Fundamentos de Ciberseguridad

SEGURIDAD DE LA INFORMACIÓN
DEFINICIÓN
La seguridad de la información
es el conjunto de medidas
preventivas y reactivas de​ las
organizaciones y sistemas
tecnológicos que permiten
resguardar y proteger la
información buscando
mantener la confidencialidad, la
disponibilidad e integridad de
datos.
ACTIVOS DE LA INFORMACIÓN
 CIBERSEGURIDAD
“La ciberseguridad es el conjunto de herramientas,
políticas, conceptos de seguridad, salvaguardas de
seguridad, directrices, métodos de gestión de riesgos,
acciones, formación, prácticas idóneas, seguros y
tecnologías que pueden utilizarse para proteger los activos
difitales en el ciberespacio”
ACTIVOS DE LA CIBERSEGURIDAD
 ISO 27001

ISO 27032
 Seguridad de información y Ciberseguridad

Seguridad de información Ciberseguridad

Protección de la Información, abordando amenazas a la
información procesada, almacenada y transportada a través de los
sistemas interconectados.

Documentos en Propiedad digital e Comunicaciones Ataques

diferentes formatos intelectual verbales o visuales Protección de patrocinados por Amenazas Avanzadas
Activos Digitales naciones-estados Persistentes (APTs)

La Ciberseguridad es un componente de la Seguridad de la Información

 FUNCIONES DE LA CIBERSEGURIDAD

Proteger Responder
• Usar el entendimiento • Implementar • Planificar para tener
de la organización para actividades para resiliencia recuperar
minimizar riesgos en • Diseñar salvaguardas identificar la • Tomar las medidas de forma oportuna
los sistemas, activos, para limitar el ocurrencia de un adecuadas después los servicios y
datos y capacidades impacto de eventos evento de de saber de un capacidades
potenciales en Ciberseguridad evento de seguridad comprometidos
servicios críticos e
infraestructuras
Identificar Detectar Recuperar

Funciones claves necesarias para la protección de los activos digitales

 TRIADA SE LA SEGURIDAD

SEGURIDAD

DISPONIBILIDAD
 CONFIDENCIALIDAD
La confidencialidad es la propiedad
que impide la divulgación de
información a individuos, entidades
o procesos no autorizados. A
grandes rasgos, asegura el acceso a
la información únicamente a
aquellas personas que cuenten con
la debida autorización.
INTEGRIDAD
Es la propiedad que busca mantener los
datos libres de modificaciones no
autorizadas.
La integridad es mantener con exactitud
la información tal cual fue generada, sin
ser manipulada ni alterada por personas
o procesos no autorizados.
DISPONIBILIDAD
• La disponibilidad es la característica,
cualidad o condición de la información de
encontrarse a disposición de quienes deben
acceder a ella, ya sean personas, procesos o
aplicaciones.
• La disponibilidad es el acceso a la
información y a los sistemas por personas
autorizadas en el momento que así lo
requieran.
 Roles en la Ciberseguridad

Todas las organizaciones tienen la responsabilidad y el deber de proteger sus

activos y operaciones, incluyendo su infraestructura de TI y la información
Plan de Gestión

Gobierno Gestión de Riesgo Cumplimiento

• Responsabilidad de la Junta Directiva y • Proceso por el cual una organización • Acto de adherirse a, y la capacidad de
de la Gerencia de la Organización. gestiona su riesgo a niveles aceptables. demostrar adhesión a, los requisitos
• Requiere el desarrollo e definidos por mandato, leyes y
implementación de controles internos regulaciones.
para gestionar y mitigar los riesgos.

La Ciberseguridad es responsabilidad de toda la organización en todos sus niveles

 GOBIERNO
El gobierno es la • Proporcionar orientación
responsabilidad de la Junta estratégica.
Directiva y la Gerencia de la • Asegurarse de que se
organización. cumplan los objetivos.
Para la Ciberseguridad el • Determinar si el riesgo se está
gobierno tiene varios objetivos: gestionando apropiadamente.
• Verificar que los recursos de la
organización se están
utilizando de manera
responsable.
 ¿Qué hace un profesional de la Ciberseguridad?
La complejidad inherente de su trabajo requiere que los profesionales de ciberseguridad posean no sólo una amplia gama de habilidades
técnicas de TI, sino también capacidades analíticas avanzadas. Un profesional de la ciberseguridad puede ser un profesional o parte de la alta
administración.

Gerente de Seguridad de Profesionales de la

Comité de Dirección la Información Ciberseguridad

Un gobierno eficaz solo puede Sera responsable, entre otras Juntos diseñan, implementan y
lograrse mediante la participación de funciones, de, : gestionan procesos y controles
la alta dirección en la aprobación de Desarrollo de estrategias de seguridad. técnicos. Además de responder a
políticas y un apropiado seguimiento y Supervisar el programa e iniciativas de los eventos e incidentes.
la medición unidos a la presentación seguridad.
de informes y análisis de tendencias. Asegurar que se lleven a cabo las
evaluaciones de riesgo.
La directiva tiene la obligación Desarrollar estrategias de mitigación de
permanente de supervisar las riesgo.
actividades relacionadas con la Hacer cumplir las políticas y normativas.
ciberseguridad. Monitorizar el uso y eficacia de los
recursos de seguridad.
Roles de la Ciberseguridad
Comité de
Dirección

Dirección Ejecutiva

Gerente de Seguridad de la
Información

Profesionales de Ciberseguridad
Dominios de la Ciberseguridad
Conceptos de Ciberseguridad

Principios de Arquitectura de Seguridad

Seguridad de redes, sistemas, aplicaciones y datos

Respuesta a incidentes

Implicaciones de seguridad y la adopción de

tecnología en evolución
Conceptos de la Ciberseguridad
1
2
Términos, conceptos
Tipos y vectores
y marcos de gestión
comunes de ataque
de riesgo

3
Proceso general y 4
atributo de los Malware
ciberataque

5
6
Marco de política y
Procesos de control
procedimiento y
de ciberseguridad
directrices
 Conceptos claves y sus definiciones
Riesgo Vulnerabilidad
El riesgo es la probabilidad de que una amenaza se
Una debilidad en el diseño, implementación,
convierta en un desastre. La vulnerabilidad o las
operación o el control interno de un proceso que
amenazas, por separado, no representan
podría exponer el sistema a las amenazas.
un peligro. Pero si se juntan, se convierten en
un riesgo

Amenaza Activo
Cualquier cosa que es capaz de actuar en contra Algo de valor, tangible o intangible, que vale la
de un activo de manera que pueda resultar en pena proteger, incluyendo personas,
daño. información, infraestructura, finanzas y la
reputación.
Agentes de Amenaza

ESTADOS NACIONALES
CORPORACIONES
Se focalizan en gobiernos y
Se les conoce por romper los
entidades privadas con un alto
limites de seguridad y realizar
nivel de sofisticación para
actos maliciosos para obtener
obtener inteligencia o realizar
ventajas competitivas.
actividades destructivas.

CIBERTERRORISTAS
HACKTIVISTAS
Se caracterizan por su
Pueden tener como objetivos
disposición a usar la violencia,
personas u organizaciones
se dirigen a infraestructura
especificas para logar diversos
criticas y grupos
fines ideológicos.
gubernamentales.
 Agentes de Amenaza
CIBERGUERREROS
CIBERCRIMINALES Son ciudadanos motivados a
nivel nacional que pueden
Motivados por el lucro, se
actuar en nombre de un
involucran en transacciones
partido político o en contra de
financieras fraudulentas.
otro partido político que lo
amenaza.

SCRIPT KIDDIES
Son personas jóvenes que HACKERS SOCIALES
están aprendiendo a hackear, Implicados en el ciberacoso,
se involucran principalmente robo de identidad y
en inyección de códigos y recolección de otra
ataques de denegación de información confidencial.
servicios.

EMPLEADOS
Empleados insatisfechos
representan un riesgo de
ciberseguridad clara.
 Atributos del Ataque
1) Un ataque es una actividad realizada por un agente de amenaza contra un activo (Objetivo).

2) La ruta de acceso al objetivo se denomina Vector de Ataque.

3) Hay dos tipos de vectores de ataque: de entrada y de salida.

4) Mientras la mayoría de los análisis de ataque se concentran en los de entrada, o intrusión, en los sistemas,
algunos ataques están diseñados para eliminar los datos de los sistemas y redes.

Vector de Objetivo
Payload Exploit Vulnerabilidad
ataque (Activo)

El atacante debe enfrentarse a cualquiera de los controles implantados y/o utilizar un código para explotar
debilidades (exploit) para aprovechar una vulnerabilidad.
 Proceso de Ataque

Crear Entrega de Explotar

Realizar
herramientas de funciones debilidades y
reconocimientos
ataque maliciosas comprometer

Coordinar una Mantener una Obtención de

Dirigir un ataque
campaña presencia resultados
 Proceso de Ataque Generalizado
El adversario recoge información usando una variedad de
1 técnicas, las cuales pueden incluir:

• Búsqueda (sniffing) o escaneo del perímetro de la red

Realizar • Uso de información de la organización de libre acceso
Reconocimiento
• Ejecución de software malintencionado (malware) para
identificar objetivos potenciales

El adversario diseña las herramientas necesarias para llevar

a cabo un futuro ataque, que pueden incluir:
2
Crear • Phishing o ataques selectivos de phishing
herramientas de • Diseño de sitios web o certificados fraudulentos
ataque • Creación y operación de falsas organizaciones pantalla
para inyectar componentes maliciosos en la cadena de
suministro
 Proceso de Ataque Generalizado
El adversario inserta o instala lo que sea necesario para llevar a cabo
el ataque, lo cual puede incluir las siguientes tácticas:
3 • La introducción de malware en los sistemas de información de la
Entrega de organización
funciones • La instalación de sniffers o dispositivos de escaneo en redes y
maliciosas sistemas objetivo
• Introducir hardware o componentes críticos manipulados

El adversario se aprovecha de la información y los sistemas con el

fin de comprometerlos, lo que puede implicar las siguientes acciones:
4
Explotar • Split tunneling o conseguir acceso físico a las instalaciones de la
organización
debilidades y • La filtración de datos o información sensible
comprometer • Abuso de la capacidad multiusuario
• Inicio de exploits de día cero
 Proceso de Ataque Generalizado
El adversario coordina las herramientas de ataque o realiza
actividades que interfieran con las funciones organizativas. Los

5 métodos potenciales de ataque incluyen:

5. Dirigir un • Interceptación de comunicaciones o interferencia inalámbrica

ataque • Ataques de denegación de servicio (ataques distribuidos de
denegación de servicio (DDoS)
• Interferencias a distancia o ataques físicos a las instalaciones o
infraestructuras de la organización

6 El adversario causa un impacto adverso, que puede incluir:

6. Obtención de • Obtener acceso no autorizado a sistemas y/o información sensible

resultados • La degradación de los servicios o capacidades de la organización
• Crear, corromper o borrar datos críticos
 Proceso de Ataque Generalizado

7 El adversario continua aprovechándose de exploits y poniendo en

peligro el sistema mediante las siguientes técnicas:
7. Mantener una
presencia o un • Ofuscando las acciones de adversario o interfiriendo con los
conjunto de sistemas de detección de intrusos (IDS)
capacidades • Adaptando los ciberataques en respuesta a las medidas de
seguridad de la organización

8 El adversario coordina una campaña contra la organización que

puede implicar las siguientes medidas:

8. Coordinar una
• Ataques de múltiples etapas
campaña
• Ataques internos y externos
• Ataques generalizados y adaptados
 Eventos de Amenaza sin Confrontación
Aunque la mayoría de los ataques son el resultado de un esfuerzo coordinado, hay otros
eventos que pueden plantear varios riesgos para una organización.

Algunos de los eventos de amenazas sin confrontación más comunes son:

Incendio,
Un mal manejo de inundación, Errores genéricos de
Inclusión de
la información Configuración huracán, tormentas disco u otros problemas
vulnerabilidades en
crítica o sensible incorrecta de o terremotos en las causados por la
productos de
por usuarios privilegios instalaciones antigüedad de los
software
autorizados primarias o en las equipos
de respaldo
EVENTOS DE AMANAZAS
Malware y Tipos de Ataque
Malware o código malicioso, es el
software diseñado para tener
acceso a sistemas informáticos
específicos, robar información o
interrumpir las operaciones
informáticas.

Hay varios tipos de malware, siendo

los más importantes virus
informáticos, gusanos y troyanos,
que se diferencian por la forma en
que operan o se extienden.
Otros tipos comunes de Malware

Los virus: Es un trozo de código que puede replicarse a sí

mismo y propagarse de un ordenador a otro.

Gusano de red: Es básicamente una pieza de código auto-

replicante, diseñado para propagarse a través de las redes.

Troyanos: Es una pieza de malware que obtiene acceso a un

sistema objetivo al esconderse dentro de una aplicación real.

Red de computadoras infectadas con código malicioso

(Botnet): ( término derivado de “robot network”) es una red
grande, automatizada y distribuida de ordenadores previamente
comprometidos
Otros tipos comunes de Malware
Software espía (spyware): Recopila información sobre una
persona u organización sin su conocimiento.

Sistemas de publicidad (adware): Diseñado para mostrar

anuncios (generalmente no deseados) a los usuarios.

Software maligno de petición de rescate (Ransomware): Un

tipo de malware de extorsión que bloquea o codifica los datos o
funciones y exige un pago para desbloquearlos.

Software de registro de tecleado (Keylogger): Registra en

secreto las pulsaciones de teclado de los usuarios y, en algunos
casos, el contenido de la pantalla.

Rootkit: Oculta la existencia de otro tipo de malware mediante

la modificación del sistema operativo subyacente.
 Otros tipos de Ataque

Algunos de los patrones de ataque más comunes se enumeran a continuación.

Amenazas persistentes
avanzadas: Puerta trasera:
Ataque de fuerza bruta:
Ataques complejos y coordinados Un medio de recuperar el acceso a
dirigidos a una entidad u organización un sistema comprometido mediante Un ataque realizado al intentar
específica. la instalación de software o la todas las combinaciones posibles
configuración de software existente de contraseñas o claves de
Requieren una enorme cantidad de para permitir el acceso remoto bajo cifrado hasta encontrar la
investigación y tiempo, a menudo les condiciones definidas por el correcta.
toma meses o incluso años para atacante.
ejecutarse plenamente.
 Otros tipos de Ataque

Ingeniería social
Ataque de denegación Ataque de “hombre en el
de servicio (Dos) medio” Phishing
Cualquier intento de
explotar las Un tipo de ataque vía
Un asalto a un servicio de El atacante intercepta el
vulnerabilidades sociales correo electrónico (e-mail)
una sola fuente que lo flujo de comunicación entre
inunda con tantas dos partes del sistema de la para tener acceso a la que intenta convencer a un
solicitudes que éste se ve víctima y luego reemplaza información y/o sistemas. usuario de que el origen es
abrumado y bien se para el tráfico entre los dos Se trata de una “estafa” que genuino, pero con la
por completo o funciona a componentes con los engaña a otros para intención de obtener
una tasa reducida de propios, para asumir el divulgar información o abrir información para su uso en
manera significativa. control de la comunicación. software o programas ingeniería social.
maliciosos.
 Otros tipos de Ataque
Inyección de SQL

De acuerdo con MITRE, la inyección de SQL resulta de un

fallo de la aplicación para validar adecuadamente la entrada
(input). Cuando se diseñan entradas de usuario como parte
de la sintaxis SQL y se utilizan sin la adecuada validación
como parte de las consultas SQL, es posible obtener
información de la base de datos de manera no prevista
durante el diseño de la aplicación.

Exploit de día cero

Una vulnerabilidad que se explota antes de que el

creador/proveedor del software sea consciente de su
existencia
La ingeniería social

 Es un conjunto de técnicas que usan los cibercriminales para

engañar a los usuarios incautos para que les envíen datos
confidenciales, infecten sus computadoras con malware o abran
enlaces a sitios infectados. Además, los hackers pueden tratar de
aprovecharse de la falta de conocimiento de un usuario; debido a
la velocidad a la que avanza la tecnología, numerosos
consumidores y trabajadores no son conscientes del valor real de
los datos personales y no saben con certeza cuál es la mejor
manera de proteger esta información.
Como se realizan?
PHISING

 El phishing es un método que los ciberdelincuentes utilizan para

engañarle y conseguir que revele información personal, como
contraseñas o datos de tarjetas de crédito y números de cuentas
bancarias. Lo hacen mediante el envío de correos electrónicos
fraudulentos o dirigiéndole a un sitio web falso.
PHISING
PHISHING

Noticias Mundial
INGENIERIA SOCIAL
Ingeniería Social
Ingeniería Social
Cómo evitar el Phishing

 Mantenga buenos hábitos y no responda a enlaces en correos

electrónicos no solicitados o en Facebook.
 No abra adjuntos de correos electrónicos no solicitados.
 Proteja sus contraseñas y no las revele a nadie.
 No proporcione información confidencial a nadie por teléfono, en
persona o a través del correo electrónico.
 Compruebe la URL del sitio (dirección web). En muchos casos de
phishing, la dirección web puede parecer legítima, pero la URL puede
estar mal escrita o el dominio puede ser diferente (.com cuando debería
ser .gob .pe).
 Mantenga actualizado su navegador y aplique los parches de
seguridad.
Vishing
Es una práctica fraudulenta que
consiste en el uso de la línea telefónica
convencional y de la ingeniería social
para engañar personas y obtener
información delicada como puede ser
información financiera o información
útil para el robo de identidad. El
término es una combinación del inglés
"voice" (voz) y phishing.1
Algunas recomendaciones para no
sufrir ‘vishing’
 Recordar que los bancos nunca llaman para solicitar datos
confidenciales.
 Ante la duda, es mejor colgar y validar directamente con la
institución financiera, ya sea por canales digitales, teléfono o en
sucursal.
 Cuando se realizan compras por internet o vía telefónica, revisar
que sean sitios seguros y no realizar compras utilizando redes
públicas de internet..
BAITING

 Se utiliza un dispositivo de almacenamiento extraíble

(CD, DVD, USB) infectado con un software malicioso,
dejándolo en un lugar en el cual sea fácil de
encontrar (por ejemplo, baños públicos, ascensores,
aceras, etc.) por parte de la víctima o víctimas cuyos
datos precisa el o la atacante.
 Cuando la víctima encuentre dicho dispositivo y lo
introduzca en su ordenador, el software malicioso se
ejecutará de manera inadvertida y posibilitará que el
hacker pueda acceder a los datos del usuario o
usuaria.
SMISHING

 l SMiShing (la contracción de SMS phishing) es una

amenaza emergente para la seguridad. Es una
técnica que usa mensajes de teléfono móvil (SMS)
para lograr que las víctimas tomen acciones
inmediatas.
 Controles de Ciberseguridad

La Ciberseguridad es un entorno dinámico y cambiante, por lo que requiere una vigilancia continua,
actualización, pruebas, parches y cambios a medida que la tecnología y el negocio evolucionan.

Estos controles son fundamentales para mantener la seguridad

dentro de la infraestructura de TI de cualquier organización.
 Gestión de identidades

La ciberseguridad se basa en el establecimiento y mantenimiento de los perfiles de usuario que

definen los controles de autenticación, autorización y acceso para cada usuario.

La gestión de la identidad se centra en la racionalización de los diversos procesos de negocio

necesarios para gestionar todas las formas de identidades en una organización, desde la inscripción
hasta la retirada.
 Aprovisionamiento y Desaprovisionamiento
Aprovisionamiento:
Consiste en crear las cuentas, las
contraseñas y derechos de control
de acceso de los usuarios

Desaprovisionamiento:
Consiste en suspender o eliminar
todas las cuentas y accesos del
usuario

Los derechos de control de acceso suelen cambiar cada cierto tiempo, de acuerdo a los requerimientos de trabajo, por lo que es con
frecuencia necesario actualizar los controles de acceso y eliminar el acceso que ya no se necesita.
 Autorización

Las restricciones de acceso a nivel de archivo generalmente incluyen lo siguiente:

• Sólo leer, consultar o copiar
• Sólo escribir, crear, actualizar o eliminar
• Sólo ejecutar
• Una combinación de las anteriores

Las reglas de acceso (autorizaciones) especifican quién puede acceder a qué, significa otorgar a los usuarios únicamente los
accesos necesarios para realizar sus funciones
 Listas de Control de Acceso

Niveles
de
Acceso
Los mecanismos de control de acceso
lógico utilizan tablas de autorización de
acceso, también conocidos como listas
de control de acceso (ACL) o tablas de
control de acceso.
Acciones
y
Permisos

Las ACL se refieren a un registro de usuarios (incluidos los grupos, máquinas y procesos) que tienen permiso para utilizar
un recurso del sistema en particular.
 Gestión de Usuarios Privilegiados
Controles Comunes

Limitar privilegios

Realizar verificaciones

Implementar registros de cuentas privilegiadas

Mantener la rendición de cuentas

Utilizar contraseñas fuertes

Revisar periódicamente los privilegios

El acceso privilegiado permite a los usuarios autorizados mantener y proteger los sistemas y las redes. Asimismo pueden acceder a cualquier
información almacenada dentro de un sistema, lo que significa que puede modificar o burlar las salvaguardas existentes, tales como controles de
acceso y los registros de acceso.
 Gestión de Cambio

Su propósito es asegurar que

los cambios a procesos,
sistemas, software,
aplicaciones, plataformas y
configuraciones, se introduzcan
de una manera ordenada y
controlada.

Los controles efectivos aseguran que todos los cambios se clasifiquen, prioricen y autoricen, para el seguimiento
y la documentación, y así demostrar la responsabilidad y el cumplimiento de las mejores prácticas.
 Gestión de Configuración y de Parches

Configuración Parches

Es el mantenimiento de las configuraciones de Son soluciones a los errores de programación de

seguridad de los dispositivos de red, sistemas, software o son introducidas por errores de
aplicaciones y otros recursos de TI, es de vital codificación. Por lo tanto, es vital que los errores de
importancia para garantizar que los controles de software que se identifican como vulnerabilidades de
seguridad estén correctamente instalados y seguridad sean parchados tan pronto como sea
mantenidos. posible.

Los parches son una parte importante de la gestión de vulnerabilidades, y las organizaciones deben establecer procesos para
identificar los parches que son relevantes para su infraestructura de TI.
Respuesta a Incidentes
 Evento Vs Incidente

Evento Incidente

Es cualquier cambio, error o Es una violación o una

interrupción dentro de una amenaza inminente de
infraestructura de TI como violación de las políticas de
un fallo del sistema, un error seguridad informática, las
de disco o un usuario que políticas de uso aceptable o
olvide su contraseña. las prácticas de seguridad
estándar.

Es importante distinguir entre los eventos que se manejan en el curso normal de los negocios y los incidentes que requieren la
experiencia en seguridad e investigación para gestionarlos.
 Tipos de Incidentes
Incidentes de Seguridad y Plazos de Presentación de Informes
Plazos de Presentación de
Categoría Nombre Descripción
Informes
Acceso no Un individuo obtiene acceso lógico o físico sin permiso a una red, Dentro de 1 hora del
CAT 1
autorizado sistemas, aplicaciones, datos u otro recurso descubrimiento/detección
Dentro de dos horas del
Denegación del Un ataque que con éxito impide o perjudica la funcionalidad normal
CAT 2 descubrimiento o detección si el
servicio (DoS) autorizada de redes, sistemas o aplicaciones por agotamiento de recursos
ataque exitoso continúa
La instalación exitosa de software malicioso (por ejemplo, virus, gusano, Diariamente; dentro de una hora
CAT 3 Código malicioso troyanos u otra entidad maliciosa basada en código) que infecta un del descubrimiento o detección si
sistema operativo o aplicación se extiende

CAT 4 Uso impropio Una persona viola las políticas aceptables de uso de los ordenadores Semanalmente

Escáneres/
Cualquier actividad que pretende acceder o identificar un ordenador,
CAT 5 Sondas/Intentos de Mensualmente
puertos abiertos , protocolos , servicios o cualquier combinación
acceso
Incidentes sin confirmar que son actividades potencialmente maliciosas o
CAT 6 Investigación N/A
anómalas

Un incidente de ciberseguridad es un acción adversa que afecta negativamente a la confidencialidad, integridad y disponibilidad de los datos,
pueden ser involuntarios, como el que alguien olvide activar una lista de acceso en un router, o intencionales, como un ataque dirigido por un
hacker
 ¿Qué es la Respuesta a Incidentes?
Es un programa formal que prepara una entidad para un incidente.

Fases de Respuestas a Incidentes

Contención, Actividad
Detección y
Preparación Erradicación y Posterior al
Análisis
Recuperación Incidente

Una planificación e implementación adecuada de la respuesta a incidentes permite a una organización responder a un incidente
de una manera sistemática, que es más eficaz y oportuna.
 Plan de Respuesta a Incidentes

Establecer un enfoque para el manejo de

incidentes.

Preparación Establecer una política de Accion, escalas, etc

Consiste en Establecer un plan de comunicación para las

desarrollar un partes interesadas.
plan de
respuesta a Asegurar que el equipo necesario esté
incidentes antes disponible.
de que ocurra
 Plan de Respuesta a Incidentes
Asignar la propiedad de un incidente o
potencial incidente al Gestor de Incidentes

Verificar que los informes o eventos sean

Identificación calificados como incidentes

Su objetivo es Determinar su gravedad de acuerdo a la escala

verificar si un correspondiente. (Previamente definido)
incidente ha
ocurrido y
Establecer cadena de custodia de la
conocer los documentación
detalles
 Plan de Respuesta a Incidentes

Activación del equipo de respuesta para la

contención del incidente.

Contención Notificación de las partes afectadas.

Una vez
Obtener y conservar las evidencias.
identificado y
confirmado el
incidente se Controlar y gestionar la comunicación con los
activa el equipo involucrados.
de gestión de
incidentes.
 Plan de Respuesta a Incidentes
Determinar las señales y causas del incidente.

Eliminar la causa raíz.

Erradicación

Consiste en
Mejorar las defensas.
determinar la
causa raíz y
erradicarla
Realizar un análisis de vulnerabilidad.
 Plan de Respuesta a Incidentes

Restauración de las operaciones a su nivel

normal.

Recuperación Validar las medidas adoptadas.

Esta fase Conseguir la participación de los propietarios del

asegura que los sistema .
sistemas
afectados sean Facilitar que los propietarios del sistema logren
restaurados. la operación normal.
 Plan de Respuesta a Incidentes
Escribir un informe del incidente.

Lecciones
Analizar los problemas encontrados.
aprendidas

Consiste en un
Proponer mejoras.
informe
detallado del
incidente con las
medidas Presentación del informe.
tomadas y los
resultados
obtenidos.
 Definiendo las Amenazas Persistentes Avanzadas (APTS)

La APT es una amenaza específica que está Es un ataque sofisticado, dirigido a un objetivo
compuesta de varios vectores de ataque complejos y específico que reaparece tras la víctima. A diferencia
que permanece oculta (sin ser detectada) durante de otros muchos actos criminales, no es fácilmente
un periodo de tiempo prolongado. desviado por una respuesta defensiva determinada.
 Características de las APTS
Los ataques APT varían su enfoque considerablemente, aunque comparten las siguientes
características:

Bien documentados Sofisticados Persistentes

Los ataques APT son diseñados A Los ataques APT son proyectos
habitualmente para explotar a largo plazo con un enfoque en
Los agentes APT investigan a múltiples vulnerabilidades en un el reconocimiento, Si un ataque
fondo sus objetivos, planifican el ataque único. Utilizan un extenso es bloqueado con éxito, los
uso de sus recursos y anticipan marco de módulos de ataque autores responden con nuevos
las posibles contramedidas. diseñados para realizar tareas ataques. Y siempre están
automatizadas y dirigidas a rastreando métodos o
múltiples plataformas. información para el lanzamiento
de ataques futuros.
 Objetivos de APT
Atacar a compañías de todos los tamaños en todos los sectores de la
industria y todas las regiones geográficas que tengan activos de alto
valor.

Elegir a los empleados que puedan ser pueden ser objetivos de

un ataque phishing de ingeniería social (spear-phishing).

Seleccionar industrias con secretos valiosos o cualquier otro

recurso que pueda ofrecer una ventaja comercial para ser
quebrantada por medio del espionaje.

Identificar organizaciones intermediarias que proporcionan servicios a

empresas objetivo para posibles ataques.

No importa lo efectivo que sea el perímetro externo de seguridad de la compañía, carece de valor si no se extiende
a la cadena de suministro.
Fases de un ataque APT
Selección del
Objetivo

Explotación de Investigación
la información del Objetivo

Difusión de
inteligencia APT Penetración del
Objetivo

Exfiltración de la Comando y
información Control

Descubrimiento
del Objetivo
 ALGUNAS CARACTERISITICAS DE LA APT
Son sofisticados ataques en los que una persona no
autorizada obtiene acceso a una red y permanece en ella
durante un largo periodo
sin ser detectada.
Amenazas Persistentes Avanzadas (APT)
Las APT van dirigidas a empresas de tiene como propósito de una robar datos O
sectores con información muy valiosa, dinero más que causar daños en la red.
como procesadores de tarjetas de crédito,
organismos públicos e instituciones
financieras.
 Las APT en profundidad

Amenazas
El atacante está organizado, financiado,
bien formado y sumamente motivado.
Persistente
El atacante tiene un objetivo a largo plazo y trabaja con
persistencia para alcanzarlo sin ser detectado y sin
preocuparse del factor tiempo

Avanzado
El atacante es un experto en métodos de
ciberintrusión y sabe diseñar herramientas y
exploits personalizados.
Tres mitos sobre los ataques APT

Mito 1:
Solo
determinados
sectores son
blanco de las
APT.

Mito 3: ATP Mito 2:

Las APT pueden Las APT solo
detenerse con las
se dirigen
defensas de
seguridad a endpoints
tradicionales. importantes.
 Ciclo de vida de los ataques APT
1
Intrusión inicial
aprovechando las
vulnerabilidades del sistema

5
Se extraen los datos
2
Se instala malware en el
comprometidos sistema afectado

4
El atacante se propaga
3 Se inicia la conexión de
lateralmente salida
 Ciclo de vida de los ataques APT
1
Intrusión inicial
aprovechando las
vulnerabilidades del sistema

Si las defensas no pueden

Cuando se detecta la detectar un ataque inicial, es
Consiste en irrumpir en un intención de irrumpir en el porque el atacante ha logrado
sistema de la organización sistema, resulta mucho más infectar el endpoint, puede
para infectarlo. sencillo identificar y alterar la seguridad y ocultar
contener el ataque APT. sus acciones a medida que el
malware se propaga.
 Ciclo de vida de los ataques APT
2
Se instala malware en el
sistema afectado

Cada vínculo se redirige a su vez a

Se ejecuta código No todos los correos electrónicos de una dirección oculta con una
arbitrario para instalar el phishing selectivo que envía el autor de clave de codificación. La dirección
malware. Con visitar una una amenaza APT contienen datos oculta conduce a un dropsite, un sitio
página web o simplemente adjuntos. Muchos contienen hipervínculos depósito que examina el navegador
hacer doble clic con el que, cuando el usuario hace clic en ellos, en busca de vulnerabilidades y
ratón. abren un navegador web u otra devuelve un descargador de
aplicación. troyanos.
 Ciclo de vida de los ataques APT
3
Se inicia la conexión de
salida

En cuanto la RAT logra conectar, el

El malware contiene una La RAT "llama a casa", para lo cual atacante tiene pleno control sobre el
herramienta de establece una conexión de salida, con host infectado. Las instrucciones que
administración remota o frecuencia un canal cifrado con SSL, envía se transmiten a la RAT a través
RAT. entre la computadora infectada y un de dos vías: o bien el servidor de
servidor de comando y control que comando y control conecta con la
manejan los autores de la amenaza APT. RAT o viceversa
 Ciclo de vida de los ataques APT
4
El atacante se propaga
lateralmente

El atacante se propaga El movimiento lateral no Una vez identificado el blanco

lateralmente en busca de implica necesariamente el final y reunidas las credenciales
los hosts o servidores con uso de malware o de adecuadas de inicio de sesión, el
objeto de robar datos de herramientas distintas del duro trabajo y la determinación
gran valor. sistema operativo del host del atacante empiezan a dar sus
comprometido. frutos.
 Ciclo de vida de los ataques APT
5
Se extraen los datos
comprometidos

El responsable de la APT Segundo, el atacante debe Cómo superar los obstáculos anteriores:
tiene tres obstáculos que asegurarse que no puedan Para el primero, agrupar archivos o registros en
vencer. Primero, si transfiere relacionarle con el host archivos RAR comprimidos y protegidos con
todos los datos que recibe los datos. Por contraseña. Para el segundo, seleccionar un
seleccionados de una sola último, si transfiere los host virtual alojado en un proveedor de
vez, podría activar una alerta datos como texto normal, servicios en la nube como zona de
de anomalía de flujo por el podría activar una alerta almacenamiento temporal. Para el ultimo, cifrar
volumen elevado de tráfico. del sistema de prevención los archivos RAR antes de transferirlos
de fugas de datos (DLP). (normalmente por FTP) al host provisional.
 El atacante oculta sus huellas y pasa inadvertido

Tácticas para reducir el riesgo de detección en atacantes de APT

Lo propagan a los
recursos
compartidos de Implantan
Borran el servidor Borran los
archivos malware para
Desinstalan el provisional si está archivos
de red, que están distraer al
alojado en la comprimidos una
malware en el relativamente personal de
nube o lo vez extraídos
punto de entrada desconectan si del servidor de
desprotegidos y seguridad de TI y
inicial. solo mantenerlo
está bajo su almacenamiento
se borran por ocupado en otras
control. provisional.
completo en cosas
circunstancias
extremas.
 Indicadores de un ataque APT

Hallar código
Observar flujos de Detectar un para infiltrarse
Hallar troyanos de datos voluminosos e incremento en un sistema
Detectar puerta trasera inesperados desde el de inicios de en los datos
conexiones generalizados en interior de la red, ya Descubrir sesión con adjuntos a
salientes a endpoints o en sea entre servidores, grandes bloques privilegios correos
servidores de recursos de servidor a cliente, de en lugares elevados en electrónicos o
comando y control compartidos de de cliente a servidor o donde no debería medio de la descargado
conocidos. archivos de red entre redes. haber datos. noche. de la web.
Amenazas de próxima generación
Las defensas de seguridad
tradicionales basadas en firmas
incluidas las soluciones
IPS, NGFW y antivirus

Están diseñadas principalmente para detectar amenazas

conocidas. Pero en la actualidad, los principales ATAQUES están
protagonizados por amenazas desconocidas.
 Ataques de Zero-Day
Es un ciberataque que aprovecha una
vulnerabilidad desconocida de una
aplicación
o de un sistema operativo.

Los ataques zero-day son

extremadamente eficaces porque
En ocasiones, el proveedor ya pueden pasar inadvertidos durante
largos periodos, normalmente, varios
tiene constancia de la meses, pero a veces durante años y
vulnerabilidad, pero no la ha cuando finalmente son identificados
hecho pública porque todavía en circulación, la creación de un
no se ha creado un parche. parche para la vulnerabilidad todavía
tarda días o incluso semanas.
 • "Si conoces al enemigo y te conoces a ti
CONOCER AL mismo, ni en cien batallas correrás peligro.
ENEMIGO Si te conoces a ti mismo pero no conoces
al enemigo, perderás una batalla y ganarás
otra". Sun Tzu, El arte de la guerra
 Ciberdelincuentes

Son personas que cometen acciones de piratería informática para obtener un beneficio económico.

En la mayoría de los casos, penetran en las redes de las empresas con el fin de robar
números de tarjetas de crédito (a veces, decenas o incluso cientos de miles) y venderlos
en el mercado libre. Las credenciales de cuentas de Facebook, Twitter y correo
electrónico también se venden por una buena suma.
 Ejecutores de amenazas de Estado

Son personas contratadas por un gobierno (no necesariamente su propio gobierno) para
introducirse en sistemas informáticos de empresas y/o Administraciones públicas de otros países.

Su propósito es comprometer datos, sabotear sistemas informáticos o, incluso, entablar

una guerra cibernética.
 Hacktivistas

A diferencia de los ciberdelincuentes que tienen una motivación económica, los hacktivistas
obedecen a una motivación política.

Entre los ciberataques típicos realizados por hacktivistas se incluyen la manipulación

de sitios web, redireccionamientos, robo de información y sentadas virtuales mediante
ataques de denegación de servicio distribuidos (DDoS)