron los ciberataques ahora encabezan la lista de las mayores amenazas a la seguridad nacional y económica en la mayoría de los países.
Cómo abordar la escasez de especialistas en ciberseguridad En EE. UU., el Instituto Nacional de Normas y Tecnologías (NIST) creó un marco de trabajo para las empresas y las organizaciones que necesitan profesionales en el área de la ciberseguridad. El marco de trabajo les permite a las empresas identificar los tipos principales de responsabilidades, los cargos y destrezas de la fuerza laboral necesarias. El marco de trabajo nacional de la fuerza laboral de ciberseguridad clasifica y describe el trabajo de ciberseguridad. Proporciona un lenguaje común que define el trabajo de ciberseguridad junto con un conjunto común de tareas y habilidades requeridas para convertirse en un especialista en ciberseguridad. El marco de trabajo ayuda a definir los requisitos profesionales en ciberseguridad.
Siete categorías de paladines en el área de la ciberseguridad El marco de la fuerza laboral categoriza el trabajo en ciberseguridad en siete categorías. Operar y mantener incluye proporcionar soporte técnico, administración, y el mantenimiento necesario para garantizar el rendimiento y la seguridad de los sistemas de TI. Proteger y defender incluye la identificación, el análisis y la mitigación de amenazas a los sistemas internos y redes internas. Investigar incluye la investigación de los eventos cibernéticos o los delitos informáticos que involucran a los recursos de TI. Recopilar y operar incluye operaciones especializadas de ataque y engaño, y la recopilación de información sobre ciberseguridad.
Cybersecurity Essentials - ES 0118
17
Analizar incluye la revisión y evaluación altamente especializada de la información entrante de ciberseguridad para determinar si es útil para la inteligencia. Supervisión y desarrollo establece el liderazgo, la administración y la dirección para realizar el trabajo de ciberseguridad de manera eficaz. Disponer de manera segura incluye conceptualización, diseño y creación de sistemas de TI seguros. Dentro de cada categoría, existen varias áreas de especialidad. Las áreas de especialidad luego definen los tipos comunes de trabajo de ciberseguridad. La figura muestra cada una de las categorías y una breve descripción de cada uno.
Organizaciones profesionales Los especialistas en ciberseguridad deben colaborar a menudo con colegas profesionales. Las organizaciones internacionales de tecnología a menudo patrocinan talleres y conferencias. Estas organizaciones generalmente mantienen inspirados y motivados a los profesionales de la ciberseguridad. Haga clic en los logos de la figura para aprender más sobre algunas organizaciones de seguridad importantes.
Competencias y organizaciones estudiantiles de ciberseguridad Los especialistas en ciberseguridad deben tener las mismas destrezas que los hackers, especialmente que los hackers de sombrero negro, para ofrecer protección contra los ataques. ¿Cómo puede una persona crear y practicar las aptitudes necesarias convertirse en un especialista en ciberseguridad? Las competencias de habilidades del estudiante son una excelente manera de desarrollar habilidades y capacidades de conocimiento en ciberseguridad. Existen muchas competencias nacionales de habilidades en ciberseguridad disponibles para los estudiantes de ciberseguridad. Haga clic en los logos de la figura para obtener más información sobre las competencias, las organizaciones y los clubes de ciberseguridad de los estudiantes.
Certificaciones del sector En un mundo de amenazas a la ciberseguridad, existe una gran necesidad de contar con profesionales expertos y calificados en seguridad de la información. La industria de TI estableció estándares para que los especialistas en ciberseguridad obtengan certificaciones profesionales que proporcionan pruebas de las habilidades y el nivel de conocimiento. CompTIA Security+ Security+ es un programa de pruebas patrocinado por CompTIA que certifica la competencia de los administradores de TI en la seguridad de la información. La prueba de Security+ abarca los principios más importantes para proteger una red y administrar el riesgo, incluidas las inquietudes relacionadas con la computación en la nube. Hacker ético certificado por el Consejo Internacional de Consulta de Comercio Electrónico (CEH) Esta certificación de nivel intermedio afirma que los especialistas en ciberseguridad que cuentan con esta credencial poseen las habilidades y el conocimiento para varias prácticas de hacking. Estos especialistas en ciberseguridad utilizan las mismas habilidades y técnicas que utilizan los delincuentes cibernéticos para identificar las vulnerabilidades y puntos de acceso del sistema en los sistemas. SANS GIAC Security Essentials (GSEC) La certificación GSEC es una buena opción como credencial de nivel básico para especialistas en ciberseguridad que pueden demostrar que comprenden la terminología y los conceptos de seguridad, y
Cybersecurity Essentials - ES 0118
18
tienen las habilidades y la experiencia necesarias para puestos “prácticos” en seguridad. El programa SANS GIAC ofrece varias certificaciones adicionales en los campos de administración de la seguridad, informática forense y auditoría. (ISC)^2 Profesional certificado en seguridad de los sistemas informáticos (CISSP) La certificación de CISSP es una certificación neutral para proveedores para los especialistas en ciberseguridad con mucha experiencia técnica y administrativa. También está aprobada formalmente por el Departamento de Defensa (DoD) de EE. UU. y es una certificación con reconocimiento global del sector en el campo de la seguridad. Certificación para administradores de seguridad informática (CISM) de ISACA Los héroes cibernéticos responsables de administrar, desarrollar y supervisar los sistemas de seguridad de la información a nivel empresarial o para aquellos que desarrollan las mejores prácticas de seguridad puedan obtener la certificación CISM. Los titulares de estas credenciales poseen aptitudes avanzadas en la administración de riesgos de seguridad.
Certificaciones patrocinadas por la empresa Otras credenciales importantes para los especialistas en ciberseguridad son las certificaciones patrocinadas por la empresa. Estas certificaciones miden el conocimiento y la competencia en la instalación, la configuración y el mantenimiento de los productos de los proveedores. Cisco y Microsoft son ejemplos de empresas con certificaciones que prueban el conocimiento de sus productos. Haga clic aquí para explorar la matriz de las certificaciones de Cisco que se muestran en la figura. Asociado en redes con certificación de Cisco (Seguridad de CCNA) La certificación de Seguridad de CCNA ratifica que un especialista en ciberseguridad cuenta con el conocimiento y las habilidades necesarias para proteger las redes de Cisco. Haga clic aquí para obtener más información sobre la certificación de Seguridad de CCNA.
Cybersecurity Essentials - ES 0118
19
Cómo convertirse en un héroe cibernético Para convertirse en un especialista exitoso en ciberseguridad, el candidato potencial debe tener en cuenta algunos de los requisitos exclusivos. Los héroes deben ser capaces de responder a las amenazas tan pronto como ocurran. Esto significa que las horas de trabajo pueden ser poco convencionales. Los héroes cibernéticos también analizan las políticas, las tendencias y la inteligencia para comprender cómo piensan los delincuentes cibernéticos. Muchas veces, esto pueden incluir una gran cantidad de trabajo de detección. Las siguientes recomendaciones ayudarán a los aspirantes a especialistas en ciberseguridad a alcanzar sus objetivos:
Estudie: conozca los aspectos básicos al completar los cursos en TI. Sea un estudiante durante toda su vida. La ciberseguridad es un campo en constante cambio y los especialistas en ciberseguridad deben mantenerse actualizados.
Obtenga certificaciones: las certificaciones patrocinadas por la empresa y el sector, de organizaciones como Microsoft y Cisco demuestran que uno posee los conocimientos necesarios para buscar empleo como especialista en ciberseguridad.
Busque pasantías: la búsqueda de una pasantía en seguridad como estudiante puede traducirse en oportunidades en el futuro.
Únase a organizaciones profesionales: únase a las organizaciones de seguridad informática, asista a reuniones y conferencias y participe en foros y blogs para obtener conocimiento de los expertos.
Resumen Capítulo 1: la ciberseguridad, un mundo de paladines, héroes y delincuentes En este capítulo se explicó la estructura del mundo en ciberseguridad y el motivo por el que sigue creciendo con los datos y la información como la divisa más preciada. Aquí también se analizó el rol de los delincuentes cibernéticos al examinar aquello que los motiva. Se presentó la propagación del lado oscuro debido a las transformaciones técnicas en constante expansión que transcurren en todo el mundo. Finalmente, en el capítulo se explicó cómo convertirse en un especialista en ciberseguridad para ayudar a vencer a los delincuentes cibernéticos que fortalecen el lado oscuro. También se analizaron los recursos disponibles para ayudar a crear más héroes. Los héroes cibernéticos deben contar con las mismas destrezas que los delincuentes cibernéticos. Si desea continuar explorando los conceptos de este capítulo, consulte la página Recursos y actividades adicionales en Recursos para el estudiante.
Cybersecurity Essentials - ES 0118
20
Capítulo 2: El cubo de destrezas de ciberseguridad El término "hecicero" es una etiqueta que describe a los profesionales en ciberseguridad que protegen el mundo cibernético. Como los hechiceros del mundo místico, los hechiceros cibernéticos están interesados en promover el bien y proteger a otros. John McCumber es uno de los primeros hechiceros en ciberseguridad. Desarrolló un marco de trabajo denominado Cubo de McCumber que los hechiceros de ciberseguridad utilizan para proteger el mundo cibernético. El cubo de McCumber se parece al Cubo de Rubik. La primera dimensión del cubo de destrezas de ciberseguridad incluye los tres principios de seguridad informática. Los profesionales en ciberseguridad hacen referencia a las tres principios como la Tríada de CID. La segunda dimensión identifica los tres estados de información o de datos. La tercera dimensión del cubo identifica los poderes de los hechiceros que proporcionan protección. Estos poderes son las tres categorías de mecanismos de las medidas de ciberseguridad. En el capítulo también se analiza el modelo de ciberseguridad de ISO. El modelo representa un marco de trabajo internacional para estandarizar la administración de los sistemas de información.
Los principios de seguridad La primera dimensión del cubo de destrezas de ciberseguridad identifica los objetivos para proteger al mundo cibernético. Los objetivos identificados en la primera dimensión son los principios básicos del mundo de la ciberseguridad. Estos tres principios son la confidencialidad, integridad y disponibilidad. Los principios proporcionan el enfoque y permiten al hechicero cibernético priorizar las acciones en la protección del mundo cibernético. La confidencialidad previene la divulgación de información a las personas los recursos o los procesos no autorizados. La integridad hace referencia a la precisión, la uniformidad y la confiabilidad de datos. Por último, la disponibilidad garantiza que los usuarios pueden tener acceso a la información cuando sea necesario. Utilice el acrónimo CID para recordar estos tres principios.
Cybersecurity Essentials - ES 0118
21
Estados de los datos El mundo cibernético es un mundo de datos; por lo tanto, los hechiceros cibernéticos se centran en la protección de los datos. La segunda dimensión del cubo de destrezas de ciberseguridad se concentra en los problemas de proteger todos los estados de los datos en el mundo cibernético. Los datos tienen tres estados posibles:
Datos en tránsito
Datos almacenados
Datos en proceso
La protección del mundo cibernético requiere que los profesionales en ciberseguridad expliquen la protección de los datos en los tres estados.
Cybersecurity Essentials - ES 0118
22
Medidas de ciberseguridad La tercera dimensión del cubo de destrezas de ciberseguridad define los tipos de poderes a los que un hechicero en ciberseguridad recurre para proteger al mundo cibernético. Los profesionales en ciberseguridad deben utilizar todos los poderes disponibles a su disposición para proteger los datos del mundo cibernético. El cubo de destrezas de ciberseguridad identifica los tres tipos de poderes e intrumentos utilizados para proporcionar protección. El primer tipo de poder incluye tecnologías, dispositivos y productos disponibles para proteger los sistemas de información y mantener alejados a los delincuentes cibernéticos. Los profesionales en ciberseguridad tienen una reputación por dominar las herramientas tecnológicas a su disposición. Sin embargo, McCumber recuerda que las herramientas tecnológicas no son suficientes para derrotar a los delincuentes informáticos. Los profesionales en ciberseguridad también deben crear una defensa sólida al establecer las políticas, los procedimientos y las pautas que permiten a los ciudadanos del mundo cibernético mantenerse seguros y seguir las prácticas adecuadas. Por último, al igual que el mundo de los hechiceros, los ciudadanos del mundo cibernético deben esforzarse por obtener más conocimientos sobre su mundo y los peligros que amenazan su mundo. Deben buscar continuamente un mayor conocimiento y establecer una cultura de aprendizaje y conciencia.
Cybersecurity Essentials - ES 0118
23
El principio de confidencialidad La confidencialidad previene la divulgación de información a las personas los recursos y los procesos no autorizados. Otro término para la confidencialidad es el de privacidad. Las organizaciones restringen el acceso para asegurar que solo los operadores autorizados pueden usar los datos u otros recursos de red. Por ejemplo, un programador no debe tener acceso a la información personal de todos los empleados. Las organizaciones necesitan capacitar a los empleados sobre las mejores prácticas en la protección de la información confidencial para protegerse a sí mismos y a la organización de los ataques. Los métodos utilizados para garantizar la confidencialidad incluyen el cifrado de datos, la autenticación y el control de acceso.
Protección de la privacidad de los datos Las organizaciones recopilan grandes cantidades de datos. La mayor parte de estos datos no es confidencial porque está públicamente disponible, como nombres y números de teléfono. Otros datos recopilados, sin embargo, son confidenciales. La información confidencial hace referencia a los datos protegidos contra el acceso no autorizado para proteger a una persona u organización. Existen tres tipos de información confidencial:
La información personal en la información de identificación personal (PII) que lleva hacia una persona. En la Figura 2 se enumera esta categoría de datos.
La información comercial es la información que incluye todo lo que representa un riesgo para la organización si el público o la competencia la descubre. En la Figura 3 se enumera esta categoría de datos.
Cybersecurity Essentials - ES 0118
24
La información clasificada es información que pertenece a una entidad gubernamental clasificada por su nivel de confidencialidad. En la Figura 4 se enumera esta categoría de datos.
Control de acceso El control de acceso define varios esquemas de protección que evita el acceso no autorizado a una computadora, red, base de datos o a otros recursos de datos. El concepto de AAA involucra tres servicios de seguridad: Autenticación, Autorización y Auditoría. Estos servicios proporcionan el marco de trabajo principal para controlar el acceso. La primera “A” de AAA representa la autenticación. Autenticación Verifica la identidad de un usuario para evitar el acceso no autorizado. Los usuarios prueban su identidad con un nombre de usuario o una Id. Además, los usuarios deben verificar su identidad mediante una de las siguientes maneras, como se muestra en la figura 1:
Algo que saben (por ejemplo, una contraseña)
Algo que tienen (por ejemplo, un token o tarjeta)
Algo que son (por ejemplo, una huella digital)
Por ejemplo, si va a un ATM a buscar efectivo, necesita su tarjeta de banco (algo que tiene) y necesita conocer el PIN. Este también es un ejemplo de autenticación de varios factores. La autenticación de varios factores requiere más de un tipo de autenticación. La forma de autenticación más popular es el uso de contraseñas. Autorización Los servicios autorización determinan a qué recursos pueden acceder los usuarios, junto con las operaciones que los usuarios pueden realizar, como se muestra en la Figura 2. Algunos sistemas logran esto con una lista de control de acceso o ACL. Una ACL determina si un usuario tiene ciertos privilegios de acceso una vez que el usuario autentica. Solo porque no puede iniciar sesión en la red de la empresa no significa que tenga permitido utilizar la impresora a color de alta velocidad. La autorización también puede controlar cuándo un usuario tiene acceso a un recurso específico. Por ejemplo, los empleados pueden tener acceso a una base de datos de ventas durante el horario de trabajo, pero el sistema los bloquea después del horario. Contabilidad Rastrea las actividades de los usuarios, incluidos los sitios a los que tienen acceso, la cantidad de tiempo que tienen acceso a los recursos y los cambios realizados. Por ejemplo, un banco hace un seguimiento de cada cuenta del cliente. Una auditoría de ese sistema puede revelar el tiempo y la cantidad de todas las transacciones y el empleado o el sistema que ejecutaron las transacciones. Los servicios de auditoría de ciberseguridad trabajan de la misma manera. El sistema realiza un seguimiento de cada transacción de datos y proporciona resultados de auditoría. Un administrador puede configurar las políticas de la computadora, como se muestra en la Figura 3, para habilitar la auditoría del sistema. El concepto de AAA es similar al uso de una tarjeta de crédito, como se indica en la Figura 4. La tarjeta de crédito identifica quién la usa y cuánto puede gastar el usuario de ésta y explica cuántos elementos o servicios adquirió el usuario. La auditoría de la ciberseguridad rastrea y monitorea en tiempo real. Sitios web, como Norse, muestran los ataques en tiempo real según los datos recopilados como parte de una auditoría o sistema de seguimiento. Haga clic aquí para visitar el sitio web de seguimiento en tiempo real de Norse.
Cybersecurity Essentials - ES 0118
25
Leyes y responsabilidades La confidencialidad y la privacidad parecen intercambiables, pero desde un punto de vista legal, tienen distintos significados. La mayoría de los datos de privacidad son confidenciales, pero no todos los datos confidenciales son privados. El acceso a la información confidencial ocurre después de confirmar la autorización apropiada. Las instituciones financieras, los hospitales, los profesionales médicos, los estudios jurídicos y las empresas administran la información confidencial. La información confidencial tiene estado privado. Mantener la confidencialidad es más que un deber ético. La privacidad es el uso adecuado de los datos. Cuando las organizaciones recopilan información proporcionada por los clientes o empleados, solo pueden utilizar esos datos para su objetivo previsto. La mayoría de las organizaciones requieren que un cliente o empleado firme un formulario de autorización que otorga permiso a la organización para usar los datos. Todas las leyes enumeradas en la figura incluyen una disposición para abordar la privacidad que comienza con las leyes de EE. UU. en la Figura 1. La Figura 2 enumera una muestra de los esfuerzos internacionales. La mayoría de estas leyes son una respuesta al crecimiento masivo de la recopilación de datos. El creciente número de estatutos relacionados con la privacidad crea una enorme carga en las organizaciones que recopilan y analizan datos. Las políticas son la mejor forma de que una organización cumpla con el número cada vez mayor de leyes relacionadas con la privacidad. Las políticas permiten a las organizaciones aplicar reglas, procedimientos y procesos específicos al recopilar, almacenar y compartir datos.
Cybersecurity Essentials - ES 0118
26
Principio de integridad de los datos La integridad es la precisión, uniformidad y confiabilidad de los datos durante su ciclo de vida. Otro término para la integridad es el de calidad. Los datos experimentan varias operaciones como captura, almacenamiento, recuperación, actualización y transferencia. Las entidades no autorizadas deben mantener inalteradas los datos durante todas estas operaciones. Los métodos utilizados para garantizar la integridad de los datos incluyen la función de hash, las comprobaciones de validación de datos, las comprobaciones de consistencia de los datos y los controles de acceso. Los sistemas de integridad de datos pueden incluir uno o más de los métodos mencionados anteriormente.
La necesidad de contar con la integridad de datos La integridad de datos es un componente fundamental de la seguridad informática. La necesidad de contar con la integridad de datos varían según cómo una organización utiliza los datos. Por ejemplo, Facebook no verifica los datos que un usuario publica en un perfil. Un banco u organización financiera asigna una mayor importancia a la integridad de los datos que Facebook. Las transacciones y las cuentas de los clientes deben ser precisas. En una organización de servicios de salud, la integridad de datos puede ser una cuestión de vida o muerte. La información sobre prescripciones debe ser precisa. Proteger la integridad de los datos es un desafío constante para la mayoría de las organizaciones. La pérdida de la integridad de los datos puede lograr que todos los recursos de datos sean dudosos o inutilizables.
Verificaciones de la integridad Una verificación de integridad es una manera de medir la uniformidad de una recopilación de datos (un archivo, una imagen, un registro). La verificación de integridad realiza un proceso denominado función de hash para tomar una instantánea de los datos en un instante de tiempo. La verificación de integridad utiliza la instantánea para asegurar que los datos permanezcan sin cambios. Un checksum es un ejemplo de una función de hash. Un checksum verifica la integridad de los archivos o cadenas de caracteres, antes y después de que ellos transfieran de un dispositivo a otro a través de una red local o Internet. Los checksums convierten simplemente cada pieza de información a un valor y suman el total. Para comprobar la integridad de los datos, un sistema receptor simplemente repite el proceso. Si las dos sumas son iguales, los datos son válidos (Figura 1). Si no son iguales, se produjo un cambio en alguna parte de la línea (Figura 2).
Cybersecurity Essentials - ES 0118
27
Las funciones de hash comunes incluyen MD5, SHA-1, SHA-256 y SHA-512. Estas funciones de hash usan algoritmos matemáticos complejos. El valor de hash está sencillamente allí para la comparación. Por ejemplo, después de descargar un archivo, el usuario puede verificar la integridad del archivo al comparar los valores de hash de la fuente con el que genera cualquier calculadora de hash. Las organizaciones utilizan el control de versiones para evitar cambios accidentales realizados por usuarios autorizados. Dos usuarios no pueden actualizar el mismo objeto. Los objetos pueden ser archivos, registros de la base de datos o transacciones. Por ejemplo, el primer usuario en abrir un documento tiene permiso para cambiar ese documento; la segunda persona tiene una versión de solo lectura. Las copias de respaldo precisas permiten mantener la integridad de datos si los datos se dañan. Una empresa necesita verificar el proceso de copia de respaldo para garantizar la integridad de la copia de seguridad antes de que se produzca la pérdida de datos. La autorización determina quién tiene acceso a los recursos de una organización según la necesidad de información. Por ejemplo, los permisos de archivos y los controles de acceso del usuario garantizan que solo ciertos usuarios pueden modificar los datos. Un administrador puede configurar permisos de solo lectura para un archivo. Como resultado, un usuario con acceso a ese archivo no puede realizar ningún cambio.
El principio de disponibilidad La disponibilidad de los datos es el principio que se utiliza para describir la necesidad de mantener la disponibilidad de los sistemas y servicios de información en todo momento. Los ataques cibernéticos y las fallas en el sistema pueden impedir el acceso a los sistemas y servicios de información. Por ejemplo, alterar la disponibilidad del sitios web de la competencia al eliminarla puede proporcionar una ventaja a su rival. Estos ataques de denegación de servicio (DoS) amenazan la disponibilidad del sistema y evitan que los usuarios legítimos tengan acceso y usen sistemas de información cuando sea necesario. Los métodos utilizados para garantizar la disponibilidad incluyen la redundancia del sistema, las copias de seguridad del sistema, mayor recuperabilidad del sistema, mantenimiento del equipo, sistemas operativos y software actualizados y planes para recuperarse rápidamente de desastres no planificados.
Cybersecurity Essentials - ES 0118
28
Los cinco nueves Las personas utilizan distintos sistemas de información en sus vidas cotidianas. Las computadoras y los sistemas de información controlan las comunicaciones, el transporte y la fabricación de productos. La disponibilidad continua de los sistemas de información es fundamental para la vida moderna. El término "alta disponibilidad", describe los sistemas diseñados para evitar el tiempo de inactividad. La alta disponibilidad asegura un nivel de rendimiento por un período más alto de lo normal. Los sistemas de alta disponibilidad suelen incluir tres principios de diseño (Figura 1):
Eliminar puntos sencillos de falla
Proporcionar una conexión cruzada confiable
Detecte fallas a medida que se producen
El objetivo es la capacidad para seguir funcionando en condiciones extremas, como durante un ataque. Una de las prácticas de alta disponibilidad más populares es la práctica de los cinco nueves. Los cinco nueves hacen referencia al 99,999 %. Esto significa que el tiempo de inactividad es de menos de 5,26 minutos al año. La Figura 2 proporciona tres enfoques a los cinco nueves.
Cybersecurity Essentials - ES 0118
29
Asegurar la disponibilidad Las organizaciones pueden garantizar la disponibilidad al implementar lo siguiente:
Realizar el mantenimiento del equipo
Realizar actualizaciones del SO y del sistema
Realizar las pruebas de copia de respaldo
Realizar una planificación para evitar desastres
Realizar implementaciones de nuevas tecnologías
Realizar el monitoreo de actividades inusuales
Realizar la prueba de disponibilidad
Tipos de almacenamiento de datos Los datos almacenados hacen referencia a los datos guardados. Los datos almacenados significan que un tipo de dispositivo de almacenamiento conserva los datos cuando ningún usuario o proceso los utiliza. Un dispositivo de almacenamiento puede ser local (en un dispositivo informático) o centralizado (en la red). Existen varias opciones para almacenar datos. Almacenamiento de conexión directa (DAS) proporciona almacenamiento conectado a una computadora. Una unidad de disco duro o una unidad de memoria flash USB son un ejemplo de almacenamiento de conexión directa. De manera predeterminada, los sistemas no están configurados para compartir el almacenamiento de conexión directa. La Matriz redundante de discos independientes (RAID) utiliza varios discos duros en una matriz, que es un método para combinar varios discos de modo que el sistema operativo los vea como un solo disco. RAID proporciona un mejor rendimiento y una mejor tolerancia a fallas. Un dispositivo de almacenamiento conectado a la red (NAS) es un dispositivo de almacenamiento conectado a una red que permite el almacenamiento y la recuperación de datos desde una ubicación centralizada por parte de los usuarios autorizados de la red. Los dispositivos de NAS son flexibles y escalables, lo cual significa que los administradores pueden aumentar la capacidad según sea necesario. Una arquitectura de red de área de almacenamiento (SAN) es un sistema de almacenamiento con base en la red. Los sistemas de SAN se conectan a la red mediante las interfaces de alta velocidad que permiten un mejor rendimiento y la capacidad para conectarse varios servidores a un repositorio centralizado de almacenamiento en disco. El almacenamiento en la nube es una opción de almacenamiento remoto que usa el espacio en un proveedor del centro de datos y es accesible desde cualquier computadora con acceso a Internet. Google Drive, iCloud y Dropbox son ejemplos de proveedores de almacenamiento en la nube.
Desafíos en la protección de los datos almacenados Las organizaciones tienen una tarea difícil al intentar protegen los datos almacenados. Para mejorar el almacenamiento de datos, las empresas pueden automatizar y centralizar las copias de respaldo de datos. El almacenamiento de conexión directa puede ser uno de los tipos más difíciles de almacenamiento de datos en administrar y controlar. El almacenamiento de conexión directa es vulnerable a los ataques
Cybersecurity Essentials - ES 0118
30
maliciosos en el host local. Los datos almacenados también pueden incluir los datos de copia de respaldo. Las copias de respaldo pueden ser manuales o automáticas. Las organizaciones deben limitar los tipos de datos almacenados en el almacenamiento de conexión directa. En particular, una organización no almacenaría los datos críticos en dispositivos de almacenamiento de conexión directa. Los sistemas de almacenamiento en red ofrecen una alternativa más segura. Los sistemas de almacenamiento en red incluidos RAID, SAN y NAS proporcionan mayor rendimiento y redundancia. Sin embargo, los sistemas de almacenamiento en red son más complicados para configurar y administrar. También manejan más datos, lo que presenta un mayor riesgo para la organización si falla el dispositivo. Los desafíos particulares de los sistemas de almacenamiento en red incluyen la configuración, la prueba y la supervisión del sistema.
Métodos de transmisión de datos La transmisión de datos implica el envío de la información de un dispositivo a otro. Existen diversos métodos para transmitir información entre dispositivos, entre los que se incluyen los siguientes:
Red de transferencia: utiliza medios extraíbles para mover físicamente los datos de una computadora a otra
Redes cableadas: utilizan cables para transmitir datos
Redes inalámbricas: utilizan ondas de radio para transmitir datos
Las organizaciones nunca podrán eliminar el uso de una red de transferencia. Las redes cableadas incluyen redes de cableado de cobre y fibra óptica. Las redes cableadas pueden servir a un área geográfica local (red de área local) o pueden abarcar grandes distancias (redes de área amplia). Las redes inalámbricas están reemplazando a las redes cableadas. Las redes inalámbricas son cada vez más rápidas y son capaces de manejar más ancho de banda. Las redes inalámbricas extienden la cantidad de usuarios invitados con los dispositivos móviles en la oficina pequeña y oficina doméstica (SOHO) y las redes empresariales. Las redes cableadas e inalámbricas utilizan paquetes o unidades de datos. El término paquete se refiere a una unidad de datos que se desplaza entre un origen y un destino de la red. Los protocolos estándar como el protocolo de Internet (IP) y el Hypertext Transfer Protocol (HTTP) definen la estructura y formación de paquetes de datos. Estos estándares son de código abierto y están disponibles al público. La protección de la confidencialidad, integridad y disponibilidad de los datos transmitidos es una de las responsabilidades más importantes de un profesional de ciberseguridad.
Desafíos en la protección de datos en tránsito La protección de los datos transmitidos es uno de los trabajos más desafiantes para un profesional de ciberseguridad. Con el crecimiento de los dispositivos móviles e inalámbricos, los profesionales de ciberseguridad son responsables de proteger cantidades masivas de datos que cruzan la red a diario. Los profesionales de ciberseguridad deben afrontar varios desafíos al proteger estos datos:
Protección de la confidencialidad de los datos: los delincuentes cibernéticos pueden capturar, guardar y robar datos en tránsito. Los profesionales cibernéticos deben tomar medidas para contrarrestar estas acciones.
Protección de la integridad de los datos: los delincuentes cibernéticos pueden interceptar y alterar los datos en tránsito. Los profesionales de ciberseguridad implementan sistemas de integridad de los datos que evalúan la integridad y la autenticidad de los datos transmitidos para responder a estas acciones.
Cybersecurity Essentials - ES 0118
31
Protección de la disponibilidad de los datos: los delincuentes informáticos pueden usar dispositivos falsos o no autorizados para interrumpir la disponibilidad de los datos. Un dispositivo móvil simple puede presentarse como un punto de acceso inalámbrico local y engañar a los usuarios desprevenidos al asociarse con el dispositivo falso. Los delincuentes cibernéticos puede secuestrar una conexión autorizada a un servicio o un dispositivo protegido. Los profesionales de seguridad de red pueden implementar sistemas de autenticación mutua para responder a estas acciones. Los sistemas de autenticación mutua requieren que el usuario autentique al servidor y solicita que el servidor autentique al usuario.
Formas de procesamiento y cómputo de datos El tercer estado de los datos es el de datos en proceso. Esto se refiere a los datos durante la entrada, la modificación, el cómputo o el resultado. La protección de la integridad de los datos comienza con la entrada inicial de datos. Las organizaciones utilizan varios métodos para recopilar datos, como ingreso manual de datos, formularios de análisis, cargas de archivos y datos recopilados de los sensores. Cada uno de estos métodos representa amenazas potenciales a la integridad de los datos. Un ejemplo de daños a los datos durante el proceso de captación, incluye errores en la entrada de datos o sensores del sistema desconectados, con funcionamiento incorrecto o inoperables. Otros ejemplos pueden incluir formatos de datos identificación errónea, incorrectos o no coincidentes. La modificación de los datos se refiere a cualquier cambio en los datos originales, como la modificación manual que realizan los usuarios de los datos, el procesamiento de programas y el cambio de datos, y las fallas en el equipo, lo que provoca la modificación de los datos. Los procesos como la codificación y decodificación, compresión y descompresión y cifrado y descifrado son ejemplos de la modificación de los datos. El código malicioso también provoca daños en los datos. El daño a los datos también ocurre durante el proceso de salida de datos. La salida de datos se refiere a los datos que salen de impresoras, pantallas electrónicas o directamente a otros dispositivos. La precisión de los datos de salida es fundamental ya que el resultado proporciona información y afecta la toma de decisiones. Los ejemplos de daños a los datos incluyen el uso incorrecto de delimitadores de datos, configuraciones incorrectas de comunicación e impresoras configuradas incorrectamente.
Cybersecurity Essentials - ES 0118
32
Desafíos en la protección de datos en proceso La protección contra la modificación de los datos no válidos durante el proceso puede tener un efecto adverso. Los errores de software son el motivo de muchas desgracias y desastres. Por ejemplo, solo dos semanas antes de Navidad, algunos de los comercios minoristas terceros de Amazon experimentaron un cambio en el precio publicado en sus elementos a solo un centavo. El inconveniente duró una hora. El error provocó que miles de compradores obtuvieran el descuento de sus vidas y la empresa perdió ingresos. En 2016, el termostato de Nest funcionaba incorrectamente y dejó a los usuarios sin calefacción. El termostato de Nest es una tecnología inteligente propiedad de Google. Una falla de software dejó a los usuarios, literalmente, afuera en el frío. Una actualización de software fue el problema y las baterías del dispositivo se agotaron y le impidió controlar la temperatura. Como resultado, los clientes no podían calentar sus hogares ni obtener agua caliente en uno de los fines de semana más fríos del año. La protección de los datos durante el proceso requiere sistemas bien diseñados. Los profesionales de ciberseguridad diseñan políticas y procedimientos que requieren pruebas, mantenimientos y actualización de sistemas para mantenerlos en funcionamiento con la menor cantidad de errores.
Medidas de protección tecnológicas con base en software Las medidas de protección de software incluyen programas y servicios que protegen los sistemas operativos, las bases de datos y otros servicios que operan en las estaciones de trabajo, los dispositivos portátiles y los servidores. Los administradores instalan las contramedidas o las protecciones basadas en software en los hosts o los servidores individuales. Existen varias tecnologías basadas en software utilizadas para proteger los activos de la organización:
Los firewalls del software controlan el acceso remoto a un sistema. Los sistemas operativos generalmente incluyen un firewall o un usuario puede adquirir o descargar un software de terceros.
Los escáneres de redes y puertos detectan y supervisan los puertos abiertos en un host o un servidor.
Cybersecurity Essentials - ES 0118
33
Los analizadores de protocolos o los analizadores de firmas, son dispositivos que recopilan y analizan el tráfico de red. Identifican problemas de rendimiento, detectan configuraciones incorrectas, identifican aplicaciones que funcionan de manera incorrecta, establecen una línea de base y patrones de tráfico normal y depuran los problemas de comunicación.
Los escáneres de vulnerabilidad son programas informáticos diseñados para evaluar las debilidades en las computadoras o redes.
Los sistemas de detección de intrusiones (IDS) basados en el host examinan la actividad en los sistemas host. Un IDS genera archivos de registro y mensajes de alarma cuando detecta actividad inusual. Un sistema que almacena datos confidenciales o que proporciona servicios críticos es un candidato para el IDS basado en host.
Medidas de protección tecnológicas con base en hardware Existen varias tecnologías basadas en hardware utilizadas para proteger los activos de la organización:
Los dispositivos de firewall bloquean el tráfico no deseado. Los firewalls contienen reglas que definen el tráfico permitido dentro y fuera de la red.
Los sistemas de detección de intrusiones (IDS) exclusivos detectan signos de ataques o de tráfico inusual en una red y envía una alerta.
Los sistemas de prevención de intrusiones (IPS) detectan signos de ataques o de tráfico inusual en una red, generan una alerta y toman medidas correctivas.
Los servicios de filtrado de contenido controlan el acceso y la transmisión de contenido inaceptable u ofensivo.
Cybersecurity Essentials - ES 0118
34
Medidas de protección tecnológicas con base en la red Existen varias tecnologías basadas en red que se utilizan para proteger los activos de la organización:
La red privada virtual (VPN) es una red virtual segura que utiliza la red pública (es decir, Internet). La seguridad de una VPN reside en el cifrado del contenido de paquetes entre los terminales que definen la VPN.
Control de acceso a la red (NAC) requiere un conjunto de verificaciones antes de permitir que un dispositivo se conecte a una red. Algunos verificaciones comunes incluyen la instalación de actualizaciones de software antivirus o de sistema operativo.
Seguridad de punto de acceso inalámbrico incluye la implementación de la autenticación y encriptación.
Medidas de protección tecnológicas con base en la nube Las tecnologías con base en la nube cambian el componente de tecnología de la organización al proveedor de la nube. Los tres servicios principales de computación en la nube incluyen los siguientes:
Software como servicio (SaaS) permite que los usuarios tengan acceso al software y las bases de datos de la aplicación. Los proveedores de la nube administran la infraestructura. Los usuarios almacenan datos en los servidores del proveedor de la nube.
Infraestructura como servicio (IaaS) proporciona recursos informáticos virtualizados a través de Internet. El proveedor es el host del hardware, del software, de los servidores y de los componentes de almacenamiento.
Plataforma como servicio (PaaS) proporciona acceso a las herramientas de desarrollo y a los servicios utilizados para proporcionar las aplicaciones.
Los proveedores de servicios en la nube han ampliado estas opciones para incluir la TI como servicio (ITaaS), que brinda soporte de TI a los modelos de servicio de IaaS, PaaS y SaaS. En el modelo de ITaaS, una organización tiene un contrato con el proveedor de la nube para servicios individuales o agrupados. Los proveedores de servicios en la nube utilizan dispositivos de seguridad virtual que se ejecutan en un entorno virtual con un sistema operativo preempaquetado y reforzado que se ejecuta en un hardware virtualizado.
Cómo implementar la capacitación y formación en ciberseguridad Invertir mucho dinero en tecnología no variará si las personas dentro de la organización son el eslabón más débil en el área de ciberseguridad. Un programa de reconocimiento de seguridad es sumamente importante para una organización. Un empleado puede no ser malicioso de manera intencionada, pero no conocer cuáles son los procedimientos adecuados. Existen muchas maneras de implementar un programa de capacitación formal:
Hacer de la capacitación en el conocimiento de la seguridad una parte del proceso de incorporación de los empleados
Vincular el conocimiento de la seguridad con los requisitos o las evaluaciones de rendimiento
Realizar sesiones de capacitación en persona
Cybersecurity Essentials - ES 0118
35
Completar los cursos en línea
El reconocimiento de la seguridad debe ser un proceso continuo dado que las nuevas amenazas y técnicas están siempre en el horizonte.
Establecimiento de una cultura de conocimiento de la ciberseguridad Los miembros de una organización deben tener en cuenta las políticas de seguridad y tener el conocimiento para hacer de la seguridad una parte de sus actividades diarias. Un programa de reconocimiento de seguridad depende de:
El entorno de la organización
El nivel de amenaza
La creación de una cultura de conocimiento de la ciberseguridad es un esfuerzo continuo que requiere el liderazgo de la administración superior y el compromiso de todos los usuarios y empleados. La modificación de la cultura de la ciberseguridad de una organización comienza con el establecimiento de políticas y procedimientos por parte de la administración. Por ejemplo, muchas organizaciones tienen días de concientización sobre la ciberseguridad. Las organizaciones también pueden publicar mensajes y señalizaciones para aumentar el conocimiento general sobre ciberseguridad. La creación de talleres y seminarios de orientación en ciberseguridad ayudan a aumentar la conciencia.
Políticas Una política de seguridad es un conjunto de objetivos de seguridad para una empresa que incluye las reglas de comportamiento de usuarios y administradores y especificar los requisitos del sistema. Estos objetivos, estas reglas y estos requisitos en conjunto garantizan la seguridad de una red, de los datos y de los sistemas informáticos de una organización. Una política de seguridad completa logra varias tareas:
Demuestra el compromiso de una organización con la seguridad.
Establece las reglas para el comportamiento esperado.
Garantiza la uniformidad en las operaciones del sistema, el software y la adquisición y uso de hardware, y el mantenimiento.
Define las consecuencias legales de violaciones.
Brinda al personal de seguridad el respaldo de la administración.
Las políticas de seguridad informan a los usuarios, al personal y a los gerentes los requisitos de una organización para proteger la tecnología y los activos de información. Una política de seguridad también especifica los mecanismos necesarios para cumplir con los requisitos de seguridad. Como se muestra en la figura, una política de seguridad generalmente incluye:
Políticas de autenticación e identificación: determinan cuáles son las personas autorizadas que pueden acceder a los recursos de red y describen los procedimientos de verificación.
Políticas de contraseña: garantizan que las contraseñas cumplan con requisitos mínimos y se cambien periódicamente.
Cybersecurity Essentials - ES 0118
36
Políticas de uso aceptable: identifican los recursos y el uso de red que son aceptables para la organización. También puede identificar las consecuencias de las violaciones de la política.
Políticas de acceso remoto: identifican cómo los usuarios remotos pueden obtener acceso a la red y cuál es accesible de manera remota.
Políticas de mantenimiento de red: especifican los sistemas operativos de los dispositivos de la red y los procedimientos de actualización de las aplicaciones de los usuarios finales.
Políticas de manejo de incidentes: describen cómo se manejan los incidentes de seguridad.
Uno de los componentes más comunes de la política de seguridad es una política de uso aceptable (AUP). Este componente define qué pueden y no pueden realizar los usuarios en los distintos componentes del sistema. El AUP debe ser lo más explícito posible para evitar la malainterpretación. Por ejemplo, un AUP enumera las páginas web, los grupos informativos o las aplicaciones de uso intensivo de ancho de banda específicos a las que los usuarios no pueden acceder utilizando las computadoras o la red de la empresa.
Estándares Los estándares ayudan al personal de TI a mantener la uniformidad en el funcionamiento de la red. Los documentos sobre estándares proporcionan las tecnologías que los usuarios o los programas específicos necesitan, además de los requisitos o criterios del programa que una organización debe seguir. Esto permite al personal de TI mejorar la eficiencia y simplicidad en el diseño, el mantenimiento y la resolución de problemas. Uno de los principios de seguridad más importantes es el de uniformidad. Por este motivo, es necesario que las organizaciones establezcan estándares. Cada organización desarrolla estándares para admitir el entorno operativo único. Por ejemplo, una organización establece una política de contraseñas. El estándar es que las contraseñas requieran un mínimo de ocho caracteres alfanuméricos de letras mayúsculas y minúsculas, con al menos un carácter especial. Un usuario debe cambiar una contraseña cada 30 días y un historial de contraseñas de 12 contraseñas anteriores garantiza que el usuario cree contraseñas únicas por un año.
Pautas Las pautas constan de una lista de sugerencias sobre cómo hacer las cosas de manera más eficaz y segura. Son similares a los estándares, pero son más flexibles y generalmente no son obligatorias. Las pautas definen cómo se desarrollan los estándares y garantizan el cumplimiento de las políticas de seguridad general. Algunas de las pautas más útiles conforman las mejores prácticas de una organización. Además de las mejores prácticas que define una organización, las pautas también están disponibles a partir de lo siguiente:
Instituto Nacional de Normas y Tecnología (NIST), Centro de recursos de seguridad informática (Figura 1)
Departamento de Seguridad Nacional (NSA), Guías para la configuraciones de seguridad (Figura 2)
El estándar de criterios comunes (Figura 3)
Mediante el ejemplo de políticas de contraseña, una pauta es una sugerencia en l a que el usuario toma una frase como “I have a dream” y lo convierte en una contraseña segura, Ihv@dr3 @m. El usuario puede crear otras contraseñas a partir de esta frase al cambiar el número, mover el símbolo o cambiar el signo de puntuación.
Cybersecurity Essentials - ES 0118
37
Procedimientos Los documentos de procedimiento son más detallados que los estándares y las pautas. Los documentos de procedimiento incluyen detalles de implementación que contienen generalmente instrucciones paso a paso y gráficos. La figura muestra un ejemplo del procedimiento que se utilizó para cambiar una contraseña. Las grandes organizaciones deben usar documentos de procedimientos para mantener la uniformidad de la implementación que se necesita para un entorno seguro.
Descripción general del modelo Los profesionales de seguridad necesitan proteger la información de manera completa en la organización. Esta es una tarea monumental y no es razonable esperar que una persona tenga todo el conocimiento necesario. La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) desarrollaron un marco de trabajo global para guiar la administración de la seguridad de la información. El modelo de ciberseguridad de ISO es para los profesionales de la ciberseguridad lo que el modelo de red de OSI es para los ingenieros de redes. Ambos proporcionan un marco para comprender y abordar las tareas complejas.
Dominios de la ciberseguridad La norma ISO/IEC 27000 es un estándar de seguridad informática publicada en 2005 y revisada en 2013. ISO publica los estándares ISO 27000. Si bien los estándares no son obligatorios, la mayoría de los países los utilizan como marco trabajo de facto para implementar la seguridad informática. Los estándares ISO 27000 describen la implementación de un sistema de administración de seguridad de la información (ISMS) completo. Un ISMS incluye todos los controles administrativos, técnicos y operativos para mantener la información segura dentro de una organización. Doce dominios independientes representan los componentes del estándar ISO 27000. Estos doce dominios sirven para organizar, en un nivel alto, las vastas áreas de información bajo el término general de seguridad informática. La estructura del modelo de ciberseguridad de ISO es diferente del modelo de OSI ya que utiliza dominios en lugar de capas para describir las categorías de seguridad. El motivo es que el modelo de ciberseguridad de ISO no es una relación jerárquica. Es un modelo de pares en el que cada dominio tiene una relación directa con los otros dominios. El modelo de ciberseguridad de ISO 27000 es muy similar al modelo de OSI en que es fundamental que los hechiceros en ciberseguridad comprendan ambos modelos para tener éxito. Haga clic en cada dominio de la figura para ver una descripción breve. Los doce dominios sirven como base común para desarrollar estándares de seguridad organizativa y prácticas eficaces de administración de seguridad. También facilitan la comunicación entre organizaciones.
Objetivos de control Los doce dominios constan de objetivos de control definidos en la parte 27001 del estándar. Los objetivos de control definen los requisitos de alto nivel para implementar un ISM completo. El equipo de administración de una organización utiliza los objetivos de control de ISO 27001 para definir y publicar las políticas de seguridad de la organización. Los objetivos de control proporcionan una lista de comprobación para utilizar durante las auditorías de administración de seguridad. Muchas organizaciones deben aprobar una auditoría de ISMS para obtener una designación de cumplimiento del estándar ISO 27001. La certificación y el cumplimiento proporcionan confianza para dos organizaciones que deben confiar los datos y las operaciones confidenciales de cada uno. Las auditorías de cumplimiento y de seguridad
Cybersecurity Essentials - ES 0118
38
demuestran que las organizaciones aumentan continuamente su sistema de administración de seguridad informática. El siguiente es un ejemplo de un objetivo de control: Controlar el acceso a las redes mediante los mecanismos de autenticación adecuados para los usuarios y los equipos.
Controles El estándar ISO/IEC 27002 define los controles del sistema de administración de seguridad informática. Los controles son más detallados que los objetivos. Los objetivos de control indican a la organización lo que debe hacer. Los controles definen cómo alcanzar el objetivo. Según el objetivo de control, para controlar el acceso a las redes mediante los mecanismos de autenticación adecuados para los usuarios y los equipos, el control sería el siguiente: Utilice contraseñas seguras. Una contraseña segura consta de al menos ocho caracteres que son una combinación de letras, números y símbolos (@, #, $, %, etc.) si están permitidos. Las contraseñas distinguen entre mayúsculas y minúsculas, de modo que una contraseña segura contiene letras en mayúsculas y minúsculas. Los profesionales de ciberseguridad reconocen lo siguiente:
Los controles no son obligatorios, sino que están ampliamente aceptados y adoptadas.
Los controles deben mantener la neutralidad del proveedor para evitar la imagen de que respalda a un producto o a una empresa específica.
Los controles son como las pautas. Esto significa que puede haber más de una manera de cumplir con el objetivo.
Cybersecurity Essentials - ES 0118
39
El modelo de ciberseguridad de ISO y la Tríada de CID La norma ISO 27000 es un marco de trabajo universal para cada tipo de organización. Para utilizar el marco de trabajo de manera eficaz, una organización debe restringir los dominios, los objetivos de control y los controles que aplican a su entorno y sus operaciones. Los objetivos de control de ISO 27001 funcionan como una lista de verificación. El primer paso que una organización toma es para determinar si estos objetivos de control se aplican a la organización. La mayoría de las organizaciones generan un documento llamado Declaración de aplicabilidad (SOA). La SOA define los objetivos de control que la organización necesita usar. Las distintas organizaciones dan mayor prioridad a la confidencialidad, integridad y disponibilidad según el tipo de industria. Por ejemplo, Google otorga el valor más alto a la confidencialidad y disponibilidad de los datos del usuario y menos a la integridad. Google no verifica los datos del usuario. Amazon pone un gran énfasis a la disponibilidad. Si el sitio no está disponible, Amazon no realiza la venta. Esto no significa que Amazon ignora la confidencialidad a favor de la disponibilidad. Amazon solo da mayor prioridad a la disponibilidad. Por lo tanto, Amazon puede dedicar más recursos y garantizar que haya más servidores disponibles para manejar las compras de los clientes.
Cybersecurity Essentials - ES 0118
40
Una organización adapta su uso de los objetivos de control y los controles disponibles para satisfacer de mejor manera sus prioridades con respecto a la confidencialidad, integridad y disponibilidad.
El modelo y los mecanismos de protección de la ciberseguridad de ISO Los objetivos de control de ISO 27001 se relacionan directamente con las políticas, los procedimientos y las pautas de ciberseguridad de la organización que la administración superior determina. Los controles de ISO 27002 proporcionan dirección técnica. Por ejemplo, la administración superior establece una política que especifica la protección de todos los datos que ingresan o salen de la organización. La implementación de la tecnología para cumplir con los objetivos de la política no involucraría a la administración superior. Es responsabilidad de los profesionales de TI implementar y configurar correctamente el equipo utilizado para satisfacer las directivas de la política establecidas por la administración superior.
Resumen Capítulo 2: El cubo de destrezas de ciberseguridad En este capítulo se analizaron las tres dimensiones del cubo de destrezas de seguridad. La responsabilidad central de un hechicero de ciberseguridad es proteger los sistemas y los datos de una organización. En el capítulo se explicó cómo cada una de las tres dimensiones contribuye a ese esfuerzo. En el capítulo también se analizó el modelo de ciberseguridad de ISO. El modelo representa un marco de trabajo internacional para estandarizar la administración de los sistemas de información. En este capítulo se analizaron los doce dominios. El modelo proporciona objetivos de control que abordan el diseño y la implementación de alto nivel de un sistema completo de administración de seguridad de la información (ISMS). En el capítulo también se analizó cómo los profesionales de seguridad utilizan controles para identificar las tecnologías, los dispositivos y los productos para proteger la organización.
Cybersecurity Essentials - ES 0118
41
Capítulo 3: amenazas, vulnerabilidades y ataques a la ciberseguridad Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de ciberseguridad. Una amenaza a la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque. Una vulnerabilidad es una debilidad que hace que un objetivo sea susceptible a un ataque. Un ataque es una explotación deliberada de una debilidad detectadas en sistemas de información de la computadora, ya sea como objetivos específicos o simplemente como objetivos de la oportunidad. Los delincuentes informáticos pueden tener diferentes motivaciones para seleccionar un objetivo de un ataque. Los delincuentes cibernéticos tienen éxito al buscar e identificar continuamente los sistemas con vulnerabilidades evidentes. Las víctimas comunes incluyen sistemas sin parches o sistemas que no cuentan con detección de virus y de correo no deseado. En este capítulo se examinan los ataques más comunes a la ciberseguridad. Los hechiceros cibernéticos deben saber cómo funciona cada ataque, lo que aprovecha y cómo afecta a la víctima. El capítulo comienza explicando la amenaza de malware y de código malicioso, y luego explica los tipos de trucos involucrados en la ingeniería social. Un ataque cibernético es un tipo de maniobra ofensiva utilizada por los delincuentes cibernéticos para atacar a los sistemas de información de la computadora, las redes informáticas u otros dispositivos de la computadora, mediante un acto malicioso. Los delincuentes cibernéticos lanzan maniobras ofensivas contra redes cableadas e inalámbricas.
Virus, gusanos y troyanos Los delincuentes cibernéticos apuntan a los terminales del usuario mediante la instalación de malware. Haga clic en Reproducir para ver una animación de los tres tipos más comunes de malware. Virus Un virus es un código malicioso ejecutable asociado a otro archivo ejecutable, como un programa legítimo. La mayoría de los virus requieren la inicialización del usuario final y pueden activarse en un momento o fecha específica. Los virus informáticos generalmente se propagan en una de tres maneras: desde medios extraíbles; desde descargas de Internet y desde archivos adjuntos de correo electrónico. Los virus pueden ser inofensivos y simplemente mostrar una imagen o pueden ser destructivos, como los que modifican o borran datos. Para evitar la detección, un virus se transforma. El simple acto de abrir un archivo puede activar un virus. Un sector de arranque o un virus del sistema de archivos, infecta las unidades de memoria flash USB y puede propagarse al disco duro del sistema. La ejecución de un programa específico puede activar un virus del programa. Una vez que el virus del programa está activo, infectará generalmente otros programas en la computadora u otras computadoras de la red. El virus Melissa es un ejemplo de virus que se propaga por correo electrónico. Melissa afectó a decenas de miles de usuarios y causó daños por una cifra estimada en USD 1,2 mil millones. Haga clic aquí para leer más sobre los virus. Gusanos Los gusanos son códigos maliciosos que se replican al explotar de manera independiente las vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan las redes. Mientras que un virus requiere la ejecución de un programa del host, los gusanos pueden ejecutarse por sí mismos. A excepción de la infección inicial, los gusanos ya no requieren la participación del usuario. Después de que un gusano afecta a un host, se puede propagar muy rápido en la red. Los gusanos comparten patrones similares. Todos tienen una vulnerabilidad de activación, una manera de propagarse y contienen una carga útil. Los gusanos son responsables de algunos de los ataques más devastadores en Internet. Por ejemplo, en 2001, el gusano Code Red infectó a 658 servidores. En 19 horas, el gusano infectó a más de 300 000 servidores. Troyano Un troyano es un malware que ejecuta operaciones maliciosas bajo la apariencia de una operación deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan. Un troyano se diferencia
Cybersecurity Essentials - ES 0118
42
de un virus debido a que el troyano está relacionado con los archivos no ejecutables, como archivos de imagen, de audio o juegos.
Bomba lógica Una bomba lógica es un programa malicioso que utiliza un activador para reactivar el código malicioso. Por ejemplo, los activadores pueden ser fechas,horas, otros programas en ejecución o la eliminación de una cuenta de usuario. La bomba lógica permanece inactiva hasta que se produce el evento activador. Una vez activada, una bomba lógica implementa un código malicioso que provoca daños en una computadora. Una bomba lógica puede sabotear los registros de bases de datos, borrar los archivos y atacar los sistemas operativos o aplicaciones. Los paladines cibernéticos descubrieron recientemente las bombas lógicas que atacan y destruyen a los componentes de hardware de una estación de trabajo o un servidor, como ventiladores de refrigeración, CPU, memorias, unidades de disco duro y fuentes de alimentación. La bomba lógica abruma estos dispositivos hasta que se sobrecalientan o fallan.
Ransomware El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta que el objetivo haga un pago. El ransomware trabaja generalmente encriptando los datos de la computadora con una clave desconocida para el usuario. El usuario debe pagar un rescate a los delincuentes para eliminar la restricción. Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para bloquearlo. El ransomware se propaga como un troyano y es el resultado de un archivo descargado o de alguna debilidad del software. El pago a través de un sistema de pago ilocalizable siempre es el objetivo del delincuente. Una vez que la víctima paga, los delincuentes proporcionan un programa que descifra los archivos o envían un código de desbloqueo. Haga clic aquí para leer más sobre el ransomware.
Puertas traseras y rootkits Una puerta trasera o un rootkit se refiere al programa o al código que genera un delincuente que ha comprometido un sistema. La puerta trasera omite la autenticación normal que se utiliza para tener acceso a un sistema. Algunos programas comunes de puerta trasera son Netbus y Back Orifice, que permiten el acceso remoto a los usuarios no autorizados del sistema. El propósito de la puerta trasera es otorgar a los delincuentes cibernéticos el acceso futuro al sistema, incluso si la organización arregla la vulnerabilidad original utilizada para atacar al sistema. Por lo general, los delincuentes logran que los usuarios autorizados ejecuten sin saberlo un programa de troyanos en su máquina para instalar la puerta trasera. Un rootkit modifica el sistema operativo para crear una puerta trasera. Los atacantes luego utilizan la puerta trasera para acceder a la computadora de forma remota. La mayoría de los rootkits aprovecha las vulnerabilidades de software para realizar el escalamiento de privilegios y modificar los archivos del sistema. El escalamiento de privilegios aprovecha los errores de programación o las fallas de diseño para otorgar al delincuente el acceso elevado a los recursos y datos de la red. También es común que los rootkits modifiquen la informática forense del sistema y las herramientas de supervisión, por lo que es muy difícil detectarlos. A menudo, el usuario debe limpiar y reinstalar el sistema operativo de una computadora infectada por un rootkit.
Defensa contra malware Algunos pasos simples pueden ayudar a brindar protección contra todas las formas de malware.
Programa antivirus: la mayoría de los conjuntos de antivirus adquieren las formas más generalizadas de malware. Sin embargo, los delincuentes cibernéticos desarrollan e implementan nuevas amenazas a diario. Por lo tanto, la clave para una solución antivirus eficaz es mantener
Cybersecurity Essentials - ES 0118
43
actualizadas las firmas. Una firma es como una huella. Identifica las características de un código malicioso.
Software de actualización: muchas formas de malware alcanzan sus objetivos mediante la explotación de las vulnerabilidades del software, en el sistema operativo y las aplicaciones. Aunque las vulnerabilidades del sistema operativo eran la fuente principal de los problemas, las vulnerabilidades actuales a nivel de las aplicaciones representan el riesgo más grande. Desafortunadamente, aunque los fabricantes de sistemas operativos son cada vez más receptivos a los parches, la mayoría de los proveedores de aplicaciones no lo son.
Correo electrónico no deseado El correo electrónico es un servicio universal utilizado por miles de millones de personas en todo el mundo. Como uno de los servicios más populares, el correo electrónico se ha convertido en una vulnerabilidad importante para usuarios y organizaciones. El correo no deseado, también conocido como “correo basura”, es correo electrónico no solicitado. En la mayoría de los casos, el correo no deseado es un método publicitario. Sin embargo, el correo no deseado se puede utilizar para enviar enlaces nocivos, malware o contenido engañoso. El objetivo final es obtener información confidencial, como información de un número de seguro social o de una cuenta bancaria. La mayor parte del correo no deseado proviene de varias computadoras en redes infectadas por un virus o gusano. Estas computadoras comprometidas envían la mayor cantidad posible de correo electrónico masivo. Incluso con la implementación de estas características de seguridad, algunos correos no deseados aún pueden llegar a la bandeja de entrada. Algunos de los indicadores más comunes de correo no deseado son los siguientes:
El correo electrónico no tiene asunto.
El correo electrónico solicita la actualización de una cuenta.
El texto del correo electrónico tiene palabras mal escritas o puntuación extraña.
Los enlaces del correo electrónico son largos o crípticos.
Un correo electrónico se parece a una correspondencia de una empresa legítima.
El correo electrónico solicita que el usuario abra un archivo adjunto.
Haga clic aquí para obtener más información sobre el correo no deseado. Si un usuario recibe un correo electrónico que contiene uno o más de estos indicadores, este no debe abrir el correo electrónico ni los archivos adjuntos. Es muy común que la política de correo electrónico de una organización requiera que un usuario que recibe este tipo de correo electrónico lo informe al personal de seguridad cibernética. Casi todos los proveedores de correo electrónico filtran el correo electrónico no deseado. Desafortunadamente, el correo electrónico no deseado aún consume ancho de banda y el servidor del destinatario debe procesar el mensaje de igual manera.
Spyware, adware y scareware El spyware es un software que permite a un delincuente obtener información sobre las actividades informáticas de un usuario. El spyware incluye a menudo rastreadores de actividades, recopilación de pulsaciones de teclas y captura de datos. En el intento por superar las medidas de seguridad, el spyware a menudo modifica las configuraciones de seguridad. El spyware con frecuencia se agrupa con el software legítimo o con troyanos. Muchos sitios web de shareware están llenos de spyware. El adware muestra generalmente los elementos emergentes molestos para generar ingresos para sus autores. El malware puede analizar los intereses del usuario al realizar el seguimiento de los sitios web visitados. Luego puede enviar la publicidad emergente en relación con esos sitios. Algunas versiones de
Cybersecurity Essentials - ES 0118
44
software instalan automáticamente el adware. Algunos adwares solo envían anuncios, pero también es común que el adware incluya spyware. El scareware convence al usuario a realizar acciones específicas según el temor. El scareware falsifica ventanas emergentes que se asemejan a las ventanas de diálogo del sistema operativo. Estas ventanas transportan los mensajes falsificados que exponen que el sistema está en riesgo o necesita la ejecución de un programa específico para volver al funcionamiento normal. En realidad, no existen problemas y si el usuario acepta y permite que el programa mencionado se ejecute, el malware infectará su sistema.
Falsificación de identidad La suplantación de identidad es una forma de fraude. Los delincuentes cibernéticos utilizan el correo electrónico, la mensajería instantánea u otros medios sociales para intentar recopilar información como credenciales de inicio de sesión o información de la cuenta disfrazándose como una entidad o persona de confianza. La suplantación de identidad ocurre cuando una parte maliciosa envía un correo electrónico fraudulento disfrazado como fuente legítima y confiable. El objetivo de este mensaje es engañar al destinatario para que instale malware en su dispositivo o comparta información personal o financiera. Un ejemplo de suplantación de identidad es un correo electrónico falsificado similar al que provino de un negocio minorista, que solicita al usuario que haga clic en un enlace para reclamar un premio. El enlace puede ir a un sitio falso que solicita información personal o puede instalar un virus. La suplantación de identidad focalizada es un ataque de falsificación de identidad altamente dirigido. Si bien la suplantación de identidad y la suplantación de identidad focalizada usan correos electrónicos para llegar a las víctimas, mediante la suplantación de identidad focalizada se envía correos electrónicos personalizados a una persona específica. El delincuente investiga los intereses del objetivo antes de enviarle el correo electrónico. Por ejemplo, el delincuente descubre que al objetivo le interesan los automóviles y que está interesado en la compra de un modelo específico de automóvil. El delincuente se une al mismo foro de debate sobre automóviles donde el objetivo es miembro, fragua una oferta de venta del automóvil y envía un correo electrónico al objetivo. El correo electrónico contiene un enlace a imágenes del automóvil. Cuando el objetivo hace clic en el enlace, instala sin saberlo el malware en la computadora. Haga clic aquí para obtener más información sobre los fraudes de correo electrónico.
«Vishing», «Smishing», «Pharming» y «Whaling» El «Vishing» es una práctica de suplantación de identidad mediante el uso de la tecnología de comunicación de voz. Los delincuentes pueden realizar llamadas de suplantación de fuentes legítimas mediante la tecnología de voz sobre IP (VoIP). Las víctimas también pueden recibir un mensaje grabado que parezca legítimo. Los delincuentes desean obtener los números de tarjetas de crédito u otra información para robar la identidad de la víctima. El «Vishing» aprovecha el hecho de que las personas dependen de la red telefónica. El «Smishing» (suplantación del servicio de mensajes cortos) es una suplantación de identidad mediante la mensajería de texto en los teléfonos móviles. Los delincuentes se hacen pasar por una fuente legítima en un intento por ganar la confianza de la víctima. Por ejemplo, un ataque de «smishing» puede enviar a la víctima un enlace de sitio web. Cuando la víctima visita el sitio web, el malware se instala en el teléfono móvil. El «Pharming» es la suplantación de un sitio web legítimo en un esfuerzo por engañar a los usuarios al ingresar sus credenciales. El «Pharming» dirige erróneamente a los usuarios a un sitio web falsas que parece ser oficial. Las víctimas luego ingresan su información personal pensando que se conectaron a un sitio legítimo. El «Whaling» es un ataque de suplantación de identidad que apunta a objetivos de alto nivel dentro de una organización, como ejecutivos sénior. Los objetivos adicionales incluyen políticos o celebridades. Haga clic aquí para leer un artículo de RSA sobre la suplantación de identidad y las actividades de «smishing», «vishing» y «whaling».
Cybersecurity Essentials - ES 0118
45
Complementos y envenenamiento del navegador Las infracciones a la seguridad pueden afectar a los navegadores web al mostrar anuncios emergentes, recopilar información de identificación personal o instalar adware, virus o spyware. Un delincuente puede hackear el archivo ejecutable de un navegador, los componentes de un navegador o sus complementos. Complementos Los complementos de memoria flash y shockwave de Adobe permiten el desarrollo de animaciones interesantes de gráfico y caricaturas que mejoran considerablemente la apariencia de una página web. Los complementos muestran el contenido desarrollado mediante el software adecuado. Hasta hace poco, los complementos tenían un registro notable de seguridad. Si bien el contenido basado en flash creció y se hizo más popular, los delincuentes examinaron los complementos y el software de Flash, determinaron las vulnerabilidades y atacaron a Flash Player. El ataque exitoso puede provocar el colapso de un sistema o permitir que un delincuente tome el control del sistema afectado. Espere el aumento de las pérdidas de datos a medida que los delincuentes sigan investigando las vulnerabilidades de los complementos y protocolos más populares. Envenenamiento SEO Los motores de búsqueda, como Google, funcionan clasificando páginas y presentando resultados relevantes conforme a las consultas de búsqueda de los usuarios. Según la importancia del contenido del sitio web, puede aparecer más arriba o más abajo en la lista de resultados de la búsqueda. La SEO (optimización de motores de búsqueda) es un conjunto de técnicas utilizadas para mejorar la clasificación de un sitio web por un motor de búsqueda. Aunque muchas empresas legítimas se especializan en la optimización de sitios web para mejorar su posición, el envenenamiento SEO utiliza la SEO para hacer que un sitio web malicioso aparezca más arriba en los resultados de la búsqueda. El objetivo más común del envenenamiento SEO es aumentar el tráfico a sitios maliciosos que puedan alojar malware o perpetrar la ingeniería social. Para forzar un sitio malicioso para que califique más alto en los resultados de la búsqueda, los atacantes se aprovechan de los términos de búsqueda populares. Secuestrador de navegadores Un secuestrador de navegadores es el malware que altera la configuración del navegador de una computadora para redirigir al usuario a sitios web que pagan los clientes de los delincuentes cibernéticos. Los secuestradores de navegadores instalan sin permiso del usuario y generalmente son parte de una descarga desapercibida. Una descarga desde una unidad es un programa que se descarga automáticamente a la computadora cuando un usuario visita un sitio web o ve un mensaje de correo electrónico HTML. Siempre lea los acuerdos de usuario detalladamente al descargar programas de evitar este tipo de malware.
Cómo defenderse de los ataques a correos electrónicos y navegadores Los métodos para tratar con correo no deseado incluyen el filtrado de correo electrónico, la formación del usuario sobre las precauciones frente a correos electrónicos desconocidos y el uso de filtros de host y del servidor. Es difícil detener el correo electrónico no deseado, pero existen maneras de reducir sus efectos. Por ejemplo, la mayoría de los ISP filtran el correo no deseado antes de que llegue a la bandeja de entrada del usuario. Muchos antivirus y programas de software de correo electrónico realizan automáticamente el filtrado de correo electrónico. Esto significa que detectan y eliminan el correo no deseado de la bandeja de entrada del correo electrónico. Las organizaciones también advierten a los empleados sobre los peligros de abrir archivos adjuntos de correo electrónico que pueden contener un virus o un gusano. No suponga que los archivos adjuntos de correo electrónico son seguros, aun cuando provengan de un contacto de confianza. Un virus puede intentar propagarse al usar la computadora del emisor. Siempre examine los archivos adjuntos de correo electrónico antes de abrirlos.
Cybersecurity Essentials - ES 0118
46
El Grupo de trabajo contra la suplantación de identidad (APWG) es una asociación del sector que se dedica a eliminar el robo de identidad y el fraude ocasionado por la suplantación de identidad y la suplantación de correo electrónico. Si mantiene todo el software actualizado, esto garantiza que el sistema tenga todos los últimos parches de seguridad aplicados para remover las vulnerabilidades conocidas. Haga clic aquí para obtener más información sobre cómo evitar ataques al navegador
Ingeniería social La ingeniería social es un medio completamente no técnico por el que el delincuente reúne información sobre un objetivo. La ingeniería social es un ataque que intenta manipular a las personas para que realicen acciones o divulguen información confidencial. Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ser útiles, pero también se aprovechan de sus vulnerabilidades. Por ejemplo, un atacante puede llamar a un empleado autorizado con un problema urgente que requiere acceso inmediato a la red. El atacante puede atraer la vanidad o la codicia del empleado o invocar la autoridad mediante técnicas de nombres. Estos son algunos tipos de ataques de ingeniería social: Pretexto: esto es cuando un atacante llama a una persona y miente en el intento de obtener acceso a datos privilegiados. Un ejemplo implica a un atacante que pretende necesitar datos personales o financieros para confirmar la identidad del destinatario. Algo por algo (quid pro quo): esto es cuando un atacante solicita información personal de una parte a cambio de algo, por ejemplo, un obsequio.
Tácticas de ingeniería social Los ingenieros sociales utilizan varias tácticas. Las tácticas de ingeniería social incluyen las siguientes:
Autoridad: es más probable que las personas cumplan cuando reciben las instrucciones de “una autoridad”
Intimidación: los delincuentes hostigan a una víctima para que tome medidas
Consenso/prueba social: las personas tomarán medidas si sienten que a otras personas les gusta también
Escasez: las personas tomarán medidas cuando consideren que existe una cantidad limitada
Urgencia: las personas tomarán medidas cuando consideren que existe un tiempo limitado
Familiaridad/agrado: los delincuentes desarrollan una buena relación con la víctima para establecer una relación y confianza
Confianza: los delincuentes crean una relación de confianza con una víctima la cual puede tomar más tiempo en establecerse.
Haga clic en cada táctica de la figura para ver un ejemplo. Los profesionales en ciberseguridad son responsables de formar a otras personas en la organización con respecto a las tácticas de los ingenieros sociales. Haga clic aquí para obtener más información sobre las tácticas de ingeniería social.
Cybersecurity Essentials - ES 0118
47
«Espiar por encima del hombro» y «hurgar en la basura» Un delincuente observa, o espía por encima del hombre, para recoger los PIN, los códigos de acceso o los números de tarjetas de crédito. Un atacante puede estar muy cerca de su víctima o puede utilizar los prismáticos o las cámaras de circuito cerrado para espiar. Ese es un motivo por el que una persona solo puede leer una pantalla de ATM en determinados ángulos. Estos tipos de medidas de seguridad hacen la técnica de espiar por encima del hombro sea mucho más difícil. «La basura de un hombre es el tesoro de otro hombre». Esta frase puede ser especialmente cierta en la actividad de «búsqueda en la basura» que es el proceso por el cual se busca en la basura de un objetivo para ver qué información desecha una organización. Tenga en cuenta proteger el receptáculo de basura. Cualquier información confidencial debe desecharse correctamente mediante el destrozo o el uso de bolsas para incineración, un contenedor que conserva los documentos confidenciales para la destrucción posterior mediante incineración.
Simulación de identidad y engaños La simulación de identidad es la acción de pretender ser alguien más. Por ejemplo, una reciente estafa telefónica afectó a los contribuyentes. Un delincuente, que se presentó como empleado del IRS, le dijo a las víctimas que debían dinero al IRS. Las víctimas deben pagar de inmediato a través de una transferencia bancaria. El imitador amenazó que si no pagaba, esto generaría un arresto. Los delincuentes también utilizan la simulación para atacar a otras personas. Pueden poner en riesgo la credibilidad de las personas al utilizan las publicaciones del sitio web o de los medios sociales. Un engaño es un acto realizado con la intención de embaucar o engañar. Un engaño cibernético puede causar tanta interrupción como puede provocar una violación real. Un engaño provoca la reacción de un usuario. La reacción puede provocar miedo innecesario y comportamiento irracional. Los usuarios transmiten los engaños a través del correo electrónico y de los medios sociales. Haga clic aquí para visitar un sitio web que ofrece una lista de los mensajes de engaños.
«Piggybacking» y «Tailgating» El «Piggybacking» es una práctica mediante la cual un delincuente sigue a una persona autorizada a todas partes para obtener ingreso a una ubicación segura o a un área restringida. Los delincuentes utilizan varios métodos para efectuar la actividad de «piggyback»:
Dan la apariencia de estar acompañados por una persona autorizada
Se unen a una multitud grande y fingen ser miembro
Apuntan a una víctima que es descuidada con respecto a las reglas de las instalaciones
El «Tailgating» es otro término que describe la misma práctica. Una trampa evita la práctica de «piggybacking» al usar dos conjuntos de puertas. Una vez que las personas ingresan a una puerta externa, esa puerta debe cerrarse antes de ingresar a la puerta interna.
Trucos en línea y por correo electrónico Si en el lugar de trabajo reenvía correos electrónicos engañosos y otras bromas, películas graciosas y correos electrónicos que no están relacionados con el trabajo, puede violar la política de uso aceptable de la empresa y esto puede generar medidas disciplinarias. Haga clic aquí para visitar un sitio web que publica rumores y controla la información
Cybersecurity Essentials - ES 0118
48
Cómo defenderse contra el uso de trucos Las organizaciones deben promover el conocimiento de tácticas de ingeniería social y formar correctamente a los empleados en relación con las medidas de prevención, como las siguientes:
Nunca proporcione información confidencial o credenciales por correo electrónico, sesiones de chat, en persona o por teléfono a desconocidos.
Resista el impulso de hacer clic en correos electrónicos y enlaces de sitio web atractivos.
Preste atención a las descargas no iniciadas o automáticas.
Establezca políticas y brinde formación a los empleados sobre esas políticas.
Cuando se trata de la seguridad, ofrezca a los empleados un sentido de la propiedad.
No se sienta presionado por personas desconocidas.
Haga clic aquí para obtener más información sobre el conocimiento de ciberseguridad
Denegación de servicio Los ataques de denegación de servicio (DoS) son un tipo de ataque a la red. Un ataque de DoS da como resultado cierto tipo de interrupción de los servicios de red a los usuarios, los dispositivos o las aplicaciones. Existen dos tipos principales de ataques de DoS:
Cantidad abrumadora de tráfico: el atacante envía una gran cantidad de datos a una velocidad que la red, el host o la aplicación no puede manejar. Esto ocasiona una disminución de la velocidad de transmisión o respuesta o una falla en un dispositivo o servicio.
Paquetes maliciosos formateados: esto sucede cuando se envía un paquete malicioso formateado a un host o una aplicación y el receptor no puede manejarlo. Por ejemplo, una aplicación no puede identificar los paquetes que contienen errores o paquetes incorrectamente formateados, reenviados por el atacante. Esto hace que el dispositivo receptor se ejecute muy lentamente o se detenga.
Los ataques de DoS son un riesgo importante porque pueden interrumpir fácilmente la comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques son relativamente simples de llevar a cabo, incluso por un atacante inexperto. El objetivo de un ataque de denegación de servicio es denegar el acceso a usuarios autorizados al hacer que la red no esté disponible (recuerde los tres principios básicos de seguridad: confidencialidad, integridad y disponibilidad). Haga clic en Reproducir en la Figura 1 para ver las animaciones de un ataque de DoS. Un ataque de DoS distribuida (DDoS) es similar a un ataque de DoS pero proviene de múltiples fuentes coordinadas. Por ejemplo, un ataque de DDoS podría darse de la siguiente manera: Un atacante crea una red de hosts infectados, denominada botnet, compuesta por zombis. Los zombis son hosts infectados. El atacante utiliza sistemas del controlador para controlar a los zombis. Las computadoras zombis constantemente analizan e infectan más hosts, lo que genera más zombis. Cuando está listo, el pirata informático proporciona instrucciones a los sistemas manipuladores para que los botnet de zombis lleven a cabo un ataque de DDoS. Haga clic en Reproducir en la Figura 2 para ver las animaciones de un ataque de DDoS. Un ataque de denegación de servicio distribuido (DDoS) utiliza muchos zombis para sobrecargar un objetivo.
Cybersecurity Essentials - ES 0118
49
Análisis La técnica de análisis es similar a escuchar a escondidas a alguien. Ocurre cuando los atacantes examinan todo el tráfico de red a medida que pasa por la NIC, independientemente de si el tráfico está dirigidos a ellos o no. Los delincuentes logran realizar análisis de la red con una aplicación de software, dispositivo de hardware o una combinación de ambos. Como se muestra en la figura, la práctica de análisis consiste en ver todo el tráfico de red o puede dirigirse a un protocolo, un servicio o incluso una cadena de caracteres específica, como un inicio de sesión o una contraseña. Algunos analizadores de protocolos de red observan todo el tráfico y modifican todo el tráfico o parte de este. La práctica de análisis también tiene sus beneficios. Los administradores de red pueden utilizar analizadores de protocolos para analizar el tráfico de red, identificar problemas de ancho de banda y para solucionar otros problemas de red. La seguridad física es importante para evitar la introducción de analizadores de protocolos en la red interna.
Falsificación de identidad (spoofing) La falsificación de identidad es un ataque que aprovecha una relación de confianza entre dos sistemas. Si dos sistemas aceptan la autenticación lograda por cada uno, es posible que una persona registrada en un sistema no pase nuevamente por un proceso de autenticación para acceder al otro sistema. Un atacante puede aprovechar esta disposición al enviar un paquete a un sistema que parece provenir de un sistema confiable. Dado que la relación de confianza existe, el sistema objetivo puede realizar la tarea solicitada sin autenticación. Existen varios tipos de ataques de suplantación de identidad.
La falsificación de direcciones MAC se produce cuando una computadora acepta los paquetes de datos según la dirección MAC de otra computadora.
La falsificación de direcciones IP envía paquetes IP de una dirección de origen falsificada para disfrazarse.
El Protocolo de resolución de dirección (ARP) es un protocolo que corrige las direcciones IP a direcciones MAC para transmitir datos. La suplantación de ARP envía mensajes ARP falsos a través de la LAN para conectar la dirección MAC del delincuente a la dirección IP de un miembro autorizado de la red.
El Sistema de nombres de dominio (DNS) asigna nombres de dominios en direcciones IP. La suplantación de identidad de servidor DNS modifica el servidor DNS para redirigir un nombre de dominio específico a una dirección IP diferente, controlada por el delincuente.
Ataque man-in-the-middle Un delincuente realiza un ataque man-in-the-middle (MitM) al interceptar las comunicaciones entre las computadoras para robar la información que transita por la red. El delincuente también puede elegir manipular los mensajes y retransmitir información falsa entre los hosts ya que estos desconocen que se produjo una modificación en los mensajes. El ataque MitM permite que el delincuente tome el control de un dispositivo sin el conocimiento del usuario. Haga clic en los pasos de la figura para aprender los conceptos básicos de un ataque MitM. Man-In-The-Mobile (MitMo) es una variación de man-in-middle. MitMo toma el control de un dispositivo móvil. El dispositivo móvil infectado envía información confidencial del usuario a los atacantes. ZeuS, un ejemplo de ataque con capacidades de MitMo, permite que los atacantes capturen silenciosamente SMS de verificación de 2 pasos enviados a los usuarios. Por ejemplo, cuando un usuario establece una Id. de Apple, debe proporcionar un número de teléfono que admita SMS para recibir un código de verificación
Cybersecurity Essentials - ES 0118
50
temporal mediante el mensaje de texto para probar la identidad del usuario. El malware espía en este tipo de comunicación y transmite la información a los delincuentes. Un ataque de repetición se produce cuando un atacante captura una porción de una comunicación entre dos hosts y luego transmite el mensaje capturado más adelante. Los ataques de repetición evitan los mecanismos de autenticación.
Ataques de día cero Un ataque de día cero, a veces denominado una amenaza de día cero, es un ataque de la computadora que intenta explotar las vulnerabilidades del software que son desconocidas o no reveladas por el proveedor de software. El término hora cero describe el momento en que alguien descubre el ataque. Durante el tiempo que le toma al proveedor de software desarrollar y lanzar un parche, la red es vulnerable a estos ataques, como se muestra en la figura. La defensa contra estos rápidos ataques requiere que los profesionales de seguridad de red adopten una visión más sofisticada de la arquitectura de red. Ya no es posible contener las intrusiones en algunos puntos de la red.
Cybersecurity Essentials - ES 0118
51
Registro del teclado El registro del teclado es un programa de software que registra las teclas de los usuarios del sistema. Los delincuentes pueden implementar registros de teclas mediante software instalado en un sistema informático o a través de hardware conectado físicamente a una computadora. El delincuente configura el software de registro de claves para enviar por correo electrónico el archivo de registro. Las teclas capturadas en el archivo de registro pueden revelar nombres de usuario, contraseñas, sitios web visitados y otra información confidencial. Los registros de teclado pueden ser software comerciales y legítimos. A menudo, los padres adquieren software de registro de clave para realizar el seguimiento de sitios web y del comportamiento de los niños que utilizan Internet. Muchas aplicaciones antispyware pueden detectar y eliminar registros de clave no autorizados. Si bien el software de registro de claves es legal, los delincuentes usan el software para fines ilegales.
Cómo defenderse de los ataques Una organización puede realizar varios pasos para defenderse de diversos ataques. Configure firewalls para descartar cualquier paquete fuera de la red que tenga direcciones que indican que se originaron dentro de la red. Esta situación no ocurre normalmente, e indica que un delincuente cibernéticos intentó realizar un ataque de suplantación de identidad. Para evitar ataques de DoS y DDoS, asegúrese de que los parches y las actualizaciones sean actuales, distribuya la carga de trabajo en todos los sistemas de servidores y bloquee los paquetes de Prootocolo de mensajería de control de Internet (ICMP) en la frontera. Los dispositivos de red utilizan paquetes ICMP para enviar mensajes de error. Por ejemplo, el comando ping utiliza paquetes ICMP para verificar que un dispositivo pueda comunicarse con otra en la red. Los sistemas pueden evitar ser víctimas de un ataque de repetición al cifrar el tráfico, proporcionar autenticación criptográfica e incluir una marca de tiempo con cada parte del mensaje. Haga clic aquí para obtener más información sobre las maneras de evitar ataques cibernéticos.
Grayware y SMiShing La técnica de Grayware se está convirtiendo en una área problemática en la seguridad móvil con la popularidad de los smartphones. La técnica de Grayware incluye aplicaciones que se comportan de
Cybersecurity Essentials - ES 0118
52
manera molesta o no deseada. La técnica de Grayware puede no tener un malware reconocible, pero aún puede representar un riesgo para el usuario. Por ejemplo, el grayware puede rastrear la ubicación del usuario. Los creadores de grayware mantienen generalmente la legitimidad al incluir las capacidades de una aplicación en la letra chica del contrato de licencia de software. Los usuarios instalan muchas aplicaciones móviles sin considerar realmente sus capacidades. El término SMiShing es la abreviatura de suplantación de identidad de SMS. Utiliza el Servicio de mensajes cortos (SMS) para enviar mensajes de texto falsos. Los delincuentes engañan al usuario al visitar un sitio web o llamar a un número de teléfono. Las víctimas desprevenidas pueden proporcionar información confidencial como información de la tarjeta de crédito. Visitar una página web puede provocar que el usuario descargue sin saberlo el malware que infecta al dispositivo.
Puntos de acceso no autorizados Un punto de acceso dudoso es un punto de acceso inalámbrico instalado en una red segura sin autorización explícita. Un punto de acceso dudoso se puede configurar de dos maneras. La primera es cuando un empleado bienintencionado intenta ser útil al facilitar la conexión de dispositivos móviles. La segunda manera es cuando un delincuente tiene acceso físico a una organización al escabullirse e instalar el punto de acceso dudoso. Dado que ambas son maneras no autorizadas, presentan riesgos para la organización. Un punto de acceso dudoso también puede referirse al punto de acceso de un delincuente. En este caso, el delincuente configura el punto de acceso como un dispositivo de MitM para captar información de inicio de sesión de los usuarios. Un ataque con AP de red intrusa utiliza el punto de acceso de delictiva gracias a una mayor potencia y antenas más altas de ganancias de ser una mejor opción de conexión para los usuarios. Una vez que los usuarios se conectan al punto de acceso no autorizado, los delincuentes pueden analizar el tráfico y ejecutar ataques de MitM.
Interferencia de RF Las señales inalámbricas son susceptibles a la interferencia electromagnética (EMI), a la interferencia de radiofrecuencia (RFI) e incluso pueden ser vulnerables a los rayos o ruidos de luces fluorescentes. Las señales inalámbricas también son vulnerables a la interferencia deliberada. La interferencia de radiofrecuencia (RF) interrumpe la transmisión de una estación de radio o satelital para que la señal no alcance la estación receptora. La frecuencia, la modulación y el poder del que realiza la interferencia de RF debe ser igual a la del dispositivo que el delincuente desea discontinuar para interferir correctamente la señal inalámbrica.
«Bluejacking» y «Bluesnarfing» El Bluetooth es un protocolo de corto alcance y baja energía. El Bluetooth transmite datos en una red de área personal, o PAN, y puede incluir dispositivos como teléfonos móviles, PC portátiles e impresoras. El Bluetooth ha pasado por varias versiones nuevas. La configuración sencilla es una característica del Bluetooth, por lo que no hay necesidad de usar direcciones de red. El Bluetooth utiliza el emparejamiento para establecer la relación entre los dispositivos. Al establecer el emparejamiento, ambos dispositivos utilizan la misma clave de acceso. Las vulnerabilidades del Bluetooth han surgido, pero por el rango limitado de Bluetooth, la víctima y al atacante deba estar dentro del rango de la otra persona.
El «Bluejacking» es el término que se utiliza para enviar mensajes no autorizados a otro dispositivo Bluetooth. Una variación de esto es enviar una imagen impactante a otro dispositivo.
El «Bluesnarfing» ocurre cuando el atacante copia la información de la víctima de su dispositivo. Esta información puede incluir correos electrónicos y listas de contactos.
Cybersecurity Essentials - ES 0118
53
Ataques a los protocolos WEP y WPA Privacidad equivalente por cable (WEP): es un protocolo de seguridad que intentó proporcionar una red de área local inalámbrica (WLAN) con el mismo nivel de seguridad que una red LAN cableada. Dado que las medidas de seguridad física ayudan a proteger una red LAN cableada, el protocolo WEP busca proporcionar protección similar para los datos transmitidos mediante la WLAN con encriptación. El protocolo WEP utiliza una clave para la encriptación. No existen disposiciones para la administración de claves con WEP, por lo que la cantidad de personas que comparten la clave crecerá continuamente. Dado que todas las personas utilizan la misma clave, el delincuente tiene acceso a una gran cantidad de tráfico para los ataques analíticos. El WEP también tiene varios problemas con el vector de inicialización (IV) que es uno de los componentes del sistema criptográfico:
Es un campo de 24 bits, lo cual es demasiado pequeño.
Es un texto no cifrado, lo que significa que es legible.
Es estático, por lo que los flujos de claves idénticas se repetirán en una red ocupada.
El protocolo de acceso protegido Wi-Fi (WPA) y luego el WPA2 salieron como protocolos mejorados para reemplazar al protocolo WEP. El protocolo WPA2 no tienen los mismos problemas de encriptación porque un atacante no puede recuperar la clave al observar el tráfico. El protocolo WPA2 es susceptible a ataques porque los delincuentes cibernéticos pueden analizar los paquetes que se envían entre el punto de acceso y un usuario legítimo. Los delincuentes cibernéticos utilizan un analizador de protocolos de paquetes y luego ejecutan los ataques sin conexión en la contraseña.
Defensa contra los ataques a dispositivos móviles e inalámbricos Existen varios pasos a seguir para defenderse de los ataques a los dispositivos móviles e inalámbricos. La mayoría de los productos de WLAN utilizan configuraciones predeterminadas. Aproveche las características básicas de seguridad inalámbrica como la autenticación y la encriptación al cambiar los ajustes de configuración predeterminada. Restrinja la ubicación del punto de acceso con la red al colocar estos dispositivos fuera del firewall o dentro de una zona perimetral (DMZ) que contenga otros dispositivos no confiables, como correo electrónico y servidores web. Las herramientas de WLAN como NetStumbler pueden descubrir puntos de acceso dudosos o estaciones de trabajo no autorizadas. Desarrolle una política de invitado para abordar la necesidad cuando los invitados legítimos necesitan conectarse a Internet mientras están de visita. Para los empleados autorizados, utilice una red privada virtual (VPN) de acceso remoto para el acceso a la WLAN.
Scripting entre sitios El scripts entre sitios (XSS) es una vulnerabilidad que se encuentra en las aplicaciones Web. El XSS permite a los delincuentes inyectar scripts en las páginas web que ven los usuarios. Este script puede contener un código malicioso. Los scripts entre sitios tienen tres participantes: el delincuente, la víctima y el sitio web. El delincuente cibernético no apunta a una víctima directamente. El delincuente aprovecha la vulnerabilidad en un sitio web o una aplicación web. Los delincuentes introducen scripts de cliente en sitios web que ven los usuarios, las víctimas. El script malicioso se transfiere sin saberlo al navegador del usuario. Un script malicioso de este tipo puede acceder a cookies, tokens de sesiones u otra información confidencial. Si los delincuentes obtienen la cookie de sesión de la víctima, pueden suplantar la identidad de ese usuario.
Cybersecurity Essentials - ES 0118
54
Inyección de códigos Una manera de almacenar datos en un sitio web es utilizar una base de datos. Existen diferentes tipos de bases de datos, como una base de datos de Lenguaje de consulta estructurado (SQL) o una base de datos de Lenguaje de marcado extensible (XML). Los ataques de inyección XML y SQL aprovechan las debilidades del programa, como no validar las consultas de la base de datos correctamente. Inyección XML Cuando se utiliza una base de datos de XML, una inyección XML es un ataque que puede dañar los datos. Una vez que el usuario proporciona la entrada, el sistema obtiene acceso a los datos necesarios mediante una consulta. El problema se produce cuando el sistema no inspecciona correctamente la solicitud de entrada proporcionada por el usuario. Los delincuentes pueden manipular la consulta al programarla para que se adapte a sus necesidades y puedan tener acceso a la información de la base de datos. Todos los datos confidenciales almacenados en la base de datos son accesibles para los delincuentes y pueden hacer cualquier cantidad de cambios en el sitio web. Un ataque de inyección XML amenaza a la seguridad del sitio web. Inyección SQL El delincuente cibernético ataca a una vulnerabilidad al insertar una declaración maliciosa de SQL en un campo de entrada. Nuevamente, el sistema no filtra correctamente los caracteres de entrada del usuario en una declaración de SQL. Los delincuentes utilizan la inyección SQL en sitios web o cualquier base de datos SQL. Los delincuentes pueden suplantar la identidad, modificar datos existentes, destruir datos o convertirse en administradores de servidores de bases de datos.
Desbordamiento del búfer Un desbordamiento de búfer se produce cuando los datos van más allá de los límites de un búfer. Los búferes son áreas de memoria asignadas a una aplicación. Al cambiar los datos más allá de los límites de un búfer, la aplicación accede a la memoria asignada a otros procesos. Esto puede llevar a un bloqueo del sistema, comprometer los datos u ocasionar el escalamiento de los privilegios. El CERT/CC de la Universidad de Carnegie Mellon estima que casi la mitad de todos los ataques de programas informáticos surgen históricamente de alguna forma de desbordamiento del búfer. La clasificación genérica de desbordamientos del búfer incluye muchas variantes, como rebasamientos de búfer estático, errores de indexación, errores de cadena de formato, incompatibilidades de tamaño del búfer ANSI y Unicode, y rebasamiento en pila.
Ejecuciones remotas de códigos Las vulnerabilidades que permiten que los delincuentes cibernéticos ejecuten códigos maliciosos y tomen el control de un sistema con los privilegios del usuario que ejecuta la aplicación. La ejecución remota de códigos permite que un delictiva ejecutar cualquier comando en una máquina de destino. Considere, por ejemplo, Metasploit. Metasploit es una herramienta para desarrollar y ejecutar el código de ataque contra un objetivo remoto. Meterpreter es un módulo de ataque dentro de Metasploit que proporciona características avanzadas. Meterpreter permite a los delincuentes escribir sus propias extensiones como un objeto compartido. Los delincuentes cargan e introducen estos archivos en un proceso en ejecución del objetivo. Meterpreter carga y ejecuta todas las extensiones de la memoria, para que nunca incluyan la unidad de disco duro. Esto también significa que estos archivos se desplazan bajo el radar de la detección antivirus Meterpreter tiene un módulo para controlar la cámara web de un sistema remoto. Una vez que el delincuente instala Meterpreter en el sistema de la víctima, este puede ver y capturar imágenes desde la cámara web de la víctima.
Cybersecurity Essentials - ES 0118
55
Controles ActiveX y Java Al explorar la Web, es posible que algunas páginas no funcionen correctamente a menos que el usuario instale un control ActiveX. Los controles ActiveX y Java proporcionan la funcionalidad de un complemento a Internet Explorer. Los controles ActiveX son piezas de software instalados por usuarios para proporcionar funcionalidades extendidas. Los terceros escriben algunos controles ActiveX y estos pueden ser maliciosos. Pueden monitorear los hábitos de navegación, instalar malware o registrar teclas. Los controles ActiveX también funcionan en otras aplicaciones de Microsoft. Java opera a través de un intérprete, la Máquina virtual Java (JVM). La JVM habilita la funcionalidad del programa de Java. La JVM aísla el código no confiable del resto del sistema operativo. Existen vulnerabilidades que permiten que el código no confiable sortee las restricciones impuestas por el sandbox. También existen vulnerabilidades en la biblioteca de clase Java, que una aplicación utiliza para su seguridad. Java es la segunda vulnerabilidad de seguridad más grande junto al complemento Flash de Adobe.
Defensa de los ataques a las aplicaciones La primera línea de defensa contra un ataque a las aplicaciones es escribir un código sólido. Independientemente del idioma usado o el origen de entrada externa, la práctica de programación prudente es tratar como hostil las entradas que estén fuera de una función. Valide todas las entradas como si fueran hostiles. Mantenga actualizado todo el software, que incluye sistemas operativos y aplicaciones, y no ignore los indicadores de actualización. No todos los programas se actualizan automáticamente. Como mínimo, seleccione la opción de actualización manual. Las actualizaciones manuales permiten a los usuarios ver exactamente qué actualizaciones se realizan.
Resumen Capítulo 3: amenazas, vulnerabilidades y ataques a la ciberseguridad Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de ciberseguridad. En este capítulo se analizaron diversos ataques de ciberseguridad que los delincuentes cibernéticos lanzan. En el capítulo se explicó la amenaza de malware y de código malicioso. En el capítulo se analizaron los tipos de trucos involucrados en la ingeniería social. Las maniobras explicaron los tipos de ataques que experimentan las redes inalámbricas y cableadas. Finalmente, en el capítulo se analizaron las vulnerabilidades que presentan los ataques a las aplicaciones. La comprensión de los tipos de amenazas posibles permite que una organización identifique las vulnerabilidades que hacen que esta sea un objetivo. La organización luego podrá conocer cómo defenderse de los trucos y maniobras de ciberseguridad.
Cybersecurity Essentials - ES 0118
56
Capítulo 4: el arte de proteger los secretos Los principios de la criptología explican cómo los protocolos y los algoritmos modernos aseguran las comunicaciones. La criptología es la ciencia de generar y descifrar códigos secretos. La criptografía consta del desarrollo y el uso de códigos. El criptoanálisis es el estudio y el desciframiento de los códigos. La sociedad ha utilizado la criptografía durante siglos para proteger los documentos secretos. Por ejemplo, Julio César utilizó una cifra alfabética simple para cifrar los mensajes a sus generales en el campo. Sus generales tenían conocimiento de la clave de cifrado requerida para descifrar los mensajes. Actualmente, los métodos criptográficos modernos garantizan comunicaciones seguras. El control de acceso es, como su nombre lo indica, una forma de controlar el acceso a un edificio, una sala, un sistema, una base de datos, un archivo e información. Las organizaciones emplean una variedad de técnicas de control de acceso para proteger la confidencialidad. Este capítulo analizará los cuatro pasos del proceso de control de acceso: 1) identificación, 2) autenticación, 3) autorización y 4) responsabilidad. Además, en el capítulo también se describen los diversos modelos de control de acceso y los tipos de control de acceso. El capítulo concluye con el análisis de las diversas maneras en que los usuarios enmascaran los datos. La ofuscación de datos y la esteganografía son dos técnicas utilizadas para lograr el enmascaramiento de datos.
¿Qué es la criptografía? La criptología es la ciencia de generar y descifrar códigos secretos. La criptografía es un método para almacenar y transmitir datos de modo que el receptor destinado pueda leerlos o procesarlos. La criptografía moderna utiliza algoritmos seguros a nivel informático para asegurarse de que los delincuentes cibernéticos no puedan poner en peligro fácilmente la información protegida. La confidencialidad de los datos garantiza la privacidad de modo que solo el receptor previsto pueda leer el mensaje. Las partes logran esto mediante la encriptación. La encriptación es el proceso de codificar datos de modo que una parte no autorizada no puede leerlos fácilmente. Al activar la encriptación, los datos legibles son textos simples o textos sin cifrar, mientras que la versión cifrada es texto encriptado o texto cifrado. La encriptación convierte el mensaje legible de texto simple en texto cifrado, que es el mensaje ilegible, oculto. El descifrado invierte el proceso. La encriptación también requiere una clave, que desempeña un rol importante en la encriptación y desencriptación de un mensaje. Las personas que poseen la clave pueden descifrar el texto cifrado a texto simple. Históricamente, las partes han utilizado diversos algoritmos y métodos de encriptación. Un algoritmo es el proceso o la fórmula utilizada para resolver un problema. Se dice que Julio César aseguraba los mensajes al poner dos conjuntos de alfabeto, uno al lado del otro, y luego cambiaba uno de ellos con un número específico de lugares. El número de lugares en el cambio sirve como la clave. Se convirtió el texto no cifrado en texto cifrado usando esta clave, y solo sus generales, que también tenían la clave, sabían cómo descifrar los mensajes. Este método se conoce como el cifrado César. La figura muestra un mensaje secreto mediante el cifrado de César.
La historia de la criptografía La historia de la criptografía comenzó en los círculos diplomáticos hace miles de años. Los mensajeros de la corte del rey llevaban mensajes cifrados a otras cortes. Ocasionalmente, otras cortes no involucradas en la comunicación, intentaban robar los mensajes enviados a un reino que consideraban un adversario. Poco después, los comandantes militares comenzaron a utilizar la encriptación para asegurar los mensajes. Durante siglos, varios métodos de cifrado, dispositivos físicos y otros recursos de ayuda cifraban y descifraban el texto:
Scytale (Figura 1)
Cybersecurity Essentials - ES 0118
57
Cifrado César (Figura 2)
Cifrado de Vigenère (Figura 3)
Máquina Enigma (Figura 4)
Todos los métodos de cifrado utilizan una clave para cifrar o descifrar un mensaje. La clave es un componente importante en el algoritmo de encriptación. Un algoritmo de encriptación es tan bueno como la clave utilizada. Cuanto más complejidad presente, más seguro será el algoritmo. La administración de claves es una parte importante del proceso.
Creación del texto cifrado Cada método de encriptación utiliza un algoritmo específico, llamado código, para cifrar y descifrar los mensajes. Un código consta de una serie de pasos bien definidos utilizados para encriptar y descifrar los mensajes. Existen varios métodos para crear un texto cifrado:
Transposición: las letras se cambian (Figura 1)
Sustitución: las letras se reemplazan (Figura 2)
Libreta de un solo uso: texto no cifrado combinado con una clave secreta que crea un nuevo caracter, que luego se combina con el texto simple para producir el texto cifrado (Figura 3)
Los viejos algoritmos de encriptación, como el cifrado César o la máquina Enigma, dependían del secreto del algoritmo para alcanzar la confidencialidad. Con la tecnología moderna, donde a menudo la ingeniería inversa es simple, las partes utilizan los algoritmos de dominio público. Con la mayoría de los algoritmos modernos, el descifrado correcto requiere el conocimiento de las claves criptográficas adecuadas. Esto significa que la seguridad de la encriptación reside en la privacidad de las claves, no del algoritmo. Algunos algoritmos de encriptación modernos siguen utilizando la transposición como parte del algoritmo. La administración de claves es la parte más difícil del diseño de un sistema criptográfico. Muchos sistemas criptográficos han fallado por errores en la administración de claves y todos los algoritmos criptográficos modernos requieren procedimientos de administración de claves. En la práctica, la mayoría de los ataques en sistemas criptográficos implican el ataque del sistema de administración de claves, en lugar del algoritmo criptográfico en sí mismo.
Cybersecurity Essentials - ES 0118
58
Dos tipos de encriptación La encriptación criptográfica puede proporcionar confidencialidad al incorporar diversas herramientas y protocolos. Existen dos enfoques para garantizar la seguridad de los datos al utilizar la encriptación. La primera es proteger el algoritmo. Si la seguridad de un sistema de encriptación depende del secreto del algoritmo, el aspecto más importante es proteger al algoritmo a toda costa. Cada vez que alguien descubre los detalles del algoritmo, cada parte involucrada debe cambiar el algoritmo. Este enfoque no suena muy seguro o razonable. El segundo enfoque es proteger las claves. Con la criptografía moderna, suelen usarse algoritmos públicos. Las claves criptográficas garantizan la privacidad de los datos. Las claves criptográficas son contraseñas que forman parte de la información en un algoritmo de encriptación en conjunto con datos que requieren encriptación. Existen dos clases de algoritmos de encriptación: Los algoritmos simétricos: estos algoritmos utilizan la misma clave precompartida, a veces llamada un par de clave secreta, para cifrar y descifrar datos. El emisor y el receptor conocen la clave precompartida antes de que comience cualquier comunicación cifrada. Como se muestra en la figura 1, los algoritmos simétricos usan la misma clave para cifrar y descifrar texto no cifrado. Los algoritmos de encriptación que utilizan una clave común son más simples y necesitan menos capacidad informática. Algoritmos asimétricos: los algoritmos de encriptación asimétrica usan una clave para cifrar los datos y una clave diferente para descifrarlos. Una clave es pública y la otra es privada. En un sistema de cifrado de clave pública, cualquier persona puede cifrar un mensaje con la clave pública del receptor, y el receptor es el único que puede descifrarlo mediante su clave privada. Las partes intercambian mensajes seguros sin necesidad de utilizar una clave precompartida, como se muestra en la Figura 2. Los algoritmos asimétricos son más complejos. Estos algoritmos requieren muchos recursos y son más lentos para ejecutar.
Cybersecurity Essentials - ES 0118
59
Proceso de encriptación simétrica Los algoritmos simétricos utilizan la misma clave precompartida para cifrar y descifrar datos, un método también conocido como encriptación de clave privada. Por ejemplo, Alice y Bob viven en diferentes ubicaciones y desean intercambiar mensajes secretos entre sí a través del sistema de correo. Alice desea enviar un mensaje secreto a Bob. El cifrado de clave privada utiliza un algoritmo simétrico. Como se ilustra por las claves en la figura, Alice y Bob tienen claves idénticas para un único candado. El intercambio de claves sucedió antes de enviar un mensaje privado. Alice escribe un mensaje privado y lo coloca en una caja pequeña que cierra con el candado. Le envía la caja a Bob. El mensaje está seguro dentro de la caja mientras esta se abre camino a través del sistema de oficina postal. Cuando Bob recibe la caja, usa la clave para abrir el candado y recuperar el mensaje. Bob puede utilizar la misma caja y el mismo candado para enviar una respuesta secreta a Alice. Si Bob desea hablar con Carol, necesita una nueva clave precompartida para que esa comunicación sea secreta para Alice. Con cuantas más personas Bob desee comunicarse de manera segura, más claves deberá manejar.
Cybersecurity Essentials - ES 0118
60
Tipos de criptografía Los tipos más comunes de criptografía son cifrados por bloques y cifrados de flujo. Cada método se diferencia en la forma de agrupar bits de datos para cifrarlo. Cifrado por bloques Los cifrados por bloques transforman un bloque de texto simple, de longitud fija en un bloque común de texto cifrado de 64 o 128 bits. El tamaño del bloque es la cantidad de datos cifrados en cualquier momento. Para descifrar este texto cifrado, aplique la transformación inversa al bloque de texto cifrado, utilizando la misma clave secreta. Los cifrados por bloques producen generalmente los datos de salida que son mayores que los datos de entrada, porque el texto cifrado debe ser un múltiplo del tamaño del bloque. Por ejemplo, el Estándar de cifrado de datos (DES) es un algoritmo simétrico que cifra los bloques en fragmentos de 64 bits mediante una clave de 56 bits. Para lograr esto, el algoritmo de bloque toma un fragmento de datos por vez, por ejemplo, 8 bytes por fragmento, hasta que todo el bloque está completo. Si hay menos datos de entrada que uno bloque completo, el algoritmo agrega datos artificiales o espacios en blanco, hasta que utiliza los 64 bits completos, como se muestra en la Figura 1 para los 64 bits de la izquierda. Cifrado de flujo A diferencia de los cifrados por bloque, los cifrados de flujo cifran el texto simple un byte o un bit por vez, como se muestra en la Figura 2. Piense en los cifrados de flujo como el cifrado de bloques con el tamaño de bloque de un bit. Con un cifrado de flujo, la transformación de estas unidades más pequeñas de texto simple varía, según cuándo se las encuentra durante el proceso de encriptación. Los cifrados de flujo pueden ser mucho más rápidos que los cifrados en bloque, y no aumentan generalmente el tamaño del mensaje, ya que pueden cifrar un número arbitrario de bits. El A5 es un cifrado de flujo que proporciona privacidad de voz y cifra las comunicaciones de telefonía celular. También es posible utilizar el DES en el modo de cifrado de flujo. Los sistemas criptográficos complejos pueden combinar el bloque y el flujo en el mismo proceso.
Cybersecurity Essentials - ES 0118
61
Algoritmos de encriptación simétrica Los numerosos sistemas de encriptación usan la encriptación simétrica. Algunos de los estándares de encriptación comunes que usan la encriptación simétrica incluyen los siguientes: 3DES (DES triple): el Estándar de encriptación digital (DES) es un cifrado de bloques simétrico con un tamaño de bloque de 64 bits que utiliza una clave de 56 bits. Se necesita un bloque de texto simple de 64 bits de entrada y genera un bloque de 64 bits de texto cifrado. Opera siempre en bloques de igual tamaño y utiliza las permutaciones y las sustituciones en el algoritmo. Una permutación es una manera de organizar todos los elementos de un conjunto. El DES triple cifra los datos tres veces y utiliza una clave diferente para al menos una de las tres veces, proporcionando un tamaño de clave acumulativo de 112 a 168 bits. El 3DES es resistente a ataques, pero es más lento que DES. El ciclo de encriptación 3DES es el siguiente: 1. Datos cifrados por el primer DES 2. Datos descifrados por el segundo DES 3. Datos vueltos a cifrar por el tercer DES El proceso inverso descifra el texto cifrado. IDEA: el Algoritmo internacional de cifrado de datos (IDEA) utiliza bloques de 64 bits y claves de 128 bits. IDEA realiza ocho rondas de las transformaciones en cada uno de los 16 bloques que se producen al dividir cada bloque de 64 bits. IDEA fue el reemplazo de DES y ahora la PGP (Pretty Good Privacy) la utiliza. El PGP es un programa que proporciona privacidad y autenticación para la comunicación de datos. La protección de privacidad GNU (GPG) es una versión de PGP gratuita y con licencia. AES: el Estándar de encriptación avanzada (AES) tiene un tamaño de bloque fijo de 128 bits con un tamaño de clave de 128, 192 o 256 bits. El Instituto Nacional de Normas y Tecnología (NIST) aprobó el algoritmo AES en diciembre de 2001. El gobierno de los EE. UU. utiliza el AES para proteger la información clasificada. El AES es un algoritmo sólido que utiliza claves de mayor longitud. El AES es más rápido que DES y 3DES, lo que brinda una solución para las aplicaciones de software así como también el uso de hardware en los firewalls y los routers. Otros cifrados por bloque incluyen Skipjack (desarrollados por la NSA), Blowfish y Twofish.
Cybersecurity Essentials - ES 0118
62
El proceso de encriptación asimétrica La encriptación asimétrica, también denominada cifrado de clave pública, utiliza una clave para la encriptación que es diferente de la clave utilizada para el descifrado. Un delincuente no puede calcular la clave de descifrado según el conocimiento de la clave de cifrado, y viceversa, en una cantidad de tiempo razonable. Si Alice y Bob intercambian un mensaje secreto mediante la encriptación de clave pública, utilizan un algoritmo asimétrico. Esta vez, Bob y Alice no intercambian claves antes de enviar los mensajes secretos. En cambio, Bob y Alice poseen un candado separado con las claves correspondientes separadas. Para que Alice envíe un mensaje privado de Bob, primero debía ponerse en contacto con él y solicitarle que le envíe su candado abierto. Bob envía el candado pero mantiene la clave. Cuando Alice recibe el candado, escribe su mensaje secreto y lo coloca en una caja pequeña. También coloca su candado abierto en la caja pero mantiene la clave. Luego cierra la caja con el candado de Bob. Cuando Alice cierra la caja, ya no puede ingresar ya que no tiene una clave para ese candado. Le envía la caja a Bob y, como esta viaja a través del sistema de correo, nadie puede abrirlo. Cuando Bob recibe la caja, puede usar su clave para abrir la caja y recuperar el mensaje de Alice. Para enviar una respuesta segura, Bob pone su mensaje secreto en la caja, junto con su candado abierto y cierra la caja con el candado de Alice. Bob envía por correo la caja asegurada a Alice. Por ejemplo, en la Figura 1, Alice solicita y obtiene la clave pública de Bob. En la Figura 2, Alice utiliza la clave pública de Bob para cifrar un mensaje con un algoritmo acordado. Alice envía el mensaje cifrado a Bob y este luego usa su clave privada para descifrar el mensaje, como se muestra en la Figura 3.
Algoritmo de encriptación asimétrica Los algoritmos asimétricos utilizan fórmulas que cualquier persona puede buscar. El par de claves no relacionadas es lo que hace que estos algoritmos sean seguros. Los algoritmos asimétricos incluyen los siguientes: RSA (Rivest-Shamir-Adleman): utiliza el producto de dos números primos muy grandes con una longitud igual de entre 100 y 200 dígitos. Los navegadores utilizan RSA para establecer una conexión segura.
Cybersecurity Essentials - ES 0118
63
Diffie-Hellman: proporciona un método de intercambio electrónico para compartir la clave secreta. Los protocolos seguros, como Secure Sockets Layer (SSL), Transport Layer Security (TLS), Shell seguro (SSH) y Protocolo de seguridad de Internet (IPsec), utilizan Diffie-Hellman. ElGamal: utiliza el estándar del gobierno de EE. UU. para las firmas digitales. Este algoritmo es gratuito ya que nadie posee la patente. Criptografía de curva elíptica (ECC): usa curvas elípticas como parte del algoritmo. En EE. UU., la Agencia de Seguridad Nacional utiliza la ECC para la generación de firma digital y el intercambio de claves.
Administración de claves La administración de claves incluye generación, intercambio, almacenamiento, uso y reemplazo de claves utilizadas en un algoritmo de encriptación. La administración de claves es la parte más difícil del diseño de un sistema criptográfico. Muchos sistemas criptográficos han fallado por errores en los procedimientos de administración de claves. En la práctica, la mayoría de los ataques a los sistemas criptográficos se realizan en el nivel de administración de claves, en lugar del algoritmo criptográfico en sí mismo. Como se muestra en la figura, existen varias características esenciales de administración de claves que deben considerarse. Dos términos utilizados para describir las claves son:
Longitud de las claves: también denominado tamaño de la clave, es la medida en bits.
Espacio de clave: es la cantidad de intentos que una longitud de clave específica puede generar.
A medida que aumenta la longitud de la clave, el espacio aumenta de manera exponencial. El espacio de clave de un algoritmo es el conjunto de todos los valores posibles de la clave. Las claves más largas son más seguras; sin embargo, también requieren más recursos. Casi todos los algoritmos tienen algunas claves débiles en su espacio de clave que permiten a un delincuente descifrar las claves a través de un acceso directo.
Comparación de los tipos de encriptación Es importante comprender las diferencias entre los métodos de encriptación simétricos y asimétricos. Los sistemas de encriptación simétrica son más eficientes y pueden manejar más datos. Sin embargo, la administración de claves con sistemas de encriptación simétrica es más problemática y más difícil de manejar. La criptografía asimétrica es más eficiente en la protección de la confidencialidad de pequeñas cantidades de datos y su tamaño y velocidad permiten que sea más segura para tareas como el intercambio de claves electrónicas que es una pequeña cantidad de datos en lugar de cifrar grandes bloques de datos. Mantener la confidencialidad es importante para los datos almacenados y los datos en movimiento. En ambos casos, la encriptación simétrica resulta favorecida debido a su velocidad y la simplicidad del algoritmo. Algunos algoritmos asimétricos pueden aumentar considerablemente el tamaño del objeto cifrado. Por lo tanto, en el caso de los datos en movimiento, use la criptografía de clave pública para intercambiar la clave secreta y luego la criptografía simétrica para garantizar la confidencialidad de los datos enviados.
Cybersecurity Essentials - ES 0118
64
Aplicaciones Existen numerosas aplicaciones para los algoritmos simétricos y asimétricos. El token de generación de contraseñas de única vez es un dispositivo de hardware que utiliza la criptografía para generar una contraseña única. Una contraseña de única vez es una cadena de caracteres numérica o alfanumérica generada automáticamente que autentica al usuario para una transacción de solo una sesión. El número cambia cada 30 segundos aproximadamente. La contraseña de la sesión aparece en una pantalla y el usuario introduce la contraseña. La industria de pago electrónico utiliza 3DES. Los sistemas operativos utilizan DES para proteger los archivos de usuarios y los datos del sistema con contraseñas. La mayoría de los sistemas de archivos de cifrado, como NTFS, utilizan AES. Cuatro protocolos utilizan algoritmos de clave asimétrica:
Intercambio de claves por Internet (IKE), que es un componente fundamental de las redes privadas virtuales (VPN) de IPsec.
Secure Sockets Layer (SSL), un medio para implementar la criptografía en un navegador web.
Shell seguro (SSH), un protocolo que proporciona una conexión de acceso remoto segura a un dispositivo de red.
Pretty Good Privacy (PGP), un programa informático que proporciona privacidad y autenticación criptográfica para mejorar la seguridad de las comunicaciones por correo electrónico.
Una VPN es una red privada que utiliza una red pública, generalmente Internet, para crear un canal de comunicación seguro. Una VPN conecta dos terminales como dos oficinas remotas mediante Internet para crear la conexión. Las VPN utilizan IPsec. IPsec es un conjunto de protocolos desarrollado para lograr servicios seguros en las redes. Los servicios de IPSec permiten la autenticación, la integridad, el control de acceso y la confidencialidad. Con IPsec, los sitios remotos pueden intercambiar información cifrada y verificada. Los datos en uso son una preocupación cada vez mayor para muchas organizaciones. Cuando se encuentran en uso, los datos ya no tienen cualquier protección porque el usuario necesita abrir y cambiar los datos. La memoria del sistema contiene los datos en uso y puede contener los datos confidenciales como la clave de cifrado. Si los delincuentes comprometen los datos en uso, tendrán acceso a los datos almacenados y a los datos en movimiento.
Cybersecurity Essentials - ES 0118
65
Controles de acceso físico Son obstáculos reales implementados para evitar el contacto directo con los sistemas. El objetivo es evitar que los usuarios no autorizados tengan acceso físico a las instalaciones, el equipo y otros activos de la organización. El control de acceso físico determina quién puede ingresar (o salir) y dónde y cuándo puede hacerlo. Los ejemplos de controles de acceso físico incluyen los siguientes:
Las protecciones (Figura 1) supervisan las instalaciones
Las cercas (Figura 2) protegen el perímetro
Los detectores de movimiento (Figura 3) detectan objetos móviles
Los bloqueos de las PC portátiles (Figura 4) protegen los equipos portátiles
Las puertas bloqueadas (Figura 5) evitan el acceso no autorizado
Las tarjetas de deslizamiento (Figura 6) permiten el acceso a las áreas restringidas
Los perros guardianes (Figura 7) protegen las instalaciones
Las videocámaras (Figura 8) supervisan las instalaciones al recopilar y registrar las imágenes
Las trampas (Figura 9) permiten el acceso al área segura después de que la puerta 1 se cierra
Las alarmas (Figura 10) detectan intrusiones
Cybersecurity Essentials - ES 0118
66
Control de acceso lógico Los controles de acceso lógico son soluciones de hardware y software que se utilizan para administrar el acceso a recursos y sistemas. Estas soluciones basadas en tecnología incluyen las herramientas y los protocolos que los sistemas informáticos utilizan para la identificación, autenticación, autorización y responsabilidad. Los controles de acceso lógico incluyen los siguientes:
La encriptación es el proceso de tomar el texto simple y crear el texto cifrado
Las tarjetas inteligentes tienen un microchip integrado
Las contraseñas constan de una cadena de caracteres protegida
La biométrica consta de las características físicas de los usuarios
Las listas de control de acceso (ACL) definen el tipo de tráfico permitido en una red
Los protocolos son un conjunto de reglas que rigen el intercambio de datos entre dispositivos
Los firewalls evitan el tráfico de red no deseado
Los routers conectan al menos dos redes
Los sistemas de detección de intrusiones supervisan una red para detectar actividades sospechosas
Los niveles de recorte son determinados umbrales permitidos para detectar errores antes de activar una indicador rojo
Haga clic en cada tipo de control de acceso lógico de la figura para obtener más información.
Controles de acceso administrativo Los controles de acceso administrativo son las políticas y los procedimientos que definen las organizaciones para implementar y hacer cumplir todos los aspectos del control de acceso no autorizado. Los controles administrativos se enfocan en las prácticas de personal y las prácticas empresariales. Los controles administrativos incluyen los siguientes:
Las políticas son declaraciones de intenciones
Los procedimientos son los pasos detallados necesarios para realizar una actividad
Las prácticas de contratación comprende los pasos que una organización sigue para encontrar empleados calificados
Las comprobaciones de antecedentes son un evaluación del empleo que incluye la información de la última verificación de empleo, historial de crédito y antecedentes penales
La clasificación de datos califica los datos según su sensibilidad
La capacitación de seguridad capacita a los empleados sobre las políticas de seguridad en una organización
Cybersecurity Essentials - ES 0118
67
Las revisiones evalúan el rendimiento laboral de un empleado
Control de acceso obligatorio El control de acceso obligatorio (MAC) restringe las acciones que un sujeto puede realizar en un objeto. Un sujeto puede ser un usuario o un proceso. Un objeto puede ser un archivo, un puerto o un dispositivo de entrada/salida. Una regla de autorización se aplica si un sujeto puede acceder al objeto o no. Las organizaciones utilizan el MAC donde se encuentran diferentes niveles de clasificaciones de seguridad. Cada objeto tiene una etiqueta y cada sujeto tiene una espacio libre. Un sistema MAC restringe a un sujeto según la clasificación de seguridad del objeto y la etiqueta anexada al usuario. Por ejemplo, tome las clasificaciones de seguridad militar denominadas «secreto» y «máxima confidencialidad». Si un archivo (un objeto) se considera de máxima confidencialidad, es un archivo que se clasifica (etiqueta) como «máxima confidencialidad». Las únicas personas (sujetos) que pueden ver el archivo (objeto) son aquellas con un permiso de «maxima confidencialidad». El mecanismo de control de acceso debe garantizar que una persona (sujeto) con permiso «Secreto» solamente, nunca obtenga acceso a un archivo catalogado como «de máxima confidencialidad». De manera similar, un usuario (sujeto) con permiso de acceso «de máxima confidencialidad» no puede cambiar la clasificación de un archivo (objeto) catalogado como «de máxima confidencialidas» a «secreto». Además, un usuario con permiso de «máxima confidencialidad» no puede enviar un archivo de máxima confidencialidad a un usuario que solo tiene permiso para ver información secreta.
Control de acceso discrecional El propietario de un objeto determina si permite el acceso a un objeto con control de acceso discrecional (DAC). DAC otorga o restringe el acceso de objeto determinado por el propietario del objeto. Como su nombre lo indica, los controles son discrecionales porque el propietario de un objeto con ciertos permisos de acceso pueden transferir esos permisos a otro sujeto. En sistemas que emplean controles de acceso discrecionales, el propietario de un objeto puede decidir qué sujetos pueden acceder al objeto y qué acceso específico pueden tener. Un método común para lograr esto es con permisos, como se muestra en la figura. El propietario de un archivo puede especificar qué permisos (lectura/escritura/ejecución) pueden tener otros usuarios. Las listas de control de acceso son otros mecanismos comunes utilizados para implementar el control de acceso discrecional. Un lista de control de acceso utiliza reglas para determinar qué tráfico puede ingresar o salir de una red
Control de acceso basado en roles El control de acceso basado en roles (RBAC) depende del rol del sujeto. Los roles son las funciones de trabajo en una organización. Los roles específicos requieren permisos para realizar determinadas operaciones. Los usuarios adquieren permisos a través de su función. El RBAC puede trabajar junto con DAC o MAC al hacer cumplir las políticas de cualquiera de ellos. El RBAC ayuda a implementar la administración de seguridad en grandes organizaciones con cientos de usuarios y miles de permisos posibles. Las organizaciones aceptan ampliamente el uso de RBAC para administrar permisos en un sistema o una aplicación, como una mejor práctica.
Control de acceso basado en reglas El control de acceso basado en reglas utiliza listas de control de acceso (ACL) para ayudar a determinar si otorga acceso o no. Una serie de reglas se incluye en la ACL, como se muestra en la figura. Establecer si se debe otorgar acceso depende de estas reglas. Un ejemplo de esa regla es una que indica que ningún empleado puede acceder al archivo de nómina después de horario o los fines de semana.
Cybersecurity Essentials - ES 0118
68
Como ocurre con el MAC, los usuarios no pueden cambiar las reglas de acceso. Las organizaciones pueden combinar el control de acceso basado en reglas con otras estrategias para implementar las restricciones de acceso. Por ejemplo, los métodos de MAC pueden utilizar un enfoque basado en reglas para la implementación.
¿Qué es la identificación? La identificación aplica las reglas establecidas por la política de autorización: Un sujeto solicita acceso a un recurso del sistema. Cada vez que el sujeto solicita acceso a un recurso, los controles de acceso determinan si otorgar o denegar el acceso. Por ejemplo, la política de autorización determina qué actividades puede realizar un usuario en un recurso. Un identificador único garantiza la asociación correcta entre las actividades permitidas y los sujetos. Un nombre de usuario es el método más común utilizado para identificar a un usuario. Un nombre de usuario puede ser una combinación alfanumérica, un número de identificación personal (PIN), una tarjeta inteligente o método biométrico, por ejemplo una huella digital, el escaneo de retina o el reconocimiento de voz. Un identificador único garantiza que un sistema pueda identificar a cada usuario de manera individual; por lo tanto, permite que un usuario autorizado realice las acciones adecuadas en un recurso particular.
Qué es lo que sabe Contraseñas o PIN son ejemplos de algo que un usuario conoce. Las contraseñas son el método más popular que se utiliza para la autenticación. Los términos, contraseña, clave de acceso o PIN se conocen de manera genérica como contraseña. Una contraseña es una cadena de caracteres que se utiliza para autenticar la identidad de un usuario. Si esta cadena de caracteres se relaciona con un usuario (como un nombre, una fecha de nacimiento o una dirección), será más fácil para los delincuentes cibernéticos adivinar la contraseña del usuario. Varias publicaciones recomiendan que la contraseña tenga al menos ocho caracteres. Los usuarios no deben crear una contraseña que sea tan larga y por lo tanto sea difícil de memorizar, o a la inversa, que sea tan corta y que por lo tanto sea fácil de descifrarla. Las contraseñas deben contener una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Haga clic aquí para probar las contraseñas actuales. Los usuarios necesitan utilizar contraseñas diferentes para los distintos sistemas porque si un delincuente decodifica la contraseña de usuario una vez, podrá acceder a todas las cuentas de un usuario. El administrador de contraseñas puede ayudar a un usuario a crear y a recordar las contraseñas seguras. Haga clic aquí para ver un generador de contraseñas seguras.
Qué es lo que tiene Las tarjetas inteligentes y los llaveros de seguridad son dos ejemplos de algo que los usuarios tienen en su poder. Seguridad de tarjeta inteligente (Figura 1): una tarjeta inteligente es una pequeña tarjeta de plástico, aproximadamente del tamaño de una tarjeta de crédito, con un pequeño chip incorporado en ella. El chip es un portador de datos inteligente, capaz de procesar, almacenar, y de proteger los datos. Las tarjetas inteligentes almacenan información privada, como números de cuenta bancaria, identificación personal, historias clínicas y firmas digitales. Las tarjetas inteligentes proporcionan autenticación y cifrado para mantener los datos a salvo. Llaveros de seguridad (Figura 2): un llavero de seguridad es un dispositivo que es lo suficientemente pequeño como para llevarlo en un llavero. Utiliza un proceso llamado autenticación de dos factores, que es más seguro que una combinación de nombre de usuario y contraseña. Primero, el usuario ingresa un número de identificación personal (PIN). Si está ingresado correctamente, el llavero de seguridad mostrará un número. Éste es el segundo factor que el usuario debe ingresar para iniciar sesión en el dispositivo o la red.
Cybersecurity Essentials - ES 0118
69
Quién es Una característica física única, como una huella digital, una retina o una voz que identifica a un usuario específico se denomina biométrica. La seguridad biométrica compara características físicas con perfiles almacenados para autenticar usuarios. Un perfil es un archivo de datos que contiene características conocidas de una persona. El sistema otorga acceso de usuario si sus características coinciden con las configuraciones guardadas. Un lector de huellas digitales es un dispositivo biométrico común. Existen dos tipos de identificadores biométricos:
Características fisiológicas: incluyen huellas digitales, ADN, características de rostro, manos, retina oído
Características de comportamiento: incluye patrones de comportamiento, como gestos, voz, ritmo de escritura o la manera de caminar de un usuario
Los datos biométricos son cada vez más popular en sistemas de seguridad pública, productos electrónicos de consumo y aplicaciones de punto de venta. La implementación de datos biométricos utiliza un dispositivo de escaneo o lectura, un software que convierte la información escaneada en formato digital y una base de datos que almacena datos biométricos para su comparación.
Autenticación de varios factores La autenticación de varios factores utiliza al menos dos métodos de verificación. Un llavero con clave de seguridad es un buen ejemplo Los dos factores son algo que usted sabe, como una contraseña, y algo que posee, como un transmisor de seguridad. Avance un paso más al agregar algo que usted es, por ejemplo el escaneo de huellas digitales. La autenticación de varios factores pueden reducir la incidencia de robo de identidad en línea porque al conocer la contraseña no le daría acceso a los delincuentes cibernéticos a la información del usuario. Por ejemplo, un sitio web de banca en línea puede requerir una contraseña y un PIN que el usuario recibe en su smartphone. Como se muestra en la figura, el retiro de efectivo de un ATM es otro ejemplo de autenticación de varios factores. El usuario debe tener la tarjeta de un banco y conocer el PIN antes de que el ATM dispense dinero.
¿Qué es la autorización? La autorización controla lo que el usuario puede hacer o no en la red después de una autenticación satisfactoria: Después de que un usuario prueba su identidad, el sistema verifica a qué recursos de red puede acceder el usuario y qué pueden hacer los usuarios con los recursos. Como se muestra en la figura, la autorización responda la pregunta, «¿Qué privilegios de lectura, copia, creación y eliminación tiene el usuario?» La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red. El sistema compara estos atributos a la información contenida en la base de datos de autenticación, determina un conjunto de restricciones para ese usuario y lo envía al router local donde el usuario está conectado. La autorización es automática y no requiere que los usuarios tomen medidas adicionales después de la autenticación. Implemente la autorización inmediatamente después de que el usuario realice la autenticación.
Uso de la autorización La definición de reglas de autorización es el primer paso para controlar el acceso. Una política de autorización establece estas reglas.
Cybersecurity Essentials - ES 0118
70
Una política de pertenencia a grupos define la autorización según la pertenencia a un grupo determinado. Por ejemplo, todos los empleados de una organización tienen una tarjeta de deslizamiento, que proporciona acceso a las instalaciones. Si el trabajo de un empleado no requiere que este tenga acceso a la sala de servidores, la tarjeta de seguridad no le permitirá ingrese a esa sala. Una política de autoridad define los permisos de acceso según la posición de un empleado dentro de la organización. Por ejemplo, solo los empleados de nivel sénior en un departamento de TI pueden tener acceso a la sala de servidores.
¿Qué es la responsabilidad? La responsabilidad rastrea una acción hasta una persona o un proceso y realiza el cambio a un sistema, recopila esta información e informa los datos de uso. La organización puede utilizar estos datos para fines como auditorías o facturación. Los datos recopilados pueden incluir el tiempo de inicio de sesión de un usuario, si el inicio de sesión fue un éxito o una falla o los recursos de red a los que el usuario tenía acceso. Esto permite que una organización localice acciones y errores durante una auditoría o una investigación.
Implementación de la responsabilidad La implementación de responsabilidad consta de tecnologías, políticas procedimientos y formación. Los archivos de registro proporcionan información detallada según los parámetros seleccionados. Por ejemplo, una organización puede ver el registro de los inicios de sesión fallidos y correctos. Las fallas de inicio de sesión pueden indicar que un delincuente intentó hackear una cuenta. Los inicios de sesión exitosos indican a una organización qué usuarios utilizan qué recursos y cuándo. ¿Es normal que un usuario autorizado tenga acceso a la red de la empresa a las 3:00 a.m.? Las políticas y los procedimientos de la organización explican qué medidas deben registrarse y cómo se generan, se revisan y almacenan los archivos de registro. La retención de datos, la eliminación de medios y los requisitos de cumplimiento proporcionan la responsabilidad. Muchas leyes requiere la implementación de medidas para proteger diferentes tipos de datos. Estas leyes guían a una organización de forma correcta para administrar, almacenar y desechar datos. La educación y el conocimiento de las políticas, los procedimientos y las leyes relacionadas de una organización también pueden contribuir a la responsabilidad.
Controles preventivos Prevenir significa evitar que algo suceda. Los controles de acceso preventivo evitan que ocurran actividades no deseadas o no autorizadas. Para un usuario autorizado, un control de acceso preventivo significa restricciones. La asignación de privilegios específicos a un usuario en un sistema es un ejemplo de control preventivo. Aunque un usuario es un usuario autorizado, el sistema establece límites para evitar que el usuario tenga acceso y realice acciones no autorizadas. Un firewall que bloquea el acceso a un puerto o servicio que los delincuentes cibernéticos puedan atacar también se considera un tipo de control preventivo.
Controles disuasivos Un obstáculo es lo opuesto a una recompensa. Una recompensa alienta a las personas a hacer lo correcto, mientras que un obstáculo las desalienta a hacer lo incorrecto. Los profesionales y las empresas de seguridad cibernética utilizan obstáculos para limitar o para mitigar una acción o un comportamiento, pero los controles disuasivos no los dejan. Los obstáculos del control de acceso desalientan a los delincuentes cibernéticos a obtener acceso no autorizado a los sistemas de información o a datos confidenciales. Los obstáculos del control de acceso desalientan los ataques al sistema, el robo de datos o la propagación de códigos maliciosos. Las organizaciones utilizan obstáculos de control de acceso para hacer cumplir las políticas de ciberseguridad.
Cybersecurity Essentials - ES 0118
71
Los obstáculos hacen que los delincuentes cibernéticos potenciales piensen dos veces antes de cometer un delito. La figura enumera los obstáculos comunes de control de acceso que se utilizan en el mundo de la ciberseguridad.
Controles de detección La detección es el acto o proceso de advertir o descubrir algo Las detecciones de control de acceso identifican diferentes tipos de actividad no autorizada. Los sistemas de detección pueden ser muy simples, como un detector de movimiento o un guardia de seguridad. También pueden ser más complejos, como un sistema de detección de intrusiones. Todos los sistemas de detección tienen muchas cosas en común; buscan la actividad inusual o prohibida. También proporcionan métodos para registrar o alertar a los operadores del sistema sobre un posible acceso no autorizado. Los controles de detección no impiden que algo suceda; más bien son medidas que se toman después de que se realiza el hecho.
Controles correctivos Los controles correctivos contrarrestan algo que no es deseable. Las organizaciones establecen controles de acceso correctivos después de que un sistema experimenta una amenaza. Los controles correctivos restauran el sistema a un estado de confidencialidad, integridad y disponibilidad. También pueden restaurar los sistemas a la normalidad luego de que se produzca una actividad no autorizada.
Cybersecurity Essentials - ES 0118
72
Controles de recuperación La recuperación implica volver a un estado normal. Los controles de acceso de recuperación restauran recursos, funciones y capacidades después de una violación de la política de seguridad. Los controles de recuperación pueden reparar el daño, además de detener cualquier otro daño. Estos controles tienen capacidades más avanzadas sobre los controles de acceso correctivos.
Cybersecurity Essentials - ES 0118
73
Controles compensativos Implican compensar algo. Los controles de acceso compensativos ofrecen opciones a otros controles para fomentar el cumplimiento en respaldo de la política de seguridad. Un control compensativo también puede ser una sustitución utilizada en lugar del control que no es posible en determinadas circunstancias. Por ejemplo, una organización puede no tener un perro guardián, entonces implementa un detector de movimiento con un reflector y un sonido de ladridos.
Cybersecurity Essentials - ES 0118
74
¿Qué es el enmascaramiento de datos? El enmascaramiento de datos es una tecnología que protege los datos al reemplazar la información confidencial por una versión no confidencial. La versión no confidencial se parece a la información original. Esto significa que un proceso comercial puede usar los datos no confidenciales y no es necesario cambiar las aplicaciones de respaldo o las instalaciones de almacenamiento de datos. En el caso de uso más común, el enmascaramiento limita la propagación de datos confidenciales dentro de los sistemas de TI al distribuir los conjuntos de datos sustitutos para la prueba y el análisis. La información puede estar enmascarada dinámicamente si el sistema o la aplicación determina que una solicitud de información confidencial del usuario es arriesgada.
Técnicas de enmascaramiento de datos El enmascaramiento de datos puede reemplazar los datos confidenciales en los entornos no productivos para proteger la información subyacente. Existen varias técnicas de enmascaramiento de datos que pueden garantizar que los datos sigan siendo importantes pero se cambien lo suficiente para protegerlos:
La sustitución reemplaza los datos por valores que parecen auténticos para aplicar el anonimato a los registros de datos.
El desplazamiento deriva un conjunto de sustitución de la misma columna de datos que un usuario desea enmascarar. Esta técnica funciona bien para la información financiera en una base de datos de prueba, por ejemplo.
La anulación aplica un valor nulo a un campo específico, lo cual evita completamente la visibilidad de los datos.
Cybersecurity Essentials - ES 0118
75
¿Qué es la esteganografía? La esteganografía oculta datos (el mensaje) en otro archivo, como un archivo de texto gráfico, de audio u otro archivo de texto. La ventaja de la esteganografía con respecto a la criptografía es que el mensaje secreto no atrae ninguna atención especial. Nadie sabría nunca que una imagen contenía realmente un mensaje secreto al ver el archivo en formato electrónico o impreso. Existen varios componentes involucrados en el ocultamiento de datos: Primero, existen los datos integrados, que es el mensaje secreto. El texto cubierto (imagen cubierta o audio cubierto) oculta los datos integrados y genera un estegotexto (o una estegoimagen o estegoaudio). Una estegoclave controla el proceso de ocultamiento.
Técnicas de esteganografía El enfoque utilizado para integrar los datos en una imagen cubierta utiliza los bits menos significativos (LSB). Este método utiliza bits de cada píxel en la imagen. Un píxel es la unidad básica de color programable en una imagen de computadora. El color específico de un píxel es una combinación de tres colores: rojo, verde y azul (RGB). Tres bytes de datos especifican el color de un píxel (un byte para cada color). Ocho bits conforman un byte. El sistema de colores de 24 bits utiliza los tres bytes. LSB utiliza un bit de cada uno de los componentes rojo, verde y azul. Cada píxel puede ahorrar 3 bits. La figura muestra tres píxeles de una imagen de 24 bits. Una de las letras del mensaje secreto es la letra T y la inserción del caracter T solo cambia dos bits del color. El ojo humano no puede reconocer los cambios realizados a los bits menos significativos. El resultado es un carácter oculto. En promedio, menos de la mitad de los bits de una imagen deberá cambiar para ocultar un mensaje secreto de manera eficaz.
Esteganografía social La esteganografía social oculta información a plena vista al crear un mensaje que algunos pueden leer de determinada manera para recibir el mensaje. Otras personas que lo ven de manera normal, no verán el mensaje. Los adolescente utilizan esta táctica en los medios sociales para comunicarse con sus amigos más cercanos mientras que otros, como sus padres, desconocen el significado real del mensaje. Por ejemplo, la frase «vamos al cine» puede significar «vamos a la playa».
Cybersecurity Essentials - ES 0118
76
Las personas en los países que censuran los medios también utilizan la esteganografía social para mandar sus mensajes al deletrear las palabras de manera incorrecta a propósito o hacer referencias imprecisas. En efecto, se comunican con diferentes audiencias de manera simultánea.
Detección El estegoanálisis es el descubrimiento de que existe información oculta. El objetivo del estegoanálisis es detectar información oculta. Los patrones de la estegoimagen generan sospecha. Por ejemplo, un disco puede tener áreas sin utilizar que ocultan información. Las utilidades de análisis de disco pueden informar sobre la información oculta en clústeres sin utilizar de dispositivos de almacenamiento. Los filtros pueden capturar los paquetes de datos que contienen información oculta en los encabezados de paquete. Ambos métodos usan las firmas de esteganografía. Al comparar una imagen original con la estegoimagen, un analista puede recoger patrones repetitivos de manera visual.
Ofuscación La ofuscación de datos es el uso y la práctica de las técnicas de esteganografía y enmascaramiento de los datos en el área de ciberseguridad y la profesión de inteligencia cibernética: La ofuscación es el arte de hacer que el mensaje sea confuso, ambiguo o más difícil comprender. Un sistema puede codificar mensajes deliberadamente para evitar el acceso no autorizado a la información confidencial.
Aplicaciones La marca el agua de software protege al software del acceso o la modificación no autorizada. La marca de agua de software inserta un mensaje secreto en el programa como prueba de propiedad. El mensaje secreto es la marca de agua del software. Si alguien intenta eliminar la marca de agua, el resultado es un código no funcional.
Cybersecurity Essentials - ES 0118
77
La ofuscación de software traduce el software a una versión equivalente a la original, pero a una solución que es más difícil de analizar para los atacantes. Si se intenta revertir la ingeniería del software esto puede brindar resultados incomprensibles de un software que todavía funciona.
Resumen Capítulo 4: el arte de proteger los secretos En este capítulo, se analizaron los principios de criptología utilizados para comunicaciones seguras. En el capítulo se explicaron los algoritmos de encriptación simétrica y asimétrica, se compararon los dos algoritmos y se proporcionaron ejemplos de su uso. En el capítulo se explicó cómo el control de acceso evita el acceso no autorizado a un edificio, a una sala, a un sistema o a un archivo mediante la identificación, autenticación, autorización y responsabilidad. Además, en el capítulo también se describieron los diversos modelos de control de acceso y los tipos de control de acceso. El capítulo concluyó con el análisis de las diversas maneras en que los usuarios enmascaran los datos. La ofuscación de datos y la esteganografía son dos técnicas utilizadas para lograr el enmascaramiento de datos.
Cybersecurity Essentials - ES 0118
78
Cybersecurity Essentials - ES 0118
79
Capítulo 5: El arte de garantizar la integridad La integridad garantiza que nada ni nadie modifique los datos y que estos sean confiables durante su ciclo de vida completo. La integridad de los datos es un componente fundamental para el diseño, la implementación y el uso de cualquier sistema que almacene, procese o transmita datos. Este capítulo comienza analizando los tipos de controles de integridad de datos utilizados, por ejemplo los algoritmos de hash, la técnica de «salting» y el código de autenticación de mensajes de hash con clave (HMAC). El uso de firmas y certificados digitales incorpora los controles de integridad de datos para proporcionar a los usuarios una manera de verificar la autenticación de mensajes y documentos. El capítulo finaliza con un análisis de las aplicaciones de integridad de la base de datos. Tener un sistema de integridad de datos bien controlado y bien definido permite aumentar la estabilidad, el rendimiento y la capacidad de mantenimiento de un sistema de base de datos.
¿Qué es el hash? Los usuarios deben saber que sus datos permanecen sin cambios mientras se encuentran almacenados o en tránsito. El hash es una herramienta que garantiza la integridad de datos al tomar los datos binarios (el mensaje) y generar una representación de longitud fija llamada valor hash o compendio del mensaje, como se muestra en la figura. La herramienta de hash utiliza una función criptográfica de hash para verificar y proteger la integridad de los datos. También puede verificar la autenticación. Las funciones de hash reemplazan la contraseña de texto no cifrado o las claves de encriptación porque las funciones de hash son funciones unidireccionales. Esto significa, que si se realiza el hash de una contraseña con un algoritmo de hash específico, siempre dará como resultado la misma compendio de hash. Se le considera unidireccional porque con funciones de hash, es informáticamente inviable que dos conjuntos diferentes de datos tengan la misma compendio o el mismo resultado de hash. Cada vez que se cambian o se modifican los datos, el valor hash también cambia. Debido a esto, los valores hash criptográficos se conocen a menudos como huellas dactilares digitales. Pueden detectar archivos de datos duplicados, cambios en las versiones de los archivos y aplicaciones similares. Estos valores protegen de un cambio accidental o intencional a los datos y el daño de datos accidental. El hash también es muy eficaz. Un archivo grande o el contenido de toda una unidad de disco genera un valor hash con el mismo tamaño.
Cybersecurity Essentials - ES 0118
80
Propiedades de hash El hash es una función matemática unidireccional que es relativamente fácil de computar, pero es mucho más difícil de revertir. El café molido es una buena analogía de una función unidireccional. Es fácil moler los granos de café, pero es casi imposible volver a unir todas las partes minúsculas para reconstruir los granos originales. Una función de hash criptográfica tiene las siguientes propiedades:
La entrada puede ser de cualquier longitud.
La salida tiene una longitud fija.
La función de hash es unidireccional y es irreversible.
Dos valores de entrada distintos casi nunca darán como resultado distintos valores hash.
Cybersecurity Essentials - ES 0118
81
Algoritmos de hash Las funciones de hash son útiles para asegurar que un usuario o un error de comunicación modifique los datos por accidente. Por ejemplo, es posible que un emisor desee asegurarse de que nadie modifique un mensaje en camino al destinatario. El dispositivo de envío introduce el mensaje en un algoritmo de hash y computa su compendio o huella digital de longitud fija. Algoritmo de hash simple (checksum de 8 bits) El checksum de 8 bits es uno de los primeros algoritmos de hash y es la forma más simple de una función de hash. Un checksum de 8 bits calcula el hash al convertir el mensaje en números binarios y luego organizando la cadena de números binarios en fragmentos de 8 bits. El algoritmo añade los valores de 8 bits. El último paso es convertir el resultado mediante un proceso llamado el complemento de 2. El complemento de 2 convierte un sistema binario al valor opuesto y luego agrega uno. Esto significa que un cero se convierte en uno y un uno se convierte en un cero. El último paso es agregar 1 lo que genera un valor hash de 8 bits. Haga clic aquí para calcular el hash de 8 bits para el mensaje BOB. 1. Convierta BOB al sistema binario con el código ASCII, como se muestra en la Figura 1.
Cybersecurity Essentials - ES 0118
82
2. Convierta los números binarios a hexadecimales, como se muestra en la Figura 2. 3. Introduzca los números hexadecimales en la calculadora (42 4F 42). 4. Haga clic en el botón Calcular. El resultado es el valor hash 2D. Pruebe los siguientes ejemplos: SECRET = “S”=53 “E”=45 “C”=43 “R”=52 “E”=45 “T”=54 VALOR HASH = 3A MESSAGE = “M”=4D “E”=45 “S”=53 “S”=53 “A”=41 “G”=47 “E”=45 VALOR HASH = FB
Algoritmos de hash modernos Existen muchos algoritmos de hash modernos que se utilizan ampliamente en la actualidad. Dos de los más populares son MD5 y SHA. Algoritmo de compendio del mensaje 5 (MD5) Ron Rivest desarrolló el algoritmo de hash MD5 y varias aplicaciones de Internet lo utilizan en la actualidad. MD5 es una función unidireccional que facilita el cálculo de un hash de datos de entrada dados, pero dificulta el cálculo de los datos de entrada con un solo valor hash. MD5 produce un valor hash de 128 bits. El malware Flame comprometió la seguridad de MD5 en 2012. Los creadores del malware Flame utilizaron una colisión MD5 para forjar un certificado de firma de códigos de Windows. Haga clic aquí para leer una explicación de ataque de colisión del malware Flame. Algoritmo de hash seguro (SHA)
Cybersecurity Essentials - ES 0118
83
Instituto Nacional de Normas y Tecnología (NIST) de los Estados Unidos desarrolló SHA, el algoritmo especificado en el Estándar de hash seguro (SHS). NIST publicó SHA-1 en 1994. SHA-2 reemplazó a SHA-1 por cuatro funciones de hash adicionales para componer la familia SHA:
SHA-224 (224 bits)
SHA-256 (256 bits)
SHA-384 (384 bits)
SHA-512 (512 bits)
SHA-2 es un algoritmo más sólido y reemplaza a MD5. SHA-256, SHA-384 y SHA-512 son los algoritmos de próxima generación.
Archivos y medios digitales de hash La integridad garantiza que los datos y la información estén completos y sin alteraciones al momento de la adquisición. Esto es importante para saber cuando un usuario descarga un archivo de Internet o un examinador forense busca la evidencia en los medios digitales. Para verificar la integridad de todas las imágenes de IOS, Cisco proporciona checksums de MD5 y SHA en el sitio web de software de descarga de Cisco. El usuario puede realizar una comparación de esta compendio de MD5 contra el compendio de MD5 de una imagen de IOS instalada en un dispositivo, como se muestra en la figura. El usuario puede estar tranquilo ahora de que nadie alteró ni modificó el archivo de imagen de IOS. Nota: el comando verify /md5, que se muestra en la figura, excede el alcance de este curso. El campo de informática forense digital usa el hash para verificar todos los medios digitales que contienen archivos. Por ejemplo, el examinador crea un hash y una copia de bit por bit de los medios que contienen archivos para producir un clon digital. El examinador compara el hash de los medios originales con la copia. Si los dos valores coinciden, las copias son idénticas. El hecho de que un conjunto de bits sea idéntico al conjunto original de bits establece fijación. La fijación ayuda a responder algunas preguntas:
¿El examinador tiene los archivos que espera?
Cybersecurity Essentials - ES 0118
84
¿Los datos están dañados o modificados?
¿Puede el examinador probar que los archivos no están dañados?
Ahora el experto en informática forense puede examinar la copia en busca de cualquier evidencia digital mientras deja el archivo original intacto y sin modificar.
Hash de contraseñas Los algoritmos de hash convierten cualquier cantidad de datos en una huella digital o hash digital de longitud fija. Un delincuente no puede invertir un hash digital para descubrir la entrada original. Si la entrada cambia por completo, puede dar lugar a un hash diferente. Esto funciona para proteger las contraseñas. Un sistema debe almacenar una contraseña de manera que pueda protegerla y aun así pueda verificar que la contraseña de un usuario es correcta. La figura muestra el flujo de trabajo para el registro y la autenticación de cuentas de usuarios mediante un sistema basado en hash. El sistema nunca escribe la contraseña en la unidad de disco duro, solo almacena el hash digital.
Cybersecurity Essentials - ES 0118
85
Aplicaciones Utilice las funciones de hash criptográficas en las siguientes situaciones:
Para proporcionar una prueba de autenticidad cuando se utiliza con una clave de autenticación secreta simétrica, como Seguridad IP (IPsec) o autenticación del protocolo de routing.
Para proporcionar autenticación al generar respuestas de única vez y unidireccionales a los desafíos que se presentan en los protocolos de autenticación
Para proporcionar una prueba de verificación de la integridad del mensaje, como las utilizadas en los contratos con firma digital y en los certificados de infraestructura de clave pública (PKI), como aquellos aceptados al acceder a un sitio seguro mediante un navegador
Al elegir un algoritmo de hash, utilice SHA-256 o superior ya que son los más seguros actualmente. Evite los algoritmos SHA-1 y MD5 debido a la detección de fallas de seguridad. En las redes de producción, implemente SHA-256 o superior. Aunque el hash puede detectar cambios accidentales, no puede protegerse de los cambios deliberados. No existe información de identificación única del emisor en el procedimiento de hash. Esto significa que cualquier persona puede calcular un hash para los datos, siempre y cuando tengan la función de hash correcta. Por ejemplo, cuando un mensaje atraviesa la red, un atacante potencial puede interceptar el mensaje, cambiarlo, recalcular el hash y añadir el hash al mensaje. El dispositivo receptor solo validará el hash que esté añadido. Por lo tanto, el hash es vulnerable a los ataques man-in-the-middle y no proporciona seguridad a los datos transmitidos.
Cybersecurity Essentials - ES 0118
86
Desciframiento de hashes Para descifrar un hash, un atacante debe adivinar la contraseña. Los dos ataques principales utilizados para adivinar las contraseñas son los ataques de diccionario y de fuerza bruta. Un ataque de diccionario utiliza un archivo que contiene palabras, frases y contraseñas comunes. El archivo contiene los hashes calculados. Un ataque de diccionario compara los hashes del archivo con los hashes de la contraseña. Si un hash coincide, el atacante conoce un grupo de contraseñas potencialmente buenas. Un ataque de fuerza bruta intenta cada combinación posible de caracteres hasta una longitud determinada. Un ataque de fuerza bruta lleva mucho tiempo del procesador, pero solo es cuestión de tiempo para que este método descubra la contraseña. Las contraseñas deben ser lo suficientemente largas para compensar el tiempo que tarda en realizarse un ataque de fuerza bruta demasiado prolongado para ser provechoso. Las contraseñas de hash permiten que sea más difícil para el delincuente recuperar esas contraseñas.
Qué es el «salting»? La técnica de «salting» permite que el hash de la contraseña sea más seguro. Si dos usuarios tienen la misma contraseña, también tendrán los mismos hashes de la contraseña. Un salt, que es una cadena aleatoria de caracteres, es una entrada adicional a la contraseña antes del hash. Esto crea un resultado distinto de hash para las dos contraseñas como se muestra en la figura. Una base de datos almacena el hash y el salt.
Cybersecurity Essentials - ES 0118
87
En la figura, la misma contraseña genera un hash diferente porque el «salt» en cada instancia es diferente. El «salt» no tiene que ser secreto ya que es un número aleatorio.
Prevención de ataques La técnica de «salting» evita que un atacante utilice un ataque de diccionario para adivinar las contraseñas. El «salting» también hace imposible usar las tablas de búsqueda y las tablas de arcoíris para descifrar un hash. Tablas de búsqueda Una tabla de búsqueda almacena los hashes previamente computados de las contraseñas en un diccionario de contraseñas junto con la contraseña correspondiente. Una tabla de búsqueda es una estructura de datos que procesa cientos de búsquedas de hash por segundo. Haga clic aquí para ver qué tan rápidamente una tabla de búsqueda puede descifrar un hash. Tablas de búsqueda inversas Este ataque permite que el delincuente cibernético inicie un ataque de diccionario o de fuerza bruta en muchos hashes sin la tabla de búsqueda previamente computada. El delincuente cibernético crea una tabla de búsqueda que grafica cada hash de contraseña de la base de datos de la cuenta vulnerada a una lista de usuarios. El delincuente cibernético realiza un hash de cada conjeturas de la contraseña y usa la tabla de búsqueda para obtener una lista de usuarios cuya contraseña coincida con las conjeturas del delincuente cibernético, como se muestra en la figura. Debido a que muchos usuarios tienen la misma contraseña, el ataque funciona bien. Tablas de arcoíris Las tablas de arcoíris sacrifican la velocidad de descifrado de hash para que las tablas de búsqueda sean más pequeñas. Una tabla más pequeña significa que la tabla puede almacenar las soluciones para más hashes en la misma cantidad de espacio.
Implementación de la técnica de «salting» Un generador criptográficamente seguro de números pseudoaleatorios (CSPRNG) es la mejor opción para generar un salt. CSPRNGs genera un número aleatorio que tiene un alto nivel de aleatoriedad y es totalmente impredecible, por lo que es criptográficamente seguro. Para implementar correctamente la técnica de «salting», utilice las siguientes recomendaciones:
El salt debe ser único para cada contraseña de usuario.
Nunca reutilice un salt.
La longitud del salt debe coincidir con la extensión del resultado de la función de hash.
Siempre realice el hash en el servidor en una aplicación web.
Cybersecurity Essentials - ES 0118
88
Con una técnica llamada «alargamiento de claves» también podrá protegerse de los ataques. El alargamiento de claves hace que el hash funcione muy lentamente. Esto impide que el hardware de alto nivel que puede calcular miles de millones de hashes por segundo sea menos eficaz. Los pasos que una aplicación de base de datos utiliza para almacenar y validar una contraseña salt se muestran en la figura.
¿Qué es un HMAC? El siguiente paso en prevenir que un delincuentes cibernético inicie un ataque de diccionario o un ataque de fuerza bruta en un hash es agregar una clave secreta al hash. Solo la persona que conoce el hash puede validar una contraseña. Una manera de lograrlo es incluir la clave secreta en el hash mediante un algoritmo de hash llamado código de autenticación de mensajes de hash con clave (HMAC o KHMAC). Los HMAC utilizan una clave secreta adicional como entrada a la función de hash. El uso de HMAC va un paso más allá de garantizar la integridad al incorporar la autenticación. Un HMAC utiliza un algoritmo específico que combina una función de hash criptográfica con una clave secreta, como se muestra en la figura. Solo el emisor y el receptor conocen la clave secreta y el resultado de la función de hash ahora depende de los datos de entrada y la clave secreta. Solo las partes que tienen acceso a esa clave secreta pueden calcular el compendio de una función de HMAC. Esta característica derrota los ataques man-in-the-middle y proporciona autenticación del origen de los datos.
Cybersecurity Essentials - ES 0118
89
Funcionamiento del HMAC Considere un ejemplo en el que un emisor desea asegurarse de que un mensaje permanezca sin cambios y en tránsito, y desea proporcionar una manera de que el receptor autentique el origen del mensaje. Como se muestra en la Figura 1, el dispositivo emisor introduce los datos (como el pago de Terry Smith de $100 y la clave secreta) en el algoritmo de hash y calcula el compendio o huella digital de HMAC de longitud fija. El receptor obtiene huellas digitales autenticadas anexadas al mensaje. En la Figura 2, el dispositivo receptor elimina la huella digital del mensaje y utiliza el mensaje de texto simple con su clave secreta como entrada a la misma función de hash. Si el dispositivo receptor calcula una huella digital igual a la huella enviada, el mensaje aún se encontrará en su formato original. Además, el receptor conoce el origen del mensaje porque solo el emisor posee una copia de la clave secreta compartida. La función de HMAC comprobó la autenticación del mensaje.
Aplicación del uso de HMAC Los HMAC también pueden autenticar a un usuario web. Muchos servicios web utilizan la autenticación básica, la cual no cifra el nombre de usuario y la contraseña durante la transmisión. Con el HMAC, el usuario envía un identificador de clave privada y un HMAC. El servidor busca la clave privada del usuario y crea un HMAC. El HMAC del usuario debe coincidir con el que calcula el servidor.
Cybersecurity Essentials - ES 0118
90
Las VPN que utilizan IPsec dependen de las funciones de HMAC para autenticar el origen de cada paquete y proporcionar verificación de la integridad de los datos. Como se muestra en la figura, los productos de Cisco utilizan el hash para la autenticación de la entidad, la integridad de datos y para la autenticidad de datos:
Los routers de Cisco IOS utilizan el hash con las claves secretas utilizando el HMAC como la manera de agregar información de autenticación a las actualizaciones de protocolo de routing.
Los gateways y los clientes de IPsec utilizan algoritmos de hash, como MD5 y SHA-1 en el modo HMAC, para proporcionar integridad y autenticidad del paquete.
Las imágenes del software de Cisco en Cisco.com tienen un checksum basado en MD5 disponible para que los clientes puedan verificar la integridad de las imágenes descargadas.
Nota: El término entidad puede referirse a los dispositivos o sistemas dentro de una organización.
¿Qué es una firma digital? Las firmas manuscritas y los sellos estampados prueban la autoría de los contenidos del documento. Las firmas digitales pueden proporcionar la misma funcionalidad que las firmas manuscritas. Los documentos digitales sin protección son muy fáciles de cambiar para cualquier persona. Una firma digital se utiliza para determinar si alguien edita un documento después de que el usuario lo firma. Una firma digital es un método matemático utilizado para validar la autenticidad y la integridad de un mensaje, documento digital o software.
Cybersecurity Essentials - ES 0118
91
En muchos países, las firmas digitales tienen la misma importancia legal que un documento manualmente firmado. Las firmas electrónicas son vinculantes para contratos, negociaciones o cualquier otro documento que requiere una firma manuscrita. Un registro de auditoría sigue el historial de documentos electrónicos para fines de defensa normativos y legales. Una firma digital ayuda a establecer la autenticidad, la integridad y la imposibilidad de rechazo. Las firmas digitales tienen propiedades específicas que permiten la autenticación de la entidad y la integridad de los datos como se muestra en la figura. Las firmas digitales son una alternativa a HMAC.
No rechazo Rechazar significa denegar. La no repudiación es una manera de garantizar que el emisor de un mensaje o documento no pueda negar el envío del mensaje o del documento y que el destinatario no puede negar haber recibido el mensaje o documento. Una firma digital garantiza que el emisor firmó electrónicamente el mensaje o documento. Dado que una firma digital es única para las personas que la crean, esa persona no puede negar posteriormente que proporcionó la firma.
Procesos de creación de una firma digital La criptografía asimétrica es la base de las firmas digitales. Un algoritmo de clave pública como RSA genera dos claves: Una privada y otra pública. Las claves se relacionan matemáticamente. Alicia desea enviar a Bob un correo electrónico que contiene información importante para la distribución de un producto nuevo. Alicia desea asegurarse de que Bob sepa que el mensaje provino de ella y que este no cambió después de que ella lo envió. Alicia crea el mensaje junto con un compendio del mensaje. Luego cifra este compendio con su clave privada como se muestra en la Figura 1. Alicia ata el mensaje, el compendio del mensaje cifrado y su clave pública para crear el documento firmado. Alicia envía esto a Bob como se muestra en la Figura 2. Bob recibe el mensaje y lo lee. Para asegurarse de que el mensaje proviene de Alice, él crea un compendio de mensaje del mensaje. Él toma el compendio del mensaje cifrado recibido de Alicia y lo descifra con la clave pública de Alicia. Bob compara el compendio del mensaje que recibió de Alicia con el compendio que él generó. Si coinciden, Bob sabe que puede confiar en que nadie manipuló el mensaje, como se muestra en la Figura 3. Haga clic aquí para ver un video que explica el proceso de creación de un certificado digital.
Cybersecurity Essentials - ES 0118
92
Uso de firmas digitales La firma de un hash en lugar del documento completo proporciona eficiencia, compatibilidad e integridad. Es probable que las organizaciones deseen reemplazar los documentos impresos y las firmas de tinta con una solución que garantice que el documento electrónico cumple con todos los requisitos legales. Las siguientes dos situaciones proporcionan ejemplos de uso de firmas digitales:
Firma de código: Se utiliza para verificar la integridad de los archivos ejecutables descargados del sitio web de un proveedor. La firma de códigos también utiliza certificados digitales firmados para autenticar y verificar la identidad del sitio (Figura 1).
Certificados digitales: Se utilizan para verificar la identidad de una organización o de una persona para autenticar el sitio web de un proveedor y para establecer una conexión cifrada a fin de intercambiar datos confidenciales (Figura 2).
Comparación de los algoritmos de firma digital Los tres algoritmos comunes de firma digital son el Algoritmo de firma digital (DSA), Rivest-ShamirAdleman (RSA y el Algoritmo de firma digital de curva elíptica (ECDSA). Los tres generan y verifican firmas digitales. Estos algoritmos dependen de las técnicas de cifrado asimétrico y de clave pública. Las firmas digitales requieren dos operaciones: 1. Generación de claves 2. Verificación de claves Ambas operaciones requieren la encriptación y el descifrado de clave.
Cybersecurity Essentials - ES 0118
93
El DSA utiliza la factorización de números grandes. Los gobiernos utilizan el DSA para las firmas, a fin de crear firmas digitales. El DSA no se extiende más allá de la firma del mensaje. El RSA es el algoritmo más común de la criptografía de clave pública en la actualidad. El RSA se denomina así por las personas que lo crearon en 1977: Ron Rivest, Adi Shamir, Adi Shamir y Leonard Adleman. El RSA depende del cifrado asimétrico. El RSA cubre la firma y también cifra el contenido del mensaje. El DSA es más rápido que el RSA como un servicio de firma de un documento digital. El RSA es el más adecuado para las aplicaciones que requieren la firma y la verificación de documentos electrónicos y encriptación de mensaje. Al igual que la mayoría de las áreas de la criptografía, el algoritmo RSA se basa en dos principios matemáticos; factorización de módulos y de números primos. Haga clic aquí para obtener más información sobre cómo RSA utiliza la factorización de módulos y de números primos. ECDSA es el algoritmo de firma digital más nuevo que está reemplazando gradualmente a RSA. La ventaja de este nuevo algoritmo es que puede utilizar tamaños de clave mucho más pequeños para la misma seguridad y requiere menos cómputo que RSA.
¿Qué es un certificado digital? Un certificado digital es equivalente a un pasaporte electrónico. Permiten a los usuarios, hosts y organizaciones intercambiar información de manera segura a través de Internet. Específicamente, un certificado digital autentica y verifica que los usuarios que envían un mensaje sean quienes afirman ser. Los certificados digitales también pueden proporcionar confidencialidad para el receptor con los medios para cifrar una respuesta. Los certificados digitales son similares a los certificados físicos. Por ejemplo, el certificado Asociado en redes con certificación de Cisco (CCNA-S) en papel, en la Figura 1 identifica a las personas, la autoridad del certificado (quién autorizó el certificado) y durante cuánto tiempo el certificado es válido. Observe de qué manera el certificado digital en la Figura 2 también identifica los elementos similares.
Uso de certificados digitales Para poder comprender cómo usar un certificado digital, consulte la Figura 1. En este escenario, Bob confirma un pedido con Alicia. El servidor web de Alicia utiliza un certificado digital para garantizar una transacción segura. Paso 1: Bob examina el sitio web de Alicia. Un navegador designa una conexión segura al mostrar un icono de bloqueo en la barra de estado de seguridad. Paso 2: El servidor web de Alicia envía un certificado digital al navegador de Bob. Paso 3: El navegador de Bob comprueba el certificado almacenado en los ajustes del navegador. Solo los certificados confiables permiten que la transacción siga adelante. Paso 4: El navegador web de Bob crea una clave única de sesión por única vez. Paso 5: El navegador de Bob utiliza la clave pública del servidor web en su certificado para cifrar la sesión. Paso 6: El resultado es que solo el servidor web de Alicia pueda leer las transacciones enviadas desde el navegador de Bob.
Cybersecurity Essentials - ES 0118
94
¿Qué es una autoridad de certificación? En Internet, sería poco práctico intercambiar continuamente la identificación entre todas las partes. Por lo tanto, las personas acuerdan aceptar la palabra de un tercero neutral. Probablemente, el tercero realiza una investigación exhaustiva antes de emitir las credenciales. Después de esta investigación exhaustiva, el tercero emite credenciales que son difíciles de falsificar. Desde ese momento, todas las personas que confían en el tercero simplemente aceptan las credenciales que emite el tercero. Por ejemplo, en la figura, Alice solicita una licencia de conducir. En este proceso, presenta evidencia de su identidad, como partida de nacimiento, identificación con fotografía, etc. a una oficina gubernamental de otorgamiento de licencias. La oficina valida la identidad de Alice y permite que Alice complete el examen de conducir. Al completarlo exitosamente, la oficina de otorgamiento de licencias emite una licencia de conducir a Alice. Posteriormente, Alice debe cobrar un cheque en el banco. Al presentar el cheque al cajero del banco, el cajero del banco le solicita la Id. El banco, debido a que confía en la oficina gubernamental de otorgamiento de licencias, verifica su identidad y cobra el cheque. Una autoridad de certificación (CA) funciona de la misma manera que una oficina de otorgamiento de licencias. La CA emite certificados digitales que autentican la identidad de las organizaciones y de los usuarios. Estos certificados también firman mensajes para asegurarse de que nadie los manipuló.
Cybersecurity Essentials - ES 0118
95
¿Qué contiene un certificado digital? Siempre y cuando un certificado digital siga una estructura estándar, cualquier entidad podrá leer y comprenderlo, independientemente del emisor. El X.509 es un estándar de la infraestructura de clave pública (PKI) para administrar los certificados digitales. La PKI consta de las políticas, las funciones y los procedimientos necesarios para crear, administrar, distribuir, utilizar, almacenar y revocar los certificados digitales. El estándar X.509 especifica que los certificados digitales contienen la información estándar que se muestra en la figura.
El proceso de validación Los navegadores y las aplicaciones realizan una comprobación de validación antes de confiar en un certificado para asegurarse de que es válido. Los tres procesos incluyen lo siguiente:
La detección de certificados valida el trayecto de certificación al marcar cada certificado desde el comienzo con el certificado de la CA raíz
La validación del trayecto selecciona un certificado de la CA de emisión para cada certificado de la cadena
La revocación determina si el certificado fue revocado y por qué
El trayecto del certificado Una persona obtiene un certificado para una clave pública de un CA comercial. El certificado pertenece a una cadena de certificados llamada cadena de confianza. El número de certificados en la cadena depende de la estructura jerárquica de la CA.
Cybersecurity Essentials - ES 0118
96
La figura muestra una cadena de certificados para una CA de dos niveles. Existe una CA de raíz sin conexión y una CA subordinada en línea. El motivo de la estructura de dos niveles es que la firma X.509 permite una recuperación más sencilla en caso de riesgo. Si existe una CA sin conexión, puede firmar el nuevo certificado de CA en línea. Si no hay ninguna CA sin conexión, el usuario debe instalar un nuevo certificado de CA de raíz en cada máquina, teléfono o tablet cliente.
Integridad de datos Las bases de datos proporcionan una forma eficiente de almacenar, recuperar y analizar datos. A medida que la recopilación de datos aumenta y los datos se vuelven más sensibles, es importante que los profesionales de la ciberseguridad protejan el creciente número de bases de datos. Piense en una base de datos como un sistema de llenado electrónico. La integridad de datos se refiere a la precisión, la uniformidad y la confiabilidad de los datos almacenados en una base de datos. La responsabilidad de la integridad de los datos depende de los diseñadores de bases de datos, desarrolladores y la administración de la organización.
Cybersecurity Essentials - ES 0118
97
Las cuatro reglas o restricciones de integridad de los datos son las siguientes:
Integridad de la entidad: Todas las filas deben tener un identificador único llamado Clave principal (Figura 1).
Integridad de dominio: Todos los datos almacenados en una columna deben seguir el mismo formato y tener la misma definición (Figura 2).
Integridad referencial: Las relaciones entre tablas deben permanecer congruentes. Por lo tanto, un usuario no puede eliminar un registro que se relaciona con otro (Figura 3).
Integridad definida por el usuario: Un conjunto de reglas definidas por un usuario que no pertenece a una de las demás categorías. Por ejemplo, un cliente realiza un pedido nuevo, como se muestra en la Figura 4. El usuario primero verifica si este es un cliente nuevo. Si lo es, el usuario agrega al cliente nuevo a la tabla de clientes.
Controles del ingreso de los datos El ingreso de datos implica introducir datos en un sistema. Un conjunto de comandos garantiza que los usuarios introduzcan los datos correctos. Despliegue los controles de datos principales Cuente con una opción desplegable para las tablas principales en lugar de solicitar a las personas que introduzcan los datos. Un ejemplo de despliegue de controles de datos principales implica el uso de la lista de ubicaciones del sistema de dirección postal de EE. UU. para estandarizar las direcciones. Controles de validación del campo de datos Configure las reglas para las verificaciones básicas, que incluyen:
Entrada obligatoria que garantiza que un campo obligatorio contenga datos
Máscaras de entrada que evitan que los usuarios ingresen datos no válidos o ayuden a garantizar que introducen datos constantemente (como un número de teléfono, por ejemplo)
Cantidades positivas en dólares
Los rangos de datos garantizan que un usuario ingrese datos dentro de un rango determinado (como una fecha de nacimiento introducida como 01-18-1820, por ejemplo)
Aprobación obligatoria de segundas personas (un cajero del banco recibe una solicitud de depósito o de retiro superior al valor especificado lo cual requiere una segunda o tercera aprobación)
Activador de modificador de registro máximo (si la cantidad de registros modificados supera un número predeterminado dentro de un período específico bloquea a un usuario hasta que el administrador identifica si las transacciones eran legítimas o no)
Indicador de actividad inusual (un sistema se bloquea cuando reconoce actividad inusual)
Reglas de validación Una regla de validación verifica que los datos se incluyan en los parámetros definidos por el diseñador de la base de datos. Una regla de validación ayuda a garantizar la integridad, la precisión y la coherencia de los datos. Los criterios utilizados en una regla de validación incluyen los siguientes:
Cybersecurity Essentials - ES 0118
98
Tamaño: Controla la cantidad de caracteres en un elemento de datos
Formato: Controla que los datos se ajusten a un formato específico
Coherencia: Controla la coherencia de los códigos en los elementos de datos relacionados
Rango: Controla que los datos se encuentran dentro de un valor mínimo y un valor máximo
Dígito de control: Proporciona un cálculo adicional para generar un dígito de control para la detección de errores.
Haga clic en cada paso de la figura para ver el resultado del cálculo del dígito de control.
Validación del tipo de datos La validación del tipo de datos es la validación de datos más simple y verifica que un usuario que ingresa datos concuerde con el tipo de caracteres esperados. Por ejemplo, un número de teléfono no debería contener caracteres alfabéticos. Las bases de datos permiten tres tipos de datos: Números enteros, cadenas y decimales.
Validación de entrada Uno de los aspectos más vulnerables de la administración de la integridad de la base de datos es controlar el proceso de entrada de datos. Muchos ataques conocidos se ejecutan contra una base de datos e insertan datos malformados. El ataque puede confundir, colapsar o hacer que la aplicación divulgue demasiada información al atacante. Los atacantes usan los ataques de entrada automatizados. Por ejemplo, los usuarios completan un formulario a través de una aplicación web para suscribirse a un boletín. Una aplicación de base de datos genera y envía automáticamente confirmaciones por correo electrónico. Cuando los usuarios reciben las confirmaciones por correo electrónico con un enlace URL para confirmar su suscripción, los atacantes modifican el enlace URL. Estas modificaciones incluyen el cambio de nombre de usuario, dirección de correo electrónico o estado de suscripción. El correo electrónico regresa al servidor que aloja la aplicación. Si el servidor web no verificó que la dirección de correo electrónico u otra información enviada de la cuenta coincide con la información de suscripción, el servidor recibió información falsa. Los hackers pueden automatizar el ataque para colmar la aplicación web con miles de suscriptores no válidos en la base de datos del boletín.
Verificación de anomalías La detección de anomalías se refiere a la identificación de patrones en los datos que no se ajustan al comportamiento esperado. Estos patrones no se ajustan son anomalías, valores atípicos, excepciones o aberraciones o sorpresas en diferentes aplicaciones de bases de datos. La detección y verificación de anomalías es una contramedida o protección importante en la identificación de la detección de fraudes. La detección de anomalías en la base de datos puede identificar fraudes en tarjetas de crédito y seguros. La detección de anomalías en la base de datos puede proteger los datos de la destrucción o los cambios masivos. La verificación de anormalías requiere solicitudes o modificaciones de datos de verificación cuando el sistema detecta patrones inusuales o sorpresivos. Un ejemplo de esto es una tarjeta de crédito con dos transacciones en ubicaciones de solicitud muy diferentes en poco tiempo. Si una solicitud de transacción de la ciudad de Nueva York se realiza a las 10:30 a. m. y una segunda solicitud proviene de Chicago a las 10:35 a. m., el sistema activa una verificación de la segunda transacción. Un segundo ejemplo se produce cuando una cantidad inusual de modificaciones en la dirección de correo electrónico se produce en un número inusual de registros de la base de datos. Dado que los datos de correo electrónico lanzan ataques de denegación de servicio, la modificación de correo electrónico de cientos de registros podría indicar que un atacante utiliza la base de datos de una organización como herramienta para su ataque de denegación de servicio.
Cybersecurity Essentials - ES 0118
99
Integridad de la entidad Una base de datos es como un sistema de llenado electrónico. Mantener un archivado correcto es fundamental para mantener la confianza y la utilidad de los datos en la base de datos. Las tablas, los registros, los campos y los datos dentro de cada campo conforman una base de datos. Para mantener la integridad del sistema de archivado en la base de datos, los usuarios deben cumplir con determinadas reglas. La integridad de la entidad es una regla de integridad, que afirma que cada tabla debe tener una clave primaria y que la columna o las columnas elegidas para ser la clave principal deben ser únicas y no NULAS. El término «nulo» en una base de datos hace referencia a valores faltantes o desconocidos. La integridad de la entidad permite la organización adecuada de los datos para ese registro como se muestra en la figura.
Integridad referencial Otro concepto importante es la relación entre los diferentes sistemas o tablas de llenado. La base de la integridad referencial es la clave externa. Una clave externa en una tabla hace referencia a una clave principal en una segunda tabla. La clave principal de una tabla identifica de manera única a las entidades (filas) de la tabla. La integridad referencial mantiene la integridad de las claves externas.
Cybersecurity Essentials - ES 0118
10 0
Integridad del dominio La integridad del dominio garantiza que todos los elementos de datos de una columna se incluyan en un conjunto definido de valores válidos. Cada columna de una tabla tiene un conjunto definido de valores, como el conjunto de todos los números para los números de tarjetas de crédito, los números de seguridad social o las direcciones de correo electrónico. La limitación del valor asignado a una instancia de esa columna (un atributo) aplica la integridad de dominio. La aplicación de la integridad del dominio puede ser tan simple como elegir el tipo de datos, la longitud y el formato correcto para una columna.
Resumen Capítulo 5: El arte de garantizar la integridad En este capítulo se analizó el arte de la integridad que se utiliza para garantizar que nada ni nadie modifique los datos durante su ciclo de vida completo. Este capítulo comenzó analizando los tipos de controles de integridad de datos. Los algoritmos de hash, el salt de contraseña y el código de autenticación de mensajes de hash con clave (HMAC) son conceptos importantes que los héroes cibernéticos deben utilizar en la implementación de firmas y certificados digitales. Estas herramientas proporcionan una manera para que los especialistas en ciberseguridad verifiquen la autenticidad de los mensajes y documentos. El capítulo finalizado con un análisis de las aplicaciones de integridad de la base de datos. Tener un sistema de integridad de datos bien controlado y bien definido permite aumentar la estabilidad, el rendimiento y la capacidad de mantenimiento de un sistema de base de datos.
Cybersecurity Essentials - ES 0118
10 1
Capítulo 6: El reino de los cinco nueves Las organizaciones que desean maximizar la disponibilidad de sus sistemas y datos pueden adoptar medidas extraordinarias para minimizar o eliminar la pérdida de datos. El objetivo es minimizar el tiempo de inactividad de los procesos críticos. Si los empleados no pueden realizar sus tareas regulares, la organización está en riesgo de perder ingresos. Las organizaciones miden la disponibilidad conforme al porcentaje de tiempo de actividad. Este capítulo comienza explicando el concepto de los cinco nueves. Muchos sectores deben mantener los mayores estándares de disponibilidad dado que el tiempo de inactividad puede significar literalmente una diferencia entre la vida y la muerte. Este capítulo analiza diversos enfoques que las organizaciones pueden adoptar para cumplir sus objetivos de disponibilidad. La redundancia brinda respaldo e incluye componentes adicionales para las computadoras o los sistemas de red a fin de garantizar la disponibilidad de los sistemas. Los componentes redundantes pueden incluir hardware, como unidades de disco, servidores, switches y routers, o software, como sistemas operativos, aplicaciones y bases de datos. El capítulo también analiza la recuperabilidad y la capacidad de un servidor, una red o un centro de datos para recuperarse rápidamente y continuar con la operación. Las organizaciones deben prepararse para responder ante un incidente estableciendo procedimientos que deben seguirse después de que ocurre un evento. El capítulo finaliza con un debate sobre la recuperación tras un desastre y la planificación de la continuidad de los negocios, fundamentales para el mantenimiento de la disponibilidad de los recursos de una organización.
¿Qué son los cinco nueves? Los cinco nueves significan que los sistemas y servicios están disponibles el 99,999% del tiempo. Esto quiere decir que tanto el tiempo de inactividad planificado como no planificado es menor que 5,26 minutos por año. El gráfico en la figura ofrece una comparación del tiempo de inactividad para varios porcentajes de disponibilidad. La alta disponibilidad hace referencia a un sistema o componente continuamente operativo durante un espacio dado de tiempo. Para garantizar la alta disponibilidad:
Elimine los puntos de falla únicos.
Diseñe para la confiabilidad.
Detecte fallas cuando ocurren.
Sostener una alta disponibilidad como estándar de los cinco nueves puede incrementar los costos y requerir muchos recursos. El incremento de los costos se debe a la adquisición de hardware adicional, como servidores y componentes. A medida que una organización agrega componentes, el resultado es un incremento en la complejidad de la configuración. Desafortunadamente, la complejidad incrementada de la configuración aumenta los factores de riesgo. Cuantas más partes móviles se involucran, mayor es la probabilidad de componentes defectuosos.
Entornos que requieren los cinco nueves Aunque el costo de sostener la alta disponibilidad pueda ser muy elevado para algunos sectores, muchos entornos requieren cinco nueves.
El sector financiero debe mantener una alta disponibilidad para un comercio, un cumplimiento y una confianza del cliente continuos. Haga clic aquí para leer sobre la interrupción de cuatro horas en la Bolsa de Valores de Nueva York en 2015.
Cybersecurity Essentials - ES 0118
10 2
Las instalaciones de servicios de salud requieren alta disponibilidad para brindar atención a los pacientes en todo momento. Haga clic aquí para leer sobre los costos promedio incurridos para el tiempo de inactividad del centro de datos en el sector de servicios de salud.
La industria de la seguridad pública incluye agencias que brindan seguridad y servicios a la comunidad, el estado o la nación. Haga clic aquí para leer sobre una interrupción de la red en la Agencia de Policía del Pentágono de los EE. UU.
La industria minorista depende de cadenas de abastecimiento eficientes y de la entrega de productos a los clientes. Una interrupción puede ser devastadora, especialmente durante los tiempos de demanda, como las fiestas.
El público espera que el sector de los medios de comunicación comunique información sobre los eventos a medida que ocurren. El ciclo de comunicación ahora está disponible las 24 horas, los 7 días de la semana.
Amenazas a la disponibilidad Las siguientes amenazas representan un alto riesgo para la disponibilidad de los datos y la información:
Un usuario no autorizado penetra exitosamente y compromete la base de datos principal de una organización.
Un ataque de denegación de servicio exitoso afecta significativamente las operaciones.
Una organización sufre una importante pérdida de datos confidenciales.
Una aplicación crítica se desconecta.
Ocurre un problema del administrador o usuario raíz.
Se comparte la detección de un script entre sitios o un servidor de archivos ilegal.
La degradación del sitio web de una organización afecta las relaciones públicas.
Una fuerte tormenta, como un huracán o un tornado.
Un evento catastrófico, como un ataque terrorista, el bombardeo de una construcción o el incendio de un edificio.
La interrupción del proveedor de servicios o la utilidad a largo plazo.
Daños por agua como resultado de una inundación o una falla de aspersión.
Clasificar el nivel de impacto de cada amenaza ayuda a una organización a dilucidar el impacto en dólares de las amenazas. Haga clic en las categorías de amenazas en la figura para ver un ejemplo de cada una.
Diseño del sistema de alta disponibilidad La alta disponibilidad incorpora tres principios fundamentales para lograr el objetivo de un acceso ininterrumpido a los datos y servicios: 1. Eliminación o reducción de puntos de falla únicos.
Cybersecurity Essentials - ES 0118
10 3
2. Recuperabilidad del sistema. 3. Tolerancia a fallas. Haga clic en cada principio en la figura para ver una breve descripción. Es importante comprender las formas de abordar el punto de falla único. El punto de falla único puede incluir routers o switches centrales, servicios de red e incluso personal de TI altamente calificado. La clave es que una pérdida de un sistema, un proceso o una persona puede tener un impacto muy negativo en todo el sistema. La clave es contar con procesos, recursos y componentes que reduzcan los puntos de falla únicos. Los clústeres de alta disponibilidad son una manera de proporcionar redundancia. Estos clústeres constan de un grupo de computadoras que tienen acceso al mismo almacenamiento compartido y configuraciones de red idénticas. Todos los servidores participan en el proceso de un servicio simultáneamente. Desde el exterior, el grupo de servidores parece un dispositivo. Si un servidor dentro del clúster falla, los otros servidores continúan procesando el mismo servicio que el dispositivo defectuoso. La recuperabilidad de los sistemas se refiere a la capacidad para mantener la disponibilidad de los datos y el proceso operativo a pesar de eventos de interrupción o ataques. Por lo general, esto requiere sistemas redundantes en términos de potencia y procesamiento de manera tal que, en caso de que falle un sistema, el otro pueda tomar el control de las operaciones sin ninguna interrupción del servicio. La recuperabilidad del sistema es más que la protección de los dispositivos; requiere que tanto los datos como los servicios estén disponibles incluso durante un ataque. La tolerancia a fallas permite que un sistema siga operando si uno o más componentes fallan. La replicación de puertos es un ejemplo de tolerancia a fallas. Si se produce una "falla" que provoca la interrupción de un dispositivo, como un controlador de disco, el sistema replicado proporciona los datos solicitados sin interrupciones aparentes en el servicio al usuario.
Identificación de activos Una organización debe conocer qué hardware y software tiene como requisito previo a saber qué parámetros de configuración necesita. La administración de activos incluye un inventario completo del hardware y software. Esto quiere decir que una organización debe conocer todos los componentes que pueden estar sujetos a riesgos de seguridad, entre ellos:
Cada sistema de hardware.
Cada sistema operativo.
Cada dispositivo de red del hardware.
Cada sistema operativo del dispositivo de red.
Cada aplicación de software.
Todo el firmware.
Todos los entornos de tiempo de ejecución del lenguaje.
Todas las bibliotecas individuales.
Una organización puede elegir una solución automatizada para seguir sus activos. Un administrador debe investigar cualquier configuración modificada dado que puede significar que la configuración no está actualizada. También puede significar que ocurren cambios no autorizados.
Cybersecurity Essentials - ES 0118
10 4
Clasificación de activos La clasificación de activos asigna todos los recursos de la organización a un grupo según las características comunes. Una organización debe aplicar un sistema de clasificación de activos a los documentos, los registros de datos, los archivos de datos y los discos. La información más importante debe recibir el mayor nivel de protección e incluso puede requerir un manejo especial. Una organización puede adoptar un sistema de etiquetado según cuán valiosa, confidencial y crítica sea la información. Complete los pasos siguientes para identificar y clasificar los activos de una organización: 1. Determine la categoría de identificación de activos correcta. 2. Establezca la auditoría de activos mediante la identificación del propietario de todos los recursos de información y software de aplicaciones. 3. Determine los criterios de clasificación. 4. Implemente un esquema de clasificación. La figura proporciona más detalles para estos pasos. Por ejemplo, el gobierno estadounidense se basa en la confidencialidad para clasificar los datos de la siguiente manera: secretos, absolutamente secretos, confidenciales, de confianza pública o sin clasificar.
Cybersecurity Essentials - ES 0118
10 5
Estandarización de activos La administración de activos administra el ciclo de vida y el inventario de los activos tecnológicos, incluidos los dispositivos y el software. Como parte del sistema de administración de activos de TI, una organización especifica los activos de TI aceptables que cumplen los objetivos. Esta práctica reduce eficazmente los diferentes tipos de activos. Por ejemplo, una organización instalará únicamente aplicaciones que cumplan con las pautas. Cuando los administradores eliminen las aplicaciones que no cumplan con las pautas, incrementarán la seguridad con eficacia. Los estándares de activos identifican los productos de hardware y software específicos que la organización usa y respalda. Cuando ocurre una falla, actuar inmediatamente ayuda a mantener tanto el acceso como la seguridad. Si una organización no estandariza su selección de hardware, el personal deberá esforzarse por encontrar los componentes de repuesto. Los entornos no estandarizados requieren más experiencia para su administración y aumentan el costo de los contratos de mantenimiento e inventario. Haga clic aquí para leer sobre cómo los militares pasaron al hardware basado en estándares para sus comunicaciones militares.
Identificación de amenazas El equipo de Respuesta ante Emergencias Informáticas de los Estados Unidos (US-CERT) y el Departamento de Seguridad Nacional de los EE. UU. patrocinan un diccionario de vulnerabilidades y exposiciones comunes (CVE). Las CVE contienen un número de identificación estándar con una descripción breve y referencias a informes de vulnerabilidades y avisos relacionados. The Mitre Corporation mantiene una lista de CVE y su sitio web público. La identificación de amenazas comienza con el proceso de creación de un identificador de CVE para las vulnerabilidades de ciberseguridad conocidas públicamente. Cada identificador de CVE incluye lo siguiente:
El número de identificador de CVE.
Cybersecurity Essentials - ES 0118
10 6
Una breve descripción de la vulnerabilidad en la seguridad.
Cualquier referencia importante.
Haga clic aquí para obtener más información sobre el identificador de CVE.
Análisis de riesgos El análisis de riesgos es el proceso de analizar los peligros que plantean los eventos de causa natural y humana a los activos de una organización. Un usuario debe realizar una identificación de activos para determinar qué activos proteger. El análisis de riesgos tiene cuatro objetivos:
Identificar los activos y su valor.
Identificar las vulnerabilidades y las amenazas.
Cuantificar la probabilidad y el impacto de las amenazas identificadas.
Equilibrar el impacto de las amenazas con el costo de las contramedidas.
Hay dos enfoques para el análisis de riesgos. Análisis de riesgos cuantitativo Un análisis cuantitativo asigna números al proceso de análisis de riesgos (Figura 1). El valor de un activo es el costo de reemplazo del activo. El valor de un activo también puede medirse por los ingresos obtenidos del uso del activo. El factor de exposición (EF) es un valor subjetivo expresado como porcentaje de las pérdidas de activos debidas a una amenaza particular. Si se produce una pérdida total, el EF equivale a 1,0 (100%). En el ejemplo cuantitativo, el servidor tiene un valor de activo de USD 15 000. Cuando el servidor falla, ocurre una pérdida total (el EF equivale a 1,0). El valor de activo de USD 15 000 multiplicado por el factor de exposición 1 da como resultado una única expectativa de pérdida de USD 15 000. La tasa de frecuencia anual (ARO) es la probabilidad de que una pérdida ocurra durante el año (también expresada como porcentaje). La ARO puede ser mayor que 100% si una pérdida ocurre más de una vez al año. El cálculo de la expectativa de pérdida anual (ALE) brinda a la gerencia cierta orientación sobre lo que debe gastar para proteger los activos. Análisis de riesgos cualitativo El análisis de riesgos cualitativo utiliza opiniones y situaciones. En la Figura 2 se presenta un ejemplo de la tabla que se usa en el análisis de riesgos cualitativo, que compara la probabilidad de una amenaza con su impacto. Por ejemplo, la amenaza de una falla del servidor puede ser probable, pero su impacto será mínimo. Un equipo evalúa cada amenaza a un activo y la compara con la tabla. El equipo clasifica los resultados y los utiliza como guía. Puede determinar la adopción de medidas solo para las amenazas de la zona roja. Los números utilizados en la tabla no se relacionan directamente con ningún aspecto del análisis. Por ejemplo, un impacto catastrófico de 4 no es mucho peor que un impacto marginal de 2. Este método es subjetivo por naturaleza.
Cybersecurity Essentials - ES 0118
10 7
Mitigación La mitigación implica la reducción de la gravedad de la pérdida o de la probabilidad de ocurrencia de la pérdida. Muchos controles técnicos mitigan el riesgo, incluidos los sistemas de autenticación, los permisos de archivos y los firewalls. La organización y los profesionales de seguridad deben comprender que la mitigación de riesgos puede tener tanto un impacto positivo como negativo en la organización. La buena mitigación de riesgos encuentra un equilibrio entre el impacto negativo de las contramedidas y los controles y el beneficio de la reducción del riesgo. Existen cuatro maneras comunes de reducir el riesgo:
Cybersecurity Essentials - ES 0118
10 8
Aceptar el riesgo y reevaluarlo periódicamente.
Reducir el riesgo mediante la implementación de controles.
Evitar el riesgo modificando completamente el enfoque.
Transferir el riesgo a terceros.
Una estrategia a corto plazo es aceptar el riesgo que necesita la creación de planes de contingencia para dicho riesgo. Las personas y las organizaciones deben aceptar el riesgo diariamente. Las metodologías modernas reducen el riesgo mediante el desarrollo incremental de software y la provisión de parches y actualizaciones periódicas para abordar las vulnerabilidades y los errores de configuración. Los servicios de subcontratación y la adquisición de seguros o contratos de mantenimiento son ejemplos de transferencia del riesgo. Contratar especialistas para realizar las tareas fundamentales a fin de reducir el riesgo puede ser una buena opción y producir mejores resultados con una menor inversión a largo plazo. Un buen plan de mitigación de riesgos puede incluir dos o más estrategias.
Estratificación La defensa en profundidad no proporcionará un blindaje cibernético impenetrable, pero ayudará a una organización a minimizar el riesgo manteniéndose un paso adelante de los ciberdelincuentes. Si hay únicamente una defensa vigente para proteger los datos y la información, los ciberdelincuentes solo deben sortear esa única defensa. Para garantizar la disponibilidad de los datos y la información, una organización debe elaborar distintos niveles de protección. Un enfoque estratificado proporciona la protección más integral. Si los ciberdelincuentes penetran un nivel, aún deben lidiar con varios niveles más, cada uno más complejo que el anterior. La estratificación es la creación de una barrera de múltiples defensas coordinadas para prevenir ataques. Por ejemplo, una organización puede almacenar sus documentos confidenciales en un servidor en un edificio rodeado por una cerca electrónica.
Cybersecurity Essentials - ES 0118
10 9
Restricción Limitar el acceso a los datos y la información reduce la posibilidad de una amenaza. Una organización debe restringir el acceso para que los usuarios solo tengan el nivel de acceso requerido para realizar su trabajo. Por ejemplo, las personas en el departamento de marketing no necesitan acceder a los registros de nómina para realizar sus tareas. Las soluciones basadas en la tecnología, como el uso de permisos de archivos, son una manera de limitar el acceso; una organización también debe implementar medidas procedimentales. Debe haber un procedimiento vigente que prohíba a un empleado eliminar los documentos confidenciales de las instalaciones.
Diversidad Si todos los niveles protegidos fueran iguales, no sería muy difícil que los ciberdelincuentes realicen un ataque exitoso. Por lo tanto, los niveles deben ser diferentes. Si los ciberdelincuentes penetran un nivel, la misma técnica no funcionará en los demás niveles. Infringir un nivel de seguridad no compromete todo el sistema. Una organización puede usar diferentes algoritmos de encriptación o sistemas de autenticación para proteger los datos en distintos estados.
Cybersecurity Essentials - ES 0118
11 0
Para alcanzar el objetivo de la diversidad, las organizaciones pueden utilizar productos de seguridad fabricados por empresas diferentes para la autenticación de varios factores. Por ejemplo, el servidor que contiene los documentos confidenciales se encuentra en una sala cerrada que requiere una tarjeta magnética de una empresa y la autenticación biométrica de otra empresa.
Ocultamiento El ocultamiento de información también puede proteger los datos y la información. Una organización no debe revelar ninguna información que los ciberdelincuentes puedan usar para descubrir qué versión de sistema operativo ejecuta un servidor o el tipo de equipos que usa. Por ejemplo, los mensajes de error no deben contener detalles que los ciberdelincuentes puedan usar para determinar qué vulnerabilidades están presentes. Ocultar ciertos tipos de información hace más difícil que los ciberdelincuentes ataquen un sistema.
Simplicidad La complejidad no necesariamente garantiza la seguridad. Si una organización implementa sistemas complejos difíciles de comprender y solucionar, pueden resultar contraproducentes. Si los empleados no comprenden cómo configurar correctamente una solución compleja, puede resultarles fácil a los ciberdelincuentes comprometer dichos sistemas. Para mantener la disponibilidad, una solución de seguridad debe ser simple internamente, pero compleja externamente.
Puntos de falla únicos Un punto de falla único es una operación crítica dentro de una organización. Otras operaciones pueden depender de éste y las fallas interrumpen su operación fundamental. Un punto de falla único puede ser una pieza especial de hardware, un proceso, una sección de datos específica o incluso una utilidad esencial. Los puntos de falla únicos son los enlaces débiles en la cadena que pueden causar una interrupción en las operaciones de la organización. Generalmente, la solución para un punto de falla único es modificar la operación crítica a fin de que no dependa de un solo elemento. La organización también puede desarrollar componentes redundantes en la operación crítica para controlar el proceso si uno de estos puntos falla.
Redundancia N+1 La redundancia N+1 garantiza la disponibilidad del sistema en caso de una falla de componentes. Los componentes (N) deben tener al menos un componente de respaldo (+1). Por ejemplo, un automóvil tiene cuatro neumáticos (N) y un neumático de repuesto en el baúl en caso de un reventón (+1). En un centro de datos, la redundancia N+1 significa que el diseño del sistema puede soportar la pérdida de un componente. La N se refiere a diferentes componentes que conforman el centro de datos, incluidos servidores, fuentes de alimentación, switches y routers. El +1 es el componente o sistema adicional en espera listo para utilizar si es necesario. Un ejemplo de redundancia N+1 en un centro de datos es un generador de energía que se conecta cuando ocurre algo con la fuente de alimentación principal. Aunque un sistema N+1 contenga equipos redundantes, no es un sistema totalmente redundante.
RAID Una matriz redundante de discos independientes (RAID) combina múltiples unidades de disco duro físicas en una única unidad lógica para proporcionar redundancia de datos y mejorar el rendimiento. La matriz redundante de discos independientes (RAID) toma datos normalmente almacenados en un disco duro y los extiende por varios discos. Si se pierde un disco, el usuario puede recuperar los datos de otros discos donde residen los datos.
Cybersecurity Essentials - ES 0118
11 1
La RAID además puede incrementar la velocidad de la recuperación de datos. El uso de varias unidades permite la rápida recuperación de datos solicitados en lugar de depender de un solo disco para realizar el trabajo. Una solución de RAID puede estar basada en hardware o software. Una solución basada en hardware requiere un controlador de hardware especializado en el sistema que contiene las unidades de RAID. Los siguientes términos describen cómo la RAID almacena los datos en los distintos discos:
Paridad: Detecta errores de datos.
Creación de bandas de datos: Escribe datos en varios discos.
Replicación de disco: Almacena los datos duplicados en una segunda unidad.
Hay varios niveles de RAID disponibles, como se muestra en la figura. Haga clic aquí para ver un tutorial del nivel de RAID que explica la tecnología de RAID.
Cybersecurity Essentials - ES 0118
11 2
Árbol de expansión La redundancia aumenta la disponibilidad de la infraestructura protegiendo la red de un punto de falla único, como un cable de red o un switch defectuosos. Cuando los diseñadores incorporan la redundancia física en una red, se producen bucles y tramas duplicadas. Esto trae consecuencias graves para las redes conmutadas. El protocolo de árbol de expansión (STP) resuelve estos problemas. La función básica del STP es evitar bucles en la red cuando los switches se interconectan a través de varias rutas. El STP garantiza que los enlaces físicos redundantes estén libres de bucles. Garantiza que solo haya una ruta lógica entre todos los destinos en la red. El STP bloquea intencionalmente las rutas redundantes que pueden generar un bucle.
Cybersecurity Essentials - ES 0118
11 3
El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red. Las rutas físicas aún existen para proporcionar redundancia, pero el STP deshabilita estas rutas para evitar que se generen bucles. Si un switch o cable de red falla, el STP recalcula las rutas y desbloquea los puertos necesarios para permitir que la ruta redundante se active. Haga clic en Reproducir en la figura para ver el STP cuando ocurre una falla:
La PC1 envía una transmisión a la red.
El enlace troncal entre el S2 y el S1 falla, lo que da como resultado una interrupción en la ruta original.
El S2 desbloquea el puerto que se había bloqueado anteriormente para Trunk2 y permite que el tráfico de difusión atraviese la ruta alternativa alrededor de la red, lo que permite que continúe la comunicación.
Si el enlace entre el S2 y el S1 tiene copia de respaldo, el STP bloquea el enlace entre el S2 y el S3.
Redundancia del router El gateway predeterminado generalmente es el router que proporciona acceso a los dispositivos al resto de la red o Internet. Si solo hay un router como gateway predeterminado, hay un punto de falla único. La organización puede elegir instalar un router de suspensión adicional.
Cybersecurity Essentials - ES 0118
11 4
En la Figura 1, el router de transmisión y el router de suspensión utilizan un protocolo de redundancia para determinar qué router debe tener un rol activo en el reenvío de tráfico. Cada router está configurado con una dirección IP física y una dirección IP de router virtual. Los terminales usan la dirección IP virtual como gateway predeterminado. El router de transmisión escucha el tráfico que se dirige a 192.0.2.100. El router de transmisión y el router de suspensión utilizan sus direcciones IP físicas para enviar mensajes periódicos. El objetivo de estos mensajes es asegurarse de que ambos sigan en línea y disponibles. Si el router de suspensión no recibe más estos mensajes periódicos del router de transmisión, el router de suspensión asume el rol de transmisión, como se muestra en la Figura 2. La capacidad que tiene una red para recuperarse dinámicamente de la falla de un dispositivo que funciona como gateway predeterminado se conoce como “redundancia de primer salto”.
Cybersecurity Essentials - ES 0118
11 5
Cybersecurity Essentials - ES 0118
11 6
Opciones de redundancia de router La siguiente lista define las opciones disponibles para la redundancia de router según el protocolo que define la comunicación entre los dispositivos de red:
Protocolo de router de reserva activa (HSRP): el HSRP proporciona alta disponibilidad de red mediante una redundancia de routing de primer salto. Un grupo de routers utiliza el HSRP para seleccionar un dispositivo activo y un dispositivo en espera. En un grupo de interfaces de dispositivos, el dispositivo activo es el dispositivo que enruta los paquetes; el dispositivo en espera es el dispositivo que toma el control cuando falla el dispositivo activo. La función del router de suspensión del HSRP es controlar el estado operativo del grupo de HSRP y asumir rápidamente la responsabilidad de reenvío de paquetes si falla el router activo.
Protocolo de redundancia de router virtual (VRRP): el router de VRRP ejecuta el VRRP junto con uno o más routers conectados a la LAN. En la configuración del VRRP, el router elegido es el router virtual maestro y los otros routers actúan como respaldo en caso de que falle el router virtual maestro.
Protocolo de equilibrio de carga de gateway (GLBP): el GLBP protege el tráfico de datos contra fallas del router o el circuito, como HSRP y VRRP, y permite el equilibrio de carga (también denominado uso compartido de carga) entre un grupo de routers redundantes.
Redundancia de la ubicación Una organización debe considerar la redundancia de la ubicación según sus necesidades. A continuación se describen tres formas de redundancia de la ubicación. Sincrónica
Sincroniza ambas ubicaciones en tiempo real.
Requiere el uso intensivo de ancho de banda.
Las ubicaciones deben estar juntas para reducir la latencia.
Replicación asíncrona
Sincronizada en tiempo casi real.
Requiere menos ancho de banda.
Los sitios pueden estar separados porque la latencia no representa un problema.
Replicación en un punto determinado
Actualiza la ubicación de los datos de copia de respaldo periódicamente.
La mayor parte del ancho de banda es conservadora porque no requiere una conexión constante.
El equilibrio correcto entre el costo y la disponibilidad determinará la opción adecuada para una organización.
Cybersecurity Essentials - ES 0118
11 7
Diseño de recuperabilidad La recuperabilidad son los métodos y las configuraciones utilizados para hacer que un sistema o una red sean tolerantes a las fallas. Por ejemplo, una red puede tener enlaces redundantes entre los switches que ejecutan el STP. Si bien el STP ofrece una ruta alternativa a través de la red en caso de que falle un enlace, es posible que el intercambio no sea inmediato si la configuración no es óptima. Los protocolos de routing también ofrecen recuperabilidad, pero el ajuste puede mejorar el intercambio de manera tal que los usuarios de la red no lo notarán. Los administradores deben investigar las configuraciones no predeterminadas en una red de prueba para ver si pueden mejorar los tiempos de recuperación de la red. El diseño robusto es más que solo añadir redundancia. Es fundamental comprender las necesidades empresariales de la organización e incorporar la redundancia para crear una red recuperable.
Recuperabilidad de la aplicación La recuperabilidad de la aplicación es la capacidad de la aplicación para reaccionar ante los problemas en uno de sus componentes mientras aún funcionan. El tiempo de inactividad se debe a las fallas ocasionadas por los errores de aplicación o a las fallas de la infraestructura. Un administrador eventualmente deberá cerrar las aplicaciones para colocar parches, actualizar las versiones o implementar nuevas características. El tiempo de inactividad también puede ser el resultado de la corrupción de los datos, las fallas de los equipos, los errores de las aplicaciones y los errores humanos. Muchas organizaciones intentan equilibrar el costo de lograr la recuperabilidad de la infraestructura de las aplicaciones con el costo de perder clientes o negocios debido a una falla de las aplicaciones. La alta disponibilidad de las aplicaciones es compleja y costosa. La figura muestra tres soluciones disponibles para abordar la recuperabilidad de las aplicaciones. A medida que aumenta el factor de disponibilidad de cada solución, también aumentan la complejidad y el costo.
Recuperabilidad del IOS El sistema operativo interfuncional (IOS) para los routers y switches de Cisco incluye una función de configuración de recuperabilidad. Permite una recuperación más rápida si alguien maliciosa o inintencionadamente reformatea la memoria flash o borra el archivo de configuración de inicio. La función mantiene una copia de funcionamiento segura del archivo de imagen del IOS del router y una copia del archivo de configuración en ejecución. El usuario no puede eliminar estos archivos seguros también conocidos como bootset primario. Los comandos que se muestran en la figura protegen el archivo de configuración en ejecución e imagen del IOS.
Cybersecurity Essentials - ES 0118
11 8
Preparación La respuesta ante los incidentes es el procedimiento que una organización sigue después de que ocurre un evento fuera del rango normal. Una violación de datos divulga información a un entorno poco confiable. Una violación de datos puede ocurrir como resultado de un acto accidental o intencional. Una violación de datos se produce cada vez que una persona no autorizada copia, transmite, mira, roba o accede a información confidencial. Cuando ocurre un incidente, la organización debe saber cómo responder. Una organización debe desarrollar un plan de respuesta ante los incidentes y constituir un equipo de respuesta ante los incidentes de seguridad informática (CSIRT) para administrar la respuesta. El equipo lleva a cabo las siguientes funciones:
Mantiene el plan de respuesta ante los incidentes.
Garantiza que sus miembros conozcan el plan.
Prueba el plan.
Obtiene la aprobación del plan por parte de la gerencia.
El CSIRT puede ser un grupo establecido dentro de la organización o uno ad hoc. El equipo sigue un conjunto de pasos predeterminados para asegurarse de que el enfoque sea uniforme y no saltearse ningún paso. Los CSIRT nacionales supervisan el manejo de incidentes de un país.
Detección y análisis La detección comienza cuando alguien detecta un incidente. Las organizaciones pueden adquirir los sistemas de detección más sofisticados; sin embargo, si los administradores no revisan los registros ni supervisan las alertas, los sistemas son inútiles. La detección adecuada incluye la forma en que se
Cybersecurity Essentials - ES 0118
11 9
produce el incidente, los datos involucrados y los sistemas implicados. La notificación de una violación se envía a la alta gerencia y los gerentes encargados de los datos y sistemas para que participen en la corrección y reparación. La detección y el análisis incluyen lo siguiente:
Alertas y notificaciones
Supervisión y seguimiento
El análisis de incidentes ayuda a identificar el origen, la medida, el impacto y los detalles de una violación de datos. Es posible que la organización deba decidir si debe convocar un equipo de expertos para realizar la investigación de informática forense.
Contención, erradicación y recuperación Los esfuerzos de contención incluyen las acciones inmediatas realizadas, por ejemplo, la desconexión de un sistema de la red para evitar una filtración de la información. Después de identificar la amenaza, la organización debe contenerla y erradicarla. Esto puede requerir tiempo de inactividad adicional para los sistemas. La etapa de recuperación incluye las acciones que una organización debe llevar a cabo para resolver la violación y restaurar los sistemas involucrados. Después de la corrección, la organización debe restaurar todos los sistemas a su estado original antes de la violación.
Seguimiento posterior a los incidentes Después de restablecer todas las operaciones al estado normal, la organización debe buscar la causa del incidente y responder las siguientes preguntas:
¿Qué acciones evitarán que vuelva a ocurrir el incidente?
¿Qué medidas preventivas deben reforzarse?
¿Cómo puede mejorar el control del sistema?
¿Cómo puede minimizar el tiempo de inactividad durante las fases de contención, erradicación y recuperación?
¿Cómo puede la administración minimizar el impacto en el negocio?
Revisar las lecciones aprendidas ayuda a la organización a prepararse mejor optimizando el plan de respuesta ante los incidentes.
Control de admisión de redes El propósito del control de admisión de redes (NAC) es permitir que los usuarios autorizados con sistemas compatibles accedan a la red. Un sistema compatible cumple todos los requisitos de las políticas de la organización. Por ejemplo, una PC portátil que forma parte de una red inalámbrica doméstica no puede conectarse remotamente a la red corporativa. El NAC evalúa un dispositivo entrante frente a las políticas de la red. El NAC también coloca en cuarentena los sistemas que no cumplen y administra su corrección. Un marco de trabajo del NAC puede utilizar la infraestructura de red existente y software de terceros para imponer el cumplimiento de las políticas de seguridad para todos los terminales. Alternativamente, un dispositivo de NAC controla el acceso a la red, evalúa el cumplimiento y aplica la política de seguridad. Las comprobaciones de los sistemas de NAC comunes incluyen: 1. Detección actualizada de virus.
Cybersecurity Essentials - ES 0118
12 0
2. Actualizaciones y parches de los sistemas operativos. 3. Aplicación de contraseñas complejas.
Sistemas de detección de intrusiones Los sistemas de detección de intrusiones (IDS) supervisan de forma pasiva el tráfico en la red. La figura muestra que un dispositivo habilitado para el IDS copia el flujo de tráfico y analiza el tráfico copiado en lugar de los paquetes realmente reenviados. Al trabajar sin conexión, se compara el flujo de tráfico capturado con firmas maliciosas conocidas de manera similar al software que verifica la existencia de un virus. Trabajar sin conexión significa varias cosas:
Los IDS trabajan pasivamente.
El dispositivo del IDS se encuentra físicamente en la red, por lo que el tráfico debe replicarse.
El tráfico de red no pasa por los IDS, a menos que esté replicado.
Pasivamente significa que los IDS supervisan e informan el tráfico. No adoptan ninguna medida. Esta es la definición de operar en modo promiscuo. La ventaja de operar con una copia del tráfico es que el IDS no afecta negativamente el flujo de paquetes del tráfico reenviado. La desventaja de operar con una copia del tráfico es que el IDS no puede evitar que los ataques maliciosos a un único paquete alcancen el objetivo antes de responder al ataque. Un IDS a menudo requiere la asistencia de otros dispositivos de red, como routers y firewalls, para responder a un ataque. Una mejor solución es utilizar un dispositivo que pueda detectar y detener inmediatamente un ataque. Un sistema de prevención de intrusiones (IPS) realiza esta función.
Cybersecurity Essentials - ES 0118
12 1
Sistemas de prevención de intrusiones Un IPS se basa en la tecnología del IDS. Sin embargo, un dispositivo del IPS opera en el modo en línea. Esto significa que todo el tráfico entrante y saliente debe pasar por éste para su procesamiento. Como se muestra en la figura, el IPS no permite que los paquetes ingresen en el lado confiable de la red, a menos que haya analizado los paquetes. Puede detectar y abordar inmediatamente un problema de red. Un IPS supervisa el tráfico de red. Analiza el contenido y la carga útil de los paquetes en busca de ataques integrados más sofisticados que puedan incluir datos maliciosos. Algunos sistemas utilizan una combinación de tecnologías de detección, entre ellas, detección de intrusiones basada en análisis de protocolos, firmas y perfiles. Este análisis más exhaustivo permite al IPS identificar, detener y bloquear ataques que pasarían a través de un dispositivo tradicional de firewall. Cuando un paquete ingresa a través de una interfaz en un IPS, la interfaz saliente o de confianza no recibe el paquete hasta que el IPS lo analiza. La ventaja de operar en el modo en línea es que el IPS puede evitar que los ataques a un único paquete alcancen el sistema objetivo. La desventaja es que un IPS mal configurado puede afectar negativamente el flujo de paquetes del tráfico reenviado. La diferencia más importante entre el IDS y el IPS es que el IPS responde inmediatamente y no permite el paso del tráfico malicioso, mientras que el IDS permite que el tráfico malicioso pase antes de abordar el problema.
Cybersecurity Essentials - ES 0118
12 2
NetFlow e IPFIX NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que atraviesan un router o switch multicapa de Cisco. NetFlow es el estándar para recopilar datos operativos de las redes. El grupo de trabajo de ingeniería de Internet (IETF) usa NetFlow (versión 9) de Cisco como base para la exportación de datos de flujo de IP (IPFIX). La IPFIX es un formato estándar de exportación de la información basada en routers sobre flujos de tráfico de red a los dispositivos de recopilación de datos. La IPFIX funciona en los routers y las aplicaciones de administración que admiten el protocolo. Los administradores de red pueden exportar la información de tráfico de red de un router y utilizar esta información para optimizar el rendimiento de la red. Las aplicaciones que admiten la IPFIX pueden mostrar estadísticas de los routers que admiten el estándar. La recopilación, el almacenamiento, el análisis y la información agregada proporcionada por los dispositivos que admiten la IPFIX ofrecen los siguientes beneficios:
Protegen la red de amenazas internas y externas.
Solucionan fallas en la red de manera rápida y precisa.
Analizan los flujos de red para planificar la capacidad.
Cybersecurity Essentials - ES 0118
12 3
Haga clic aquí para ver el video sobre cómo NetFlow de Cisco contribuye a la detección de amenazas de seguridad.
Inteligencia de amenazas avanzada La inteligencia de amenazas avanzada puede ayudar a las organizaciones a detectar ataques antes o durante una de las etapas de ciberataque con la información correcta. Las organizaciones pueden detectar los indicadores de ataque en los informes de los sistemas y registros para las siguientes alertas:
Bloqueos de cuentas
Todos los eventos de la base de datos
Creación y eliminación de activos
Modificación de la configuración de los sistemas
La inteligencia de amenazas avanzada es un tipo de evento o dato de perfil que puede contribuir al monitoreo y la respuesta de la seguridad. A medida que los ciberdelincuentes se vuelven más sofisticados, es importante comprender las maniobras de malware. Con una visibilidad mejorada de las metodologías de ataque, una organización puede responder más rápidamente a los incidentes.
Cybersecurity Essentials - ES 0118
12 4
Tipos de desastres Es fundamental mantener la organización en funcionamiento cuando se produce un desastre. Un desastre incluye cualquier evento de causa natural o humana que daña los activos o la propiedad y perjudica la capacidad de la organización para seguir operando. Desastres naturales Los desastres naturales varían según la ubicación. Algunos de estos eventos son difíciles de predecir. Los desastres naturales se dividen en las siguientes categorías:
Los desastres geológicos incluyen terremotos, derrumbamientos, erupciones volcánicas y tsunamis.
Los desastres meteorológicos incluyen huracanes, tornados, tormentas de nieve, rayos y granizo.
Los desastres sanitarios incluyen enfermedades generalizadas, cuarentenas y pandemias.
Cybersecurity Essentials - ES 0118
12 5
Los desastres variados incluyen incendios, inundaciones, tormentas solares y avalanchas.
Desastres provocados por el hombre Los desastres provocados por el hombre implican personas u organizaciones y se dividen en las siguientes categorías:
Los eventos laborales incluyen huelgas, paros y recesiones.
Los eventos políticos incluyen vandalismo, bloqueos, protestas, sabotaje, terrorismo y guerra.
Los eventos materiales incluyen derrames e incendios peligrosos.
Las interrupciones de los servicios incluyen cortes de electricidad, interrupciones en las comunicaciones, escasez de combustible y lluvia radiactiva.
Haga clic aquí para ver fotos satelitales de Japón antes y después del terremoto y tsunami de 2011.
Plan de recuperación tras un desastre Una organización pone su plan de recuperación tras un desastre (DRP) en acción mientras el desastre está en curso y los empleados intentan proteger los sistemas críticos en línea. El DRP incluye actividades que la organización lleva a cabo para evaluar, recuperar, reparar y restaurar las instalaciones y los activos dañados. Para crear el DRP, responda las siguientes preguntas:
¿Quién es responsable de este proceso?
¿Qué necesita la persona para realizar el proceso?
¿Dónde realiza la persona el proceso?
¿Cuál es el proceso?
¿Por qué es importante el proceso?
Un DRP debe identificar qué procesos de la organización son más importantes. Durante el proceso de recuperación, la organización restaura primero sus sistemas críticos.
Implementación de controles de recuperación tras un desastre Los controles de recuperación tras un desastre minimizan los efectos de un desastre para garantizar que los recursos y procesos empresariales puedan reanudar la operación. Existen tres tipos de controles de recuperación tras un desastre de TI:
Las medidas preventivas incluyen controles que impiden que ocurra un desastre. Estas medidas buscan identificar los riesgos.
Las medidas de detección incluyen controles que detectan eventos no deseados. Estas medidas descubren nuevas posibles amenazas.
Las medidas correctivas incluyen controles que restauran el sistema después de un evento o desastre.
Cybersecurity Essentials - ES 0118
12 6
Haga clic en los controles en la figura para ver ejemplos de cada uno.
Necesidad de la continuidad de los negocios La continuidad de los negocios es uno de los conceptos más importantes de la seguridad informática. Por más que las empresas hagan lo que esté a su alcance para evitar desastres y pérdidas de datos, es imposible predecir cada escenario posible. Es importante para las empresas tener planes vigentes que garanticen la continuidad de los negocios independientemente de lo que pueda ocurrir. Un plan de continuidad empresarial es un plan más amplio que el DRP, dado que incluye el envío de sistemas críticos a otra ubicación mientras la reparación de la instalación original está en curso. El personal continúa realizando todos los procesos empresariales de manera alternativa hasta que se reanudan las operaciones normales. La disponibilidad garantiza que los recursos necesarios para mantener vigente una organización sigan estando disponibles para el personal y los sistemas que dependen de ellos.
Consideraciones de la continuidad de los negocios Los controles de continuidad de los negocios son mucho más que una simple copia de respaldo de los datos y redundancia del hardware. Las organizaciones necesitan empleados para configurar y operar correctamente los sistemas. Los datos pueden ser irrelevantes hasta que proporcionan información. Una organización debe tener en cuenta lo siguiente:
La colocación de las personas adecuadas en los lugares correctos.
La configuración de la documentación.
El establecimiento de canales de comunicación alternativos de voz y datos.
El suministro eléctrico.
La identificación de todas las dependencias para las aplicaciones y los procesos para su correcta comprensión.
La comprensión de cómo realizar las tareas automatizadas manualmente.
Mejores prácticas de la continuidad de los negocios Como se muestra en la figura, el Instituto Nacional de Normas y Tecnología (NIST) desarrolló las siguientes mejores prácticas: 1. Escribir una política que brinde orientación para desarrollar un plan de continuidad empresarial y asigne roles para realizar las tareas. 2. Identificar los procesos y sistemas críticos y darles prioridad según sea necesario. 3. Identificar vulnerabilidades, amenazas y calcular riesgos. 4. Identificar e implementar controles y contramedidas para reducir el riesgo. 5. Elaborar métodos para recuperar rápidamente los sistemas críticos. 6. Escribir procedimientos para mantener la organización en funcionamiento durante un estado caótico. 7. Probar el plan.
Cybersecurity Essentials - ES 0118
12 7
8. Actualizar el plan regularmente.
Resumen Capítulo 6: El reino de los cinco nueves Este capítulo comienza explicando el concepto de los cinco nueves, un estándar de alta disponibilidad que permite 5,26 minutos de tiempo de inactividad anuales. El capítulo analiza los diferentes enfoques que las organizaciones adoptan para garantizar la disponibilidad del sistema. Un diseño sólido del sistema incluye la incorporación de medidas que proporcionan redundancia y recuperabilidad para que una organización pueda recuperarse rápidamente y continuar operando. El capítulo además analiza cómo una organización responde a un incidente estableciendo los procedimientos para seguir tras la ocurrencia de un evento. El capítulo concluye con un análisis de la recuperación tras un desastre y la planificación de la continuidad de los negocios.
Cybersecurity Essentials - ES 0118
12 8
Capítulo 7: Protección del reino La protección del reino es un proceso continuo para proteger la infraestructura de red de una organización. Requiere que las personas permanezcan constantemente alerta a las amenazas contra el reino y adopten medidas para evitar cualquier riesgo. Este capítulo analiza las tecnologías, los procesos y los procedimientos que los paladines cibernéticos utilizan para proteger los sistemas, dispositivos y datos que conforman la infraestructura de red. Una red es apenas tan segura como su enlace más débil. Es importante proteger los terminales que residen en la red. La seguridad de los terminales incluye la protección de los dispositivos de infraestructura de red en la red de área local (LAN) y los sistemas finales, como las estaciones de trabajo, los servidores, los teléfonos IP y los puntos de acceso. La protección de los dispositivos es una tarea fundamental para la seguridad de la red. Implica la implementación de métodos comprobados de protección física de los dispositivos de red. Algunos de estos métodos implican el acceso administrativo seguro, el mantenimiento de las contraseñas y la implementación de comunicaciones seguras.
Seguridad del sistema operativo El sistema operativo desempeña un rol importante en la operación de un sistema informático y es el objetivo de muchos ataques. La seguridad del sistema operativo tiene un efecto en cascada en la seguridad general de un sistema informático. Un administrador protege un sistema operativo mediante la modificación de la configuración predeterminada para que sea más seguro frente a las amenazas externas. Este proceso incluye la eliminación de servicios y programas innecesarios. Otro requisito crítico de la protección de los sistemas operativos es la aplicación de actualizaciones y parches de seguridad. Las actualizaciones y los parches de seguridad son correcciones que las empresas lanzan en su esfuerzo por mitigar las vulnerabilidades y corregir las fallas de sus productos. Una organización debe tener un enfoque sistemático vigente para abordar las actualizaciones de sistemas mediante:
El establecimiento de procedimientos para monitorear la información relacionada con la seguridad.
La evaluación de las actualizaciones respecto de su aplicabilidad.
La planificación de la instalación de actualizaciones y parches en las aplicaciones.
La instalación de actualizaciones mediante un plan documentado.
Otro requisito fundamental para proteger los sistemas operativos es identificar posibles vulnerabilidades. Esto puede lograrse mediante el establecimiento de una línea de base. Establecer una línea de base permite al administrador hacer una comparación de cómo funciona un sistema frente a las expectativas de la línea de base. El analizador de seguridad de la línea de base de Microsoft (MBSA) evalúa los errores de configuración y las actualizaciones de seguridad que faltan en Microsoft Windows. El MBSA comprueba las contraseñas en blanco, simples o inexistentes, la configuración del firewall, el estado de las cuentas de usuario temporal, los detalles de la cuenta de administrador, la auditoría de eventos de seguridad, los servicios innecesarios, los intercambios de red y las configuraciones de registros. Después de reforzar el sistema operativo, el administrador crea políticas y procedimientos para mantener un alto nivel de seguridad.
Cybersecurity Essentials - ES 0118
12 9
Protección contra malware El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y adware. Todos invaden la privacidad, roban información, dañan el sistema o eliminan y corrompen datos. Es importante proteger las computadoras y los dispositivos móviles usando software de antimalware de confianza. Los siguientes tipos de software de antimalware se encuentran disponibles:
Protección antivirus: El programa monitorea continuamente en busca de virus. Cuando detecta un virus, el programa advierte al usuario e intenta poner en cuarentena o eliminar el virus, como se muestra en la Figura 1.
Protección contra adware: El programa busca continuamente programas que muestren anuncios publicitarios en la computadora.
Protección contra la suplantación de identidad: El programa bloquea las direcciones IP de sitios web conocidos que realizan la suplantación de identidad y avisa al usuario acerca de los sitios sospechosos.
Protección contra spyware: El programa busca registradores de teclado y otro tipo de spyware.
Fuentes confiables y no confiables: el programa advierte al usuario sobre programas inseguros que intentan instalarse o sitios web inseguros antes de que un usuario los visite.
Es posible que deban utilizarse varios programas distintos y múltiples análisis para eliminar todo el software malicioso por completo. Ejecute solo un programa de protección contra malware a la vez. Varias organizaciones con experiencia en seguridad, como McAfee, Symantec y Kaspersky, ofrecen protección contra malware integral para computadoras y dispositivos móviles. Tenga cuidado con los productos antivirus falsos maliciosos que puedan aparecer mientras navega por Internet. La mayoría de estos productos antivirus falsos muestra un anuncio o un elemento emergente que luce como un mensaje de advertencia real de Windows, como se muestra en la Figura 2. Usualmente indican que la computadora está siendo infectada por malware e instan al usuario a eliminarlo. Al hacer clic en cualquier lugar dentro de la ventana, comienza la descarga e instalación del malware.
Cybersecurity Essentials - ES 0118
13 0
El software no aprobado o indebido no es solo el software instalado involuntariamente en una computadora. También puede provenir de usuarios que quisieron instalarlo. Puede que no sea malicioso, pero aún puede infringir la política de seguridad. Este tipo de sistema indebido puede interferir en el software de la empresa o los servicios de red. Los usuarios deben eliminar el software no autorizado inmediatamente.
Administración de parches Los parches son actualizaciones de códigos que proporcionan los fabricantes para evitar que un virus o gusano recientemente descubierto logre atacar con éxito. Periódicamente, los fabricantes combinan parches y actualizaciones en una aplicación de actualización integral denominada paquete de servicios. Numerosos ataques de virus devastadores podrían haber sido mucho menos graves si más usuarios hubieran descargado e instalado el último paquete de servicios. Windows verifica sistemáticamente el sitio web de Windows Update en busca de actualizaciones de alta prioridad que ayuden a proteger una computadora de las amenazas de seguridad más recientes. Estas actualizaciones incluyen actualizaciones de seguridad, actualizaciones críticas y paquetes de servicios. Según la configuración seleccionada, Windows descarga e instala automáticamente todas las actualizaciones de alta prioridad que la computadora necesita o notifica al usuario que dichas actualizaciones están disponibles. Es posible que algunas organizaciones quieran probar un parche antes de implementarlo en la organización. La organización utilizará un servicio para administrar los parches localmente en lugar de usar el servicio de actualización en línea del proveedor. Los beneficios de utilizar un servicio de actualización de parches automatizado incluyen lo siguiente:
Los administradores pueden aprobar o rechazar las actualizaciones.
Los administradores pueden imponer la actualización de los sistemas para una fecha específica.
Los administradores pueden obtener informes sobre la actualización necesaria para cada sistema.
No es necesario conectar todas las computadoras al servicio del proveedor para descargar parches; un sistema obtiene la actualización de un servidor local.
Los usuarios no pueden desactivar ni eludir las actualizaciones.
El servicio de parches automatizado proporciona a los administradores una configuración más controlada.
Firewalls basados en el host y sistemas de detección de intrusiones Una solución basada en el host es una aplicación de software que se ejecuta en una computadora host local para protegerla. El software funciona con el sistema operativo para prevenir ataques. Firewalls basados en el host Un firewall de software es un programa que se ejecuta en una computadora para permitir o impedir el tráfico entre la computadora y otras computadoras conectadas. El firewall de software aplica un conjunto de reglas a las transmisiones de datos mediante la inspección y el filtrado de paquetes de datos. El firewall de Windows es un ejemplo de firewall de software. El sistema operativo Windows lo instala de manera predeterminada en la instalación. El usuario puede controlar el tipo de datos enviados hacia y desde la computadora abriendo o bloqueando los puertos seleccionados. Los firewalls bloquean las conexiones de red entrantes y salientes, a menos que se definan excepciones para abrir y cerrar los puertos que necesita un programa. En la Figura 1, el usuario selecciona Reglas de entrada para configurar los tipos de tráfico permitidos en el sistema. Configurar las reglas de entrada ayudará a proteger el sistema contra el tráfico no deseado.
Cybersecurity Essentials - ES 0118
13 1
Sistemas de detección de intrusiones basado en el host Un sistema de detección de intrusiones basado en el host (HIDS) es un software que se ejecuta en una computadora host para monitorear la actividad sospechosa. Cada servidor o sistema de escritorio que exige protección debe contar con el software instalado como se muestra en la Figura 2. El HIDS monitorea las llamadas del sistema y el acceso al sistema de archivos para asegurarse de que las solicitudes no sean el resultado de actividades maliciosas. También controla los parámetros de registro del sistema. El registro conserva la información de la configuración de la computadora. El HIDS almacena todos los datos de registro localmente. El rendimiento del sistema puede verse afectado debido a su uso intensivo de los recursos. Un sistema de detección de intrusiones basado en el host no puede supervisar el tráfico de red que no alcanza el sistema host, pero puede monitorear los procesos del sistema crítico y el sistema operativo específicos del host.
Comunicaciones seguras Al conectarse a la red local y compartir archivos, la comunicación entre las computadoras permanece dentro de la red. Los datos permanecen seguros porque están fuera de otras redes e Internet. Para comunicar y compartir recursos por una red que no es segura, los usuarios emplean una red privada virtual (VPN). Una VPN es una red privada que conecta sitios o usuarios remotos a través de una red pública, como Internet. El tipo más común de VPN accede a una red privada corporativa. La VPN utiliza conexiones seguras dedicadas enrutadas a través de Internet desde la red privada corporativa hasta el usuario remoto. Al conectarse a la red privada corporativa, los usuarios se convierten en parte de dicha red y tienen acceso a todos los servicios y recursos, como si estuvieran físicamente conectados a la LAN corporativa. Los usuarios de acceso remoto deben tener un cliente de VPN instalado en sus computadoras para establecer una conexión segura con la red privada corporativa. El software de cliente de VPN cifra los datos antes de enviarlos al gateway de VPN de la red privada corporativa a través de Internet. Los gateways de VPN establecen, administran y controlan las conexiones de VPN, también denominadas túneles de VPN. Los sistemas operativos incluyen un cliente de VPN que el usuario configura para una conexión de VPN.
WEP Uno de los componentes más importantes de la informática moderna son los dispositivos móviles. La mayoría de los dispositivos presentes hoy en día en la red son PC portátiles, tablets, smartphones y otros dispositivos inalámbricos. Los dispositivos móviles transmiten datos mediante señales de radio que cualquier dispositivo con una antena compatible puede recibir. Por este motivo, la industria informática ha desarrollado un conjunto de dispositivos, productos y estándares de seguridad inalámbrica o móvil. Estos estándares encriptan la información transmitida a través de ondas de radio por los dispositivos móviles. La privacidad equivalente por cable (WEP) es uno de los primeros y más utilizados estándares de seguridad Wi-Fi. El estándar de WEP brinda protecciones de encriptación y autenticación. Los estándares de WEP son obsoletos, pero muchos dispositivos aún admiten la WEP para la compatibilidad retrospectiva. El estándar de WEP se convirtió en un estándar de seguridad Wi-Fi en 1999 cuando las comunicaciones inalámbricas comenzaban a hacerse populares. A pesar de las revisiones al estándar y el incremento del tamaño de la clave, la WEP sufrió numerosas debilidades de seguridad. Los ciberdelincuentes podían descifrar las contraseñas de WEP en minutos con el software gratuito disponible. Pese a las mejoras, la WEP sigue siendo muy vulnerable y los usuarios deben actualizar los sistemas que dependen de la WEP.
WPA/WPA2 La siguiente mejora importante a la seguridad inalámbrica fue la introducción del WPA y WPA2. El acceso protegido a Wi-Fi (WPA) fue la respuesta del sector informático a las debilidades del estándar de WEP. La configuración más común del WPA es WPA-PSK (clave precompartida). Las claves utilizadas por el WPA
Cybersecurity Essentials - ES 0118
13 2
son de 256 bits, un aumento significativo respecto de las claves de 64 y 128 bits empleadas por el sistema de WEP. El estándar de WPA proporcionó varias mejoras de seguridad. Primero, el WPA proporcionó controles de integridad de mensajes (MIC) que podían detectar si un atacante había capturado y alterado los datos que pasaban entre el punto de acceso inalámbrico y un cliente inalámbrico. Otro avance de la seguridad de las claves fue el protocolo de integridad de la clave temporal (TKIP). El estándar de TKIP mejoró la capacidad para manejar, proteger y modificar las claves de cifrado. La norma de cifrado avanzado (AES) reemplazó el TKIP para una mejor protección de la administración y cifrado de claves. El WPA, como su predecesor WEP, incluyó varias vulnerabilidades ampliamente reconocidas. Como resultado, el lanzamiento del estándar de acceso protegido a Wi-Fi II (WPA2) tuvo lugar en el año 2006. Una de las mejoras más importantes en la seguridad del WPA al WPA2 fue el uso obligatorio de los algoritmos de la AES y la introducción del modo de cifrado inverso con protocolo de código de autenticación de mensajes encadenados en bloques (CCM) como reemplazo del TKIP.
Autenticación mutua Una de las grandes vulnerabilidades de las redes inalámbricas es el uso de puntos de acceso falsos. Los puntos de acceso son dispositivos que se comunican con los dispositivos inalámbricos y se conectan a la red cableada. Todo dispositivo que tenga un transmisor inalámbrico y una interfaz cableada a una red pueden actuar potencialmente como puntos de acceso no autorizados o falsos. El punto de acceso falso puede imitar un punto de acceso autorizado. El resultado es que los dispositivos inalámbricos de la red inalámbrica se comunican con el punto de acceso falso en lugar del punto de acceso autorizado. El impostor puede recibir solicitudes de conexión, copiar los datos de la solicitud y transmitir los datos al punto de acceso a la red autorizado. Este tipo de ataque de intermediarios es muy difícil de detectar y puede generar el robo de las credenciales de inicio de sesión y los datos transmitidos. Para evitar los puntos de acceso falsos, el sector informático desarrolló la autenticación mutua. La autenticación mutua, también llamada autenticación de dos vías, es un proceso o una tecnología donde ambas entidades en un enlace de comunicación se autentican unas a otras. En un entorno de red inalámbrica, el cliente autentica el punto de acceso y el punto de acceso autentica el cliente. Esta mejora permitió a los clientes detectar puntos de acceso falsos antes de conectarse al dispositivo no autorizado.
Cybersecurity Essentials - ES 0118
13 3
Control de acceso a los archivos Los permisos son las reglas configuradas para limitar el acceso a una carpeta o un archivo a una persona o un grupo de usuarios. La figura enumera los permisos que están disponibles para archivos y carpetas. Principio de privilegios mínimos Debe limitarse el acceso de los usuarios únicamente a los recursos que necesitan de un sistema informático o una red. Por ejemplo, no deberían poder acceder a todos los archivos en un servidor si solo necesitan acceso a una carpeta. Si bien puede resultar más sencillo permitir el acceso de los usuarios a toda la unidad, es más seguro limitar el acceso solo a la carpeta que necesitan para realizar su trabajo. Esto se conoce como principio de privilegios mínimos. Limitar el acceso a los recursos también permite evitar el acceso de programas malintencionados a dichos recursos en caso de que se infecte la computadora del usuario. Restricción de los permisos de usuario Si un administrador deniega los permisos a un intercambio de red para una persona o un grupo, esta denegación anula cualquier otra configuración de permisos. Por ejemplo, si un administrador le niega el permiso de acceso a un intercambio de red a una persona, el usuario no podrá acceder a este intercambio aunque sea el administrador o forme parte del grupo de administradores. La política de seguridad local debe describir los recursos a los que puede acceder cada usuario y cada grupo y el tipo de acceso para cada uno. Cuando un usuario cambia los permisos de una carpeta, tiene la opción de aplicar los mismos permisos a todas las subcarpetas. Esto se conoce como propagación de permisos. La propagación de permisos es una forma sencilla de aplicar permisos a muchos archivos y carpetas rápidamente. Una vez que se establecen los permisos de la carpeta principal, las carpetas y los archivos que se crean dentro de ésta heredan sus permisos. Además, la ubicación de los datos y la acción realizada en los datos determinan la propagación de los permisos:
Cybersecurity Essentials - ES 0118
13 4
Los datos que se transmiten al mismo volumen mantienen los permisos originales.
Los datos que se copian en el mismo volumen heredan los nuevos permisos.
Los datos que se transfieren a otro volumen heredan los nuevos permisos.
Los datos que se copian en otro volumen heredan los nuevos permisos.
Encriptación de archivos La encriptación es una herramienta que se usa para proteger datos. La encriptación transforma los datos con un algoritmo complicado para que no puedan leerse. Una clave especial transforma la información ilegible en información legible. Los programas de software cifran archivos, carpetas e incluso unidades enteras. El sistema de cifrado de archivos (EFS) es una característica de Windows que permite cifrar datos. La implementación de Windows del EFS se conecta directamente con la cuenta de un usuario específico. Solo el usuario que cifró los datos podrá acceder a las carpetas o los archivos cifrados. Un usuario también puede elegir cifrar una unidad de disco duro completa en Windows con una función denominada BitLocker. Para utilizar BitLocker, se debe contar con dos volúmenes como mínimo en un disco duro. Antes de utilizar BitLocker, el usuario debe habilitar el módulo de plataforma confiable (TPM) en el BIOS. El TPM es un chip especializado que se instala en la placa madre. El TPM almacena información específica del sistema host, como claves de cifrado, certificados digitales y contraseñas. Las aplicaciones, como BitLocker, que utilizan cifrado pueden aprovechar el chip del TPM. Haga clic en Administración del TPM para ver los detalles del TPM, como se muestra en la figura. BitLocker To Go cifra unidades extraíbles. BitLocker To Go no utiliza un chip del TPM, pero aún proporciona cifrado para datos y requiere una contraseña.
Sistema y copias de respaldo de datos Una organización puede perder datos si los ciberdelincuentes los roban, el equipo falla o se produce un desastre. Por este motivo, es importante realizar periódicamente copias de respaldo de datos. Las copias de respaldo de datos almacenan una copia de la información de una computadora en medios de copia de respaldo extraíbles. El operador almacena los medios de copia de respaldo en un lugar seguro. La realización de copias de respaldo de datos es uno de los métodos más eficaces para evitar la pérdida de estos. Si el hardware de la computadora falla, el usuario puede restaurar los datos de la copia de respaldo una vez que el sistema sea funcional.
Cybersecurity Essentials - ES 0118
13 5
La política de seguridad de la organización debe incluir copias de respaldo de datos. Los usuarios deben realizar copias de respaldo de datos con regularidad. Las copias de respaldo de datos suelen almacenarse externamente para proteger los medios de copia de respaldo en caso de que ocurra algo en la instalación principal. Las siguientes son algunas consideraciones para las copias de respaldo de datos:
Frecuencia: La realización de copias de respaldo puede llevar mucho tiempo. En ocasiones, es más sencillo realizar una copia de respaldo completa mensual o semanalmente y luego realizar copias de respaldo parciales de los datos que se hayan modificado desde la última copia de respaldo completa. No obstante, tener muchas copias de respaldo parciales incrementa el tiempo necesario para restaurar los datos.
Almacenamiento: Para mayor seguridad, las copias de respaldo se deben trasladar a una ubicación de almacenamiento externa diariamente, semanalmente o mensualmente, según lo exija la política de seguridad.
Seguridad: proteja las copias de respaldo con contraseñas. El operador debe ingresar la contraseña antes de restaurar los datos de los medios de copia de respaldo.
Validación: Siempre deben validarse las copias de respaldo para garantizar la integridad de los datos.
Bloqueo y filtración de contenido El software de control de contenido restringe el contenido al que un usuario puede acceder mediante un navegador web a través de Internet. El software de control de contenido puede bloquear los sitios que contienen ciertos tipos de materiales, como pornografía o contenido político o religioso controversial. Un padre puede implementar el software de control de contenido en la computadora utilizada por un niño. Las bibliotecas y las escuelas también implementan el software para evitar el acceso a contenido considerado censurable. Un administrador puede implementar los siguientes tipos de filtros:
Filtros basados en el navegador mediante una extensión de navegador de terceros.
Filtros de correo electrónico mediante un filtro basado en el servidor o cliente.
Filtros del lado del cliente instalados en una computadora específica.
Filtros de contenido basados en el router que bloquean el ingreso de tráfico en la red.
Filtros de contenido basados en dispositivos similares a los basados en el router.
Filtros de contenido basados en la nube.
Los motores de búsqueda, como Google, ofrecen la opción de activar un filtro de seguridad para excluir los enlaces inadecuados de los resultados de la búsqueda. Haga clic aquí para ver una comparación de los proveedores de software de control de contenido.
Congelamiento y clonación de discos Hay muchas aplicaciones de terceros disponibles para restaurar un sistema al estado predeterminado. Esto permite que el administrador proteja el sistema operativo y los archivos de configuración de un sistema.
Cybersecurity Essentials - ES 0118
13 6
La clonación de discos copia el contenido del disco duro de la computadora en un archivo de imagen. Por ejemplo, un administrador crea las particiones requeridas en un sistema, formatea la partición y luego instala el sistema operativo. Instala todo el software de aplicación requerido y configura todo el hardware. El administrador utiliza el software de clonación de discos para crear el archivo de imagen. El administrador puede utilizar la imagen clonada de la siguiente manera:
Para limpiar automáticamente un sistema y restaurar la imagen principal limpia.
Para implementar nuevas computadoras dentro de la organización.
Para proporcionar una copia de respaldo del sistema completa.
Haga clic aquí para ver una comparación del software de clonación de discos. La congelación bloquea la partición de la unidad de disco duro. Cuando un usuario reinicia un sistema, el sistema se revierte a la configuración congelada. El sistema no guarda ningún cambio del usuario, por lo que cualquier aplicación instalada o archivo guardado se pierden cuando el sistema se reinicia. Si el administrador necesita cambiar la configuración del sistema, primero debe reanudar la partición protegida desactivando la congelación. Después de realizar los cambios, debe volver a activar el programa. El administrador puede configurar la congelación para que se reinicie después de que un usuario cierra sesión, después del apagado tras un período de inactividad o en un horario programado. Estos productos no ofrecen protección en tiempo real. Un sistema sigue siendo vulnerable hasta que el usuario o un evento programado reinicien el sistema. Sin embargo, un sistema infectado con código malicioso obtiene un nuevo comienzo ni bien se reinicia el sistema.
Cerraduras y cables de seguridad Existen varios métodos para proteger físicamente los equipos informáticos:
Utilizar seguros de cables en los equipos, como se muestra en la Figura 1.
Mantener cerradas las salas de telecomunicaciones.
Utilizar jaulas de seguridad alrededor de los equipos.
Muchos dispositivos portátiles y monitores de computadoras costosos tienen incorporada una ranura de seguridad de acero especial para utilizar junto con los seguros de cables. El tipo más común de cerradura de puerta es la entrada con cerradura con llave estándar. No se cierra automáticamente al cerrar la puerta. Además, una persona puede calzar una tarjeta de plástico delgada, como una tarjeta de crédito, entre la cerradura y el marco de la puerta para forzar su apertura. Las cerraduras de las puertas en edificios comerciales son diferentes de las cerraduras de las puertas residenciales. Para mayor seguridad, una cerradura con pestillo proporciona seguridad adicional. Aunque cualquier cerradura con llave presenta una vulnerabilidad si se pierden, roban o duplican las llaves. Una cerradura cifrada, como se muestra en la Figura 2, utiliza botones que un usuario presiona conforme a una secuencia determinada para abrir la puerta. Es posible programar una cerradura cifrada. Esto significa que el código de un usuario solo funcionará durante determinados días o cierto tiempo. Por ejemplo, una cerradura cifrada puede permitir que Bob acceda únicamente a la sala de servidores entre las 7 a. m. y las 6 p. m. de lunes a viernes. La cerradura cifrada también puede mantener un registro de cuándo se abre la puerta y el código utilizado para abrirla.
Temporizadores de cierre de sesión Un empleado se levanta y deja su computadora para tomar un descanso. Si el empleado no adopta ninguna medida para proteger su estación de trabajo, cualquier información en el sistema es vulnerable
Cybersecurity Essentials - ES 0118
13 7
ante un usuario no autorizado. Una organización puede adoptar las siguientes medidas para impedir el acceso no autorizado: Tiempo de espera de inactividad y bloqueo de pantalla Los empleados pueden o no cerrar sesión de sus computadoras cuando dejan el lugar de trabajo. Por lo tanto, es una de las mejores prácticas de seguridad configurar un temporizador de inactividad que desactive automáticamente al usuario y bloquee la pantalla después de un período determinado. El usuario debe volver a iniciar sesión para desbloquear la pantalla. Horario de inicio de sesión En algunas situaciones, una organización puede desear que los empleados inicien sesión durante horas específicas, como de 7 a. m. a 6 p. m. El sistema bloquea los inicios de sesión en el horario fuera de las horas de inicio de sesión permitidas.
Seguimiento por GPS El sistema de posicionamiento global (GPS) utiliza satélites y computadoras para determinar la ubicación de un dispositivo. La tecnología del GPS es una característica estándar en los smartphones que proporciona seguimiento de la posición en tiempo real. El seguimiento por GPS puede identificar una ubicación en el rango de 100 metros. Esta tecnología está disponible para seguir a los hijos, los adultos mayores, las mascotas y los vehículos. Utilizar el GPS para localizar un teléfono celular sin el permiso del usuario es una invasión a la privacidad y es ilegal. Muchas aplicaciones de telefonía celular utilizan el seguimiento del GPS para rastrear la ubicación de un teléfono. Por ejemplo, Facebook permite a los usuarios registrar una ubicación, que es visible para las personas en sus redes.
Inventario y etiquetas de RFID La identificación por radiofrecuencia (RFID) utiliza ondas de radio para identificar y rastrear objetos. Los sistemas de inventario de RFID usan etiquetas adjuntas a todos los elementos que una organización desea rastrear. Las etiquetas contienen un circuito integrado que se conecta a una antena. Las etiquetas de RFID son pequeñas y requieren muy poca energía, por lo que no necesitan batería para almacenar información para intercambiar con un lector. La RFID puede ayudar a automatizar el seguimiento de los activos o bloquear, desbloquear o configurar inalámbricamente los dispositivos electrónicos. Los sistemas de RFID operan dentro de distintas frecuencias. Los sistemas de baja frecuencia tienen un rango de lectura más corto y tasas de lectura de datos más bajas, pero no son tan sensibles a las interferencias de las ondas de radio ocasionadas por los líquidos y metales presentes. Las frecuencias más altas tienen una velocidad de transferencia de datos más rápida y mayores rangos de lectura, pero son más sensibles a las interferencias de las ondas de radio.
Administración del acceso remoto El acceso remoto se refiere a cualquier combinación de hardware y software que permite a los usuarios acceder a una red interna local de manera remota. Con el sistema operativo Windows, los técnicos pueden usar el asistente remoto y el escritorio remoto para reparar y actualizar las computadoras. El escritorio remoto, como se muestra en la figura, permite a los técnicos ver y controlar una computadora desde una ubicación remota. El asistente remoto permite a los técnicos ayudar a los clientes en la solución de problemas desde una ubicación remota. El asistente remoto también permite al cliente ver la reparación o actualización en tiempo real en la pantalla. El proceso de instalación de Windows no activa el escritorio remoto de manera predeterminada. Al habilitar esta función, se abre el puerto 3389, lo que puede ocasionar una vulnerabilidad si un usuario no necesita este servicio.
Cybersecurity Essentials - ES 0118
13 8
Telnet, SSH y SCP El shell seguro (SSH) es un protocolo que proporciona una conexión de administración segura (cifrada) a un dispositivo remoto. El SSH debe reemplazar a Telnet para las conexiones de administración. Telnet es un protocolo más antiguo que usa la transmisión no segura de texto no cifrado de la autenticación de inicio de sesión (nombre de usuario y contraseña) y de los datos transmitidos entre los dispositivos que se comunican. El SSH proporciona seguridad para las conexiones remotas mediante el cifrado seguro cuando se autentica un dispositivo (nombre de usuario y contraseña) y para los datos transmitidos entre los dispositivos de comunicación. El SSH utiliza el puerto TCP 22. Telnet utiliza el puerto TCP 23. En la Figura 1, los ciberdelincuentes monitorean paquetes con Wireshark. En la Figura 2, los ciberdelincuentes capturan el nombre de usuario y la contraseña del administrador desde la sesión de Telnet de texto no cifrado. En la Figura 3, se muestra la vista de Wireshark de una sesión de SSH. Los ciberdelincuentes rastrean la sesión mediante la dirección IP del dispositivo del administrador, pero en la Figura 4 la sesión cifra el nombre de usuario y la contraseña. El protocolo de copia segura (SCP) transfiere de forma segura los archivos informáticos entre dos sistemas remotos. El SCP usa el SSH para la transferencia de datos (incluido el elemento de autenticación), por lo que el SCP garantiza la autenticidad y la confidencialidad de los datos en tránsito.
Protección de puertos y servicios Los ciberdelincuentes atacan los servicios que se ejecutan en un sistema porque saben que la mayoría de los dispositivos ejecuta más servicios o programas que los necesarios. Un administrador debe observar cada servicio para comprobar su necesidad y evaluar el riesgo. Elimine cualquier servicio innecesario. Un método simple que muchos administradores usan para contribuir a la seguridad de la red ante accesos no autorizados es la inhabilitación de todos los puertos del switch que no se utilizan. Por ejemplo, si un switch tiene 24 puertos y hay tres conexiones Fast Ethernet en uso, es aconsejable inhabilitar los 21 puertos que no se utilizan. El proceso de habilitación e inhabilitación de puertos puede llevar mucho tiempo, pero mejora la seguridad de la red y vale la pena el esfuerzo.
Cuentas privilegiadas Los ciberdelincuentes atacan las cuentas privilegiadas porque son las más poderosas dentro de la organización. Las cuentas privilegiadas tienen credenciales para acceder a los sistemas y brindan acceso elevado sin restricción. Los administradores usan estas cuentas para implementar y administrar los sistemas operativos, las aplicaciones y los dispositivo de red. La figura resume los tipos de cuentas privilegiadas. La organización debe adoptar las siguientes mejores prácticas para proteger las cuentas privilegiadas:
Identificar y reducir la cantidad de cuentas privilegiadas.
Aplicar el principio de privilegios mínimos.
Establecer un proceso para la revocación de derechos cuando los empleados dejan o cambian de trabajo.
Eliminar las cuentas compartidas con contraseñas que no caducan.
Proteger el almacenamiento de contraseñas.
Cybersecurity Essentials - ES 0118
13 9
Eliminar las credenciales compartidas entre varios administradores.
Cambiar automáticamente las contraseñas de la cuenta privilegiada cada 30 o 60 días.
Registrar las sesiones privilegiadas.
Implementar un proceso para cambiar las contraseñas integradas para los scripts y las cuentas de servicio.
Registrar toda la actividad del usuario.
Generar las alertas para comportamientos inusuales.
Deshabilitar las cuentas privilegiadas inactivas.
Usar la autenticación de varios factores para todo el acceso administrativo.
Implementar un gateway entre el usuario final y los activos confidenciales para limitar la exposición de la red al malware.
Bloquear las cuentas privilegiadas es fundamental para la seguridad de la organización. Proteger estas cuentas debe ser un proceso continuo. Una organización debe evaluar el proceso de realización de todos los ajustes necesarios para mejorar la seguridad.
Políticas de grupo En la mayoría de las redes que usan computadoras Windows, un administrador configura Active Directory con dominios en Windows Server. Las computadoras con Windows son miembros de un dominio. El administrador configura una directiva de seguridad de dominio que se aplica a todas las computadoras que se unan. Las directivas de cuenta se configuran automáticamente cuando un usuario inicia sesión en Windows. Cuando una computadora no es parte de un dominio de Active Directory, el usuario configura las políticas a través de la política de seguridad local de Windows. En todas las versiones de Windows, excepto la edición doméstica, ingrese secpol.msc en Ejecutar comando para abrir la herramienta de política de seguridad local. Un administrador configura las políticas de cuenta de usuario, como políticas de contraseña y políticas de bloqueo, expandiendo Políticas de cuentas > Políticas de contraseñas. Con las configuraciones que se muestran en la Figura 1, los usuarios deben cambiar sus contraseñas cada 90 días y utilizar la nueva contraseña al menos un (1) día. Las contraseñas deben contener ocho (8) caracteres y tres de las siguientes cuatro categorías: letras mayúsculas, letras minúsculas, números y símbolos. Por último, el usuario puede reutilizar la contraseña después de 24 contraseñas únicas. Una política de bloqueo de cuentas bloquea una computadora durante un tiempo determinado cuando ocurren demasiados intentos de acceso incorrecto al sistema. Por ejemplo, la política que se muestra en la Figura 2 permite que el usuario introduzca un nombre de usuario o una contraseña incorrectos cinco veces. Después de cinco intentos, la cuenta queda bloqueada por 30 minutos. Después de 30 minutos, la cantidad de intentos se restablece a cero y el usuario puede intentar iniciar sesión nuevamente. Hay más configuraciones de seguridad disponibles ampliando la carpeta Políticas locales. Una política de auditoría crea un archivo de registro de seguridad que se utiliza para rastrear los eventos enumerados en la Figura 3.
Cybersecurity Essentials - ES 0118
14 0
Habilitación de registros y alertas Un registro registra todos los eventos a medida que ocurren. Las entradas de registro conforman el archivo de registro y contienen toda la información relacionada con un evento específico. Los registros relacionados con la seguridad informática han crecido en importancia. Por ejemplo, un registro de auditoría sigue los intentos de autenticación del usuario y un registro de acceso proporciona todos los datos de solicitudes de archivos específicos en un sistema. Monitorear los registros del sistema puede determinar cómo se produjo un ataque y si las defensas implementadas se realizaron correctamente. Con el aumento de la gran cantidad de archivos de registro generados para fines de seguridad informática, una organización debe considerar el proceso de administración de registros. La administración de registros determina el proceso para generar, transmitir, almacenar, analizar y eliminar datos de registro de seguridad informática. Registros del sistema operativo Los registros del sistema operativo registran eventos que ocurren por acciones operativas realizadas por el sistema operativo. Los eventos del sistema incluyen lo siguiente:
Las solicitudes de clientes y las respuestas de servidores, como autenticaciones de usuario exitosas.
Información de uso que contiene la cantidad y el tamaño de las transacciones en un período determinado.
Registros de aplicación de seguridad Las organizaciones utilizan software de seguridad basado en la red o el sistema para detectar actividades maliciosas. Este software genera un registro de seguridad para proporcionar datos de seguridad informática. Los registros son útiles para realizar el análisis de auditoría e identificar las tendencias y los problemas a largo plazo. Los registros además permiten que una organización proporcione documentación que evidencie el cumplimiento de las leyes y los requisitos normativos.
Alimentación Un aspecto crítico de la protección de los sistemas de información son los sistemas y las consideraciones de energía eléctrica. El suministro constante de electricidad es fundamental en las actuales instalaciones de almacenamiento de datos y servidores masivos. Estas son algunas reglas generales en el desarrollo de sistemas de suministro eléctrico eficaces:
Los centros de datos deben estar en una fuente de alimentación distinta al resto del edificio.
Fuentes de alimentación redundantes: dos o más fuentes que provienen de dos o más subestaciones eléctricas.
Acondicionamiento de la energía.
Con frecuencia se requieren sistemas energéticos de respaldo.
Debe contarse con un UPS para apagar satisfactoriamente los sistemas.
Una organización debe protegerse contra varios problemas al diseñar sus sistemas de fuente de alimentación eléctrica. Exceso de energía.
Cybersecurity Essentials - ES 0118
14 1
Sobre voltaje: Alto voltaje momentáneo.
Explosión: Alto voltaje prolongado.
Pérdida de energía.
Falla: Pérdida de energía momentánea.
Apagón: Pérdida de energía completa.
Degradación de energía.
Holgura/caída: Bajo voltaje momentáneo.
Apagón: Bajo voltaje prolongado.
Corriente de irrupción: sobre voltaje inicial de energía.
Calefacción, ventilación y aire acondicionado (HVAC) Los sistemas de HVAC son fundamentales para la seguridad de las personas y los sistemas de información en las instalaciones de la organización. Al diseñar instalaciones de TI modernas, estos sistemas juegan un papel importante en la seguridad general. Los sistemas de HVAC controlan el entorno ambiental (temperatura, humedad, flujo de aire y filtración de aire) y deben planificarse y operarse junto a otros componentes de centros de datos, como hardware informático, cableado, almacenamiento de datos, protección contra incendios, sistemas de seguridad física y energía. Casi todos los dispositivos de hardware informático físicos tienen requisitos ambientales que incluyen temperatura y rangos de humedad aceptables. Los requisitos ambientales aparecen en un documento de especificaciones del producto o en una guía de planificación física. Es fundamental mantener estos requisitos ambientales para evitar fallas del sistema y extender la vida útil de los sistemas de TI. Los sistemas de HVAC comerciales y otros sistemas de administración de edificios ahora se conectan a Internet para su supervisión y control. Eventos recientes han demostrado que dichos sistemas (a menudo denominados “sistemas inteligentes”) también aumentan las repercusiones de seguridad. Uno de los riesgos asociados a los sistemas inteligentes es que las personas que acceden y administran el sistema trabajan para un contratista o un proveedor externo. Debido a que los técnicos de HVAC necesitan encontrar la información rápidamente, los datos cruciales tienden a almacenarse en muchos lugares diferentes, lo que los hace accesibles a muchas más personas. Tal situación permite que una amplia red de individuos, entre ellos, asociados de los contratistas, accedan a las credenciales del sistema de HVAC. La interrupción de estos sistemas puede representar un riesgo considerable para la seguridad informática de la organización.
Supervisión de hardware El monitoreo de hardware a menudo se encuentra en torres de servidores grandes. Una torre de servidores es una instalación que aloja cientos o miles de servidores de empresas. Google tiene muchas torres de servidores en todo el mundo para proporcionar servicios óptimos. Incluso las empresas más pequeñas construyen torres de servidores locales para alojar el creciente número de servidores necesarios para realizar los negocios. Los sistemas de control de hardware se utilizan para monitorear el estado de dichos sistemas y minimizar el tiempo de inactividad de la aplicación y el servidor. Los sistemas de control de hardware modernos utilizan los puertos de red y USB para transmitir la condición de temperatura de la CPU, el estado de la fuente de alimentación, la velocidad y la temperatura del ventilador, el estado de la memoria, el espacio en disco y el estado de la tarjeta de red. Los sistemas de control de hardware permiten a un técnico supervisar cientos o miles de sistemas desde un solo terminal. A medida que la cantidad de torres de servidores aumenta, los sistemas de control de hardware se han convertido en contramedidas esenciales para la seguridad.
Cybersecurity Essentials - ES 0118
14 2
Centros de operaciones El Centro de Operaciones de Red (NOC) se compone de una o más ubicaciones que contienen las herramientas que proporcionan a los administradores un estado detallado de la red de una organización. El NOC es el punto cero de la solución de problemas, la supervisión del rendimiento, la distribución de software y actualizaciones, la administración de comunicaciones y la administración de dispositivos. El Centro de Operaciones de Seguridad (SOC) es un sitio dedicado que supervisa, evalúa y protege los sistemas de información de la organización, como sitios web, aplicaciones, bases de datos, centros de datos, redes, servidores y sistemas de usuario. Un SOC es un equipo de expertos en seguridad que detectan, analizan, responden, informan y evitan incidentes de ciberseguridad. Ambas entidades usan una estructura de nivel jerárquico para administrar los eventos. El primer nivel administra todos los eventos e incluye cualquier evento que no pueda administrarse en el segundo nivel. El personal del segundo nivel revisa el evento en detalle para intentar resolverlo. Si no pueden hacerlo, pasan el evento al tercer nivel, el de los expertos en la materia. Para medir la eficacia general de un centro de operaciones, una organización impulsará ejercicios y prácticas realistas. Un ejercicio de simulación de tablero es un recorrido estructurado de un equipo para simular un evento y evaluar la eficacia del centro. Una medida más eficaz es simular una intrusión hecha y derecha sin advertencia. Esto supone el uso de un equipo rojo, un grupo independiente de personas que desafía los procesos en una organización para evaluar su eficacia. Por ejemplo, el equipo rojo debe atacar un sistema crítico, incluidos el reconocimiento y el ataque, el escalamiento de privilegios y el acceso remoto.
Switches, routers y dispositivos de red Los dispositivos de red se envían sin contraseñas o con contraseñas predeterminadas. Cambie las contraseñas predeterminadas antes de conectar un dispositivo a la red. Documente y registre los cambios en los dispositivos de red. Por último, examine todos los registros de configuración. En las siguientes secciones se analizan varias medidas que un administrador puede adoptar para proteger diferentes dispositivos de red. Switches Los switches de red son el corazón de la red de comunicación de datos moderna. Las principales amenazas para los switches de red son el robo, el hacking y el acceso remoto, los ataques contra los protocolos de red, como ARP/STP, o los ataques contra el rendimiento y la disponibilidad. Varias contramedidas y controles pueden proteger los switches de red, incluidas la seguridad física mejorada, la configuración avanzada y la implementación de actualizaciones y parches adecuados del sistema según sea necesario. Otro control eficaz es la implementación de la seguridad de los puertos. Un administrador debe proteger todos los puertos de switch (interfaces) antes de implementar el switch para fines de producción. Una forma de proteger los puertos es mediante la implementación de una característica denominada “seguridad de puertos”. La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el puerto. El switch permite el acceso a dispositivos con direcciones MAC legítimas y rechaza otras direcciones MAC. VLAN Las VLAN ofrecen una forma de agrupar dispositivos dentro de una LAN y en switches individuales. Las VLAN usan conexiones lógicas en lugar de conexiones físicas. Los puertos individuales de switch pueden asignarse a una VLAN específica. Se pueden usar otros puertos para interconectar físicamente los switches y permitir el tráfico de varias VLAN entre los switches. Estos puertos se denominan enlaces troncales. Por ejemplo, el Departamento de Recursos Humanos debe proteger sus datos confidenciales. Las VLAN permiten que el administrador segmente las redes según factores tales como la función, el equipo del proyecto o la aplicación, independientemente de la ubicación física del usuario o el dispositivo, como se muestra en la Figura 1. Los dispositivos dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque compartan una misma infraestructura con otras VLAN. Una VLAN puede separar los grupos que tienen datos confidenciales del resto de la red, lo que disminuye las posibilidades
Cybersecurity Essentials - ES 0118
14 3
de violaciones de la información confidencial. Los enlaces troncales permiten que las personas en la VLAN de RR. HH. se conecten físicamente a varios switches. Existen varios tipos de vulnerabilidades y ataques de VLAN diferentes. Estos pueden incluir ataques a los protocolos de los enlaces troncales y la VLAN. Los detalles de estos ataques están más allá del alcance de este curso. Los hackers también pueden atacar el rendimiento y la disponibilidad de la VLAN. Las contramedidas comunes incluyen el monitoreo de los cambios y el rendimiento de la VLAN, las configuraciones avanzadas, y los parches y las actualizaciones regulares del sistema para el IOS. Firewalls Los firewalls son soluciones de hardware o de software que aplican las políticas de seguridad de la red. Un firewall filtra el ingreso de tráfico potencialmente peligroso o no autorizado en la red (Figura 2). Un firewall simple proporciona funcionalidades básicas de filtrado de tráfico mediante listas de control de acceso (ACL). Los administradores utilizan las ACL para detener el tráfico o para permitir solamente tráfico específico en sus redes. Una ACL es una lista secuencial de instrucciones de permiso o denegación que se aplican a los protocolos o las direcciones. Las ACL son una herramienta potente para controlar el tráfico hacia y desde la red. Los firewalls mantienen los ataques alejados de la red privada; un objetivo común de los hackers es vencer las protecciones del firewall. Las principales amenazas para los firewalls son el robo, el hacking y el acceso remoto, los ataques contra las ACL o los ataques contra el rendimiento y la disponibilidad. Varias contramedidas y controles pueden proteger los firewalls, entre ellos, seguridad física mejorada, configuración avanzada, acceso remoto y autenticación seguros, y actualizaciones y parches adecuados del sistema según sea necesario. Routers Los routers forman la red troncal de Internet y las comunicaciones entre las diferentes redes. Los routers se comunican unos con otros para identificar la mejor ruta posible a fin de distribuir el tráfico a las diferentes redes. Los routers usan protocolos de routing para tomar decisiones de routing. Los routers también pueden integrar otros servicios, como las funcionalidades de switching y firewall. Estas operaciones hacen que los routers sean los principales objetivos. Las principales amenazas para los routers de red son el robo, el hacking y el acceso remoto, los ataques contra los protocolo de routing, como RIP/OSPF, o los ataques contra el rendimiento y la disponibilidad. Varias contramedidas y controles pueden proteger los routers de red, entre ellos, la seguridad física mejorada, la configuración avanzada, el uso de protocolos de routing seguros con autenticación, y la implementación de actualizaciones y parches adecuados del sistema según sea necesario.
Cybersecurity Essentials - ES 0118
14 4
Dispositivos móviles e inalámbricos Los dispositivos móviles e inalámbricos se han convertido en el tipo de dispositivo predominante en la mayoría de las redes modernas. Ofrecen movilidad y conveniencia, pero representan un conjunto de vulnerabilidades. Estas vulnerabilidades incluyen el robo, el hacking y el acceso remoto no autorizado, el espionaje, los ataques de intermediarios, y los ataques contra el rendimiento y la disponibilidad. La mejor manera de proteger una red inalámbrica es utilizar la autenticación y el cifrado. El estándar inalámbrico original (801.11) introdujo dos tipos de autenticación, como se muestra en la figura:
Autenticación del sistema abierto: Cualquier dispositivo inalámbrico puede conectarse a la red inalámbrica. Use este método en situaciones donde la seguridad no sea un problema.
Autenticación de clave compartida: Proporciona mecanismos para autenticar y cifrar datos entre el cliente inalámbrico y un AP o router inalámbrico.
Las tres técnicas de autenticación de clave compartida para las WLAN son las siguientes:
Privacidad equivalente por cable (WEP): era la especificación 802.11 original que protegía las WLAN. Sin embargo, la clave de cifrado nunca cambiaba al intercambiar paquetes, por lo que era fácil de descifrar.
Acceso protegido a Wi-Fi (WPA): este estándar utiliza la WEP, pero protege los datos con un algoritmo de cifrado del protocolo de integridad de clave temporal (TKIP), que es mucho más seguro. El TKIP cambia la clave para cada paquete, lo que hace que sea mucho más difícil de descifrar.
IEEE 802.11i/WPA2:: IEEE 802.11i es un estándar de la industria para proteger las WLAN. Tanto 802.11i como WPA2 usan la norma de cifrado avanzado (AES) para el cifrado, actualmente el protocolo de encriptación más sólido.
Desde 2006, cualquier dispositivo que tenga el logotipo de Certificado para Wi-Fi tiene la certificación WPA2. Por lo tanto, las WLAN modernas deben utilizar el estándar 802.11i/WPA2. Otras contramedidas
Cybersecurity Essentials - ES 0118
14 5
incluyen la seguridad física mejorada y las actualizaciones y los parches regulares del sistema de los dispositivos.
Servicios de routing y red Los ciberdelincuentes usan servicios de red vulnerables para atacar un dispositivo o usarlo como parte del ataque. Para verificar si existen servicios de red inseguros, revise el dispositivo y busque puertos abiertos mediante un escáner de puertos. Un escáner de puertos es una aplicación que sondea un dispositivo en busca de puertos abiertos; envía un mensaje a cada puerto y espera su respuesta. La respuesta indica cómo se utiliza el puerto. Los ciberdelincuentes también usan escáneres de puertos por el mismo motivo. Proteger los servicios de red garantiza que solo los puertos necesarios estén expuestos y disponibles. Protocolo de configuración dinámica de host (DHCP) El DHCP usa un servidor para asignar una dirección IP y otra información de configuración automáticamente a los dispositivos de red. En efecto, el dispositivo obtiene un formulario de permiso del servidor del DHCP para utilizar la red. Los atacantes pueden apuntar a los servidores del DHCP para denegar el acceso a los dispositivos en la red. La Figura 1 proporciona una lista de comprobación de seguridad para el DHCP. Sistema de nombres de dominio (DNS) El DNS resuelve una dirección de sitio web o URL de localizador de recursos uniforme (http://www.cisco.com) para la dirección IP del sitio. Cuando los usuarios escriben una dirección web en la barra de direcciones, dependen de los servidores del DNS para resolver la dirección IP real del destino. Los atacantes apuntan a los servidores del DNS para denegar el acceso a los recursos de la red o redirigir el tráfico a sitios web falsos. Haga clic en la Figura 2 para ver una lista de comprobación de seguridad para los DNS. Utilice el servicio y la autenticación seguros entre los servidores del DNS para protegerlos de estos ataques. Protocolo de mensajes de control de Internet (ICMP) Los dispositivos de red usan ICMP para enviar mensajes de error, como un servicio solicitado que no está disponible o un host que no puede llegar a un router. El comando ping es una utilidad de red que emplea
Cybersecurity Essentials - ES 0118
14 6
ICMP para probar la posibilidad de conexión de un host en una red. El ping envía mensajes de ICMP al host y espera una respuesta. Los ciberdelincuentes pueden alterar el uso de ICMP para los fines maliciosos que se enumeran en la Figura 3. Los ataques de denegación de servicio usan ICMP. Muchas redes filtran ciertas solicitudes de ICMP para evitar estos ataques. Protocolo de información de enrutamiento (RIP) El RIP limita la cantidad de saltos permitida en una ruta en una red desde el dispositivo de origen hasta el destino. La cantidad máxima de saltos permitida para el RIP es quince. El RIP es un protocolo de routing que se usa para intercambiar información de routing sobre qué redes alcanza cada router y el alcance de dichas redes. El RIP calcula la mejor ruta según el recuento de saltos. La Figura 4 enumera las vulnerabilidades y defensas del RIP frente a los ataques al RIP. Los hackers pueden atacar los routers y el RIP. Los ataques a los servicios de routing pueden afectar el rendimiento y la disponibilidad. Algunos ataques incluso pueden dar como resultado el redireccionamiento del tráfico. Utilice los servicios seguros con autenticación e implemente parches y actualizaciones del sistema para proteger los servicios de routing, como el RIP. Protocolo de tiempo de red (NTP) Es importante tener la hora correcta dentro de las redes. Las marcas de tiempo correctas hacen un seguimiento preciso de los eventos de red, por ejemplo, las violaciones de seguridad. Además, la sincronización de relojes es fundamental para la interpretación correcta de los eventos dentro de los archivos de datos syslog, así como para los certificados digitales. El protocolo de tiempo de red (NTP) es un protocolo que sincroniza los relojes de los sistemas informáticos sobre las redes de datos. El NTP permite que los dispositivos de red sincronicen la configuración de la hora con un servidor del NTP. En la Figura 5 se enumeran los diferentes métodos utilizados para proporcionar una sincronización segura para la red. Los ciberdelincuentes atacan los servidores de tiempo para interrumpir la comunicación segura que depende de certificados digitales y ocultar la información del ataque, como marcas de tiempo precisas.
Equipos de VoIP La voz sobre IP (VoIP) utiliza redes, como Internet, para realizar y recibir llamadas telefónicas. El equipo requerido para VoIP incluye una conexión a Internet y un teléfono. Varias opciones están disponibles para los equipos de teléfono:
Un teléfono tradicional con un adaptador (el adaptador actúa como interfaz de hardware entre el teléfono analógico tradicional y la línea de VoIP digital).
Un teléfono habilitado para VoIP.
Software de VoIP instalado en una computadora.
La mayoría de los servicios de VoIP para consumidores utiliza Internet para las llamadas telefónicas. Muchas organizaciones, sin embargo, utilizan sus redes privadas debido a que proporcionan una seguridad más sólida y un servicio de calidad. La seguridad de VoIP es tan confiable como la seguridad de red subyacente. Los ciberdelincuentes apuntan a estos sistemas para obtener acceso para liberar servicios telefónicos, escuchar llamadas telefónicas o afectar el rendimiento y la disponibilidad. Implemente las siguientes contramedidas para proteger la VoIP:
Cifre los paquetes de mensajes de voz para protegerlos de las infiltraciones.
Utilice el SSH para proteger los gateways y switches.
Cambie las contraseñas predeterminadas.
Utilice un sistema de detección de intrusiones para detectar ataques, como el envenenamiento del ARP.
Cybersecurity Essentials - ES 0118
14 7
Utilice la autenticación sólida para mitigar la suplantación de registros (los ciberdelincuentes enrutan todas las llamadas entrantes de la víctima hacia ellos), la suplantación del proxy (engaña a la víctima para que se comunique con un proxy falso establecido por los ciberdelincuentes) y la usurpación de llamadas (la llamada se intercepta y redirige a una ruta diferente antes de que llegue al destino).
Implemente firewalls que reconozcan la VoIP para monitorear las transmisiones y filtrar las señales anormales.
Cuando la red deja de funcionar, también lo hacen las comunicaciones de voz.
Cámaras Una cámara de Internet envía y recibe datos a través de una LAN o Internet. Un usuario puede ver de forma remota video en vivo con un explorador web en una amplia variedad de dispositivos, entre ellos, sistemas informáticos, PC portátiles, tablets y smartphones. Las cámaras vienen en distintos formatos, incluidas las cámaras de seguridad tradicionales. Otras opciones incluyen cámaras de Internet discretamente ocultas en radiodespertadores, libros o reproductores de DVD. Las cámaras de Internet transmiten video digital a través de una conexión de datos. La cámara se conecta directamente a la red y tiene todo lo necesario para transferir las imágenes sobre la red. La figura enumera las mejores prácticas para los sistemas de cámara.
Cybersecurity Essentials - ES 0118
14 8
Equipo de videoconferencia La videoconferencia permite que dos o más ubicaciones se comuniquen de forma simultánea mediante tecnologías de telecomunicación. Estas tecnologías aprovechan los nuevos estándares de video de alta definición. Los productos tales como Cisco TelePresence permiten que un grupo de personas en una ubicación diserte con un grupo de personas en otras ubicaciones en tiempo real. La videoconferencia ahora forma parte de las operaciones diarias normales de las industrias, como el campo médico. Los médicos pueden revisar los síntomas de un paciente y consultar con expertos para identificar posibles tratamientos. Muchas farmacias locales emplean asistentes médicos que pueden conectarse en vivo con los médicos mediante la videoconferencia para programar visitas o respuestas de emergencia. Muchas organizaciones manufactureras usan la teleconferencia para ayudar a los ingenieros y técnicos a realizar operaciones o tareas de mantenimiento complejas. El equipo de videoconferencia puede ser muy costoso y es un objetivo de alto valor para los ladrones y ciberdelincuentes. Haga clic aquí para ver un video que demuestra el poder de los sistemas de videoconferencia. Los ciberdelincuentes apuntan a estos sistemas para infiltrarse en las videollamadas o afectar el rendimiento y la disponibilidad.
Red y sensores de IdC Uno de los sectores más rápidos de la tecnología de la información es el uso de sensores y dispositivos inteligentes. La industria informática lidera este sector como Internet de las cosas (IdC). Las empresas y los consumidores usan dispositivos de IdC para automatizar procesos, supervisar condiciones del entorno y alertar a los usuarios acerca de condiciones adversas. La mayoría de los dispositivos de IdC se conecta a una red a través de la tecnología inalámbrica e incluye cámaras, cerraduras de puertas, sensores de proximidad, luces y otros tipos de sensores utilizados para recopilar información acerca de un entorno o el estado de un dispositivo. Varios fabricantes de dispositivos utilizan IdC para informar a los usuarios que las piezas deben reemplazarse, los componentes son defectuosos o los suministros se están acabando. Las empresas utilizan estos dispositivos para realizar un seguimiento del inventario, los vehículos y el personal. Los dispositivos de IdC tienen sensores geoespaciales. Un usuario puede localizar, monitorear y controlar globalmente las variables del entorno, como la temperatura, la humedad y la iluminación. El sector de IdC representa un enorme desafío para los profesionales de seguridad de la información porque muchos dispositivos de IdC capturan y transmiten información confidencial. Los ciberdelincuentes apuntan a estos sistemas para interceptar los datos o afectar el rendimiento y la disponibilidad.
Cercas y barricadas Las barreras físicas son lo primero que viene a la mente cuando se piensa en la seguridad física. Este es el nivel más remoto de seguridad y estas soluciones son las más visibles públicamente. Un sistema de seguridad perimetral generalmente consta de los siguientes componentes:
Un sistema de cerca perimetral.
Un sistema de puerta de seguridad.
Bolardos (pequeños postes utilizados para protegerse contra intrusiones de vehículos, como se muestra en la Figura 2).
Barreras de entrada de vehículos.
Refugios de protección.
Una cerca es una barrera que comprende áreas seguras y designa límites de la propiedad. Todas las barreras deben cumplir los requisitos de diseño específicos y las especificaciones de la estructura. Las áreas de alta seguridad a menudo requieren una “protección superior”, como un alambre de púas o concertina. Al diseñar el perímetro, los sistemas de cercado utilizan las siguientes reglas:
Cybersecurity Essentials - ES 0118
14 9
1 metro (3 a 4 pies) solo disuadirán a los intrusos casuales.
2 metros (6 a 7 pies) son muy altos para escalar para los intrusos casuales.
2,5 metros (8 pies) ofrecerán una demora limitada a un intruso determinado.
Las protecciones superiores proporcionan un impedimento adicional y pueden cortar gravemente al intruso; sin embargo, los atacantes pueden utilizar una manta o un colchón para mitigar esta amenaza.
Las normas locales pueden restringir el tipo de sistema de cercado que usa una organización. Las cercas requieren un mantenimiento regular. Los animales pueden cavar debajo de la cerca o la tierra puede socavarse y dejar la cerca inestable, lo que proporcionará un acceso sencillo al intruso. Inspeccione los sistemas de cercado con regularidad. No aparque ningún vehículo junto a las cercas. Un vehículo aparcado en las inmediaciones de una cerca puede ayudar al intruso a escalar o dañar la cerca. Haga clic aquí para conocer las recomendaciones de cercado adicionales.
Biometría Los datos biométricos describen los métodos automatizados de reconocimiento de una persona en función de una característica fisiológica o conductual. Los sistemas de autenticación biométrica incluyen medidas del rostro, huellas digitales, geometría de la mano, iris, retina, firma y voz. Las tecnologías biométricas son la base de la identificación altamente segura y las soluciones de verificación personal. La popularidad y el uso de sistemas biométricos han aumentado debido a la mayor cantidad de infracciones a la seguridad y fraude de transacciones. Los datos biométricos proporcionan transacciones financieras confidenciales y privacidad de los datos personales. Por ejemplo, Apple utiliza la tecnología de huellas digitales en sus smartphones. Las huellas digitales de los usuarios desbloquean el dispositivo y permiten el acceso a varias aplicaciones, como aplicaciones de pago o banca en línea. Al comparar los sistemas biométricos, hay varios factores importantes que se deben considerar, entre ellos, la precisión, la tasa de velocidad o rendimiento, la aceptación de los usuarios, la singularidad de las acciones u órganos biométricos, la resistencia a la falsificación, la confiabilidad, los requisitos de almacenamiento de datos, el tiempo de inscripción y la impertinencia del análisis. El factor más importante es la precisión. La precisión se expresa en los índices y los tipos de errores. El primer índice de error es el Error de tipo I o los falsos rechazos. El Error de tipo I rechaza a una persona que se registra y es un usuario autorizado. En el control de acceso, si el requisito es mantener a los malos afuera, el falso rechazo es el error menos grave. Sin embargo, en muchas aplicaciones biométricas, los falsos rechazos pueden tener un impacto muy negativo en la empresa. Por ejemplo, un banco o comercio minorista debe autenticar la identidad del cliente y el saldo de la cuenta. El falso rechazo significa que la transacción o la venta se pierde y el cliente se siente disgustado. La mayoría de los banqueros y los minoristas están dispuestos a admitir algunas aceptaciones falsas siempre y cuando los falsos rechazos sean mínimos. La velocidad de aceptación se expone como porcentaje y es la velocidad con la que un sistema acepta a las personas no registradas o los impostores como usuarios auténticos. La falsa aceptación es un Error de tipo II. El Error de tipo II permite el ingreso de los delincuentes, por lo que normalmente se considera el error más importante para un sistema de control de acceso biométrico. El método más ampliamente utilizado para medir la precisión de la autenticación biométrica es el índice de error de conexión cruzada (CER). El CER es la velocidad donde la velocidad de falso rechazo y la velocidad de aceptación falsa son equivalentes, como se muestra en la figura.
Registros de acceso y tarjetas de identificación La tarjeta de identificación de acceso permite que una persona obtenga acceso a un área con puntos de ingreso automatizados. Un punto de ingreso puede ser una puerta, un molinete, una entrada u otra barrera. Las tarjetas de identificación de acceso usan varias tecnologías, como una cinta magnética, un código de barras o la biometría.
Cybersecurity Essentials - ES 0118
15 0
Un lector de tarjetas lee un número contenido en la tarjeta de identificación de acceso. El sistema envía el número a una computadora que toma las decisiones de control de acceso en función de las credenciales provistas. El sistema registra la transacción para su posterior recuperación. Los informes revelan quién ingresó, el punto de ingreso y la hora.
Vigilancia por video y electrónica La vigilancia por video y electrónica complementa o, en algunos casos, reemplaza a los guardias de seguridad. El beneficio del video y la vigilancia electrónica es la capacidad de supervisar las áreas cuando no hay guardias ni personal presente, la capacidad de registrar datos y videos de vigilancia durante largos períodos y la capacidad de incorporar la detección de movimiento y la notificación. La vigilancia por video y electrónica también puede ser más precisa en la captura de eventos incluso después de que ocurran. Otra ventaja importante es que la vigilancia por video y electrónica ofrece puntos de vista que no se obtienen fácilmente con los guardias. También puede resultar mucho más económica que el uso de cámaras para supervisar el perímetro completo de una instalación. En un entorno altamente seguro, una organización debe colocar la vigilancia por video y electrónica en todas las entradas, las salidas, los compartimientos de carga, las escaleras y las áreas de recolección de basura. En la mayoría de los casos, la vigilancia por video y electrónica complementa a los guardias de seguridad.
Vigilancia inalámbrica e RFID Administrar y localizar activos de sistemas de información importantes constituyen un desafío clave para la mayoría de las organizaciones. El crecimiento en la cantidad de dispositivos móviles y dispositivos de IdC ha hecho que este trabajo sea incluso más difícil. El tiempo que insume buscar equipos críticos puede provocar costosas demoras o tiempo de inactividad. El uso de etiquetas de identificación de recursos de identificación por radiofrecuencia (RFID) puede ser de gran valor para el personal de seguridad. Una organización puede posicionar lectores de RFID en los marcos de las puertas de las áreas seguras de manera tal que no sean visibles para las personas. El beneficio de las etiquetas de identificación de recursos de RFID es que pueden seguir cualquier activo que deje físicamente un área segura. Los nuevos sistemas de etiquetas de identificación de recursos de RFID pueden leer múltiples etiquetas en simultáneo. Los sistemas de RFID no requieren una línea de visión para analizar las etiquetas. Otra ventaja de la RFID es la capacidad para leer las etiquetas que no son visibles. A diferencia de los códigos de barras y las etiquetas legibles para los humanos que deben ubicarse físicamente y ser visibles para leer, las etiquetas de RFID no necesitan ser visibles para su análisis. Por ejemplo, etiquetar una PC debajo de un escritorio requiere que el personal se agache debajo el escritorio para ubicar y visualizar físicamente la etiqueta mediante un proceso de código de barras o manual. Una etiqueta de RFID permitirá al personal escanear la etiqueta sin siquiera verla.
Resumen Capítulo 7: Protección del reino Este capítulo analiza las tecnologías, los procesos y los procedimientos que los ciber-magos usan para defender los sistemas, los dispositivos y los datos que conforman la infraestructura de la red.
La protección del host incluye la protección del sistema operativo, la implementación de una solución antivirus y el uso de soluciones basadas en el host, como firewalls y sistemas de detección de intrusiones.
La protección del servidor incluye la administración del acceso remoto, la protección de las cuentas privilegiadas y los servicios de supervisión.
La protección de datos incluye el control de acceso a los archivos y la implementación de las medidas de seguridad para garantizar la confidencialidad, la integridad y la disponibilidad de los datos.
Cybersecurity Essentials - ES 0118
15 1
La protección de dispositivos además implica la implementación de métodos comprobados de protección física de dispositivos de red. Fortificar el reino es un proceso continuo para proteger la infraestructura de red de una organización y requiere una vigilancia constante de las amenazas contra el reino.
Cybersecurity Essentials - ES 0118
15 2
Capítulo 8: Uniéndose al orden de los héroes cibernéticos El avance de la tecnología produjo varios dispositivos que se usan en la sociedad diariamente para interconectar el mundo. Esta creciente conectividad, sin embargo, produce mayor riesgo de robo, fraude y abuso en la infraestructura tecnológica. Este capítulo categoriza la infraestructura de la tecnología de la información en siete dominios. Cada dominio requiere controles de seguridad adecuados para cumplir los requisitos de la tríada CIA. El capítulo analiza las leyes que afectan los requisitos de la ciberseguridad y la tecnología. Muchas de estas leyes se centran en los diferentes tipos de datos que se encuentran en diversos sectores y contienen los conceptos de privacidad y seguridad informática. Varias agencias dentro del gobierno estadounidense regulan el cumplimiento de estos tipos de leyes por parte de una organización. Los especialistas en ciberseguridad deben comprender cómo las leyes y los intereses de la organización ayudan a guiar las decisiones éticas. La ética cibernética analiza el efecto del uso de computadoras y tecnologías en las personas y la sociedad. Las organizaciones emplean a especialistas en ciberseguridad en varios puestos diferentes, como analizadores de penetración, expertos en seguridad y otros profesionales de seguridad de la red. Los especialistas en ciberseguridad ayudan a proteger los datos personales y la capacidad de utilizar los servicios basados en la red. El capítulo analiza el camino para convertirse en un especialista en ciberseguridad. Por último, este capítulo analiza varias herramientas disponibles para los especialistas en ciberseguridad.
Vulnerabilidades y amenazas comunes a los usuarios El dominio de usuario incluye a los usuarios que acceden al sistema de información de la organización. Los usuarios pueden ser empleados, clientes, contratistas empresariales y otros individuos que deben acceder a los datos. Los usuarios generalmente son el eslabón más débil en los sistemas de seguridad informática y representan una amenaza importante para la confidencialidad, la integridad y la disponibilidad de los datos de la organización. A menudo, las prácticas de usuario riesgosas o deficientes socavan incluso hasta el mejor sistema de seguridad. Las siguientes son amenazas comunes a los usuarios presentes en muchas organizaciones:
Ningún reconocimiento de la seguridad: Los usuarios deben conocer los datos confidenciales, las políticas y los procedimientos de seguridad, las tecnologías y las contramedidas proporcionados para proteger la información y los sistemas de información.
Políticas de seguridad mal aplicadas: Todos los usuarios deben conocer las políticas de seguridad y las consecuencias del cumplimiento de las políticas de la organización.
Robo de datos: El robo de datos por parte de los usuarios tiene un costo financiero para las organizaciones; Esto genera daños en la reputación de las organizaciones o supone una responsabilidad legal asociada a la divulgación de información confidencial.
Descargas no autorizadas: Muchas infecciones y ataques a redes y estaciones de trabajo se remontan a los usuarios que descargan correos electrónicos, fotos, música, juegos, aplicaciones, programas y videos no autorizados en las estaciones de trabajo, las redes o los dispositivos de almacenamiento.
Medios no autorizados: El uso de medios no autorizados como CD, unidades USB y dispositivos de almacenamiento en red pueden provocar infecciones y ataques de malware.
VPN no autorizadas: Las VPN pueden ocultar el robo de información no autorizada. La encriptación que normalmente se usa para proteger la confidencialidad no permite que el personal de seguridad de TI vea la transmisión de datos sin la debida autorización.
Sitios web no autorizados: El acceso a sitios web no autorizados puede representar un riesgo para los datos del usuario, los dispositivos y la organización. Muchos sitios web solicitan a los visitantes
Cybersecurity Essentials - ES 0118
15 3
que descarguen scripts o complementos que contienen código malicioso o adware. Algunos de estos sitios pueden apoderarse de dispositivos, como cámaras, y aplicaciones.
Destrucción de sistemas, aplicaciones o datos: La destrucción accidental o deliberada; O el sabotaje de sistemas, aplicaciones y datos supone un gran riesgo para todas las organizaciones. Los activistas, los empleados descontentos y los competidores del sector pueden eliminar datos, destruir dispositivos o configurar mal los dispositivos para que no pueda disponerse de los datos y los sistemas de información.
Ninguna solución, control o contramedida técnica hace que los sistemas de información sean más seguros que los comportamientos y los procesos de las personas que los usan.
Manejo de las amenazas a los usuarios Las organizaciones pueden implementar diversas medidas para manejar las amenazas a los usuarios:
Realizar capacitaciones de reconocimiento de seguridad mostrando carteles de reconocimiento de seguridad, insertando recordatorios en anuncios de saludo y enviando recordatorios por correo electrónico a los empleados.
Educar a los usuarios anualmente sobre las políticas, los manuales de personal y las actualizaciones de guías.
Vincular el reconocimiento de seguridad con los objetivos de revisión del rendimiento.
Habilitar la detección del antivirus y el filtrado de contenido para los archivos adjuntos por correo electrónico.
Utilizar el filtrado de contenido para aceptar o rechazar nombres de dominio específicos conforme a las políticas de uso aceptable (AUP).
Deshabilitar los puertos USB y las unidades de CD internas.
Cybersecurity Essentials - ES 0118
15 4
Habilitar el análisis antivirus automático para medios insertados, archivos y adjuntos por correo electrónico.
Restringir el acceso a los usuarios a solo aquellos sistemas, aplicaciones y datos necesarios para realizar el trabajo.
Minimizar los permisos de escritura/eliminación del propietario de datos únicamente.
Seguir y controlar el comportamiento anormal de los empleados, el rendimiento laboral errático y el uso de la infraestructura de TI en horarios no laborales.
Implementar procedimientos de bloqueo del control de acceso basados en el monitoreo y el cumplimiento de las AUP.
Habilitar el sistema de detección de intrusiones y el sistema de prevención de intrusiones (IDS/IPS) que monitorean los accesos y puestos confidenciales de los empleados.
La tabla que se muestra en la figura une las amenazas al dominio de usuario con las contramedidas utilizadas para manejarlas.
Amenazas comunes a los dispositivos Un dispositivo es cualquier computadora de escritorio, PC portátil, tablet o smartphone que se conecta a la red. Las siguientes son amenazas a los dispositivos:
Estaciones de trabajo desatendidas: Las estaciones de trabajo que se dejan encendidas y desatendidas representan un riesgo de acceso no autorizado a los recursos de la red.
Descargas del usuario: Los archivos, las fotos, la música o los videos descargados pueden ser un vehículo para el código malicioso.
Cybersecurity Essentials - ES 0118
15 5
Software sin parches: las vulnerabilidades en la seguridad del software ofrecen debilidades que los cibercriminales pueden aprovechar.
Malware: Nuevos virus, gusanos y otros códigos maliciosos salen a luz diariamente.
Medios no autorizados: Los usuarios que insertan unidades USB, CD o DVD pueden introducir malware o correr el riesgo de comprometer los datos almacenados en la estación de trabajo.
Violación de la política de uso aceptable: Las políticas existen para proteger la infraestructura de TI de la organización.
Manejo de las amenazas a los dispositivos Las organizaciones pueden implementar diversas medidas para manejar las amenazas a los dispositivos:
Establecer políticas para los umbrales de bloqueo y protección de contraseñas en todos los dispositivos.
Habilitar el bloqueo de la pantalla durante las horas de inactividad.
Desactivar los derechos administrativos de los usuarios.
Definir pautas, procedimientos, estándares y políticas de control de acceso.
Actualizar y corregir todos los sistemas operativos y las aplicaciones de software.
Cybersecurity Essentials - ES 0118
15 6
Implementar soluciones de antivirus automatizadas que exploren el sistema y actualizar el software antivirus para proporcionar la protección adecuada.
Desactivar todos los puertos USB, CD y DVD.
Habilitar los análisis de antivirus automáticos para cualquier CD, DVD o unidad USB insertados.
Usar el filtrado de contenido.
Realizar capacitaciones de reconocimiento de seguridad anuales obligatorias o implementar campañas y programas de concienciación sobre seguridad que se ejecuten durante todo el año.
La tabla que se muestra en la figura une las amenazas al dominio de dispositivo con las contramedidas utilizadas para manejarlas.
Amenazas comunes a la LAN La red de área local (LAN) es un conjunto de dispositivos interconectados mediante cables u ondas de radio. El dominio de LAN requiere sólidos controles de acceso y seguridad, dado que los usuarios pueden acceder a los sistemas, las aplicaciones y los datos del dominio de LAN de la organización. Las siguientes son amenazas a la LAN:
Acceso a la LAN no autorizado: Los armarios de cableado, los centros de datos y las salas de computación deben permanecer seguras.
Acceso no autorizado a sistemas, aplicaciones y datos.
Vulnerabilidades de software del sistema operativo de la red.
Actualizaciones del sistema operativo de la red.
Acceso no autorizado de usuarios dudosos a las redes inalámbricas.
Ataques a datos en tránsito.
Cybersecurity Essentials - ES 0118
15 7
Servidores de LAN con diferentes sistemas operativos o hardware: Administrar y solucionar problemas de los servidores se torna cada vez más difícil con las variadas configuraciones.
Escaneo de puertos y sondeo de redes no autorizados.
Firewall mal configurado.
Manejo de las amenazas a la LAN Las organizaciones pueden implementar diversas medidas para manejar las amenazas a la red de área local:
Proteger los armarios de cableado, los centros de datos y las salas informáticas. Denegar el acceso a cualquier persona sin las credenciales adecuadas.
Definir pautas, procedimientos, estándares y políticas de control de acceso estrictos.
Restringir los privilegios de acceso a determinadas carpetas y archivos en función de la necesidad.
Requerir contraseñas o la autenticación para las redes inalámbricas.
Implementar la encriptación entre los dispositivos y las redes inalámbricas para mantener la confidencialidad.
Implementar estándares de configuración del servidor de la LAN.
Realizar pruebas de penetración posterior a la configuración.
Cybersecurity Essentials - ES 0118
15 8
Deshabilitar el ping y escaneo de puertos.
La tabla que se muestra en la figura une las amenazas al dominio de LAN con las contramedidas utilizadas para manejarlas.
Amenazas comunes a la nube privada El dominio de nube privada incluye servidores, recursos e infraestructura de TI privados disponibles para los miembros de la organización a través de Internet. Las siguientes son amenazas a la nube privada:
Escaneo de puertos y sondeo de redes no autorizados.
Acceso no autorizado a los recursos.
Vulnerabilidades de software del sistema operativo del dispositivo de red, firewall o router.
Error de configuración del dispositivo de red, firewall o router.
Usuarios remotos que acceden a la infraestructura de la organización y descargan datos confidenciales.
Cybersecurity Essentials - ES 0118
15 9
Manejo de las amenazas a la nube privada Las organizaciones pueden implementar diversas medidas para manejar las amenazas a la nube privada:
Desactivar el ping, el sondeo y el escaneo de puertos.
Implementar sistemas de prevención y detección de intrusiones.
Supervisar las anomalías del tráfico IP entrante.
Actualizar los dispositivos con parches y correcciones de seguridad.
Realizar pruebas de penetración posteriores a la configuración.
Probar el tráfico entrante y saliente.
Implementar un estándar de clasificación de datos.
Implementar el escaneo y la supervisión de la transferencia de archivos para los tipos de archivos desconocidos.
La tabla que se muestra en la figura une las amenazas al dominio de nube privada con las contramedidas utilizadas para manejarlas.
Cybersecurity Essentials - ES 0118
16 0
Amenazas comunes a la nube pública El dominio de nube pública incluye los servicios alojados por un proveedor de la nube, un proveedor de servicios o un proveedor de Internet. Los proveedores de la nube implementan controles de seguridad para proteger el entorno de la nube, pero las organizaciones son responsables de proteger sus recursos en la nube. Existen tres modelos de servicios diferentes entre los que una organización puede elegir:
Software como servicio (SaaS): un modelo por suscripción que brinda acceso al software alojado de manera centralizada al que los usuarios acceden mediante un navegador web.
Plataforma como servicio (PaaS): proporciona una plataforma que permite que una organización desarrolle, ejecute y administre sus aplicaciones en el hardware del servicio con herramientas provistas por el servicio.
Infraestructura como servicio (IaaS): proporciona recursos de computación virtualizados, como hardware, software, servidores, almacenamiento y otros componentes de infraestructura en Internet.
Las siguientes son amenazas a la nube pública:
Violaciones de datos.
Pérdida o robo de propiedad intelectual.
Credenciales comprometidas.
Los repositorios de identidad federados son un objetivo de gran valor.
Secuestro de una cuenta.
Falta de comprensión por parte de la organización.
Ataques de ingeniería social que atraen a la víctima.
Cybersecurity Essentials - ES 0118
16 1
Violación del cumplimiento.
Manejo de las amenazas a la nube pública Las organizaciones pueden implementar varias medidas para manejar las amenazas a las instalaciones físicas:
Autenticación de varios factores.
Uso de la encriptación.
Implementación de contraseñas de un solo uso, autenticación telefónica y tarjetas inteligentes.
Aplicaciones y datos de distribución a través de varias zonas.
Procedimientos de copia de respaldo de datos.
Diligencia debida.
Programas de concientización de seguridad.
Políticas.
La tabla que se muestra en la figura una las amenazas al dominio de nube pública con las contramedidas utilizadas para manejarlas.
Cybersecurity Essentials - ES 0118
16 2
Amenazas comunes a las instalaciones físicas El dominio de instalaciones físicas incluye todos los servicios utilizados por una organización, entre ellos, la HVAC, el agua y la detección de incendios. Este dominio además incluye medidas de seguridad física empleadas para proteger la instalación. Las siguientes son amenazas a las instalaciones de la organización:
Amenazas naturales, incluidos problemas meteorológicos y riesgos geológicos.
Acceso no autorizado a las instalaciones.
Interrupciones eléctricas.
Ingeniería social para conocer los procedimientos de seguridad y las políticas de la oficina.
Violación de las defensas del perímetro electrónico.
Robo.
Pasillos abiertos que permiten que un visitante camine directamente hacia las instalaciones internas.
Centros de datos desbloqueados.
Falta de vigilancia.
Cybersecurity Essentials - ES 0118
16 3
Manejo de las amenazas a las instalaciones físicas Las organizaciones pueden implementar varias medidas para manejar las amenazas a las instalaciones físicas:
Implementar el control de acceso y la cobertura de circuito de TV cerrado (CCTV) en todas las entradas.
Establecer políticas y procedimientos para los invitados que visitan la instalación.
Probar la seguridad en edificios a través de medios cibernéticos y físicos para obtener acceso encubierto.
Implementar la encriptación de tarjetas de identificación para el acceso a las entradas.
Desarrollar un plan de recuperación tras un desastre.
Desarrollar un plan de continuidad empresarial.
Realizar capacitaciones de concientización en seguridad periódicamente.
Implementar un sistema de etiquetado de activos.
La tabla que se muestra en la figura une las amenazas al dominio de instalaciones físicas con las contramedidas utilizadas para manejarlas.
Cybersecurity Essentials - ES 0118
16 4
Amenazas comunes a las aplicaciones El dominio de aplicación incluye todos los sistemas críticos, las aplicaciones y los datos. Además, incluye hardware y cualquier diseño lógico requeridos. Las organizaciones están moviendo aplicaciones, como el correo electrónico, el monitoreo de la seguridad y la administración de la base de datos a la nube pública. Las siguientes son amenazas a las aplicaciones:
Acceso no autorizado a los centros de datos, las salas de computadoras y los armarios de cableado.
Tiempo de inactividad del servidor para fines de mantenimiento.
Vulnerabilidades de software del sistema operativo de la red.
Acceso no autorizado a los sistemas.
Pérdida de datos.
Tiempo de inactividad de los sistemas de TI durante un largo período.
Vulnerabilidades de desarrollo de aplicaciones web o de cliente/servidor.
Cybersecurity Essentials - ES 0118
16 5
Manejo de las amenazas a las aplicaciones Las organizaciones pueden implementar diversas medidas para manejar las amenazas al dominio de aplicación:
Implementar políticas, estándares y procedimientos para que el personal y los visitantes se aseguren de que las instalaciones están seguras.
Realizar pruebas de software antes del lanzamiento.
Implementar estándares de clasificación de datos.
Desarrollar una política para abordar las actualizaciones del sistema operativo y el software de aplicaciones.
Implementar procedimientos de copia de respaldo.
Desarrollar un plan de continuidad empresarial para que las aplicaciones críticas mantengan la disponibilidad de las operaciones.
Desarrollar un plan de recuperación tras un desastre para las aplicaciones y los datos críticos.
Implementar inicios de sesión.
La tabla que se muestra en la figura une las amenazas al dominio de aplicación con las contramedidas utilizadas para manejarlas.
Cybersecurity Essentials - ES 0118
16 6
Ética de los especialistas en ciberseguridad La ética es la pequeña voz en segundo plano que orienta a los especialistas en ciberseguridad sobre qué deben hacer, independientemente de si es legal. La organización encomienda a los especialistas en ciberseguridad los recursos y los datos más confidenciales. Los especialistas en ciberseguridad deben comprender cómo las leyes y los intereses de la organización ayudan a guiar las decisiones éticas. Los ciberdelincuentes que ingresan en un sistema, roban números de tarjetas de crédito y liberan un gusano realizan acciones poco éticas. ¿Cómo distingue una organización las acciones de un especialista en ciberseguridad si son similares? Por ejemplo, un especialista en ciberseguridad puede detener la propagación de un gusano de forma preventiva con un parche. De hecho, el especialista en ciberseguridad lanza un gusano. Sin embargo, el gusano no es malicioso. ¿Se aprueban sus acciones en este caso? Los siguientes sistemas éticos ven la ética desde varias perspectivas. Ética de los servicios públicos Durante el siglo XIX, Jeremy Benthan y John Stuart Mill desarrollaron la ética de los servicios públicos. El principio rector es que cualquier acción en la que el bien supere al mal es una opción ética. Enfoque de los derechos El principio rector del enfoque de los derechos es que las personas tienen el derecho de tomar sus propias decisiones. Esta perspectiva observa cómo una acción afecta los derechos de otras personas para evaluar si una acción es correcta o incorrecta. Estos derechos incluyen el derecho a la verdad, la privacidad y la seguridad; la sociedad debe aplicar las leyes equitativamente para todos sus miembros. Enfoque del bien común El enfoque del bien común propone que el bien común es lo que beneficia a la comunidad. En este caso, un especialista en ciberseguridad observa cómo una acción afecta el bien común de la sociedad o la comunidad. Ninguna respuesta inequívoca proporciona soluciones obvias para los problemas éticos a los que se enfrentan los especialistas en ciberseguridad. La respuesta sobre qué es correcto o incorrecto puede cambiar según la situación y la perspectiva ética.
Cybersecurity Essentials - ES 0118
16 7
Instituto de Ética Informática El Instituto de Ética Informática es un recurso que identifica, evalúa y responde a problemas éticos en el sector de la tecnología de la información. El CEI (por sus siglas en inglés) fue una de las primeras organizaciones en reconocer los problemas de políticas públicas y éticas que surgían del rápido crecimiento del campo de la tecnología de la información. La figura enumera los diez mandamientos de la ética informática creados por el Instituto de Ética Informática.
Delito cibernético Las leyes prohíben los comportamientos no deseados. Desafortunadamente, los avances de las tecnologías del sistema de información son mayores que los avances del sistema legal de avenencia y legislación. Cierta cantidad de leyes y regulaciones afecta el ciberespacio. Varias leyes específicas rigen las políticas y los procedimientos desarrollados por una organización para garantizar su cumplimiento. Delito cibernético Una computadora puede verse involucrada en un delito cibernético de diferentes maneras. Puede ser un delito asistido por computadora, un delito dirigido a una computadora o un delito informático incidental. La pornografía infantil es un ejemplo de delito informático incidental; La computadora es un dispositivo de almacenamiento y no es la herramienta real utilizada para cometer el delito. El crecimiento del delito cibernético se debe a varios motivos. Hoy en día existen muchas herramientas ampliamente disponibles en Internet y los posibles usuarios no necesitan mucha experiencia para usarlas. Organizaciones creadas para luchar contra el delito cibernético Hay una cantidad de agencias y organizaciones que ayudan a combatir el delito cibernético. Haga clic en cada uno de los enlaces en la figura para visitar los sitios web de estas organizaciones que ayudan a mantenerse al día con los problemas importantes.
Ciberleyes regulatorias, civiles y penales En los Estados Unidos hay tres fuentes primarias de leyes y regulaciones: leyes estatutarias, leyes administrativas y leyes comunes. Las tres fuentes involucran la seguridad informática. El Congreso de los Estados Unidos estableció agencias administrativas federales y un marco de trabajo regulatorio que incluye sanciones civiles y penales para quienes incumplen las reglas. Los derechos penales aplican un código moral comúnmente aceptado respaldado por la autoridad gubernamental. Las regulaciones establecen reglas diseñadas para abordar las consecuencias en una sociedad en constante cambio que aplica sanciones por infringir dichas reglas. Por ejemplo, la Ley de Abuso y Fraude Informático es una ley estatutaria. Administrativamente, la FCC y la Comisión Federal de Comercio se ocupan de problemas tales como el fraude y el robo de la propiedad intelectual. Por último, los casos de leyes comunes resuelven sus problemas a través del sistema judicial que ofrece precedentes y bases constitucionales para las leyes. Ley Federal de Administración de Seguridad de la Información (FISMA) El Congreso elaboró la FISMA en 2002 para cambiar el enfoque del gobierno estadounidense respecto de la seguridad informática. Como los mayores creadores y usuarios de información, los sistemas de TI federales son objetivos de alto valor para los ciberdelincuentes. La FISMA se aplica a los sistemas de TI de las agencias federales y estipula que las agencias deben crear un programa de seguridad de la información que incluya lo siguiente:
Evaluación de riesgos
Inventario anual de los sistemas de TI
Cybersecurity Essentials - ES 0118
16 8
Políticas y procedimientos para reducir el riesgo
Capacitaciones de concientización en seguridad
Prueba y evaluación de todos los controles del sistema de TI
Procedimiento de respuesta ante los incidentes
Continuidad del plan de operaciones
Leyes específicas del sector Muchas leyes específicas del sector tienen un componente de privacidad o seguridad. El gobierno estadounidense requiere el cumplimiento de las organizaciones de estos sectores. Los especialistas en ciberseguridad deben ser capaces de traducir los requisitos legales en prácticas y políticas de seguridad. Ley Gramm-Leach-Bliley (GLBA) La Ley Gramm-Leach-Bliley es una ley que afecta principalmente el sector financiero. Parte de dicha ley, sin embargo, incluye disposiciones de privacidad para los individuos. La disposición permite métodos de exclusión voluntaria para que los individuos puedan controlar el uso de la información provista en una transacción comercial con una organización que forma parte de la institución financiera. La GLBA restringe el intercambio de información con firmas externas. Ley Sarbanes-Oxley (SOX) Después de varios escándalos contables corporativos de alto perfil en los Estados Unidos, el congreso aprobó la Ley Sarbanes-Oxley (SOX). El propósito de la SOX era revisar los estándares contables corporativos y financieros, específicamente los estándares de las firmas públicas comercializadas estadounidenses. Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) El sector privado también reconoce la importancia de los estándares uniformes y ejecutables. Un Consejo de Estándares de Seguridad integrado por las principales corporaciones en el sector de las tarjetas de pago diseñó una iniciativa del sector privado para mejorar la confidencialidad de las comunicaciones de red. El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de reglas contractuales que rige cómo proteger los datos de las tarjetas de crédito cuando los bancos y los comerciantes intercambian transacciones. El PCI DSS es (en teoría) un estándar voluntario y los comerciantes/proveedores pueden elegir si desean cumplirlo. Sin embargo, el incumplimiento de los proveedores puede provocar tasas de transacción significativamente mayores, multas de hasta USD 500 000 e incluso la pérdida de la capacidad para procesar tarjetas de crédito. Restricciones a la importación/exportación de encriptación Desde la Segunda Guerra Mundial, Estados Unidos ha regulado la exportación de la criptografía debido a consideraciones de seguridad nacional. La Oficina de Industria y Seguridad del Departamento de Comercio ahora controla las exportaciones criptográficas no militares. Aún hay restricciones de exportación para los estados agresores y las organizaciones terroristas. Los países pueden decidir si desean restringir la importación de las tecnologías criptográficas por los siguientes motivos:
La tecnología puede contener una puerta trasera o una vulnerabilidad en la seguridad.
Los ciudadanos pueden comunicarse anónimamente y evitar el monitoreo.
Cybersecurity Essentials - ES 0118
16 9
La criptografía puede aumentar los niveles de privacidad a un nivel aceptable.
Leyes de notificación de infracciones a la seguridad Las empresas recopilan cantidades cada vez mayores de información personal sobre sus clientes, desde contraseñas de cuentas y direcciones de correo electrónico hasta información médica y financiera altamente confidencial. Las empresas grandes y pequeñas reconocen el valor del análisis de datos masivos y datos. Esto fomenta a las organizaciones a recopilar y almacenar información. Los ciberdelincuentes buscan constantemente nuevas maneras de obtener dicha información o de acceder y atacar los datos más confidenciales de una empresa. Las organizaciones que recopilan datos confidenciales deben ser buenos guardianes de datos. En respuesta a este crecimiento en la recopilación de datos, varias leyes requieren que las organizaciones que recopilan datos de información personal notifiquen a las personas si se produce una violación de sus datos personales. Para ver una lista de estas leyes, haga clic aquí. Ley de Privacidad de Comunicaciones Electrónicas (ECPA) La Ley de Privacidad de Comunicaciones Electrónicas (ECPA) aborda una infinidad de cuestiones legales de privacidad que surgen del uso cada vez mayor de computadoras y otras tecnologías específicas para las telecomunicaciones. Las secciones de esta ley abordan el correo electrónico, las comunicaciones celulares, la privacidad del lugar de trabajo y el host, entre otros problemas relacionados con la comunicación electrónica. Ley de Abuso y Fraude Informático (1986) La Ley de Abuso y Fraude Informático (CFAA) ha estado en vigencia por más de 20 años. La CFAA proporciona la base para las leyes estadounidenses que penalizan el acceso no autorizado a los sistemas informáticos. La CFAA considera un delito acceder intencionadamente y sin permiso a una computadora del gobierno o una computadora utilizada en el mercado interestatal. La CFAA también penaliza el uso de una computadora en un delito de naturaleza interestatal. La ley penaliza el tráfico de contraseñas o información de acceso similar y la transmisión intencionada de un programa, un código o un comando que da como resultado un daño.
Protección de la privacidad Las siguientes leyes estadounidenses protegen la privacidad. Ley de Privacidad de 1974 Esta ley establece un Código de práctica de información justa que rige la recopilación, el mantenimiento, el uso y la transmisión de la información de identificación personal de los individuos conservada en sistemas de registro por las agencias federales. Ley de Libertad de Información (FOIA) La FOIA permite el acceso público a los registros del gobierno estadounidense. La FOIA lleva aparejada la presunción de divulgación, por lo que la carga recae en el gobierno acerca de por qué no puede hacer pública la información. Hay nueve exenciones de divulgación relacionadas con la FOIA:
Información de políticas externas y seguridad nacional.
Prácticas y reglas para el personal interno de una agencia.
Información específicamente exenta por estatuto.
Información empresarial confidencial.
Cybersecurity Essentials - ES 0118
17 0
Comunicación interinstitucional o intrainstitucional sujeta a procesos deliberativos, litigaciones y otros privilegios.
Información que, si se divulga, constituirá una clara invasión infundada a la privacidad personal.
Registros de aplicación de las leyes que implican uno de varios problemas enumerados.
Información de agencias de instituciones financieras.
Información geológica y geofísica relacionada con los pozos.
Ley de Privacidad y Registros de Educación Familiar (FERPA) Esta ley federal concedió acceso a los estudiantes a los registros educativos. La FERPA es opcional, dado que el estudiante debe aprobar la divulgación de la información antes de que suceda. Cuando un alumno cumple 18 años o ingresa en una institución postsecundaria a cualquier edad, los derechos de la FERPA pasan de los padres del estudiante al estudiante. Ley de Abuso y Fraude Informático (CFAA) de los Estados Unidos Esta ley federal se aplica a la recopilación en línea de información personal por parte de personas o entidades bajo la jurisdicción estadounidense para niños menores de 13 años. Antes de recopilar y utilizar la información de niños (de 13 años o menos), se debe obtener el permiso de los padres. Ley de Protección de la Privacidad Infantil en Línea (COPPA) de los Estados Unidos Esta ley federal se aplica a la recopilación en línea de información personal por parte de personas o entidades bajo la jurisdicción estadounidense para niños menores de 13 años. Antes de recopilar y utilizar la información de niños (de 13 años o menos), se debe obtener el permiso de los padres. Ley de Protección Infantil en Internet (CIPA) de los Estados Unidos El Congreso de los Estados Unidos aprobó la CIPA en el año 2000 para proteger a los niños menores de 17 años de la exposición a contenidos ofensivos y material obsceno de Internet. Ley de Protección de Privacidad de Videos (VPPA) La Ley de Protección de Privacidad de Videos protege a las personas que rentan cintas de video, DVD y juegos de la divulgación a terceros. El estatuto ofrece protección de forma predeterminada, por lo que requiere que las empresas de renta de videos obtengan el consentimiento del arrendatario para optar por la exclusión de las protecciones si desean divulgar información personal sobre las rentas. Muchos abogados de privacidad consideran que la VPPA es la ley de privacidad más fuerte de los EE. UU. Ley de Portabilidad y Responsabilidad del Seguro Médico Los estándares exigen protecciones de seguridad para el almacenamiento físico, el mantenimiento, la transmisión y el acceso de la información médica de las personas. La HIPAA exige que las organizaciones que utilizan firmas electrónicas cumplan los estándares y garanticen la integridad de la información, la autenticación del firmante y el no repudio. Ley del Senado de California de 1386 (SB 1386) California fue el primer estado en aprobar una ley relacionada con la notificación de la divulgación no autorizada de información de identificación personal. Desde entonces, muchos otros estados han seguido el ejemplo. Cada una de estas leyes de notificación de la divulgación es diferente, lo que plantea el caso de un estatuto federal unificado convincente. Esta ley requiere que las agencias notifiquen a los consumidores sus derechos y responsabilidades. Exige que el estado notifique a los ciudadanos cuando se pierde o divulga la PII. Desde que se aprobó la SB 1386, muchos otros estados han modelado su legislación sobre este proyecto de ley. Políticas de privacidad
Cybersecurity Essentials - ES 0118
17 1
Las políticas son la mejor manera de garantizar el cumplimiento en una organización; Una política de privacidad desempeña un rol importante dentro de una organización, especialmente con la cantidad de leyes decretadas para proteger la privacidad. Uno de los resultados directos de los estatutos legales asociados a la privacidad ha sido el desarrollo de la necesidad de políticas de privacidad corporativas relacionadas con la recopilación de datos. Evaluación del impacto en la privacidad (PIA) La evaluación del impacto en la privacidad garantiza que la información de identificación personal (PII) esté correctamente administrada dentro de una organización.
Establezca el alcance de la PIA.
Identifique las partes interesadas clave.
Documente todos los contactos con la PII.
Revise los requisitos legales y normativos.
Documente los posibles problemas causados al comparar requisitos y prácticas.
Revise los resultados con las partes interesadas clave.
Leyes internacionales Con el crecimiento de las conexiones de red global e Internet, el acceso no autorizado a un sistema informático o la violación de una computadora son preocupaciones que pueden tener consecuencias nacionales e internacionales. Las leyes nacionales sobre violaciones a una computadora existen en muchos países, pero siempre existe la posibilidad de brechas en cómo estas naciones manejan este tipo de delito. Convención sobre Delito Cibernético La Convención sobre Delito Cibernético es el primer tratado internacional sobre delitos de Internet (UE, Estados Unidos, Canadá, Japón y otros). Las políticas comunes manejan el delito cibernético y abordan lo siguiente: infracción de derechos de autor, fraude relacionado con la computación, pornografía infantil e infracciones a la seguridad de la red. Haga clic aquí para leer más sobre la Convención sobre Delito Cibernético. Centro de Información sobre la Privacidad Electrónica (EPIC) El EPIC promueve políticas y leyes gubernamentales abiertas y de privacidad globalmente, pero se centra en las relaciones entre la UE y los Estados Unidos. Haga clic aquí para ver las últimas novedades.
Base de datos nacional de vulnerabilidades La base de datos nacional de vulnerabilidades (NVD) es un repositorio de datos de administración de vulnerabilidades basadas en estándares del gobierno estadounidense que utiliza el protocolo de automatización de contenido de seguridad (SCAP). El SCAP es un método para utilizar estándares específicos para automatizar la administración de vulnerabilidades, la medición y la evaluación del cumplimiento de políticas. Haga clic aquí para visitar el sitio web de la base de datos nacional de vulnerabilidades. El SCAP utiliza estándares abiertos para enumerar las fallas y los problemas de configuración del software de seguridad. Las especificaciones organizan y miden la información relacionada con la seguridad de maneras estandarizadas. La comunidad del SCAP es una asociación entre el sector de nubes públicas y privadas que fomenta la estandarización de las operaciones de seguridad técnicas. Haga clic aquí para visitar el sitio web del protocolo de automatización de contenido de seguridad (SCAP).
Cybersecurity Essentials - ES 0118
17 2
La NVD utiliza el sistema de calificación de vulnerabilidades comunes para evaluar el impacto de las vulnerabilidades. Una organización puede usar las puntuaciones para clasificar la gravedad de las vulnerabilidades que encuentra dentro de la red. Esto, a su vez, puede ayudar a determinar la estrategia de mitigación. El sitio además contiene varias listas de comprobación que proporcionan orientación sobre la configuración de los sistemas operativos y las aplicaciones para un entorno protegido. Haga clic aquí para visitar el repositorio nacional de programas de listas de comprobación.
CERT El Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon ayuda al gobierno y las organizaciones del sector a desarrollar, operar y mantener sistemas de software innovadores, asequibles y confiables. Se trata de un centro de investigación y desarrollo subvencionado por el gobierno federal patrocinado por el Departamento de Defensa de los Estados Unidos. La división del CERT del SEI estudia y resuelve los problemas en el área de la ciberseguridad, entre ellos, las vulnerabilidades en la seguridad en los productos de software, los cambios en los sistemas de red y la capacitación para mejorar la ciberseguridad. El CERT ofrece los siguientes servicios:
Ayuda a resolver las vulnerabilidades del software.
Desarrolla herramientas, productos y métodos para realizar exámenes de informática forense.
Desarrolla herramientas, productos y métodos para analizar vulnerabilidades.
Desarrolla herramientas, productos y métodos para supervisar grandes redes.
Ayuda a las organizaciones a determinar cuán eficaces son las prácticas relacionadas con la seguridad.
El CERT tiene una amplia base de datos de información sobre las vulnerabilidades del software y los códigos maliciosos que ayuda a desarrollar soluciones y estrategias de corrección. Haga clic aquí para visitar el sitio web del CERT.
Internet Storm Center Internet Storm Center (ISC) proporciona un servicio de análisis y alerta gratuito a las organizaciones y los usuarios de Internet. También trabaja con los proveedores de servicios de Internet para combatir a los ciberdelincuentes maliciosos. Internet Storm Center recopila millones de entradas de registros de sistemas de detección de intrusiones cada día mediante sensores que cubren 500 000 direcciones IP en más de 50 países. El ISC identifica los sitios utilizados para los ataques y proporciona datos sobre los tipos de ataques lanzados contra diversos sectores y regiones del mundo. Haga clic aquí para visitar el Internet Storm Center. El sitio web ofrece los siguientes recursos:
Un archivo de blog diario de seguridad informática.
Podcasts, como Daily Stormcasts; Actualizaciones diarias de amenazas a la seguridad informática que duran entre 5 y 10 minutos.
Publicaciones de empleos de seguridad informática.
Noticias sobre seguridad informática.
Herramientas de seguridad informática.
Cybersecurity Essentials - ES 0118
17 3
Informes de seguridad informática.
Foros de seguridad informática para el ISC del SANS.
El SANS apoya el Internet Storm Center. El SANS es una fuente confiable para la investigación, la certificación y la capacitación en seguridad informática.
Centro de Ciberseguridad Avanzada El Centro de Ciberseguridad Avanzada (ACSC) es una organización sin fines de lucro que reúne a la industria, los círculos académicos y el gobierno para abordar las ciberamenazas avanzadas. La organización comparte información sobre ciberamenazas, participa en la investigación y el desarrollo de la ciberseguridad y crea programas educativos para promover la profesión de la ciberseguridad. El ACSC definió cuatro desafíos que definen sus prioridades:
Desarrollar sistemas sólidos para recuperarse de ataques y fallas.
Mejorar la seguridad móvil.
Elaborar intercambios de amenazas en tiempo real.
Integrar los riesgos cibernéticos con los marcos de trabajo de riesgo empresariales.
Haga clic aquí para visitar el Centro de Ciberseguridad Avanzada.
Escáneres de vulnerabilidades Un escáner de vulnerabilidades evalúa las computadoras, los sistemas informáticos, las redes o las aplicaciones en busca de debilidades. Los escáneres de vulnerabilidades ayudan a automatizar la auditoría de seguridad escaneando la red en busca de riesgos de seguridad y produciendo una lista prioritaria para abordar las debilidades. Un escáner de vulnerabilidades busca los siguientes tipos de vulnerabilidades:
Uso de contraseñas predeterminadas o contraseñas comunes.
Parches faltantes.
Puertos abiertos.
Errores de configuración del software y los sistemas operativos.
Direcciones IP activas.
Al momento de evaluar un escáner de vulnerabilidades, observe cómo se clasifica su precisión, confiabilidad, escalabilidad e informes. Existen dos tipos de escáneres de vulnerabilidades entre los que puede elegir: Basados en software o basados en la nube. El análisis de vulnerabilidades es fundamental para las organizaciones con redes que incluyen una gran cantidad de segmentos de red, routers, firewalls, servidores y otros dispositivos empresariales. Haga clic aquí para ver varias opciones disponibles tanto para las versiones comerciales como gratuitas.
Cybersecurity Essentials - ES 0118
17 4
Pruebas de penetración La prueba de penetración (evaluación de intrusión) es un método para probar las áreas de debilidades en los sistemas mediante diversas técnicas maliciosas. La evaluación de intrusión no es lo mismo que la prueba de vulnerabilidades. La prueba de vulnerabilidades identifica los posibles problemas. La evaluación de intrusión involucra a un especialista en ciberseguridad que hackea un sitio web, una red o un servidor con el permiso de la organización para intentar obtener acceso a recursos sabiendo los nombres de usuario y las contraseñas o por otros medios normales. La diferencia más importante entre los ciberdelincuentes y los especialistas en ciberseguridad es que los especialistas en ciberseguridad tienen el permiso de la organización para realizar estas pruebas. Uno de los motivos principales por los que una organización utiliza las evaluaciones de intrusión es la búsqueda y la corrección de las vulnerabilidades antes de que lo hagan los ciberdelincuentes. La prueba de penetración también se conoce como hackeo ético.
Analizadores de paquetes Los analizadores de paquetes (o analizadores de protocolos de paquetes) interceptan y registran el tráfico de red. El analizador de paquetes captura cada paquete, muestra los valores de varios campos en el paquete y analiza el contenido. Un analizador de protocolos puede capturar el tráfico de red tanto en redes cableadas como inalámbricas. Los analizadores de paquetes realizan las siguientes funciones:
Análisis de problemas de red.
Detección de intentos de intrusión en la red.
Aislamiento del sistema explotado.
Registro del tráfico.
Detección de usos indebidos de la red.
Haga clic aquí para ver una comparación de los analizadores de paquetes.
Cybersecurity Essentials - ES 0118
17 5
Herramientas de seguridad No existe un criterio único cuando se trata de las mejores herramientas de seguridad. Mucho depende de la situación, la circunstancia y la preferencia del personal. Un especialista en ciberseguridad debe saber dónde obtener información correcta. Kali Kali es una distribución de seguridad de Linux de código abierto. Los profesionales de TI usan Kali de Linux para probar la seguridad de sus redes. Kali de Linux incorpora más de 300 pruebas de penetración y programas de auditoría de seguridad en una plataforma de Linux. Haga clic aquí para visitar el sitio web. Conocimiento de la situación de la red Una organización debe tener la capacidad de supervisar las redes, analizar los datos resultantes y detectar actividades maliciosas. Haga clic aquí para acceder a una serie de herramientas de análisis de tráfico desarrolladas por el CERT.
Definición de las funciones del paladín de ciberseguridad El estándar ISO define las funciones de los paladines de ciberseguridad. El marco de trabajo ISO 27000 requiere:
Un alto directivo responsable de TI e ISM (generalmente el patrocinador de la auditoría).
Profesionales de seguridad informática.
Administradores de seguridad.
Un administrador de seguridad física/en el sitio y contactos de las instalaciones.
Cybersecurity Essentials - ES 0118
17 6
Un contacto de R.H. para los problemas de Recursos Humanos, como las capacitaciones y las medidas disciplinarias.
Administradores de redes y sistemas, arquitectos de seguridad y otros profesionales de TI.
Los tipos de puestos de seguridad informática se dividen de la siguiente manera:
Los definidores proporcionan políticas, pautas y estándares e incluyen asesores, que realizan evaluaciones de riesgos y desarrollan arquitecturas técnicas y productos, y personas en el más alto nivel dentro de la organización, que tienen un conocimiento amplio pero poco profundo.
Los constructores son los verdaderos técnicos que crean e instalan soluciones de seguridad.
Los supervisores administran las herramientas de seguridad, realizan la función de monitoreo de seguridad y mejoran los procesos.
Haga clic en los puestos de seguridad informática que desempeñan una función clave en cualquier organización para conocer los componentes clave de cada uno.
Herramientas de búsqueda laboral Una variedad de sitios web y aplicaciones móviles publicita trabajos de tecnología de la información. Cada sitio está dirigido a los diversos postulantes laborales y proporciona diferentes herramientas para los candidatos que investigan el puesto de trabajo ideal. Muchos sitios son agregadores de sitios de trabajo, sitios de búsqueda laboral que recopilan listas de otros sitios de empleos empresariales y bolsas laborales en una única ubicación. Indeed.com Publicitado como el sitio de trabajo número uno del mundo, Indeed.com atrae a más de 180 millones de visitantes exclusivos por mes de más de 50 países diferentes. Indeed es verdaderamente un sitio de trabajo mundial. Indeed ayuda a las empresas de todos los tamaños a contratar a los mejores talentos y ofrece las mejores oportunidades para quienes buscan trabajo. CareerBuilder.com CareerBuilder ayuda a muchas empresas grandes y prestigiosas. Como resultado, este sitio atrae a los candidatos específicos que poseen la mayor educación y las credenciales más altas. Los empleadores que publican en CareerBuilder comúnmente obtienen más candidatos con títulos universitarios, credenciales avanzadas y certificaciones industriales. USAJobs.gov El gobierno federal publica cualquier vacante en USAJobs. Haga clic aquí para obtener más información sobre el proceso de aplicación utilizado por el gobierno estadounidense.
Rsumen Capítulo 8: Uniéndose al orden de los héroes cibernéticos Este capítulo categoriza la infraestructura de la tecnología de la información creada por el avance de la tecnología en siete dominios. Un especialista en ciberseguridad exitoso debe conocer los controles de seguridad adecuados de cada dominio requeridos para cumplir con los requisitos de la tríada de CID. El capítulo analiza las leyes que afectan la tecnología y los requisitos de la ciberseguridad. Las leyes, como FISMA, GLBA y FERPA, se centran en la protección de la confidencialidad. Las leyes que se enfocan en la protección de la integridad incluyen la FISMA, SOX y FERPA; las leyes relacionadas con la disponibilidad son la FISMA, GLBA, SOX y CIPA. Además de las leyes vigentes, los especialistas en ciberseguridad deben comprender cómo el uso de las computadoras y la tecnología afecta tanto a los individuos como a la sociedad.
Cybersecurity Essentials - ES 0118
17 7
El capítulo también explora la oportunidad de convertirse en un especialista en ciberseguridad. Por último, este capítulo analiza varias herramientas disponibles para los especialistas en ciberseguridad.
Cybersecurity Essentials - ES 0118
17 8
Related Documents
Cybersecurity Essentials2.pdf
March 2021 0
Cybersecurity For Dummies
March 2021 0
Cybersecurity Lexicon: Luis Ayala
January 2021 1
More Documents from "Alfonso Agustin Zambrano"
Julie Garwood Iubirea E Mai Dulce Primavara
January 2021 1
V Bonus By Manos Kartsakis
January 2021 2
Yamaha Tracer Mt07abs-2016
February 2021 2
Libro Ingles 2 Eso Vacaciones
March 2021 0
