Capítulo 

4: Protección de la organización
Este capítulo abarca algunos de los procesos y tecnologías utilizados por los profesionales
de la ciberseguridad para proteger la red, equipos y los datos de una organización. Primero,
explica brevemente los tipos de firewalls, dispositivos de seguridad y software que se
utilizan actualmente, incluidas las mejores prácticas

Luego, este capítulo explica los botnets, the kill chain, la seguridad basada en
comportamientos y el uso de NetFlow para monitorear una red.

Abarca brevemente las herramientas que los profesionales de la ciberseguridad utilizan para
detectar y prevenir los ataques a la red. Abarca brevemente las herramientas que los
profesionales de la ciberseguridad utilizan para detectar y prevenir los ataques a red.

Tipos de firewall
Un firewall (cortafuegos) es un muro o partición diseñada para evitar que el fuego se
propague de una parte a otra de un edificio. En las redes de computadoras, un firewall está
diseñado para controlar o filtrar la entrada o salida de comunicaciones de un dispositivo o
una red, como se muestra en la figura. Un firewall puede instalarse en una única
computadora con el propósito de proteger dicha computadora (firewall ejecutado en un
host) o puede ser un dispositivo de red independiente que protege toda una red de
computadoras y todos los dispositivos host en dicha red (firewall basado en la red).

Durante años, dado que los ataques a la computadora y la red se han vuelto más
sofisticados, se han desarrollado nuevos tipos de firewalls que atienden diferentes fines en
la protección de la red. Esta es una lista de los tipos de firewall comunes:

 Firewall de capa de red: filtrado basado en las direcciones IP de origen y destino.

 Firewall de capa de transporte: filtrado basado en puertos de origen y datos de destino y

filtrado basado en los estados de conexión.

 Firewall de capa de aplicación: filtrado basado en la aplicación, el programa o el servicio.

 Firewall de aplicación consciente del contexto: filtrado basada en el usuario, el

dispositivo, la función, el tipo de aplicación y el perfil de amenazas.

 Servidor proxy: filtrado de solicitudes de contenido web, como URL, dominio, medios,
etcétera.

 Servidor de proxy inverso: ubicados frente a los servidores web, los servidores de proxy
inversos protegen, ocultan, descargan y distribuyen el acceso a los servidores web.
  Firewall de traducción de direcciones de red (NAT): ocultan o enmascaran las direcciones
privadas de los hosts de red.

 Firewall basado en host: filtrado de puertos y llamadas de servicio del sistema en el

sistema operativo de una computadora.

Dispositivos de seguridad
Hoy no existe un dispositivo de seguridad o una tecnología que resuelva todas las
necesidades de seguridad de la red por sí solo. Debido a que hay una variedad de
dispositivos de seguridad y herramientas que deben implementarse, es importante que
trabajen en conjunto. Los dispositivos de seguridad son más efectivos cuando forman parte
de un sistema.

Los dispositivos de seguridad pueden ser dispositivos independientes, como un router o

firewall, una tarjeta que puede instalarse en un dispositivo de red o un módulo con su
propio procesador y memoria en caché. Los dispositivos de seguridad también pueden ser
herramientas de software que se ejecutan en un dispositivo de red. Los dispositivos de
seguridad se dividen en las siguientes categorías generales:

Routers: los routers de servicios integrados (ISR) Cisco, como se muestra en la Figura 1,
tienen muchas capacidades similares a las de un firewall además de las funciones de ruteo,
entre ellas, el filtrado de tráfico, la capacidad de ejecutar un sistema de prevención de
intrusiones (IPS), el cifrado y las capacidades de VPN para las conexiones de cifrado
seguro.

Firewalls: los firewalls de nueva generación de Cisco tienen todas las capacidades de un
router ISR además de análisis y administración de redes avanzadas. El dispositivo de
seguridad adaptable (ASA, por sus siglas en inglés) de Cisco con funcionalidades de
firewall se muestra en la Figura 2.

IPS: los dispositivos IPS de nueva generación, que se muestran en la Figura 3, están
dedicados a la prevención de intrusiones.

VPN: los dispositivos de seguridad de Cisco cuentan con tecnologías de redes virtuales
privadas (VPN) tanto de cliente como servidor. Están diseñados para conexiones de cifrado
seguro.

Malware/antivirus: Cisco Advanced Malware Protection (AMP) viene en los routers de

nueva generación de Cisco, como también en los firewalls, los dispositivos IPS y los
dispositivos de seguridad web y de correo electrónico y además puede instalarse como
software en los equipos host.
Otros dispositivos de seguridad: esta categoría incluye dispositivos de seguridad web y
de correo electrónico, dispositivos de descifrado, servidores de control de acceso del cliente
y sistemas de administración de seguridad.

Detección de ataques en tiempo real

El software no es perfecto. Cuando un hacker explota un defecto de un software antes de
que el creador pueda corregirlo, se conoce como ataque de día cero. Debido a la
complejidad y tamaño de los ataques de día cero que se encuentran actualmente, no es
extraño que los ataques a la red tengan éxito y que el éxito de su defensa ahora se mida
según la rapidez con la que una red responde ante un ataque. La capacidad de detectar
ataques mientras suceden en tiempo real, así como de detenerlos inmediatamente o en
cuestión de minutos, es el objetivo ideal. Desafortunadamente, muchas empresas y
organizaciones a día de hoy no pueden detectar los ataques sino hasta días o incluso meses
después de ocurridos.

 Análisis en tiempo real de principio a fin: Detectar ataques en tiempo real

requiere el análisis activo mediante el firewall y los dispositivos de red IDS/IPS.
También debe usarse la detección de malware de cliente/servidor de nueva
generación con conexiones a los centros de amenazas globales en línea. En la
actualidad, el software y los dispositivos de análisis activos deben detectar
anomalías de red mediante la detección de comportamientos y el análisis basado en
el comportamiento.

 Ataques DDoS y respuesta en tiempo real: El ataque DDoS es una de las mayores
amenazas que requiere la detección y respuesta en tiempo real. Es extremadamente
difícil defenderse contra los ataques de DDoS porque los ataques se originan en
cientos o miles de hosts zombis y aparecen como tráfico legítimo, como se muestra
en la figura. Para muchas empresas y organizaciones, los ataques DDoS ocurren de
forma regular y paralizan los servidores de Internet y la disponibilidad de la red. La
capacidad para detectar y responder a los ataques DDoS en tiempo real es crucial.

Buenas prácticas de seguridad

Muchas organizaciones nacionales y profesionales han publicado listas de buenas prácticas
de seguridad. La siguiente es una lista de algunas de las buenas prácticas de seguridad:

 Realizar una evaluación de riesgos: conocer el valor de lo que protege ayuda a

justificar los gastos de seguridad.

 Crear una política de seguridad: cree una política que delinee claramente las
reglas de la empresa, las tareas y las expectativas.
  Medidas de seguridad física: restringen el acceso a los centros de datos, a las
ubicaciones de servidores y a los extintores.

 Medidas de seguridad de recursos humanos: los empleados deben ser

correctamente investigados con comprobaciones de antecedentes.

 Efectuar y probar las copias de respaldo: realice copias de respaldo periódicas y

pruebe los datos recuperados de las copias de respaldo.

 Mantener parches y actualizaciones de seguridad: actualice periódicamente los

servidores, computadoras, los programas y sistemas operativos de los dispositivos
de red.

 Implementar controles de acceso: configure los roles de usuario y los niveles de

privilegio, así como una autenticación de usuario sólida.

 Revisar periódicamente la respuesta ante incidentes: utilice un equipo de

respuesta ante incidentes y pruebe los escenarios de respuesta ante emergencias.

 Implementar una herramienta de administración, análisis y supervisión de

red: seleccione una solución de monitoreo de seguridad que se integre con otras
tecnologías.

 Implementar dispositivos de seguridad de la red: utilice routers de nueva

generación, firewalls y otros dispositivos de seguridad.

 Implementar una solución de seguridad integral para terminales: utilice

software antivirus y antimalware de nivel empresarial.

 Informar a los usuarios: educar a los usuarios y a los empleados sobre los
procedimientos seguros.

 Cifrar los datos: cifrar todos los datos confidenciales de la empresa, incluido el
correo electrónico.

Algunas de las pautas más útiles se encuentran en los depósitos organizacionales, como el
Centro de Recursos de Seguridad Informática del Instituto Nacional de Normas y
Tecnología (NIST, por sus siglas en inglés), según se muestra en la figura.

Una de las organizaciones más conocidas y respetadas para la capacitación en

ciberseguridad es el SANS Institute. Haga clic aquí para obtener más información sobre
SANS y los tipos de capacitación y certificaciones que ofrece.

Botnet
Un botnet es un grupo de bots conectados a través de Internet con la capacidad de ser
controlados por un individuo o grupo malicioso. Una computadora bot se infecta
generalmente por visitar un sitio web, abrir un elemento adjunto de correo electrónico o
abrir un archivo de medios infectado.

Un botnet puede tener decenas de miles o incluso cientos de miles de bots. Estos bots se
pueden activar para distribuir malware, lanzar ataques DDoS, distribuir correo electrónico
no deseado o ejecutar ataques de contraseña por fuerza bruta. Los botnets por lo general se
controlan a través de un servidor de comando y control.

Los delincuentes cibernéticos alquilan a menudo los botnets, por un monto, a otros
proveedores para fines infames.

La figura muestra cómo un filtro de tráfico de botnet se utiliza para informar a la

comunidad de seguridad mundial las ubicaciones de los botnets.

Cadena de eliminación o proceso de ataque

(Kill Chain) en la ciberdefensa
En la ciberseguridad, la cadena de eliminación o proceso de ataque (Kill Chain) representa
las etapas de un ataque a los sistemas de información. Desarrollada por Lockheed Martin
como marco de seguridad para la respuesta y la detección de incidentes, la cadena de
eliminación consta de los siguientes pasos:

Etapa 1. Reconocimiento: el atacante recopila información sobre el objetivo.

Etapa 2. Armamentización: el atacante crea un ataque y contenido malicioso para enviar

al objetivo.

Etapa 3. Entrega: el atacante envía el ataque y la carga maliciosa al objetivo por correo
electrónico u otros métodos.

Etapa 4. Explotación: se ejecuta el ataque.

Etapa 5. Instalación: el malware y las puertas traseras se instalan en el objetivo.

Etapa 6. Mando y control: se obtiene el control remoto del objetivo mediante un servidor
o canal de comando y control.

Etapa 7. Acción: el atacante realiza acciones maliciosas, como el robo de información, o

ejecuta ataques adicionales en otros dispositivos desde dentro de la red a través de las
etapas de la cadena de eliminación nuevamente.
Seguridad basada en el comportamiento
La seguridad basada en el comportamiento es una forma de detección de amenazas que no
depende de las firmas malintencionadas conocidas, pero que utiliza el contexto informativo
para detectar anomalías en la red. La detección basada en el comportamiento implica la
captura y el análisis del flujo de comunicación entre un usuario de la red local y un destino
local o remoto. Estas comunicaciones, cuando se detectan y analizan, revelan el contexto y
los patrones de comportamiento que se pueden usar para detectar anomalías. La detección
basada en el comportamiento puede detectar la presencia de un ataque mediante un cambio
en el comportamiento normal.

 Honeypot: una honeypot es una herramienta de detección basada en el

comportamiento que primero atrae al atacante apelando al patrón previsto de
comportamiento malicioso del atacante; una vez dentro de la honeypot, el
administrador de la red puede capturar, registrar y analizar el comportamiento del
atacante. Esto permite que un administrador gane más conocimiento y construya
una mejor defensa.

 Arquitectura de Cyber Threat Defense Solution de Cisco: esta es una

arquitectura de seguridad que utiliza la detección basada en el comportamiento e
indicadores para proporcionar mayor visibilidad, contexto y control. El objetivo es
definir quién, qué, dónde, cuándo y cómo se produce un ataque. Esta arquitectura de
seguridad utiliza muchas tecnologías de seguridad para lograr este objetivo.

Para defendernos de la cadena de eliminación, existen acciones de seguridad diseñadas en

torno a las etapas de la cadena de eliminación. Estas son algunas preguntas sobre las
defensas de seguridad de una empresa en función de la cadena de eliminación:

• ¿Cuáles son los indicadores de ataque en cada etapa de la cadena de eliminación?

• ¿Qué herramientas de seguridad son necesarias para detectar los indicadores de ataque en
cada una de las etapas?

• ¿Hay brechas en la capacidad de la empresa para detectar un ataque?

Según Lockheed Martin, comprender las etapas de la cadena de eliminación permite poner
obstáculos defensivos, demorar el ataque y, finalmente, evitar la pérdida de datos. La figura
muestra cómo cada etapa de la cadena de eliminación equivale a un aumento en la cantidad
de esfuerzo y costos para impedir y corregir ataques.
NetFlow
La tecnología NetFlow se usa para recopilar información sobre los datos que atraviesan la
red. La información de NetFlow se puede comparar con una factura telefónica por el tráfico
de la red. Muestra quién y qué dispositivos están en la red también como y cuando los
usuarios y dispositivos tuvieron acceso a la red. NetFlow es un componente importante del
análisis y la detección basados en el comportamiento. Los switches, routers y firewalls
equipados con NetFlow pueden comunicar información sobre los datos que ingresan,
egresan y viajan por la red. La información se envía a los recopiladores de NetFlow que
recopilan, almacenan y analiza los registros de NetFlow.

NetFlow puede recopilar información sobre el uso a través de muchas características

diferentes de cómo se transportan los datos por la red, como se muestra en la figura.
Mediante la recopilación de la información sobre los flujos de datos de la red, NetFlow
puede establecer comportamientos de línea base en más de 90 atributos diferentes.

CSIRT
Muchas organizaciones grandes tienen un Equipo de respuesta a incidentes de seguridad
informática (CSIRT, por sus siglas en inglés) para recibir, revisar y responder a informes de
incidentes de seguridad informática, como se muestra en la Figura 1. La función principal
del CSIRT es ayudar a proteger la empresa, el sistema y la preservación de datos realizando
investigaciones integrales de los incidentes de seguridad informática. Para evitar incidentes
de seguridad, el CSIRT de Cisco proporciona una evaluación de amenazas proactiva,
planificación de la mitigación, análisis de tendencias de incidentes y revisión de la
arquitectura de seguridad, como se muestra en la Figura 2.

El CSIRT de Cisco colabora con el Foro de respuesta ante los incidentes y los equipos de
seguridad (FIRST), el Intercambio de información de seguridad nacional (NSIE), el
Intercambio de información de seguridad de defensa (DSIE) y el Centro de Investigación y
Análisis de operaciones DNS (DNS-OARC).

Hay organizaciones de CSIRT nacionales y públicas, como la División CERT del Instituto
de Ingeniería de Software de la Universidad Carnegie Mellon, que están dispuestos a
ayudar a las organizaciones, y a los CSIRT nacionales, a desarrollar, utilizar y mejorar sus
capacidades de administración de incidentes.

Libro de estrategias de seguridad

La tecnología cambia constantemente. Esto significa que los ciberataques también
evolucionan. Continuamente se descubren nuevas vulnerabilidades y métodos de ataque. La
seguridad se ha convertido en una preocupación importante para las empresas debido a la
reputación y el impacto financiero resultantes de las violaciones a la seguridad. Los ataques
están dirigidos a redes críticas y datos confidenciales. Las organizaciones deben tener
planes para prepararse, para tratar las violaciones a la seguridad y recuperarse de estas.

Una de las mejores maneras de prepararse para una violación a la seguridad es prevenirla.
Se deben tener pautas sobre cómo identificar el riesgo de la ciberseguridad en los sistemas,
los activos, los datos y las funcionalidades, proteger el sistema mediante la implementación
de protecciones y capacitaciones del personal, y detectar el evento de ciberseguridad lo más
rápidamente posible. Cuando se detecta una violación a la seguridad, deben adoptarse las
acciones adecuadas para minimizar el impacto y los daños. El plan de respuesta debe ser
flexible con múltiples opciones de acción durante la violación. Una vez contenida la
violación y restaurados los sistemas y servicios comprometidos, las medidas de seguridad y
los procesos deben actualizarse para incluir las lecciones aprendidas durante la violación.

Toda esta información se debe recopilar en un libro de estrategias de seguridad. Un libro de

estrategias de seguridad es un conjunto de consultas repetidas (informes) de fuentes de
datos de eventos de seguridad que conducen a la detección y la respuesta ante los
incidentes. Idealmente, el libro de estrategias de seguridad debe cumplir las siguientes
acciones:

 Detectar equipos infectados con malware.

 Detectar actividad de red sospechosa.

 Detectar intentos de autenticación irregulares.

 Describir y entender el tráfico entrante y saliente.

 Proporcionar información de resumen que incluya tendencias, estadísticas y

recuentos.

 Proporcionar acceso rápido y utilizable a estadísticas y métricas.

 Establecer una correspondencia de eventos en todas las fuentes de datos relevantes.