MÓDULO 1.

CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

¡Comenzamos!
Hola.

Te damos la bienvenida al MOOC "Ciberseguridad, entender los ataques para

desplegar las contramedidas" en el que estás inscrito.

Vamos a dedicar las próximas 6 semanas a comprender el alcance de la

ciberseguridad hoy en día (durante la semana 1), a analizar los patrones de ataque
más habituales (las semanas 2 y 3) y a conocer y comprender la mejor manera de
proteger nuestros activos de ellos con distintos tipos de contramedidas a
diferentes niveles (las semanas 4 y 5). Nos centraremos en entornos corporativos
clásicos pero también estudiaremos lo que ocurre en entornos mobile y BYOD,
Cloud o Internet of Things (esto ya, durante la semana 6)

¿Estás listo? Necesitamos que tengas conocimientos básicos en informática y

tecnología, del resto nos encargamos nosotros, los profesores: Marta, Isaac,
César, Fernando y Antonio. Esperamos que el curso que hemos preparado te
resulte ameno, didáctico y útil.

Un cordial saludo,

El equipo docente

Estructura del curso

MÓDULOS
 FORO

6
GUÍA DE ESTUDIO
Temas de la semana
Profesores
Tiempo de estudio

TEMAS

4
DE CONTENIDO
Texto
Infografía
Audio
Animaciones
Vídeo clases
REPASO
EVALUACIÓN
preguntas tipo test

20
¿QUIERES SABER MÁS?
Enlaces de ampliación
Profesores y expertos te ayudarán en el día a día
(semanas)
Varias pantallas
hora de estudio cada una
 1
Y ahora ¿por dónde empiezo?

Te recomendamos que sigas la planificación que se indica en las guías de estudio,

por lo menos los primeros días, hasta que te hagas una idea del tiempo que te va a
llevar explorar los diferentes tipos de cotenidos. Tienes todo el material a tu
disposición en los enlaces del menú desplegable que se muestra a la izquierda de
esta pantalla.

Sólo una puntualización acerca de las actividades que se te irán proponiendo. Las
actividades de tipo test que encontrarás y que se proponen siempre al final de
cada semana de estudio (de cada módulo), son evaluables. De hecho las seis
tienen que estar aprobadas (por encima de un 50% de puntuación) para que
puedas certificar que has superado el curso con éxito. En estos tests sólo tendrás
un intento, así que antes de hacerlos, comprueba que has comprendido el
material de esa semana de estudio y que no vas a tener problemas con tu
conexión a la red. Todos los tests estarán activos hasta el final del curso, así que
no hay prisa, hazlos a tu ritmo.

Y ahora, ¡manos a la obra!

o ¡Comenzamos!
o La importancia de la ciberseguridad y sus implicaciones
o Contexto actual y ejemplos
o Enfoque actual para la ciberseguridad y su ciclo continuo
o Principios de la ciberseguridad en el contexto actual
o Los pilares de la ciberseguridad
o Conceptos de amenaza, riesgo y vulnerabilidad
o Ciclo y contexto de una amenaza
o Ejemplos de amenazas, riesgos y vulnerabilidades
o Ciclo de vida de una vulnerabilidad
o Análisis de riesgo
o La importancia del factor humano en ciberseguridad
o Amenazas que aprovechan el factor humano
o Cómo gestionar el factor humano: políticas y procedimientos
o La gestión de las personas
o Eventos, ataques e incidentes de seguridad
o Diferencia entre eventos, ataques e incidentes de seguridad
o Tipos de atacante y anatomía de un ataque hacker
o Recogida de información
o Anonimato
o ¿Qué hemos aprendido esta semana?
o ACTIVIDAD Evaluación Semana 1
o Enlaces y referencias de ampliación

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

La importancia de la ciberseguridad y sus

implicaciones
En una sociedad tecnológica y en red como la actual, la ciberseguridad afecta
prácticamente a todas las facetas de la vida cotidiana de personas, organizaciones y
gobiernos. Vamos a analizar las implicaciones que esto tiene con más profundidad.
En resumen, en este curso nos centraremos en conocer el conjunto de servicios,
mecanismos y políticas que aseguran que el modo de operación de un sistema
informático sea seguro, tanto el que se especificó en su fase de diseño, como el que se
configuró en tiempo de administración/uso. Para conocer cómo proteger un activo,
debemos conocer aquello que lo amenaza, por ello utilizaremos un enfoque de
ataques/contramedidas (también conocido como seguridad ofensiva/defensiva).

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

Contexto actual y ejemplos

Estamos hablando de proteger activos frente a amenazas, pero ¿es esto
necesario en nuestro contexto actual? Cuando se trabaja en ciberseguridad se
plantea esta pregunta a menudo, pero ¿quién va a querer atacarme a mí o a mi
organización? Si yo no soy importante.
En primer lugar hay que considerar que la ciberseguridad nos protege, no sólo de
ataques intencionados, sino de accidentes provocados por catástrofes naturales,
descuidos de empleados sin mala intención, etc. Y en segundo lugar, aunque a
veces nos cueste comprenderlo, en el contexto actual los ataques intencionados
están a la orden del día, tanto los que nos convierten en víctimas por azar
(probablemente por ser un objetivo sencillo debido a nuestro nivel de
desprotección) como los que van dirigidos específicamente contra nosotros o
nuestra organización con un objetivo muy concreto, que casi siempre será
económico.
 Desconfianza por supervivencia.

Basta con atender a las noticias en los medios de comunicación generalistas todos
los días. Si te fijas, es raro el día que no surja alguna noticia relacionada con un
ataque a la ciberseguridad. En los últimos dos años los ataques más sonados y
que más han dañado a la reputación de gobiernos y grandes corporaciones han
sido los que han provocado denegaciones de servicio (las plataformas de
videojuegos para consolas y de videojuegos on-line más importantes, Apple
Daily y PopVote durante las protestas en Hong Kong, SpamHaus, GitHub y
distintos medios de comunicación europeos han sufrido recientemente este tipo
de ataque) y brechas de datos (diferentes casos en el gobierno de EEUU, la
Universidad de Harvard, Citibank, Banco Santander, AT&T, Sony, EBay,
JPMorgan, Yahoo, redes sociales y multitud de hospitales y de compañías de
seguros de salud, por ejemplo). Pero no hay que olvidar otras amenazas que están
siendo muy graves en la actualidad y que estudiaremos en las próximas semanas.

Te vamos a recordar a continuación algunos ejemplos significativos cuyos

detalles técnicos analizaremos en profundidad a lo largo del MOOC:

 En el verano del 2014 el troyano bancario Luuuk consiguió robar, en sólo

una semana, alrededor de 680.000 dólares a particulares italianos y turcos.
 En las Navidades del 2014 el grupo de hackers Lizard Squad realizó un
ataque de denegación de servicio distribuido, que dejó sin servicio a los
usuarios de la PlayStation Network y de Xbox Live (probablemente, en los
días de más uso de todo el año). Posteriormente, este grupo lanzó un
servicio que permitía a usuarios inexpertos pagar por realizar este mismo
tipo de ataque, hasta que ellos mismos fueron atacados y se hicieron
públicas las identidades de sus 14.242 usuarios.
 A principios del 2015 McAfee descubrió en la deep web una herramienta
on-line y gratuita denominada Tox que permitía crear y parametrizar con
facilidad (incluso para aquellos sin conocimientos específicos sobre
ciberseguridad) software de tipo ransomware, una de las plagas más
destacadas de los últimos meses, que consiste en un malware que encripta
los datos de la víctima y le ofrece desencriptarlos a cambio de un rescate, lo
podríamos denominar como "un secuestro digital en toda regla".
El número de usuarios afectados por ransomware no ha dejado de crecer en los
últimos meses.

 Además, Lenovo reconoció haber comercializado ordenadores portátiles

con un adware instalado (Superfish) capaz de realizar ataques de man-in-
the-middle, que secuestraban el tráfico HTTP y HTTPS para insertar
publicidad de Lenovo y de sus socios en los sitios web visitados por los
usuarios. Pero este mismo adware podría ser utilizado por terceros
maliciosos con otros objetivos. El fabricante tuvo que dejar de instalar este
adware en sus nuevos equipos y deshabilitarlo en los ya vendidos
inmediatamente.
 En el verano del 2015 las contraseñas de usuario de los empleados de 47
agencias del gobierno estadounidense fueron reveladas. Algo
especialmente crítico en las 12 agencias en las que estas contraseñas se
empleaban como único factor de autenticación. Semanas antes el gobierno
federal tuvo que reconocer que en un ataque anterior se podrían haber
robado cerca de 4.000.000 de números de la seguridad social,
correspondientes a empleados suyos.
 Más o menos al mismo tiempo, el servicio LastPass (para recordar las
contraseñas de todos los servicios de Internet de un usuario a partir de una
contraseña maestra) fue comprometido, lo que obligó a la compañía a pedir
a todos sus usuarios a cambiar su contraseña maestra por precaución. Pero
no ha sido la única compañía relacionada con la ciberseguridad que ha
tenido problemas en 2015, Karpersky o Verizon, por poner un par de
ejemplos, también han tenido que reconocer que han sido objetivo de
ataques que han comprometido datos de sus clientes.
 Uno días después el grupo Impact Team robó la base de datos del sitio web
Ashley Madison para chantajear a la compañía propietaria, Avid Life Media.
Como esta compañía no cedió al chantaje, los atacantes hicieron públicos
todos los datos robados (correspondientes a 37 millones de usuarios), lo
que provocó incluso suicidios.
 Por último hay que recordar que el mayor robo en el año 2015 fue
completamente digital. Un grupo desconocido de cibercriminales consiguió
infiltrarse desde el año 2013 en numerosos bancos de Rusia, EEUU, China,
Alemania o Ucrania (en total 100 bancos en 30 países) mediante ataques de
phishing con ficheros adjuntos infectados por malware. Esta infiltración ha
permitido a los ladrones sacar dinero en cajeros o transferirse efectivo a
cuentas controladas por ellos. Kaspersky Lab sigue investigando este
 ciberataque, pero se cree que se ha robado alrededor de 1 billón de
dólares.

Desde entonces, hemos observado cómo más de 200.000 ciudadanos de Ucrania

se quedaban sin energía en pleno invierno tras un ciberataque, el robo al banco de
Bangladesh o la brecha de datos en un despacho de abogados que desencadenaba
el caso conocido como los "papeles de Panamá". Incluso se sospecha acerca de la
influencia de gobiernos terceros en procesos electorales, o incluso de la posible
manipulación de sus resultados.
 En 2014 se reconoció el robo de 1.023.108.267 registros con datos de
particulares (emails, dirección particular, número de seguridad social, tarjeta de
crédito, etc.). La cifra no deja de crecer desde entonces, puedes comprobarlo casi
en tiempo real en este enlace.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

Enfoque actual para la ciberseguridad y su ciclo

continuo
¿Cómo se trabaja hoy en día en el campo de la ciberseguridad? ¿Qué tipo de
enfoques y paradigmas se siguen?
Como puedes imaginar, en un área que evoluciona tan rápido estos enfoques y
paradigmas cambian constantemente. Los profesionales deben tener la capacidad
de adaptarse en cada momento a su entorno y de proponer nuevas soluciones,
controles, defensas y contramedidas. Aunque en esencia, lo que llamamos en el
siguiente vídeo el ciclo continuo de la seguridad es un marco de trabajo en el
que siempre pueden basarse para trabajar.
Por lo tanto recuerda no irte a los extremos: no te despreocupes por la
ciberseguridad, sea cual sea tu entorno de trabajo, seguro que hay amenazas que
tienes que analizar. Pero tampoco te abrumes ni te vuelvas un paranoico, poco a
poco. Intenta ver el problema como una búsqueda del equilibrio y ten en cuenta
tu punto de partida: el nivel de madurez tecnológica de tu organización.
A partir de ese punto, céntrate en "entrar en la rueda" identificar-prevenir-
detectar-responder-recuperar, teniendo siempre en cuenta el enfoque
incremental y la mejora continua. Y no tengas miedo a fallar, por mucho que
se protejan los activos, en algún momento puede haber incidentes de seguridad,
lo importante es responder adecuadamente y aprender de esos fallos para el
futuro. Las películas y las series en las que se trata la ciberseguridad no son
realistas: ni los hackers consiguen sus objetivos a la primera ni los profesionales
de la ciberseguridad pueden convertir sus sistemas en inexpugnables.
Te lo imaginabas ¿verdad?
MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA
CIBERSEGURIDAD.

Principios de la ciberseguridad en el contexto

actual
Como puedes imaginar, la seguridad completa no existe. Pero ¿qué principios
se siguen en la actualidad para conseguir el máximo de nivel de seguridad en una
organización? ¿Se busca siempre el máximo nivel, o es mejor buscar un nivel
óptimo teniendo en cuenta un compromiso entre seguridad, esfuerzo, recursos,
etc.?
Vamos a intentar dar respuesta a estas preguntas.

Siempre que trabajes en ciberseguridad recuerda estos tres principios:

 Mínimo privilegio.
 Mínima superficie de exposición.
 Defensa en profundidad.

En ciberseguridad, mejor pagar lo necesario para tener que rezar lo justo.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

Los pilares de la ciberseguridad

En el siguiente podcast puedes escuchar las definiciones de confidencialidad, integridad y
disponibilidad, así como las de otros aspectos que suelen asociarse a estos pilares clásicos
de la ciberseguridad.
Tal y como has escuchado al final del audio, es muy importante aprender a priorizar. Pero
para ello es necesario que primero comprendas algunos conceptos esenciales en
ciberseguridad.
Alguno ya lo hemos empleado, pero ¿sabes qué implica exactamente una amenaza en
ciberseguridad? ¿Y en qué se diferencia de una vulnerabilidad? ¿O cómo se cuantifica
el riesgo que se corre?
Porque son estos conceptos los que te van a ayudar a establecer prioridades... Dentro de una
hora lo tendrás más claro, es lo siguiente que estudiaremos.
MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA
CIBERSEGURIDAD.

Conceptos de amenaza, riesgo y vulnerabilidad

Un sistema seguro es un sistema para el que existe una garantía de que se
comportará de acuerdo a aquello para lo que fue diseñado. Es prácticamente
imposible que un sistema sea seguro al 100%.
A continuación vamos a estudiar los conceptos de riesgo, amenaza y
vulnerabilidad. Ten cuidado, son conceptos muy relacionados entre sí pero que
debes aprender a distinguir, habitualmente se confunden y usan indistintamente,
pero esto no es correcto.
En el ámbito de la ciberseguridad, podemos definir el riesgo como la
probabilidad de que ocurra un incidente de seguridad. Como el riesgo no es más
que una probabilidad, se puede medir y se suele cuantificar con un número entre
0 y 1 o con un porcentaje. Por otro lado, la amenaza es una acción que podría
tener un potencial efecto negativo sobre un activo. Es decir, una amenaza es
cualquier cosa que pueda salir mal. Hay que tener en cuenta que una amenaza por
sí misma no provoca un daño, pero podría provocarlo. Las amenazas se
comprenden mejor si se clasifican atendiendo a cómo pueden dañar a un activo:
esencialmente, pueden afectar a su disponibilidad, a su confidencialidad o su
integridad (también pueden saltarse el control de acceso).
Para que se produzca un daño es necesario que exista una debilidad o fallo en el
sistema que permita que se materialice una amenaza. Estas debilidades, fallos o
“agujeros de seguridad” son las vulnerabilidades, que pueden ser de diferente
naturaleza, de diseño, de arquitectura y configuración, de estándares de uso y
procedimientos, etc. Es decir, cuando se dice que un activo es vulnerable,
significa que tiene un agujero que puede ser aprovechado para provocar un
incidente de seguridad. Cuanto mayor sea el número de vulnerabilidades de un
activo, mayor riego se corre de que se materialice una amenaza (porque la
probabilidad del incidente se incrementa, un potencial atacante tiene más
posibilidades de éxito). Pero no sólo es importante el número de
vulnerabilidades, sino también su criticidad. Ya iremos hablando de esto en las
siguientes pantallas.
Algunos conceptos aparecen a menudo asociados al de vulnerabilidad. Por
ejemplo, es típico hablar de exploits. Un exploit no es más que es un programa o
fragmento de código creado específicamente para explotar una vulnerabilidad del
sistema. Estos exploits tienen la doble vertiente, por un lado, sirven a los
profesionales de la seguridad para conocer una vulnerabilidad y comprenderla
mejor, para saber si un sistema presenta esta vulnerabilidad, para analizar cómo
la explotaría un atacante, etc. Pero también pueden ser utilizados directamente
por los atacantes durante los ataques. Esta doble vertiente es muy común en
ciberseguridad, como comprobarás a lo largo del MOOC.
 El riesgo está relacionado de manera directa con las amenazas, las
vulnerabilidades y sus posibles impactos en la organización.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

Ciclo y contexto de una amenaza

Estas dos figuras te pueden ayudar a comprender el ciclo y el contexto de una amenaza
actual, están extraídas de documentación y estándares muy conocidos y se basan en el
vocabulario que se maneja habitualmente. Invierte un momento en analizarlas y en
comprender los conceptos que resumen.
MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA
CIBERSEGURIDAD.

Ejemplos de amenazas, riesgos y vulnerabilidades

Veamos algunos ejemplos de estos conceptos para terminar de comprenderlos. En lo que se
refiere al riesgo, como ya hemos dicho no es más que la probabilidad de sufrir una
amenaza, así que diríamos "estamos corriendo un riesgo alto de sufrir una brecha de datos"
o "el riesgo de sufrir una denegación de servicio es bajo". Incluso si utilizamos alguna
metodología de análisis de riesgo que nos permita cuantificarlo, hablaríamos en estos dos
ejemplos de un riesgo 90 o de un riesgo 10.

En cuanto a las amenazas, estos serían algunos ejemplos:

 Virus informáticos y malware en general.

 Daños físicos en los equipos y centros de datos (intencionados o por desastres
naturales).
 Pérdida o robo de portátiles y dispositivos móviles.
 Brechas de datos.
 Denegaciones de servicio.
 Robo de identidad/credenciales.

La siguiente figura presenta un resumen de las amenazas más relevantes en el año 2014
según la ENISA, teniendo en cuenta por separado las tecnologías, modelos y paradigmas
más emergentes. Inmediatamente llama la atención la tendencia creciente de casi todas ellas
en la inmensa mayoría de los escenarios considerados. ENISA publica anualmente un
informe con las amenazas más importantes (ETL por ENISA's Threat Landscape), pero no
es la única institución que lo hace, puedes encontrar informes similares de otros organismos
y empresas del sector de la ciberseguridad, normalmente al final o al principio de cada año.
 Amenazas más relevantes en el 2014 según el informe anual de ENISA. Puedes consultar
el informe del 2015 y el del 2016 (siempre se publica antes del verano) y comparar su
evolución.

Por último, si nos centramos en vulnerabilidades, estos serían algunos ejemplos:

 Formulario web que no comprueba los parámetros introducidos por el usuario.

 Mala ubicación de un servidor de base de datos dentro de la red corporativa.
 Hardware obsoleto y sistemas operativos sin actualizar.
 Ausencia de copias de seguridad.
 Cuentas de usuario mal configuradas.

Como puedes ver, afectan a todo tipo de activos y pueden ser de muy distinta naturaleza.
Como ya hemos visto con anterioridad, puede ayudarte a comprenderlas el clasificarlas en
función del "responsable" (piensa quién tiene la culpa de la vulnerabilidad y por lo tanto, a
quién le correspondería arreglarla). En la figura siguiente podemos ver los tipos de
vulnerabilidades haciendo esta clasificación: vulnerabilidades de diseño, de arquitectura y
configuración )por lo tanto, no de diseño sino de despliegue) o de estándares de
uso/procedimientos. En este último caso, el problema no viene de la fase de diseño, ni
siquiera de la despliegue, sino de un mal uso de los activos por falta de políticas, por una
mala definición de las mismas, etc. Dentro de poco analizarás la importancia del factor
humano en ciberseguridad, y verás cómo puede provocar un gran número de
vulnerabilidades.
 Tipos de vulnerabilidades atendiendo a su causa.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

Ciclo de vida de una vulnerabilidad

Las vulnerabilidades de código son quizás las más conocidas, analizadas y
clasificadas. Nos centraremos en la categoría de vulnerabilidades de software, y
sólo de diseño, dado que hasta el momento no se han dado estas iniciativas para
otros tipos de vulnerabilidades. Vamos a estudiar a continuación el ciclo de vida
de una vulnerabilidad de código:
1. Detección y descripción de la vulnerabilidad con su CVE-ID. Se trata de un
estándar de nomenclatura de vulnerabilidades con el fin de facilitar el
intercambio de información entre diferentes bases de datos y herramientas.
2. Implementación de la explotación de la vulnerabilidad del sistema
(desarrollo de exploits).
3. Solución al problema.
4. Generación de parche de actualización o de nueva versión del código.

La CVE (Common Vulnerabilities and Exposures) es una lista de información

registrada sobre vulnerabilidades de software conocidas. Cada referencia tiene un
número de identificación único, el CVE-ID asignado durante la primer fase del
ciclo de vida. De esta forma se consigue una nomenclatura común y pública de
las vulnerabilidades, al igual que la CWE (Common Weakness
Enumeration) realiza la misma labor con las debilidades (que es un concepto algo
más amplio que el de vulnerabilidad). Además la organización internacional
FIRST gestiona y mantiene el CVSS (Common Vulnerability Scoring System),
un sistema de valoración de vulnerabilidades creado como un método estándar
para determinar la "criticidad" de las vulnerabilidades desde diferentes puntos de
vista y poder clasificarlas, ya que el CVE se limita a proporcionarles un
identificador y a enumerarlas, sin entrar a valorarlas desde ningún punto de vista.

El formato para identificar los elementos de la lista CVE es:

CVE-YYYY-NNNN dónde YYYY indica el año y NNNN el número de

vulnerabilidad.
Desde el año 2014 se contempla utilizar más dígitos para el código de
vulnerabilidad, en previsión de que sean detectadas más de 9999 vulnerabilidades
en un año. Para registrar una vulnerabilidad se deben superar tres etapas:

 Tratamiento: El CVE Content Team analiza, investiga y procesa las

solicitudes de registro de nuevas vulnerabilidades.
 Asignación del CVE-ID: Habitualmente, los grandes fabricantes reservan
en el año un "lote" de IDs que van asignando a sus boletines de seguridad, y
los individuos que piden registrar una vulnerabilidad también pueden hacer
una pre-reserva de ID. Pero si ningún fabricante o individuo asume/registra
la vulnerabilidad, es el CVE Content Team o el editor encargado quien
asigna directamente el identificador.
 Publicación: Se agrega la vulnerabilidad a la lista, se publica en el sitio web,
se redacta la descripción, se van añadiendo nuevas referencias, etc.

Se pueden dar casos especiales, en los que un CVE-ID puede necesitar dividirse
en distintos identificadores debido a la complejidad de la vulnerabilidad. Aunque
también puede darse el caso inverso, es decir, que varios identificadores se
agrupen. Es posible incluso, que algún CVE-ID sea eliminado de las listas junto
con su respectivo contenido; esto puede deberse a distintos factores:

 Que una vulnerabilidad ya haya sido registrada bajo otro CVE-ID y se

compruebe posteriormente que se trata de la misma.
 Que un posterior análisis de la vulnerabilidad demuestre que en realidad no
existe.
 Que el informe relativo a la vulnerabilidad deba ser reformulado en su
totalidad.

Existen diferentes listas/bases de datos de vulnerabilidades: horizontales

(genéricas, casi todas son subconjuntos del CVE) y verticales (sectoriales). Estas
bases de datos deben ser consultadas con regularidad por auditores y
administradores para conocer las amenazas a las que se están exponiendo los
activos. Se denomina zero day (0-day) al día que una vulnerabilidad se hace
pública en este tipo de bases de datos y por lo tanto, se hace conocida para toda la
comunidad de administradores y usuarios. Y tiempo de reacción, al tiempo que,
desde este día, se tarda en tener una solución, mediante algún tipo de parche o
actualización del software o incluso con una nueva versión.

Se conoce como vulnerabilidad de zero day o 0-day (vulnerabilidad de día 0) a

la situación que aparece cuando sólo una persona (o muy pocas personas)
conocen una vulnerabilidad y están en una situación de ventaja para poder
explotarla. Es decir, la persona que ha encontrado la vulnerabilidad no la ha
hecho pública, de modo que ni el fabricante ni los administradores/usuarios son
conocedores del problema. Los atacantes más avanzados suelen dejar de explotar
una vulnerabilidad de día cero una vez que esta se hace pública y se remedia,
para evitar ser detectados, buscan emplear una vulnerabilidad alternativa. En el
año 2013 se detectó la explotación de 23 vulnerabilidades de día 0, lo que supone
un aumento del 61% respecto a las detectadas el año anterior. Este incremento se
ha seguido observando estos últimos años ya que este tipo de vulnerabilidades
cotizan al alza en el mercado negro.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

Análisis de riesgo
Asegurar un sistema supone realizar un análisis de riesgo adecuado y desplegar los
mecanismos, contramedidas y controles necesarios para alcanzar el máximo nivel de
seguridad posible. En la siguiente figura se presenta un proceso típico de análisis del
riesgo:

Proceso de análisis de riesgo.

El análisis del riesgo debe ser un ciclo continuo debido al rápido avance de las TIC.

Existen multitud de herramientas y metodologías para realizar estos procesos de análisis de

riesgo, cada organización o compañía debe seleccionar el más adecuado para su tamaño,
sector de actividad, regulación que le afecta, etc. Para que te hagas una idea de cómo se
llevan a cabo estos análisis a continuación te presentamos un sencillo ejemplo de análisis
del riesgo con CRAMM (CCTA Risk Analysis and Management Method). Los tres
pasos del análisis son:
 Paso 1. Establecimiento de objetivos.
 Paso 2. Evaluación del riesgo.
 Paso 3. Selección de contramedidas.

Paso 1.Establecimiento de objetivos.

Se define el alcance del sistema evaluado. En este paso se identifican:

 Activos físicos del sistema (hardware, redes).

 Software, aplicaciones y servicios.
 Datos e información.

Y se valora el impacto económico para el negocio que tendría que no estuvieran

disponibles, que se destruyeran, que se revelaran o que se accediera a ellos sin autorización
(para tener en cuenta amenazas a la disponibilidad, a la integridad, a la confidencialidad, al
control de acceso, etc.).

Paso 2. Evaluación del riesgo.

Se enumeran las amenazas que puede sufrir el sistema y a continuación se estima la
frecuencia esperada para estas amenazas. Por ejemplo, con una escala del 1 al 10, (donde
Impacto 1 implica menos de una vez cada 10 años y en el otro extremo el impacto 10
implica al menos una vez al mes).

También se analizan las principales vulnerabilidades asociadas a los activos identificados.

Y se estima en qué grado es vulnerable cada activo. En este caso, la calificación tiene que
ver con la probabilidad de que nuestro sistema sufra la peor de las consecuencias ante una
determinada amenaza. Por ejemplo: vulnerabilidad 1 implica que hay menos de un 10% de
probabilidad de ver el peor escenario mientras que vulnerabilidad 10 implica una
probabilidad de entre un 90 y un 100% de ver el peor escenario.

Si se combina la frecuencia esperada con este grado de vulnerabilidad mediante una

sencilla multiplicación es posible cuantificar el riesgo.

Paso 3. Selección de contramedidas.

Supongamos que tras el paso 2 del análisis del riesgo hemos identificado tres amenazas
para un determinado activo que es crítico para la organización. Y que hemos cuantificado el
riesgo de estas tres amenazas como 90, 64 y 56. Con las siguiente tabla podríamos priorizar
las contramedidas y saber cuál es la inversión máxima recomendada en cada una de ellas.
Recuerda siempre que si estimas los impactos económicos por año, tienes que tener en
cuenta la vida media de las contramedidas (puedes invertir 100.000 euros un año pero que
la contramedida te dure 10 años, por ejemplo, y eso hay que tenerlo en cuenta).

Riesgos Tipo de amenaza Impacto económico en el peor Inversión máxima

escenario (pérdidas anuales) recomendada (anua

90 Destrucción física/lógica Por parada en el servicio y/o 90% de X

pérdida de imagen: X

64 Incapacidad de acceder a la Por descontrol de los procesos de 64% de Y

información acerca de los clientes venta: Y

56 Actuación maliciosa Por daños al cliente y/o pérdida de 56 % de Z

imagen: Z

El análisis de vulnerabilidades pasa por ser uno de los pasos críticos para la evaluación
del riesgo, se utilice la metodología que se utilice siempre es necesario. De hecho para
cualquier plan director de seguridad o iniciativa de fortificación, se trata del punto de
partida, hay que saber qué vulnerabilidades presentan nuestros activos en el presente. Dado
lo rápido que caducan estos procesos, debemos hablar de un ciclo continuo de análisis.
Podemos clasificar los diferentes análisis en tres grandes bloques:
 Caja negra: El auditor o analista trabaja sin conocimiento previo del objetivo, se
simula un ataque real y se evalúa el comportamiento del sistema desde fuera. Es
posible identificar síntomas, pero no causas, dando lugar a un gran número de falsos
negativos (no detectar como un problema algo que realmente sí lo es).
 Caja blanca: Se basa en un conocimiento completo del objetivo por parte del auditor
o analista. En este caso, se identifican los orígenes de posibles vulnerabilidades
(debilidades), si bien es posible que se generen gran número de falsos positivos
(detectar como un problema algo que realmente no lo es).
 Caja gris: Se trata de una solución intermedia que intenta combinar los beneficios de
los dos métodos anteriores, el auditor o analista no trabaja a ciegas pero tampoco con
el 100% de la información acerca de los activos analizados.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.
La importancia del factor humano en ciberseguridad
¿Cómo es más probable que se produzca una brecha de datos en una organización? La
respuesta habitual sería “por el ataque de un hacker”. Sin embargo, todos los estudios
apuntan a que un descuido o un ataque intencionado de un empleado de la propia
empresa son los responsables de las mayores pérdidas de datos de las organizaciones.
Aunque menores en número, estos ataques son mucho más dañinos para la organización
que los ataques maliciosos externos (más de dos tercios de los datos expuestos el año
pasado, en volumen, lo fueron por causa interna según la Open Security Foundation).
Las personas formamos parte de la seguridad de los sistemas. Por un lado, somos las
personas las que los diseñamos desarrollamos, desplegamos, configuramos; por otro, somos
también las personas quienes los utilizamos. Somos parte ineludible de la seguridad, pero
no somos máquinas, de ahí que el factor humano en la seguridad sea más difícil de
controlar, de predecir, de mitigar, etc., como veremos en las amenazas que aprovechan el
factor humano que vamos a tratar en esta unidad.
Se habla a menudo de que las personas somos el “eslabón más débil” en la ciberseguridad,
como muy bien nos recuerda Kevin Mitnick (un famoso hacker experto en ingeniería social
entre otras cosas): "Usted puede tener la mejor tecnología, firewalls, sistemas de detección
de intrusos, dispositivos biométricos. Lo único que se necesita es una llamada a un
empleado desprevenido para acceder al sistema sin más. Tienen todo en sus manos".
Muchas veces somos nosotros mismos los que sin darnos cuenta facilitamos demasiada
información, como se puede analizar en los siguientes ejemplos:
 En 2005 se detuvo al asesino en serie de Wichita conocido como BTK que asesinó a
10 personas entre 1974 y 1991. Para su arresto fue fundamental la información
recuperada de los metadatos de un documento en Word que estaba en un disquete que
el propio asesino envió a una cadena de televisión y que no había borrado de forma
segura.
 Hay una página web que localiza las viviendas de miles de gatos (y por tanto de sus
dueños) en el mundo gracias a los metadatos de geolocalización de las fotografías que
sus dueños publican en Internet.
 En junio de 2015 el ejército de los Estados Unidos bombardeó un cuartel general del
Estado Islámico que fue localizado gracias a la publicación de un “selfie” de uno de
los miembros de dicha organización.

En la siguiente pantalla veremos más ejemplos de amenazas que aprovechan descuidos, la

falta de (in)formación o la excesiva confianza por parte de los empleados para lograr que
estos instalen software malicioso o revelen información sensible. Según el informe de
Forrester “Understand the state of data security and privacy” de 2013 la causa más
frecuente de brechas de datos (36%) fue el descuido o mal uso de la información por parte
de los empleados de forma inconsciente. De hecho, casi todos los ciberataques aprovechan
en algún momento el factor humano, sobre todo en las primeras fases del ataque para
recoger información sobre el objetivo, robar credenciales o instalar algún tipo de malware.
Algunos ejemplos de ataques externos detectados recientemente que suelen comenzar con
el envío masivo de emails (phishing o spear-phishing, como veremos un poco más
adelante) son los siguientes:

 Epic Turla: Campaña de ciberespionaje detectada en 2014 y que empleando técnicas

de spear-phishing y watering-hole desde 2007 consiguió infectar miles de memorias
USB y los equipos en los que éstas se utilizaban.
 Darkhotel APT: Campaña que tiene como objetivo altos ejecutivos que se alojan en
hoteles durante sus viajes de negocios, donde son víctimas de este malware.
 Red October: Campaña que desde 2008 ha afectado a cientos de agencias diplomáticas
y gubernamentales, instituciones y empresas de todo el mundo, no sólo a sus equipos
informáticos, sino también a sus teléfonos móviles.
 MiniDuke: Ce destapó en 2013 robando datos de casi 60 agencias gubernamentales y
entidades de investigación.
 NetTraveler: Campaña de 2004 que se descubrió en 2013 y que obtuvo datos sobre la
exploración del espacio, nanotecnología, producción energética, plantas nucleares,
láseres, medicina y telecomunicaciones de más de 350 organizaciones de 40 países.
 IceFog: Desde 2011 hasta 2013 atacó a numerosas instituciones de gobiernos,
contratas militares, navieras, operadoras de telecomunicaciones y satélites, empresas
industriales y tecnológicas y de comunicación, al igual que todas las anteriores con el
spear-phishing como primer paso.

Además, si tenemos al “enemigo en casa” es más difícil protegernos, no sólo de descuidos,

ignorancia o ganas de agradar de nuestros compañeros o empleados sino también de los
ataques intencionados desde dentro (la denominada amenaza del malicious insider), de
empleados descontentos o ambiciosos con acceso a equipos e información sensible, que son
de los más peligroso. Como buenos ejemplos que han salido a la luz pública recientemente
tenemos los siguientes casos:

Edward Snowden
Consultor tecnológico estadounidense, informante, antiguo empleado de la CIA y de la
NSA. En 2013 hizo públicos documentos clasificados como alto secreto sobre varios
programas de la NSA, incluyendo los programas de vigilancia masiva PRISM y
XKeyscore.
Bradley Manning
Ex-soldado y analista de inteligencia del ejército de Estados Unidos. En 2010 filtró a
Wikileaks miles de documentos clasificados de las guerras de Afganistán e Irak, incluyendo
cables diplomáticos de varias embajadas estadounidenses y el vídeo del ejército conocido
como “Collateral murder”, en el que se ve cómo un helicóptero estadounidense mata a un
grupo de civiles en Irak, del que formaban parte dos periodistas de la agencia Reuters.
Hervé Falciani
Ingeniero de sistemas italo-francés que trabajó en reforzar la seguridad de la filial suiza del
banco HSBC entre 2001 y 2008. En ese periodo logró sustraer información de hasta
130.000 evasores fiscales (la conocida como “lista Falciani”) que desde 2009 es utilizada
por la justicia de varios países para luchar contra el fraude fiscal.

En ciberseguridad estamos acostumbrados a aplicar soluciones tecnológicas “sencillas”,

empleando productos existentes en el mercado para cubrir la parte técnica de las amenazas.
Y a menudo nos limitamos a eso: “tengo un antivirus/firewall instalado, entonces ya estoy
seguro”. Sin embargo, el factor humano necesita otro tipo de soluciones más difíciles de
implementar, más complejas, a medio/largo plazo, basadas en la creación de políticas y
procedimientos de seguridad, su difusión entre los usuarios, la motivación de los mismos
a aplicarlas, la generación de cambios de comportamiento, etc.
En muchas ocasiones es una mala experiencia (por ejemplo, la pérdida de un smartphone
con información sensible) lo que dispara la alarma en la empresa de que hay que tener en
cuenta el factor humano en la seguridad, y es en ese momento cuando se buscan posibles
soluciones al problema.

Pero antes de entrar a describir los problemas y sus soluciones, sí que habría que dejar claro
que debemos cuidar ambas facetas de la seguridad, tanto la parte técnica como la humana,
pues dependen la una de la otra para lograr que nuestro sistema sea lo más seguro posible.
Un claro ejemplo es el eterno debate de seguridad frente a usabilidad, donde debemos
llegar a una solución de compromiso. Todos sabemos que una contraseña de 20 caracteres
combinando mayúsculas, minúsculas, símbolos y números y que cambie todos los días será
muy segura, pero eso es inmanejable por una persona. Debemos buscar soluciones de
seguridad adaptadas según el contexto al que van dirigidas (tal vez esa política de
contraseñas sea válida en una instalación militar, pero no tendría ningún sentido aplicarla
en el equipo de mi casa), y que sean comprensibles y utilizables por el usuario.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

Amenazas que aprovechan el factor humano

Muchas de las técnicas que amenazan a la seguridad que aprovechan el factor
humano se basan en la ingeniería social (social engineering). Esta es una mezcla
entre ciencia, psicología y arte, por la que se intenta influir o manipular a una
persona para que lleve a cabo acciones o facilite información confidencial,
normalmente en contra de sus intereses. Se trata habitualmente de técnicas
psicológicas que combinadas con ciertas habilidades sociales se aprovechan de
la buena (o mala) fe de las personas de dentro de una organización, para que
realicen determinadas acciones (como por ejemplo instalar software malicioso) u
obtener de ellas información o acceso a zonas restringidas, y poder así llevar a
cabo un ataque con éxito. También se conoce como “hackear a la persona”
(human hacking).
Un atacante externo puede aprovechar los descuidos o la escasa formación de un
empleado para acceder a la información suficiente para realizar un ataque con
éxito. También puede ser directamente el propio empleado (insider) el que de
forma consciente (ya sea por venganza, por dinero, por coacción, etc.)
proporcione la información al atacante o incluso lleve él mismo a cabo el ataque.
Diferentes expertos en seguridad han demostrado con distintas pruebas y
experimentos que es muy sencillo obtener información confidencial de
empresas, bancos, hospitales, etc. con tan sólo una búsqueda en Internet de
algunos datos del objetivo y una simple (pero convincente) llamada de teléfono.
Sorprendentemente preguntas como “soy Sonia, de soporte, estamos teniendo
problemas con la red y necesitamos reiniciar tu equipo, ¿podrías hacerlo ahora?
De no ser así, ¿podrías facilitarme tu usuario y clave para poder hacerlo nosotros
en remoto esta noche?” obtienen la información que buscan sin levantar
sospechas en la víctima. Tampoco solemos pedir identificación a la persona que
pasa detrás de nosotros en la puerta de acceso sin fichar (incluso le sujetamos la
puerta), o al técnico que viene a mirar un momento el ordenador. Muchos somos
confiados por naturaleza, y la ingeniería social aprovecha ese exceso de
confianza y nuestras ganas de agradar para obtener lo que busca: acceso al
edificio, credenciales, instalar un malware en un equipo, etc.
Ya verás que muchos de los ataques que veremos en este MOOC comienzan por
una recogida de información sobre el potencial objetivo. Para esta recogida se
pueden emplear técnicas de ingeniería social, algunos ejemplos son:

 No presenciales: Contacto con empleados, normalmente realizando algún

tipo de suplantación por teléfono (vishing), correo electrónico (phishing),
mensajería instantánea, etc.
 Presenciales: Búsqueda en la basura (dumpster diving), seguimiento de
personas y vehículos, vigilancia de salas y edificios, generación
de situaciones de crisis, presión psicológica, soborno, chantaje o extorsión,
etc.

Mención especial merece el phishing. Consiste en el envío masivo de

comunicaciones (normalmente correos electrónicos) desde lo que parece un
origen de confianza, con el aspecto de un escrito real en el que requiere al
receptor que facilite determinada información, bien respondiendo al email, bien
conectándose a una página web que parece real donde introducirá sus datos. El
éxito del phishing se basa en el envío masivo y la probabilidad, dado que el
número de víctimas potenciales es muy grande, es muy probable que alguna de
ellas caiga en la trampa y facilite esa información que el atacante tan
amablemente solicita.
 ¿Quién no ha recibido un email como estos?

Además del phishing para la obtención de credenciales de usuario, también están

los correos de phishing que buscan que la víctima abra un documento de su
interés o pinche sobre un enlace que descargará software malicioso, y que
aprovechará alguna vulnerabilidad del equipo para funcionar con éxito. De hecho
el phishing es uno de los vectores de entrada más comunes de malware en los
equipos.
Otras versiones del phishing son:

 Spear-phishing: Variante que perfecciona y personaliza la comunicación (la

traducción sería pesca con arpón), adaptándola a cada individuo, gracias a un
análisis previo de la empresa, los nombres de los empleados/jefes/personal
de servicio técnico, nombres de clientes, etc. En definitiva, cualquier
información que pueda ser útil para hacer más creíble la comunicación que
va a recibir la víctima. Los envíos no son masivos como los mencionados
anteriormente, sino muy dirigidos a un grupo de posibles víctimas concretas.
 Whaling: Tiene como objetivo los directivos de la empresa, de manera que
al igual que con el spear-phishing se personalizan mucho más las
comunicaciones que se envían en lugar de hacer envíos masivos. Este tipo de
técnica suele tener una alta probabilidad de éxito ya que los directivos no
suelen asistir a las sesiones de concienciación o de formación que se
organizan para los empleados.

Además de los mencionados anteriormente, otros ataques basados en phishing de

los que seguro que has escuchado hablar son:

 En 2011 la multinacional de seguridad RSA recibió un ataque que costó a su

empresa matriz, EMC, 66 millones de dólares, además de ver comprometido
su popular sistema de autenticación en dos pasos (SecurID). El atacante
envió dos correos de phishing a varios empleados muy bien construidos,
contenían un archivo adjunto de Excel que tenía un exploit para una
vulnerabilidad de 0-day que instalaba una puerta trasera (por una
vulnerabilidad de Adobe Flash). Algunos empleados cayeron en la trampa.
 En 2013 la cadena de tiendas Target sufrió un ataque a su red con el que se
obtuvieron los datos de nada menos que 40 millones de tarjetas de crédito y
débito. Lo curioso es que las credenciales para acceder a la red de Target las
obtuvieron mediante un ataque por phishing previo (con el troyano Citadel),
no a la empresa Target sino a su sub-contrata Fazio Mechanical Services que
se encargaba de la calefacción, ventilación y aire acondicionado de las
tiendas.
 En 2013 la cuenta de Twitter de Associated Press fue secuestrada,
publicando la falsa noticia de que dos explosiones en la Casa Blanca habían
herido al Presidente Obama, algo que provocó el desplome inmediato de la
bolsa. Todo comenzó cuando algunos empleados cayeron en la trampa de
pinchar en el enlace que venía en el siguiente correo:
Sent: Tue 4/23/2013 12:12 PM

From: [An AP staffer]

Subject: News

Hello,

Please read the following article, it’s very important :

http://www.washingtonpost.com/blogs/worldviews/wp/2013/04/23/

[A different AP staffer]

Associated Press

San Diego

mobile [removed]

Watering-holes (la traducción sería abrevaderos) es otra de las técnicas que,

aunque no explota directamente el factor humano, sí que se suele emplear
conjuntamente con técnicas de recogida de información como las comentadas
anteriormente. Se trata de averiguar primero qué páginas o sitios web suelen
visitar los empleados de la empresa objetivo, para infectar alguna de ellas con
malware o con algún exploit específico, de forma que si algún empleado no está
convenientemente protegido (de nuevo entra en juego la probabilidad) pueda ver
su sistema comprometido simplemente por el hecho de visitar esa página o sitio.
Es más sutil que el phishing y se suele emplear cuando éste falla. El grupo de
ciberespionaje “Hidden Lynx” es el rey de esta técnica, llevando a cabo el ataque
a la empresa de seguridad Bit9 en 2013, comprometiendo sus certificados de
firma de código que emplearon para firmar malware que usaron para atacar no
sólo a la propia Bit9 sino también a sus clientes. Otros ataques conocidos de este
grupo fueron VOHO y la Operación Aurora.
Hay muchas otras técnicas en las que interviene el factor humano, veamos un
resumen en el siguiente vídeo.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.
Cómo gestionar el factor humano: políticas y
procedimientos
Una vez hemos analizado algunas de las posibles amenazas que se aprovechan del factor
humano, veamos ahora cómo podemos hacerles frente.

Para seguir mi última recomendación del vídeo, este es el enlace en la página web
de SANS. Las políticas de seguridad suelen resumirse en un enunciado corto, ni demasiado
genérico ni demasiado concreto y que no lleve a confusión acerca del dominio o alcance de
la política. Además, deben incorporar un bloque de Estándares de seguridad en el que se
especifican detalles concretos de uso del hardware y software (y de otros tipo de activos)
que afectan a sus usuarios. Teniendo en cuenta estos estándares se define el bloque
de Procedimientos de seguridad, que describe en detalle los pasos a seguir por los
administradores, el equipo de seguridad, etc. para implantar las políticas de seguridad
aprobadas por la organización. Estos procedimientos suelen permitir definir a su vez Planes
de seguridad, que son un conjunto de decisiones que definen las acciones a seguir, así
como los medios que se van a utilizar (planes de instalación, testeo, administración,
configuración, etc.) para que la organización esté preparada para seguir las políticas que se
han definido. Por ejemplo, si un estándar de una política de seguridad pide a los usuarios
que se conecten siempre a los activos de la organización desde el exterior a través de una
VPN, los procedimientos deben indicar a los administradores cómo configurar y mantener
esta VPN, y debe existir algún plan que prevea el despliegue de esta VPN. Los estándares y
procedimientos de seguridad se completan cuando se define una política con las Guías y
mejores prácticas, sugerencias que no son obligatorias e información complementaria que
pueden mejorar el nivel de cumplimiento de objetivos, facilitar el trabajo de
administradores y usuarios, etc.

Veamos todo esto en el siguiente vídeo.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

La gestión de las personas

Las organizaciones deben definir claramente unos roles y responsabilidades respecto a la
seguridad, de forma que cada miembro de la organización sepa exactamente qué papel
desempeña y qué obligaciones conlleva. En definitiva, qué se espera de él. Veamos qué
implica todo esto.
MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA
CIBERSEGURIDAD.

Eventos, ataques e incidentes de seguridad

Una vez comprendidos el contexto actual para la ciberseguridad, los conceptos de
riesgo, amenaza y vulnerabilidad y la importancia del factor humano en este área,
vamos a terminar el estudio de esta semana analizando qué entendemos por
ataque y comprendiendo la anatomía de un ataque hacker en la actualidad. Hay
que tener en cuenta que el enfoque de este curso es el de ataques y
contramedidas, es decir, el de aprender acerca de ciberseguridad intentando
comprender primero los patrones de ataque más comunes y las vulnerabilidades
que explotan para poder después conocer las contramedidas más extendidas y
aprender a escoger las más adecuadas en cada escenario con criterios fiables. En
resumen: vamos a conocer qué problemas podemos tener para intentar aprender a
solucionarlos (evitándolos o mitigando sus consecuencias).

En primer lugar, es importante que distingas entre los conceptos de evento de

seguridad (restringido al ámbito operativo, lo que se puede observar
directamente sobre los activos), ataque (foco de las dos siguientes semanas de
estudio, que abarca el contexto técnico de lo que provoca el evento) e incidente
de seguridad (que abarca ámbitos estratégicos, legales, etc.). Esta figura trata de
mostrar las diferencias gráficamente.
Alcance de los eventos, ataques e incidentes en ciberseguridad.
Si te fijas, el evento de seguridad se ciñe a la realización de una acción concreta
sobre un objetivo, víctima o target. El evento es lo que se observa cuando se está
sufriendo un ataque, por lo tanto, es lo que permite detectarlo y lo que queda
registrado en los logs.

El ataque empieza antes, cuando se utiliza algún tipo de herramienta para

explotar una vulnerabilidad (aunque como veremos dentro más adelante, existen
herramientas que van dirigidas a otros aspectos diferentes que la explotación), y
termina un poco más tarde, cuando gracias a la acción realizada sobre el objetivo,
víctima o target, se produce un resultado concreto. Como decíamos antes, las dos
próximas semanas del curso se dedicarán a estudiar los patrones de ataque más
comunes en la actualidad, no te preocupes si ahora hay conceptos o términos en
la figura que no terminas de comprender.
Por último, el incidente de seguridad abarca el factor humano de la seguridad
informática, es decir, ya no sólo tienen en cuenta el plano técnico como ocurre
con el ataque, sino que también engloba al atacante o atacantes, sus motivaciones
y el objetivo que persiguen con el ataque.
Hay que intentar minimizar la cantidad y gravedad de los incidentes de
seguridad, pero sabemos que siempre ocurrirá alguno, ya que ningún sistema es
100% seguro. Por ese motivo, es necesario crear o contratar un CSIRT
(Computer Security Incident Response Team) y definir un plan de respuesta
a incidentes adecuado para contener los daños cuando estos incidentes se
produzcan. Cuando se produce un incidente de seguridad, este equipo debe:
1. Realizar una evaluación inicial.
2. Contener los daños con una respuesta inicial y minimizar el riesgo.
3. Reunir y proteger pruebas forenses (que incluyan el factor humano, ya que
se está respondiendo al incidente completo, es decir, importa quién ha
realizado el ataque y por qué).
4. Implementar una solución temporal.
5. Comunicar el incidente dentro y fuera de la organización.
6. Consultar/notificar a las autoridades pertinentes.
7. Obtener lecciones aprendidas y documentar el incidente.
8. Implementar soluciones permanentes y determinar la repercusión financiera
o para la reputación del negocio que ha tenido el incidente.

Por tanto, las personas que forman parte de este tipo de equipos o que colaboran
con ellos desde los departamento de seguridad, de sistemas o de IT deben tener
conocimientos acerca de vulnerabilidades, amenazas, riesgos, patrones de ataque,
contramedidas, definición de políticas, análisis forense, etc. Muchos de los
conocimientos básicos en todos estos aspectos los irás adquiriendo a lo largo de
las próximas semanas, sobre todo los relacionados con el aspecto técnico y
operativo, es decir, con la comprensión de los ataques y de las contramedidas.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

Diferencia entre eventos, ataques e incidentes

de seguridad
Veamos algunos ejemplos para estar seguros de que hemos comprendido las
diferencias entre todos estos conceptos.

Eventos:
 Un servidor es escaneado para encontrar sus vulnerabilidades.
 Los datos de un cliente son modificados sin autorización.
 Los datos de un cliente son modificados sin autorización.
 Un usuario es suplantado en una red social.
 Un proceso industrial (fabricación de un medicamento) es interrumpido.

Ataques:
 Una vulnerabilidad de un sistema operativo es empleada para que un
malware escale privilegios y se ejecute con permisos de administrador.
 Un sniffer de red es empleado para espiar el tráfico y obtener la contraseña
de un usuario.
 Un dispositivo de electrónica de red es destruido con una herramienta
contundente.
 Un campo de un formulario web es empleado para realizar una consulta
SQL en una base de datos y descargar un fichero sin autorización.

Incidentes de seguridad:
 Un terrorista manipula el sistema de control de un pozo petrolífero y
genera un desastre medioambiental.
 Un estudiante de informática se descarga un kit de exploits e intenta
realizar una denegación de servicio en la página web de su universidad.
MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA
CIBERSEGURIDAD.

Tipos de atacante y anatomía de un ataque

hacker
Aunque no es objetivo de este curso analizar el perfil de los atacantes actuales o
comprender sus motivaciones últimas, sí que resulta interesante para comprender
la anatomía de un ataque hacker (las etapas que suelen producirse en un ataque
típico), conocer una clasificación en función de sus conocimientos y
motivaciones, es decir, comprender un poco mejor lo que aparece en la primera
columna de la figura en la que te explicábamos la diferencia entre evento, ataque
e incidente (en la primera pantalla de esta unidad).
Por eso comenzamos analizando esta clasificación en el siguiente vídeo para
luego pasar a analizar las típicas etapas que se llevan a cabo para realizar un
ataque hacker en el que tienes a continuación.

Las etapas que se han mostrado en este vídeo no son universales, es decir,
distintos organismos o profesionales han propuesto otras divisiones en etapas y
además, muchos ataques se construyen de manera artesanal o como
combinación de diferentes patrones y es complicado realizar este tipo de
abstracciones con ellos. Pero se trata de una anatomía muy sencilla que suele
encajar bien con casi todos los patrones de ataque y que permite comprenderlos y
analizarlos de manera ordenada y sistemática.
Como en las dos próximas semanas estudiaremos en detalle las etapas de
construcción, repetición y obtención de resultados, vamos a comentar para
terminar esta unidad las fases de obtención de información y anonimato, sólo por
dejar algunas cosas importantes claras.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.
Recogida de información
Ya has visto en la pantalla anterior que un ataque comienza siempre por una fase
de recogida de información, en un contexto en el que están proliferando los
ataques dirigidos como el actual, esta fase cada vez es más crítica y exhaustiva.

También sabes ya que esta fase de recogida de información suele dividirse en dos
etapas: la primera de OSINT (Open Source Intelligence) o footprinting y la
segunda de fingerprinting. Esta distinción suele hacerse porque la primera etapa
no implica actividades ilegales, mientras que la segunda puede incluirlas alegales
o ilegales.
Footprinting: Seguir unas huellas no es complicado, ni tampoco es ilegal...
En el caso del footprinting, la recogida de información se realiza en medios o
fuentes de acceso público: web, redes sociales, foros, prensa, BOE, archivos
históricos de la web (como archive.org), etc. Para esta fase los buscadores son
tremendamente potentes, en concreto se utilizan mucho Google (como buscador
genérico), Shodan (como buscador de todo tipo de dispositivos conectados a
Internet) y NameCHK (como buscador de dominios y nombres de usuario en
diferentes servicios). Los "dorks" son los operadores que en estos buscadores
pueden ayudar a los hackers a refinar mucho las búsquedas y a obtener
exactamente el tipo de información que están buscando. En la Google Hacking
DataBase puedes encontrar multitud de ejemplos de estos dorks en el caso de
Google. En la mayor parte de los casos no somos conscientes de la cantidad de
información que dejamos públicamente accesible y que puede ser empleada para
construir un ataque hacker.

En cuanto a los metadatos, también mencionados en la pantalla anterior, se trata

de información públicamente accesible, pero en este caso nos referimos a la
típica información acerca del autor de un documento colgado en una página web
(lo que proporciona un nombre de usuario), de la aplicación empleada para
editarlo (información acerca de SO, versiones, etc.); pero también de información
acerca de direcciones IP de estaciones de trabajo, servidores o impresoras. Hoy
en día, incluso información de geo-localización, por ejemplo en el caso de
fotografías. Y es que si no se eliminan adecuadamente, prácticamente todos los
formatos de ficheros incorporan este tipo de metadatos: MS Office y OpenOffice,
pdf, ps y eps, casi todos los formatos de imágenes, gráficos y fotografías.
El proceso de extracción de conocimiento a partir de toda esta información
accesible en medios públicos puede llegar a ser costoso en tiempo y en
recursos, dada la gran cantidad de datos que puede llegar a recopilarse acerca de
un posible objetivo (se ha llegado a hablar de "infoxicación"). Pero, al igual que
ocurre en el resto de fases de un ataque hacker, existen multitud de herramientas
y servicios que ayudan a automatizar el trabajo.
Si navegas un rato por este framework, encontrarás multitud de técnicas y
herramientas relacionadas con la fase de OSINT además de las ya mencionadas,
es un campo en el que hay novedades casi todos los días.
Fingerprinting: Obtener las huellas digitales ya es un proceso mucho más
delicado y que puede involucrar técnicas, como poco, de dudosa ética.
En el caso de la segunda etapa, el fingerprinting, ya hemos visto que se trata de
una recogida de datos más específicos que permiten recopilar información sobre
toda la pila TCP/IP de una red o sistema concreto. Es decir, topologías,
direcciones y nombres a diferentes niveles, estado de puertos, versiones
y estado de actualización de software y parches de SO, listados de
vulnerabilidades, etc. En este caso, la información no suele ser pública y se suele
conseguir utilizando técnicas y herramientas mucho más específicas.
Típicamente la ingeniería social y el phishing (que ya has estudiado con César
esta semana), el sniffing y el scanning.

El sniffing es una técnica que permite capturar todos los datos que circulan por
una red de área local (no es necesariamente una técnica maliciosa, se utiliza en
muchos casos para administrar la red, mejorar su rendimiento, analizar cuellos de
botella, etc.). Para su realización se utilizan herramientas específicas, los sniffers.
Este tipo de software configura las tarjetas de red para que trabajen en modo
promiscuo. Es decir, para que capturen y procesen todo el tráfico aunque no
vaya dirigido específicamente a ellas.
Es muy importante que los sniffers soporten los protocolos de interés (que los
puedan interpretar) y que proporcionen mecanismos de filtrado adecuados. Si se
cumplen estos requisitos, se pueden utilizar para obtener todo tipo de
información antes de realizar un ataque. Obviamente para poder utilizar estas
herramientas hay que estar conectado a la red que se desea espiar, y su alcance
depende de los dispositivos de conmutación/segmentación que se utilizan en la
red, de su correcta configuración, de la forma de acceso. Por ejemplo es una
técnica típica para conseguir contraseñas: si van en texto plano, es automático; si
van cifradas, hay que crackearlas.

El scanning trata de analizar a través de diferentes herramientas el estado de

una determinada red y de los dispositivos ubicados en ella. Se pueden
diferenciar diferentes tipos de escáneres dependiendo del nivel de profundidad y
del objetivo de este análisis. Los más habituales son los escáneres de
puertos para saber qué puertos están abiertos en los diferentes equipos que
forman parte de una red y los escáneres de vulnerabilidades para saber qué
vulnerabilidades presentan en función de su sistema operativo o software
instalado, versión y grado de actualización

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.
Anonimato
Vamos ahora a analizar la otra fase o etapa que nos interesa en esta unidad del
curso, el anonimato. Como ya hemos visto, para un atacante el anonimato es
importante por dos aspectos fundamentales:

 Ocultar su identidad desde las fases iniciales del ataque (desde el

fingerprinting las actividades realizadas son susceptibles de ser consideradas
un delito y se puede rastrear el origen de las consultas realizadas).
 Borrar sus huellas para dificultar posibles análisis forenses y lecciones
aprendidas.

La primera y más sencilla, aunque también por ello la menos utilizada, es

el anonimato físico. Es decir, el que consigue proteger la identidad del atacante
porque este accede a la red desde un lugar público, desde un cibercafé, etc.
La segunda es el anonimato por uso de bouncer o de equipo zombie, es decir,
controlado por el atacante sin que lo sepa su propietario o administrador. El
atacante toma el control sobre este sistema y lo utiliza como puerta de entrada
para su conexión, de manera que se vea siempre como el origen de los ataques.
Como tiene control total sobre este sistema, puede editar todos sus registros para
borrar sus huellas y hacer el rastreo imposible. Para convertir a una víctima en un
bouncer se explota alguna de sus vulnerabilidades, normalmente con algún
software malicioso como un troyano.
La tercera, con uso de proxy, es muy similar a ésta, ya que un proxy es una
máquina, que normalmente mediante NAT, realiza funciones de intermediación,
ocultando el origen de las comunicaciones. Por este motivo la víctima del ataque
verá como origen de las comunicaciones al proxy, no al atacante. La mayor parte
de los servidores proxy corporativos requieren de autenticación para evitar un
uso malicioso. Pero por desgracia no siempre están protegidos adecuadamente.
De todas formas, los proxies corporativos mantienen un registro de todas las
peticiones atendidas, lo que no permite el anonimato deseado. El problema es la
falta de consenso en jurisdicción internacional y el vacío legal que permite que
estos proxies se instalen en ciertos países sin ninguna repercusión. Además
existen aplicaciones que manejan matrices de proxies y que permiten cambiar de
servidor cada cierto tiempo construyendo complejas rutas muy difíciles de
rastrear.

La cuarta y última es el uso de la deep web o Internet Profunda, gracias a

proyectos como TOR (The Onion Router), I2P o Freenet. El más conocido y
utilizado es todavía TOR, aunque las últimas noticias (desde las revelaciones de
Snowden) han hecho sospechar a la comunidad hacker que esta red ya no es tan
anónima como cabía pensar. El objetivo principal de este proyecto y de otros
similares fue el desarrollo de una red de comunicaciones distribuida superpuesta
sobre Internet en la que el encaminamiento de los mensajes intercambiados entre
los usuarios no revela su identidad (su dirección IP) garantizando además la
integridad y confidencialidad de estos mensajes.

Con uno de estos cuatro tipos de técnicas o una combinación de ellos, los
atacantes suelen proteger su identidad cuando llevan a cabo sus actividades
maliciosas. ¿Qué actividades? Seguimos hablando de ello la semana que viene...

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

¿Qué hemos aprendido esta semana?

Ya habrás dedicado alrededor de cuatro horas al estudio de esta primera semana del MOOC
y vas a pasar a realizar la evaluación de estos contenidos. Comprueba primero que tienes
claros los siguientes conceptos. Si alguno no lo tienes claro del todo, revisa el material
antes de pasar a la siguiente pantalla. Recuerda que en las pruebas de evaluación sólo
tienes una oportunidad y que tienen que estar las 6 aprobadas si quieres certificar que
has superado el MOOC con éxito:
 La ciberseguridad nos protege, no sólo de ataques intencionados, sino de accidentes
provocados por catástrofes naturales, descuidos de empleados sin mala intención, etc.
Y actualmente en prácticamente todos los entornos y sectores, dado el alto grado de
digitalización y de interconexión al que hemos llegado.
 Los enfoques actuales suelen trabajar con el ciclo de mejora continua identificar-
prevenir-detectar-responder-recuperar.
 Y teniendo en cuenta tres principios básicos que se pueden resumir en mínimo
privilegio, mínima superficie de exposición y defensa en profundidad.
 Se busca garantizar hasta un nivel adecuado los pilares de la
ciberseguridad: confidencialidad, integridad, disponibilidad, control de acceso y no
repudio.
 Los términos riesgo, amenaza y vulnerabilidad no son equivalentes.
 Las vulnerabilidades pueden deberse al diseño de los activos, a la arquitectura y
configuración con la que se despliegan o al uso que se les da.
 El CVE-ID de una vulnerabilidad es su identificador según un estándar de
nomenclatura de vulnerabilidades Common Vulnerabilities and Exposures (CVE), con
el fin de facilitar el intercambio de información entre diferentes bases de datos y
herramientas.
 Se denomina ataque de zero-day al que se realiza explotando una vulnerabilidad
hasta el mismo día en el que ésta se hace pública, y que por lo tanto todavía no es muy
conocida ni está resuelta.
  Un exploit es un fragmento de código que facilita la explotación de una vulnerabilidad
concreta (tiene la doble vertiente de uso con fines “buenos” y “malos”).
 Los procesos de evaluación del riesgo intentan cuantificar los riesgos que se sufren
en una organización y priorizarlos, de manera que posteriormente se pueda gestionar
cada uno de ellos de la manera más adecuada.
 El factor humano en ciberseguridad, ya sea por descuido o intencionadamente, es el
responsable de los peores ataques con los peores resultados para las organizaciones.
 Muchos ataques aprovechan el factor humano (ingeniería social) para recoger
información sobre el objetivo, para robar credenciales o para instalar algún tipo de
malware.
 El phishing consiste en el envío masivo de correos electrónicos desde lo que parece
un origen de confianza (ahí el atacante aprovecha el factor humano que confía en el
correo únicamente porque le parece una fuente fiable), en el que requiere al receptor
determinada acción, por ejemplo que acceda a una página web que parece real donde
introducirá sus datos.
 Para reducir los efectos negativos del factor humano en la seguridad de una
organización, se implementa un Sistema de Gestión de la Seguridad de la
Información (SGSI), con políticas de seguridad concretas que los empleados deben
seguir y que por lo tanto deben estar bien definidas y bien comunicadas.
 Existen distintos tipos de atacantes (hackers) en función del nivel de sus
conocimientos técnicos y de sus motivaciones.
 Los términos evento, ataque e incidente no son equivalentes.
 Por norma general se puede comprender un ataque atendiendo a su elaboración en
cinco fases: recogida de información (footprinting u OSINT y fingerprinting),
construcción, repetición, obtención de resultados y anonimato.
 La distinción entre footprinting y fingerprinting suele hacerse porque la primera
etapa no implica actividades ilegales (hacking con buscadores, análisis de metadatos),
mientras que la segunda puede incluirlas alegales o ilegales (ingeniería social, sniffing,
scanning).
 El anonimato, que permite al atacante ocultar su identidad y borrar sus huellas, puede
conseguirse físicamente, mediante el uso de bouncer o proxy o utilizando la deep web.

MÓDULO 1. CONCEPTOS BÁSICOS Y CONTEXTO ACTUAL DE LA

CIBERSEGURIDAD.

Enlaces y referencias de ampliación

Si te interesa profundizar en alguno de los temas tratados esta semana, puedes
encontrar información en estos enlaces (algunos en castellano, otros en inglés):
Ciberseguridad y contexto, principios, pilares,
buenas prácticas y recomendaciones, actualidad
y noticias:
 ENISA - http://www.enisa.europa.eu/
 DHS - http://www.dhs.gov/topic/cybersecurity
 NIST - http://csrc.nist.gov
 ISACA - https://www.isaca.org
 INCIBE - https://www.incibe.es/
 Internet Security Alliance - http://www.isalliance.org/
 Microsoft Techcenter de Seguridad - http://technet.microsoft.com/es-
es/security
 Infosec Institute - https://www.infosecinstitute.com/
 DarkReading - http://darkreading.com
 Darkmatters (NORSE) - http://www.norse-corp.com/resources/
 IBM (blog) - http://securityintelligence.com/
 Elladodelmal (blog) - http://www.elladodelmal.com
 Securitybydefault (blog) - http://www.securitybydefault.com/
 RSA blogs (blog) - https://blogs.rsa.com/

Amenazas, vulnerabilidades, eventos e

incidentes:
 CVE - http://cve.mitre.org/
 CVE details - http://www.cvedetails.com/
 CVSS - http://www.first.org/cvss
 SecurityFocus - http://www.securityfocus.com/
 CCN (el CERT del CCN es el CERT gubernamental español)
- https://www.ccn.cni.es/
 Forum for Incident Response and Security Teams - http://www.first.org
 Breach Level Index - http://breachlevelindex.com/
 Todos los grandes fabricantes de soluciones anti-malware y otro tipo de
contramedidas publican cada año en su página web informes predictivos
(qué creen que va a ser lo más grave en el siguiente año) y descriptivos (con
un resumen/análisis de lo más importante que ha pasado cada año, ya a
posteriori). Puedes buscar los de TrendMicro, Kaspersky, F-Secure, Secunia,
etc.

El factor humano, políticas de seguridad:

 “Managing the Human Factor in Information Security”, David Lacey. John
Wiley & Sons, 2009.
 “Why Social Engineering Should Be Your Biggest Security Concern” (Alan
Henry, 2014) - http://lifehacker.com/why-social-engineering-should-be-
your-biggest-security-1630321227
 “Combating the insider threat” (US-CERT, 2014) )- https://www.us-
cert.gov/sites/default/files/publications/Combating%20the%20Insider%20Th
reat_0.pdf
 SocialEngineer - http://www.social-engineer.org/
 SANS Security Policy Resource page - http://www.sans.org/security-
resources/policies/
 Small business Information Security: The Fundamentals, National Institute
of Standards and Technology
- http://csrc.nist.gov/publications/nistir/ir7621/nistir-7621.pdf