Curso de Seguridad de Redes Completo-Lacnic

Temario del curso introductorio de
seguridad en redes
Tema 1: Principios básicos de la seguridad

Introducción
Seguridad de la información
Formas de almacenamiento de la información
Diferencias: Robo de Información virtual vs Robo de Información física
Importancia de la información para las organizaciones
¿Qué es la seguridad de la información?
Principios básicos de la seguridad
Análisis histórico
Conclusiones
Tema 2: Estrategias de seguridad

Introducción
Estrategias de seguridad
Menor privilegio
Defensa en profundidad
Cuello de botella
Prueba de fallos
Participación Universal
Punto más débil
Sencillez
Diversidad de Defensa
Las estrategias de la seguridad en la vida real
Tema 3: Seguridad física

Introducción
Componentes de la seguridad física
Eventos naturales
Eventos no naturales
Redundancia
Seguridad al eliminar la información
Conclusiones
Tema 4: Seguridad Lógica

Introducción
Mecanismos de Seguridad Lógica
Firewall
Sistemas de detección de intrusos
Redes privadas virtuales
Autenticación, Autorización y Auditoría
Tema 5: La seguridad en la actualidad

Errores comunes
Amenazas frecuentes
Prevención de amenazas
Tipos de intrusos
Tema 6: Seguridad en redes TCPIP

Ataques dirigidos a las características de los protocolos TCP/IP
Ataques dirigidos a las implementaciones de estos protocolos por fabricantes
Descripción de estos ataques
Formas de ataque
Tema 7: Introducción a la criptografía

Conceptos básicos y terminología
Fundamentos de criptografía
Clasificación de los sistemas de cifrado
Criptografía clásica
Criptografía simétrica
Criptografía asimétrica
Firma electrónica
Hashing
Tema 8: Seguridad en el almacenamiento

Introducción
Escogiendo una clave segura
Borrado seguro
Cifrado de archivos
Cifrado de sistemas de almacenamiento
Tema 9: Seguridad en el almacenamiento -

RAID y Respaldos
Introducción
RAID
Respaldos de información
Tema 10: Seguridad en la transmisión de la información
Introducción
Previniendo escuchas
SSH
SSL/TLS
Firma digital
Tema 11: Las amenazas de hoy en día

Introducción
Fallas en el hardware
Internet de las cosas
Phishing
Malware y formas de distribución actuales
Redes sociales
Protegiéndonos de estos ataques
Obteniendo información sobre seguridad
Tema 12: Tratamiento de incidentes

Introducción
Conceptos básicos
Planificando un CSIRT
Manejo de incidentes
Otros CSIRT en el mundo
Curso
Introductorio Principios básicos
de Seguridad
Autor:
de la seguridad
Ernesto Pérez Estévez
· Introducción a la seguridad de la información
· Importancia de la seguridad para las
MODULO 1. organizaciones
MODULO 2. · Principios básicos de la seguridad
· Análisis histórico
MODULO 3.
· Conclusiones del capítulo
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
1.
Introducción
MODULO 1.
Principios básicos
de la seguridad ¡Bienvenidos! En este capítulo se hará para comenzar una
breve introducción a los principios básicos de la seguri-
MODULO 2. dad, que no por ser básicos dejan de ser muy importan-
tes y de mencionarse diariamente. También se describirá
MODULO 3. cómo ha evolucionado la seguridad a lo largo de los años.
MODULO 4.
Seguridad de la información
MODULO 5.
Para empezar a hablar de la seguridad de la información
MODULO 6. debemos comenzar por preguntarnos y definir qué es la
información.
MODULO 7.
MODULO 8.
La información no es más que un conjunto ordenado de
datos, con un significado específico, que son enviados
MODULO 9. desde un emisor hacia un receptor con la finalidad de
transmitir un mensaje. Lógicamente, esta información
MODULO 10. contenida en un mensaje es utilizada por el receptor para
tomar acciones sobre la base de su análisis.
MODULO 11.
MODULO 12.
Curso Veamos un ejemplo de información:
Introductorio «Reunámonos todos en el restaurante para a almorzar».
de Seguridad
Como se puede observar, el receptor, sobre la base de
Autor:
Ernesto Pérez Estévez esta información, podrá evaluar de acuerdo a una serie de
parámetros las acciones que tomará: ¿Será que lo pidió
MODULO 1. el jefe? ¿Verdaderamente amerita que vaya aun cuando
Principios básicos recién almorcé en otro lugar? ¿Vale la pena reunirme con
de la seguridad estas personas?
MODULO 2.
Lo importante es que, con base en la información, pode-
MODULO 3. mos tomar acciones y que, lógicamente, estas acciones
podrán tener consecuencias positivas o no para nosotros
MODULO 4. y nuestro entorno.
MODULO 5. Como se vio, la información son datos ordenados. Si es-
MODULO 6. tos datos no tuvieran un orden, no serían información.
Veamos un ejemplo: «en a restaurante almorzar el todos
MODULO 7. para Reunámonos». Este mensaje contiene información
un poco menos clara. Si lo observamos detenidamente,
MODULO 8. notaremos que son las mismas palabras del mensaje del
primer ejemplo pero mezcladas. O peor aún podría ser el
MODULO 9.
siguiente ejemplo: «raalaoumodrtuearRtsoaeopsneerntr-
MODULO 10. zaonlesnama», en el que se observan las mismas letras,
pero en gran desorden, que hace que entender el mensa-
MODULO 11. je no sea muy factible, dado que la cantidad de informa-
ción es muy baja. Al disminuir la cantidad de información,
MODULO 12.
aumenta lo que conocemos como entropía. Este último
Curso contenido tiene mucha entropía y, por ende, poca infor-
Introductorio mación. En cambio, el primer mensaje tenía baja entropía
de Seguridad y mucha información: «Reunámonos todos en el restau-
rante para a almorzar».
Autor:
En el capítulo 7 se hablará nuevamente sobre esto.
MODULO 1.
Principios básicos Volviendo a la información, esto también es información:
de la seguridad «La clave de mi tarjeta bancaria es 9476» o «El gobierno
central planea realizar una nueva emisión de billetes; es-
MODULO 2.
tos llegarán por avión a la capital el día 20 del siguiente
MODULO 3. mes aterrizando a las 8:15 . Los billetes serán distribuidos
a partir de las 18:00 a todas las sucursales bancarias».
MODULO 4.
Ambos mensajes son claros, ya que tienen alto nivel de
MODULO 5. información y permitirán al receptor de esta información
MODULO 6. conocer y tomar acciones con base en estos mensajes.
MODULO 7. Pero ¿quién es el receptor? En nuestro mundo, el receptor

no es solamente el legítimo destinatario de la información.
MODULO 8. El legítimo destinatario tomará acciones, seguramente,
legítimas, pero ¿ si la información cae en manos de perso-
MODULO 9.
nas con propósitos deshonestos o ilegales?
MODULO 10.
Pensemos un ejemplo de cómo podrían ser mal utilizados
MODULO 11. cada uno de los siguientes mensajes:
· «La clave de mi tarjeta bancaria es 9476.»
MODULO 12.
• «El gobierno central planea realizar una nueva emisión
Curso de billetes, estos llegarán por avión a la capital el día 20
Introductorio del siguiente mes aterrizando a las 8:15. Los billetes serán
de Seguridad distribuidos a partir de las 18:00 PM a todas las sucursales
bancarias».
Autor:
Formas de almacenamiento
MODULO 1.
Principios básicos La información puede ser almacenada de diversas formas:
de la seguridad
En formato físico: tradicionalmente se escribía en table-
MODULO 2.
tas de arcilla o en telas, hasta la invención del papel, que
MODULO 3. ha sido el medio físico de almacenamiento de la informa-
ción por excelencia hasta la actualidad.
MODULO 4.
Desde el siglo XIX hasta la hoy la información ha comen-
MODULO 5. zado a almacenarse en medios electromagnéticos:
MODULO 6. • Primero con rudimentarios discos conocidos como long
play, que guardaban sonidos.
MODULO 7.
• Luego les siguieron formas de almacenamiento elec-
MODULO 8. tromagnético en hilos de metal o cintas de plástico que
contenían partículas que según se magnetizaran podían
MODULO 9.
guardar la información (música, voz, datos). ¿Se acuer-
MODULO 10. dan de los casetes donde venía la música? Todavía exis-
ten reproductores de casete y hasta personas que los
MODULO 11. atesoran. En el mundo informático todavía hay organiza-
ciones que utilizan cintas para almacenar sus respaldos
MODULO 12.
Curso de información, porque son capaces de almacenar una
Introductorio gran cantidad de información.
de Seguridad
• Luego surgieron los discos duros mecánicos, llamados
Autor:
Ernesto Pérez Estévez mecánicos porque un motor hace girar sus platos. Al día
de hoy, estos discos duros son los más usados en nues-
MODULO 1. tros servidores y equipamientos de escritorio.
Principios básicos
de la seguridad • Poco tiempo después de la creación de los discos duros
mecánicos surgieron los sustitutos de los antiguos long
MODULO 2.
play: los CD, los DVD, los Blu-ray. Estos discos plásticos
MODULO 3. de pequeño tamaño sirven en nuestro mundo informático
para almacenar grandes cantidades de información, des-
MODULO 4. de varios cientos de MB en el caso de los CD hasta varios
GB de información en el caso de los DVD y los Blu-ray.
MODULO 5.
MODULO 6. • En los últimos años se ha vuelto muy popular el alma-

cenamiento en dispositivos de estado sólido. Estos dis-
MODULO 7. positivos no tienen partes móviles como se requería en
los anteriores casos. Entre ellos, son muy conocidas las
MODULO 8. memorias SD, las micro SD, los flash USB y los discos de
estado sólido. Al no tener partes móviles son menos pro-
MODULO 9.
pensos a que se dañe su superficie y su lectura tiende a
MODULO 10. ser mucho más rápida.
MODULO 11.
MODULO 12.
Curso Ahora, ¿en qué forma se almacena en la actualidad la
Introductorio información en estos dispositivos?
de Seguridad
• Archivos con contenidos de texto: por ejemplo, cuan-
Autor:
Ernesto Pérez Estévez do se escribe una carta o un documento cualquiera, se lo
almacena en un archivo con un formato específico y nor-
MODULO 1. malmente conocido como docx o txt.
Principios básicos
de la seguridad • Archivos con imágenes: de la misma forma, las fotos
son información y antiguamente solo se almacenaban en
MODULO 2.
papel. Hoy se pueden almacenar —y se guardan en su ma-
MODULO 3. yoría— en archivos de imágenes con formatos como jpg,
bmp, png, tiff, etcétera.
MODULO 4.
• Archivos de video: ahora se acostumbra a guardar los
MODULO 5. videos en dispositivos digitales en formatos o contenedo-
MODULO 6. res conocidos y populares como mp4 o avi, entre otros.
MODULO 7. • Archivos de audio: también se almacenan, por ejemplo,

en formato mp3 o wav.
MODULO 8.
• La información de una organización se guarda ordena-
MODULO 9.
damente en lo que conocemos como bases de datos, que
MODULO 10. no son más que archivos que utilizan determinadas téc-
nicas para recuperar grandes cantidades de información,
MODULO 11. como mysql, SQL Server o mongodb.
MODULO 12.
Curso Hasta aquí se presentó un resumen muy básico de las
Introductorio diversas formas en las que la información se almacena, de
de Seguridad forma física o virtual. Podemos notar que casi toda nues-
tra información es almacenada en sistemas digitales, imá-
Autor:
Ernesto Pérez Estévez genes, textos, audios, videos, etcétera.
MODULO 1. Esta información no solamente es almacenada en nuestros

Principios básicos equipos, sino que es continuamente transmitida o consul-
de la seguridad tada a través de algo nuevo: la red de redes, Internet.
MODULO 2.
Diferencias entre robo de información virtual y robo de
MODULO 3. información física
MODULO 4. Pensemos en lo peor: alguien entra a nuestra oficina

rompiendo el vidrio de la ventana y se roba los libros de
MODULO 5. contabilidad de nuestra organización. Definitivamente,
MODULO 6. en algún momento posterior a este hecho notaremos que
falta algo: tarde o temprano encontraremos que nos faltan
MODULO 7. los libros de contabilidad.
MODULO 8. El ejemplo es muy simple pero permite notar que, en el

mundo físico, cuando alguien roba información, el afecta-
MODULO 9.
do lo notará.
MODULO 10.
Veamos ahora un ejemplo de robo de información virtual:
MODULO 11. alguien, utilizando Internet, entra a nuestros sistemas
informáticos y copia —se roba— la información contable
MODULO 12.
Curso de nuestra empresa. ¿Nos daremos cuenta de que ha sido
Introductorio robada? Algunos dirán que sí, y posiblemente tengan ra-
de Seguridad zón, pero el robo de información almacenada en medios
digitales tiene las siguientes ventajas para un ladrón:
Autor:
• No debe romper nada físico para acceder a ella y el afec-
MODULO 1. tado no tendrá pistas de que algo así haya ocurrido. Antes
Principios básicos un vidrio o una madera de una ventana rota eran eviden-
de la seguridad cias que indicaban un posible robo; ahora no hay forma
evidente y clara de notar rotura o daño físico. Nada nos
MODULO 2.
advertirá que algo puede haber ocurrido.
MODULO 3.
• El robo es muy rápido: no importa si la cantidad de guar-
MODULO 4. dias de seguridad que haya en una organización las 24
horas los siete días de la semana; no importa que haya
MODULO 5. personal continuamente presente en la sala donde ocurri-
MODULO 6. rá el robo. El atacante entrará por Internet, copiará la in-
formación y saldrá. Todo esto puede ocurrir en segundos y
MODULO 7. en momentos del día en los que no notemos nada anormal
(por ejemplo, durante las madrugadas).
MODULO 8.
• Por último, lo más importante: el robo no implica que el
MODULO 9.
afectado pierda lo que el ladrón le haya robado y se haya
MODULO 10. quedado. En un robo informático, usualmente, tanto el
afectado como el atacante se quedan con la misma infor-
MODULO 11. mación. Esta no se pierde por uno y se gana por otro: se
copia. Ambos conservarán una copia.
MODULO 12.
Curso Si ambos se quedan con una copia, entonces ¿cómo no-
Introductorio tar que falta algo? No falta, está allá, pero también lo tiene
de Seguridad el atacante.
Autor:
Ernesto Pérez Estévez Importancia de la información para las organizaciones
MODULO 1. Lo más valioso para una organización es la información que

Principios básicos maneja. Sin la información una organización no tendría sen-
de la seguridad tido de ser pues no se aportaría nada nuevo a la sociedad.
MODULO 2.
La información de una organización debe ser protegida de
MODULO 3. forma tal que no se pierda en un evento puntual o que no
pueda ser obtenida por terceros no autorizados para ello.
MODULO 4.
De no adoptar medidas de seguridad apropiadas, esta in-
MODULO 5. formación podría ser utilizada para dañar la actividad or-
MODULO 6. ganizacional en diversas formas:
MODULO 7. • Uso del conocimiento institucional por la competencia:

como con el robo de fórmulas, listas de proveedores, técni-
MODULO 8. cas de comunicación o esquemas de operación.
MODULO 9.
• Uso de información para chantajear a la organización:
MODULO 10. «Si no quieres que publique lo que conozco de ti, debes de
darme dinero».
MODULO 11.
MODULO 12.
Curso • Acceso a información de usuarios o clientes: como
Introductorio historias médicas en el caso de un hospital o números de
de Seguridad tarjetas de crédito en bancos.
Autor:
Ernesto Pérez Estévez Lo crítica o necesaria que pueda ser la información para
una organización deberá ser definida por esta, pero, como
MODULO 1. puede verse, es necesario, en cualquier rama de la eco-
Principios básicos nomía, que la información esté protegida, pues no hacerlo
de la seguridad puede causar daño a una organización al ser robada.
MODULO 2.
¿Qué es la seguridad de la información?
MODULO 3.
La seguridad de la información no es más que el conjunto
MODULO 4. de medidas que deben de tomarse para proteger la infor-
mación y evitar que pueda ser obtenida o adulterada por
MODULO 5. terceros no autorizados, ya sea mientras esté almacenada
MODULO 6. o cuando esté siendo transmitida.
MODULO 7. Es necesario enfatizar que la información a la que se hace

referencia aquí no es solamente la digital, almacenada
MODULO 8. en medios electrónicos, sino también la física, y que esta
debe ser protegida igualmente de robos o adulteraciones.
MODULO 9.
MODULO 10. En la siguiente sección se abordará un aspecto muy im-

portante de la seguridad y que permite determinar o defi-
MODULO 11. nir cómo debe ser protegida la información.
MODULO 12.
Curso Principios básicos de la seguridad
Introductorio
de Seguridad Esta sección es una de las más importantes del curso y de
todo trabajo sobre seguridad. Toda labor regresa siempre
Autor:
Ernesto Pérez Estévez a los principios básicos de la seguridad informática que
se abordarán a continuación y que pueden y deben servir
MODULO 1. de guía para nuestra labor. Se los conoce en Inglés como
Principios básicos la tríada CIA, por las iniciales de sus componentes, que se
de la seguridad presentarán a continuación:
MODULO 2.
Confidentiality (confidencialidad)
MODULO 3.
Es el hecho de que la información se mantenga privada,
MODULO 4. que no sea expuesta a terceros no involucrados en ella.
Dicho de otra forma: un historial médico solamente debe
MODULO 5. ser conocido por el paciente y por el personal de salud
MODULO 6. que lo trata. Cualquier tercero (un familiar, un atacante del
sistema del hospital, etcétera) que acceda a esta informa-
MODULO 7. ción estará violando el principio de confidencialidad.
MODULO 8. Existen puntos o momentos en los cuales debemos hacer

mucho énfasis en preservar la confidencialidad:
MODULO 9.
MODULO 10. 1. Cuando la información es almacenada: debe almacenar-

se de que en caso de robo del equipo físico el atacante no
MODULO 11. pueda obtener los datos allí listados, por ejemplo:
MODULO 12.
Curso 1. A. Con la utilización de cifrado para ocultar la informa-
Introductorio ción de quien no tenga las claves de acceso; de la misma
de Seguridad forma se deben trabajar los respaldos.
Autor:
Ernesto Pérez Estévez 2. Cuando la información se transmite de un punto a otro:
cada vez sea necesario transmitir información de un lugar
MODULO 1. a otro, se debe de garantizar que la comunicación no pue-
Principios básicos da ser observada por un intruso, por ejemplo:
de la seguridad
2. A. Mediante el uso de tecnologías de cifrado de la co-
MODULO 2.
municación en tránsito como las VPN o los certificados
MODULO 3. SSL/TLS. Así, se evitará que un intruso que «pinche» o
«escuche» en el canal a través del cual está siendo trans-
MODULO 4. mitida y pueda robarla.
MODULO 5. 2. B. Con el cifrado, el intruso, a pesar de «escuchar» en el
MODULO 6. canal, no podrá descifrar lo que circula. También se debe
cifrar el almacenamiento, cuando esté siendo transmitido
MODULO 7. físicamente: cuando se esté enviando información a tra-
vés de un dispositivo de almacenamiento, como una me-
MODULO 8. moria flash, de un lugar a otro.
MODULO 9.
3. Cuando es mostrada se debe de minimizar el riesgo (o
MODULO 10. garantizar que no exista) de que un tercero no autorizado
pueda acceder a ella, por ejemplo:
MODULO 11.
3. A. Mediante la solicitud de usuario y clave para acceder
MODULO 12.
a la información.
Curso Integrity (integridad)
Introductorio
de Seguridad Este principio implica garantizar que la información no
pueda ser adulterada o modificada por un tercero no auto-
Autor:
Ernesto Pérez Estévez rizado, por ejemplo si alguien no autorizado entra al siste-
ma de un banco y logra modificar los valores depositados
MODULO 1. en una cuenta para hacer que aparezca un valor mayor al
Principios básicos que debía tener esta cuenta.
de la seguridad
¿En qué puntos o momentos se debe estar alerta a la hora
MODULO 2.
garantizar la integridad?
MODULO 3.
1. Cuando la información es almacenada debe contener
MODULO 4. mecanismos para verificar que no haya sido adulterada.
MODULO 5. 2. Cuando la información es transmitida: al llegar a su des-
MODULO 6. tino debe contarse con herramientas que permitan verificar
que sea la misma información que fue emitida en su origen.
MODULO 7.
Availability (disponibilidad)
MODULO 8.
Si la información no puede ser consultada por los intere-
MODULO 9.
sados entonces no tiene mucho uso. Así, uno de los prin-
MODULO 10. cipios de la seguridad es garantizar que la información
pueda ser consultada por los interesados cada vez que
MODULO 11. estos lo requieran. Este es un principio fundamental de la
seguridad, pues muchas veces se dirigen los esfuerzos a
MODULO 12.
Curso vigilar que la información no sea adulterada (integridad) o
Introductorio que no se filtre (confidencialidad) y se descuidan los peli-
de Seguridad gros que implica que la información no esté disponible.
Autor:
Ernesto Pérez Estévez La disponibilidad es clave en la seguridad, por lo que es
necesario prestar atención a los siguientes puntos:
MODULO 1.
Principios básicos 1. Cuando la información es almacenada son necesarios
de la seguridad mecanismos que permitan que, en caso de una falla en
el almacenamiento (por ejemplo, que se haya dañado el
MODULO 2.
disco donde se almacenaba la información) se pueda re-
MODULO 3. cuperar esta información y se la pueda brindar a los usua-
rios. Estos mecanismos implican, por ejemplo, respaldos
MODULO 4. que permitan recuperar la información y ponerla a dispo-
sición de los interesados lo más pronto posible.
MODULO 5.
MODULO 6. 2. Cuando la información es transmitida debe haber he-

rramientas, acuerdos y mecanismos para que, ante el fallo
MODULO 7. del canal de transmisión, se la pueda brindar a los intere-
sados. Por ejemplo:
MODULO 8.
2. A. Si se daña el canal principal de la empresa, es nece-
MODULO 9.
sario tener un segundo proveedor que no tenga relación
MODULO 10. con el principal, que permita tener la información.
MODULO 11. 2. B. Si se ataca el canal de una empresa (por ejemplo,

enviándole millones de paquetes innecesarios que llenen
MODULO 12.
Curso un canal), se debe tener un acuerdo con el proveedor de
Introductorio Internet que permita mitigar o eliminar estos paquetes
de Seguridad innecesarios.
Autor:
Ernesto Pérez Estévez 2. C. Tener respaldos de energía para que los sistemas con-
tinúen trabajando aun cuando falle la energía comercial.
MODULO 1.
Principios básicos Queremos hacer notar que en el transcurso de este libro se
de la seguridad retomarán continuamente estos principios, con los mismos
o con nuevos ejemplos, de forma de que se comprenda me-
MODULO 2.
jor la importancia de estos principios y cómo pueden mante-
MODULO 3. nerse activos.
MODULO 4. Ahora bien, a lo largo del tiempo se han agregado otros prin-
cipios a la tríada CIA, muchos de los cuales pueden asociarse
MODULO 5. a uno de ellos . Sin embargo, es útil mencionarlos:
MODULO 6.
· Autenticidad: implica que se pueda verificar que la infor-
MODULO 7. mación viene de quien dice ser su emisor. Esto es impor-
tante, pues un mensaje puede haber sido «forjado», crea-
MODULO 8. do por parte de un tercero no autorizado, con la finalidad
de hacernos creer que vino de alguien en quien confia-
MODULO 9.
mos. La autenticidad tiene mucha relación con el segundo
MODULO 10. principio de la tríada CIA, la integridad. Debemos ser capa-
ces de saber que la información que nos ha llegado no ha
MODULO 11. sido alterada (en este caso, «forjada») por un tercero.
MODULO 12.
Curso · No repudio: se trata de garantizar que quien haya par-
Introductorio ticipado en una comunicación no pueda posteriormente
de Seguridad indicar que no lo hizo, por ejemplo:
Autor:
Ernesto Pérez Estévez 1. Vamos al cajero automático del banco y sacamos dine-
ro. Luego, el banco nos dice que la transacción fue hecha
MODULO 1. por un valor superior al que nosotros realmente retiramos.
Principios básicos ¿Cómo podemos repudiar esta afirmación? Mostrándole al
de la seguridad banco el recibo impreso que nos emite el cajero a la hora
que sacamos el dinero.
MODULO 2.
MODULO 3. 2. Vamos al cajero, sacamos dinero del banco y luego le

decimos al banco que nunca sacamos este monto pues
MODULO 4. no estábamos en el banco a esa hora. ¿Cómo puede el
banco evitar que repudiemos esta transacción? Buscará
MODULO 5. en sus registros (por ejemplo, videos) pruebas de que es-
MODULO 6. tuvimos en el cajero y sacamos dinero.
MODULO 7. Hay más ejemplos de principios adicionales a la tríada CIA,

pero se han cubierto las tres más importantes: la confi-
MODULO 8. dencialidad, la integridad y la disponibilidad.
MODULO 9.
Análisis histórico
MODULO 10.
A continuación, se ofrece un brevísimo análisis histórico so-
MODULO 11. bre la seguridad con el que se pretende dejar claro que la se-
guridad de la información no es algo que haya surgido con la
MODULO 12.
computación ni no solamente interese en la era de Internet.
Curso 1.1. La seguridad de la información en la antigüedad
Introductorio
de Seguridad Desde hace miles de años se utilizaban métodos para
transmitir la información de forma tal que permanecie-
Autor:
Ernesto Pérez Estévez ra confidencial, cifrada. Han existido diversos algoritmos,
quizá hoy considerados muy débiles, pero que fueron úti-
MODULO 1. les en su momento. Estos algoritmos intentaban de ga-
Principios básicos rantizar la confidencialidad: que los datos pudieran ser
de la seguridad leídos por quienes conocían las claves. Quien no las cono-
ciera no podía leer estos mensajes. Sin embargo, no ga-
MODULO 2.
rantizaban la integridad, esto es, que los datos no pudie-
MODULO 3. ran ser modificados durante su tránsito de un lugar a otro.
Hablaremos sobre los algoritmos tradicionales para enviar
MODULO 4. la información cifrada en capítulos posteriores.
MODULO 5. También había herramientas que trataban de garantizar la
MODULO 6. autenticidad: que el mensaje viniera de quien decía venir.
Hasta hace algunas decenas de años se usaban sellos de
MODULO 7. lacre que garantizaban que una hoja no pudiera ser arran-
cada de un documento sin romper antes este sello.
MODULO 8.
Para ello se cosía un hilo a través de todas las hojas de un
MODULO 9.
documento y este hilo se pegaba, se sellaba, con lacre, a
MODULO 10. una de las hojas del documento (quizás donde iba la firma).
MODULO 11. Algo similar se utilizaba en las puertas de las oficinas,

donde se ponía un sello que, en caso de estar roto o da-
MODULO 12.
ñado, indicaba que alguien había entrado a la oficina sin
Curso autorización. Esto se hacía con lacre o con plastilina en la
Introductorio antigüedad: en el marco de la puerta se ataba un hilo y al
de Seguridad cerrar la puerta se lacraba y se lo sellaba sobre la puerta.
Si este lacre aparecía dañado, se podía asumir que alguien
Autor:
Ernesto Pérez Estévez había abierto la puerta y se debía revisar minuciosamente
la habitación. Actualmente se usan métodos más simples,
MODULO 1. como una correa de plástico con el nombre de la empre-
Principios básicos sa, de modo que si alguien la rompe debería sustituirla por
de la seguridad una idéntica o de lo contrario se asumiría que entró un
intruso a la habitación. Otra variante es usar adhesivos,
MODULO 2.
sellos pegados a la puerta, que, por ejemplo, en caso de
MODULO 3. ser despegados, dejen su marca en la puerta.
MODULO 4. 1.2. Seguridad en los años cuarenta del siglo XX

MODULO 5. En esta época surgieron las primeras computadoras, una
MODULO 6. de cuyas primeras labores era buscar acelerar el proceso de
descifrado de mensajes. Por ejemplo, se creó una sección en
MODULO 7. Inglaterra en la Segunda Guerra Mundial, cuya finalidad era
capturar y analizar, para romperlo, el código de cifrado que
MODULO 8. utilizaba la Alemania nazi para sus comunicaciones internas.
En estos proyectos trabajó Alan Turing, uno de los fundado-
MODULO 9.
res de la computación como se la conoce hoy.
MODULO 10.
Al surgir máquinas electrónicas que ayudaban al ser humano
MODULO 11. a descifrar los mensajes, también comenzó a haber un inte-
rés mayor en técnicas que pudieran evitar que una compu-
MODULO 12.
tadora rompiera los mensajes.
Curso 1.3. Seguridad en los años sesenta del siglo XX
Introductorio
de Seguridad En este decenio surgió ARPA Net, el antecesor de Internet,
que permitía que los equipos conectados a ella se comu-
Autor:
Ernesto Pérez Estévez nicaran entre sí.
MODULO 1. Como consecuencia lógica de esto, con el transcurso de

Principios básicos los años se mejoraron las posibilidades de la computación
de la seguridad al incorporar facilidades para el intercambio de informa-
ción entre computadoras. Como los equipos no actuaban
MODULO 2.
en soledad, no atendían solamente solicitudes de aquellos
MODULO 3. que estaban sentados frente a ellos, sino que podían en-
viarse información entre sí.
MODULO 4.
Esta muy buena novedad abría sin embargo un mundo
MODULO 5. de oportunidades para el robo de información durante su
MODULO 6. transmisión. Ya no era necesario acceder físicamente a
una computadora, sino que se podía escuchar un canal de
MODULO 7. datos y capturar la información que circulaba entre dos
computadoras.
MODULO 8.
1.4. Seguridad en los años setenta del siglo XX
MODULO 9.
MODULO 10. En esta década se produjo una verdadera expansión de

los sistemas informáticos: se creó Unix, un sistema ope-
MODULO 11. rativo que predomina en el mundo de la computación en
todos los niveles y que ha ayudado a popularizar el uso
MODULO 12.
Curso masivo de ciertos dispositivos: ¿quién no ha visto o tiene
Introductorio un teléfono Android basado en una variante de Unix, o un
de Seguridad iPhone?, ¿quién no ha enviado o recibido correos electró-
nicos que normalmente se basan en servidores tipo Unix?,
Autor:
Ernesto Pérez Estévez ¿quién no ha navegado por la web, donde la enorme ma-
yoría de los sistemas se basan en aquel Unix original?
MODULO 1.
Principios básicos También en esta época se crearon nuevos algoritmos de
de la seguridad cifrado, como por ejemplo Diffie-Hellman y RSA. Fue asi-
mismo la edad de oro del phreaking, que no es más que el
MODULO 2.
ataque a sistemas telefónicos con la finalidad de realizar
MODULO 3. llamadas gratis o a bajo costo. Surgió además el correo
electrónico y en esta misma época llegó el primer correo
MODULO 4. no deseado (spam).
MODULO 5. Debe notarse que ninguna de las dos partes de este mun-
MODULO 6. do está tranquila, ya que siempre se crean nuevas técni-
cas para proteger la información y los atacantes están a la
MODULO 7. búsqueda de nuevas técnicas para obtenerla. Esto conti-
núa a lo largo del tiempo.
MODULO 8.
1.5. Seguridad en los años ochenta del siglo XX
MODULO 9.
MODULO 10. Aunque ya existía desde la década del setenta, fue en los
ochenta que se adoptó para el intercambio de mensajes
MODULO 11. entre computadores el protocolo TCP/IP. Además, se creó el
concepto de dominios (com, org, net, etc.) y se ideó y activó
MODULO 12.
Curso el servicio de DNS con la finalidad de resolver nombres de
Introductorio dominio a direcciones IP.
de Seguridad
Fue en este decenio que se creó la tecnología de inter-
Autor:
Ernesto Pérez Estévez cambio cifrado de información conocida como SSL, que
permitió que la información cifrada sea transmitida por
MODULO 1. esta vía entre dos puntos y no pueda ser observada y que
Principios básicos también pueda verificarse su integridad.
de la seguridad
Se creó también el primer virus de computadora, que po-
MODULO 2.
día eliminar o alterar la información almacenada y se podía
MODULO 3. transmitir sin necesidad de que su autor interviniera en
esta transmisión. Además, surgió el primer prototipo de la
MODULO 4. WWW, que permitió que se transmitiera información hiper-
textual de forma muy fácil y amena para el usuario.
MODULO 5.
MODULO 6. Es así que a fines de los ochenta se comenzó a hacer un

uso más popular de Internet: ya no se la usaba solo con
MODULO 7. fines académicos o militares, sino que llegaba a las em-
presas comerciales y a las personas en sus casas.
MODULO 8.
Por supuesto que al popularizarse la Internet también se
MODULO 9.
incrementaron los incidentes de seguridad como robos de
MODULO 10. contraseñas, robos de documentos confidenciales, etcétera.
MODULO 11.
MODULO 12.
Curso 1.6. Seguridad en los años noventa del siglo XX
Introductorio
de Seguridad En los noventa comenzó a haber incidentes con los bancos,
como sucedió en el caso de Vladimir Levin, quien en esta
Autor:
Ernesto Pérez Estévez época logró ingresar al sistema de CitiBank y obtener los
datos de acceso de cientos de usuarios, con los que logró
MODULO 1. transferir a cuentas en otros países varios millones de dóla-
Principios básicos res. Levin fue capturado en Londres tiempo después con el
de la seguridad apoyo de Interpol y fue condenado a pagar U$S 240.015 y
servir una sentencia de tres años. El banco ejecutó los se-
MODULO 2.
guros y devolvió así el dinero a los afectados.
MODULO 3.
1.7. La seguridad desde el 2000 a la fecha
MODULO 4.
En estas dos primeras décadas del siglo XXI hemos pre-
MODULO 5. senciado la popularización de las tecnologías inalámbri-
MODULO 6. cas: Wi-Fi, por ejemplo, ha sido sometida a intenso escru-
tinio durante el cual se han encontrado y explotado fallas
MODULO 7. en la tecnología de cifrado. Por ejemplo, en la actualidad
no es para nada recomendable el uso de cifrado tipo WEP,
MODULO 8. pues está demostrado desde hace muchos años que pue-
de romperse fácilmente. Lo que se sugiere es cifrado tipo
MODULO 9.
WPA y ya en 2017 se publicó un estudio que indicaba for-
MODULO 10. mas de hacerse de la clave de cifrado de quienes usaban
WPA, lo que provocó que diversos fabricantes publicaran
MODULO 11. actualizaciones a su sistema de Wi-Fi.
MODULO 12.
Curso Pero esto no es lo único. En estos años ha habido una ver-
Introductorio dadera explosión de reportes de fallas de seguridad a diver-
de Seguridad sos sistemas: sitios y servidores web, servidores de FTP y de
correo electrónico. Ha habido nuevas y más dañinas varian-
Autor:
Ernesto Pérez Estévez tes de malware con la introducción de programas maliciosos,
como bots, que son equipos contaminados por un programa
MODULO 1. que se conecta a un servidor central y obedece a las instruc-
Principios básicos ciones que este emite a todos los equipos contaminados con
de la seguridad este sistema. También hay programas maliciosos que cifran
los contenidos del disco y solicitan dinero para devolver los
MODULO 2.
contenidos a los afectados, conocidos como ransomware.
MODULO 3.
Al implementarse la conexión a la red desde los celulares,
MODULO 4. Internet ha llegado a millones de personas que antes no
tenían acceso, y esto a su vez ha sido razón para que se
MODULO 5. incrementen los robos de información privada. Por ejemplo,
MODULO 6. es muy conocido el robo de fotos íntimas a personajes de
los medios, la televisión o la música, hasta personas que no
MODULO 7. son conocidas y a quienes les roban su información.
MODULO 8. Pero no pensemos que el robo es personal o dirigido a una

organización pequeña. Existe en la actualidad un verda-
MODULO 9.
dero boom en el robo de información (o, como se lo cono-
MODULO 10. ce en inglés, leaking, ‘filtrado’) a estudios jurídicos o entes
estatales que permiten conocer actividades que hasta el
MODULO 11. momento permanecían privadas. Por ejemplo, recordemos
Wikileaks, que publicó información sensible y de mucho
MODULO 12.
Curso impacto obtenida de gobiernos o instituciones y que per-
Introductorio mitió conocer cómo estos trabajan u operan. O el caso de
de Seguridad los Panamá Papers, que desembocó, incluso, en casos de
corrupción como los que han sido denunciados en Lati-
Autor:
Ernesto Pérez Estévez noamérica de la empresa Odebrecht.
MODULO 1. Iniciativas a nivel mundial o regional

Principios básicos
de la seguridad A continuación, se presenta una pequeñísima lista de si-
tios web involucrados en la seguridad en la región y donde
MODULO 2.
se busca ofrecer apoyo a instituciones de las Américas en
MODULO 3. asuntos de seguridad.
MODULO 4. Sugiero que lean atentamente también cualquier noticia

que en ellos se presente y se suscriban a diversas iniciati-
MODULO 5. vas que ellos tengan, pues muchas veces hacen referen-
MODULO 6. cia a otros sitios o iniciativas a las que podemos suscribir-
nos e incrementar así la información sobre este tema.
MODULO 7.
MODULO 8. Tabla 1 (Continúa en la página 26)
MODULO 9. Sitio Idioma(s) Observaciones
MODULO 10.
MODULO 11. https://sei.cmu.edu/ Inglés Sitio con información sobre seguridad, llamados a
entrenamientos y eventos. Este sitio es de la Carne-
MODULO 12. gie Mellon University
Tabla 1 (Continúa en la página 27)
Curso
Introductorio https://first.org/ Inglés Sitio que acoge a cientos de centros de respuesta a
incidentes informáticos a nivel mundial. Tiene varia-
de Seguridad da información pública sobre eventos, así como la
Autor: lista de grupos de respuesta inscriptos a First alre-
Ernesto Pérez Estévez dedor del mundo.
También tiene variada información no pública, des-
MODULO 1. tinada solamente a miembros de First.
Principios básicos Es una buena alternativa, hablaremos más sobre
de la seguridad ella en el último capítulo.
MODULO 2. https://warp.lacnic. Español Es el sitio del centro de respuesta a incidentes de

net/ Portugués LACNIC, contiene un mapa de los centros de res-
MODULO 3. Inglés puestas en Latinoamérica, enlaces a varios sitios
de interés, estadísticas sobre la región, formularios
MODULO 4. para reportar incidentes.
MODULO 5. WARP de LACNIC también contiene algo muy intere-

sante:
MODULO 6. enlaces al proyecto AMPARO, un proyecto que bus-
ca promover la ciberseguridad en la región:
MODULO 7.
http://www.proyectoamparo.net/
MODULO 8.
http://www.oas.org/ Inglés Orientado a temas técnicos y políticos sobre la ci-
MODULO 9. fr/themes/securite_ Español berseguridad. Ofrece entrenamiento y también
cybernetique.asp Portugués conferencias y reuniones sobre el tema y un pro-
MODULO 10. Francés grama para promover centros de respuesta a nivel
nacional. Tiene una lista de centros de respuesta a
MODULO 11. incidentes de toda la región de las Américas y mu-
cha información en su sitio web y bastante bien
MODULO 12. organizada.
Tabla 1
Curso
https://www.itu.int/ Varios ITU está orientado a la formación de CSIRT naciona-
Introductorio en/action/cyberse- les y a la creación de estrategias de seguridad, pro-
de Seguridad curity/Pages/de- tección de menores, estándares.
Autor: fault.aspx
Ernesto Pérez Estévez https://www.cert.br/ Portugués Orientado a brindar material para formación de
en/ Inglés CSIRT, documentación variada sobre el tema, pro-
MODULO 1. tección de menores, cursos, proyectos, etcétera.
Principios básicos
de la seguridad
MODULO 2. Es de interés que los conocimientos sobre estos temas se

mantengan actualizados a través de sitios relacionados
MODULO 3. con la seguridad que se pueden encontrar en Internet. Si-
MODULO 4.
guen algunos ejemplos, a los que una búsqueda en la web
sumará otros sitios adicionales:
MODULO 5.
• https://www.theregister.co.uk/security/ es un sitio de-
MODULO 6. dicado a publicar noticias de seguridad de actualidad;
• https://www.us-cert.gov/security-publications es un
MODULO 7.
centro de respuesta a incidentes de los Estados Unidos;
MODULO 8. • https://www.terena.org/activities/tf-csirt/publications/
contiene publicaciones recogidas u ordenadas sobre la
MODULO 9. seguridad;
• https://www.enisa.europa.eu/ es la Agencia Europea de
MODULO 10.
Seguridad de la Información y en Redes
MODULO 11.
MODULO 12.
Curso Resumen del capítulo
Introductorio La seguridad de la información no es algo que surja con el
de Seguridad creciente uso de Internet, sino que se agrava al facilitar-
Autor: se la labor a los atacantes. Siempre ha existido la necesi-
Ernesto Pérez Estévez dad de proteger la información, desde muchos cientos de
años atrás.
MODULO 1.
Principios básicos
de la seguridad Se han presentado sobre todo, los tres principios de la
seguridad, que forman la triada CIA, términos que retoma-
MODULO 2. remos frecuentemente de ahora en adelante.
MODULO 3. Es importante que se pueda profundizar sobre los aspec-

tos aquí tratados a través de consultas al instructor y en
MODULO 4.
Internet y que se lea la bibliografía sugerida.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio Estrategias de seguridad
de Seguridad
Autor:
informática
· Menor privilegio
· Defensa en profundidad
MODULO 1. · Cuello de botella
MODULO 2. · Prueba de fallos
· Participación universal
MODULO 3.
· Punto más débil
MODULO 4. · Sencillez (simplicidad)
MODULO 5. · Diversidad de defense
· Estrategias de seguridad en la vida cotidiana
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
2.
Introducción
MODULO 1.
Este capítulo se dedica a presentar cuáles estrategias se
MODULO 2. pueden y deben adoptar para mejorar la seguridad en una
Estrategias de seguridad organización.
informática
Cada organización es un mundo diferente. Al decir esto
MODULO 3.
queremos enfatizar que las estrategias aquí listadas po-
MODULO 4. drán tomarse en su totalidad, o no, dependiendo del tipo
de organización, y que posiblemente cada organización
MODULO 5. tomará su propio grupo de estrategias. Esto significa que
no es obligatorio utilizar todas estas estrategias, pero sí es
MODULO 6.
bueno conocerlas y tratar de implementar la mayor canti-
MODULO 7. dad posible de ellas.
MODULO 8. La estrategia de participación universal, que se desarro-

llará más adelante, es la única que debería acompañar sin
MODULO 9.
excepción a todas las organizaciones.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Estrategias de seguridad informática
Introductorio
de Seguridad Con el paso del tiempo se ha recopilado una serie de me-
jores prácticas o se ha demostrado la utilidad de una serie
Autor:
Ernesto Pérez Estévez de estrategias que ayudan a los profesionales de seguridad
informática a mejorar la seguridad en sus organizaciones.
MODULO 1. Se sugiere leer atentamente cada una de las siguientes

estrategias y pensar cómo podrían aplicarse en su orga-
MODULO 2.
nización, ya que absolutamente todas pueden aplicarse
informática a nuestras organizaciones en mayor o menor grado, con
mayor o menor facilidad, dependiendo de si es necesario
MODULO 3. hacer cambios más profundos.
MODULO 4.
Es claro que su aplicación depende de muchos factores
MODULO 5. (organizacionales, directivos, regionales, financieros, etc.)
y que hay que priorizar qué estrategias se pueden imple-
MODULO 6. mentar antes que otras.
MODULO 7.

MODULO 8. Estrategia del menor privilegio:
Se la conoce en inglés como least privilege.
MODULO 9.
Lo que se sugiere en este principio es que cada objeto
MODULO 10. debe tener solamente los privilegios mínimos —y ningún
MODULO 11. otro— para ejecutar sus tareas. A pesar de que este con-
cepto es muy importante, es muy difícil de aplicar, pues
MODULO 12. muchas veces es necesaria una serie de ajustes y un sim-
ple error puede hacer que el recurso deje de funcionar.
Curso Ejemplo: los permisos para ejecutar un servidor web. Eje-
Introductorio cutar el proceso del servidor como superusuario posible-
de Seguridad mente ofrecerá una serie de privilegios innecesarios, pues
todo proceso que se ejecute desde ese tipo de usuario
Autor:
Ernesto Pérez Estévez implica que este pueda tener derechos que permitirán,
entre otras cosas:
· Escribir en directorios de todos los usuarios del sistema
MODULO 1. · Agregar o eliminar información desde los logs del sistema
· Agregar o eliminar usuarios
MODULO 2.
· Acceder a bases de datos
informática
En definitiva, el superusuario puede hacer todo en un sis-
MODULO 3. tema y, por lo tanto, el proceso del servidor web podría
también hacer todo.
MODULO 4.
MODULO 5. Imaginemos algún atacante que aproveche una falla en

nuestro sitio web y, como el servidor web trabaja bajo el
MODULO 6. superusuario, logre darle órdenes para que escriba en
diversos lugares, extraiga información o la modifique. En
MODULO 7.
este caso, lo más conveniente puede ser crear un usuario
MODULO 8. específico que no tenga derechos de superusuario (por
ejemplo, httpd) y definirle permisos básicos, mínimos,
MODULO 9. para que el servicio funcione bajo este usuario. Por ejem-
plo, podríamos definirle solamente permiso de lectura en
MODULO 10. el directorio donde están las páginas HTML y permiso de
MODULO 11. lectura y escritura en sus archivos de logs. De esta for-
ma, un atacante podría aprovechar una falla que exista en
MODULO 12. nuestro sitio web, pero como el servidor web solo tendría
Curso permisos para escribir hacia sus logs no podría hacer todo
Introductorio el daño que quizás esperaba, porque no podrá acceder a
de Seguridad todo el servidor.

Autor:
Ernesto Pérez Estévez Estrategia de defensa en profundidad:
Se la conoce en inglés como defense in depth y se basa
en la idea de no depender de un único mecanismo de se-
MODULO 1. guridad, independientemente de cuán fuerte parezca.
MODULO 2.
No se debe asumir que existen mecanismos 100 % segu-
informática ros y se debe partir de la certeza de que cualquier meca-
nismo puede ser subvertido en algún momento y por lo
MODULO 3. tanto es necesario instalar sistemas de defensa comple-
mentarios, de forma tal que si un atacante lograra pasar
MODULO 4.
las defensas externas, todavía tendría que enfrentar otras
MODULO 5. capas defensivas antes de poder acceder al sistema o
comprometerlo.
MODULO 6.
Esto se llama también defensa en capas y se usa mucho
MODULO 7.
en diferentes ejércitos del mundo: en un enfrentamiento
MODULO 8. militar no se dedican todos los esfuerzos a, digamos, los
hombres en las trincheras, sino que detrás de las trinche-
MODULO 9. ras están los escalones de tropas, las tropas de reservas,
la artillería antiaérea. Así, se evacúa al personal civil en la
MODULO 10. zona, se impone un toque de queda para que no circulen
MODULO 11. las personas en ciertas horas o días, se obliga a apagar
todas las luces para que en las noches no se vean las ciu-
MODULO 12. dades, se solicita identificación en puntos de control cada
Curso cierta distancia, etc. Como se puede ver, no se confía en
Introductorio una sola estrategia, sino que se adoptan varias para que,
de Seguridad si una falla, las otras funcionen.
Autor:
MODULO 1.
MODULO 2.
informática
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Veamos un ejemplo en el mundo de la informática: que-
Introductorio remos evitar que las computadoras de una empresa se
de Seguridad contaminen de virus. ¿Cuál es la solución evidente? ¡Un
antivirus! ¿Y si el antivirus falla porque no se lo pudo ac-
Autor:
Ernesto Pérez Estévez tualizar a tiempo? Se deberán adoptar otras medidas. A
continuación se menciona un pequeño grupo de ellas:
MODULO 1. · Mantener el sistema operativo actualizado

· Mantener las aplicaciones actualizadas
MODULO 2.
· Mantener un firewall que impida que desde Internet se
informática acceda a los equipos de los diferentes usuarios
· Analizar contra virus y otros contenidos maliciosos los
MODULO 3. correos que llegan al servidor de correos
· Educar a las personas de la empresa para que no hagan
MODULO 4.
clic en cuanto contenido les llegue
MODULO 5.
Estas son, brevemente, unas pocas medidas para ayudar
MODULO 6. a evitar que virus infecten los equipos de una organiza-
ción. Como se puede ver, siempre hay algo que se puede
MODULO 7. hacer: en el mundo de la seguridad no podemos quedar-
MODULO 8. nos quietos pensando que todo está resuelto con una
tecnología o procedimiento únicos, ya que pueden fallar,
MODULO 9. por lo que se requerirán otros que los suplan.
MODULO 10. Igualmente, queda una pregunta pendiente: si un equi-

po, un hardware o una tecnología lo solucionan todo en
MODULO 11.
el mundo de la seguridad, ¿qué sentido tiene que siga-
MODULO 12. mos estudiando e invirtiendo recursos en la seguridad
Curso informática? ¿Por qué sigue habiendo eventos de segu-
Introductorio ridad? Porque siempre se requiere algo nuevo.
de Seguridad
Estrategia del cuello de botella:
Autor:
Ernesto Pérez Estévez Se la conoce en inglés se conoce como choke point.
Imaginemos un canal estrecho por donde todos los pa-

MODULO 1. quetes (maliciosos o no) estén forzados a pasar. Este ca-
nal puede ser monitoreado, por lo que se puede controlar
MODULO 2.
lo que por él circula.
informática
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Cliente HTTP Cuello de Botella
MODULO 9.
MODULO 10. Servidores de Contenido
MODULO 11.
MODULO 12.
Curso Veamos ejemplos de la vida real:
Introductorio
de Seguridad • Peaje en una carretera: todos los autos deben pasar por
el peaje para poder continuar su viaje. Realizar cualquier
Autor:
Ernesto Pérez Estévez tipo de monitoreo en el peaje es mucho más sencillo. ¿No
han notado que muchas veces antes (o después) de un
peaje la policía está verificando documentos porque es más
MODULO 1. sencillo, pues todos deben pasar por ahí?
MODULO 2.
• Punto de paso fronterizo: ¿se han fijado en que para cru-
informática zar la frontera entre dos países existen pasos legales? Y en
estos pasos ocurre todo lo necesario para controlar a los
MODULO 3. que ingresan o egresan: chequeo de migración, chequeo
antidrogas, revisión aduanera de los productos, etcétera.
MODULO 4.
MODULO 5. • Guardia en la única entrada de un edificio: aunque se

trate de un gran edificio. Muchas veces hay un solo guar-
MODULO 6. dia en su única entrada y es mucho más fácil controlar
quién entra y sale.
MODULO 7.
MODULO 8. En el mundo informático, los firewalls utilizan un principio

parecido. El primer equipo que se coloca en una red es
MODULO 9. un firewall, a través del cual entran y salen de la red todos
los paquetes. Es por ello que en el firewall se pueden im-
MODULO 10. plementar diversas medidas y mecanismos para verificar
MODULO 11. estos paquetes y validar si pueden entrar (o salir) hacia (o
desde) nuestra red.
MODULO 12.
Curso Fallo seguro
Introductorio Conocida en inglés como fail safe.
de Seguridad
Se sugiere que los sistemas queden configurados de forma
Autor:
Ernesto Pérez Estévez tal que puedan inhibir cualquier tipo de acceso. El acceso li-
mitado es preferible al acceso liberado, aunque existen dos
posiciones contrapuestas sobre esta estrategia:
MODULO 1.
• Denegado por defecto: es la más segura, ya que así todo
MODULO 2.
está prohibido por defecto y lo que esté permitido deberá
informática ser definido expresamente.
MODULO 3. • Permitido por defecto: todo está permitido y lo que está

prohibido debe ser definido.
MODULO 4.
MODULO 5. En sistemas seguros, se debe buscar siempre la primera po-

sición (default deny), a pesar de que no siempre es posible.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad Toda la
conexión es
Autor: bloqueada
Ernesto Pérez Estévez (denegada)
por defecto
MODULO 1.
Server 1 Server 2 Server X
MODULO 2.
Estrategias de seguridad Firewall recién
informática instalado
MODULO 3.
MODULO 4.
Por ejemplo, en un firewall ningún paquete puede entrar
MODULO 5. desde Internet hacia una red local, ya que el firewall lo blo-
quea por defecto. Para que algún paquete entre, deberá
MODULO 6. ser autorizado explícitamente en el firewall. Esto logra que
no haya fallas de seguridad por defecto.
MODULO 7.
MODULO 8. Sin embargo, no siempre la posición de denegado por defec-

to funciona, como en el caso de que sea necesario navegar
MODULO 9. en Internet a través de un explorador: si se quiere aplicar la
posición de denegado por defecto, esto significaría que:
MODULO 10.
MODULO 11. 1. Todo intento de navegar sea bloqueado (para cumplir

con que todo esté denegado por defecto).
MODULO 12.
Curso 2. El usuario (o el administrador de la red) deberá autorizar
Introductorio puntualmente cada uno de los sitios por los que el usuario
de Seguridad necesite navegar.
Autor:
Ernesto Pérez Estévez ¿Sería viable este proceso en una red? Imagínense tener
que autorizar decenas, cientos o miles de sitios en cada
uno de los navegadores de cada una de las máquinas de
MODULO 1. una red mediana (por ejemplo, una red donde naveguen
unos veinte o cincuenta equipos). Este proceso se desa-
MODULO 2.
rrollaría lentamente hasta permitir a todos los usuarios
informática que lograran navegar única y exclusivamente donde les
hayamos permitido, bloqueando por defecto el resto de
MODULO 3. los sitios. Esto no es muy factible.
MODULO 4.
De aquí debe extraerse algo muy importante que hay que
MODULO 5. tener en cuenta en cuanto a la seguridad y es que no siem-
pre lo necesario para tener un sistema seguro será fácil o
MODULO 6. transparente para los usuarios. Las restricciones en nom-
bre de la seguridad casi siempre le representan al usuario
MODULO 7. (o al administrador de la red) algún nivel de dificultad. Si
MODULO 8. esta restricción implica dificultades muy visibles y comple-
jas para el desarrollo normal de su actividad, los usuarios
MODULO 9. intentarán que se la elimine. Tan simple como eso.
MODULO 10. Por lo tanto, debemos imponer siempre medidas de segu-

ridad que no signifiquen que los usuarios tengan que su-
MODULO 11.
perar dificultades muy complejas que puedan demorar o
MODULO 12. hacer muy difícil su trabajo.

Curso Estrategia de participación universal
Introductorio
de Seguridad En inglés es conocida como universal participation. Esto
es, que absolutamente todos los integrantes de una orga-
Autor:
Ernesto Pérez Estévez nización deban participar del proceso de seguridad. Que
una sola persona no participe del proceso puede compro-
meter a todo el sistema. Es importante hacer notar que
MODULO 1. la seguridad necesita de las personas y que estas deben
estar involucradas, motivadas, y participar en el proceso.
MODULO 2.
informática
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10. Por ejemplo, si se eliminan documentos confidenciales, el

personal de oficina debe estar entrenado para destruirlos
MODULO 11.
apropiadamente antes de tirarlos a la basura. Por ejemplo,
MODULO 12. deberán triturarse utilizando una trituradora de papel, lo
Curso que no quita que el personal de limpieza deba ser entre-
Introductorio nado para quemar estos papeles previamente triturados.
de Seguridad O, usando otro ejemplo, el personal financiero debe cono-
cer que no debe poner en un lugar visible las claves utili-
Autor:
Ernesto Pérez Estévez zadas para confirmar las transferencias bancarias, pues
un interesado podría ingeniárselas para acceder a su ofi-
cina y tomar fotos o notas de las claves de transferencias.
MODULO 1. En este caso, como en otros, las personas deben estar
entrenadas para no entregar claves ni información confi-
MODULO 2.
dencial por teléfono.
informática
Una técnica muy simple para obtener esta información
MODULO 3. es llamar a un funcionario de una organización y hacerse
pasar por el director de otra sucursal en otra ciudad, o por
MODULO 4.
el área de sistemas de la organización, y solicitarle infor-
MODULO 5. mación confidencial o claves de usuarios. No todo el que
tiene voz de jefe es jefe y muchas veces se usan esas téc-
MODULO 6. nicas —llamadas de ingeniería social— para impresionar o
amedrentar a funcionarios, sobre todo a aquellos que son
MODULO 7.
nuevos en una organización. Este tipo de solicitudes debe
MODULO 8. hacerse a través de canales establecidos y, de ser posible,
personalmente. A su vez, se debe alentar a las personas
MODULO 9. para que escojan claves fuertes y no usen claves simples,
como «123456», o que se preocupen por cambiar fre-
MODULO 10. cuentemente sus claves.
MODULO 11.
En resumen: todos los empleados, en todos los niveles or-
MODULO 12. ganizacionales, deben tener entrenamiento, deben conocer
Curso que la seguridad existe y es necesaria para la organización
Introductorio y colaborar, en el marco de sus funciones y habilidades,
de Seguridad para mantenerla.
Autor:
Ernesto Pérez Estévez En resumen, la seguridad no es un proceso estático en el
que se instala un hardware que pueda proteger a una or-
ganización de toda amenaza. Como se ha visto, la partici-
MODULO 1. pación de las personas que trabajan en la organización es
importante y deben ser entrenadas continuamente. La se-
MODULO 2.
guridad es un proceso continuo que no cesa nunca, ya que
informática siempre ingresarán nuevos empleados a la organización o
surgirán nuevas técnicas para vulnerar sus defensas.
MODULO 3.
Estrategia del punto más débil
MODULO 4.
En inglés se la conoce como weakest link y parte de la
MODULO 5. base de que las defensas son tan fuertes como fuerte sea
su punto más débil.
MODULO 6.
Es en este punto, que es el más débil de la defensas, don-
MODULO 7.
de debemos hacer énfasis para eliminarlo si fuera posible
MODULO 8. o endurecerlo tanto como para desmotivar un ataque.
En la vida real los atacantes buscan el punto más débil en
MODULO 9. la red e intentan atacarla a partir de él. Los puntos débiles
deben ser monitoreados continuamente si no han podido
MODULO 10. ser eliminados.
MODULO 11.
MODULO 12.
Curso Por ejemplo, en una organización el punto más débil podría
Introductorio ser la seguridad física, quizás porque la experiencia indique
de Seguridad que es por donde no ocurrirán ataques frecuentes. Este
puede ser un razonamiento totalmente válido pues quizás
Autor:
Ernesto Pérez Estévez presentamos muchas amenazas a través de Internet y no
muchas amenazas físicas, pero no se puede dejar de consi-
derar, vigilar y mejorar el punto más débil, tratando de ha-
MODULO 1. cerlo lo más seguro posible o eliminando su debilidad.
MODULO 2.
Se dice que el punto más débil de una organización es el
informática usuario. De allí que se insista en la importancia de capaci-
tar a todos sus empleados.
MODULO 3.
Estrategia de la sencillez
MODULO 4.
En inglés se la conoce como simplicity y ya fue menciona-
MODULO 5. da en la estrategia a prueba de fallos: se debe mantener
el ambiente lo más simple posible, ya que la complejidad
MODULO 6. esconde potenciales problemas de seguridad.
MODULO 7.
Las interfaces gráficas, los manejadores centralizados
MODULO 8. y los sistemas con configuraciones simples son algunos
ejemplos de este principio.
MODULO 9.
Si algo es muy complejo las personas tienden a no com-
MODULO 10. prenderlo enteramente y, por tanto, a no usarlo o a usarlo de
MODULO 11. forma incorrecta. Sin embargo, debe tenerse cuidado con la
extrema simplicidad. Una herramienta que ofrezca volver su
MODULO 12. sistema más seguro con apretar un simple botón puede no
Curso ser adecuada. Los sistemas deben tener un mínimo de para-
Introductorio metrización, pues cada ambiente tiene sus peculiaridades.
de Seguridad
Estrategia de diversidad de defensa
Autor:
Ernesto Pérez Estévez Es conocida en inglés como diversity of defense y es un
principio muy sencillo pero a la vez efectivo. Consiste en
que para asegurar una organización se utilicen diferentes
MODULO 1. sistemas, de diverso origen y de distintos fabricantes.
MODULO 2.
¿Y esto por qué? Porque una vulnerabilidad en un sistema
informática de seguridad puede no estar presente en otros, pues son
fabricados en distintos orígenes, por ejemplo, o porque
MODULO 3. utilizan modelos conceptuales diferentes. Esto último es
lo más importante, porque es lo que muchas veces dife-
MODULO 4.
rencia a un fabricante de otro. Pero no solamente se debe
MODULO 5. depender de un fabricante, sino también de quién instala
el software. A veces, quien instala, instala todos los siste-
MODULO 6. mas (diferentes), pero conceptualmente es una sola per-
sona (o empresa) y quizás también introduzca inconscien-
MODULO 7.
temente un mismo problema en todos los sistemas, como
MODULO 8. usar la misma clave para todo.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Server
Autor: Linux
MODULO 1.
Ruter Cisco
MODULO 2. Firewall
Fortinet
informática
Clientes
MODULO 3. Windows
MODULO 4.
MODULO 5. Por increíble que parezca, algunas organizaciones, quizás

por amor a una marca o porque manejan ofertas irresis-
MODULO 6.
tibles, se limitan a usar sistemas de un solo fabricante,
MODULO 7. y cuando este fabricante tiene una falla, es posible que
aparezca en varios de sus sistemas. Así, el atacante puede
MODULO 8. dedicarse a estudiar las fallas de un solo fabricante y tra-
tar de explotarlas.
MODULO 9.
MODULO 10. Si se usan sistemas de diferentes fabricantes el atacante

tendrá más obstáculos para encontrar, enlazar o explotar
MODULO 11. fallas entre estos sistemas.
MODULO 12.
Curso Es importante, por último, no tener un sistema de una mar-
1
Para mayor información
pueden leer sobre las fallas de
Introductorio ca y otro de otra, sino que los sistemas sean internamente seguridad graves encontradas
de Seguridad diferentes. Por ejemplo, de nada vale tener dos o tres tipos en el paquete openssl que
era utilizado por millones
de sistemas diferentes entre sí, si todos utilizan una versión
Autor: de dispositivos en Internet
Ernesto Pérez Estévez con problemas de seguridad de, digamos, SSL. conocida como HeartBleed:
http://heartbleed.com/
Este es un caso real que ocurrió hace unos años: se de-
MODULO 1. terminó que un sistema que ofrecía seguridad a nivel de
SSL tenía fallas gravísimas y lo curioso es que un enorme
MODULO 2.
porcentaje de los dispositivos de Internet que hacían uso
informática de SSL lo utilizaban. Por lo tanto, de poco valía tener una
marca diferente de la otra, ya que ambos, muy posible-
MODULO 3. mente, usaran este mismo sistema subyacente 1.
MODULO 4.
Por último, es de suma importancia resumir típicas fallas
MODULO 5. que pueden hacer fracasar la estrategia de diversidad de
defensa:
MODULO 6.
• Debilidades Inherentes (Inherent Weaknesses): hacen refe-
MODULO 7.
rencia a que sistemas de un mismo fabricante pueden sufrir
MODULO 8. de una misma debilidad, como una falla de concepto o una
falla en la implementación de un protocolo común a ellos.
MODULO 9.
• Configuración Común (Common Configuration): como se
MODULO 10. dijo, sistemas diferentes configurados por una misma per-
MODULO 11. sona o un mismo grupo de personas pueden adolecer de
problemas similares en su configuración pues quizá se ha-
MODULO 12. yan seguido los mismos conceptos para configurarlos.
Curso • Herencia Común (Common Heritage): se debe estar aler-
Introductorio ta al uso de componentes comunes por sistemas de fabri-
de Seguridad cantes diferentes que tengan las mismas fallas.

Autor:
Ernesto Pérez Estévez Las estrategias de seguridad en la vida cotidiana
Todo en seguridad tiene un símil en la vida real y así mu-

MODULO 1. chos de las estrategias mencionadas se aplican en ella.
Por ejemplo:
MODULO 2.
informática • Punto más débil: si se nos queda la llave dentro de la casa.
¿Intentaremos entrar rompiendo la pared con la cabeza o
MODULO 3. buscaremos un vidrio que nos quede cerca y lo rompemos
para poder abrir la puerta y luego sustituir el vidrio?
MODULO 4.
MODULO 5. • Defensa en profundidad: ¿usaremos solamente una llave

para cerrar la casa o es preferible tener una alarma, co-
MODULO 6. nectada a Internet o que nos envíe avisos por mensaje de
texto, con una cerca delante de la casa, si es posible con
MODULO 7.
electricidad en la parte superior o si vivimos en un edificio
MODULO 8. con dos puertas, una para ingresar al edificio y otra para
entrar al departamento?
MODULO 9.
• Participación universal: ¿entrenaremos o enseñaremos a
MODULO 10. nuestra familia temas básicos de seguridad o solamente nos
MODULO 11. preocuparemos nosotros por la seguridad de la casa, de ce-
rrar la puerta, de activar la alarma, de no abrirle a desconoci-
MODULO 12. dos? Todo esto se aprende en la familia desde pequeños.
Curso • Cuello de botella: ¿preferiremos tener una casa con diez
Introductorio entradas diferentes o mejor una puerta que podamos mo-
de Seguridad nitorear y en la que concentremos los esfuerzos para impe-
dir que entren intrusos?
Autor:
Son muchos los posibles ejemplos de la vida real, pero debe
remarcarse que las estrategias no son nuevas ni diferentes
MODULO 1. a lo que desde antaño se hace. La seguridad siempre ha
estado presente en nuestras vidas, solo tenemos que em-
MODULO 2.
pezar a extrapolarla al mundo virtual, donde, a pesar de que
informática quizás no se vea un ataque, estos ocurren, con una fre-
cuencia y una rapidez increíbles.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio Seguridad física
de Seguridad
Autor: · Introducción
· Componentes de la seguridad física
· Eventos naturales
MODULO 1.
· Eventos no naturales
· Redundancia
MODULO 2.
· Seguridad al eliminar la información de los
MODULO 3. medios físicos
MODULO 4. · Conclusiones
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
3.
Introducción
MODULO 1.
La seguridad física es uno de los temas más olvidados en
MODULO 2. el mundo de la seguridad de la información y de los que
recordamos cuando todo ha ocurrido.
MODULO 3.
Seguridad física Este es uno de los elementos de mayor impacto en la se-
guridad de la información. De ser posible, se debe comen-
MODULO 4.
zar a trabajar en ella desde antes de la instalación de los
MODULO 5. sistemas de información, pues una adecuada planificación
previa a la construcción brinda mejor seguridad.
MODULO 6.
En general, seguridad física refiere a las medidas que de-
MODULO 7. ben adoptarse para mitigar o eliminar eventos que afecten
MODULO 8.
la información de una empresa y que permitan que esta
pueda ser sustraída, dañada, modificada, copiada, etc. Es-
MODULO 9. tos eventos pueden ser totalmente accidentales, y por lo
tanto imprevistos, o ser conscientemente llevados a cabo
MODULO 10. con el propósito de hacer daño.
MODULO 11.
MODULO 12.
Curso 1. Componentes de la seguridad física
Introductorio
de Seguridad Las amenazas a la seguridad física son las siguientes:
Autor:
Ernesto Pérez Estévez 1.1. Eventos naturales
Sin llegar a exagerar, siempre es bueno planificar la se-

MODULO 1. guridad ante estos daños teniendo como referencia lo
MODULO 2.
ocurrido en el pasado. Por ejemplo: no es útil preparar a
una organización para que sobreviva a un ataque nuclear.
MODULO 3. Primero, porque sería muy costoso y, segundo, porque
Seguridad física quizás queden pocos clientes para atender luego de un
evento de esas características.
MODULO 4.
Sin embargo, de acuerdo al lugar geográfico donde este-
MODULO 5. mos, debemos analizar si es necesario prepararnos ante
MODULO 6. estos eventos:
MODULO 7. Fuego
MODULO 8. Las computadoras no son muy resistentes al fuego, por lo

que se deben tomar todas las medidas posibles para evitar
MODULO 9.
que el lugar donde estén sea invadido por las llamas.
MODULO 10.
Medidas de protección ante incendios:
MODULO 11.
• Sistemas automáticos de extinción de incendios: los ex-
MODULO 12.
tintores de gas son muy populares para apagar incendios en
Curso lugares donde hay computadoras y trabajan evitando que
Introductorio el oxígeno llegue a los materiales que están quemándose.
de Seguridad
• Detectores de humo y alarmas: no solamente avisan de
Autor:
Ernesto Pérez Estévez un potencial incendio, sino que además son útiles porque
advierten si se disparan los sistemas de extintores de gas,
que pueden ser dañinos para el humano.
MODULO 1.
MODULO 2.
• Sistemas de extinción de incendio basados en agua:
requieren que la electricidad se corte antes de abrirse
MODULO 3. el agua. Normalmente, los equipos modernos resisten la
Seguridad física caída de agua sobre ellos, pero siempre es recomendable
dejarlos secar varias horas antes de volver a conectarlos.
MODULO 4.
• Despliegue de los equipos de la red en áreas separadas
MODULO 5. por tabiques o paredes que impidan que el incendio se
MODULO 6. propague.
MODULO 7. • Extintores de mano: pueden ser utilizados por el perso-

nal para apagar el foco del incendio.
MODULO 8.
• Envío de mensajes de alerta a involucrados: operado-
MODULO 9.
res, personal de guardia, administradores, bomberos.
MODULO 10.
Humo
MODULO 11.
Es muy parecido al fuego. Deben adoptarse medidas simi-
MODULO 12.
lares a las que se toman para incendios, pero además se
Curso sugiere que se instalen detectores de monóxido de carbo-
Introductorio no para prevenir el envenenamiento de los trabajadores a
de Seguridad causa de su inhalación.
Autor:
Ernesto Pérez Estévez Polvo
Si bien es poco considerado, el polvo puede arruinar las

MODULO 1. partes móviles —como los lectores de CD/DVD o los siste-
MODULO 2.
mas de ventilación de nuestros equipos— de los sistemas.
Además, suficiente polvo mezclado con la humedad del
MODULO 3. ambiente puede generar cortocircuitos en los componen-
Seguridad física tes de los sistemas y dañarlos permanentemente, o pro-
vocar fuego o humo.
MODULO 4.
Medidas de protección ante el polvo:
MODULO 5.
MODULO 6. • Instalar el equipamiento sensible en una habitación lo

mejor sellada posible, de forma tal que se minimice la en-
MODULO 7. trada del polvo.
MODULO 8. • Utilizar filtros en los equipos de aire acondicionado y lim-

piarlos frecuentemente.
MODULO 9.
MODULO 10. • Mantener un plan de limpieza del equipamiento instalado

para remover el polvo que pueda entrar en ellos.
MODULO 11.
MODULO 12.
Curso Inundación
Introductorio
de Seguridad El equipamiento informático no es muy resistente a las
inundaciones, por lo que se deben evitar áreas propen-
Autor:
Ernesto Pérez Estévez sas a inundaciones. Este aspecto no siempre se toma en
cuenta a la hora de alquilar una propiedad para instalar
equipos, pero de ahora en adelante debe ser considerado.
MODULO 1.
MODULO 2.
Sin embargo, en caso de que la inundación no tenga origen
natural —como desborde de ríos o huracanes— siempre se
MODULO 3. deben tener medidas contra inundaciones, porque pueden
Seguridad física suceder cuestiones tan simples como que alguien olvide
una llave de agua abierta y al regresar del fin de semana a la
MODULO 4. empresa nos topemos con una desagradable sorpresa.
MODULO 5. Medidas de protección ante el agua (inundaciones) y la
MODULO 6. humedad:
MODULO 7. • Mantener un deshumidificador para evitar que la hume-

dad del ambiente combinada con el polvo pueda causar
MODULO 8. cortocircuitos en los sistemas.
MODULO 9.
• Instalar sensor de agua a nivel del suelo, de forma tal que
MODULO 10. adviertade una inundación.
MODULO 11. • Debe evitarse la instalación del equipamiento sensible

en el sótano o en el primer piso de un edificio. Normal-
MODULO 12.
mente, el agua tiende a bajar, por lo que si se instalan los
Curso equipos en un piso superior disminuye considerablemente
Introductorio la eventualidad de que se dañen en una inundación.
de Seguridad
• De ser necesario, instalar un sensor de agua a cierta al-
Autor:
Ernesto Pérez Estévez tura de forma que si esta esalcanzada, la electricidad del
edificio se corte para evitar muertes por electrocución.
MODULO 1. Huracán
MODULO 2.
Si la zona en la que está instalada la organización es pro-
MODULO 3. pensa a huracanes, deben considerarse medidas para pre-
Seguridad física venir que el agua o el viento ingresen al salón donde estén
los equipos. De lo contrario, estarán expuestos a la ocu-
MODULO 4. rrencia de inundaciones y sus consecuencias así como a la
destrucción física del equipamiento por los fuertes vientos.
MODULO 5.
MODULO 6. Medidas de protección ante huracanes:
MODULO 7. • Las mencionadas para la protección ante inundaciones
MODULO 8. • Los equipos deben instalarse en salas sin ventanas, ya

que así el agua y el viento no ingresarán al salón por allí.
MODULO 9.
MODULO 10. • Se deben usar construcciones sólidas que puedan resis-

tir las categorías de huracanes más frecuentes en la zona
MODULO 11. en la que la organización esté instalada. Muchas veces las
construcciones son capaces de resistir solo huracanes ca-
MODULO 12.
tegoría 3, cuando ya se han visto suficientes huracanes de
Curso categoría 4 e incluso 5. Es importante considerar la fuerza
Introductorio de los vientos y si las paredes la resistirán.
de Seguridad
• De ser posible, debería apagarse el equipamiento informá-
Autor:
Ernesto Pérez Estévez tico antes del ingreso del huracán en la zona en la que es-
tén. Afortunadamente, se trata de un evento cuyas fecha y
hora de ocurrencia son predecibles con bastante certeza.
MODULO 1.
MODULO 2.
Terremoto
MODULO 3. Es un evento que sucede en muchas zonas del planeta y

Seguridad física en cuyo caso es necesario proteger los datos. Lógicamen-
te, a la hora de la protección, el ser humano tiene mucha
MODULO 4. mayor prioridad .
MODULO 5. Específicamente para el caso de terremotos se deben
MODULO 6. pensar las siguientes medidas de seguridad:
MODULO 7. • Se debe analizar el nivel de peligro geológico de la zona

en la que se encuentra la organización: ¿cuáles son las
MODULO 8. probabilidades de ocurrencia de un terremoto existe en la
zona? Debe tenerse en cuenta que dentro de un país exis-
MODULO 9.
ten zonas con menor probabilidad de riesgo sísmico, por lo
MODULO 10. que es en esos lugares donde debe tratar de instalarse el
equipamiento informático.
MODULO 11.
• El equipamiento sensible de una organización (servido-
MODULO 12.
res, respaldos, etc.) puede ubicarse en un lugar físicamente
Curso alejado de sus trabajadores, como por ejemplo en un data-
Introductorio centro que pueda resistir eventos sísmicos.
de Seguridad
• El lugar físico en el que se vaya a instalar el equipamien-
Autor:
Ernesto Pérez Estévez to debe haber sido construido con normas que garanticen
su resistencia a eventos sísmicos superiores a los históri-
camente registrados en la región en la que estén.
MODULO 1.
MODULO 2.
• El equipamiento informático debe ser ubicado dentro de
contenedores que les permitan resistir la caída de objetos
MODULO 3. como piedras o pedazos de techo. Por ejemplo, dentro de
Seguridad física racks cerrados. Así, aun cuando caigan pequeños o me-
dianos objetos, el rack absorbería la mayor parte de sus
MODULO 4. impactos.
MODULO 5. Erupción volcánica
MODULO 6.
En regiones donde hay actividad volcánica deben tomarse
MODULO 7. medidas para prevenir que una erupción interrumpa la acti-
vidad de la organización dañe el equipamiento.
MODULO 8.
Medidas a tomarse ante erupciones volcánicas:
MODULO 9.
MODULO 10. • Analizar si la ubicación del equipamiento es cercana a un

volcán activo y, en caso positivo, valorar la posibilidad de
MODULO 11. trasladarlo a otro lugar, alejado del riesgo volcánico.
MODULO 12.
Curso • En caso de que sea necesaria la instalación de la organi-
Introductorio zación en las cercanías de un volcán activo, debe valorarse
de Seguridad la posibilidad de instalar aquellos equipos más sensibles
lejos de la organización y, por lo tanto, del riesgo volcánico.
Autor:
Temperaturas extremas
MODULO 1. El exceso de frío o de calor afectan el funcionamiento de

MODULO 2.
los equipos, y por ello es necesario mantenerlos en funcio-
namiento dentro de un rango normal, dictado por las condi-
MODULO 3. ciones de uso que el fabricante especifique para el equipo.
Seguridad física
A veces, en algunos lugares donde funciona equipamien-
MODULO 4. to informático la temperatura se mantiene a niveles poco
soportables incluso para el humano, 15 ºC o 16 ºC. Real-
MODULO 5. mente, no es necesario «congelar» los equipos, sino que
MODULO 6. basta con que funcionen dentro de un rango aceptable
para ellos y para el humano.
MODULO 7.
Medidas para evitar temperaturas extremas:
MODULO 8.
• Verificar la documentación del fabricante para determi-
MODULO 9.
nar el rango de temperaturas recomendado. Típicamente,
MODULO 10. un valor entre 15 ºC y 25 ºC es suficiente para la gran ma-
yoría del equipamiento informático, así que tener un salón
MODULO 11. a 20 o 21 ºC es suficiente.
MODULO 12.
Curso • Evitar poner los equipos cerca de las paredes. Normal-
Introductorio mente, la cercanía a las paredes no permite que el aire
de Seguridad circule apropiadamente y los equipos pueden sobrecalen-
tarse. Además, las paredes donde impacta el sol en la ma-
Autor:
Ernesto Pérez Estévez ñana o en la tarde pueden presentar variaciones de tem-
peratura muy bruscas que dañen los equipos.
MODULO 1. • Instalar sensores de temperatura que avisen a los ope-

MODULO 2.
radores, administradores o propietarios de la organización
de un incremento inesperado de la temperatura y, de ser
MODULO 3. posible, que estas alarmas puedan cortar el flujo de ener-
Seguridad física gía hacia los equipos, ya que al estar apagados no se da-
ñarán por estar fuera del rango de temperaturas.
MODULO 4.
Insectos
MODULO 5.
MODULO 6. La cercanía de insectos a una computadora es un peligro,

ya que pueden entrar por lugares inesperados, por ejem-
MODULO 7. plo, los huecos de refrigeración (por donde sale el aire
caliente o entra el aire menos caliente). Los insectos pue-
MODULO 8. den morir por un golpe del ventilador, caer dentro de los
circuitos del sistema y provocar un cortocircuito, que a su
MODULO 9.
vez puede generar humo o un incendio.
MODULO 10.
Medidas para evitar insectos:
MODULO 11.
• Usar redes antiinsectos en las puertas.
MODULO 12.
Curso • Los insectos no suelen permanecer en ambientes fríos,
Introductorio por lo que espacios relativamente fríos tienden a repeler-
de Seguridad los o llevarlos directamente a la muerte.
Autor:
Ernesto Pérez Estévez • Mantener cerradas las puertas y ventanas del local re-
frigerado. Esto se puede lograr con los brazos hidráulicos
que cierran las puertas.
MODULO 1.
MODULO 2.
• Educar a las personas para que mantengan siempre ce-
rrado el acceso al datacentro.
MODULO 3.
Seguridad física Descargas eléctricas
MODULO 4. Las descargas eléctricas son uno de los peligros más te-
midos en el mundo de la informática. ¡Cuánto daño hace
MODULO 5. la caída de un rayo cerca o directamente sobre el equipa-
MODULO 6. miento! ¡Y cuánto daño hace un motor eléctrico mal regu-
lado o fabricado que daña las zonas cercanas al equipo o
MODULO 7. provoca su mal funcionamiento!
MODULO 8. Medidas de protección contra descargas eléctricas:

MODULO 9.
• Si hay previsión de tormenta eléctrica, deben apagarse
MODULO 10. los equipos; es lo más seguro.
MODULO 11. • Utilizar cortapicos: equipos que suprimen un repentino

incremento de los parámetros en las líneas eléctricas, a
MODULO 12.
Curso causa, por ejemplo, de un rayo lejano o por un motor que
Introductorio genere ruido en la red eléctrica.
de Seguridad
• Planificar bien por dónde irá el cableado de red de cobre,
Autor:
Ernesto Pérez Estévez de forma tal que se pueda evitar que pase cerca de fuen-
tes generadoras de ruidos electromagnéticos o descargas
eléctricas.
MODULO 1.
MODULO 2.
• Utilizar, de ser posible, comunicación óptica y no electro-
magnética. Dicho de otra forma: tratar de usar fibra óptica
MODULO 3. cuando sea posible y no cables de cobre. La información
Seguridad física que circula a través de la fibra óptica no se ve afectada
por ruidos eléctricos o magnéticos y no transmite descar-
MODULO 4. gas eléctricas (o magnéticas), por lo que los equipos per-
manecen mejor aislados.
MODULO 5.
MODULO 6. • Instalar un sistema apropiado de puesta a tierra del equi-

pamiento, así como pararrayos. Debe notarse que muchas
MODULO 7. personas piensan que la puesta a tierra es algo simple y que
consiste solamente en lanzar un cable de cobre un poquito
MODULO 8. grueso y enterrarlo cerca del edificio donde estén los equi-
pos. Sin embargo, este no es un sistema adecuado de pues-
MODULO 9.
ta a tierra. Existen verdaderos especialistas en instalaciones
MODULO 10. de tierra que han estudiado para ello y cuya experiencia
debe ser utilizada para una puesta a tierra apropiada.
MODULO 11.
MODULO 12.
Curso 2. Eventos no naturales
Introductorio
de Seguridad Muchas personas no respetan lo que aquí se indicará,
tiene mucho sentido prohibir tomar o comer cerca de los
Autor:
Ernesto Pérez Estévez equipos, sobre todo de los sensibles.
Esto evita que sufran desperfectos a causa de la caída

MODULO 1. sobre ellos de agua u otra bebida, así como que los restos
MODULO 2.
almacenados de comida con grasa puedan provocar cor-
tocircuitos que causan pequeños malos funcionamientos
MODULO 3. en nuestro sistema con la consiguiente complicación que
Seguridad física implica detectar qué pasó o reemplazar lo dañado.
MODULO 4. 2.1. Seguridad externa y de entrada al sitio

MODULO 5. La localización física debe estar asegurada contra intru-
MODULO 6. sos y eventos que puedan alterar el normal funcionamien-
to de los sistemas.
MODULO 7.
Las que siguen son medidas para mejorar la seguridad
MODULO 8. externa y de entrada al sitio:
MODULO 9.
Guardias de seguridad
MODULO 10.
Debe contarse con personal de vigilancia en nuestra ins-
MODULO 11. titución con la finalidad de permitir el paso solamente al
personal autorizado.
MODULO 12.
Curso Uso de credenciales
Introductorio
de Seguridad Permite que no solo los guardias puedan controlar el in-
greso, sino que las personas que están en el edificio pue-
Autor:
Ernesto Pérez Estévez dan detectar inmediatamente a una persona no autoriza-
da que circule sin credenciales.
MODULO 1. Cámaras de vigilancia de circuito cerrado

MODULO 2.
Deben de ser cámaras que transmitan a un lugar de mo-
MODULO 3. nitoreo y almacenen lo grabado con la finalidad de que
Seguridad física pueda ser consultado de requerirse y activar medidas de
seguridad que sean necesarias.
MODULO 4.
Barreras físicas
MODULO 5.
MODULO 6. Incluyen desde puertas aseguradas para evitar que pue-

dan abrirse con facilidad, paredes de hormigón, ríos o
MODULO 7. zanjas alrededor de la zona, cableado de alta tensión so-
bre las paredes para minimizar el riesgo de que un atacan-
MODULO 8. te pueda saltar por encima de ellas.
MODULO 9.
No tener ventanas cerca de donde se colocará el equipa-
MODULO 10. miento, ya que las ventanas tienden a dejar pasar el sol y
generar calor, lo que eleva el costo energético por la nece-
MODULO 11. sidad de aumentar la refrigeración. Además, las ventanas
permiten a los posibles atacantes «asomarse» por ellas y
MODULO 12.
Curso obtener información sobre procedimientos, claves o cual-
Introductorio quier anotación que quede a la vista.
de Seguridad
Barreras lógicas
Autor:
Se trata de sistemas de control de acceso que solamente
dejen pasar a quienes mantengan sus datos en un sistema,
MODULO 1. como por ejemplo tarjetas RFID o sistemas de verificación
MODULO 2.
de datos biométricos. También se pueden diseñar sistemas
de alarma que se activen al detectar movimiento.
MODULO 3.
Seguridad física 3. Redundancia
MODULO 4. Es un aspecto que merece una sección específica para su

tratamiento. Todos los sistemas críticos deben contar con
MODULO 5. redundancia.
MODULO 6.
A continuación se describirán algunos tipos, lo que permi-
MODULO 7. tirá visualizar los diversos elementos de redundancia con
los que se puede contar.
MODULO 8.
La redundancia no es más que tener un respaldo idéntico
MODULO 9.
o muy similar que pueda entrar en funcionamiento inme-
MODULO 10. diatamente, o en un muy corto plazo, en caso de fallas en
el equipo principal.
MODULO 11.
Significa un gasto, ya que implica tener una reserva o al me-
MODULO 12.
nos un duplicado de algo. Es por eso que muchas veces se
Curso tienen que hacer consideraciones económicas muy cuida-
Introductorio dosas sobre en qué parte o partes se deben y pueden imple-
de Seguridad mentar redundancias.
Autor:
Ernesto Pérez Estévez La redundancia no impide que algo falle completamen-
te, pero sí ayuda en gran medida a que, en caso de falla,
siempre se tenga una alternativa para sustituir lo que ha
MODULO 1. fallado. Veamos algunos ejemplos:
MODULO 2.
3.1. Redundancia de energía
MODULO 3.
Seguridad física Se debe contar con fuentes de energía redundantes en un
sistema, de lo contrario, la disponibilidad de información se
MODULO 4. vería afectada en caso de falla eléctrica. Se listan a conti-
nuación ejemplos de redundancia de energía:
MODULO 5.
MODULO 6. UPS: es un sistema bastante conocido que permite man-

tener el hardware en funcionamiento aun cuando fallen
MODULO 7. otras fuentes de energía. Consta normalmente de una
serie de baterías que se mantienen cargadas cuando hay
MODULO 8. energía y entran en funcionamiento ante una falla breve
de los demás sistemas energéticos. Son muy útiles ante
MODULO 9.
fallas de poco tiempo, como por ejemplo cuando la luz se
MODULO 10. corta por uno o dos segundos y vuelve. Estos eventos son
sumamente dañinos para el equipamiento, pero el UPS
MODULO 11. evita que el equipamiento sufra estas variaciones de flujo
de energía.
MODULO 12.
Curso Generador eléctrico in situ: tener un generador eléctri-
Introductorio co que pueda suministrar electricidad durante un perío-
de Seguridad do más largo es necesario en sitios donde la energía falla
con frecuencia. El UPS puede suministrar energía durante
Autor:
Ernesto Pérez Estévez algunos minutos, pero pasado ese lapso es necesario un
sistema que lo ayude a cargarse y que permita que nues-
tro equipamiento se mantenga en funcionamiento. Debe
MODULO 1. buscarse, de ser posible, un generador que tenga bajo
MODULO 2.
consumo de combustible y que se pueda encender y apa-
gar de forma automática para evitar que una persona ten-
MODULO 3. ga que acudir cada vez que la energía falle.
Seguridad física
Energía alternativa, fotovoltaica, eólica o hídrica: son
MODULO 4. sistemas que, aunque han bajado bastante su costo, si-
guen siendo mucho más caros que los sistemas de sumi-
MODULO 5. nistro de energía tradicionales. Sin embargo, vale la pena
MODULO 6. mencionarlos, pues están tomando un papel muy impor-
tante en la generación eléctrica.
MODULO 7.
Utilizar un segundo circuito de ingreso de energía co-
MODULO 8. mercial: existen regiones del planeta donde proveedores
que compiten entre sí ofrecen servicio eléctrico o, aun-
MODULO 9.
que se trate del mismo proveedor, es posible contratar el
MODULO 10. ingreso de energía a través de una subestación eléctrica
alejada de la más cercana a los equipos. Con esto se puede
MODULO 11. garantizar que ante un fallo eléctrico en una zona, la ener-
gía que proviene de otra subestación (o de otro proveedor)
MODULO 12.
siga ingresando a la institución. Este sistema dual requiere
Curso igualmente de sistemas de respaldo UPS que acepten do-
Introductorio ble entrada de energía, una para cada uno de estos circui-
de Seguridad tos eléctricos. El UPS detectará cuando un circuito falle y
utilizará el otro.
Autor:
Es necesario detenernos aquí para mencionar que la se-
guridad implica muchas veces gasto. Si no se invierte en
MODULO 1. seguridad, posiblemente disminuya la disponibilidad. Por
MODULO 2.
ejemplo, si no se compra un generador eléctrico, quizás
la provisión de energía dure algunos minutos o contadas
MODULO 3. horas. ¿Vale la pena dejar de invertir en la compra de un
Seguridad física generador, ahorrar ese valor, a costa de que la información
no quede disponible para los usuarios que intentarán ac-
MODULO 4. ceder a ella?
MODULO 5. 3.2. Redundancia en equipamiento de red
MODULO 6.
Es un tipo de redundancia que se tiene poco en cuenta,
MODULO 7. pero es muy importante considerar cuanta redundancia
sea posible para el desarrollo normal de la labor organiza-
MODULO 8. cional, siempre y cuando lo permitan las condiciones eco-
nómicas de la empresa.
MODULO 9.
MODULO 10. No solamente la corriente eléctrica puede fallar, también

falla el equipamiento de red por diversas razones. Y cuan-
MODULO 11. do falla un equipo de red que es único, se pierde disponi-
bilidad (la A de la tríada CIA) y, por lo tanto, la información
MODULO 12.
no será accesible para los interesados.
Curso ¿Dónde pueden afectarnos más las fallas en la red?
Introductorio
de Seguridad • Fallas externas: nuestra conectividad puede verse afec-
tada porque un equipo en el ISP deje de brindar servicio
Autor:
Ernesto Pérez Estévez por fallas en uno de sus equipamientos. Por ejemplo:
• un router que atiende una conexión se descompone y

MODULO 1. deja de funcionar correctamente;
MODULO 2.
• el cableado que lleva la Internet desde un ISP hacia su
MODULO 3. red se ve afectado por un evento natural o provocado por
Seguridad física un humano. Estamos llenos de este tipo de problemas: no
es inusual que el chofer de un vehículo haga una manio-
MODULO 4. bra extraña y derrumbe un poste y corte la conectividad
de una zona o de una empresa específica.
MODULO 5.
MODULO 6. • Fallas internas: en la propia red de una organización

también se pueden tener problemas similares: equipos
MODULO 7. como routers o switches que dejan de funcionar después
de una tormenta eléctrica o de que personas , por error (o
MODULO 8. intencionalmente), provoquen desconexiones en la red.
MODULO 9.
¿Cómo se pueden tener redundancias ante estos eventos?
MODULO 10.
Equipos de reserva: es saludable mantener equipos de
MODULO 11. reserva, como routers o switches que se puedan utilizar
en caso de que un equipo activo deje de funcionar.
MODULO 12.
Curso Reserva de insumos de todo el equipamiento pasivo
Introductorio (aquel que no hay que configurar): es necesario tener re-
de Seguridad servas de cableado, conectores y canaletas.
Autor:
Ernesto Pérez Estévez Hay varias formas de utilizar estas reservas y todo depende
de cuán crítico sea mantener el acceso a la información.
MODULO 1. Redundancias pasivas: están simplemente guardadas y

MODULO 2.
cuando es necesario se sacan de la reserva, se configuran
y comienzan a utilizarse.
MODULO 3.
Seguridad física • Para ello posiblemente se requerirá una ventana tempo-
ral sensiblemente larga, es decir, posiblemente los usua-
MODULO 4. rios noten que hubo una falla en la disponibilidad.
MODULO 5. • Son muy utilizadas cuando una organización puede tole-
MODULO 6. rar ventanas de tiempo durante las cuales la información
no esté disponible, por ejemplo, si la organización tiene una
MODULO 7. tienda en línea adicional a las ventas en la tienda física. Es
posible que la tienda en línea pueda estar unos minutos (o
MODULO 8. más tiempo) sin funcionar por una falla inesperada.
MODULO 9.
• Son una variante no tan cara como la siguiente, pues se
MODULO 10. basa fundamentalmente en la sustitución de un equipo o
insumo dañado por otro. Solamente se sustituye en el mo-
MODULO 11. mento en que se daña, si se dañara.
MODULO 12.
Curso Redundancias activas-pasivas: en esta forma de redun-
Introductorio dancia los equipos o insumos están ya preparados para fun-
de Seguridad cionar, instalados y configurados adecuadamente y el pasivo
comienza a funcionar cuando el principal (activo) deja de
Autor:
Ernesto Pérez Estévez brindar servicio.
· La ventana temporal entre que el activo deja de funcionar

MODULO 1. y el pasivo entra en funcionamiento es bastante corta, qui-
MODULO 2.
zás en un rango de segundos o menor a un segundo.
MODULO 3. · Son muy usadas cuando la organización requiere que las

Seguridad física fallas en la disponibilidad sean extremadamente cortas.
MODULO 4. · Son sensiblemente más caras que las redundancias to-

talmente pasivas, pues hay que tener equipos ya instala-
MODULO 5. dos, preconfigurados, encendidos y que monitoreen si el
MODULO 6. equipamiento activo deja de funcionar. Esto implica costos
incluso cuando nunca sea necesario usar los equipos pasi-
MODULO 7. vos. Estos equipos, al estar encendidos, con el tiempo po-
drán también fallar.
MODULO 8.
Redundancias activas-activas: constituyen un caso idén-
MODULO 9.
tico al anterior, pero en este caso los insumos o equipos de
MODULO 10. redundancia están instalados y configurados adecuada-
mente y en funcionamiento, brindando ambos servicio.
MODULO 11.
MODULO 12.
Curso · No existe una ventana de tiempo cuando un equipo deja
Introductorio de funcionar. El otro simplemente ya estaba funcionando
de Seguridad anteriormente y continua en funcionamiento.
Autor:
Ernesto Pérez Estévez · Son muy recomendadas cuando se requiere que los
usuarios no noten las fallas en la disponibilidad.
MODULO 1. · Son definitivamente las más caras de las tres soluciones

MODULO 2.
de redundancia.
MODULO 3. 3.3. Redundancia en almacenamiento de datos

Seguridad física
Es un tipo de redundancia muy similar al anterior, pero en
MODULO 4. este caso se utiliza a la hora de almacenar los datos. Los
discos duros suelen fallar y, en este caso, lo menos de-
MODULO 5. seable es que la información se pierda irremediablemen-
MODULO 6. te. Para ello se puede usar una tecnología conocida como
RAID, sigla de Redundant Array of Inexpensive Disks.
MODULO 7.
Se la puede pensar, de forma muy básica, como el hecho
MODULO 8. de que la información se escriba (e incluso se pueda leer)
no hacia un solo disco, sino hacia varios. Por ejemplo, si se
MODULO 9.
mantiene la información en dos discos, si un disco falla el
MODULO 10. otro mantendrá la información
MODULO 11. Existen diversos tipos de RAID sobre los cuales se presen-
ta un cuadro en el que se resumen los más importantes.
MODULO 12.
Curso Debe tenerse en cuenta que estos no son los únicos tipos
Introductorio de RAID que existen.
de Seguridad
Tabla 1
Autor:
Ernesto Pérez Estévez RAID Description Note
0
MODULO 1.
1 Se requieren al menos dos discos duros de En caso de que falle uno de los discos,
MODULO 2. idéntico tamaño. existirá certeza de que el otro mantendrá la
información.
MODULO 3. En este caso, se trata literalmente de una
Seguridad física copia de uno en el otro. Si se escribe un 1 Es posible extraer el disco dañado y susti-
en un disco, ese mismo 1 se escribirá en el tuirlo por uno nuevo.
MODULO 4. mismo lugar en el otro.
Una vez que se incorpora el nuevo disco, se
MODULO 5. Ambos discos contienen la misma informa- le copiará la misma información del disco
ción. Se acostumbra llamarlos mirror o espe- que se mantuvo funcionando. Este proceso
MODULO 6. jos, pues uno es una copia idéntica del otro. se conoce como sincronización.
MODULO 7.
MODULO 8. RAID 0
MODULO 9. Aunque no es de interés en este curso, es importante men-

cionarlo para que no sea utilizado pensando que sirve como
MODULO 10. redundancia.
MODULO 11.
MODULO 12.
Curso Requerimiento
Introductorio
de Seguridad Se requieren al menos dos discos duros.
Autor:
Ernesto Pérez Estévez Descripción
se lo puede considerar como una forma de «unir» dos dis-

MODULO 1. cos y lograr un disco con la suma del espacio de ambos.
MODULO 2.
Aquí la información no se duplica, sino que se va escri-
biendo en estos discos como si fueran uno solo: se llena
MODULO 3. uno y se continúa con el otro hasta que se llene.
Seguridad física
Ejemplo
MODULO 4.
Esto es solo un ejemplo con valores muy pequeños para
MODULO 5. poder ejecutarlos.
MODULO 6.
Supongamos que tenemos dos discos duros de 16 bytes
MODULO 7. cada uno. Si se los une en RAID 0 se obtendrá un gran
disco duro de 32 bytes (16 bytes del disco A + 16 bytes del
MODULO 8. disco B).
MODULO 9.
Si se quiere escribir una oración de 32 caracteres, cabrá
MODULO 10. perfectamente: «HOLA MUNDO TENEMOS 32 CARACTE-
RES». Debe notarse que este texto no cabría en un solo
MODULO 11. disco, pues cada uno tiene originalmente 16 bytes: 1 byte
= 1 carácter.
MODULO 12.
Curso Disco A Disco B
Introductorio H O L A M U N D O T E N E M O S 3 2 C A R A C T E R E S
de Seguridad
Autor:
Ernesto Pérez Estévez ¿Qué pasa si un día no podemos acceder al disco B?
MODULO 1.
Disco A Disco B
MODULO 2.
H O L A M U N D O T E N E M O S 3 2 C A R A C T E R E S
MODULO 3.
Seguridad física
¡Perderíamos parte de nuestra información!
MODULO 4.
Ventajas
MODULO 5.
No implica una ventaja para asegurar la disponibilidad de la
MODULO 6. información.
MODULO 7.
Es necesario advertir que algunas personas, al ver que se
MODULO 8. llama «RAID 0», tienden a pensar que existe redundancia y
esto no es cierto en absoluto.
MODULO 9.
Desventajas
MODULO 10.
MODULO 11. Este tipo de raid en realidad no implica redundancia, así

que no conviene para la labor de asegurar la disponibilidad
MODULO 12. de la información.
Curso RAID 1
Introductorio
de Seguridad Es el caso más conocido y típico de redundancia. Si hubie-
ra que recomendar un tipo que no sea muy caro de imple-
Autor:
Ernesto Pérez Estévez mentar, sugeriríamos este.
Requerimientos
MODULO 1.
MODULO 2.
Se requieren al menos dos discos para este tipo de RAID.
Estos discos deben ser idénticos, incluso del mismo fabri-
MODULO 3. cante y de la misma marca, con el objetivo de que tengan
Seguridad física tiempos de lectura y escritura similares. Se sugiere que
sean del mismo tamaño, ya que, aunque se toleran tama-
MODULO 4. ños diferentes, no es lo común.
MODULO 5. Descripción
MODULO 6.
Pensemos que tenemos dos discos: el A y el B. Al escri-
MODULO 7. birse un byte hacia el disco A, en RAID 1 la misma infor-
mación se escribirá inmediatamente hacia el disco B. Lo
MODULO 8. mismo ocurrirá al modificarse una información en A: se
modificará de la misma forma en B, y al eliminarse una in-
MODULO 9.
formación de A, se eliminará de B.
MODULO 10.
Si uno de los dos discos se daña, el otro mantiene la in-
MODULO 11. formación y el sistema puede seguir funcionando, pero ya
no habría redundancia, pues solamente se podrá utilizar
MODULO 12.
la información del disco que no esté dañado. Este modo
Curso de funcionamiento se llama degradado, no porque falte la
Introductorio información sino porque ya no existe redundancia ante un
de Seguridad fallo, ya que se estará a un paso de que falle todo, si nos
fallara el disco que quedó funcionando.
Autor:
Supongamos este escenario
MODULO 1. Tenemos la siguiente información almacenada en el RAID

MODULO 2.
1. Como se puede ver, ambos discos del RAID 1 mantienen
la misma información:
MODULO 3.
Seguridad física A 11010100
B 11010100
MODULO 4.
MODULO 5.
Ahora supongamos que se daña el disco A, de modo que la
MODULO 6. información de A ya no es confiable, o quizás A no funcio-
ne en absoluto. Sin embargo, se mantiene la misma infor-
MODULO 7. mación en B, por lo que el sistema seguirá funcionando en
MODULO 8.
modo degradado, pues seguirá leyendo y escribiendo en B.
MODULO 9. A 11010100
MODULO 10. B 11010100
MODULO 11.
MODULO 12.
Curso Ahora se puede sacar al disco A, pues ya no sirve. Todo
Introductorio seguirá escribiéndose hacia B, pues B sigue activo, en
de Seguridad funcionamiento. En este momento se corre un gran ries-
go: ¿qué sucedería si en este lapso falla B? Estos son mo-
Autor:
Ernesto Pérez Estévez mentos críticos y se debe minimizar el tiempo de funcio-
namiento con este arreglo degradado.
MODULO 1.
MODULO 2. B 11010100
MODULO 3.
Seguridad física Deberá pues colocarse un nuevo disco, del mismo tamaño
que los anteriores, de ser posible del mismo fabricante y la
MODULO 4. misma marca. El arreglo sigue degradado, ya que la infor-
mación se mantiene solamente en B. El nuevo disco sola-
MODULO 5. mente se ha insertado.
MODULO 6.
A
MODULO 7.
B 11010100
MODULO 8.
MODULO 9. Entonces, comienzan a sincronizarse los contenidos de

B hacia A. Se van copiando bit a bit, byte a byte, todos los
MODULO 10.
contenidos de B hacia A, hasta que quede nuevamente
MODULO 11. activo el arreglo.
MODULO 12.
Curso A 11010100
Introductorio B 11010100
de Seguridad
Autor:
Ernesto Pérez Estévez Así estará nuevamente el arreglo en funcionamiento.
MODULO 1.
Ventajas
MODULO 2. En caso de fallo de un disco duro, el sobreviviente man-

tendrá la misma información. Aunque en modo degrada-
MODULO 3. do, el disco sobreviviente permitirá que el sistema conti-
Seguridad física núe funcionando.
MODULO 4. Desventajas
MODULO 5.
Se adquirieron dos discos pero el espacio de almace-
MODULO 6. namiento no se incrementó, sino que se mantuvo igual.
Ejemplo: si se compran dos discos de 1 terabyte cada uno,
MODULO 7. no tendremos 2 terabytes para almacenar la información,
pues toda la información de un disco (1 terabyte será re-
MODULO 8.
plicada en el otro (1 terabyte). Por decirlo de forma senci-
MODULO 9. lla, en RAID 1 el espacio de almacenamiento será igual al
tamaño de uno de sus componentes: dos discos de 1 te-
MODULO 10. rabyte cada uno brindarán un espacio de almacenamiento
de 1 terabyte.
MODULO 11.
MODULO 12.
Curso Desde el punto de vista de la redundancia son mayores las
ventajas que las potenciales desventajas.
Introductorio
de Seguridad RAID 1+0
Autor:
Ernesto Pérez Estévez Este es un caso especial en el que se unen ambos con-
ceptos, descriptos anteriormente, el de RAID 0 y el de
MODULO 1. RAID 1.
MODULO 2. Requerimientos
MODULO 3. Hacen falta a menos cuatro discos, del mismo tamaño si

Seguridad física
fuera posible.
MODULO 4.
Descripción
MODULO 5.
De los cuatro discos (A, B, C y D) se toman dos (A y B) y se
MODULO 6. configuraren en RAID 0. Los otros dos (C y D), también, de
la misma forma, en RAID 0.
MODULO 7.
MODULO 8. Primer RAID 0 compuesto por los discos A y B:
MODULO 9.
Primer
MODULO 10. RAID 0 Disco A Disco B
MODULO 11.
MODULO 12.
Curso Segundo RAID 0 compuesto por el disco C y D:
Introductorio
de Seguridad Segundo Disco C Disco D
Autor: RAID 0
Ahora se pueden =unir el primer y el segundo RAID 0 en un

MODULO 1. RAID 1. Como en todo RAID 1, todo lo que escriba en un ele-
mento se escribirá en el segundo. Veamos un ejemplo:
MODULO 2.
MODULO 3.
Primer H O L A M U N D O T E N E M O S 3 2 C A R A C T E R E S
Seguridad física
RAID 0 Disco A Disco B
MODULO 4. Segundo Disco C Disco D
RAID 0 H O L A M U N D O T E N E M O S 3 2 C A R A C T E R E S
MODULO 5.
MODULO 6. Ahora, si se dañara, por ejemplo, el disco B, el arreglo que-

da degradado pero en funcionamiento solamente con el
MODULO 7.
segundo RAID (discos C y D):
MODULO 8.
Premier H O L A M U N D O T E N E M O S 3 2 C A R A C T E R E S
MODULO 9.
RAID 0 Disco A Disco B
MODULO 10. Deuxième Disco C Disco D
MODULO 11.
MODULO 12.
Curso Si se sustituye el disco B por uno nuevo, queda un nuevo
Introductorio disco B en el primer RAID 0, la información del primer RAID
de Seguridad 0 está desactualizada (no es confiable) o no existe, por lo
que se representa en blanco:
Autor:
Primer
Segundo Disco C Disco D
MODULO 2.
MODULO 3.
Seguridad física
Se sincroniza la información del segundo RAID 0 en el pri-
MODULO 4. mer RAID 0, y todo queda como en el inicio:
MODULO 5.
Primer H O L A M U N D O T E N E M O S 3 2 C A R A C T E R E S
Segundo Disco C Disco D
MODULO 7.
MODULO 8.
MODULO 9. Ventajas
MODULO 10. • Aumenta el espacio de almacenamiento: se cuenta con

cuatro elementos (discos A, B, C y D) y se logra un espacio
MODULO 11. de almacenamiento de la suma de dos discos (por ejem-
plo, A y B).
MODULO 12.
Curso • Por ejemplo, si se tienen cuatro discos de 1 terabyte cada
Introductorio uno, el arreglo será de 2 terabytes de almacenamiento
(la suma de A+B hace un elemento, la suma de C+D hace
de Seguridad otro elemento, y ambos se unen en RAID 1).
Autor:
• ¡Hay redundancia! Si se dañara un elemento, los otros con-
tinuarían almacenando la información en forma degradada.
MODULO 1.
Desventajas
MODULO 2.
• El costo. No es lo mismo un RAID 1, que tiene dos ele-
MODULO 3.
Seguridad física mentos que un RAID 1+0, que requiere cuatro.
MODULO 4. Respaldos
MODULO 5. Aunque parezcan similares a RAID, los respaldos mere-

cen su propio espacio. Con RAID se garantiza el funciona-
MODULO 6.
miento en caso de fallas físicas, por ejemplo, que deje de
MODULO 7. funcionar uno de los discos. Pero RAID no protege contra
fallas humanas.
MODULO 8.
Veamos un ejemplo: si tenemos un RAID 1 y borramos un
MODULO 9. archivo, este archivo se borrará de ambos discos, pues
MODULO 10.
solicitamos borrar un archivo y el sistema RAID no puede
determinar si fue un error o fue intencional. Simplemente,
MODULO 11. para mantener la simetría, el RAID borrará el archivo tanto
del disco A como del B.
MODULO 12.
Curso ¿Qué hacer para prevenir que una falla humana (o una ac-
Introductorio titud intencional) provoque que se borre o modifique un
de Seguridad archivo importante? Es necesario considerar la posibilidad
de que los archivos sean respaldados frecuentemente, con
Autor:
Ernesto Pérez Estévez lo que se logra, además, que, en caso de un evento natural,
los datos estén respaldados y puedan ser recuperados.
MODULO 1. Lamentablemente, muchas personas no tienen como po-

MODULO 2.
lítica o como costumbre respaldar los datos en otro lugar
y luego tienen dificultades para encontrar quién las pueda
MODULO 3. ayudar a recuperar la información perdida.
Seguridad física
Al respaldar deben tenerse en cuenta ciertos aspectos
MODULO 4. que se detallan a continuación.
MODULO 5. ¿Qué respaldar?
MODULO 6.
• Debe respaldarse la información propia de la empresa, la
MODULO 7. información que se genera o que se mantiene para o so-
bre sus usuarios: documentos de oficina, hojas de cálculo,
MODULO 8. bases de datos, fotos, videos, etcétera.
MODULO 9.
•También deben respaldarse los archivos de configuración
MODULO 10. del sistema, para poder recuperar su funcionalidad rápi-
damente. Si no se respaldan las configuraciones, posible-
MODULO 11. mente se pueda echar a andar una determinada aplica-
ción pero quizás no con la misma funcionalidad que tenía
MODULO 12.
Curso antes, o quizás tome mucho más tiempo que el esperado
Introductorio tener la misma funcionalidad que antes del fallo.
de Seguridad
• Cualquier cosa que no sean archivos propios de la orga-
Autor:
Ernesto Pérez Estévez nización o empresa se puede recuperar sin necesidad de
respaldos. Por ejemplo, es medianamente fácil recuperar
el instalador de las aplicaciones en uso, o el instalador del
MODULO 1. sistema operativo, pues esta información está normal-
MODULO 2.
mente accesible desde Internet o el proveedor de la apli-
cación mantiene o facilita una copia del instalador de la
MODULO 3. aplicación. Normalmente no se respaldan los ejecutables
Seguridad física de una aplicación.
MODULO 4. • No solamente se deben respaldar los archivos en los ser-

vidores, sino que muchas veces es importante respaldar la
MODULO 5. información contenida en las máquinas de los usuarios.
MODULO 6.
¿Con qué periodicidad se debe respaldar?
MODULO 7.
• Se debe respaldar tan frecuentemente como sea posible,
MODULO 8. según la cantidad y la importancia de la información ma-
nejada. No existe una frecuencia más adecuada que otra,
MODULO 9.
sino que se debe valorar para cada caso y consensuarla
MODULO 10. dentro de la organización. ¿Una vez al día en la noche o
semanalmente en la madrugada? Estas son dos buenas
MODULO 11. opciones para iniciar, pero quizás se requiera respaldar
con mayor frecuencia.
MODULO 12.
Curso • Es necesario revisar la información contenida en los res-
Introductorio paldos frecuentemente. Este es uno de los fallos más difí-
de Seguridad ciles, ya que algunas personas piensan que su información
está respaldada y, a la hora de recuperarla desde respaldos,
Autor:
Ernesto Pérez Estévez estos no se estaban haciendo adecuadamente, quizás por
falta de espacio en disco o porque cambió una clave o por-
que se reinstaló y no se volvió a configurar el sistema de
MODULO 1. respaldos. Esto es increíblemente frecuente y por eso es
MODULO 2.
recomendable revisar asiduamente los respaldos y que se
hagan en forma adecuada. Cuán frecuentemente se haga
MODULO 3. depende nuevamente de la cantidad de información y la
Seguridad física velocidad a la que se actualiza, pero se sugiere revisar al
menos una vez al mes que la información contenida en los
MODULO 4. respaldos se esté almacenando adecuadamente.
MODULO 5. Seguridad a la hora de eliminar la información
MODULO 6.
Este es un tema poco tratado en nuestros medios. No so-
MODULO 7. lamente es necesaria la preocupación por mantener las
medidas de seguridad física que protejan los datos que
MODULO 8. maneja una organización, sino que además debe tenerse
en cuenta cómo eliminar la información de forma segura.
MODULO 9.
Dependiendo de la importancia de nuestros datos, a veces
MODULO 10. vale la pena revisar en la basura para encontrar oficios in-
completos o con faltas de ortografía, o discos descartados
MODULO 11. que habían sido usados hasta hacía pocos días.
MODULO 12.
Curso Para alguien quizás no sea de interés un documento im-
Introductorio preso que no sirve por contener una falta de ortografía,
de Seguridad pero para un interesado en obtener información, la falta
de ortografía es lo de menos, porque lo central son los da-
Autor:
Ernesto Pérez Estévez tos que puedan exponer estos oficios.
Quizás no sea de mayor interés un disco duro ya anticua-

MODULO 1. do que ha sido sustituido por uno de mayor almacena-
MODULO 2.
miento o velocidad. Al atacante le interesa leer la informa-
ción, y no le importa si la lectura es rápida o lenta o si está
MODULO 3. en un disco pequeño o grande.
Seguridad física
A la hora de descartar un disco o información digital o impre-
MODULO 4. sa en la basura, debe tomarse en cuenta que existen formas
para que esta no sea fácilmente legible por un interesado:
MODULO 5.
MODULO 6. • Shredder o trituradora: es una herramienta muy útil y

necesaria en cualquier oficina que necesite tener la se-
MODULO 7. guridad de que su información será eliminada apropia-
damente. El papel o CD que pase por una trituradora será
MODULO 8. dividido en pequeños trozos, en forma de tiras o, mejor
aun, en forma de cuadritos, de modo que un potencial in-
MODULO 9.
teresado debería pasar por el trabajo de armar un rompe-
MODULO 10. cabezas con cuadritos de 3 x 3 mm aproximadamente.
MODULO 11. • Horno: en casos más severos quizás sea interesante un

horno en el cual se pueda quemar papel u otros materiales
MODULO 12.
combustibles (CD, pendrives, etc.). Por ejemplo, cuando
Curso un consulado abandona su sede en un país, muchas ve-
Introductorio ces se reporta que están siendo incinerados papeles. Esto
de Seguridad es con la finalidad de que no queden atrás potenciales
documentos confidenciales.
Autor:
• Desmagnetizador: es un dispositivo que genera un fuer-
te campo electromagnético que modifica la información
MODULO 1. almacenada en dispositivos de almacenamiento magnéti-
MODULO 2.
cos (como un disco duro, por ejemplo, o una cinta). Luego
de que haya cumplido su función, es recomendable des-
MODULO 3. truir físicamente este dispositivo, para mayor seguridad.
Seguridad física
• Escribir datos aleatorios hacia un disco: existen he-
MODULO 4. rramientas de software que permiten sobrescribir todo el
espacio de almacenamiento de un disco con información
MODULO 5. aleatoria. Al escribir sobre todo el disco, se garantiza que
MODULO 6. la posible información que estaba almacenada con ante-
rioridad no pueda ser recuperada bajo ningún concepto.
MODULO 7. Posteriormente, es recomendable destruir físicamente
este dispositivo para mayor seguridad.
MODULO 8.
Conclusiones
MODULO 9.
MODULO 10. Ya desde estos primeros capítulos es posible notar que

existen muchos aspectos que manejar a la hora de mejo-
MODULO 11. rar o implementar medidas de seguridad en las organiza-
ciones. Algunas son fáciles de lograr, otras son más cos-
MODULO 12.
tosas pero quizás necesarias.
Curso Es importante destacar que para que todas las medidas
Introductorio que hemos visto a lo largo del capítulo sean efectivas, hay
de Seguridad que monitorearlas. El mecanismo y la frecuencia del mo-
nitoreo dependerán esencialmente de la medida y de las
Autor:
Ernesto Pérez Estévez necesidades de la organización. Por ejemplo, ante un plan
de evacuación, es necesario no solo darlo a conocer a los
usuarios, sino también realizar algún simulacro para co-
MODULO 1. rroborar su efectividad.
MODULO 2.
Es importante dejar en claro lo siguiente: la seguridad no
MODULO 3. es brindada por un solo dispositivo o herramienta, sino
Seguridad física que involucra a los humanos, basándonos en las herra-
mientas y necesidades que tenga la empresa y es algo en
MODULO 4. continua mejora.
MODULO 5. Cada cierto tiempo surgen nuevas o mejores medidas de
MODULO 6. seguridad que hay que incorporar a la organización, por lo
que se hace muy necesaria una continua actualización de
MODULO 7. la seguridad en la empresa. La seguridad no es estática —
no lo es ni lo será nunca—: la seguridad no es algo que se
MODULO 8. ejecute una única vez en la empresa para no volver a pre-
ocuparse más por ella.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio Seguridad lógica
de Seguridad
Autor: · Introducción
· Mecanismos de seguridad lógica
· Firewall
MODULO 1.
· Sistemas de detección de intrusos
· Redes privadas virtuales
MODULO 2.
· Aunteticación, autorización y auditoría
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
4.
Introducción
MODULO 1.
La seguridad lógica no es más que el conjunto de medidas
MODULO 2. que se toman en los sistemas, en el software, con miras
a proteger la información que se guarda en ellos, permi-
MODULO 3. tiendo que solamente las personas que demuestren estar
autorizadas puedan acceder a los datos de estos siste-
MODULO 4. mas. Quien no esté autorizado no podrá acceder a esta in-
Seguridad lógica
formación. También son las medidas lógicas que se toman
con la finalidad de minimizar el riesgo de que los sistemas
MODULO 5.
sufran abusos ya sea por fallas que puedan ser explotadas
MODULO 6. en ellos o por su exposición indebida a Internet.
MODULO 7. Veamos algunas de estas medidas a continuación.

MODULO 8.
1. Mecanismos de seguridad lógica
MODULO 9.
1.1. Firewall
MODULO 10.
Conocido en español como «cortafuegos», es una medida
MODULO 11. genérica muy importante para las redes.
MODULO 12.
Curso Un firewall permite definir distintas zonas dentro de la red
Introductorio de una organización y controlar que entre ellas se comu-
de Seguridad nique únicamente la información predeterminada y ningu-
na otra. Es importante usarlo, pues un cortafuegos actúa
Autor:
Ernesto Pérez Estévez como punto de paso para todos los paquetes de la red y
puede analizar además si amerita o no que un paquete
pase hacia nuestra red o salga desde ella.
MODULO 1.
MODULO 2.
Zonas de un firewall
MODULO 3. El cortafuegos se puede dividir en zonas. Estas no son

más que grupos de equipos sobre los cuales se necesita
MODULO 4. generar un conjunto de acciones.
Seguridad lógica
Por ejemplo, supongamos que hay una zona llamada LAN
MODULO 5. (Local Area Network). A esta zona se le pueden asociar
MODULO 6. uno o varios equipos o redes de una organización y se
pueden implementar restricciones para quien intente
MODULO 7. acceder a esta zona LAN o para que esta zona no acceda
al exterior.
MODULO 8.
Otra zona de interés pueden ser todos los equipos que
MODULO 9.
están fuera de una red, los que, al no estar en la zona LAN
MODULO 10. estarán en otra zona llamada WAN (Wide Area Network).
MODULO 11. Ahora, al tener dos zonas —los equipos que están en la
LAN, la red local y los que están en Internet, la WAN— po-
MODULO 12.
demos comenzar a poner restricciones para el acceso de
Curso los equipos que estén en la WAN a equipos que estén en la
Introductorio LAN o viceversa.
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
PC 1
MODULO 4.
Seguridad lógica
MODULO 5.
PC 2
MODULO 6.
Firewall
MODULO 7.
MODULO 8. PC X
MODULO 9.
MODULO 10. Por defecto, un cortafuegos debe ser restrictivo. Esto es:
al iniciar el firewall por primera vez, debe bloquear todo
MODULO 11. tipo de acceso, principalmente de la WAN a la LAN, pero
igual debería bloquear también accesos desde la LAN
MODULO 12.
hacia la WAN.
Curso
Introductorio
de Seguridad Bloquear intentos de ingreso a LAN
Autor:
Ernesto Pérez Estévez PC 1
MODULO 1.
MODULO 2.
PC 2
MODULO 3.
Firewall
MODULO 4.
Seguridad lógica
PC X
MODULO 5.
MODULO 6. Un cortafuegos busca, en principio, bloquear, impedir que

circulen paquetes no autorizados entre las zonas defini-
MODULO 7. das.
MODULO 8. Hay una zona más que es necesario mencionar y es la

zona desmilitarizada, conocida como DMZ (demilitarized
MODULO 9.
zone). Como en las guerras, imaginemos que a la izquier-
MODULO 10. da de las trincheras están los equipos de la LAN y a la
derecha los de la WAN. Ahora, los que más riesgos corren
MODULO 11. son los equipos de la LAN. En esa tierra de nadie entre las
dos trincheras está la zona desmilitarizada, la DMZ. Los
MODULO 12.
equipos que están en la DMZ están expuestos a un gran
Curso riesgo, ya que pueden ser atacados por extraños (por
Introductorio ejemplo, por cualquier equipo que esté en Internet, en
de Seguridad la zona WAN), y es por ello que debe cuidárselos mu-
cho y prestarles mucha atención. Son equipos que, por
Autor:
Ernesto Pérez Estévez estar muy expuestos es mejor que no estén en la LAN.
Son nuestros, pero pueden ser objeto de ataques, así
que lo mejor es mantenerlos en una zona apartada de
MODULO 1. la LAN, por lo que se los posiciona en ese intermedio
MODULO 2.
entre la LAN y la WAN, la DMZ.
MODULO 3.
MODULO 4. Bloquear intentos de ingreso a LAN

Seguridad lógica
MODULO 5.
PC 1
MODULO 6.
MODULO 7.
PC 2
MODULO 8.
Firewall
MODULO 9.
MODULO 10. PC X
MODULO 11.
Servidor Servidor
Maill Web
MODULO 12.
Curso ¿Por qué? Porque si fueran atacados y comprometidos, el
Introductorio atacante solamente podría acceder a los recursos que es-
de Seguridad tán en la zona, en la DMZ y no podría atacar a otros equi-
pos en las otras zonas.
Autor:
A continación se presenta un breve resumen de lo expuesto:
MODULO 1. • LAN: es donde van los equipos de la red local: máquinas

MODULO 2.
de escritorio, impresoras, equipos de Wi-Fi, quizás, y te-
léfonos de VOIP (Voice Over IP). Son muchos equipos que
MODULO 3. quizás no se puedan asegurar completamente porque
muchas veces son manejados e instalados por sus propios
MODULO 4. usuarios, que no tienen mucho conocimiento sobre se-
Seguridad lógica guridad. Hay que cuidar mucho estos equipos para evitar
que sean agredidos desde el exterior.
MODULO 5.
MODULO 6. • DMZ: es donde se colocan los equipos que brindan un

servicio al exterior. Estos equipos tienen contacto con
MODULO 7. equipos tanto de la LAN como del exterior, de la WAN. Es-
tán sometidos a un peligro mayor que los de la LAN, ya
MODULO 8. que desde la WAN podrían ser atacados y vulnerados. Por
esto los separamos, los sacamos de la LAN y los ponemos
MODULO 9.
en una zona aparte, para que si fueran vulnerados el ata-
MODULO 10. cante no pudiera extenderse a la zona LAN. Normalmente,
en la DMZ van los servidores que brindan servicios públi-
MODULO 11. cos, servicios que están expuestos a Internet.
MODULO 12.
Curso • WAN: en esta zona está el «resto» de los equipos que
Introductorio hay en Internet. Todo equipo que no esté en la LAN ni en
de Seguridad la DMZ se puede considerar WAN. Son equipos externos.
Pueden estar realizando una actividad válida, pero tam-
Autor:
Ernesto Pérez Estévez bién puede haber equipos haciendo actividades malicio-
sas. No se deben permitir accesos desde la WAN hacia la
LAN y solamente deben permitirse ciertos accesos desde
MODULO 1. la WAN hacia la DMZ: accesos controlados y puntuales.
MODULO 2.
Ejemplos teóricos de un firewall
MODULO 3.
Analicemos algunos ejemplos de cómo se pueden con-
MODULO 4. figurar los cortafuegos. Ninguno es en sí mismo malo o
Seguridad lógica bueno. Todo depende del tamaño de nuestra red y el pro-
pósito que tenga.
MODULO 5.
MODULO 6. Caso de un firewall simple:
MODULO 7. Este tipo de cortafuegos es muy utilizado en redes senci-

llas, donde no hay servidores o estos son muy escasos. Se
MODULO 8. lo usa mucho en las redes domésticas, por ejemplo, o de
pequeñas y medianas empresas.
MODULO 9.
MODULO 10. Como puede verse en la siguiente imagen, es un cortafue-

gos con dos zonas: la zona LAN, donde están los equipos
MODULO 11. de la red y la zona WAN, que es la conexión hacia Internet.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
PC 1
MODULO 1.
MODULO 2.
PC 2
MODULO 3.
Firewall
MODULO 4.
Seguridad lógica
PC X
MODULO 5.
MODULO 6.
MODULO 7. Firewall con DMZ opción 1
MODULO 8. Esta es una forma muy simple de entender la DMZ y es la

forma en la que se concebían inicialmente los cortafuegos
MODULO 9.
con DMZ.
MODULO 10.
Si se presta atención a la imagen, se notará que en realidad
MODULO 11. hay dos cortafuegos. Uno conecta la DMZ con la WAN y el
otro conecta la LAN con la DMZ. Están encadenados. Nor-
MODULO 12. malmente, toda conexión de izquierda a derecha (desde la
Curso LAN hacia la DMZ y la WAN) está permitida, pero toda cone-
Introductorio xión desde la derecha hacia la izquierda está prohibida por
de Seguridad defecto (no se puede enviar un paquete desde la WAN ha-
cia la DMZ y no se puede enviar tampoco desde la DMZ ha-
Autor:
Ernesto Pérez Estévez cia la LAN). De esta forma se protege la LAN de conexiones
desde la DMZ y la WAN y se protege a la DMZ desde la WAN,
mientras que se perminteque desde la LAN se pueda acce-
MODULO 1. der a a la DMZ y a la WAN.
MODULO 2.
Este tipo de firewall tiene solamente una pequeña desven-
MODULO 3. taja y es que es más caro de implementar, pues se requie-
ren, posiblemente, dos equipos. Sin embargo, consideramos
MODULO 4. que es más fácil de comprender que la siguiente opción.
Seguridad lógica
MODULO 5.
MODULO 6.
MODULO 7.
PC 1
MODULO 8.
MODULO 9.
MODULO 10. PC 2
Firewall Firewall
Interno Externo
MODULO 11.
Servidor Servidor
Web Mail
MODULO 12. PC X
Curso Firewall con DMZ, estructura actual
Introductorio
de Seguridad Actualmente se opta por tener un solo equipo cortafuegos
que cumple la misma función del firewall simple que se
Autor:
Ernesto Pérez Estévez mencionó con anterioridad: permite navegar desde la LAN
hacia la WAN, pero nada puede entrar a la LAN.
MODULO 1.
MODULO 2.
Bloquear intentos de ingreso a LAN
MODULO 3.
MODULO 4.
PC 1
Seguridad lógica
MODULO 5.
MODULO 6.
PC 2
MODULO 7.
Firewall
MODULO 8.
MODULO 9.
PC X
MODULO 10.
MODULO 11.
Servidor Servidor
MODULO 12. Mail Web
Curso A esto se añade una nueva interfaz, llamada la zona DMZ. Y
el único firewall se configura para que desde la LAN se pue-
Introductorio da acceder a la WAN (navegar en Internet, por ejemplo) y a
de Seguridad equipos de la DMZ, a la vez que se impide que desde la DMZ
Autor: y la WAN se acceda a la LAN y se configuran pocas conexio-
Ernesto Pérez Estévez nes desde la WAN hacia la DMZ según nos necesario.
MODULO 1. Funciones de un firewall
MODULO 2. Ya se dijo que, por defecto, un cortafuegos debe bloquear

todo intento de acceso entre zonas: de la WAN a la LAN, de
MODULO 3.
la LAN a la WAN, de la WAN a la DMZ y de la LAN a la DMZ.
MODULO 4.
Pero si no permitimos accesos entre las zonas, ¿para qué
Seguridad lógica tenemos Internet?
MODULO 5. Si no hay accesos nadie podrá navegar ni podrá, por con-

siguiente, acceder a nuestros recursos. No podremos ac-
MODULO 6. ceder a datos en el exterior. Una de las máximas de la se-
guridad es comenzar desde una configuración que deje
MODULO 7.
todo cerrado e ir abriendo los puertos o servicios que vayan
MODULO 8. siendo necesarios. Esta opción es la mejor, pues al menos
brinda la seguridad de que si algo está abierto es porque en
MODULO 9. algún momento se lo abrió.
MODULO 10.
Los cortafuegos tienen diversas funciones que se mencio-
MODULO 11. nan y describen a continuación:
MODULO 12.
Curso Filtrado de paquetes por puerto
Introductorio
de Seguridad El firewall debe tener la capacidad de detectar cuando un
paquete está llegando a un puerto en específico y blo-
Autor:
Ernesto Pérez Estévez quear, o permitir, la entrada a este puerto para evitar que
se acceda al servicio que está escuchando en este puerto.
MODULO 1. Por ejemplo: un servidor web está funcionando en el puer-

MODULO 2.
to 80/TCP de un equipo situado en la DMZ y está previsto
que solamente dé servicio a la red local (LAN). Se le puede
MODULO 3. indicar al firewall que:
MODULO 4. 1. PERMITA toda conexión desde la LAN hacia el puerto

Seguridad lógica 80/TCP de este equipo.
MODULO 5. 2. PROHIBA todo otro intento de conexión hacia este
MODULO 6. equipo.
MODULO 7. De esta forma se logra que solamente los equipos de la red

LAN puedan acceder a este servicio web. Esta última regla
MODULO 8. es la regla por defecto de un firewall: prohibir toda conexión.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
PC 1
MODULO 2.
MODULO 3.
MODULO 4.
Seguridad lógica PC 2
MODULO 5. Firewall
MODULO 6.
MODULO 7. PC X
MODULO 8. 80/TCP
MODULO 9.
Servidor Servidor
MODULO 10. Mail Web
MODULO 11.
MODULO 12.
Curso • Filtrado de paquetes por IP
Introductorio
de Seguridad La idea aquí es similar al caso anterior: el cortafuegos
debe tener la capacidad de detectar cuando un paquete
Autor:
Ernesto Pérez Estévez está llegando a un equipo nuestro desde una IP específica
(IP de origen del paquete) y bloquear, o permitir, el acceso
a este equipo desde esa IP específica.
MODULO 1.
MODULO 2.
También puede darse el caso contrario: el firewall debe
poder determinar cuando un paquete va dirigido (destina-
MODULO 3. do) a una IP específica en nuestra red y bloquear, o permi-
tir, el acceso a esta IP.
MODULO 4.
Seguridad lógica Por ejemplo: tenemos un servidor web y queremos que
puedan acceder a él los equipos de nuestra red LAN ade-
MODULO 5. más de los de la IP de nuestra sucursal en México. La IP de
MODULO 6. nuestra sucursal en México es la 1.2.3.4, para lo que debe-
mos indicarle al cortafuegos que:
MODULO 7.
1. PERMITA toda conexión desde la LAN hacia el puerto
MODULO 8. 80/TCP de este equipo
2. PERMITA toda conexión desde la IP 1.2.3.4 hacia el
MODULO 9.
puerto 80/TCP de este equipo
MODULO 10. 3. PROHIBA todo otro intento de conexión hacia este
equipo.
MODULO 11.
Como se puede ver, respecto al caso anterior, solamente
MODULO 12.
se agregó una regla después de la primera, que permitiera
Curso conexiones desde la IP 1.2.3.4. Para mayor seguridad, se
Introductorio permitieron conexiones desde la 1.2.3.4 exclusivamente al
de Seguridad puerto 80/TCP del equipo y a ningún otro puerto.
Autor:
Ernesto Pérez Estévez El resto de intentos de conexión se captura en la última
regla, la 3, que prohíbe toda conexión desde la WAN hacia
este equipo.
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
Seguridad lógica PC 1 IP. 1.2.3.4
MODULO 5.
MODULO 6.
PC 2
MODULO 7.
Firewall
MODULO 8.
MODULO 9. PC X
MODULO 10.
80/TCP
MODULO 11.
Servidor Servidor
Mail Web
MODULO 12.
Curso
Introductorio • Filtrado de paquetes por cantidad
de Seguridad
Es preferible llamarlo throttling, ya que es similar a un
Autor:
Ernesto Pérez Estévez cuello de botella. No implica más que la capacidad de de-
finir cuántos paquetes que cumplan una condición pue-
den llegar a un servidor y definir un límite de conexiones
MODULO 1. en un período de tiempo (segundos o minutos son los
MODULO 2.
valores típicos).
MODULO 3. Por ejemplo: tenemos un servidor de correo (25/TCP) en

nuestra DMZ. Por cada conexión hacia nuestro servidor,
MODULO 4. este reserva una pequeña porción de memoria RAM (tam-
Seguridad lógica bién otros recursos, pero pensemos ahora únicamente
en la RAM). Si un atacante quiere que nuestro servidor
MODULO 5. deje de responder, puede optar —y esto sí ocurre en la
MODULO 6. vida real— por comenzar a abrir sesiones —una conexión
detrás de la otra— lo más rápido posible antes de que el
MODULO 7. servidor cierre las sesiones porque se les agote el tiempo.
Así, puede comenzar a abrir cien sesiones por segundo:
MODULO 8. en un minuto tendrá seis mil sesiones abiertas y en diez
minutos tendrá sesenta mil. Eventualmente nuestro equi-
MODULO 9.
po dejará de responder, mucho antes de lo que pensa-
MODULO 10. mos, posiblemente en tres o cuatro minutos, porque tan-
tas sesiones abiertas agotarán su memoria RAM y otros
MODULO 11. recursos, como el número de procesos que puede abrir
nuestro sistema operativo.
MODULO 12.
Curso ¿Cómo se puede evitar esto o al menos mitigarlo? Se pue-
Introductorio de poner una restricción que:
de Seguridad
1. PERMITA paquetes que inician nuevas conexiones (se
Autor:
Ernesto Pérez Estévez conocen como paquetes SYN) con destino al puerto 25/
TCP siempre y cuando no superen los cinco nuevos pa-
quetes por segundo.
MODULO 1.
MODULO 2.
2. PROHIBA cualquier paquete SYN con destino al puerto
25/TCP que esté por encima de los cinco nuevos paque-
MODULO 3. tes por segundo.
MODULO 4. 3. PERMITA cualquier paquete con destino al puerto 25/

Seguridad lógica TCP que provenga de conexiones previamente estableci-
das (ESTABLISHED).
MODULO 5.
MODULO 6. Como se puede ver, en este caso se pone un límite a los

intentos de abrir nuevas conexiones (paquetes tipo SYN),
MODULO 7. por ejemplo, de cinco paquetes SYN por segundo. Si se
superan las cinco nuevas conexiones al puerto 25/TCP
MODULO 8. el sistema las prohibirá (punto 2). Ahora, si se trata de un
paquete que proviene de una conexión previamente es-
MODULO 9.
tablecida, la dejamos pasar, porque esos paquetes son los
MODULO 10. que contienen, por ejemplo, porciones de un correo elec-
trónico que está entrando.
MODULO 11.
Un segundo ejemplo puede ser el de un atacante que en-
MODULO 12.
vía cien conexiones en un segundo. Las primeras cinco
Curso son aceptadas por el punto 1, pero las siguientes 95 son
Introductorio prohibidas por el punto 2. De esta forma, al pasar diez mi-
de Seguridad nutos, habrá un número muy aceptable de conexiones,
que permitirá al servidor manejar sus recursos adecuada-
Autor:
Ernesto Pérez Estévez mente: 5 conexiones/segundo × 60 segundos = 300 co-
nexiones/segundo. En diez minutos serán a lo sumo tres
mil y no las sesenta mil del primer ejemplo.
MODULO 1.
MODULO 2.
Lógicamente, imponer restricciones tiene sus costos. Por
ejemplo, en medio de un ataque un servidor legítimo que
MODULO 3. quiere enviar un correo envía su paquete SYN para abrir
su conexión con el servidor, y lo más probable es que el
MODULO 4. servidor rechace el intento, porque lo hemos configurado
Seguridad lógica para que acepte solamente cinco conexiones SYN por se-
gundo y le están llegando 101 (cien del atacante más una
MODULO 5. del servidor que legítimamente quiere enviar un correo).
MODULO 6. En este caso, el servidor legítimo tendrá que reintentar
varias veces hasta lograrlo.
MODULO 7.
¿Cómo se puede evitar en parte este problema? Quizás
MODULO 8. elevando el valor en dependencia de cuán poderoso sea el
equipo: si tiene mucha RAM, quizás cinco conexiones SYN
MODULO 9.
por segundo sea poco y amerite subirlo a diez o veinte.
MODULO 10. Son aspectos que deben valorarse en relación con nues-
tra red. Para finalizar este apartado, resta comentar que
MODULO 11. normalmente de tres a cinco conexiones nuevas (SYN) por
segundo son muy apropiadas para una organización de
MODULO 12.
tamaño pequeño a medio.
Curso
Introductorio
de Seguridad
Autor: PC 1
MODULO 1.
PC 2
MODULO 2.
MODULO 3.
MODULO 4. Servidor
PC 3
Seguridad lógica Mail
MODULO 5.
PC 4
MODULO 6.
Firewall Límite
SMTP: 5/s
MODULO 7.
MODULO 8. PC 5
MODULO 9.
MODULO 10.
PC 6
MODULO 11.
MODULO 12.
Curso • NAT en origen (Network Address Translation)
1
http://businessresearcher.
sagepub.com/sbr-1863-
Introductorio 102197-2772812/20170306/
de Seguridad Significa ‘traducción de direcciones de red’ y es una forma more-than-28-billion-devices-
connect-via-internet-of-things
de que un equipo, el cortafuegos, reciba paquetes de una
Autor:
Ernesto Pérez Estévez red privada y los envíe en su nombre hacia una red pública.
Recordemos que, en IPv4 tenemos 2^32 potenciales di-

MODULO 1. recciones IP, menos de cuatro mil millones de direcciones
MODULO 2.
IP que podemos usar en Internet. Tengamos en cuenta
que ya en 2017 había unos 28 mil millones de equipos co-
MODULO 3. nectados a Internet 1. ¿Cómo es posible que 28 mil millo-
nes de equipos naveguen con solamente cuatro mil millo-
MODULO 4. nes de direcciones IP disponibles?
Seguridad lógica
Hace muchos años se creó el concepto de proxy (o su
MODULO 5. plural proxies), que no es más que un equipo que puede
MODULO 6. intermediar entre las decenas o cientos de equipos de
nuestra LAN y la Internet. En otras palabras, es un equipo
MODULO 7. que habla con el resto de Internet «en nombre de» todos
los equipos de nuestra red.
MODULO 8.
El proxy tiene dos interfaces: una que se conecta con una
MODULO 9.
IP privada a la LAN y otra que se conecta con una IP públi-
MODULO 10. ca hacia la WAN.
MODULO 11. ¿Qué hace el NAT? Se puede entender al NAT como un tipo
de proxy. Cuando un equipo de una red LAN que tiene una
MODULO 12.
Curso IP privada quiere enviar un paquete a un sitio de Internet
Introductorio que tiene una IP pública, envía este paquete al firewall,
de Seguridad pero hay un problema: el paquete proviene (tiene su ori-
gen) de una IP privada. Las IP privadas no deben circular
Autor:
Ernesto Pérez Estévez por Internet, por lo que nuestro cortafuegos cambia el
encabezado del paquete y pone como origen la IP pública
del firewall: lo «traduce» de la IP privada a su IP pública.
MODULO 1. Entonces lo envía a su destino en Internet.
MODULO 2.
MODULO 3.
MODULO 4. IP Privada: 192.168.1.1 IP Pública: 1.2.3.4

Seguridad lógica
Paquete Paquete
MODULO 5. IP Origen: IP Origen:
PC 1 Servidor Web
192.168.1.3:3456 1.2.3.4:8897
IP Privada: IP Pública:
IP Destino: IP Destino:
MODULO 6. 192.168.1.3 20.30.40.50
20.30.40.50.80 SNAT 20.30.40.50.80
MODULO 7.
MODULO 8.
Tabla NAT:
MODULO 9. IP Origen: IP Destino: IP Pública Origen:
Puerto Origen Puerto Destino Puerto Público Origen
192.168.1.3:3456 20.30.40.50.80 1.2.3.4:8897
MODULO 10.
MODULO 11.
MODULO 12.
Curso El servidor de destino piensa que quien le ha enviado el
Introductorio paquete es el cortafuegos, que tiene la IP pública, y le res-
de Seguridad ponde a esta IP pública.
Autor:
Ernesto Pérez Estévez El firewall tiene anotado en una tabla en la RAM (ver Ta-
bla NAT en la imagen anterior) una lista de paquetes que
ha «traducido», así que cuando le llega la respuesta del
MODULO 1. servidor de Internet, el cortafuegos revisa en su tabla y
MODULO 2.
encuentra cuál fue el equipo que originó la petición. En-
tonces, «traduce» el encabezado del paquete, le quita
MODULO 3. al encabezado su IP pública, que era el destino final, y le
pone la IP privada del equipo de la red LAN que originó el
MODULO 4. paquete, para enviar entonces este paquete al equipo de
Seguridad lógica la red LAN.
MODULO 5. A continuación se describe el proceso de la imagen
MODULO 6. anterior:
MODULO 7. 1. PC1 con la IP 192.168.1.3 envía un paquete al servidor

que tiene una IP pública 20.30.40.50. Todo paquete debe
MODULO 8. llevar un puerto de origen (3456) y uno de destino (80)
para poder diferenciar diversas conexiones con destino a
MODULO 9.
un mismo equipo.
MODULO 10.
2. El firewall recibe este paquete y sustituye su IP de ori-
MODULO 11. gen: en vez de 192.168.1.3 por el puerto 3456 ahora el pa-
quete se «originará» desde su IP pública y será 1.2.3.4 en
MODULO 12.
el puerto 8897 de su IP pública.
Curso 3. Todo esto lo guarda en una tabla pues el NAT no sola-
Introductorio mente traduce una conexión, sino decenas, cientos o va-
de Seguridad rios miles, concurrentemente. La tabla permite descubrir
a quién enviarle las respuestas cuando lleguen (ver Tabla
Autor:
Ernesto Pérez Estévez NAT en la imagen anterior).
4. Al regresar la respuesta el servidor público

MODULO 1. (20.30.40.50) le envía un paquete a nuestra IP pública
MODULO 2.
(1.2.3.4 en el puerto 8897, que fue el que se usó para en-
viar el paquete).
MODULO 3.
5. El cortafuegos, que es quien tiene la IP pública, revisa la
MODULO 4. tabla de NAT y encuentra una entrada que dice que lo en-
Seguridad lógica viado a IPPublicaOrigen 1.2.3.4, puerto 8897 debe enviar-
se a IPOrigen 192.168.1.3 puerto 3456.
MODULO 5.
MODULO 6. 6. Así, cambia la IP de destino, que es la 1.2.3.4, y pone

192.168.1.3 en el puerto 3456, y procede a enviar el paque-
MODULO 7. te a 192.168.1.3.
MODULO 8. Parece complejo pero no lo es. Es lo que conocemos como

NAT en el origen o SNAT (la S viene de source). Porque el
MODULO 9.
NAT se hizo inmediatamente después de que el paquete
MODULO 10. fuera entregado al firewall por el equipo que lo originó.
MODULO 11. El SNAT es una solución bastante popular para evitar que
se agoten las pocas IPv4 públicas del mundo, pues a un
MODULO 12.
cortafuegos se le pone una IPv4 pública en la WAN, y en la
Curso LAN conectada al firewall hay decenas o cientos de equi-
Introductorio pos con IPv4 privadas. Una red contiene decenas o cien-
de Seguridad tos de equipos pero hace uso de una sola IPv4 pública.
Autor:
Ernesto Pérez Estévez Esto contribuyó mucho a disminuir el ritmo al que se con-
sumían las IPv4 en el planeta. De todas formas, el cre-
cimiento explosivo de Internet ha ido agotando las IPv4
MODULO 1. disponibles y es por ello que desde hace varios años se ha
MODULO 2.
comenzado a implementar con mucha fuerza una nueva
versión de IP: IPv6 con la finalidad de salir de estos pro-
MODULO 3. blemas que provoca el agotamiento de las IPv4.
MODULO 4. • NAT en el destino

Seguridad lógica
o DNAT (Destination NAT) es parecido al caso anterior,
MODULO 5. pero refiere a tener que hacer NAT cuando una red tiene
MODULO 6. uno o varios servidores y solamente hay una IPv4 pública.
MODULO 7. Por ejemplo: en una DMZ hay dos servidores. Uno de ellos
es un servidor de correos que recibe los mails por el puer-
MODULO 8. to 25/TCP y el otro es un servidor web que atiende en el
puerto 80/TCP. Pero hay una sola IPv4 pública, ya que el
MODULO 9.
proveedor no puede facilitar más que una. ¿A quién se le
MODULO 10. asignaría? ¿Al servidor web? Si fuera así, no se recibirían
correos. ¿Al servidor de correos? Entonces no se vería el
MODULO 11. sitio web.
MODULO 12.
Curso Lo mejor sería asignarle la única IPv4 pública a la interfaz
Introductorio WAN del cortafuegos y crear dos reglas en él que dirían que:
de Seguridad
1. A TODO paquete con destino al puerto 25/TCP de la úni-
Autor:
Ernesto Pérez Estévez ca IP pública le cambie la IP de destino y le ponga de IP de
destino la IP privada del servidor de correos, para enviarlo
entonces hacia el servidor de correos.
MODULO 1.
MODULO 2.
2. A TODO paquete con destino al puerto 80/TCP de la
única IP pública le cambie la IP de destino y le ponga de
MODULO 3. IP de destino la IP privada del servidor web, para enviarlo
entonces hacia el servidor web.
MODULO 4.
Seguridad lógica
MODULO 5.
MODULO 6. IP Pública: Puerto

Servidor Web
IP Privada: 192.168.1.3 1.2.3.4:80 PC 1
MODULO 7. Puerto 80/TCP

1.2.3.4:25
MODULO 9.
Servidor Mail Server de Correo
MODULO 10. IP Privada: 192.168.1.3.5 DNAT Remoto
Puerto 25/TCP
Tabla DNAT:
MODULO 11. IP Pública Origen: IP Privada:
Puerto Público Puerto Privado
MODULO 12. 1.2.3.4:25 192.168.1.5:25
1.2.3.4:80 192.168.1.3:80
Curso Como se puede observar, se ha logrado reenviar los pa-
Introductorio quetes que van con destino (por eso la D de DNAT) al
de Seguridad puerto 80/TCP de la IP pública hacia el servidor de co-
rreos, y los que van con destino a la 25/TCP de la IP públi-
Autor:
Ernesto Pérez Estévez ca hacia el servidor web. Así, con una sola IP se han podi-
do brindar servicios situados en dos servidores diferentes.
MODULO 1.
• Redireccionamiento
MODULO 2.
es un caso muy similar a los anteriores. Como se puede
MODULO 3. ver, en los otros ejemplos se modificaban las IP de origen
y de destino de los paquetes. Ahora, nada impide que se
MODULO 4. pueda modificar también el puerto de destino de los pa-
Seguridad lógica quetes si fuera necesario.
MODULO 5.
Por ejemplo: hay dos servidores web (WEB1 y WEB2), cada
MODULO 6. uno con su IP privada y se quiere hacerlos accesibles des-
de Internet. No se puede aplicar un simple DNAT como en
MODULO 7. el caso anterior, pues el puerto 80/TCP es solo uno y hay
dos servidores web. No es posible que el único puerto 80/
MODULO 8. TCP de una IP pública haga DNAT hacia dos destinos dife-
MODULO 9. rentes: solamente puede hacerlo hacia uno.
MODULO 10. Por lo tanto, lo que se puede hacer es usar otros puertos,
de modo que:
MODULO 11.
1. A TODO paquete con destino al puerto 8001/TCP de una
MODULO 12.
única IP pública, se le cambie la IP de destino y se le ponga
Curso de IP de destino la IP privada del servidor WEB1 y también
Introductorio se le cambie el puerto de destino, del 8001/TCP al 80/TCP,
de Seguridad y entonces se lo envíe hacia el servidor WEB1.
Autor:
Ernesto Pérez Estévez 2. A TODO paquete con destino al puerto 8002/TCP de
una única IP pública, se le cambie la IP de destino y se le
ponga de IP de destino la IP privada del servidor WEB2 y
MODULO 1. también se le cambie el puerto de destino, del 8002/TCP
MODULO 2.
al 80/TCP, entonces se lo envíe hacia el servidor WEB2.
MODULO 3.
MODULO 4.
Seguridad lógica
IP Pública: Puerto
MODULO 5. Servidor Web
1.2.3.4:8002
IP Privada: 192.168.1.3 PC 1
Puerto 80/TCP
MODULO 6.

1.2.3.4:8001
MODULO 8.
MODULO 9.
Servidor Web DNAT
PC 2
IP Privada: 192.168.1.5
MODULO 10. Puerto 80/TCP
Tabla DNAT:
MODULO 11. IP Pública: Puerto Público IP Privada: Puerto Privado
1.2.3.4:8001 192.168.1.5:80
MODULO 12. 1.2.3.4:8002 192.168.1.3:80
Curso Es decir, si alguien accede a la IP pública por el puerto
Introductorio 8001/TCP se lo enviará al puerto 80/TCP de la IP privada
de Seguridad del servidor WEB1. Y si alguien accede a la IP pública por el
puerto 8002/TCP se lo enviará al puerto 80/TCP de la IP
Autor:
Ernesto Pérez Estévez privada del servidor WEB2.
Es una forma bastante usual de lograr que, teniendo una

MODULO 1. sola IP pública, se puedan exponer dos servidores diferen-
MODULO 2.
tes a Internet: se redirecciona el puerto 8001/TCP hacia el
80/TCP de WEB1 y el 8002/TCP hacia el 80/TCP de WEB2.
MODULO 3.
Inspección profunda de paquetes
MODULO 4. (Deep Packet Inspection)
Seguridad lógica
En los ejemplos anteriores se analizaron los encabezados
MODULO 5. de los paquetes y se tomaron acciones en relación con
MODULO 6. ellos.
MODULO 7. En el encabezado están la IP de origen, la IP de destino,

el puerto de origen, el puerto de destino, etc. Si se repa-
MODULO 8. sa este capítulo se notará que todo está relacionado con
estos elementos.
MODULO 9.
MODULO 10. Ahora, existen formas más complejas de analizar un pa-

quete: se puede intervenir no solo en estos simples campos
MODULO 11. del encabezado, sino también en otros campos del encabe-
zado e incluso con la carga del paquete (el payload).
MODULO 12.
Curso Lógicamente, al hacer DPI necesitamos firewalls con ma-
Introductorio yores capacidades a las anteriormente descritas, pero
de Seguridad vale la pena conocer qué se puede hacer con DPI, para lo
que se pondrán algunos ejemplos:
Autor:
· Se puede verificar si por un determinado puerto está pa-
sando el protocolo esperado. Por ejemplo, se puede obli-
MODULO 1. gar a que por el puerto 80/TCP pasen únicamente paque-
MODULO 2.
tes que contengan el protocolo HTTP. De esta forma se
puede evitar, siguiendo con el ejemplo, que alguien inten-
MODULO 3. te pasar una conexión encriptada (HTTPS).
MODULO 4. · Se pueden analizar los contenidos del paquete contra

Seguridad lógica virus, spam, spyware o cualquier otro malware.
MODULO 5. · Se puede determinar si los contenidos del paquete son po-
MODULO 6. tencialmente dañinos y reportarlos al administrador del cor-
tafuegos o bloquearlos. Estas técnicas son conocidas como
MODULO 7. Intrusion Detection System e Intrusion Prevention System.
MODULO 8. Implementaciones de firewall en la actualidad

MODULO 9.
Debe partirse de la base de que un cortafuegos no es más
MODULO 10. que un código en nuestro sistema, que analiza los paque-
tes para impedir, o permitir, que estos paquetes circulen a
MODULO 11. través de él.
MODULO 12.
Curso Este código puede ser más o menos eficiente según el
Introductorio tipo de fabricante. Se han implementado diversas formas
de Seguridad de crear firewalls, que se mencionan a continuación.
Autor:
Ernesto Pérez Estévez En equipos Linux se utiliza actualmente una versión lla-
mada netfilter, aunque se la conoce generalmente por la
herramienta que permite definir las reglas: iptables. Es
MODULO 1. bastante eficiente y permite realizar una gran cantidad de
MODULO 2.
acciones sobre los paquetes pues también se le pueden
incorporar módulos que incrementan la funcionalidad del
MODULO 3. iptables. A mayor cantidad de reglas, lógicamente mayor
será el consumo de procesador y, por lo tanto, se puede
MODULO 4. ralentizar el sistema. Seguramente, todo equipo basado
Seguridad lógica en Linux esté usando netfilter en la actualidad.
MODULO 5. En el caso de openbsd y freebsd se utiliza un software
MODULO 6. creado para estos sistemas operativos, llamado Packet
Filtering (PF). Sus usuarios argumentan que es mucho
MODULO 7. más fácil de entender que el netfilter de Linux y que es
mucho más rápido también.
MODULO 8.
Otros sistemas operativos privativos —sistemas que no
MODULO 9.
permiten ver el código— tienen sus propios firewalls que
MODULO 10. tienen en mayor o menor grado las mismas funciones que
hacen PF o netfilter (ver en este mismo capítulo «Funcio-
MODULO 11. nes de un firewall»).
MODULO 12.
Curso Para manejar los diversos cortafuegos existen herramien-
2
Puede consultarse en:
http://fwbuilder.sourceforge.
Introductorio tas o paneles que facilitan el trabajo con ellos. Una herra- net/
de Seguridad mienta que permite manejar diversos tipos de firewalls se
llama Firewall Builder 2. Es realmente útil para una admi-
Autor:
Ernesto Pérez Estévez nistración más cómoda de los cortafuegos. Una de sus
mayores ventajas es que maneja no solamente firewalls
en Linux o BSD, sino en una diversidad de equipos de cor-
MODULO 1. tafuegos en el mercado.
MODULO 2.
También hay distribuciones de Linux o de BSD que permi-
MODULO 3. ten manejar firewalls a través de paneles de control web.
Son sistemas ya preinstalados, como por ejemplo:
MODULO 4.
Seguridad lógica • ClearOS: realmente es una distribución que abarca mu-
cho más que la seguridad. Tiene un panel de control que
MODULO 5. permite configurar el firewall netfilter con bastante facili-
MODULO 6. dad. Esta distribución tiene una variante comunitaria (sin
costo): https://www.clearos.com/
MODULO 7.
• IPCop: es una pequeñísima distribución de Linux, orientada
MODULO 8. a firewall, para redes pequeñas o medianas, aunque funciona
también en redes con gran tráfico: http://www.ipcop.org/
MODULO 9.
MODULO 10. • OPNsense: se basó mucho en m0n0wall y pfSense. Está

basada en BSD, usa PF y tiene una gran cantidad de apli-
MODULO 11. caciones además de cortafuegos: https://opnsense.org/
MODULO 12.
Curso • IPFire: al igual que las anteriores, es muy fácil de manejar.
Introductorio Se basa en Linux y permite también el manejo de VPN, so-
de Seguridad bre lo cual se hablará más adelante: https://www.ipfire.org/
Autor:
Ernesto Pérez Estévez Hay mas distribuciones dedicadas a cortafuegos, pero esta
breve muestra les permitirá analizar y buscar alternativas.
MODULO 1. En suma, muchas personas piensan que al implementar

MODULO 2.
un firewall ya tienen garantizada la seguridad de su orga-
nización. Sin embargo, debe mencionarse que las diversas
MODULO 3. medidas de seguridad física, que se abordaron anterior-
mente, así como las de seguridad lógica, que se analizarán
MODULO 4. en este capítulo, dan cuenta de que un firewall, a pesar
Seguridad lógica de ser extremadamente importante, no es todo en lo que
refiere a la seguridad de las redes.
MODULO 5.
MODULO 6. Sistemas de detección de intrusos
MODULO 7. Su nombre en inglés es Intrusion Detection Systems (IDS).

Fueron concebidos para detectar actividad inusual en el
MODULO 8. funcionamiento de equipos y redes.
MODULO 9.
Los IDS contienen una base de datos que almacena dece-
MODULO 10. nas o miles de «firmas» o cadenas que permiten comparar
paquetes de red o archivos del sistema con la finalidad de
MODULO 11. determinar si ese archivo o paquete activa una de estas fir-
mas. Si lo hace, se estará ante una potencial amenaza para
MODULO 12.
equipos o redes y se deberán tomar acciones al respecto.
Curso Se puede tomar, por ejemplo, un antivirus como una forma
Introductorio de IDS orientada únicamente a detectar programas que
de Seguridad pretendan infectar archivos ejecutables. Los antivirus, de
la misma forma, tienen firmas cuya base de datos se ac-
Autor:
Ernesto Pérez Estévez tualiza frecuentemente con el objetivo de poder mejorar la
detección de nuevas amenazas.
MODULO 1. Los IDS no solamente buscan «firmas» en nuestros archi-

MODULO 2.
vos o paquetes de red, sino que además pueden estar pre-
programados para buscar comportamientos anómalos en
MODULO 3. los equipos o en la red, como por ejemplo intentos de escri-
bir en lugares no autorizados o fuera de lo común, o tráficos
MODULO 4. de red que superen el valor medio usual de los equipos.
Seguridad lógica
Existen IDS para monitorear diversos aspectos de nues-
MODULO 5. tros sistemas, mencionemos varios:
MODULO 6.
Host Intrusion Detection System (HIDS): es un IDS con-
MODULO 7. cebido para monitorear el buen comportamiento de un
equipo. Un HIDS trata de detectar cambios inusuales en un
MODULO 8. sistema, a través del monitoreo (y de informes al adminis-
trador) de comportamientos anómalos en él. Por ejemplo:
MODULO 9.
MODULO 10. · Se monitorean modificaciones ocurridas en el sistema

de archivo: que un archivo o grupo de archivos cambien
MODULO 11. de un día para otro y no lo habían hecho antes puede ser
sospechoso y monitorearlos permitiría analizar el porqué
MODULO 12.
de estos cambios.
Curso · Se monitorea el tráfico de red del equipo: si existe un
3
Ver en: https://ossec.net/
Introductorio comportamiento anómalo, como que repentinamente un

de Seguridad equipo comience a enviar grandes lotes de información
a Internet, el monitoreo permitirá actuar para conocer el
Autor:
Ernesto Pérez Estévez porqué de este comportamiento.
· Se monitorean los logs del sistema en busca de notifica-

MODULO 1. ciones fuera de lo común que permitan determinar si hay
MODULO 2.
intentos de ingresar al sistema.
MODULO 3. · Se monitorean los módulos que el kernel del sistema ope-

rativo corre en busca de señales de compromiso que pue-
MODULO 4. dan indicar que se han insertado módulos inusuales en él.
Seguridad lógica
Hay variedad de IDS que pueden tener las redes, entre los
MODULO 5. cuales uno de los más populares es el OSSEC (Open Source
MODULO 6. HIDS Security) 3. Sin embargo, uno muy sencillo de utilizar
en sistemas Linux es el AIDE, que, aunque no tenga todas
MODULO 7. las características de un HIDS, es útil para monitorear mo-
dificaciones en el sistema de archivos.
MODULO 8.
Network Intrusion Detection Systems (NIDS): son los
MODULO 9.
más conocidos de los IDS. De hecho, en la actualidad,
MODULO 10. cuando se habla de IDS, normalmente se está haciendo
referencia a los NIDS.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor: Usuario normal
MODULO 1.
MODULO 2. NIDS Servidor Web
MODULO 3.
MODULO 4.
Seguridad lógica Intruso
BD de Amenazas
MODULO 5.
MODULO 6.
MODULO 7. El objetivo de un NIDS es encontrar comportamientos

anómalos en el tráfico de una red e informar de este tipo
MODULO 8. de comportamientos al administrador.
MODULO 9.
Si se fuera a instalar un IDS en una red, el lugar más ade-
MODULO 10. cuado sería aquel por el que se vieran obligados a pasar
todos los paquetes de la red. Debe tenerse en cuenta que
MODULO 11. en ese lugar normalmente hay un cortafuegos, por lo que
muchas veces se observa que los sistemas de firewall ya
MODULO 12.
incluyen un IDS.
Curso Existe un par de NIDS muy conocidos en la actualidad: el
4
https://www.snort.org
Introductorio SNORT y el Suricata. Este último parece ser una varian-

de Seguridad te mejorada y libre del SNORT, pero ambos desarrollan
prácticamente las mismas acciones con algunas diferen-
Autor:
Ernesto Pérez Estévez cias técnicas.
El SNORT puede obtenerse desde su sitio web 4, al igual

MODULO 1. que la base de datos. Ambos mantienen y cobran una sus-
MODULO 2.
cripción para poder acceder a su base de datos de firmas
de detección, que es muy completa y robusta.
MODULO 3.
Características de un IDS
MODULO 4.
Seguridad lógica Un IDS debe poseer ciertas características para ser de
ayuda en una red:
MODULO 5.
MODULO 6. • Debe operar sin necesidad de que el usuario o el admi-

nistrador interactúen con él. Esto es: debe ser un sistema
MODULO 7. que trabaje autónomamente en un equipo y salir a la luz
solo cuando encuentre problemas de seguridad que el
MODULO 8. usuario deba conocer.
MODULO 9.
• No debe consumir alta cantidad de recursos del sistema,
MODULO 10. porque, de lo contrario, el usuario buscará formas de apa-
garlo para mejorar el funcionamiento de su sistema.
MODULO 11.
• Debe mantener su funcionamiento y su base de datos
MODULO 12.
consistente luego de un reinicio del equipo.
Curso • El sistema debe monitorear continuamente su base de
Introductorio datos y detectar si ha sido alterada.
de Seguridad
• Debe poder incorporar cambios normales ocurridos en
Autor:
Ernesto Pérez Estévez un sistema: si un nuevo sistema se instala o si un nuevo
tipo de tráfico comienza a circular por la red, los IDS deben
definir que son sistemas o tráfico normal y debe poder ce-
MODULO 1. sar el envío de alertas de seguridad tan pronto se le indi-
MODULO 2.
que que se trata de algo usual o normal en el sistema.
MODULO 3. Los IDS normalmente detectan actividad inusual. La D de

IDS viene de detection, a pesar de lo cual existen IDS que
MODULO 4. no solamente detectan sino que bloquean la actividad
Seguridad lógica maliciosa. Por ejemplo, en los sistemas Microsoft Windows
hay aplicaciones antivirus o antimalware que, al inten-
MODULO 5. tar instalar un programa, abren una ventana que advierte
MODULO 6. que hay un intento de acceder a un determinado puerto
en la red o de instalar una potencial aplicación y que, si el
MODULO 7. usuario lo considera normal puede permitirlo y, si no, pue-
de bloquear el intento. En suma, este mecanismo es, fun-
MODULO 8. damentalmente, un IDS que previene, que bloquea, estos
intentos, y que se conoce como Intrusion Prevention Sys-
MODULO 9.
tems (IPS). SNORT y Suricata, por ejemplo, pueden actuar
MODULO 10. tanto en modo IDS como IPS.
MODULO 11.
MODULO 12.
Curso Redes privadas virtuales
Introductorio
de Seguridad Se las conoce en inglés como Virtual Private Networks (VPN).
Son al momento una excelente forma de garantizar la con-
Autor:
Ernesto Pérez Estévez fidencialidad de la información que viaja a través de un am-
biente que no se controla y que puede no ser confiable.
MODULO 1. A través de las VPN se busca establecer un canal de co-

MODULO 2.
municación seguro, cifrado, entre dos puntos. Las VPN
tienen las siguientes características:
MODULO 3.
• Usan criptografía (cifrado) para transferir la información
MODULO 4. a través de ella. De esta forma se intenta garantizar la C de
Seguridad lógica la tríada CIA: confidencialidad. La criptografía es uno de los
elementos principales de una VPN: poder comunicar dos
MODULO 5. puntos y que la información viaje de forma confidencial.
MODULO 6.
• Su implantación no debe disminuir el desempeño de un
MODULO 7. equipo ni de una red. Si así fuera, los usuarios se negarían a
usar VPN y no serían ya una ventaja.
MODULO 8.
• Tendrán tanto ancho de banda como ancho de banda ten-
MODULO 9.
ga el canal entre ambos puntos. No debe esperarse que
MODULO 10. porque se pueda acceder a información de forma remota se
vaya a mejorar la velocidad del acceso. Simplemente, la VPN
MODULO 11. será tan rápida como rápidos sean los canales que comuni-
can ambos puntos.
MODULO 12.
Curso Tipos de VPN
Introductorio
de Seguridad Normalmente se clasifica a las VPN en dos tipos, uno de
los cuales tiene un caso especial y es por ello que algunas
Autor:
Ernesto Pérez Estévez personas entienden que hay tres tipos de VPN. Estos tipos
se describen a continuación.
MODULO 1. VPN de punto a punto

MODULO 2.
También conocidas como VPN de host a host, o de PC a
MODULO 3. PC, estas VPN son las más sencillas de entender, pues se
componen de dos equipos.
MODULO 4.
Seguridad lógica Supongamos que hay dos equipos —A y B—, cada uno con
sus direcciones IP como se ve en la siguiente imagen:
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
A B
MODULO 9. 20.30.40.50 50.60.70.80
MODULO 10.
MODULO 11.
MODULO 12.
Curso Cualquier comunicación que envíe A desde su IP
Introductorio 20.30.40.50 hacia la IP 50.60.70.80 de B viajará por Inter-
de Seguridad net como cualquier paquete IP: en texto, claro. La IP no
encripta la información. Las comunicaciones encriptadas
Autor:
Ernesto Pérez Estévez pueden ocurrir encima del protocolo IP, en las capas su-
periores del modelo OSI. Por ejemplo si usan HTTPS, es el
servidor web en la capa de presentación o aplicación del
MODULO 1. modelo OSI que encriptarán, pero eso es porque se usó
MODULO 2.
HTTPS. Si no se usa HTTPS sino cualquier otro protocolo,
la información puede haber viajado sin ser encriptada.
MODULO 3.
Si hubiera, por ejemplo, un intruso en medio de la comu-
MODULO 4. nicación, interfiriendo en la conversación, como en la si-
Seguridad lógica guiente imagen, este intruso podrá observar, o escuchar,
todo lo que circula a través de la red y podrá obtener infor-
MODULO 5. mación que seguramente no es deseable que sea pública.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
A B
MODULO 10. 20.30.40.50 50.60.70.80
MODULO 11.
MODULO 12.
Intruso
Curso En este caso, una VPN establece una especie de canal vir-
Introductorio tual (la línea roja discontinua de la siguiente imagen). Este
canal no es real, sino que es virtual (por ello la V de VPN).
de Seguridad No hay que pagar por un enlace adicional, sino que este
Autor: canal implica que antes de enviar la información a través
Ernesto Pérez Estévez del canal de Internet, la información se encripta y se envía
por el mismo canal:
MODULO 1.
10.8.0.1 10.8.0.2
MODULO 2.
MODULO 3.
MODULO 4.
A B
Seguridad lógica 20.30.40.50 50.60.70.80
MODULO 5.
MODULO 6.
Intruso
MODULO 7.
MODULO 8.
Para ello se usa un grupo de IP dedicadas solamente a la
MODULO 9. VPN, indicadas en rojo sobre cada equipo en la imagen.
MODULO 10.
Ahora, si A envía un paquete a la IP 10.8.0.2 de B, antes
MODULO 11. de salir de A este paquete es encriptado y luego se envía
a B. Al llegar a B, este lo descifrará y hará un uso normal
MODULO 12. del paquete cifrado.
Si hubiera un intruso escuchando (como en la imagen),
Curso al no tener las claves para cifrar/descifrar la información
Introductorio encriptada, no podrá conocer los contenidos del paquete
de Seguridad y se mantendría así la confidencialidad.
Autor:
Ernesto Pérez Estévez Un detalle que es necesario acotar es que si A envía un
paquete a la IP 50.60.70.80 de B, este paquete no será
cifrado. Solamente se cifran/descifran los paquetes que
MODULO 1.
viajen a través de la red de la VPN (10.8.0.1 y 10.8.0.2 en
MODULO 2. este caso). En las VPN de host a host como en este ejem-
plo se debe tener mucho cuidado sobre a qué IP se envía
MODULO 3. el paquete, pues si es a la IP asignada a la red del equipo,
no se encripta la información.
MODULO 4.
Seguridad lógica
VPN de host a red
MODULO 5.
Conocida también como RoadWarrior (guerrero de la ca-
MODULO 6. rretera), es una de las VPN más usadas y permite conec-
tar a un equipo de forma remota a una red.
MODULO 7.
Imaginemos que necesitamos salir a trabajar fuera de la red
MODULO 8.
organizacional: en otra ciudad, en otro país, o en nuestra
MODULO 9. casa. ¿Hay una forma de que nuestro equipo remoto pueda
conectarse desde otro país a los recursos de la red? ¿Es po-
MODULO 10. sible acceder a la base de datos interna de la empresa, a sus
impresoras o a la red de telefonía interna de la empresa? Con
MODULO 11.
una VPN RoadWarrior se puede, ya que está concebida para
MODULO 12. que un equipo que esté fuera (el guerrero de la carretera)
pueda acceder de forma segura a recursos de una red local.
Nuestra red LAN
Curso 192.168.1.0/24
Introductorio
de Seguridad
Autor:
Impresora
192.168.1.5
MODULO 1. Intranet
192.168.1.3
MODULO 2.
MODULO 3.
RoadWarrior: Servidor de VPN
MODULO 4. Laptop nuestra en nuestra organización
Seguridad lógica en un aeropuerto 50.60.70.80
en otro país
20.30.40.50
MODULO 5.
BD
MODULO 6. 192.168.1.4
MODULO 7.
MODULO 8. Si alguien de una organización viaja y está en un aero-

MODULO 9. puerto haciendo escala en otro país, por ejemplo, pue-
de necesitar acceder a la Intranet de su organización
MODULO 10. (192.168.1.3). De acuerdo a un esquema clásico de red esto
no se podría hacer con facilidad, o implicaría que el firewall
MODULO 11. hiciera DNAT y expusiera al servidor de la Intranet a Inter-
net. ¿Tendrá este servidor de Intranet todas las seguri-
MODULO 12.
dades necesarias para que se exponga su información a
Curso Internet? Lo más seguro es que no las tenga. Entonces, se
Introductorio puede configurar una VPN y asignarle al RoadWarrior una
de Seguridad IP de la VPN, la 10.8.0.5 y al servidor la 10.8.0.4 como en la
siguiente imagen:
Autor:
Ernesto Pérez Estévez Nuestra red LAN
192.168.1.0/24
MODULO 1.
MODULO 2.
MODULO 3. Impresora
192.168.1.5
MODULO 4. 10.8.0.5 10.8.0.4
Intranet
Seguridad lógica 192.168.1.3
MODULO 5.
MODULO 6. RoadWarrior: Servidor de VPN

Laptop nuestra en nuestra organización
MODULO 7. en un aeropuerto 50.60.70.80
en otro país
20.30.40.50
MODULO 8.
MODULO 9. BD
192.168.1.4
MODULO 10.
MODULO 11. Lo marcado en rojo se parece al caso anterior de host a

host. El RoadWarrior tendrá una IP para su VPN: 10.8.0.5 y
MODULO 12. el servidor tendrá en su lado una IP de la VPN, igualmente,
Curso la 10.8.0.4. Esto permitirá inicialmente que si el RoadWarrior
Introductorio envía un paquete a 10.8.0.4 del servidor, este paquete viaje
de Seguridad encriptado a través de Internet.
Autor:
Ernesto Pérez Estévez Pero el usuario no quiere acceder al servidor (10.8.0.4)
sino al equipo de Intranet (192.168.1.3). Para ello el Road-
warrior hará lo siguiente:
MODULO 1.
MODULO 2.
Nuestra red LAN
192.168.1.0/24
MODULO 3.
MODULO 4.
Seguridad lógica
MODULO 5. Ruta Estática en RoadWarrior Impresora

192.168.1.0/24 vía 10.8.0.4 192.168.1.5
MODULO 6. 10.8.0.5 10.8.0.4
Intranet
192.168.1.3
MODULO 7.
MODULO 8.
RoadWarrior: Servidor de VPN
MODULO 9. Laptop nuestra en nuestra organización
en un aeropuerto 50.60.70.80
MODULO 10. en otro país
20.30.40.50
MODULO 11.
BD
MODULO 12. 192.168.1.4
Curso Se le agrega así al equipo RoadWarrior una ruta estática.
La ruta estática le indica al RoadWarrior que, para llegar
Introductorio a la red LAN de la empresa (la 192.168.1.0/24), debe en-
de Seguridad viar los paquetes a la IP de la VPN del servidor: 10.8.0.4.
Autor: Como todos esos paquetes se enviarán a la red de la VPN
Ernesto Pérez Estévez (10.8.0.4), viajarán encriptados hasta el servidor. El servi-
dor los desencriptará y entregará a su destino, que en el
MODULO 1. ejemplo es 192.168.1.3: el servidor de Intranet.
MODULO 2. Es muy cómodo poder conectarse desde cualquier lugar

externo a nuestra red, de forma confidencial, a equipos
MODULO 3.
dentro de una red LAN.
MODULO 4.
Seguridad lógica Caso especial: red a red
MODULO 5. Este es un caso especial que se desprende del anterior.

Anteriormente teníamos un solo equipo fuera de la red,
MODULO 6. pero en este caso la matriz de la organización está en un
lugar de la ciudad —o del país o del mundo— y su sucursal
MODULO 7.
en otro. ¿Cómo se puede hacer para que las redes de la
MODULO 8. casa matriz y la sucursal puedan verse entre sí?
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
Nuestra red LAN
de Seguridad 192.168.1.0/24
Autor:
Ernesto Pérez Estévez Nuestra red LAN
192.168.2.0/24
MODULO 1.
Impresora
MODULO 2. 192.168.1.5
Intranet
MODULO 3. BD 192.168.1.3
192.168.2.9
MODULO 4. Impresora
Seguridad lógica 192.168.2.7
MODULO 5.
MODULO 6. RoadWarrior: Servidor de VPN

20.30.40.50
MODULO 8.
Intranet
MODULO 9.
192.168.2.4
BD
MODULO 10. 192.168.1.4
MODULO 11.
MODULO 12.
Curso Como se puede ver en la imagen, la red LAN de la matriz
Introductorio es la 192.168.1.0/24 y todos sus equipos comienzan con
de Seguridad esa IP. La red LAN de la sucursal es la 192.168.2.0/24 y to-
dos sus equipos tienen esa red. Es importante notar que la
Autor:
Ernesto Pérez Estévez numeración de ambas redes debe ser diferente: en la ma-
triz 192.168.1.0/24 y en la sucursal 192.168.2.0/24
MODULO 1. Lo que se quiere lograr es que el servidor de Intranet de

MODULO 2.
la sucursal (192.168.2.4) pueda conectarse a la base de
datos de la casa matriz (192.168.1.4), pero están en redes
MODULO 3. diferentes, no se pueden conectar directamente, sino que
tienen que atravesar Internet para llegar de un lugar a
MODULO 4. otro. Si la comunicación no está encriptada, los datos que
Seguridad lógica se transmitan podrían ser escuchados.
MODULO 5. En la VPN red a red se hace muy similar a la RoadWarrior.
MODULO 6. Lo primero que se hace es asignar una IP de la VPN a am-
bos —al servidor de la sucursal y al servidor de la matriz—,
MODULO 7. como se ve en la imagen:
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Nuestra red LAN Nuestra red LAN
Introductorio 192.168.2.0/24 192.168.1.0/24
de Seguridad
Autor:
Impresora
BD 192.168.1.5
MODULO 1. 192.168.2.9
Intranet
MODULO 2. Impresora
10.8.0.5 10.8.0.4
192.168.1.3
192.168.2.7
MODULO 3.
MODULO 4.
Seguridad lógica RoadWarrior: Servidor de VPN
20.30.40.50
MODULO 6. Intranet BD
192.168.2.4 192.168.1.4
MODULO 7.
MODULO 8.
MODULO 9. Como este es un caso especial de RoadWarrior, lo que se

haga será muy similar a este. Así planteado, como en la
MODULO 10. imagen, todo lo que circule entre 10.8.0.5 y 10.8.0.4 viaja-
rá cifrado.
MODULO 11.
¿Cómo se puede hacer para que desde la casa matriz
MODULO 12.
se pueda acceder a la red 192.168.2.0/24 de la sucursal
Curso y para que desde la sucursal se pueda acceder a la red
5
https://www.stunnel.org/
index.html
Introductorio 192.168.1.0/24 de la matriz?
de Seguridad 6
La solución es similar a la del RoadWarrior, pero ahora en https://openvpn.net
Autor:
Ernesto Pérez Estévez ambos servidores de VPN se agregarán rutas estáticas,
como se puede ver en la siguiente imagen:
MODULO 1. Como se puede observar, se agregó al servidor de la sucursal

MODULO 2.
una ruta estática para que pueda llegar a la red de la matriz,
y la novedad con respecto al caso anterior es que se agrega
MODULO 3. una ruta estática en el servidor de la casa matriz para que
sepa que para llegar a la red de la sucursal (192.168.2.0/24)
MODULO 4. debe hacerlo a través de la IP de la VPN 10.8.0.5. Así, la co-
Seguridad lógica municación de una red a la otra irá encriptada.
MODULO 5. Esta última forma es muy útil para hacer uso del canal
MODULO 6. público de Internet y al mismo tiempo enviar información
confidencial entre dos redes de una organización.
MODULO 7.
Herramientas que proveen VPN
MODULO 8.
¿Con qué herramientas se pueden construir VPN en una
MODULO 9.
organización? Existen muchas variantes de las cuales se
MODULO 10. describen algunas a continuación.
MODULO 11. Son muy populares herramientas de VPN como IPSec,

stunnel 5 y, sobre ellas, OpenVPN 6.
MODULO 12.
Curso IPSec es un protocolo que se creó inicialmente para IPv6,
Introductorio pero que desde hace muchos años funciona perfecta-
de Seguridad mente en redes IPv4. Es muy seguro y corre sobre mu-
chas plataformas.
Autor:
Stunnel es una VPN que hace uso de los mismos protoco-
los y sistemas que se usan para conexiones con HTTPS.
MODULO 1. De hecho, establece la comunicación como si fuera una
MODULO 2.
conexión de HTTPS de un navegador.
MODULO 3. OpenVPN es al momento un buen sistema para realizar

VPN en redes. Sus ventajas son que es multiplataforma:
MODULO 4. corre sobre cualquier plataforma conocida, y que se pue-
Seguridad lógica de basar en protocolos y puertos ya conocidos para es-
tablecer conexiones. Es decir: es muy difícil de bloquear
MODULO 5. porque no tiene un puerto específico y único para trabajar.
MODULO 6. Puede funcionar tanto detrás de un proxy como usando
TCP o UDP. Puede instalarse en el puerto sugerido 1194/
MODULO 7. UDP o correr en cualquier otro puerto que no esté blo-
queado, como el 443/TCP o el 80/TCP, etcétera.
MODULO 8.
Autenticación, autorización y auditoría
MODULO 9.
MODULO 10. Se vieron hasta aquí diversas herramientas que se pueden

tener en una red o en los equipos para evitar invasiones no
MODULO 11. autorizadas. Ahora nos centraremos en lo que pueden ha-
cer las aplicaciones expuestas a la red para permitir o no
MODULO 12.
que se visualicen los datos contenidos en sus sistemas.
Curso No podemos permitir que toda la responsabilidad por la
Introductorio seguridad de un sistema recaiga en las medidas que se
de Seguridad han estudiado hasta ahora en este capítulo, ya que se tra-
ta de medidas generales de red que buscan filtrar qué IP
Autor:
Ernesto Pérez Estévez pueden acceder a qué puertos de la red. Permiten detec-
tar intentos de actividad maliciosa conocida con anteriori-
dad (las firmas de los IDS, por ejemplo) o conectar de for-
MODULO 1. ma confidencial un equipo fuera de una red con equipos
MODULO 2.
de la Intranet (como la VPN RoadWarrior).
MODULO 3. Si bien estas medidas son correctas, nunca se debe re-

caer únicamente en ellas. Recordemos que la seguridad
MODULO 4. se despliega en capas, y que mientras más capas haya,
Seguridad lógica más desanimado se sentirá un atacante.
MODULO 5. Toda aplicación que brinde datos a usuarios debe validar
MODULO 6. al usuario que pretenda acceder a ella (autenticación),
debe mostrarles solamente la información que estén au-
MODULO 7. torizados a ver dentro de una aplicación (autorización) y
debe mantener trazas, registros, que permitan conocer lo
MODULO 8. que hayan hecho estos usuarios en el pasado (auditoría).
MODULO 9.
Autenticación
MODULO 10.
La autenticación es la forma que tienen los sistemas de
MODULO 11. validar que quien quiera acceder a un sistema sea quien
dice ser. No es posible una autenticación a partir de un
MODULO 12.
solo dato, como escribir el nombre de usuario en el campo
Curso asignado para acceder al sistema, por ejemplo: «gerente»,
Introductorio y que el sistema lo deje entrar inmediatamente.
de Seguridad
Cualquiera puede escribir «gerente» en su nombre de
Autor:
Ernesto Pérez Estévez usuario y por ello esa autenticación no basta. Desde hace
muchos años, además de escribir el nombre de usuario, se
requiere validar que se conoce algo propio de este usuario.
MODULO 1.
MODULO 2.
Lo mismo ocurre con una tarjeta bancaria: si tenemos una
tarjeta de débito de un banco, no podemos llegar y sim-
MODULO 3. plemente introducir la tarjeta y sacar dinero. De ser así,
nos podrían robar la tarjeta, introducirla en un cajero y
MODULO 4. retirar todo nuestro dinero. Y lo mismo ocurre con las tar-
Seguridad lógica jetas de crédito.
MODULO 5. ¿Cómo puede probar un usuario que es quien dice ser?
MODULO 6. Existen tres métodos de prueba para ello:
MODULO 7. 1. Lo que el usuario sabe: se puede demostrar que se co-

noce algo de un usuario, como la contraseña de acceso a
MODULO 8. una cuenta de Internet, o el PIN que se ingresa para usar
una tarjeta. Incluso, aunque es una solución muy poco
MODULO 9.
recomendada, se pueden formular preguntas de com-
MODULO 10. probación como: ¿En qué escuela estudió la Primaria? Se
consideran poco recomendables porque normalmente es
MODULO 11. información que alguien cercano puede conocer.
MODULO 12.
Curso 2. Lo que el usuario posee: se puede demostrar que se
Introductorio posee algo, lo que permitirá a un sistema tener cierta
de Seguridad certeza de que el usuario es quien dice ser. Por ejemplo,
una llave, una típica llave. Es posesión del usuario, que
Autor:
Ernesto Pérez Estévez puede demostrar con ella que tiene acceso a un lugar. En
el mundo digital podría sustituirse la llave por un token,
una llave electrónica, que se inserte en una computadora
MODULO 1. y demuestre la identidad del usuario. Se podría también
MODULO 2.
comprobar la identidad del usuario enviándole un código a
su celular: si se trata de quien dice ser, debería poder es-
MODULO 3. cribir ese código en el sistema de acceso. Facebook, Goo-
gle y muchos otros utilizan este medio para cerciorarse de
MODULO 4. la identidad de quienes piden acceso a sus aplicaciones.
Seguridad lógica
Existen varios proveedores de tokens U2F para esto. Entre
MODULO 5. ellos, https://www.yubico.com/products/yubikey-hardware/
MODULO 6.
3. Lo que el usuario es: implica usar características físicas
MODULO 7. del ususario para permitirle el acceso. Actualmente, se
usan los lectores de huella: si la huella del usuario coinci-
MODULO 8. de con la que está almacenada en el sistema, se le otor-
gará acceso. Esta no es la única forma, ya que hay otros
MODULO 9.
tipos de lecturas biométricas, como los rasgos faciales, el
MODULO 10. iris, o incluso análisis de sangre, para validar característi-
cas propias de un usuario. En diversos bancos y sistemas
MODULO 11. se está comenzando a utilizar la lectura de la forma del
rostro de las personas para autorizar accesos.
MODULO 12.
Curso Sin embargo, los métodos descriptos pueden ser vulnera-
Introductorio dos con facilidad, por ejemplo:
de Seguridad
• Clave: alguien puede ver cuando un usuario digita su cla-
Autor:
Ernesto Pérez Estévez ve o su PIN, o incluso se puede descubrir.
• Mensaje por celular: se puede clonar el chip de un celular

MODULO 1. y obtener la clave que se envía para la autenticación.
MODULO 2.
• Características físicas: se puede usar una fotografía
MODULO 3. del usuario y presentarla frente al sistema de detección
biométrica.
MODULO 4.
Seguridad lógica En consecuencia, lo que se sugiere actualmente se llama
autenticación en varias etapas y consiste en utilizar no
MODULO 5. solo una de las tres formas antes descritas, sino una com-
MODULO 6. binación de al menos dos de ellas. Si se entra, por ejemplo,
a Facebook o a Google (incluso varios bancos solicitan que
MODULO 7. uno autentique en dos etapas), estas aplicaciones soli-
citan que el usuario demuestre que conoce y que posee
MODULO 8. algo, o que conoce y es algo, con la finalidad de permitirle
el acceso.
MODULO 9.
MODULO 10. Por ejemplo:
MODULO 11. • Facebook, Google (y muchos otros sitios, como los de los
bancos): luego de escribir el nombre de usuario se coloca
MODULO 12.
la contraseña (esto es lo que el usuario conoce). Estos si-
tios pueden solicitar entonces que el usuarion escriba un
Curso código de varias cifras que le haya sido previamente en-
Introductorio viado al celular o al correo electrónico registrado (esto es
de Seguridad lo que el usuarion posee).
Autor:
Ernesto Pérez Estévez • Algunos bancos: luego de escribir el nombre de usuario
se coloca la contraseña (esto es lo que el usuario cono-
ce). Estos sitios piden luego acercar el rostro a la cámara
MODULO 1. del teléfono o de la computadora para determinar que los
MODULO 2.
rasgos del usuario coinciden con los que registró en el
pasado. Para evitar que se utilice una foto y que no sea el
MODULO 3. propio usuario quien se acerca, se solicita también que la
persona pestañee.
MODULO 4.
Seguridad lógica Se sugiere que siempre que sea posible se activen los
métodos de autenticación en dos etapas, pues dificultan
MODULO 5. al atacante acceder a los sistemas, ya que no solamente
MODULO 6. debe conocer o romper contraseñas, sino que además de-
berá validar mediante un segundo método su identidad.
MODULO 7.
Autorización
MODULO 8.
La autenticación por parte de un usuario no significa que
MODULO 9.
tenga acceso a todos los datos de un sistema, ya que nor-
MODULO 10. malmente los sistemas dividen a los usuarios en grupos.
Siempre deben existir al menos dos grupos:
MODULO 11.
· Los usuarios administradores: tienen derecho a crear nue-
MODULO 12.
vos usuarios, a modificar sus datos, a eliminarlos y a cambiar
Curso sus permisos sobre las acciones que pueden desarrollar con
Introductorio el sistema y sobre a qué partes del sistema pueden acceder.
de Seguridad
· El resto de los usuarios: estos no son administradores,
Autor:
Ernesto Pérez Estévez pero pueden realizar un conjunto de acciones predefini-
das por los administradores.
MODULO 1. Lógicamente, mientras más grande sea el sistema puede

MODULO 2.
existir una mayor cantidad de grupos de usuarios. Además
del grupo del «resto de usuarios» se pueden determinar
MODULO 3. grupos para secciones de una compañía, como: Ventas,
Gerencia, Marketing, Comunicación, Departamento Técni-
MODULO 4. co, Transporte, etcétera.
Seguridad lógica
Como se puede ver, a través de autorizaciones se logra
MODULO 5. definir, limitar, de forma mucho más clara lo que un usua-
MODULO 6. rio puede hacer en un sistema. Es importante que siempre
se dividan los usuarios con diversos niveles de acceso, de
MODULO 7. autorización, para que en caso de que un atacante logre
aprovechar e ingresar como usuario a un sistema, no pue-
MODULO 8. da hacerse del control total de este.
MODULO 9.
Auditoría
MODULO 10.
Una herramienta poco explotada pero muy necesaria es la
MODULO 11. capacidad que tiene que tener un sistema para permitir se
le realicen auditorías. Todo sistema informático debe te-
MODULO 12.
ner trazabilidad, o sea, capacidad de que se audite lo que
Curso ocurrió en él, cuándo ocurrió, desde dónde ocurrió y quién
Introductorio hizo que ocurriera.
de Seguridad
Una forma clave de conocimiento acerca de los sistemas
Autor:
Ernesto Pérez Estévez es que cuando ocurra un problema se pueda acceder a los
logs y revisarlos.
MODULO 1. Lamentablemente, el personal de sistema opta, gene-

MODULO 2.
ralmente, ante un problema, por reinstalar el sistema sin
revisar los logs para determinar por qué ocurrió algo. Por
MODULO 3. último, debe tenerse presente que si no se encuentra la
causa de un problema, no importa que se reinstale el sis-
MODULO 4. tema, que se apague o encienda un equipo: si la causa no
Seguridad lógica se encontró, lo más posible es que el problema se repita.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio Conceptos
de Seguridad
Autor:
de seguridad
· Errores comunes
· Amenazas frecuentes
MODULO 1. · Prevención de amenazas
MODULO 2. · Tipos de intrusos
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
5.
Actualmente la seguridad es algo muy serio y cualquiera
MODULO 1.
que navegue en Internet o use medios informáticos debe
estar muy consciente de esta, ya que ya no estamos en la
MODULO 2. época en que Internet era la «aldea global» —y por aldea
me refiero a ese lugar donde todos se conocen y se apo-
MODULO 3. yan entre sí—. Ahora posiblemente Internet se haya con-
vertido en un «oeste global» donde impera la ley del más
MODULO 4.
fuerte y las leyes no existen, no son respetadas o son tan
MODULO 5. anticuadas que no aplican en su totalidad.
Conceptos
de seguridad Exponer nuestros equipos a Internet sin estar actualiza-
MODULO 6. dos, sin un firewall o sin un sistema antivirus es en estos
momentos algo ilógico, impensable.
MODULO 7.
Junto con la información que buscamos en Internet, cir-
MODULO 8. cula una serie de amenazas y personas maliciosas con el
MODULO 9.
objetivo de robar información o, al menos, dejar nuestros
sistemas sin funcionar.
MODULO 10.
No por ello debemos dejar de usar Internet. Intentar vivir sin
MODULO 11. utilizarla es bastante difícil en la actualidad, pues todo o casi
todo se orienta a hacer uso de Internet para ofrecer o recibir
MODULO 12.
servicios. No solo debemos aprender de los errores de otros
Curso y adquirir prácticas que permitan evitar ataques, sino que
Introductorio también debemos ser proactivos, como por ejemplo al
de Seguridad implementar prácticas que nos permitan percibir cuándo
vamos a ser sometidos a algún tipo de ataque para dete-
Autor:
Ernesto Pérez Estévez nerlo antes.
Actualmente, no solo tenemos una Internet con mayor

MODULO 1.
ancho de banda que hace quince o veinte años, sino que
MODULO 2. tenemos una cantidad mucho mayor de usuarios que
hace dos décadas. Tener conexiones a Internet en el ce-
MODULO 3. lular era algo impensable hace veinte años y hoy es posi-
ble, y en muchos lugares las personas ya no se conectan
MODULO 4.
a Internet en un lugar fijo (casa, empresa, cybercafé), sino
MODULO 5. que están permanentemente conectadas desde sus dis-
Conceptos positivos móviles.
de seguridad
MODULO 6. 1. Errores comunes

MODULO 7. No aprender de nuestros errores es estar condenados a vol-
ver a cometerlos. Por ello es importante que conozcamos lo
MODULO 8. ocurrido en el pasado para no repetir los mismos errores.
MODULO 9.
Los errores comunes de hoy son los mismos errores de
MODULO 10. hace varios años, con muy pocas diferencias y con muy
pocas mejoras: robos de clave, claves por defecto, equi-
MODULO 11. pos desactualizados, etcétera.
MODULO 12.
Curso Conectar sistemas a Internet sin una adecuada etapa
Introductorio de pruebas, ya sean equipos recién comprados o siste-
de Seguridad mas hechos por nosotros o por terceros, es muy común
que se los eche a andar tan pronto está funcionando,
Autor:
Ernesto Pérez Estévez muchas veces por presión de los directivos de las empre-
sas, que buscan maximizar la productividad de un equipo
recién adquirido. Esto trae consigo problemas como sis-
MODULO 1.
temas mal configurados o probados inadecuadamente
MODULO 2. contra fallas, usuarios con claves débiles, así como des-
conocimiento del correcto funcionamiento de los equipos,
MODULO 3. que trae como consecuencia la indebida exposición de
datos a personas no autorizadas o el robo de información.
MODULO 4.
MODULO 5. El uso de contraseñas débiles es algo común en nues-

Conceptos tros días, como lo ha sido históricamente. Es muy normal
de seguridad ver usuarios que tienen de contraseña el mismo nombre
MODULO 6. de usuario o el nombre del usuario con algunos números
agregados al final. Este es uno de los vectores que cau-
MODULO 7. san mayor cantidad de ataques o usos inadecuados del
sistema en la actualidad. No debemos dejarnos conven-
MODULO 8. cer por los usuarios o por la organización de que así como
están las claves están bien y que nadie se molestará en
MODULO 9.
atacarnos. Esta negligencia permite que los ataques no
MODULO 10. se hagan esperar.
MODULO 11. Tener los sistemas desactualizados es otro de los proble-

mas más graves. Muchas personas incluso tienen temor
MODULO 12.
o recelo de actualizar su sistema porque piensan que al
Curso actualizarlo dejará de funcionar como antes. No solamen-
Introductorio te es importante actualizar, sino que además es imperio-
de Seguridad so que todo sistema o equipamiento que se adquiera o
instale en una organización exprese claramente durante
Autor:
Ernesto Pérez Estévez cuánto tiempo va a mantenerse actualizado, pues otro de
los problemas es que no se actualice no por temor, sino
porque un sistema muy importante, que se usa todos los
MODULO 1.
días, no se puede actualizar porque el fabricante desapa-
MODULO 2. reció o dejó de actualizarlo. Un sistema desactualizado es
un síntoma para un ataque próximo, pues los atacantes
MODULO 3. utilizan las fallas de seguridad que ya son públicas y cono-
cidas para entrar a un sistema, asumiendo que no ha sido
MODULO 4.
actualizado contra esa falla.
MODULO 5.
Conceptos Otro de los problemas comunes es el de designar como res-
de seguridad ponsables de la seguridad a personas que no tienen un en-
MODULO 6. trenamiento adecuado. La seguridad no debe tomarse a la
ligera. Debe capacitarse al personal de seguridad y este debe
MODULO 7. comprender la responsabilidad que tiene a la hora de asumir
la seguridad de una organización. Muchas organizaciones no
MODULO 8. tienen responsables de seguridad y en su lugar actúa el mis-
mo administrador de la red. Parece una solución lógica pero
MODULO 9.
no es así, pues el ser humano tiende a considerar que lo que
MODULO 10. está haciendo lo hace bien. Si el mismo que administra la red
e instala los sistemas es quien debe cuidar de la seguridad,
MODULO 11. tarde o temprano comenzará a ignorar de forma involuntaria
diversos aspectos de la seguridad pues los considerará inne-
MODULO 12.
cesarios y partirá de la base de su accionar es correcto.
Curso Mantener servicios innecesarios activados es uno de
Introductorio los puntos que usan los atacantes para entrar a un siste-
de Seguridad ma. Muchas veces se instalan servidores por defecto, es
decir, tal y como vienen de fábrica, y las configuraciones
Autor:
Ernesto Pérez Estévez de fábrica de los equipos les permiten funcionar no sola-
mente para un requerimiento específico, sino que cubren
potenciales requerimientos de miles de usuarios. Por lo
MODULO 1.
tanto, muchas veces vienen con servicios activos inne-
MODULO 2. cesarios. Por ejemplo, no es raro encontrarse con servi-
dores Linux que tienen activados servicios como los de
MODULO 3. impresión, el portmapper, el mdns, etc., que normalmente
son utilizados en redes LAN y no fueron concebidos para
MODULO 4.
estar expuestos a Internet, y sin embargo lo están. Esto
MODULO 5. puede llevar a que un atacante aproveche estos servi-
Conceptos cios expuestos y proceda a atacar debilidades conocidas
de seguridad de estos o a obtener información que brindan sin que los
MODULO 6. usuarios lo sepan, como la topología de la red o los equi-
pamiento instalados en ella, etcétera.
MODULO 7.
La exposición de servicios de una red LAN a equipos
MODULO 8. que están conectados a Internet. Para esto estudiamos
sobre las VPN en capítulos anteriores. No debe exponerse
MODULO 9.
información privada de una empresa a Internet sin una
MODULO 10. adecuada protección. Muchas personas tienen abiertos
los datos de su empresa (lo que se llama a veces Intra-
MODULO 11. net) a la Internet, para que puedan ser consultados desde
fuera. Esto se puede prevenir si para conectarse a los da-
MODULO 12.
tos privados (la Intranet) se tiene que abrir una sesión de
Curso VPN, lo que evita exponer innecesariamente información
Introductorio de una organización.
de Seguridad
Con los años se ha conocido mucho de seguridad física,
Autor:
Ernesto Pérez Estévez pero muchas organizaciones piensan que esta es toda la
seguridad. Esto es, se desconoce la seguridad lógica de
la información. Como se vio anteriormente, la información
MODULO 1.
es un activo y debemos protegerlo. Se ven muchos guar-
MODULO 2. dias de seguridad en las organizaciones, muchos sistemas
de alarma o antiincendio, pero no se notan muchas medi-
MODULO 3. das de seguridad lógica de la información.
MODULO 4.
La seguridad debe probarse antes de ser implementada.
MODULO 5. Es necesario realizar las pruebas en un ambiente que no
Conceptos sea el de producción. Dicho de otra manera: es necesario
de seguridad un espacio para realizar pruebas antes de implementar
MODULO 6. una medida de seguridad.
MODULO 7. Un firewall no basta para asegurar nuestra red. Esto se

abordó antes y, como se pudo notar, no es suficiente un fi-
MODULO 8. rewall, ya que existen amenazas que no dependen de tenerlo
instalado. La seguridad es por capas: deben implementarse
MODULO 9.
varias capas de seguridad para tratar de atajar todo intento
MODULO 10. de intrusión a nuestras redes. Instalar un cortafuegos es una
importante capa de seguridad, mas no la única.
MODULO 11.
No solamente debemos tener un firewall, sino que es nece-
MODULO 12.
sario configurarlo apropiadamente, con políticas adecuadas
Curso a nuestra red. Muchas veces los cortafuegos se dejan con-
Introductorio figurados por defecto y esta configuración no siempre es la
de Seguridad que se necesita.
Autor:
Ernesto Pérez Estévez Es muy común el uso de protocolos que no brindan con-
fidencialidad apropiada para la administración de servi-
cios. Todavía hoy existen administradores que se conec-
MODULO 1.
tan a sus switches y ruteadores utilizando el protocolo
MODULO 2. Telnet, que es un protocolo que no encripta el canal, por lo
que no puede garantizar la confidencialidad de la comu-
MODULO 3. nicación, ya que las claves viajan en texto claro y pueden
ser robadas por un tercero con finalidad maliciosa. Sin
MODULO 4.
embargo, existe desde hace al menos veinte años una al-
MODULO 5. ternativa que sí brinda confidencialidad, que se llama SSH.
Conceptos
de seguridad Además de Telnet, muchos administradores manejan sus
MODULO 6. cortafuegos o máquinas virtuales, o cualquier servicio,
utilizando HTTP en vez de HTTPS. El HTTP envía la infor-
MODULO 7. mación en texto claro, por lo que no brinda una apropiada
confidencialidad, que sí ofrece desde hace varias decenas
MODULO 8. de años el HTTPS.
MODULO 9.
Aunque a nivel mundial actualmente se está solicitando
MODULO 10. que todos los sitios vayan por HTTPS, seguramente du-
rante al menos veinte o treinta años más se seguirán vien-
MODULO 11. do soluciones y sitios web que utilicen el viejo protocolo
HTTP a pesar de su conocida falla en la confidencialidad.
MODULO 12.
Curso En cuanto a los servidores, algo importante es el adecua-
Introductorio do manejo de la hora: los servidores deben manejar una
de Seguridad hora consistente, una hora igual entre todos ellos. Esto
es crucial en seguridad, pues si cada uno de los servidores
Autor:
Ernesto Pérez Estévez tuviera una hora diferente, sería muy difícil, casi imposi-
ble, encontrar una falla de seguridad que involucre a dos o
más de estos equipos.
MODULO 1.
MODULO 2. Imaginemos un caso en el que un servidor tenga las 17:35

GMT-5, otro tenga las 18:36 GMT-7 y un tercero, las 02:24
MODULO 3. GMT. ¿Cómo se podrá encontrar un problema que ocurrió
a las 12:01 GMT-5 con esa diversidad de horas en cada
MODULO 4.
servidor? Sí que es posible, pero habría que hacer muchos
MODULO 5. esfuerzos para encontrar una regla que permita decir que
Conceptos a las 12:01 GMT-5 eran las 13:02 GMT-7 en el servidor que
de seguridad tenía esa hora y así sucesivamente.
MODULO 6.
Es importante muchas veces el manejar los históricos
MODULO 7. (logs) de nuestros servidores en un solo lugar: mantener
todos los históricos de todos nuestros servidores en un
MODULO 8. sistema de logs centralizado. Pocas organizaciones se
preocupan por esto y mantienen los logs en cada uno de
MODULO 9.
sus servidores. Esto trae muchas dificultades pues a ve-
MODULO 10. ces los servidores se reinstalan y los logs del equipo reins-
talado se pierden, o algo más importante: se pierde la po-
MODULO 11. sibilidad de correlacionar fácilmente lo ocurrido en la red:
el atacante pudo haber intentado hacer algo en un servi-
MODULO 12.
dor y luego violado las seguridades de otro, etc. Al tener
Curso todos los logs en un solo lugar se vuelve más fácil analizar
Introductorio la correlación de eventos de varios servidores.
de Seguridad
Otro aspecto muy importante es incluir los temas con-
Autor:
Ernesto Pérez Estévez cernientes a la seguridad desde el inicio. Cuando se nos
contrata para el desarrollo de un sistema, es fundamental
incluir el relevamiento de los requerimientos de seguridad
MODULO 1.
desde la etapa de análisis. El desarrollo de una aplicación
MODULO 2. sin consideraciones de seguridad podría exponer a una
organización a serias amenazas, como por ejemplo la alte-
MODULO 3. ración de sus estados contables, la exposición pública de
datos confidenciales de clientes o empleados o el borrado
MODULO 4.
de bases de datos. Lo mismo aplica para el diseño de la
MODULO 5. arquitectura de red que soportará un sistema. Recorde-
Conceptos mos además que los requerimientos de seguridad debe-
de seguridad rán estar presentes también en el proceso de mejora con-
MODULO 6. tinua de los sistemas.
MODULO 7. Un problema muy frecuente es la tendencia a hacer

como que no ha pasado nada. Si se hace como que no ha
MODULO 8. pasado nada, se asume que el problema desaparecerá sin
tener que actuar. No se ve el problema, no se mira hacia el
MODULO 9.
problema y se supone que así el problema desaparecerá.
MODULO 10. Lo más grave es que posiblemente desaparecerá… para
aparecer posteriormente con mayor impacto en la red. Los
MODULO 11. problemas no desaparecen solos: si no se los trata, regre-
sarán con mayor fuerza.
MODULO 12.
Curso No implementar sistemas antimalware. Los equipos de
Introductorio nuestros usuarios deben estar protegidos por sistemas
de Seguridad antimalware, por ejemplo, sistemas que impidan o de-
tecten la entrada de virus o troyanos o la ejecución de un
Autor:
Ernesto Pérez Estévez código malicioso en nuestros browsers, etcétera.
No capacitar a nuestros usuarios en seguridad. Los

MODULO 1.
usuarios son la base de la seguridad. No importa cuánta
MODULO 2. fuerza se ponga en los sistemas y equipos de seguridad
de una red: si un usuario no sigue las normas elementales
MODULO 3. de seguridad una organización puede ver comprometida
su información.
MODULO 4.
MODULO 5. 2. Amenazas frecuentes

Conceptos
de seguridad ¿Qué amenazas de seguridad son las más frecuentes en
MODULO 6. las organizaciones?
MODULO 7. El malware que entra a través de los sistemas de correo,

chat o sitios web es la amenaza más latente. Antiguamen-
MODULO 8. te nos referíamos solamente a virus, pero existe una fauna
completa de malware que afecta la red:
MODULO 9.
MODULO 10. • Virus: son programas que buscan infectar los ejecuta-
bles de los sistemas con la finalidad de replicarse a otros
MODULO 11. ejecutables. Los atacantes buscan cualquier forma que
les permita lograr que un virus ingrese a un equipo y para
MODULO 12.
ello se basan en correos o dispositivos removibles como
Curso pendrives que contienen virus a la espera de que el usua-
Introductorio rio lo ejecute.
de Seguridad
• Gusanos: son virus que utilizan la red para replicarse. Es
Autor:
Ernesto Pérez Estévez una forma mucho más rápida de propagación, pues apro-
vechan fallas de seguridad que no hayan sido actualiza-
das en las redes.
MODULO 1.
MODULO 2. • Caballos de Troya o troyanos: son parecidos a los virus. El

programa se presenta como una aplicación que hace algo
MODULO 3. útil para el usuario, el usuario lo baja y ejecuta a la espera
de una funcionalidad, pero en realidad se trata de un virus
MODULO 4.
que toma control del equipo y busca comprometer su fun-
MODULO 5. cionamiento, robar información o credenciales del usuario,
Conceptos o usa el equipo para enviar correos masivos (spam).
de seguridad
MODULO 6. • Spyware: son programas que buscan información espe-

cífica sobre el usuario: ancho de banda, a qué accede y a
MODULO 7. dónde, qué contiene su disco duro, etc., y normalmente es
invisible. El impacto del spyware en una organización puede
MODULO 8. ser fatal, pues puede extraer información sensible de esta.
Algunos intentan cambiar la funcionalidad del navegador. Es
MODULO 9.
frecuente ver en equipos comprometidos con cierto tipo de
MODULO 10. malware que al intentar abrir un sitio web el spyware lo redi-
reccione a otro. Un caso típico es el del spyware que redirec-
MODULO 11. ciona Google hacia otro buscador desconocido.
MODULO 12.
Curso • Adware: es aparentemente inofensivo, pero envía anun-
Introductorio cios a los usuarios con la finalidad de que hagan clic y su
de Seguridad autor gane dinero por estos clics. El adware es muy co-
mún en softwares que se ofrecen gratuitamente, pero que
Autor:
Ernesto Pérez Estévez en realidad buscan clics. Muchas veces el adware reco-
lecta y envía información sobre el usuario del equipo, por
lo que sí se convierte en un potencial peligro para la infor-
MODULO 1.
mación que en él se almacene.
MODULO 2.
• Ransomware: es una aplicación maliciosa que infecta
MODULO 3. una computadora, cifrando ciertos archivos para restrin-
gir el acceso del usuario a estos, hasta que se pague un
MODULO 4.
rescate a cambio de la clave para descifrarlos. Este tipo de
MODULO 5. malware se ha vuelto uno de los ataques más comunes en
Conceptos estos tiempos.
de seguridad
MODULO 6. Estas no son las únicas amenazas de malware, hay mu-

chas más. Y es importante hacer notar que muchas —sino
MODULO 7. todas— de estas amenazas se ven representadas no sola-
mente en equipos de escritorio, sino además en los teléfo-
MODULO 8. nos inteligentes. Era esperable que sucediera, pues al mo-
mento hay muchos más celulares inteligentes que equipos
MODULO 9.
de escritorio y los atacantes siempre buscan el mercado
MODULO 10. que mayores réditos les genere. En este caso hay mayor
posibilidad de ganancia en este nicho de equipos inteligen-
MODULO 11. tes por la gran cantidad de usuarios que los utilizan.
MODULO 12.
Curso 3. Prevención de amenazas
Introductorio
de Seguridad A continuación se ofrece un resumen de cómo prevenir
las amenazas. Si no todas, al menos la mayoría de las téc-
Autor:
Ernesto Pérez Estévez nicas que aquí se explican están basadas en conocimien-
tos previos de este curso.:
MODULO 1.
1. Mejorar el conocimiento de los usuarios: sin una apro-
MODULO 2. piada capacitación o una apropiada transmisión de cono-
cimientos a los usuarios no hay una buena seguridad. El
MODULO 3. usuario es puntal en la seguridad informática, ya que es
el punto débil que los atacantes buscan, porque no suele
MODULO 4.
estar preparado o capacitado para lidiar con un ataque.
MODULO 5.
Conceptos 2. Actualizaciones: los sistemas deben poder actualizar-
de seguridad se. Siempre debe adquirirse equipamiento o sistemas que
MODULO 6. brinden actualizaciones durante un período extendido
(tres años, cinco años o más). Además de la posibilidad de
MODULO 7. se actualizado, es necesario hacerlo. Deben actualizar-
se frecuentemente. Muchas —prácticamente todas— las
MODULO 8. amenazas logran su objetivo explotando fallas de seguri-
dad conocidas previamente, por lo que si los sistemas es-
MODULO 9.
tán actualizados, es muy poco probable que un atacante
MODULO 10. logre colarse por una falla conocida.
MODULO 11. 3. Sistemas de prevención de malware: debe tenerse

IDS/IPS, así como sistemas antimalware que protejan
MODULO 12.
contra virus, troyanos, spyware y otros tipos de amenazas.
Curso Lo anterior no es más que parte del plan de seguridad en
Introductorio capas que debe desarrollarse, de forma que si una falla se
de Seguridad presenta en determinado momento, las otras capas pue-
dan proteger a la organización.
Autor:
4. Tipos de intrusos
MODULO 1.
¿Quién no ha sentido interés en conocer la identidad del ata-
MODULO 2. cante de sus sistemas? Con frecuencia se piensa que el sis-
tema es atacado por personas sentadas en una habitación
MODULO 3. oscura, con una o varias pantallas de fondo negro donde co-
rren sin cesar letras en verde, como muestran las películas,
MODULO 4.
pero la realidad es un poco más diversa que eso y hay una
MODULO 5. variedad de personas que atacan a los sistemas informáticos:
Conceptos
de seguridad Hacker: suele pensarse que el hacker es el que daña al
MODULO 6. sistema y que es el intruso típico, pero no es así. La palabra
hacker no fue concebida para un individuo que hace daño.
MODULO 7. En inglés, hack es golpear algo con un hacha y la termina-
ción –er da el sentido de persona que hace algo.
MODULO 8.
En español, hacker significa típicamente ‘cacharrero’. Es el
MODULO 9.
que tiene conocimientos para modificar algo, más allá de
MODULO 10. que quede bonito o feo (por eso hack), para que funcione.
Nuestros países están llenos de personas que arman un
MODULO 11. auto a partir de piezas de otros y usan su conocimiento
para crear o modificar algo para que funcione a su gusto o
MODULO 12.
al menos para que funcione.
Curso Un hacker es entonces un individuo que tiene un cono-
Introductorio cimiento bastante profundo de un área y aprovecha este
de Seguridad conocimiento a su favor y en favor de otros. Ahora, hay
hackers que usan su conocimiento para crear propias in-
Autor:
Ernesto Pérez Estévez venciones con el objetivo de hacer daño. Estos son llama-
dos crackers.
MODULO 1.
El Cracker (Criminal Hacker) es alguien que usa su cono-
MODULO 2. cimiento para hacer mal, para hacer daño. Ahora, no to-
dos los que atacan tienen mucho conocimiento sobre una
MODULO 3. determinada área. Con la popularización de Internet sur-
gieron diversos tipos de personas que quieren hacer daño,
MODULO 4.
como las que se presentan a continuación:
MODULO 5.
Conceptos Script Kiddie: en general es alguien joven, con pocos co-
de seguridad nocimientos de informática, se entera de herramientas
MODULO 6. que desarrollan hackers o crackers, las ejecuta y logra
hacer daño en Internet.
MODULO 7.
Los lammers son un caso similar a los scripts kiddies. Se
MODULO 8. denomina lammers a aquellos que demuestran no tener
un conocimiento de Internet (ni siquiera el de un script
MODULO 9.
kiddie) y se lanzan a hacer acciones contra terceros con la
MODULO 10. finalidad de hacer daño. Lo malo es que no tienen un co-
nocimiento claro de lo que están usando ni de lo que están
MODULO 11. haciendo, simplemente pretenden hacer daño. Los mismos
crackers llaman lammers a quienes demuestran que no
MODULO 12.
Curso saben, como una forma de ofenderlos, pero lo cierto es que
Introductorio pueden provocar daño, con su accionar descontrolado.
de Seguridad
Claro que un lammer o un script kiddie puede ir apren-
Autor:
Ernesto Pérez Estévez diendo nuevas cosas con el tiempo y adquirir nuevos co-
nocimientos hasta lograr un nivel muy similar a los crac-
kers, e incluso ha ocurrido que se cambien de «bando»,
MODULO 1.
para usar su conocimiento con la finalidad de brindar ser-
MODULO 2. vicios a los demás y no para hacer daño.
MODULO 3. Hay otra clasificación de las personas de acuerdo a cómo

usan su conocimiento o cómo explotan las vulnerabilida-
MODULO 4.
des del sistema, que es la que sigue:
MODULO 5.
Conceptos Black Hat o sombrero negro: son quienes usan su cono-
de seguridad cimiento para hacer cosas fuera de la ley, ya sea actividad
MODULO 6. maliciosa, robo de información o venta de servicios a gru-
pos que actúan fuera de la ley. Aprovechan fallas de seguri-
MODULO 7. dad que no son conocidas y no divulgan haber encontrado
estos agujeros.
MODULO 8.
Grey Hat: son quienes buscan cumplir sus objetivos, in-
MODULO 9.
cluso si tienen que actuar al margen de la ley. Pueden in-
MODULO 10. formar de algún descubrimiento de una falla de seguridad,
pero posiblemente lo hagan después de haberla explotado
MODULO 11. o vendido a terceros o haber avisado a la comunidad blac-
khat antes que al autor del sistema afectado.
MODULO 12.
Curso White Hat: conocen técnicas para encontrar y explotar
Introductorio fallas de seguridad pero lo hacen para el beneficio de los
de Seguridad afectados, avisándoles de las vulnerabilidades encontra-
das con la finalidad de que las puedan corregir.
Autor:
¿Qué buscan los atacantes al invadir un sistema?
MODULO 1.
• Autorrealizació: saber que pueden hacer algo que la
MODULO 2. gran mayoría no puede o no se dedica a intentar. Es una
forma de lograr una meta.
MODULO 3.
• Venganza: dañar la reputación de una persona o insti-
MODULO 4.
tución. Existen diversas formas de venganza. Una de las
MODULO 5. más comunes ahora es la pornovenganza, en la cual se
Conceptos publican fotos o videos íntimos de alguien muy cercano
de seguridad en el pasado.
MODULO 6.
• Ganancias: buscar pagos para que un ataque cese o
MODULO 7. para poder desencriptar los archivos que han sido codifi-
cados (ransomware, por ejemplo), o buscar pagos a cam-
MODULO 8. bio de indicar fallas de seguridad que existen o de no di-
vulgar las fallas encontradas.
MODULO 9.
MODULO 10. • Espionaje político o comercial: actualmente muy de

moda, es el espionaje para robar secretos industriales o
MODULO 11. gubernamentales.
MODULO 12.
Curso
Introductorio Seguridad en redes TCP/IP
de Seguridad
Autor: · Ataques dirigidos a las características de los
protocolos
· Ataques dirigidos a las implementaciones de los
MODULO 1.
protocolos
· Descripción de estos ataques
MODULO 2.
· Formas de ataques
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
6.
Hasta ahora se ha hablado de importantísimos temas de se-
MODULO 1. guridad en las organizaciones. Ahora se profundizará en pro-
MODULO 2.
blemas de seguridad específicos en las redes actuales con
la finalidad de tener amplio conocimiento de qué nos puede
MODULO 3. afectar y cómo podemos protegernos de estos problemas.
MODULO 4. En este capítulo se examinarán varias de las diversas formas

que tienen los atacantes de obtener información o de afec-
MODULO 5.
tar la disponibilidad de los sistemas.
MODULO 6.
Seguridad Existen muchos ataques, algunos orientados a aprovechar
en redes TCP/IP características (o la falta de determinadas características) de
protocolos como TCP, UDP, IP, ICMP, etc., o incluso de pro-
MODULO 7. tocolos de más alto nivel, como ataques que aprovechan los
MODULO 8.
sistema de DNS, HTTP, SMTP, etcétera.
MODULO 9. Los ataques pueden afectar a cualquier equipo que haga uso
de estos protocolos. Para ser claros: ¿qué equipo informático
MODULO 10. no viene preparado para conectarse a Internet y utilizar es-
tos protocolos? Prácticamente ninguno: celulares, routers,
MODULO 11.
switches, PC, laptops, cámaras, routers Wi-Fi, etc., vienen
MODULO 12. configurados para conectarse a Internet.
Curso También hay otros ataques que aprovechan falencias en
Introductorio la implementación de estos protocolos, como por ejemplo,
de Seguridad en la implementación del protocolo TCP/IP por parte de un
fabricante como CISCO, Microsoft, Apple, Linux, etc. Estos
Autor:
Ernesto Pérez Estévez ataques no dejan de ser muy dañinos y casi siempre los ata-
cantes buscan estas falencias en la implementación donde
MODULO 1. hay mayor concentración de usuarios. Por poner un ejem-
plo: quizás sea mucho más efectivo explotar una falla en la
MODULO 2. implementación del stack TCP/IP en Microsoft Windows que
en equipos Linux. ¿Por qué? Porque en el mercado hay una
MODULO 3.
proporción mucho mayor de equipamiento que usa Windows
MODULO 4. y por tanto explotar esta falla le dará más réditos al atacante.
MODULO 5. Estos ataques pueden hacer daño masivo a todos los usua-
rios de un sistema, pero también pueden ser utilizados para
MODULO 6.
robar información específica de una organización: un ataque
Seguridad
en redes TCP/IP cuidadosamente planificado puede confundir a los sistemas
(y a los usuarios) y lograr obtener información confidencial.
MODULO 7. Algunos ataques no persiguen robar información, sino sim-
plemente utilizar los recursos de red para atacar a terceros
MODULO 8. o consumir un canal de Internet de forma tal que afecta su
disponibilidad. O sea, se nos vuelve imposible —o a nuestros
MODULO 9.
usuarios— realizar nuestras labores apropiadamente, pues
MODULO 10. nos estarán ocupando innecesariamente el ancho de banda
disponible en un canal.
MODULO 11.
MODULO 12.
Curso Ataques dirigidos a características de los protocolos de
Introductorio TCP/IP:
de Seguridad
Escaneo de puertos
Autor:
• Sniffers
MODULO 1. • Source routing
• DOS
MODULO 2. • DDOS
• Spoofing
MODULO 3.
• Email spoofing
MODULO 4. • IP Spoofing
• SYN flooding
MODULO 5. • Smurfing
• Botnets
MODULO 6.
Seguridad
en redes TCP/IP
Ataques dirigidos a las implementaciones de estos pro-
MODULO 7. tocolos por parte de un fabricante:
MODULO 8. Ping de la muerte

MODULO 9.
• Teardrop
MODULO 10. • Land
• HTTP (slowloris, etc.)
MODULO 11. • Ataques a UDP: snmp, ntp, dns, portmapper, etcétera.
MODULO 12.
Curso 2. Descripción de los ataques
Introductorio
de Seguridad Se analizarán a continuación cada uno de estos ataques
en detalle.
Autor:
Dentro de los ataques dirigidos a las características que
MODULO 1. brindan los protocolos TCP/IP hay:
MODULO 2. 1. Escaneo de puertos

MODULO 3.
Es algo muy simple pero útil para un atacante. Que se es-
MODULO 4. caneen los puertos de una IP no significa necesariamente
que esté ocurriendo un ataque. Como administradores y
MODULO 5. usuarios de nuestra red, tenemos el derecho de escanear
la red o una máquina específica de la red.
MODULO 6.
Seguridad
en redes TCP/IP Escanear no es más que revisar si uno o varios de los
puertos de una dirección están abiertos: por cada IP hay
MODULO 7. 2^16 puertos disponibles, 65.536 puertos que van del 0 al
65535, como ya se había visto.
MODULO 8.
Si un puerto está abierto, responderá con un mensa-
MODULO 9.
je de ACK (ver imagen) y alguna información, y nos dará
MODULO 10. una idea de que tenemos un servicio escuchando en ese
puerto. Por ejemplo, si queremos conocer si una determi-
MODULO 11. nada IP tiene un servidor web ejecutándose, ¿cómo hace-
mos? Consultamos a esta IP por sus puertos abiertos. Si el
MODULO 12.
puerto 80/TCP está abierto, existe una enorme posibilidad
Curso de que haya un servidor web instalado y corriendo en esa
Introductorio máquina, pues el puerto 80/TCP es atendido por servido-
de Seguridad res web. Si el puerto está cerrado, el equipo que estamos
escaneando devolverá un mensaje de Reset (RST) que
Autor:
Ernesto Pérez Estévez indica que no quiere establecer la conexión, no tiene nada
que ofrecer respecto a este puerto que está cerrado.
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6. SYN 1 SYN 1

Seguridad
en redes TCP/IP
1
ACK I + KI+1
SYN J, RST, AC
MODULO 7.
ACK J +
MODULO 8. 1
MODULO 9.
MODULO 10.
Es una de las primeras actividades que un atacante desa-
MODULO 11. rrolla si quiere hacer algo con o contra una red, porque le
permitirá conocer qué puertos tiene abiertos el sistema y
MODULO 12.
planificar un ataque a los servicios que corren en él.
Curso Nmap
Introductorio
de Seguridad Existen muchas herramientas para realizar escaneos a
las redes. Una de ellas, muy conocida y útil, es nmap. Se
Autor:
Ernesto Pérez Estévez la conoce como la cuchilla suiza de las redes, pues brinda
una enorme cantidad de posibilidades para sus usuarios.
MODULO 1.
En la siguiente imagen se ve cómo se puede averiguar si
MODULO 2. una IP (que es la IP del sitio web de Lacnic www.lacnic.
net), tiene o no abierto el puerto 80:
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
MODULO 9.
Debe notarse una serie de cosas:
MODULO 10.
1. Se le puede hacer nmap a una IP o a un nombre (se podría
MODULO 11. haber hecho nmap a www.lacnic.net, pero se hizo a la IP).
MODULO 12.
Curso 2. En este caso se escogió escanear solamente el puerto
Introductorio 80/TCP de la IP (nmap -p80 200.3.14.184), pero se podrían
de Seguridad haber escaneado todos los puertos, por ejemplo:
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
MODULO 9.
En el caso anterior notemos:
MODULO 10.
MODULO 11. 1. Se escogió escanear por el nombre (www.lacnic.net) y

de las dos IP (IPv4 e IPv6) que ofrecía LACNIC, el sistema
MODULO 12. optó por IPv4 e ignoró (no escaneó) IPv6.
Curso 2. No se restringió al puerto 80/TCP (-p 80 que tenía an-
Introductorio tes). Lo que le permitió encontrar otros puertos supuesta-
de Seguridad mente abiertos en esta IP (por ejemplo, SMTP, DNS, HTTP,
HTTPS, SIP, etcétera).
Autor:
Incluso se le puede pedir al nmap que intente adivinar
MODULO 1. qué servicios están corriendo en estos puertos, así como
su versión:
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Notemos:
Introductorio
de Seguridad 1. Volvió a escanearse nada más que el puerto 80 (-p80).
Quizás no se buscaba conocer nada más de otros puertos
Autor:
Ernesto Pérez Estévez y el interés era sobre el 80.
MODULO 1. 2. Se usó la bandera (flag) -A: esta bandera permite, como

se puede ver, averiguar información que brinda el servicio.
MODULO 2. En este caso, informa que en el puerto 80/TCP corre un
Apache Tomcat/Coyote JSP engine 1.1. Esto es muy útil
MODULO 3.
para el administrador, pues le permite cerciorarse de que
MODULO 4. está corriendo el servidor web que se necesita y no otro.
MODULO 5. En resumen, el nmap no es la única herramienta para es-

canear sistemas, existen otras. No es exclusiva para ha-
MODULO 6.
cer daño; de hecho, como administradores legítimos de la
Seguridad
en redes TCP/IP red se puede usar para determinar si un puerto está o no
abierto en la red o qué puertos están abiertos en los equi-
MODULO 7. pos de la red. Esto puede ser muy útil en la labor diaria,
por ejemplo, para conocer qué puertos están abiertos de
MODULO 8. más y poder trabajar para cerrarlos.
MODULO 9.
Medidas contra el mapeo de puertos
MODULO 10.
En realidad, no se puede tomar casi ninguna medida,
MODULO 11. pues conectarse a un puerto es algo totalmente válido.
Claro que es válido conectarse a uno o varios puertos,
MODULO 12.
Curso pero no intentar conectarse a todos los puertos de una
Introductorio IP o a muchos de los puertos de una IP.
de Seguridad
Se han propuesto medidas, como por ejemplo que si al-
Autor:
Ernesto Pérez Estévez guien comienza a escanear un puerto a la vez, nos daremos
cuenta y le podremos demorar las respuestas de forma que
MODULO 1. el proceso se le vuelva muy lento. Incluso podríamos blo-
quear a la persona y dejar de enviarle respuestas.
MODULO 2.
Si bien esta solución parece buena, puede afectarnos si un
MODULO 3.
día necesitáramos escanear la red, pues el sistema nos blo-
MODULO 4. queará también. Además, los atacantes pueden darse cuen-
ta y proceder a escanear lentamente. Tan lento como sea
MODULO 5. necesario, por ejemplo, al revisar un puerto por minuto o un
puerto por hora. O simplemente revisar un puerto al día.
MODULO 6.
Seguridad
en redes TCP/IP Lo mejor para protegerse de un ataque de escaneo es no
preocuparse por ocultar o bloquear supuestos escaneos.
MODULO 7. Lo más saludable es tener expuestos el mínimo de ser-
vicios a Internet: solamente los necesarios. Un firewall
MODULO 8. puede ayudar en la tarea, además de que los servicios
expuestos estén actualizados y protegidos contra poten-
MODULO 9.
ciales ataques.
MODULO 10.
2. Sniffers
MODULO 11.
Sniff es el hecho de ‘rastrear’ o, como se dice en español,
MODULO 12.
‘escuchar’ el tráfico que circula por una red.
Curso Los sniffers se aprovechan de que gran parte del tráfico
Introductorio TCP/IP que circula en las redes viaja en texto claro, de
de Seguridad modo que lo que el sniffer capture (escuche) podrá ser
interpretado por un interesado.
Autor:
La presencia de un sniffer no es síntoma de actividad ma-
MODULO 1. liciosa: muchas veces los sniffers se utilizan para determi-
nar si está ocurriendo un determinado patrón de tráfico, si
MODULO 2. está llegando cierto tipo de tráfico a un destino tal y como
se necesita, etcétera.
MODULO 3.
MODULO 4. Hay diversos tipos de sniffers, desde los conocidos como

tcpdump (uno de los más populares), cuyo propósito inicial
MODULO 5. es «vaciar» o «verter» (por eso dump) los contenidos que
ve circular en una tarjeta de red, pasando por otros como el
MODULO 6.
WireShark, que tiene una interfaz gráfica bien completa, o
Seguridad
en redes TCP/IP el ettercap, hasta llegar a sniffers dedicados a analizar cier-
to tipo de tráfico, como el aircrack-ng, que escanea tráfico
MODULO 7. de Wi-Fi, o el httpry, que escanea tráfico HTTP.
MODULO 8. Cómo funciona un sniffer

MODULO 9.
Se mostrará cómo funciona ettercap en modo de escucha
MODULO 10. en Linux. Existen binarios para Windows, por ejemplo:
MODULO 11. https://sourceforge.net/projects/ettercap/files/unofficial%20binaries/windows/
MODULO 12.
Curso Al iniciar presiono ctrl-U y selecciono la interfaz de red.
Introductorio En este caso la interfaz de red donde pondré a ettercap a
de Seguridad escuchar es enp0s25.
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP Ettercap mostrará inicialmente decenas o cientos de co-
nexiones de todo tipo que estamos realizando. Para mayor
MODULO 7. comodidad filtraré para que muestre solo lo que ocurre
hacia o desde una IP: 64.13.139.230.
MODULO 8.
MODULO 9.
¿De dónde sale esta IP? Esta IP se obtuvo de un servidor
de Telnet, telehack.com (http://telehack.com/telehack.
MODULO 10. html). Telnet es un protocolo que se conecta al puerto 23/
TCP enviando y recibiendo toda la información en texto
MODULO 11. claro. Esto es: todo podrá ser «escuchado», lo que es ideal
para un sniffer.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
Ahora interactuaré con el servidor de Telnet de telehack.
MODULO 6.
Seguridad com desde mi línea de comando y escribo el comando
en redes TCP/IP «eliza» dentro de este servidor. Es una ayuda psicotera-
péutica en línea, me hará preguntas y esperará mis res-
MODULO 7. puestas, etc. Al regresar al ettercap se mostrará lo que yo
le decía a mi psicoterapeuta.
MODULO 8.
MODULO 9. En la imagen siguiente, me conecto a telehack.com, es-

cribo «eliza» y ella comienza a escribirme en mayúsculas,
MODULO 10. mientras mis respuestas están en minúsculas. Noten lo
que escribo al final: «Everything I write here could be sni-
MODULO 11. ffed by a third party as we use clear text communication».
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6. De regreso al ettercap, ¿este habrá capturado lo que yo

Seguridad escribí? Como podemos notar, existe una línea, un resu-
en redes TCP/IP men de mi comunicación, desde mi IP y puerto 60570,
hasta la IP de telehack (64.13.139.230) y el puerto 23.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7. Procedo a hacer doble clic sobre esa línea para obtener un
detalle y se puede observar mi comunicación con eliza, mi
MODULO 8. psicoterapeuta. Sobre la derecha se ven unos signos como
o [K [K, porque el sniffer guarda todo, incluso cuando yo
MODULO 9. presioné «backspace» (por eso el [K[K…).
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2. Como se puede ver, es relativamente fácil sniffear una

MODULO 3. comunicación.
MODULO 4. ¿Qué medidas podemos tomar contra sniffers?
MODULO 5. Como se indicaba anteriormente, el uso de sniffers no es

malo en sí, ya que puede utilizarse para validar si está lle-
MODULO 6.
gando a su destino la información en el formato necesario
Seguridad
en redes TCP/IP o en el momento adecuado, etcétera.
MODULO 7. Los sniffers aprovechan que el protocolo TCP/IP fue con-

cebido inicialmente sin prever la necesidad de encriptar
MODULO 8. el canal, por lo que todas las comunicaciones inicialmente
MODULO 9. viajaban en texto claro.
MODULO 10. La forma más apropiada de protegernos contra sniffers no

es bloquearlos, sino tomar medidas para evitar que ante un
MODULO 11. intento de escucha ilegal, la información pueda ser leída
fácilmente. Esto es: se debe transmitir toda la información
MODULO 12.
sensible utilizando métodos de cifrado. Al encriptar toda
Curso la información se evita que un escucha pueda leerla. El si-
Introductorio guiente caso es el de una conexión SSH realizada hacia un
de Seguridad servidor. Se puede ver cómo me conecto por SSH. Las cone-
xiones de SSH son cifradas. Vean el resultado en el ettercap.
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
Como se puede ver, no hay texto legible en el resultado
MODULO 4.
de ettercap:
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso 3. Source Routing
Introductorio
de Seguridad Actualmente en Internet no es necesario utilizar esta op-
ción. Source routing es que el equipo que origina un pa-
Autor:
Ernesto Pérez Estévez quete pueda indicar por qué ruta específica debe pasar y se
usaba antiguamente para lograr cierta fiabilidad en la red.
MODULO 1.
Por ejemplo, si un router tenía problemas de pérdida de
MODULO 2. paquetes, el host de origen podía especificar la ruta por la
cual debía pasar. Como se puede ver en la primera imagen,
MODULO 3.
R3 tiene un problema y es el camino más corto para llegar
MODULO 4. de A a B.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
A R1 R3
MODULO 8.
MODULO 9.
B
MODULO 10.
R2 R4
MODULO 11.
MODULO 12.
Curso ¿Qué permite el source routing? Que se puedan mover los
Introductorio paquetes a través de un camino alternativo, en este caso,
de Seguridad al R3: A->R1->R2->R4->B.
Autor:
MODULO 1.
MODULO 2.
A R1 R3
MODULO 3.
MODULO 4.
MODULO 5.
R2 R4 B
MODULO 6.
Seguridad
en redes TCP/IP
Es un camino más largo, pero funciona. Sin embargo, en
MODULO 7. la actualidad no es necesario especificar el source rou-
ting, pues los proveedores de Internet en seguida que de-
MODULO 8. tectan un problema en un router, toman medidas activas
MODULO 9. para corregirlo.
MODULO 10. Sin embargo, el source routing tiene inconvenientes, como

puede verse en el siguiente escenario. El atacante será A y
MODULO 11. el servidor protegido será B. Existe un firewall en R3, por lo
MODULO 12.
que un intento de ataque de A a B se vería bloqueado.
Curso
Introductorio
de Seguridad
A R1 FW R3
Autor:
MODULO 1.
MODULO 2. R2 R4 B
MODULO 3.
MODULO 4.
¿Y si el atacante usa source routing? Se podría esca-
MODULO 5. par evadiendo el firewall si utiliza el camino alternativo
A->R2->R4->B
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
A R1 FW R3
MODULO 9.
MODULO 10.
MODULO 11.
R2 R4 B
MODULO 12.
Curso Medidas para evitar source routing
Introductorio
de Seguridad En cada sistema operativo existen formas de bloquear el
source routing. Normalmente, esto es útil en equipos ru-
Autor:
Ernesto Pérez Estévez teadores con la finalidad de que no se les pueda ordenar
otra acción que la preconfigurada.
MODULO 1.
En Linux se puede poner en 0 el parámetro del kernel «ac-
MODULO 2. cept_source_route»:
“accept_source_route”
MODULO 3.
/sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
MODULO 4.
En el caso de CISCO se puede configurar no source routing
MODULO 5. device # configure terminal
device(config)# no ip source-route
MODULO 6.
Seguridad Ataques de denegación de servicio (DoS)
en redes TCP/IP
Del inglés Denial of Service (DOS), este ataque depende
MODULO 7.
exclusivamente de poder aprovechar fallas que existen
MODULO 8. en un sistema y de algo muy simple: transmitirle requeri-
mientos al equipo atacado de forma tal que este deje de
MODULO 9. servir, deje de ofrecer el servicio. Es por ello que se lla-
ma denegación (negación) de servicio, pues busca que el
MODULO 10.
equipo atacado no pueda dar servicio a los clientes, afec-
MODULO 11. tando la disponibilidad de la tríada CIA (A, availability)
MODULO 12.
Curso Estos ataques pueden hacerse de la siguiente forma:
Introductorio
de Seguridad · Aprovechando una falla de seguridad que haga que el
servicio deje de funcionar, por ejemplo, el ping de la muer-
Autor:
Ernesto Pérez Estévez te, que es un tipo de ataque que aprovecha que a ciertas
versiones de algunos sistemas operativos, si les enviamos
MODULO 1. un paquete icmp-echo mayor a 64 kb, al reensamblarlo
una falla en la programación provoca un desbordamiento
MODULO 2. de buffer y el equipo deja de responder.
MODULO 3.
· Aprovechando una característica del servicio que se
MODULO 4. ofrece para agotar sus recursos, por ejemplo: los servido-
res web basados en hilos (del inglés: threaded) tienen que
MODULO 5. esperar a recibir el encabezado completo de una petición
antes de liberar la conexión. Mientras tanto, esta conexión
MODULO 6.
está ocupando recursos (RAM, puertos TCP, etc.). Si se le
Seguridad
en redes TCP/IP envía un número alto de peticiones y se le va entregando
lentamente el encabezado, el servidor terminará por ago-
MODULO 7. tar sus recursos y dejará de responder.
MODULO 8. · Aprovechando una limitación que se tiene en el acceso al

servicio, por ejemplo: Digamos que nuestro servidor tie-
MODULO 9.
ne una conexión a Internet de 10 mbps. Un atacante que
MODULO 10. controle un equipo que tenga 100 mbps para conectarse
a Internet puede comenzar a enviar paquetes (o a solici-
MODULO 11. tar paquetes) hacia/desde nuestro servidor de forma tal
que llenará los 10 mbps del canal. Este tipo de ataque se
MODULO 12.
conoce como inundación (flooding). El atacante no sufrirá
Curso mayormente pues tiene en el canal un ancho de banda de
Introductorio 100 mbps y para afectar nuestro servicio destina 10 mbps
de Seguridad de estos 100 mbps, pues nuestro servidor con 10 mbps de
tráfico se llenará.
Autor:
MODULO 1.
100mbps 10mbps
MODULO 2.
MODULO 3.
Atacante Server
MODULO 4. 100mbps 10mbps
MODULO 5.
MODULO 6. Cómo protegerse del DoS

Seguridad
en redes TCP/IP
Existen varias opciones:
MODULO 7.
1. 1. Mantener el sistema operativo, las aplicaciones y los
MODULO 8. servicios actualizados. De esta forma una falla conocida
en ellos no podrá ser aprovechada.
MODULO 9.
MODULO 10. 2. Revisar e imponer tiempos máximos de conexión, por

ejemplo, en el caso de servidores web, puede indicársele al
MODULO 11. servidor que cierre la conexión luego de transcurridos algu-
nos segundos. Por defecto, el servidor Apache está confi-
MODULO 12.
gurado para cerrar la conexión transcurridos 300 segundos
Curso (5 minutos), pero es mucho tiempo. ¿Cuántas conexiones
Introductorio adicionales no se abrirán hasta dejar de responder en 5
de Seguridad minutos? Es mejor disminuir el tiempo a un valor de 30 se-
gundos, por ejemplo.
Autor:
3. En el caso de las inundaciones, lo más acertado es traba-
MODULO 1. jar con el proveedor de Internet para que de su lado pueda
poner un límite a esta inundación de paquetes de forma
MODULO 2. que no se nos llene el canal por un ataque de este tipo.
MODULO 3.
MODULO 4.
MODULO 5. 100mbps 10mbps
MODULO 6.
Seguridad Atacante Server
en redes TCP/IP 100mbps 10mbps
MODULO 7.
MODULO 8.
MODULO 9.
Distributed DoS
MODULO 10. El DDOS es similar al DOS, pero en esta ocasión el ataque

proviene de muchas fuentes, de muchas vías. Por eso se
MODULO 11. llama distribuido.
MODULO 12.
Veamos la última imagen pero ahora en forma distribuida:
Curso
Introductorio
de Seguridad Atacante
5mbps
Autor:
5mbps
MODULO 1.
MODULO 2.
10mbps 10mbps
MODULO 3.
MODULO 4. Atacante Server

5mbps 10mbps
MODULO 5. 5mbps
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7. Atacante
5mbps
MODULO 8.
MODULO 9.
En este caso no hay un atacante con mucho ancho de
MODULO 10. banda, sino varios atacantes con un ancho de banda más
pequeño que el nuestro. Sin embargo, si todos envían al
MODULO 11. mismo tiempo solicitudes a nuestro servidor, pueden lle-
nar cómodamente los 10 mbps (ellos son tres y tienen 5
MODULO 12.
mbps cada uno, totalizando 15 mbps).
Curso Estos ataques de DDOS son los más populares en la ac-
Introductorio tualidad, pues son muy difíciles de prevenir. Ya no basta
de Seguridad con bloquear a un atacante en el ISP, sino que el ISP ten-
drá que dedicarse a bloquear decenas, centenares o miles
Autor:
Ernesto Pérez Estévez de atacantes que intentarán llegar a nuestros equipos.
MODULO 1. Las imágenes se presentaron a modo de ejemplo y con

valores bien moderados (5 mbps, tres atacantes), pero
MODULO 2. en realidad se están dando al momento ataques no de
15 mbps, sino de varios centenares de gbps e incluso se
MODULO 3.
prevé que los ataques ya comiencen a superar la frontera
MODULO 4. de los tbps (terabits por segundo). Para lograr estos gi-
gantescos ataques no se buscan tres o cuatro máquinas
MODULO 5. en Internet, sino varias decenas de miles o centenares de
miles de máquinas que actúan coordinadamente.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Syn Flooding
Introductorio Una variante de DDOS y de DOS es la conocida como SYN
de Seguridad flooding. SYN es el paquete inicial que se envía cuando se
Autor: abre una conexión. El proceso normal es el siguiente:
MODULO 1.
MODULO 2.
SYN
MODULO 3.
MODULO 4.
MODULO 5. A CK
SYN
MODULO 6.
Seguridad
en redes TCP/IP
ACK
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10. · El servidor recibe la petición SYN.

MODULO 11. · Reserva recursos para esta conexión y confirma al cliente
MODULO 12. (SYN-ACK).
Curso · El cliente confirma que recibió la confirmación de servidor
Introductorio (ACK).
de Seguridad
· Comienza a enviar datos.
Autor:
Al final el cliente hace un proceso de cierre de esta sesión.
MODULO 1.
Ahora, ¿qué pasa si se queda todo en el segundo punto?
MODULO 2.
· El servidor recibe la petición SYN.
MODULO 3.
MODULO 4. · Reserva recursos para esta conexión y confirma al cliente

(SYN-ACK).
MODULO 5.
La sesión se queda «medio abierta», pues el cliente nunca
MODULO 6.
confirmará (ACK) y nunca enviará sus datos, de modo que
Seguridad
en redes TCP/IP el servidor queda a la espera de la respuesta del cliente,
con recursos reservados inútilmente.
MODULO 7.
Si un atacante comienza a repetir esta acción cientos o
MODULO 8. miles de veces, eventualmente dejará sin recursos al ser-
vidor para atender nuevas conexiones, conexiones que
MODULO 9.
seguramente serían legítimas, pero ya no tendría recur-
MODULO 10. sos, le inundaron de SYN:
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad SYN
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
ACK
SYN
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7. SYN
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Otra variante de DDOS es el ataque de smurfing, que con-
Introductorio siste en enviar una gran cantidad de paquetes de ICMP
de Seguridad a una dirección de broadcast de una red. Se supone que
todo lo que llegue a la dirección de broadcast de una red
Autor:
Ernesto Pérez Estévez IPv4 es reenviado a toda la red. La dirección de broadcast
es la última dirección en una red.
MODULO 1.
Por ejemplo:
MODULO 2. 200.45.225.0/24
MODULO 3.
Su dirección de red es la primera:
MODULO 4. 200.45.225.0
MODULO 5. Su dirección de Broadcast es la última:

200.45.225.255
MODULO 6.
Seguridad
en redes TCP/IP Si alguien envía paquetes ICMP, por ejemplo icmp-echo
(ping) a la dirección de broadcast, este paquete será re-
MODULO 7. plicado a todos los equipos presentes en esa red. Se envía
un paquete y se replica a decenas, quizás cientos de equi-
MODULO 8. pos, lo que implica que suceda un buen ataque de nega-
ción de servicio.
MODULO 9.
MODULO 10. Todo sistema debe ser configurado para evitar que se en-
víen paquetes de icmp a la dirección de broadcast. Princi-
MODULO 11. palmente, los routers deben ser configurados con el icmp
broadcast desactivado. Por ejemplo, en CISCO se puede
MODULO 12.
usar el parámetro no ip directed-broadcast.
Curso Spoofing
Introductorio
de Seguridad Spoofing es una palabra bastante curiosa y significa algo
similar a ‘impersonar’, como ‘tratar de hacerse pasar por
Autor:
Ernesto Pérez Estévez alguien’. Su objetivo es confundir al equipo o persona ata-
cada con la finalidad de lograr que envíe información al
MODULO 1. atacante pensando que está enviándole información (o
recibiéndola) del legítimo interlocutor.
MODULO 2.
¿A quién no le ha pasado? Son conocidas las historias
MODULO 3.
sobre personas que se acercan alguien pretendiendo ser
MODULO 4. de una empresa eléctrica, de una institución del gobierno,
de un banco o algún tipo de organización reconocida para
MODULO 5. tratar de entrar en la casa o empresa con fines poco claros
(robar o hacer análisis previos a un robo, etcétera).
MODULO 6.
Seguridad
en redes TCP/IP Esto ocurre porque en el protocolo TCP/IP no se desarro-
llaron en su momento mecanismos que permitieran cono-
MODULO 7. cer el verdadero origen o destino de un paquete.
MODULO 8. En la actualidad, estos ataques pueden ser evitados o al

menos mitigados a través de controles en los firewall o
MODULO 9.
técnicas de inspección de paquetes en profundidad que
MODULO 10. permitan detectar este tipo de ataque.
MODULO 11. A continuación se ven en detalle cómo ocurren:

MODULO 12.
Curso ARP Spoofing
Introductorio
de Seguridad ARP es una sigla que corresponde a Address Resolution
Protocol. Es un protocolo de capa 2 que permite a los
Autor:
Ernesto Pérez Estévez equipos de una misma red local conocer hacia qué destino
va dirigido un trama.
MODULO 1.
Los equipos de una red guardan una lista de hosts de esa
MODULO 2. misma red y los asocian con sus direcciones IP, ejemplo:
MODULO 3.
MODULO 4. Tabla 2
MODULO 5. MAC IP
MODULO 6. 52:54:00:1c:b3:97 192.168.1.1

Seguridad
en redes TCP/IP
50:7b:9d:07:35:e5 192.168.1.25
MODULO 7.
50:7b:9d:03:32:f1 192.168.1.103
MODULO 8.
MODULO 9. 00:26:73:8b:bb:87 192.168.1.45
MODULO 10.
54:e1:ad:01:24:1e 192.168.1.33
MODULO 11.
MODULO 12.
Curso El objetivo es que cuando el equipo con la IP 192.168.1.33
Introductorio quiera enviar un paquete a un servidor en Internet, por
de Seguridad ejemplo, google.com, lo enviará al gateway de su red.
Autor:
Ernesto Pérez Estévez Supongamos que el gateway de la red es 192.168.1.1 (el pri-
mero de la lista). En un ataque de ARP spoofing, también
MODULO 1. conocido como ARP poisoning, un equipo intruso intenta-
rá contaminar la tabla de ARP de forma tal que se anuncie
MODULO 2. como que es la IP 192.168.1.1 para confundir a los miem-
bros de la red con la finalidad de que le envíen a él (que al
MODULO 3.
tener la 192.168.1.1 del ejemplo será el gateway).
MODULO 4.
MODULO 5. Tabla 3
MODULO 6. MAC IP
Seguridad
en redes TCP/IP 50:7b:9d:03:32:f1 192.168.1.1
MODULO 7.
52:54:00:1c:b3:97 192.168.1.1
MODULO 8.
50:7b:9d:03:32:f1 192.168.1.1
MODULO 9.
50:7b:9d:07:35:e5 192.168.1.45
MODULO 10.
00:26:73:8b:bb:87 192.168.1.33
MODULO 11.
54:e1:ad:01:24:1e 192.168.1.33
MODULO 12.
Curso El equipo marcado en negritas es el que está atacando y se
Introductorio anuncia como la IP 192.168.1.1, por lo que el resto de equi-
de Seguridad pos de la red le enviará los paquetes destinados al gateway.
Autor:
Ernesto Pérez Estévez El atacante normalmente opta por analizar, inspeccio-
nar el paquete que recibe, y luego, para que nadie se dé
MODULO 1. cuenta, lo entrega al verdadero gateway para que conti-
núe su camino.
MODULO 2.
¿Cómo prevenir o mitigar este ataque?
MODULO 3.
MODULO 4. · Usar tablas ARP estáticas: los hosts de la red podrían

tener grabadas estáticamente en sus tablas ARP las direc-
MODULO 5. ciones de los equipos principales de la red (por ejemplo, el
gateway) de forma tal que nadie pueda anunciarse y hacer-
MODULO 6.
se pasar por ellos. Ahora, incorporar contenido estático en
Seguridad
en redes TCP/IP los hosts requerirá un mayor esfuerzo de mantenimiento.
MODULO 7. · Software de detección de intentos de ARP spoofing: de-

tectar que múltiples MAC están asociadas a una misma IP
MODULO 8. sería una buena idea. Existe forma de incorporar esto a los
switches y routers de forma que no permitan este tipo de
MODULO 9.
situación o alerten sobre ella. En el caso de Linux existió un
MODULO 10. módulo del kernel llamado ArpStar y en el caso de Windows
existe AntiARP. Estas opciones para tienen sus desventa-
MODULO 11. jas, ya que requieren de un fuerte conocimiento de red para
usarse. Esto es, a un usuario normal se le presentarán qui-
MODULO 12.
zás más problemas que las ventajas que se le ofrecen.
Curso El ARP spoofing puede usarse incluso para realizar opera-
Introductorio ciones beneficiosas para la red, como por ejemplo depurar
de Seguridad o revisar el tráfico que ocurre en la red. Se puede hacer
spoofing de uno de los dos hosts para poder leer los pa-
Autor:
Ernesto Pérez Estévez quetes que se reciben y analizarlos.
MODULO 1. IP Spoofing
MODULO 2. El paquete IP tiene una IP de origen y una IP de destino.

Así, se asume como cierto que la IP de origen es la IP des-
MODULO 3.
de la cual fue enviado el paquete. Sin embargo, un ata-
MODULO 4. cante puede cambiar la IP de origen en el paquete para
hacer creer que viene de otro lugar.
MODULO 5.
¿Cómo se usa de forma malintencionada?
MODULO 6.
Seguridad
en redes TCP/IP · Muchas redes tienden a confiar en todos los equipos que
están en ella (por ejemplo, se confía en todos los equipos
MODULO 7. de la LAN), por lo que un atacante podría hacerse pasar
por un equipo de la LAN cambiando la dirección de origen.
MODULO 8. De esta forma, podría intentar hacer cambios u obtener
acceso en un determinado sistema pues se hizo pasar por
MODULO 9.
un origen legítimo.
MODULO 10.
En este caso las respuestas del servidor atacado van a
MODULO 11. parar a la dirección que se falsificó, por lo que el atacante
debe estar escuchando el tráfico de red, pues de lo con-
MODULO 12.
trario no recibirá nada. Otra variante es que al atacante no
Curso le interesen las respuestas, sino que se contente simple-
Introductorio mente con enviar datos sin preocuparse por lo que se res-
de Seguridad ponda y con eso lograr su objetivo.
Autor:
Ernesto Pérez Estévez · A veces lo que buscan es que sistemas de nuestra red
respondan con mucha cantidad de datos a terceros. Le
MODULO 1. hacen creer a nuestros equipos que un servidor —por
ejemplo, Facebook— le ha solicitado algo. Esto se logra
MODULO 2. poniendo como dirección de origen la de Facebook. En-
tonces, nuestros equipos le envían respuestas (mientras
MODULO 3.
más grandes, peor para el destino). Un ataque de miles de
MODULO 4. equipos enviando grandes respuestas a Facebook es un
ataque de negación de servicios (DDOS) por inundación a
MODULO 5. este sitio. Además, el culpable habrá enviado esa informa-
ción desde nuestra red.
MODULO 6.
Seguridad
en redes TCP/IP ¿Cómo prevenir o mitigar este ataque?
MODULO 7. Una de las formas más comunes de evitar este ataque

es a nivel del firewall de la red. Los cortafuegos no deben
MODULO 8. permitir que ingresen paquetes desde Internet a la red
con una dirección de origen que pertenezca a nuestra red
MODULO 9.
local. Estos paquetes deben ser bloqueados.
MODULO 10.
E-mail address spoofing
MODULO 11.
Esta técnica es muy utilizada por parte de personas que
MODULO 12.
envían spam, pero también por quienes intentan hacerse
Curso pasar por otra persona para confundir y lograr objetivos
Introductorio poco claros. Por ejemplo, hacerse pasar por el jefe de una
de Seguridad empresa y dar indicaciones de que se desarrollen activi-
dades o entregas de equipo o de dinero.
Autor:
El protocolo SMTP permite que uno defina quién es el que
MODULO 1. está enviando el mail. Esto implica que pueda decírsele al
servidor que el correo se envía desde gerencia@nuestro-
MODULO 2. dominio.com y que el servidor deba aceptarlo a pesar de
que quien lo envía no sea [email protected].
MODULO 3.
MODULO 4. Por ejemplo, a una empresa importadora se le hicieron

pasar por el fabricante, que era una empresa famosísi-
MODULO 5. ma a nivel mundial de venta de equipos Wi-Fi. El atacante
ponía en el from el correo electrónico de esta empresa,
MODULO 6.
pero además agregaba un campo adicional, el reply to, de
Seguridad
en redes TCP/IP forma que cuando se respondía al correo enviado, este
no llegaba al fabricante sino a un servicio de correo de un
MODULO 7. tercero. Así lograron convencer a la importadora de hacer
transferencias de cientos de miles de dólares a este ter-
MODULO 8. cero bajo el pretexto de que era la sucursal de este fabri-
cante en otro país.
MODULO 9.
MODULO 10. ¿Cómo prevenir o mitigar este ataque?
MODULO 11. Se debe actuar con sensatez y cuando se solicitan valores

o entregas de muy alto valor confirmar por otras vías con
MODULO 12.
quien dice haberlo enviado.
Curso Otra forma es mirar siempre a quién va dirigido el mail y de
Introductorio que dice venir. Así evitamos los reply to.
de Seguridad
Hay otras variantes que pueden implementarse por softwa-
Autor:
Ernesto Pérez Estévez re, pero no son totalmente confiables. Por ejemplo, revisar
que el servidor desde donde se envió el mail sea un servi-
MODULO 1. dor autorizado para enviar a nombre del remitente del co-
rreo. No puede ser que alguien se haga pasar por, por ejem-
MODULO 2. plo, [email protected] y esté enviando un mail desde un
servidor de una tienda de zapatos localizada en Hungría.
MODULO 3.
MODULO 4. Existe una técnica llamada Sender Policy Framework

(SPF) que intenta validar que el servidor de origen de un
MODULO 5. mail sea el autorizado por su remitente. Se puede ver más
información al respecto en http://www.openspf.org/ y en
MODULO 6.
https://es.wikipedia.org/wiki/Sender_Policy_Framework
Seguridad
en redes TCP/IP
Website spoofing
MODULO 7.
Esta opción es muy utilizada por personas que intentan
MODULO 8. robar credenciales de otros sitios. Consiste en hacer un
sitio idéntico o muy similar al original y hacerle creer al
MODULO 9.
usuario que se trata del sitio real.
MODULO 10.
Phishing: es una palabra muy común y la técnica que
MODULO 11. nombra consiste en tratar de robar credenciales de usua-
rios. Una forma de hacer phishing es hacerle creer a un
MODULO 12.
usuario que está entrando en el verdadero sitio web.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
La imagen anterior es intento de suplantar un sitio. Parece
MODULO 9. hotmail, dice «Microsoft», tiene el logo de Microsoft, pa-
rece el enlace de login de Microsoft, al fondo a la derecha
MODULO 10.
dice «copyright 2017 Microsoft» y tiene «Terms of Use».
MODULO 11.
MODULO 12.
Curso Además, si se mira la URL dice al final:
Introductorio “hotmail/login.php?cmd=login_submit&id=...”,
de Seguridad muy similar a hotmail.
Autor:
Ernesto Pérez Estévez Medidas de precaución:
MODULO 1. · Revisar bien las alertas que nuestro navegador puede dar.
En este ejemplo, en rojo dice: «Deceptive Site… Get me out
MODULO 2. of here!». Los navegadores más populares tienen incorpo-
radas listas de sitios que con contenidos de tipo malicioso o
MODULO 3.
confuso (deceptives).
MODULO 4.
· Revisar bien la URL: parece Hotmail, pero el nombre del
MODULO 5. sitio no dice «Hotmail», sino «fabriciolima.com».
MODULO 6.
· Verificar que la URL utilice HTTPS (en este caso no lo utili-
Seguridad
en redes TCP/IP za: no tiene el candadito ni la señal verde en la URL).
MODULO 7. La imagen siguiente muestra otro ejemplo de website

spoofing:
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso DNS spoofing
1
Para una lista de registradores
acreditados pueden consultar
Introductorio en https://www.icann.org/
de Seguridad Es un caso que puede llegar a tener gran impacto en los registrar-reports/accredited-
list.html
clientes. Muchas veces viene combinado con el caso an-
Autor:
Ernesto Pérez Estévez terior de website spoofing, pero en este caso además de
hacer un sitio que parezca el verdadero sitio un atacante
MODULO 1. falsea además las respuestas que nuestro servicio de DNS
da para que aparezca el verdadero nombre del sitio.
MODULO 2.
Este tipo de ataques es conocido también como envene-
MODULO 3.
namiento de caché de DNS y se puede realizar de diver-
MODULO 4. sas formas:
MODULO 5. · El atacante puede redirigir el nombre del servidor de DNS

de un dominio hacia otra IP que controla, dando respues-
MODULO 6.
tas a las preguntas de la forma en que más le convenga.
Seguridad
en redes TCP/IP
Cuando alguien registra un dominio, tiene que declarar al
MODULO 7. menos dos servidores de DNS (y sus IP). Esta labor se hace
en lo que se conoce como un registrador. Existen muchos
MODULO 8. registradores, como por ejemplo: godaddy.com, enom.com,
markmonitor.com, networksolutions.com, etcétera 1.
MODULO 9.
MODULO 10. Por ejemplo, Facebook.com está registrado a través del

registrador markmonitor.com se puede ver en la imagen a
MODULO 11. continuación:
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
En el mismo comando whois al final están los DNS de
MODULO 7. Facebook:
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11. Si un atacante logra confundir, engañar, convencer al

registrador Facebook de que cambie la IP o que cam-
MODULO 12.
bie uno de los DNS que Facebook registró e indicarle al
Curso proveedor que la IP de a.ns.facebook.com ya no es la
2
Ver más en https://dyn.com/
blog/use-of-bit-0x20-in-dns-
Introductorio 69.171.239.12 sino que es otra IP localizada en otro lugar labels/
de Seguridad del planeta y fuera del control de Facebook, podría en-
tonces montar una falsa página de Facebook para todos
Autor:
Ernesto Pérez Estévez o para un grupo de los usuarios que pregunten a su ser-
vicio de DNS y obtener información de estos usuarios,
MODULO 1. como usuarios o claves.
MODULO 2. Es posible, con suficiente amabilidad, habilidades huma-

nas y tiempo, confundir a un registrador y hacernos pasar
MODULO 3.
por el legítimo dueño de un dominio.
MODULO 4.
· Aleatorización de puertos: los DNS utilizarán puertos
MODULO 5. aleatorios para realizar sus consultas y si las respuestas
vienen de puertos que no están activos al momento, estas
MODULO 6.
consultas serán descartadas.
Seguridad
en redes TCP/IP
· Utilización de 0x202: es una sugerencia que lleva años
MODULO 7. propuesta y consiste en que los nombres de dominio no
sean sensitivos a las mayúsculas y minúsculas: da lo mis-
MODULO 8. mo preguntar por GooGLE.cOM que por google.com, pero
los DNS responden con las mismas mayúsculas y minús-
MODULO 9.
culas con que se les pregunta: si se les pregunta por Goo-
MODULO 10. GLe.Com la respuesta no llegará como google.com, sino,
precisamente, como se les preguntó: GooGLe.Com. Se su-
MODULO 11. giere cambiar las combinaciones de mayúsculas y minús-
culas de forma aleatoria y aceptar solamente la respuesta
MODULO 12.
que venga con el mismo tipo de letra, de forma tal que un
Curso atacante que no sepa que se preguntó por GOOgle.cOM y
Introductorio envíe una respuesta como google.com, al tener nuestro
de Seguridad servidor DNS 0x20 activado, esta respuesta sería descar-
tada por inválida, por no venir con la misma combinación
Autor:
Ernesto Pérez Estévez de mayúsculas y minúsculas.
MODULO 1. · También pueden utilizarse otras técnicas como DNSSEC

o DNS crypt que envían las respuestas a través de meca-
MODULO 2. nismos de encriptación, de modo que un atacante tendría
dificultades para tratar de falsear la respuesta que viene
MODULO 3.
encriptada.
MODULO 4.
Botnets
MODULO 5.
Botnet viene de red de robots (robot=bot) y en consiste en
MODULO 6.
un grupo de máquinas en diversos lugares de Internet que
Seguridad
en redes TCP/IP están siendo controladas por un tercero, con la finalidad
de realizar actividades maliciosas.
MODULO 7.
¿Cómo sucede esto? ¿Cómo las controlan?
MODULO 8. El atacante logra infectar estas máquinas a través de un
malware que distribuye:
MODULO 9.
MODULO 10. · En forma de correos masivos.
MODULO 11. · Convenciendo a los usuarios de que instalen desde Inter-

net el programa malicioso: muchas veces esta oferta viene
MODULO 12.
disfrazada como un programa que ayudará a resolver un
Curso problema de seguridad, o le permitirá al usuario jugar gra-
Introductorio tis, lo que hará que el usuario instale el malware.
de Seguridad
· Propagándose en forma de virus.
Autor:
Este programa malicioso se conecta entonces a un centro
MODULO 1. de comando y control (CCC) que no es más que un equipo
en Internet al que las máquinas contaminadas se «repor-
MODULO 2. tan»: le avisan al servidor «estoy aquí y lista para obede-
cer tus comandos»).
MODULO 3.
MODULO 4. Un CCC puede manejar varios cientos de miles de má-

quinas contaminadas, todas ellas a la espera de instruc-
MODULO 5. ciones desde el CCC. Así, el atacante dueño de la botnet,
conocido como el dueño de la red (botmaster) puede, a
MODULO 6.
través del CCC, dar indicaciones a las máquinas.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
BOTMASTER
MODULO 1.
C&C - SERVERS
MODULO 2. (COMMAND - CONTROL)
MODULO 3.
MODULO 4.
INFECTED COMPUTERS
MODULO 5. (ZOMBIES)
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Para los siguientes ejemplos debe tenerse en cuenta que
Introductorio serán ejecutados por decenas de miles o cientos de miles
de Seguridad de bots controladas por el CCC:
Autor:
Ernesto Pérez Estévez · Bajen una copia de www.facebook.com
MODULO 1. · Tomen esta lista de un millón de correos electrónicos y

tengan este texto del mensaje. Envíen cada una de uste-
MODULO 2. des diez correos de spam.
MODULO 3.
· Envíenme todos los documentos que encuentre en sus
MODULO 4. máquina al email [email protected]
MODULO 5. Estos son tres ejemplos, no los únicos, pero dan una idea
del poder de una botnet. ¿Qué representaría para www.
MODULO 6.
facebook.com que repentinamente cien mil máquinas ba-
Seguridad
en redes TCP/IP jaran una copia del sitio a la vez? ¿Qué implicaría esto para
Facebook? Ellos tendrían que servir a cien mil peticiones
MODULO 7. mostrar el sitio de Facebook.
MODULO 8. Claro, Facebook puede tener suficientes recursos para

soportar que, repentinamente, se le soliciten desde cien
MODULO 9.
mil lugares diferentes de Internet ver su sitio, pero un sitio
MODULO 10. más pequeño, con menos recursos que el de Facebook no
podrá cumplir en un instante con las cien mil peticiones.
MODULO 11. Habrá sido objeto de un ataque de DDOS.
MODULO 12.
Curso Lo mismo sucedería con el segundo ejemplo: cien mil má-
Introductorio quinas enviando cada una diez correos de spam podrán
de Seguridad enviar 100.000 * 10 = 1.000.000; un millón de correos de
spam en pocos segundos.
Autor:
El tercer ejemplo es un caso típico de robo de información:
MODULO 1. se trata de una máquina contaminada y el programa que
la contamina ha sido instruido para enviar los documentos
MODULO 2. (fotos, videos o todos ellos) a un correo que luego el ata-
cante podrá revisar y usar para extorsionar al afectado o
MODULO 3.
vender secretos obtenidos.
MODULO 4.
¿Cómo mitigar el problema de las botnets?
MODULO 5.
En principio las botnets tienen un esquema difícil de eli-
MODULO 6.
minar: son decenas o cientos de miles de máquinas a lo
Seguridad
en redes TCP/IP largo y ancho del planeta, equipos que se han contamina-
do en las casas de diversos usuarios, o pequeñas, media-
MODULO 7. nas o grandes empresas.
MODULO 8. Habría que descontaminar estos equipos, pero ¿cómo se

haría en decenas de miles de lugares en todo el mundo?
MODULO 9.
Se deberá esperar a que los usuarios y administradores se
MODULO 10. concienticen y ejecuten antivirus en sus máquinas o las
actualicen para evitar que sean contaminadas. Mientras
MODULO 11. unos lo harán, otros equipos desde lugares diferentes del
planeta pasarán a incorporarse a las filas de la botnet.
MODULO 12.
Curso Una forma más efectiva de luchar contra las botnets es
Introductorio atacar al CCC. Inicialmente las máquinas se conectaban a
de Seguridad una dirección IP, entonces los investigadores de seguridad
podían analizar el tráfico de una máquina contaminada y
Autor:
Ernesto Pérez Estévez determinar cuál era la IP en la que el CCC estaba localizado.
Luego se planificaba una acción en conjunto con la policía
MODULO 1. del país donde estaba el CCC y se apagaba, o, mejor aún, en
lugar de apagarlo, se colocaba un equipo señuelo, controla-
MODULO 2. do por la policía o por los investigadores, de modo que todo
bot que se conectara al señuelo fuera detectado, pues ellos
MODULO 3.
seguirán queriendo conectarse a la IP ahora controlada por
MODULO 4. el atacante. Una vez detectado, se podría avisar al respon-
sable de esas IP que están contaminadas.
MODULO 5.
El anterior es un ejemplo muy simple, pero los atacantes
MODULO 6.
complejizan cada vez más sus botnets. Por ejemplo, si en
Seguridad
en redes TCP/IP vez de una IP fija se usa un nombre de dominio y el atacan-
te registra un dominio mybtnet.pw y apunta www.mybtnet.
MODULO 7. pw a la IP 1.2.3.4 y si la policía lograra controlar la IP 1.2.3.4,
al atacante le alcanzaría con cambiar la IP, apuntarla a otro
MODULO 8. lugar en otro país: 4.3.2.1 para mantener viva su botnet.
MODULO 9.
¿Qué se debe hacer ante este caso? Los organismos de
MODULO 10. cumplimiento de la ley y la Justicia deben controlar no so-
lamente la IP, sino el dominio. Para ello se trabaja con las
MODULO 11. empresas registradoras de dominios para que, mediante
ciertos protocolos, quiten el control de este dominio y se
MODULO 12.
lo den a las autoridades, quienes pueden apagar la botnet.
Curso Sin embargo, ahora los atacantes codifican dentro de los
Introductorio bots una lista de dominios de forma tal que si las autorida-
de Seguridad des controlan a un dominio de la lista, el atacante activa
a otro. Entonces se hace más difícil para las autoridades
Autor:
Ernesto Pérez Estévez controlar no ya una IP y un dominio, sino múltiples do-
minios (cinco, diez o cien). Así es como se comportan las
MODULO 1. botnets en la actualidad.
MODULO 2. Es necesario aclarar que varias de las fallas aquí descritas

no tienen una solución definitiva, pero que sí existen me-
MODULO 3.
didas que permiten mitigar ataques hacia ellas.
MODULO 4.
3. Formas de ataque (directo, a través de terceros, a tra-
MODULO 5. vés de un control maestro)
MODULO 6.
¿Cómo hacen los atacantes para evitar ser descubiertos?
Seguridad
en redes TCP/IP Debe indicarse en primer lugar que toda actividad en In-
ternet deja algún tipo de traza, pero los atacantes buscan
MODULO 7. métodos ingeniosos para hacer recaer la culpa en terce-
ros, no en ellos.
MODULO 8.
¿Cómo ocultan su identidad?:
MODULO 9.
MODULO 10. · No usan sus verdaderos nombres. En lugar de llamarse

José de las Mercedes y Ribadeneira, en este submundo se
MODULO 11. hacen llamar con nombres de dibujos animados o inventa-
dos: GokuSpain666.
MODULO 12.
Curso · En vez de su foto de perfil con un perrito, lo que hace es
Introductorio poner algún signo o imagen que no tenga relación alguna
de Seguridad con su persona.
Autor:
Ernesto Pérez Estévez Se conectan de varias formas, una de las cuales es apro-
vechar una conexión cuyo dueño no sea cuidadoso y per-
MODULO 1. mita a otros conectarse a través de ella. No se conectan a
hacer daño desde su casa o trabajo. Para conectarse uti-
MODULO 2. lizan redes que no son de ellos. Por ejemplo, en un ciber-
café, una escuela o universidad o un garage se conectan
MODULO 3.
a un cable de red que por error haya quedado conectado
MODULO 4. a una red de una empresa, o se conectan a en equipo de
Wi-Fi con una clave débil, o, mejor aún, que no tiene clave.
MODULO 5. También se conectan desde un aeropuerto o un parque
que ofrezca Wi-Fi gratis.
MODULO 6.
Seguridad
en redes TCP/IP En fin, el atacante, al no ser el responsable de esos equi-
pos, puede hacer y deshacer a su antojo y cuando las au-
MODULO 7. toridades vayan a buscar al proveedor de Internet a pre-
guntar por una determinada dirección IP, el proveedor de
MODULO 8. Internet lo único que podrá decir es que esa IP está asig-
nada a un usuario o a una empresa.
MODULO 9.
MODULO 10. ¿Qué harán las autoridades? Tomarán la pista que el pro-
veedor de Internet les da y acudirán al usuario o empresa
MODULO 11. a la que esta IP está asignada, para averiguar cosas que el
titular de la red desconoce.¿Por qué las desconoce? Por-
MODULO 12.
que no es el dueño de la casa o de la empresa el culpable
Curso del ataque. El atacante es un tercero que está conectándo-
Introductorio se o se conectó en el pasado desde esa red, sin permiso.
de Seguridad
Es por eso que no debe dejarse ni un solo espacio para
Autor:
Ernesto Pérez Estévez que un tercero entre a nuestras redes, porque, de lo con-
trario, podrían sucedernos historias como esta.
MODULO 1.
Otra forma de atacar es la remota: el atacante encuentra
MODULO 2. una falla en un dispositivo en algún lugar de Internet y esta
falla le permite entrar al dispositivo. Entonces le ordena a
MODULO 3.
este dispositivo que haga acciones por él. Lo usará de pun-
MODULO 4. ta de lanza para atacar a otros. Cuando los otros vean quién
los está atacando notarán que es este dispositivo pero el
MODULO 5. propietario de ese dispositivo no sabrá por qué lo están
contactando las autoridades para saber por qué su equipo
MODULO 6.
está realizando acciones maliciosas hacia terceros.
Seguridad
en redes TCP/IP
Esta última variante es bastante utilizada, pues involucra
MODULO 7. a varios países. Este es solo un ejemplo: un atacante loca-
lizado en Angola utilizará un dispositivo que comprometió
MODULO 8. en Tailandia para atacar un sitio web de México. El esfuer-
zo coordinado que las autoridades tendrán que hacer para
MODULO 9.
que las de México contacten a las de Tailandia —desde
MODULO 10. donde viene supuestamente el ataque—, para que enton-
ces los tailandeses se den cuenta de que el dispositivo
MODULO 11. está comprometido y monitoreen su tráfico y descubran
e informen a las autoridades de Angola que desde una IP
MODULO 12.
angoleña hay un ataque hacia un equipo en México? Es
Curso de eso que se aprovechan los atacantes: de la cantidad
Introductorio de dispositivos fáciles de atacar y de lo lento que pueden
de Seguridad actuar las autoridades de distintos países.
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Seguridad
en redes TCP/IP
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio Introducción
de Seguridad
Autor:
a la criptografía
· Fundamentos de la criptografía
· Cifrado simétrico
MODULO 1. · Cifrado asimétrico
MODULO 2. · Firma electrónica
· Hashing
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
7.
Conceptos básicos y terminología
MODULO 1.
Este capítulo comienza de una forma inusual, con algunas
MODULO 2.
palabras del griego:
MODULO 3.
Kriptós= ‘oculto’
MODULO 4. grápho= ‘escritura’
análysis= ‘análisis’
MODULO 5. logo= ‘estudio’
MODULO 6.
Veremos a continuación un brevísimo resumen sobre la
MODULO 7. criptografía.
Introducción
a la criptografía ¿Qué es la criptografía? Es lograr ocultar de la vista de un
observador casual información que no se quiere que sea
MODULO 8.
pública.
MODULO 9.
cripto (‘oculto’) + grafía (‘escritura’) = ‘escritura oculta’,
MODULO 10. ‘escritura que no puede verse’.
MODULO 11. La criptografía es muy utilizada en seguridad pues puede

MODULO 12.
intervenir —y de hecho lo hace— en dos de los tres elemen-
tos de la tríada CIA: la confidencialidad (trata de impedir
Curso que un mensaje sea leído por alguien no autorizado) e inte-
Introductorio gridad (ayuda a detectar cambios realizados en la informa-
de Seguridad ción por parte de un tercero no autorizado).
Autor:
Ernesto Pérez Estévez Muchas aplicaciones tienen la criptografía incorporada para
brindar seguridad informática, entre ellas:
MODULO 1.
· Autenticación: para que un usuario se pueda autenticar,
MODULO 2. tiene que haber dado previamente su clave al sistema.
¿Cómo se almacena esta clave en un sistema de un terce-
MODULO 3.
ro de forma que solamente el usuario pueda conocerla?
MODULO 4.
· Comunicación segura: ¿Cómo se garantiza que la infor-
MODULO 5. mación que viaja a través de un medio lo haga de forma
confidencial?
MODULO 6.
MODULO 7. · Integridad de la información: se debe garantizar que se

Introducción puedan detectar modificaciones en la información que se
a la criptografía almacena o se transmite.
MODULO 8. · Dinero electrónico: la criptografía interviene de forma

muy importante a la hora de utilizar dinero electrónico,
MODULO 9.
con la finalidad de evitar transacciones fraudulentas.
MODULO 10.
· Firma digital: la criptografía permite también que se pueda
MODULO 11. garantizar que un documento haya sido escrito o enviado
por quien dice haberlo hecho y no por un impostor.
MODULO 12.
Curso Fundamentos de criptografía
Introductorio
de Seguridad Actualmente, la criptografía se basa en algoritmos funda-
mentalmente matemáticos que realizan operaciones muy
Autor:
Ernesto Pérez Estévez complejas para el que desconoce una parte de la informa-
ción, tan complejas que puede tomarle miles o millones de
MODULO 1. años descubrir un mensaje. Estos algoritmos deben ser
muy robustos y resistir intentos de buscar atajos en el
MODULO 2. proceso con la finalidad de agilizar el descubrimiento del
contenido de un mensaje.
MODULO 3.
MODULO 4. Para ello, los algoritmos se desarrollan normalmente a lo

largo de muchos años, durante los cuales donde se re-
MODULO 5. ciben aportes de científicos expertos en el área que pro-
ponen mejoras y cambios. Luego, estos algoritmos se
MODULO 6.
exponen a la comunidad de criptógrafos, quienes, duran-
MODULO 7. te otros tantos años verifican y validan que tanto el com-
Introducción portamiento de los algoritmos como las modificaciones o
a la criptografía mejoras hechos sobre ellos, impidan que de una forma
trivial sea descubierta una solución para descifrarlos.
MODULO 8.
La única solución que en la mayoría de las ocasiones los
MODULO 9.
atacantes logran encontrar es la aplicacación de fuerza
MODULO 10. bruta. Esto es: probar diversas variantes hasta descubrir
la información que les falta. Esta información que falta es,
MODULO 11. normalmente, la clave con la que se está encriptando.
MODULO 12.
Curso Ataques de fuerza bruta
Introductorio
de Seguridad ¿No han aplicado uds técnicas de fuerza bruta a las claves
alguna vez? Por ejemplo, si una persona tiene dos niños,
Autor:
Ernesto Pérez Estévez lo más probable es que su clave sea los nombres de esos
dos hijos, o sus nombres pero con el agregado de una ci-
MODULO 1. fra, como el año actual o el anterior: «EduardoMaria2015»
es un buen inicio, y si no funciona, se pueden ir probando
MODULO 2. variantes sobre esa base. Claro, podría tomar unos segun-
dos entrar a la cuenta, o muchos miles de años si se hace
MODULO 3.
necesario probar muchas variantes.
MODULO 4.
Incluso las máquinas pueden hacer labores de fuerza bru-
MODULO 5. ta mucho más intensivas, como por ejemplo comenzar a
probar en el siguiente orden:
MODULO 6.
MODULO 7. · aaaaaaaaaa
Introducción · aaaaaaaaab
a la criptografía · aaaaaaaaac
·…
MODULO 8. · baaaaaaaaa
· baaaaaaaab
MODULO 9.
· baaaaaaaac
MODULO 10. · ….
· Aaaaaaaaaa
MODULO 11. · Aaaaaaaaab
· …..
MODULO 12.
Curso Y así sucesivamente hasta lograr, un día, encontrar la clave.
Introductorio
de Seguridad Claro, con claves de diez caracteres de tamaño y la posibi-
lidad de escribir de a-z, A-Z, 0-9 y algunos signos, la posi-
Autor:
Ernesto Pérez Estévez bilidad de encontrar una clave es baja, pero con tiempo y
un procesador suficientemente bueno se puede lograr en
MODULO 1. algunas semanas o meses. Ahora, diez caracteres —como
en los ejemplos anteriores— es un valor muy bajo: ya hay
MODULO 2. personas que utilizan 13 o muchos más caracteres, lo que
incrementa la dificultad de que su clave pueda descifrarse.
MODULO 3.
MODULO 4. Con la finalidad de entenderlas mejor, veamos algunos

términos que, de forma gráfica y textual usaremos duran-
MODULO 5. te este capítulo:
MODULO 6.
¿Cómo se transmite tradicionalmente un mensaje? El emi-
MODULO 7. sor envía un mensaje en texto claro (es decir, que puede
Introducción ser leído por cualquiera) a un receptor. Esto es lo normal
a la criptografía cuando no hay preocupaciones sobre la seguridad. Por
ejemplo, cuando en una radio se transmite un comercial,
MODULO 8. no se transmite cifrado, pues si así lo hicieran nadie o casi
nadie podría entenderlo.
MODULO 9.
MODULO 10. El uso del cifrado depende del objetivo que tenga el emisor
del mensaje. En el caso anterior del comercial en la radio, es
MODULO 11. claro que es ventajoso enviarlo sin cifrar.
MODULO 12.
Curso
Introductorio
de Seguridad Emisor Receptor
Autor:
Retomando la seguridad informática, cuando se quie-
MODULO 1. re enviar un mensaje que es sensible para una empresa
(como por ejemplo informar que la empresa va a ganar un
MODULO 2. contrato muy lucrativo), ¿es normal enviarlo en texto cla-
ro? ¿Qué sucedería si alguien lo escuchara?
MODULO 3.
MODULO 4. En la siguiente imagen podemos ver cómo un intruso cap-

tura el mensaje en texto claro que el emisor está enviando
MODULO 5. al receptor. Esto es conocido como intercepción. Es co-
mún oír hablar de escuchas telefónicas o de personas a
MODULO 6.
quienes les roban información de sus dispositivos móviles,
MODULO 7. que luego se publica (fotos de desnudos o información
Introducción sensible de un gobierno o empresa, etcétera).
a la criptografía
MODULO 8.
MODULO 9.
MODULO 10. Emisor Receptor
MODULO 11.
MODULO 12.
Intruso
Curso Recordemos que en el mundo digital, cuando se roba algo
normalmente su destinatario no lo pierde, sino que lo com-
Introductorio parte. Esto es: al mensaje lo ha escuchado el receptor, pero
de Seguridad también un intruso… Ambos tienen la misma información.
Autor:
Ernesto Pérez Estévez Otro caso igual de dañino es cuando un intruso no sola-
mente escucha, sino que además modifica el mensaje en
MODULO 1.
su beneficio. Esto se conoce como falsificación.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
Introducción
a la criptografía
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso O un atacante puede generar un mensaje haciéndose pasar
Introductorio por el verdadero emisor:
de Seguridad
Autor:
MODULO 1.
Emisor Receptor
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6. Intruso
MODULO 7.
Introducción
a la criptografía
¿Por qué puede hacer esto un intruso? Porque el mensaje
MODULO 8. está en texto claro, esto es: el intruso puede leerlo perfec-
MODULO 9.
tamente y hasta modificarlo. Si el mensaje estuviera encrip-
tado sería muy difícil de interceptar o modificar, pues el ata-
MODULO 10. cante necesitaría conocer la clave con la que se lo cifró.
MODULO 11. ¿Y si el emisor encriptara el mensaje antes de enviarlo? ¿Y el

receptor lo desencriptara al recibirlo? A continuación se ilus-
MODULO 12.
tra este proceso.
Curso Clave
(o llave)
Introductorio
de Seguridad
Autor:
Mensaje en Algoritmo Mensaje en
MODULO 1. texto claro de cifrado texto cifrado
MODULO 2.
MODULO 3. Cifrado (Encriptación)
MODULO 4.
Descifrado (Desencriptación)
MODULO 5.
MODULO 6.
La lectura de izquierda a derecha nos describirá el proceso
MODULO 7. de cifrado: al «Mensaje en texto claro» se lo entrega a un
Introducción algoritmo que realiza el cifrado y además se le entrega una
a la criptografía clave. Con esta clave el algoritmo generará un «Mensaje de
texto cifrado». En cambio, si se lee de derecha a izquierda,
MODULO 8.
ocurre el proceso inverso: se entrega un «Mensaje en texto
MODULO 9. cifrado» a un algoritmo que, mediante el uso de una clave,
procederá a entregar un «Mensaje en texto claro».
MODULO 10.
Es así como, en sentido muy general, ocurre el proceso de
MODULO 11. encriptamiento y desencriptamiento de la información.
MODULO 12.
Curso · El emisor prepara un mensaje en texto claro.
Introductorio
de Seguridad · Se lo cifra a través de un algoritmo de cifrado y una clave
específica.
Autor:
· El mensaje cifrado viaja por la red.
MODULO 1.
· Al llegar al receptor, se descifra con un algoritmo y una cla-
MODULO 2. ve específica.
MODULO 3.
· El mensaje es leído por el receptor.
MODULO 4.
Las operaciones de preparar el mensaje y cifrarlo ocurren
MODULO 5. dentro del emisor. Las operaciones de descifrar el men-
saje y leerlo ocurren dentro del receptor. Por ello ambas
MODULO 6.
están enmarcadas en un recuadro punteado en la ilustra-
MODULO 7. ción siguiente.
Introducción
a la criptografía El intruso puede intervenir ya cuando el mensaje sale del
emisor y antes de llegar al receptor, pero en ese trayecto
MODULO 8. el mensaje está cifrado, por lo tanto, no podrá leer su con-
tenido lógico ni podrá intentar modificarlo, excepto que
MODULO 9.
conozca la clave.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio Mensaje en Mensaje Mensaje en
de Seguridad texto claro
Algoritmo
cifrado
Algoritmo
texto claro
Autor:
Emisor Receptor
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
Intruso
MODULO 6.
MODULO 7.
Clasificación de los sistemas de cifrado
Introducción
a la criptografía
Los sistemas de cifrado pueden clasificarse según las eta-
MODULO 8. pas históricas en sistemas de cifrado clásicos y sistemas
de cifrado modernos.
MODULO 9.
MODULO 10.
Los sistemas clásicos fueron aquellos utilizados hasta la
primera mitad del siglo XX y se ocupaban mayormente de
MODULO 11. tratar de garantizar la confidencialidad de la información,
con poco énfasis en garantizar su origen o en determinar
MODULO 12. si había sido modificada.
Curso La criptografía moderna se basa en dos formas funda-
Introductorio mentales de cifrar:
de Seguridad
· Cifrado simétrico: en este tipo de cifrado tanto el emisor
Autor:
Ernesto Pérez Estévez como el receptor conocen la clave con la que se realiza el
proceso de cifrado/descifrado.
MODULO 1.
· Cifrado asimétrico: en este tipo de cifrado el emisor po-
MODULO 2. see una clave y el receptor posee otra y con estas claves
pueden encriptar la información que enviarán a su con-
MODULO 3.
traparte o desencriptar la información que reciben de ella.
MODULO 4. Dicho de otra forma: la clave que poseen no sirve para
realizar las dos operaciones, si una de las partes la usa
MODULO 5. para encriptar, el mensaje cifrado no podrá ser descifrado
por esta parte: solamente la podrá descifrar quien posea
MODULO 6.
la otra clave. Por eso se conoce como asimétrico, pues no
MODULO 7. se usa la misma clave para realizar la operación inversa.
Introducción
a la criptografía Criptografía clásica
MODULO 8. Existieron muchos sistemas para enviar mensajes cifrados

antiguamente, pero no se profundizará en ellos, sino que se
MODULO 9.
mencionará un solo ejemplo.
MODULO 10.
Criptografía de César
MODULO 11.
Este método utilizaba una forma de encriptar mediante la
MODULO 12.
sustitución alfabética de un carácter por otro. También era
Curso un juego infantil frecuente, en el que se partía de un alfa-
Introductorio beto «normal»:
de Seguridad
ABCDEFGHIJKLMNOPQRSTUVWXYZ
Autor:
Ernesto Pérez Estévez Para ocultar lo que se enviaba se escribían los caracteres
partiendo del tercero a la la derecha. Por ejemplo, en lugar
MODULO 1. de escribir la A se escribía la D y en lugar de la B, la E y así
sucesivamente. Solía hacerse un pequeño «diccionario»
MODULO 2. para facilitar el proceso de sustitución de caracteres:
MODULO 3.
Alfabeto original:
MODULO 4. ABCDEFGHIJKLMNOPQRS T U V W X Y Z
MODULO 5. Caracteres a escribir:

DEFGHIJKLMNOPQRSTUV W X Y Z A B C
MODULO 6.
MODULO 7. Si se quiere escribir: NO OFREZCAN DESCUENTO, se cambia

Introducción la N del original por la Q, la O del original por la R, la F del ori-
a la criptografía ginal por la I y así hasta finalizar el texto para que quede así:
Q’RIIUHC SDV G’HVFR P S W H
MODULO 8.
Actualmente, con estos algoritmos es relativamente fácil-
MODULO 9.
descubrir el texto original, ya que usan sustitución de ca-
MODULO 10. racteres y en cada idioma existen caracteres que son los
más comunes y son fáciles de descubrir. Por ejemplo, la E
MODULO 11. es la letra más usada en el español, seguida por la A y la O,
por lo que se puede analizar la frecuencia con la que apare-
MODULO 12.
cen ciertos caracteres en un mensaje y es muy seguro que
Curso el que aparezca con mayor frecuencia sea la E, seguida po-
1
http://www.ahorcado.com/
letras-mas-usadas-en-espanol-
Introductorio siblemente por la A y, en algún momento, como en el juego y-en-otros-idiomas/
de Seguridad del ahorcado, se podrá deducir el resto de caracteres1.
Autor:
Ernesto Pérez Estévez Criptografía simétrica
MODULO 1. Pasemos ahora a los algoritmos actuales de cifrado. Se

comenzará por analizar la criptografía simétrica. Como se
MODULO 2. mencionó, este tipo criptografía se basa en que tanto el
que cifra (emisor) como el que descifra (receptor) compar-
MODULO 3.
ten una misma clave para realizar estas operaciones.
MODULO 4.
Se llaman simétricos porque tanto el que cifra como el
MODULO 5. que descifra realizan las mismas operaciones con las mis-
mas claves:
MODULO 6.
MODULO 7.
Introducción
Clave Clave
a la criptografía
K K
MODULO 8.
MODULO 9.
MODULO 10.
Mensaje en Algoritmo Mensaje Algoritmo Mensaje en
texto claro cifrado texto claro
MODULO 11. M C M
MODULO 12.
Curso Si se observa con atención, a la izquierda de la línea pun-
teada ocurre lo mismo que a su derecha. Se usan las mis-
Introductorio mas claves, se obtienen los mismos mensajes, se usan los
de Seguridad mismos algoritmos para encriptar y para desencriptar.
Autor:
Ernesto Pérez Estévez Ventajas de la criptografía simétrica
MODULO 1.
· El proceso de encriptamiento/desencriptamiento es muy
MODULO 2. rápido.
MODULO 3. · El proceso de configuración es bastante simple.

MODULO 4.
Desventajas de la criptografía simétrica
MODULO 5.
· Si ambos extremos deben tener la misma clave, ¿cómo
MODULO 6. se van a transmitir inicialmente de forma confidencial la
clave de un extremo al otro?
MODULO 7.
Introducción · Como las claves se manejan para cada par (emisor-re-
a la criptografía
ceptor), si fuera necesario tener sesiones encriptadas con
MODULO 8. varios puntos, se requeriría de una clave para cada par.
MODULO 9. En este sistema los algoritmos son normalmente de muy

rápida ejecución, pero, como se dijo, tienen una dificultad
MODULO 10.
y es cómo poner de acuerdo a ambos extremos en una
MODULO 11. misma clave de cifrado y cómo hacer que ambos extre-
mos la conozcan. Si ambos —emisor y receptor— están
MODULO 12. uno al lado del otro, entonces podrán decirse la clave en
Curso voz baja, mediante señas o escribiéndola en un papel que
Introductorio luego quemarán para que nadie la conozca. Sin embar-
de Seguridad go, usualmente no estarán uno al lado del otro. Entonces,
Autor: posiblemente exista la posibilidad de que ambos puedan
Ernesto Pérez Estévez visitarse aunque sea una vez en la vida y acordar una cla-
ve, aunque siempre es recomendable cambiar las claves
MODULO 1. con frecuencia, por razones de seguridad.
MODULO 2.
Lo más usual es que ambos extremos estén separados
MODULO 3. por miles de kilómetros y que nunca se vean. Entonces,
¿cómo van a transmitirse la clave? Este suele ser un pro-
MODULO 4. blema grave de los algoritmos de criptografía simétrica.
MODULO 5.
Otro problema se basa precisamente en esto mismo: si
MODULO 6. fuera necesario mantener comunicaciones secretas con
varias personas (no solamente entre dos) se deberán
MODULO 7. mantener llaves simétricas para cada una de las contra-
Introducción partes. Por ejemplo, si A necesita mantener conversacio-
a la criptografía nes secretas con B, C y D, serán necesarias tres claves:
MODULO 8.
· una clave para que A hable con B;
MODULO 9.
· otra clave para que A hable con C;
MODULO 10.
· otra para que A hable con D.
MODULO 11.
MODULO 12.
Curso Este mismo ejemplo se puede extender de tres a mil per-
Introductorio sonas más con las cuales una persona quisiera comuni-
de Seguridad carse, lo que volvería muy difícil mantener claves seguras.
Autor:
Ernesto Pérez Estévez ¿Qué uso se le puede dar a la criptografía simétrica?
MODULO 1. Son muchos sus usos, entre los cuales se destacan:
MODULO 2. · El cifrado de los contenidos de un archivo: se usa la mis-

ma clave para cifrarlos y para descifrarlos.
MODULO 3.
MODULO 4. · El establecimiento de una VPN de host a host, una VPN

entre dos puntos: ambos puntos acuerdan la clave y ci-
MODULO 5. fran/descifran con esa misma.
MODULO 6.
Criptografía asimétrica
MODULO 7.
Introducción El cifrado asimétrico proviene de una idea muy interesan-
a la criptografía te y es que maneja un par de claves para realizar las labo-
res de cifrado/descifrado, con la característica de que lo
MODULO 8. que se cifra con una clave solamente se puede descifrar
con la otra de ese par.
MODULO 9.
MODULO 10. Llamaremos a estas dos claves: “clave pública” y “clave

privada”:
MODULO 11.
MODULO 12.
Curso · La clave pública es aquella que se le da a todos los intere-
Introductorio sados en enviarle mensajes cifrados a un destinatario.
de Seguridad
· La clave privada es la que se mantiene secreta, de modo
Autor:
Ernesto Pérez Estévez que lo que se reciba cifrado por una clave pública se descifre
con la privada.
MODULO 1.
MODULO 2.
Clave pública Clave privada
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Mensaje en Algoritmo Mensaje Algoritmo Mensaje en

MODULO 7.
texto claro cifrado texto claro
Introducción M C M
a la criptografía
MODULO 8.
MODULO 9.
MODULO 10.
Nuevamente, si se mira la imagen anterior de izquierda a
MODULO 11. derecha se podrá observar que el mensaje es encriptado con
MODULO 12.
la clave pública y que solamente puede ser descifrado con la
privada, que posee únicamente el destinatario del mensaje.
Curso La clave pública la pueden tener miles de personas, que
solo podrán encriptar la información con esa clave y so-
Introductorio lamente quien tenga la clave privada podrá descifrar este
de Seguridad contenido. Los demás, quienes tienen la clave pública, no
Autor: podrán descifrarla.
Como se puede ver, esta es una forma muy cómoda de
MODULO 1.
enviar un mensaje secreto entre dos personas que no se
MODULO 2. conocen y que no han acordado previamente una clave de
encriptación.
MODULO 3.
¿Qué pasa alguien encripta algo con la clave privada de
MODULO 4.
otro usuario y lo publica? ¿Quién podrá leer lo que encripta
MODULO 5. uno con su clave privada? ¡Todo el que tenga la clave pú-
blica! A modo de recordatorio, lo que se cifre con una cla-
MODULO 6. ve se descifrará con la opuesta. Más adelante en este ca-
pítulo se hablará sobre este caso, que es lo que se conoce
MODULO 7. como firma electrónica (o firma digital).
Introducción
a la criptografía
Ejemplo de uso
MODULO 8.
A continuación se describe con un ejemplo más detallado
MODULO 9. cómo ocurre el proceso de utilización de algoritmos asi-
métricos para el intercambio de información cifrada.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Servidor con clave pública-privada y cliente con clave
Introductorio pública-privada
de Seguridad
En este caso habrá un servidor con una clave pública
Autor:
Ernesto Pérez Estévez (pubS) y una privada (privS) y un cliente con una clave pú-
blica (pubC) y una privada (privC).
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4. Clente Servidor
MODULO 5. pubC privS

privC pubS
MODULO 6.
MODULO 7. 1. El cliente se conecta a un servidor y le solicita la clave

Introducción
a la criptografía
pública (pubS).
MODULO 8.
Cliente solicita la clave pública al servidor (pubS)
MODULO 9.
Servidor envía la clave pública al cliente (pubS)
MODULO 10.
Clente Servidor
MODULO 11.
pubC privS
MODULO 12. privC pubS
pubS
Curso 2. El cliente envía al servidor su clave pública (pubC).
Introductorio
de Seguridad Cliente envía su clave pública al servidor (pubC)
Autor:
MODULO 1. Cliente Servidor

privC pubS
pubS pubC
MODULO 3.
MODULO 4.
3. El cliente cifra toda la información que va a enviar al servi-
MODULO 5. dor con la clave pública del servidor que ha recibido (pubS).
MODULO 6.
4. El servidor puede descifrar todos los mensajes del clien-
MODULO 7. te, pues tiene la clave privada (privS) que es la pareja de la
Introducción clave pública que entregó al cliente (pubS).
a la criptografía
MODULO 8.
MODULO 9.

privC Cliente cifra todo el mensaje al servidor con pubS pubS
MODULO 12. pubS pubC
El servidor descifrará estos mensajes con privS
Curso 5. El servidor cifra toda la información que va a enviar al
Introductorio cliente con la clave pública del cliente que recibió (pubC).
de Seguridad
Autor: 6. El cliente puede descifrar todos los mensajes del servi-
Ernesto Pérez Estévez dor, pues tiene la clave privada (privC), que es la pareja de
la clave pública que entregó al servidor (pubS).
MODULO 1.
MODULO 2.
MODULO 3.

privC Servidor cifra todo mensaje al cliente con pubC pubS
pubS pubC
MODULO 6. El cliente descigrará estos mensajes con privC
MODULO 7.
Introducción
a la criptografía Ventajas
MODULO 8. · Se puede intercambiar información sin haber expuesto la
MODULO 9. clave en público.
MODULO 10. · Muchos clientes pueden usar la misma clave pública

para enviar información a un servidor.
MODULO 11.
· Usa tamaños grandes de clave, lo que dificulta el proceso
MODULO 12.
de descubrir la forma de descifrado.
Curso Desventajas
Introductorio
de Seguridad · Es lento en relación con los algoritmos de cifrado simé-
Autor: trico, y muy lento si se lo compara con la criptografía si-
Ernesto Pérez Estévez métrica, así que se ha optado por agregar un paso adicio-
nal al final del ejemplo anterior:
MODULO 1.
7. El cliente y el servidor acuerdan una clave de cifrado
MODULO 2.
simétrico a través de este canal seguro.
MODULO 3.
Combinación de criptografía simétrica y asimétrica
MODULO 4.
Para esta combinación el servidor genera la mitad de una
MODULO 5.
clave de cifrado simétrico y la envía al cliente cifrada con
MODULO 6. la clave pública del cliente (pubC).
MODULO 7.
Introducción
a la criptografía
Servidor genera la mitad de una clave de encriptación
simétrica y la envía cifrada al cliente con pubC
MODULO 8.
MODULO 9.

privC El cliente recibirá esta clave y la descifrará con privC pubS
MODULO 12. pubS pubC
Mitad de la clave: 85720275
Curso El cliente hace el paso final: genera la otra mitad de la cla-
Introductorio ve y se la envía al servidor cifrada con la clave pública del
de Seguridad servidor (pubS).
Autor:
Cliente genera la mitad de una clave de encriptación
MODULO 1. simétrica y la envía cifrada al servidor con pubS
MODULO 2.
MODULO 3.
MODULO 5.
pubC privS
privC El servidor recibirá esta cave y la descifrará con privS pubS
MODULO 6. pubS pubC
MODULO 7.
Introducción
a la criptografía
MODULO 8. Ambos tendrán entonces la clave completa: 8572027528406721
MODULO 9.
MODULO 10.
Al final del proceso, tanto el cliente como el servidor ha-
MODULO 11. brán acordado una clave de cifrado simétrico sin haber
tenido que encontrarse y podrán utilizarla para cifrar sus
MODULO 12.
comunicaciones.
Curso ¿Qué uso le podemos dar a la criptografía simétrica?
Introductorio
de Seguridad Tiene muchísimos usos en la actualidad, según se puede
ver en los siguientes ejemplos:
Autor:
· Secure Shell (SSH): permite realizar conexiones remotas
MODULO 1. a servidores de Unix/Linux. Estas conexiones cifran todo
el tráfico de la conexión de forma tal que la información no
MODULO 2. pueda ser obtenida fácilmente por un intruso.
MODULO 3.
· Secure Socket Layer (SSL): es una de las formas más
MODULO 4. populares de criptografía simétrica. Permite la conexión
entre un servidor y un cliente de forma segura sin que
MODULO 5. estos se hayan conocido previamente. El caso más típico
es un servidor web que ofrezca la posibilidad a sus clien-
MODULO 6.
tes de conectarse vía HTTPS, de modo que los clientes
MODULO 7. tendrán la tranquilidad de que la información viaja cifrada
Introducción entre ambos lados.
a la criptografía
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
Introducción
a la criptografía
MODULO 8. · Firma electrónica: se hablará de ella en la siguiente

sección.
MODULO 9.
· Virtual Private Networks (VPN): permiten mantener se-
MODULO 10.
siones de VPN con múltiples clientes sin tener que llevar
MODULO 11. un listado de todas las claves con ellos. Se entrega la clave
pública a los clientes y el servidor mantiene la clave privada
MODULO 12. y así puede descifrar todo el tráfico que ellos envíen.
Curso Firma electrónica
Introductorio
de Seguridad Al igual que sucede con el tema tratado en la sección an-
terior, lo que se encripte con la clave pública de un usua-
Autor:
Ernesto Pérez Estévez rio podrá ser descifrado con la clave privada. Esto es muy
usado para intercambiar claves secretas y seguras.
MODULO 1.
Había quedado pendiente determinar qué sucede si alguien
MODULO 2. cifra algo con su clave privada, ya que todos quienes tuvie-
ran la clave pública de esa persona (que al ser pública real-
MODULO 3.
mente podría obtenerse fácilmente) podrían descifrarla.
MODULO 4.
Esto aparentemente no es conveniente, mas no es ver-
MODULO 5. dad, ya que muchas veces se busca enviar un mensaje
público que pueda ser leído por miles de personas, pero
MODULO 6.
garantizando quién lo envió. Para ello el emisor simple-
MODULO 7. mente utiliza su clave privada para cifrar el mensaje y
Introducción quienes reciban el mensaje podrán descifrarlo utilizando
a la criptografía su clave pública.
MODULO 8. Si alguien quisiera hacerse pasar por el emisor enviando

un mensaje, tendría que utilizar un par de claves públi-
MODULO 9.
cas-privadas que no fueran las del emisor. Por lo tanto,
MODULO 10. quien reciba el mensaje que dice ser del emisor original, al
intentar usar la clave pública para descifrarlo, no podrá, y
MODULO 11. lo que pondrá en evidencia es que el mensaje no fue emi-
tido con la clave privada y que es, por ende, espurio.
MODULO 12.
Curso El proceso anterior puede describirse de la siguiente
Introductorio manera:
de Seguridad
· Un emisor tiene su clave pública (pub) y la privada (priv).
Autor:
· Otros han copiado o copiarán su clave pública (pub).
MODULO 1.
MODULO 2. Otros: tienen mi clave pública (pub)
MODULO 3.
MODULO 4.
Yo Otro
MODULO 5. pub
pub
MODULO 6. priv
MODULO 7.
Introducción Otro
a la criptografía pub
MODULO 8.
MODULO 9.
Otro
MODULO 10. pub
MODULO 11.
MODULO 12.
Curso · El emisor genera un mensaje y lo cifra con su clave pri-
Introductorio vada: mensaje (priv).
de Seguridad
Autor:
MODULO 1.
Yo Otro
pub
MODULO 2.
pub Mensaje cifrado con
priv priv mensaje (priv)
MODULO 3.
MODULO 4.
Otro
pub
MODULO 5.
MODULO 6.
MODULO 7.
Introducción Otro
pub
a la criptografía
MODULO 8.
· Los otros podrán descifrar ese mensaje pues tendrán la
MODULO 9. clave pública del emisor.
MODULO 10. Si un intruso quisiera hacerse pasar por este emisor origi-
nal, no tendría su clave privada (priv), por lo que quienes
MODULO 11. reciban ese mensaje que supuestamente proviene del
MODULO 12.
emisor original no podrán descifrarlo utilizando la clave
pública (pub) que guardan.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez Yo Otro
pub
MODULO 1. pub Mensaje cifrado con
priv priv mensaje (priv)
MODULO 2.
MODULO 3. Otro
pub
MODULO 4.
MODULO 5.
MODULO 6. Intruso Otro

pub
MODULO 7. pubIntruso Mnesaje cifrado con
Introducción privIntruso privIntruso mensaje
a la criptografía (privIntruso)
MODULO 8.
MODULO 9. Hashing
MODULO 10. Para finalizar este capítulo hablaremos del hashing. Co-
nocido también como cifrado de una vía, permite cifrar un
MODULO 11. texto o archivo de forma tal que el resultado del cifrado no
pueda volver a descifrarse nunca más.
MODULO 12.
Curso A continuación, un ejemplo:
Introductorio
de Seguridad
Autor:
Algoritmo de
hashing
MODULO 1. Bonjour le monde! 9a0af96bd38a790240a844f682ce1fb9
MODULO 2.
MODULO 3.
MODULO 4.
Al texto «Bonjour monde!» le aplicamos un algoritmo de
MODULO 5. hash, que arroja como resultado el valor de la derecha:
MODULO 6.
9a0af96bd38a790240a844f682ce1fb9.
MODULO 7. Si solamente se contara con el resultado de la derecha

Introducción (9a0af96bd38a790240a844f682ce1fb9) sería imposible
a la criptografía determinar el texto original. Es por ello que se llama cifra-
do de una vía.
MODULO 8.
MODULO 9. Algoritmos de hashing
MODULO 10. Estos algoritmos deben tener una característica y es que

debe existir una bajísima posibilidad de que dos textos di-
MODULO 11. ferentes arrojen el mismo resultado. Cuando esto ocurre
MODULO 12.
se dice que ha ocurrido una colisión.
Curso Existen infinidad de algoritmos para hacer hashing, pero
Introductorio se mencionarán solo algunos:
de Seguridad
Message-Digest Algorithm (MD): diseñado por un profe-
Autor:
Ernesto Pérez Estévez sor del MIT, es un algoritmo que permite generar hashes
de 128 bits. Es muy utilizado.
MODULO 1.
· Es el algoritmo utilizado en el ejemplo anterior para ge-
MODULO 2. nerar un hash de «Bonjour monde!».
MODULO 3.
· En la actualidad se ha demostrado con mucha certeza
MODULO 4. que es un algoritmo que permite colisiones.
MODULO 5. · Por la cantidad de bits (128) es muy fácil aplicar ataques

de fuerza bruta para adivinar de dónde proviene un hash.
MODULO 6.
Es decir, se pueden generar hashes de miles de variantes
MODULO 7. hasta encontrar el hash de un texto.
Introducción
a la criptografía
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Secure Hash algorithm (SHA): son algoritmos creados
Introductorio por NIST a finales del siglo XX que permiten generar has-
de Seguridad hes de 160 bits o superiores. De hecho, hay opciones
mayores a 160 bits, como SHA 256, SHA 512, etc., que ge-
Autor:
Ernesto Pérez Estévez neran hashes de 256 bits, 512 bits, etc., lo que hace que
sea mucho más difícil realizar ataques de diccionario a un
MODULO 1. hash generado con ellos.
MODULO 2. A continuación se muestra un ejemplo de un hash con

SHA1 (de 160 bits):
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Como se puede notar, este hash tiene una mayor canti-
MODULO 7. dad de caracteres para el mismo texto, lo que permite que
Introducción la posibilidad de que dos textos tengan el mismo valor de
a la criptografía hash (colisión) sea menor.
MODULO 8. Usos de los algoritmos de hashing:

Pero si no se puede descifrar nunca más, ¿qué sentido
MODULO 9.
tiene?
MODULO 10.
Usos de algoritmos de hashing:
MODULO 11.
· Sumas de verificación: sirve para poder demostrar que
MODULO 12.
un archivo no ha sido cambiado en el tiempo.
Curso Por ejemplo:
Introductorio
de Seguridad · Se puede guardar la suma hashing de todos los archivos
de un servidor y verificar frecuentemente la suma hashing
Autor:
Ernesto Pérez Estévez de estos archivos. Si alguno de ellos ha sido adulterado, la
suma hash no sería la misma y permitiría conocer que ha
MODULO 1. habido cambios en estos archivos.
MODULO 2. · Los organismos de justicia (fiscalía, judicatura, etc.) lo uti-

lizan mucho para mantener lo que conocen como cadena
MODULO 3.
de custodia, que es que un archivo pueda pasar de mano
MODULO 4. en mano sin que exista preocupación por que alguien, du-
rante este proceso, lo haya adulterado. Se toma una suma
MODULO 5. hashing en el momento de la incautación de los documen-
tos electrónicos y en el momento del juicio se los presenta
MODULO 6.
a los involucrados y se muestra que la suma hashing sigue
MODULO 7. siendo la misma. Esto debe dar la garantía a los acusados
Introducción de que sus documentos no han sido adulterados y evita
a la criptografía que los abogados de los acusados puedan repudiar (negar)
archivos con contenidos que los incriminan.
MODULO 8.
A modo de ejemplo, un archivo con estos contenidos,
MODULO 9.
cuya suma md5 es la siguiente:
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3. Si alguien modificara los contenidos de este archivo (para

el ejemplo se modificó en el primer número el 31 por 42)
MODULO 4. cambiará el md5 de forma bien visible:
MODULO 5.
MODULO 6.
MODULO 7.
Introducción
a la criptografía
MODULO 8.
MODULO 9.
Es increíble cómo por haber modificado tan poca infor-
MODULO 10. mación (31 por 42) la suma md5 se altera totalmente. No
importa la cantidad: también se podría haber modificado
MODULO 11. un solo carácter e igual la suma md5 habría sido comple-
tamente diferente.
MODULO 12.
Curso · Almacenar claves: no es buena práctica almacenar una
Introductorio clave en un servidor tal cual es. Es decir, si una clave es
de Seguridad «Prince!2018» no debería guardarse tal cual. Para guar-
darla, un usuario se puede basar en que cada vez que
Autor:
Ernesto Pérez Estévez haga un hash a un texto, sea siempre el mismo, sin im-
portar el tiempo que haya pasado entre uno y otro hash.
MODULO 1. De esta forma se puede guardar el hash de una clave. Y
cuando un cliente ingrese su clave, se le hace un hash a
MODULO 2. lo que ha ingresado y si coincide el hash ingresado con el
hash guardado, entonces se verificará que se trata de la
MODULO 3.
misma clave.
MODULO 4.
A continuación se describe el proceso por el cual un usua-
MODULO 5. rio guarda su clave «Prince!2018», como se puede ver en
las primeras líneas de la imagen:
MODULO 6.
MODULO 7.
Introducción
a la criptografía
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Posteriormente, el usuario intenta digitar su clave y la di-
Introductorio gita mal dos veces («Prince2018» y «Prince!2019»), hasta
de Seguridad que finalmente la digita bien («Prince!2018»).
Autor:
Ernesto Pérez Estévez Si se compara cada caso y se verá que la única vez que
los hashing coinciden con el hashing inicial es cuando el
MODULO 1. usuario escribe el mismo texto («Prince!2018») en la pri-
mera línea y en el último intento.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
Introducción
a la criptografía
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad Seguridad
Autor:
en el almacenamiento.
Cifrado de discos y archivos
· Escogiendo una clave segura
MODULO 1.
· Borrado seguro
MODULO 2. · Cifrado de archivos
MODULO 3. · Cifrado de sistemas de almacenamiento
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
8.
MODULO 1. Introducción
MODULO 2. Este capítulo se centra en cómo se pueden utilizar los cono-

cimientos adquiridos en los temas anteriores para mejorar la
MODULO 3.
seguridad en el momento en que se guarda la información
MODULO 4. en los dispositivos de almacenamiento.
MODULO 5. Es muy frecuente que personas que manejan información

importante reporten que sus equipamientos fueron sustraí-
MODULO 6.
dos. No es raro escuchar noticias sobre alguien que, al ca-
MODULO 7. minar por la calle haya sido abordado por delincuentes que,
junto con sus pertenencias, le hayan robado su laptop o sus
MODULO 8. discos duros.
Seguridad
en el almacenamiento. Escoger una clave segura
MODULO 9. De poco sirve la seguridad si las contraseñas que se eligen

son muy sencillas. Es por ello que es importante seguir una
MODULO 10. serie de reglas para escoger o generar una clave segura, de
las que se mencionan a continuación las más importantes:
MODULO 11.
MODULO 12.
Curso 1. La clave nunca debe contener elementos relacionados
con uno mismo o con sus familiares cercanos: es muy co-
Introductorio mún encontrar personas que usan de clave el nombre de sus
de Seguridad hijos o esposos, o fechas de nacimiento o nombres de ciu-
Autor: dades o países donde viven. Esto no es correcto, como tam-
Ernesto Pérez Estévez poco es correcto usar nombres relacionados con la empre-
MODULO 1. sa donde se trabaja. Es lo primero que un atacante intenta
cuando quiere acceder ilegalmente a la información.
MODULO 2.
2. En una línea similar a la recomendación anterior, no se
MODULO 3.
deben usar palabras conocidas ni series de números. Por
MODULO 4. ejemplo, la clave «America123456» es muy simple, pues se
compone de una palabra del diccionario y una serie de ca-
MODULO 5. racteres contiguos: esta estrategia es una de las primeras
que utiliza un atacante.
MODULO 6.
MODULO 7. 3. La clave debe ser lo suficientemente larga como para

que sea muy difícil para un atacante el poder encontrarla.
MODULO 8. Se sugieren claves mayores a los ocho caracteres, ya que a
Seguridad mayor cantidad de caracteres crece exponencialmente la
en el almacenamiento. dificultad para romper una clave. Se sugiere una clave con
Cifrado de discos y archivos más de 12 o 13 caracteres de ser posible.
MODULO 9.
4. Deben usarse combinaciones de caracteres: mayús-
MODULO 10. culas, minúsculas, signos (%, $, @, !, #, etc.). De esta forma
logramos ampliar la cantidad de opciones posibles en cada
MODULO 11. posición, en cada caracter.
MODULO 12.
Curso 5. Deben cambiarse las claves frecuentemente: no debe
mantenerse la misma clave durante largos períodos, de for-
Introductorio ma tal que si es descubierta en un momento, lo más proba-
de Seguridad ble sea que ya no esté en uso.
Autor:
Ernesto Pérez Estévez Algunas personas piensan que sus claves son muy robustas
MODULO 1. y seguras, pero es muy probable que que hayan sido descu-
biertas mucho tiempo atrás. Se puede probar con un ejem-
MODULO 2. plo, entrando al sitio https://haveibeenpwned.com/ y esco-
giendo, arriba a la derecha, la opción:
MODULO 3.
MODULO 4. Passwords:
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Una vez que se abre la nueva ventana en el recuadro
«password» se puede escribir una clave que se haya usado
Introductorio en el pasado, por ejemplo, «America123456». A continuación
de Seguridad se muestra qué sucede al escribirla en el campo «pwned»:
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad El hecho de que la clave que se pruebe un día no esté pre-
en el almacenamiento. sente en este sitio no significa que unas semanas o meses
Cifrado de discos y archivos o años después no pueda ser copiada o robada, por lo que
MODULO 9.
se debe cambiar frecuentemente de clave.
MODULO 10. ¿Cómo se puede validar cuán buena es una clave? Se

puede entrar a:
MODULO 11.
https://howsecureismypassword.net/
MODULO 12.
Curso Y probar con digitar una clave de similares características a
la que se usa. No se recomienda digitar la misma clave que se
Introductorio está usando sino una similar. Por ejemplo, si la clave de uso es
de Seguridad «MiBellaCl@av3», es mejor probar con «MiLindaP@ssword»,
Autor: algo que quizás se asemeje pero que implica no digitar nun-
Ernesto Pérez Estévez ca la clave de uso en sitios desconocidos.
MODULO 1.
En este sitio se puede probar cómo a medida que se va di-
MODULO 2. gitando la clave, según su tamaño y los caracteres que se
usen (se sugiere la combinación de mayúsculas, minúsculas,
MODULO 3. signos y números) aumenta rápidamente la estimación de
MODULO 4. cuántos años tomaría descubrirla con la capacidad compu-
tacional conocida hasta hoy.
MODULO 5.
¿De dónde obtienen las claves los atacantes? Lamentable-
MODULO 6. mente, no se puede confiar en que las claves de uso estén
MODULO 7.
seguras en sitios de terceros. Independientemente de cuán
serio o grande o famoso sea el proveedor, pueden ocurrir
MODULO 8. —y eventualmente ocurrirán— fugas de información. En el
Seguridad pasado, muchos sitios web incluso almacenaban las claves
en el almacenamiento. en texto claro.
Pensemos en algo: hace pocos años era muy común que
MODULO 9.
uno apretara el botón «Olvidé mi clave» y el sitio web en-
MODULO 10. viaba un correo electrónico con la clave olvidada. Quizás
se pueda pensar: «¡Qué buen servicio de este sitio web
MODULO 11. que envía la clave al correo!», pero también se puede
pensar que si un sitio está enviando una clave es porque
MODULO 12.
la tiene almacenada en su sitio. La tiene almacenada de
Curso alguna forma en algún lugar del sitio web, lo que le per-
mite enviar esa clave de usuario olvidada. Lo que pueda
Introductorio suceder de allí en adelante es muy fácil de predecir: un
de Seguridad día, eventualmente, alguien logrará entrar ilegalmente al
Autor: sitio y robará su información; entre esa información se-
Ernesto Pérez Estévez guro estará esa clave de usuario.
MODULO 1.
La mejor evidencia de esto es precisamente lo planteado
MODULO 2. hasta aquí: basta con mirar atentamente la cantidad de
información que puede confirmar el sitio https://havei-
MODULO 3. beenpwned.com/.
MODULO 4.
Borrado seguro
MODULO 5.
Otra forma de extraer información sobre uno o una orga-
MODULO 6. nización es aprovechando una técnica llamada trashing.
MODULO 7.
Trashing es revisar en la basura en busca de información.
MODULO 8. Uno siempre piensa que cuando algo no sirve más se tira
Seguridad y ya, sin pensar que eso que se tira puede contener infor-
en el almacenamiento. mación importante para un tercero que busque atacarnos.
Como ejercicio, sugerimos que al ir a un cajero de banco
MODULO 9.
(ATM) uno se fije en la cantidad de recibos impresos que
MODULO 10. emite el cajero sobre retiros u otras transacciones y que los
usuarios arrojan a la basura pensando que no interesan.
MODULO 11. Cuántas cosas interesantes hay en estos papelitos, como
por ejemplo cuánto se retiró del cajero o cuánto queda en
MODULO 12.
Curso una cuenta. La exposición de ese papel tan importante pue-
de tener como consecuencia, por ejemplo, un secuestro, ya
Introductorio que un posible atacante cuenta con la información sobre lo
de Seguridad extraído y sobre el contenido de la cuenta bancaria.
Autor:
Ernesto Pérez Estévez Lo mismo sucede con los dispositivos de almacenamiento
MODULO 1. de información, por ejemplo, con los discos duros de las
máquinas. Cuando ya la máquina queda vieja, se la sue-
MODULO 2. le dar en herencia a familiares (hijos, padres), regalarla o
donarla a un tercero. Algunas personas pueden incluso
MODULO 3.
echarla a la basura por ser tan vieja.
MODULO 4.
Alguien con suficiente interés podría extraer información
MODULO 5. de estos dispositivos, información posiblemente útil sobre
una organización. Es por ello que es necesario cerciorarse
MODULO 6. siempre de realizar borrado seguro de los dispositivos que
MODULO 7. se vayan a dejar de usar, ya que no es suficiente con apre-
tar el botón de borrar (en inglés, el botón «Delete»), como
MODULO 8. se explica a continuación:
Seguridad
en el almacenamiento. Para simplificar, se puede decir que un disco se divide en
Cifrado de discos y archivos dos partes:
MODULO 9.
1. Un espacio donde se almacena el nombre de cada archi-
MODULO 10. vo, sus propiedades y en qué lugar preciso del disco se en-
cuentra. En Linux esto se llama i-nodo (i-node en inglés).
MODULO 11.
2. El resto del espacio en disco se usa para guardar los
MODULO 12.
contenidos de los archivos en sí.
Curso
Introductorio
de Seguridad i-node: 23
Pos Inicio:
Autor: Pos Fin:
Ernesto Pérez Estévez NombreArchivo.txt i-node: 24
i-node: 24 Pos Inicio: 3454
MODULO 1. Pos Fin: 3490
i-node: 25
MODULO 2. Pos Inicio:
Pos Fin: Contenidos Archivo
MODULO 3.
3454 3490
MODULO 4.
MODULO 5.
MODULO 6.
Como se puede ver en la imagen anterior, hay un archi-
MODULO 7. vo llamado «NombreArchivo.txt» y el sistema guarda el
i-nodo asociado con este nombre, que en el ejemplo es
MODULO 8. el i-nodo 24. Este i-nodo 24 tiene grabado que el archivo
Seguridad comienza en la posición del disco número 3454 y termina
en el almacenamiento. en la posición 3490. El archivo está en el disco, como se
Cifrado de discos y archivos puede ver donde dice «Contenidos Archivo».
MODULO 9.
Cuando un usuario desea leer los contenidos de «Nom-
MODULO 10. breArchivo.txt», se busca en el i-nodo donde comienza
el archivo y se lee desde Pos Inicio hasta Pos Fin (desde
MODULO 11. 3454 hasta 3490). Ahora, ¿qué pasa cuando se borra un
archivo? En la mayoría de los sistemas operativos se bo-
MODULO 12.
rra solo la referencia del nombre del archivo al i-nodo y se
Curso deja el i-nodo disponible. Es decir, se borra la referencia
de dónde estaba el archivo, para quedar así:
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez i-node: 23
Pos Inicio:
MODULO 1. Pos Fin:
i-node: 24
Pos Fin:
MODULO 3. Contenidos Archivo
i-node: 25
Pos Inicio: 3454 3490
MODULO 4. Pos Fin:
MODULO 5.
MODULO 6.
Como se puede ver en la imagen, ya no está el nombre del
MODULO 7.
archivo y el i-nodo 24 está vacío (como también están va-
cíos en este ejemplo el 23 y el 25), pero si se presta aten-
MODULO 8.
Seguridad ción en detalle, se verá que los contenidos del archivo no
en el almacenamiento. fueron borrados, sino que quedaron en el disco. Solamen-
Cifrado de discos y archivos te se borró la referencia hacia esos contenidos.
MODULO 9. ¿Por qué no se borraron? Porque generaría un impacto al

MODULO 10.
desempeño del sistema si cada vez que se borra un archivo
se tuviera que eliminar la información almacenada en el dis-
MODULO 11. co. Si hubiera que borrar del disco totalmente mil archivos,
cada uno de 500 megabytes, serían 1000*500 mB=500000
MODULO 12. mB=500GB de información a eliminar totalmente. El sistema
Curso pasaría varias horas borrando esto, por lo que solamente se 1
https://www.cgsecurity.org/
eliminan las referencias al apretar el botón «Delete». wiki/PhotoRec_FR
Introductorio
de Seguridad Ahora, un técnico con suficientes conocimientos podría
Autor: recuperar la información almacenada en un disco. Exis-
Ernesto Pérez Estévez ten herramientas para recuperar información borrada, de
MODULO 1. las que una es photorec1. Estas herramientas de recupe-
ración son excelentes cuando se ha cometido el error de
MODULO 2. borrar información valiosa. Al recuperar información con
estas herramientas, los archivos pierden su nombre ori-
MODULO 3. ginal. Esto sucede porque no existen los i-nodos, que es
MODULO 4. donde está el nombre de los archivos. Entonces, los archi-
vos se recuperarán por ejemplo, así:
MODULO 5.
· file000001.doc
MODULO 6. · file000002.doc
MODULO 7.
· file000003.doc
· file000001.png
MODULO 8. · file000002.png
Seguridad · file000003.png
en el almacenamiento. · file000001.avi
Cifrado de discos y archivos · file000002.avi
MODULO 9.
A pesar de no tener el nombre de los archivos sí se recu-
MODULO 10. peran los contenidos, por lo que la siguiente acción es
abrir cada uno de los archivos y, según sus contenidos,
MODULO 11. cambiarles el nombre por uno acorde.
MODULO 12.
Curso Esto mismo hacen los atacantes. Si alguien tira a la basura
un disco con información «borrada» con el método tradi-
Introductorio cional, el atacante podrá seguir el mismo procedimiento
de Seguridad descripto y luego leer la información sobre la persona u
Autor: organización propietaria del disco.
MODULO 1. ¿Qué hacer para que la información no pueda ser leída?
Existe una técnica muy simple que es, antes de borrar el
MODULO 2. archivo, sobreescribirlo con contenidos aleatorios.
MODULO 3. Por ejemplo:
MODULO 4.
MODULO 5.
MODULO 6. i-node: 23
Pos Inicio:
Pos Fin:
MODULO 7.
NombreArchivo.txt i-node: 24
i-node: 24 Pos Inicio: 3454
MODULO 8. Pos Fin: 3490
Seguridad
i-node: 25
en el almacenamiento. Pos Inicio:
Cifrado de discos y archivos Pos Fin: 3454 3490
MODULO 9.
MODULO 10.
MODULO 11. En el ejemplo, al área del archivo (de 3454 a 3490) se la

sobreescribe con datos aleatorios y luego se borra el ar-
MODULO 12. chivo, se elimina el nombre y se limpia el i-nodo:
Curso 2
Introductorio https://eraser.heidi.ie/
de Seguridad i-node: 23
Pos Inicio:
Autor: Pos Fin:
i-node: 24
Pos Fin:
MODULO 2. i-node: 25
Pos Inicio:
Pos Fin: 3454 3490
MODULO 3.
MODULO 4.
MODULO 5.
Ahora ya no importará si un atacante intenta recuperar el
MODULO 6.
archivo directamente del disco, pues lo que habrá en él no
MODULO 7. tendrá valor, ya que se tratará de información aleatoria.
MODULO 8. Hay varias herramientas para borrar de forma segura ar-

Seguridad chivos, como por ejemplo:
Cifrado de discos y archivos · Eraser 2: es una herramienta para Windows.
MODULO 9.
· Shred: es una herramienta para Linux que randomiza los
MODULO 10. contenidos de un archivo.
MODULO 11. A continuación se ofrece un ejemplo de cómo randomizar

MODULO 12.
un archivo en Linux. Se parte de un archivo llamado «file.
txt», que contiene la frase en inglés «This is a test».
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
Se ejecuta el comando shred sobre este archivo, que deja
MODULO 2. los siguientes contenidos:
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
Como se puede ver, estos contenidos ya no son legibles, por
MODULO 8. lo que ahora se puede borrar el archivo, pues sus contenidos
Seguridad
no podrán ser leídos por nadie (ni por su propietario):
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
3
Curso Cifrado de archivos http://www.7-zip.org/
Introductorio A veces no es necesario borrar archivos, sino mantener-

4
https://www.axcrypt.net/
de Seguridad los ocultos al público de forma tal que si por alguna razón
5
https://www.gnupg.org/
Autor: alguien perdiera su máquina, un curioso no pudiera des- 6
https://www.gpg4win.org/
Ernesto Pérez Estévez cubrir su información. Una de las formas de hacerlo es version3.html
MODULO 1. cifrando los contenidos de un archivo.
MODULO 2. El cifrado a utilizar es normalmente simétrico, esto es: la

misma clave que se usa para cifrar se usará para descifrar
MODULO 3.
los contenidos de un archivo (como se vio en el capítulo
MODULO 4. anterior, estos algoritmos son más eficientes).
MODULO 5. Para Microsoft Windows existen programas que permiten

cifrar archivos, uno de los cuales es 7-zip3 y otra variante
MODULO 6. es AxCrypt4.
MODULO 7.
Otra herramienta, multiplataforma, es GPG5, que en mu-
MODULO 8. chos sistemas Linux viene instalada por defecto. En siste-
Seguridad mas Windows se puede usar también gpg4win6. GPG hace
en el almacenamiento. mucho más que cifrar archivos, es toda una suite de cifra-
Cifrado de discos y archivos do y de firmas digitales disponible libremente.
MODULO 9.
A continuación se verá cómo cifrar un archivo con GPG
MODULO 10. para Linux. Lo primero es tener un archivo con informa-
ción, con datos:
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1. Ahora se procederá a cifrar ese archivo. Para ello, el siste-
ma nos pedirá la clave dos veces, para tener la seguridad
MODULO 2. de haber puesto la clave correcta:
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
Una vez cifrado, tendremos el archivo original (info.txt) y
MODULO 7.
el cifrado (info.txt.gpg):
MODULO 8.
Seguridad
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso Luego se borrará, de forma segura, el original, siguiendo
los procedimientos del shred ya vistos, que son los más
Introductorio apropiados:
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
Finalmente, quedará en el disco el archivo info.txt.gpg, que
MODULO 5. es el que contiene la información cifrada. Solo quien co-
nozca la clave de cifrado podrá descifrarlo.
MODULO 6.
MODULO 7. Lógicamente, se debe escoger una clave que sea suficien-

temente difícil como para que no la pueda adivinar nadie,
MODULO 8. como ya se dijo al comienzo de este capítulo. Debe tenerse
Seguridad en cuenta que si se olvida la clave no se podrán recuperar
en el almacenamiento. los contenidos de este archivo de forma alguna.
MODULO 9. ¿Cómo se puede obtener una copia legible del archivo? Se

la puede obtener ejecutando:
MODULO 10.
MODULO 11.
MODULO 12.
Curso Si se escribe la clave correcta, aparecerán los contenidos:
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2. Por seguridad, GPG no escribió los contenidos a disco, sino

directo a la pantalla. Si se quisieran escribir a disco se po-
MODULO 3.
drían redireccionar hacia un nombre de archivo:
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad
Cifrado de sistemas de almacenamiento
MODULO 9.
Cifrar archivo por archivo, como se vio antes, puede ser
MODULO 10. engorroso. GPG se usa, y mucho, pero para cuando hay
que cifrar archivos puntuales con información extremada-
MODULO 11.
mente sensible que se debe asegurar cifrada.
MODULO 12.
Curso En algunos casos quizás se desee, en lugar de cifrar un
archivo a la vez o un grupo de archivos, hacerlo con todo el
Introductorio sistema de archivos o con un disco completo. Muchos sis-
de Seguridad temas operativos soportan el cifrado de discos, que es un
Autor: proceso técnicamente muy fácil de explicar. El cifrado que
Ernesto Pérez Estévez se utiliza es, normalmente, simétrico, de forma tal que la
MODULO 1. misma clave con la que se cifra es con la que se descifra.
MODULO 2. Debe advertirse lo mismo que para el cifrado de un solo

archivo: si se olvida la clave de cifrado no se volverán a ver
MODULO 3. los contenidos del disco hasta que no se la vuelva a recor-
MODULO 4. dar. No es raro encontrar personas que olvidan las claves
y llaman al experto a solicitarle «por favor, olvidé la clave,
MODULO 5. cámbiamela para poder ver mis archivos». Esto no es po-
sible, ya que son sistemas de cifrado serios que dependen
MODULO 6. de la clave. Sin la clave no se accede a los contenidos.
MODULO 7.
¿Cómo se escribe y se lee normalmente a disco?
MODULO 8.
Seguridad · Se le ordena al kernel (el programa que interactúa entre el
en el almacenamiento. usuario, las aplicaciones y el hardware) que escriba a disco.
· El kernel invoca al módulo (en Windows se los conoce
MODULO 9.
como drivers), que se ocupa de acceder al disco, y se rea-
MODULO 10. liza la escritura.
MODULO 11. El mismo proceso ocurre al revés para la lectura:

MODULO 12.
· Se le ordena al kernel que lea un archivo de disco.
Curso · El kernel invoca al módulo que se ocupa de acceder al
disco y se realiza la lectura.
Introductorio
de Seguridad Así se ejemplifica en la siguiente imagen:
Autor:
MODULO 1. Escribir archivo: Leer archivo:
‘Esto es una ‘Esto es una
MODULO 2. prueba’ prueba’
MODULO 3.
Kernel del SO
- Módulo de acceso al disco
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad
en el almacenamiento. Contenidos en disco:
Cifrado de discos y archivos Esto es una prueba
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso ¿Cómo se cifran las escrituras a disco (y las lecturas)?
Introductorio Mediante un proceso muy similar al anterior:
de Seguridad
Autor: · Se le ordena al kernel que escriba a disco.
MODULO 1. · El kernel invoca al módulo que cifra la información con la
clave que se le da al iniciar el sistema. Con esta clave se
MODULO 2. cifran los datos que se están escribiendo.
MODULO 3. · Luego invoca al módulo que se ocupa de acceder al disco
MODULO 4. y se realiza la escritura.
MODULO 5. A partir de este proceso se escriben contenidos cifrados y

no se pueden leer directamente si no es con la clave con
MODULO 6. la que se realizó el cifrado.
MODULO 7.
El mismo proceso ocurre al revés para la lectura:
MODULO 8.
Seguridad · Se le ordena al kernel que lea un archivo de disco.
Cifrado de discos y archivos · El kernel invoca al módulo que se ocupa de acceder al
disco, el cual realizará la lectura.
MODULO 9.
MODULO 10. · Luego invoca al módulo que descifra la información con la

clave que se le da al iniciar el sistema. Con esta clave se des-
MODULO 11. cifran los datos que se están leyendo y se realiza la lectura.
MODULO 12.
Curso Es lo que se ve en la siguiente imagen:
Introductorio
de Seguridad Escribir archivo: Leer archivo:
Autor: ‘Esto es una ‘Esto es una
Ernesto Pérez Estévez prueba’ prueba’
MODULO 1.
MODULO 2. Kernel du SO
- Módulo de cifrado/descifrado
MODULO 3. – Módulo de acceso a disco
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad
MODULO 9.
MODULO 10.
MODULO 11.
Nótese cómo con un módulo que se adiciona al kernel de
MODULO 12.
Linux se puede cifrar/descifrar la información.
Curso ¿Cómo cifrar?
Introductorio
de Seguridad Depende mucho del sistema que esté instalado, pero es
importante indicar que, independientemente del siste-
Autor:
Ernesto Pérez Estévez ma, es necesario cifrar los datos: documentos, imágenes,
videos, etc., todo lo que sea de nuestra propiedad. Por
MODULO 1. ejemplo, en el instalador de CentOS-7 se puede ir a la sec-
ción de configuración de dispositivos de almacenamiento
MODULO 2.
(«Destino de la instalación»):
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad
MODULO 9.
MODULO 10.
MODULO 11. Allí, se puede escoger la opción que permite cifrar datos
(«Borrar mis datos») (1) y entonces presionar el botón
MODULO 12.
«Listo» (2).
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad
MODULO 9.
MODULO 10.
MODULO 11. Al presionar sobre «Listo» aparecerá una ventana que

solicita la clave de cifrado. ¡Esta clave no debe olvidarse!
MODULO 12.
Curso Como ya se dijo, si se la olvida, se habrá perdido acceso a
la información de sistema.
Introductorio
de Seguridad Como podemos ver, se solicitará la clave de cifrado dos
Autor: veces (en 1 y en 3).
MODULO 1. He aquí algo curioso: en (2) se indicará la calidad de la cla-
ve, ya que nada se gana con poner una clave simple como
MODULO 2. «123456», porque cualquiera la descubriría —como ya se
vio—. Es por ello que hay que escoger claves catalogadas
MODULO 3.
al menos como —en este ejemplo— «Robusta».
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Seguridad
MODULO 9.
MODULO 10.
Luego se puede continuar la instalación normalmente.
MODULO 11. De aquí en adelante, cada vez que la máquina inicie,
MODULO 12.
solicitará la clave. Si no se ingresa la clave correcta no
se podrá acceder al sistema.
Curso Colofón
Introductorio ¿Qué ventajas tiene este procedimiento? Una fundamen-
de Seguridad tal: si se regala, vende, pierde o roba una máquina, se
Autor: puede tener la tranquilidad de que los datos no podrán ser
Ernesto Pérez Estévez leídos sin una clave. Si bien es doloroso perder un hard-
MODULO 1. ware en un robo, al menos no se perderá la información.
MODULO 2. ¿Qué impacto de performance tenemos?

MODULO 3. El hecho de cifrar/descifrar cada uno de los datos que
MODULO 4. se escriben o leen hacia o desde los discos duros sí trae
consigo un gasto de procesamiento. El hecho de cifrar
MODULO 5. consume CPU. Debe notarse sin embargo que no es a un
nivel que impida el normal funcionamiento del sistema. Se
MODULO 6. puede gastar un porcentaje (alrededor del 3 al 5 %) en el
MODULO 7.
proceso de cifrado/descifrado, que no es perceptible, y si
lo fuera, es un costo válido a cambio de no perder infor-
MODULO 8. mación valiosa.
Seguridad
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio Seguridad
de Seguridad
Autor:
RAID y respaldos
· RAID y tipos de RAID
MODULO 1.
· Respaldos de información
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
9.
Autor:
Introducción
MODULO 1.
MODULO 2.
Al cifrar la información se logra mantener su confidencia-
lidad y en cierta forma también que no pueda ser adulte-
MODULO 3. rada, esto es: mantener su integridad. Pero la disponibi-
lidad es otro elemento que también puede ser afectado y
MODULO 4. no se resuelve con el cifrado de la información, por ejem-
plo, si se daña físicamente el disco o si, por error, se borra
MODULO 5.
la información. ¿Quién no ha borrado por error un docu-
MODULO 6. mento importante?
MODULO 7. La disponibilidad de la información es crucial para la segu-

ridad. ¿De qué sirve haber asegurado la confidencialidad si
MODULO 8.
la integridad de los datos o su disponibilidad se ve afecta-
MODULO 9. da porque se ha dañado el dispositivo de almacenamiento
Seguridad o porque se ha perdido una base de datos?
RAID y respaldos Para ello hablaremos de dos temas importantes: RAID como
MODULO 10. forma de evitar que un fallo mecánico dañe el sistema y res-
paldos de información para minimizar el riesgo de la pérdida
MODULO 11. total de información ante su eliminación inesperada.
MODULO 12.
RAID
Curso
Introductorio Su nombre viene de Redundant Array of Inexpensive Disks
de Seguridad (arreglo redundante de discos baratos) y su objetivo principal
Autor: es disminuir la probabilidad de que, en caso de fallar un dis-
Ernesto Pérez Estévez positivo de almacenamiento (por ejemplo, un disco duro) se
pierda toda o parte de la información de una organización.
MODULO 1.
MODULO 2. Es posible guardar información, no en un solo disco duro,

sino en varios. Por ejemplo: se puede tener dos discos
MODULO 3. iguales y guardar archivos en ambos discos. Si uno de los
discos falla, el otro mantiene la información, que sobrevi-
MODULO 4.
ve a pesar del fallo en uno de los dispositivos.
MODULO 5.
Tipos de RAID
MODULO 6.
Los RAID deben estar compuestos al menos por dos dis-
MODULO 7.
cos para lograr el objetivo de que en caso de daño en un
MODULO 8. disco, el otro mantenga la información.
MODULO 9. Se han definido diversos tipos de RAID a lo largo del tiem-

Seguridad po. En este capítulo se hará una breve descripción de los
más populares.
RAID y respaldos
MODULO 10. RAID-1
Conocido también como espejo —o mirroring en inglés—,
MODULO 11.
es el RAID más fácil de explicar y, definitivamente, uno de
MODULO 12. los más populares.
RAID-1 consiste en un arreglo de al menos dos discos con
Curso un tamaño similar. Se recomienda que tengan un tamaño
Introductorio idéntico, es más, es bastante normal que además sean
de Seguridad del mismo fabricante y de la misma marca, para que ten-
Autor: gan las mismas características (velocidad de acceso, por
Ernesto Pérez Estévez ejemplo) y para conseguir sus reemplazos con un mismo
proveedor.
MODULO 1.
MODULO 2. Por ejemplo, cuando un byte es escrito a un disco, inme-

diatamente este se escribe también hacia el otro:
MODULO 3.
MODULO 4. Disco 1
MODULO 5.
MODULO 6. Disco 2
MODULO 7.
MODULO 8. Si ocurriera una modificación, por ejemplo, si se sobrees-

cribiera el byte, con 10100010, inmediatamente se sobre-
MODULO 9. escribirá en el otro disco:
Seguridad
RAID y respaldos
Disco 1
MODULO 10.
MODULO 11.
Disco 2
MODULO 12.
Si se borrara el byte de un disco, se borraría del otro, y así
Curso sucesivamente: toda operación que se haga en un disco,
Introductorio se realiza inmediatamente en el otro.
de Seguridad
Autor: ¿Qué pasa si se daña un disco?
MODULO 1. Disco 1
MODULO 2.
MODULO 3. Disco 2
MODULO 4.
Si se daña, el sistema no deja de funcionar, ya que pueden
MODULO 5.
seguir realizándose las lecturas o escrituras hacia el disco
MODULO 6. sobreviviente. Igualmente habrá que sustituir el disco da-
ñado, ya que si no se hace, se corre el riesgo de que el disco
MODULO 7. sobreviviente falle y se pierda la información.
MODULO 8. Al sustituir el disco dañado, el nuevo estará en blanco, va-
MODULO 9. cío, sin datos:
Seguridad
RAID y respaldos Disco 1
MODULO 10.
MODULO 11.
Disco 2
MODULO 12.
Entonces el RAID-1 podrá copiar la información del disco
Curso que sobrevivió (el disco 2) hacia el que está en blanco:
Introductorio
de Seguridad Disco 1
Autor:
MODULO 1. Disco 2
MODULO 2.
El RAID-1 tiene una ventaja fundamental y es que con él
MODULO 3. podemos lograr, con pocos recursos, redundancia. Con
discos se reproduce toda la información de un disco en el
MODULO 4. otro. Es realmente el método más fácil de entender e in-
dudablemente es muy usado en la actualidad.
MODULO 5.
MODULO 6. RAID-0
En realidad, este tipo de RAID no es redundante, ya que
MODULO 7. en caso de que se dañe un disco, se perderá toda la infor-
mación, pero es necesario hablar de él con la finalidad de
MODULO 8.
plantear qué riesgos se corren en caso de utilizarlo.
MODULO 9.
Seguridad El RAID-0 es una forma de extender el tamaño del alma-
en el almacenamiento. cenamiento. Es como si se juntaran o pegaran dos o más
RAID y respaldos discos y se disponibilizara esa capacidad de almacena-
MODULO 10. miento.
MODULO 11. Por ejemplo, es como si a partir de la unión de dos discos

duros de 1 terabyte cada uno se obtuviera un RAID-0 de 2
MODULO 12.
terabytes de tamaño.
Curso
Introductorio Disco A Disco B
de Seguridad 1TB 1TB
Autor: RAID 0: El almacenamiento suma 2TB

MODULO 1. Pero ¿qué sucedería si un disco se daña? Se perdería la
información que estuviera almacenada en esa parte:
MODULO 2.
MODULO 3.
MODULO 4. Disco A Disco B

1TB 1TB
MODULO 5.
RAID 0: El almacenamiento suma 2TB
MODULO 6.
Se perdería y no habría forma de recuperarla, por lo que se
MODULO 7. debe tener cuidado con el uso del RAID-0.
MODULO 8.
¿Por qué alguien querría usar RAID-0? Por algunas razo-
MODULO 9. nes, como que:
Seguridad
en el almacenamiento. · Permite tener un espacio de almacenamiento mayor.
RAID y respaldos
MODULO 10. · Mejora la velocidad de las lecturas. Cuando se está le-
yendo información es posible que cierta parte de esta
MODULO 11. esté en un disco mientras otra se encuentra en el otro.
Entonces, se pueden ir leyendo ambas, pues están en dis-
MODULO 12.
cos diferentes.
RAID-5
Curso
Introductorio Es un intermedio entre la seguridad que brinda el RAID-
de Seguridad 1 (redundancia) y el mayor espacio para almacenar que
Autor: ofrece el RAID-0.
El RAID-5 se basa en la utilización de un algoritmo de pa-
MODULO 1.
ridad. A través de este algoritmo es posible conocer si un
MODULO 2. byte está completo o si se ha perdido algún bit y utilizar
esta paridad para recuperar la información perdida.
MODULO 3.
El RAID-5 requiere de al menos tres discos y utiliza el al-
MODULO 4.
goritmo XOR para realizar validaciones de seguridad.
MODULO 5.
El algoritmo XOR funciona de la siguiente manera.
MODULO 6.
· 0 XOR 0 = 0
MODULO 7.
· 0 XOR 1 = 1
MODULO 8. · 1 XOR 0 = 1
· 1 XOR 1 = 0
MODULO 9.
Seguridad El algoritmo eXclusive OR solamente retorna 1 cuando se
comparan datos diferentes (0 XOR 1, 1 XOR 0). Cuando se
RAID y respaldos
comparan datos iguales, devuelve 0 (0 XOR 0, 1 XOR 1).
MODULO 10.
Se desarrolla de la siguiente manera:
MODULO 11.
MODULO 12. · Se parte de un byte «10110010».

· Ahora se lo divide en dos partes (1011 y 0010) y se las
Curso almacena en dos discos (A y B); en el tercer disco (C) se
Introductorio almacena el XOR.
de Seguridad
Autor: · El resultado de guardar en C se obtuvo de hacer un XOR
Ernesto Pérez Estévez de cada bit de A con los de B.
MODULO 1.
1 XOR 0 = 11 0 XOR 0 = 0 XOR 0 = 01 XOR 0 = 1
MODULO 2.
MODULO 3.
Disco A:
MODULO 4.
MODULO 5. Disco B:
MODULO 6.
Disco C:
MODULO 7.
MODULO 8. Si se dañara el disco B… ¿cómo se recuperaría la informa-

MODULO 9. ción? Se podría aplicar XOR al byte guardado en el disco
Seguridad A con la suma de paridad (XOR) que hay en C y se obten-
en el almacenamiento. drían nuevamente los contenidos de B. Es decir, se puede
RAID y respaldos recuperar la información que estaba en B si se dañó B:
MODULO 10.
Disque A: 1011
MODULO 11.
Disque C: 1001
MODULO 12.
Curso El XOR de cada bit se haría de la siguiente forma:
Introductorio Disco A: 1011
de Seguridad Disco C: 1001
Autor: Disco B: 0010 ← Este se calculó haciendo XOR entre lo que
Ernesto Pérez Estévez había en A y en C.
MODULO 1.
Al verificar más arriba, ¿no es cierto que en B estaba al-
MODULO 2. macenado 0010?
MODULO 3. El RAID-5 consume un 33 % más aproximadamente: 1 byte

MODULO 4.
tiene 8 bits, pero en RAID-5 ocupará 12 bits, como se puede
corroborar: 4 en A, 4 en B y 4 en C. Viéndolo de otra forma: se
MODULO 5. pueden usar los discos A y B para almacenar la información.
MODULO 6. Sin embargo, RAID-5 tiene una desventaja y es que esta

operación matemática consume procesador y puede volver
MODULO 7.
un tanto lento al RAID a la hora de realizar las escrituras,
MODULO 8. porque no solamente almacena un byte sino que tiene que
hacer la suma XOR.
MODULO 9.
Seguridad
Caso especial: La unión del RAID-1 y el RAID-0
RAID y respaldos
Conocido como RAID 1+0, permite lograr las ventajas de
MODULO 10.
ambos tipos de RAID:
MODULO 11.
· RAID-0: accesos muy rápidos a disco, un tamaño de
MODULO 12. disco mayor.
· RAID-1: redundancia: en caso de falla de un elemento del
Curso arreglo, el otro sigue funcionando con la información.
Introductorio
de Seguridad Este RAID tiene como desventaja que es muy costoso, pues
Autor: requiere del uso de cuatro discos:
MODULO 1.
MODULO 2.
RAID 1 RAID 0 RAID 1
MODULO 3. 1 TB + 1 TB = 2 TB
MODULO 4.
MODULO 5. 1 TB 1 TB
MODULO 6.
Como puede notarse en la imagen, hay cuatro discos:
MODULO 7.
· En la primera columna, dos discos en RAID-1.
MODULO 8.
· En la segunda columna, dos discos en RAID-1.
MODULO 9.
Seguridad A ambos RAID-1 (el de la primera columna y el de la segun-
en el almacenamiento. da) se los une en un RAID-0. Si uno de los discos falla, la
RAID y respaldos información se mantendrá en el otro elemento del RAID-1.
MODULO 10.
Este es uno de los RAID sugeridos cuando se va a almace-
MODULO 11. nar información en un servidor, ya que se logran altas tasas
de transferencias, una moderada capacidad de almacena-
MODULO 12.
miento y total redundancia.
Respaldos de información
Curso
Introductorio El RAID nos protege únicamente contra fallas mecánicas
de Seguridad en el dispositivo de almacenamiento. Si falla un dispositivo
Autor: el otro mantendrá la misma información.
Sin embargo, usar RAID no es razón para no respaldar la
MODULO 1.
información, ya que no protege contra el borrado de datos
MODULO 2. (accidental o intencional): si se borra una información del
sistema que tiene RAID, el RAID la borrará, lógicamente, de
MODULO 3. todo el RAID, siguiendo la orden que se le haya dado.
MODULO 4.
Es conveniente reiterar esto último porque no han sido
MODULO 5. pocas las ocasiones en las que personas que no respaldan
porque tienen RAID han borrado por error información y
MODULO 6. creen poder recuperarla con el RAID y no es así.
MODULO 7.
Los respaldos son fundamentales en el día a día de la se-
MODULO 8. guridad. El problema con los respaldos no es si se los usa-
rá o no, sino cuándo se los usará. Llegará un día en el que
MODULO 9. contenidos importantes de una organización podrían per-
Seguridad derse y será entonces que se acudirá a los respaldos para
recuperar la información tal y como existía en el momento
RAID y respaldos
de respaldarla.
MODULO 10.
MODULO 11.
MODULO 12.
Curso ¿Qué respaldar?
Introductorio Esta es una de las primeras preguntas que deben plantear-
de Seguridad se. Algunas personas piensan que se debe respaldar todo el
Autor: disco duro de un equipo, pero no es así.
MODULO 1. Se comenzará por definir, en sentido general, qué se debe
respaldar y qué no en un equipo informático:
MODULO 2.
· Se debe respaldar toda la información que no se pueda
MODULO 3. encontrar en otro lugar que no sea el equipo en el que está.
MODULO 4.
¿Cuál es esta información? La que es propia de una perso-
na o de una organización.
MODULO 5.
Ejemplos de qué debe respaldarse:
MODULO 6.
· Documentos de los usuarios de una organización.
MODULO 7.
· Archivos de audio, video o fotos que propias de una or-
MODULO 8. ganización.
· Bases de datos.
MODULO 9. · Sitios web.
Seguridad
· Correos electrónicos.
RAID y respaldos · Archivos de configuración del sistema.
MODULO 10.
Ejemplos de qué no debe respaldarse:
MODULO 11.
· Binarios del sistema (estos vienen en el instalador del
MODULO 12. sistema, no hay que respaldarlos).
· Archivos de audio, video o fotos que hayan sido descarga-
Curso dos de otros sitios (por ejemplo. todos esos archivos pirata
Introductorio de música o películas que los usuarios a veces guardan).
de Seguridad
Autor: Cada organización debe pensar detenidamente y planifi-
Ernesto Pérez Estévez car apropiadamente qué respaldar.
MODULO 1.
Frecuencia de los respaldos
MODULO 2.
Los respaldos son una imagen del sistema, tomada en un
MODULO 3. momento determinado. ¿Cuántas imágenes se está dis-
puesto a almacenar?
MODULO 4.
MODULO 5. · Respaldos muy frecuentes (por ejemplo, cada cinco mi-

nutos, cada una hora):
MODULO 6.
· Ventajas: se respaldarán datos muy frescos, con pocos
MODULO 7.
minutos de diferencia. Se perderá poca información
MODULO 8.
· Desventajas: al hacerse de forma muy frecuente, se con-
MODULO 9. sume mucho tiempo respaldando. Además, se puede con-
Seguridad sumir mucho espacio en disco para mantener varios res-
paldos (no solamente el último, sino varios respaldos más).
RAID y respaldos
MODULO 10. · Respaldos espaciados (por ejemplo, una vez cada día o
unas pocas veces al día):
MODULO 11.
MODULO 12. · Ventajas: no se consumen tantos recursos, pues los

respaldos se ejecutarán solo una o, a lo sumo, unas pocas
Curso veces al día.
Introductorio
de Seguridad · Desventajas: en caso de pérdida de información, el res-
Autor: paldo contendrá una copia quizás del día anterior, no tan
Ernesto Pérez Estévez reciente como podría ser necesario.
MODULO 1.
Requiere de conocimiento específico saber o programar
MODULO 2. cada cuánto se respalda y no existe un estándar para de-
cidir con qué frecuencia se debe hacer.
MODULO 3.
Como regla general, sin embargo, se podría plantear que
MODULO 4.
si se respalda cada 24 horas, una empresa perdería, en
MODULO 5. el peor de los casos, 24 horas de información. Entonces,
¿está dispuesta una organización a aceptar esta pérdida?
MODULO 6. Lógicamente, esta pregunta se puede formular con cual-
quier otra frecuencia que se proponga (una vez a la sema-
MODULO 7.
na, una vez cada hora, etcétera).
MODULO 8.
Siempre habrá usuarios descontentos que se quejen de
MODULO 9. que la información respaldada no está totalmente fresca,
Seguridad pero por otro lado, ¿qué sería peor? ¿No tener nada res-
paldado y perder toda la información o tener un respaldo
RAID y respaldos
del que se pueda tener una copia relativamente fresca y
MODULO 10. completar lo que pueda faltar? Definitivamente, la última
opción es la más racional.
MODULO 11.
MODULO 12.
Destino de los respaldos
Curso
Introductorio Además de tener claro cada cuánto tiempo respaldar, debe
de Seguridad saberse hacia dónde se hace el respaldo. A continuación se
Autor: presentan algunas variantes.
Tabla 4 (Continúa en la página 17)
MODULO 1.
Ventajas Desventajas
MODULO 2.
MODULO 3. Respaldo hacia un dispositivo Es una opción muy barata, que Si ocurre algo con la máquina
externo consiste simplemente en con- que se está respaldando, tam-
MODULO 4. seguir un dispositivo externo, bién ocurrirá con el dispositivo
como por ejemplo un disco USB, externo:
MODULO 5. y hacer el respaldo hacia ahí. · colapso de la edificación;
Es un proceso relativamente · feu au bureau;
MODULO 6. rápido, ya que un dispositivo · fuego en la oficina;
USB 2 o 3 tiene varios MB de · robo;
MODULO 7. velocidad · virus, troyano;
· borrado accidental.
MODULO 8.
Respaldo hacia un dispositivo Es un caso similar al anterior, Es necesario ser muy respon-
MODULO 9. externo, remoción del dispo- pero al almacenarse en otro sables, remover el dispositivo
Seguridad sitivo y almacenamiento del lugar, estaría físicamente se- y trasladarlo hacia otra loca-
en el almacenamiento. dispositivo en otro lugar físico parado de nuestra red. ción física.
RAID y respaldos
MODULO 10.
MODULO 11.
MODULO 12.
Tabla 4
Curso
Introductorio Respaldo hacia un servidor en
la red LAN
Es una opción relativamente
barata, en la que simplemente
Si ocurre algo con la edifica-
ción donde está la red local,
de Seguridad se respalda hacia un servidor ocurrirá en la máquina que se
Autor: localizado en la red local. respaldó y en el servidor hacia
Ernesto Pérez Estévez Es un proceso muy rápido, donde se respaldó:
pues la red local alcanza fá- · colapso de la edificación;
MODULO 1. cilmente los 100 mbps. Redes · fuego en la edificación;
más modernas alcanzan inclu- · robo de varios equipos de la
MODULO 2. so 1 gbps de velocidad red.
MODULO 3.
Respaldo hacia un servidor en Es una opción muy similar a la Mover toda la información del
MODULO 4. otra red anterior, con la que se respal- respaldo hacia otra red consu-
da hacia un servidor localizado mirá ancho de banda.
MODULO 5. físicamente en otra red. En lugares donde la conecti-
vidad no es muy grande esta
MODULO 6. opción se vuelve prácticamente
imposible.
MODULO 7.
MODULO 8.
MODULO 9.
Seguridad Definitivamente, la mejor opción es la de la última fila. Sin
en el almacenamiento. embargo, requiere de anchos de banda muy grandes para
RAID y respaldos que frecuentemente se hagan los respaldos hacia otra red.
MODULO 10.
La penúltima opción no es mala, pero el riesgo es que el res-
MODULO 11. paldo se realizaría en la red LAN, lo que implica que un even-
to afectará posiblemente a las máquinas y al servidor de res-
MODULO 12.
paldo. No se sugiere excepto que no queden más opciones.
No existe una receta única que permita definir hacia dón-
Curso de respaldar, pero al menos se vieron las ventajas y des-
Introductorio ventajas de las opciones mencionadas. Se debe usar el
de Seguridad sentido común y escoger la opción más factible dentro del
Autor: abanico de opciones.
Lo más importante en seguridad es usar el sentido común,
MODULO 1.
valorar los riesgos a los que se está sometido y tomar las
MODULO 2. medidas más adecuadas dentro de lo que permita la tec-
nología que se posee, los fondos disponibles y los reque-
MODULO 3. rimientos de la organización. Nunca se debe dejar de res-
paldar información.
MODULO 4.
MODULO 5. Herramientas de respaldos
MODULO 6. Existen muchas herramientas con las cuales se pueden

hacer respaldos. Estas herramientas pueden adquirirse
MODULO 7.
incluso por un pago aunque existen opciones que no lo
MODULO 8. requieren y son, incluso, de software libre.
MODULO 9. Más allá de la simpleza de algunas herramientas, lo que

Seguridad importa no es que sean simples o tengan muchas opcio-
nes, sino que permitan hacer respaldos y los hagan bien.
RAID y respaldos
MODULO 10. TAR
MODULO 11.
Una de estas herramientas, muy conocida en el mun-
MODULO 12. do de Linux es TAR, cuyo nombre viene de tape archiver
(archivador a cinta). Es un programa que se usa desde
Curso tiempos remotos de la informática para almacenar la
Introductorio información hacia las viejas cintas de casete que ya casi
de Seguridad nadie recuerda. El TAR en la actualidad se usa para al-
Autor: macenar todos los contenidos de un directorio hacia un
Ernesto Pérez Estévez archivo de forma bastante fácil, como se puede ver en la
imagen siguiente:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
Esto permitirá, por ejemplo, realizar un respaldo del direc-
MODULO 8.
torio (/etc) hacia el archivo /root/backup.tar.gz. Este es
MODULO 9. un archivo de TAR (.tar) comprimido con una herramienta
Seguridad conocida como gzip (.gz), de ahí su extensión .tar.gz.
RAID y respaldos Como se puede ver, el archivo backup.tar.gz en este ejem-
MODULO 10. plo tiene un peso de 5,2 mb y contiene todo lo que se
mantiene dentro del directorio /etc.
MODULO 11.
Este respaldo de /root/backup.tar.gz se podrá copiar ha-
MODULO 12.
cia una memoria USB, hacia un servidor en la red LAN o un
servidor remoto.
Curso Para extraer los contenidos de este archivo simplemente
Introductorio se ejecuta:
de Seguridad
Autor: tar zxf /root/backup.tar.gz
Esto lo que hará es extraer todos los contenidos del archi-
MODULO 1.
vo /root/backup.tar.gz hacia la carpeta donde se está.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
Seguridad
RAID y respaldos
MODULO 10.
MODULO 11.
Antes el directorio /root/ solo tenía backup.tar.gz, pero lue-
MODULO 12.
go de ejecutar el tar zxf backup.tar.gz aparece un directorio
etc, y dentro de etc todos los archivos, de los que como
Curso ejemplo se muestra etc/passwd.
Introductorio
de Seguridad En resumen, TAR es una herramienta muy simple pero
Autor: increíblemente efectiva. Miles de administradores de sis-
Ernesto Pérez Estévez temas la utilizan para realizar sus respaldos.
MODULO 1.
RSYNC
MODULO 2.
RSYNC es otra herramienta maravillosa. Es mucho más
MODULO 3. moderna que TAR y tiene una forma de trabajar bastante
diferente.
MODULO 4.
MODULO 5. RSYNC funciona realizando una copia de un directorio (o

de varios) desde un servidor de origen hacia un servidor
MODULO 6. de destino. Al finalizar el proceso ambos servidores ten-
drán ese directorio con los mismos contenidos. A conti-
MODULO 7.
nuación se muestra un diagrama inicial: en él hay un equi-
MODULO 8. po llamado «cliente» que contiene un directorio llamado /
etc/ y dentro de este directorio hay tres archivos:
MODULO 9.
Seguridad · A con 50 mb de tamaño
· B con 32 mb de tamaño
RAID y respaldos
· C con 74 mb de tamaño
MODULO 10.
En el otro equipo, llamado «servidor» hay un directorio
MODULO 11.
llamado /backup/ que inicialmente está vacío.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez Cliente Servidor
/etc /backup/
MODULO 1. A 50M
B 32M
C 74M
MODULO 2.
MODULO 3. Se procede a ejecutar RSYNC. El directorio /etc del clien-

te y los archivos que contiene se pasan hacia el servidor.
MODULO 4.
Este proceso implica transferirle los archivos A, B y C, que
MODULO 5. suman 50+32+74=156 mb.
MODULO 6.
MODULO 7.
MODULO 8.
Cliente Servidor
MODULO 9. /etc /backup/etc
Seguridad A 50M
en el almacenamiento. B 32M
C 74M
RAID y respaldos
MODULO 10.
MODULO 11.
MODULO 12.
En el cliente se modifica el archivo B, se le agregan 6 mb
Curso más y es aquí cuando RSYNC hace algo interesante y es
Introductorio que no transfiere nuevamente todo el directorio /etc, sino
de Seguridad que transfiere solamente lo que haya cambiado dentro de
Autor: ese directorio:
MODULO 1.
MODULO 2.
MODULO 3.
Cliente Servidor
MODULO 4. /etc /backup/etc

A 50M A 50M
B 32M B 38M
MODULO 5. C 74M C 74M
MODULO 6.
MODULO 7. Como se ve en la imagen anterior, el archivo B tiene 38

mb, pues como se indicaba anteriormente se le agregaron
MODULO 8.
6 mb a sus 32 mb originales.
MODULO 9.
Seguridad RSYNC transferirá solamente lo que cambió. En este
en el almacenamiento. caso, transferirá solamente los 6 mb que se agregaron
RAID y respaldos a B. El resto, como no ha cambiado, no tiene por qué ser
MODULO 10. vuelto a transferir.
MODULO 11. RSYNC es una excelente herramienta para respaldar sitios

web, por ejemplo, o servidores de correo, porque sola-
MODULO 12.
mente transfiere las partes de los archivos que no existen
en el destino, lo que permite ahorrar enormemente en el
Curso tráfico que ocurre entre ambos extremos.
Introductorio
de Seguridad El comando RSYNC se ejecuta de forma bastante simple:
Autor:
Ernesto Pérez Estévez rsync -avz directorioorigen usuario@IP:directoriodestino
MODULO 1.
Por ejemplo: se creará un directorio «data» y se copiarán
MODULO 2. hacia este directorio dos archivos: «/etc/services» y «/
etc/resolv.conf».
MODULO 3.
Luego se sincronizará el directorio «data» hacia el usuario
MODULO 4.
«curso» del servidor 192.168.1.101.
MODULO 5.
Como se puede notar, la primera vez que se ejecuta, se
MODULO 6. copian los dos archivos hacia el servidor 192.168.1.101.
MODULO 7.
Posteriormente, se copia un nuevo archivo «/etc/hosts»
MODULO 8. hacia «data» y se vuelve a sincronizar «data» hacia
192.168.1.101, pero no se transfieren los tres archivos que
MODULO 9. hay en data (services, resolv.conf y hosts) sino que so-
Seguridad lamente se transfiere lo que ha cambiado en «data», En
«data» lo nuevo es un archivo «hosts» y es solamente
RAID y respaldos
este archivo el que se transfiere.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9. Algunos tipos de respaldo

Seguridad
en el almacenamiento. Además de los comandos (TAR y RSYNC) hay diversos ti-
RAID y respaldos pos de respaldo, entre los cuales los más frecuentes son:
MODULO 10.
· Respaldos completos: son aquellos que siempre que se eje-
MODULO 11. cutan realizan un respaldo completo de todos los contenidos.
MODULO 12.
· Respaldos incrementales: son aquellos respaldos en los
Curso que, cuando se ejecuta el respaldo, solamente se transfie-
Introductorio re lo que ha cambiado desde la ejecución anterior.
de Seguridad
Autor: El comando TAR, como se vio, permite realizar respaldos
Ernesto Pérez Estévez completos, es decir: siempre se va a crear un archivo de
respaldo que contenga todos los archivos del directorio
MODULO 1.
que se está respaldando.
MODULO 2.
El comando RSYNC, como también se vio, permite realizar
MODULO 3. respaldos incrementales, es decir: siempre que se eje-
cute RSYNC, solamente se transferirá la información que
MODULO 4.
haya cambiado. No habrá necesidad de transferir la que
MODULO 5. no haya cambiado y, efectivamente, no se transferirá.
MODULO 6. Verificaciones de los respaldos

MODULO 7.
No hay nada más doloroso que, cuando se ha dañado la
MODULO 8. información, acudir a los respaldos y que no contengan los
datos o no los contenga en su totalidad, o que el respaldo
MODULO 9. se haya detenido meses atrás.
Seguridad
en el almacenamiento. Es por ello que es importante revisar cada cierto tiempo
RAID y respaldos que los respaldos se estén realizando apropiadamente, por
MODULO 10. ejemplo, dos a cuatro veces al año se deberían hacer ejer-
cicios que permitan conocer que un respaldo contiene la
MODULO 11. información necesaria. Además, estos ejercicios deberían
MODULO 12. permitir conocer los procedimientos para extraer la infor-
mación de los respaldos.
En estos ejercicios frecuentes deben participar las perso-
Curso nas involucradas en los respaldos de información: el usua-
Introductorio rio del sistema, los programadores, los administradores,
de Seguridad con el objetivo de que todos conozcan y refresquen los
Autor: conocimientos referentes a qué se está respaldando, con
Ernesto Pérez Estévez qué frecuencia y a quién dirigirse para respaldar o recu-
perar información. Esto incluso permite al personal de TI
MODULO 1.
mejorar los procesos de respaldo.
MODULO 2.
Ejemplo de ejercicio de recuperación
MODULO 3.
A continuación se describirá un posible proceso de verifi-
MODULO 4.
cación de los respaldos, para lo que se simulará el proceso
MODULO 5. de recuperación de un archivo (o varios) y se listarán las
posibles acciones a tomar, así como los objetivos que se
MODULO 6. pretenden lograr con ellas.
MODULO 7.
Debe notarse que se trata de una sugerencia, y que las
MODULO 8. acciones pueden incorporarse o modificarse para cada
caso particular.
MODULO 9.
Tabla 5 (Continúa en página 28)
Seguridad
en el almacenamiento. Acción Objetivo(s)
RAID y respaldos
Se le solicita al usuario que escoja un archivo (o Permite conocer qué está esperando el usuario
MODULO 10.
directorio, o base de datos) muy valioso para él que se respalde, por lo que permite definir o rede-
al día de hoy. finir qué considera importante de su información
MODULO 11.
Permite conocer qué es lo que el usuario consi-
dera importante de su información.
MODULO 12.
Curso Se le pregunta qué haría en caso de que estos Permite verificar qué procedimiento realizará en
contenidos se pierdan total o parcialmente. caso de que necesite recuperar la información.
Introductorio
de Seguridad
Autor: Se busca en los respaldos la información que Permite validar que efectivamente la informa-
Ernesto Pérez Estévez se necesita recuperar de acuerdo a los pasos ción que el usuario dice existe en los respaldos.
anteriores.
MODULO 1.
Se acuerda con el usuario en qué lugar y de qué Es importante consultar al usuario, pues exis-
MODULO 2.
forma se hará la recuperación de la información. ten muchas ocasiones en que este no requiere
que se borre la información que actualmente
MODULO 3.
posea (por ejemplo, borró un archivo de un di-
MODULO 4. rectorio pero quiere mantener el resto del di-
rectorio, o dañó parcialmente un archivo pero la
MODULO 5. información existente todavía es útil y no quie-
re perderla).
MODULO 6. Típicamente se recupera hacia un directorio di-
ferente al que el usuario tiene en la actualidad,
MODULO 7. con la finalidad de que pueda comparar la infor-
mación que le haya quedado con la que se haya
MODULO 8. recuperado.
MODULO 9. Se le entrega la información de la forma indicada. Se deben respetar los procedimientos acorda-
Seguridad dos en el paso anterior con el usuario.
RAID y respaldos
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio Seguridad en la transmisión
de Seguridad
Autor:
de información
· Previniendo escuchas
· Secure Shell
MODULO 1. · SSL/TLS
MODULO 2. · Firma digital
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
10.
Autor:
Introducción
MODULO 1.
En temas anteriores se vio cómo proteger la informa-
MODULO 2.
ción que está siendo almacenada en nuestros sistemas:
MODULO 3. cifrándola para que no pueda ser leída, respaldándola,
usando RAID para evitar que una falla mecánica haga que
MODULO 4. se pierda la información.
MODULO 5.
Es cierto que, por ejemplo, se puede cifrar un archivo con
MODULO 6. GPG antes de enviarlo, pero esta es una operación cons-
ciente, esto es: hay que cifrar el archivo a propósito y
MODULO 7. luego enviarlo. Esto se vuelve un problema para muchas
personas. Sería casi imposible que miles de personas tu-
MODULO 8.
vieran que cifrar decenas o cientos de documentos a cada
MODULO 9. momento antes de enviarlos. Hay que buscar formas para
que, al establecer comunicaciones entre dos puntos, toda
MODULO 10. la información pueda ser cifrada automáticamente, y que
Seguridad en la transmisión no se necesite de una labor muy compleja para lograrlo.
de información
MODULO 11.
MODULO 12.
En este capítulo se analizarán algunas formas para en-
Curso viar la información de un extremo a otro y que esta circule
Introductorio cifrada. El objetivo es comprender la utilidad de estas téc-
de Seguridad nicas y exigirlas o usarlas en nuestros ambientes laborales
Autor: para mayor seguridad en las comunicaciones.
Prevenir escuchas
MODULO 1.
MODULO 2. Algunas personas piensan que como la información se

transmite a través de cables de cobre o de fibra óptica (me-
MODULO 3. dios físicos de transmisión) esta no es audible para el ser
humano y por ende podrá ser transmitida de forma privada.
MODULO 4.
MODULO 5. Esto sucede porque durante toda la historia antigua, e

incluso moderna, de la humanidad el espionaje se reali-
MODULO 6. zaba a través de métodos analógicos, mecánicos: apretar
la oreja contra la puerta o la pared, esconderse detrás de
MODULO 7.
una cortina o incluso interceptar material escrito en busca
MODULO 8. de contenido codificado en material que a la vista pudiera
resultar inocuo.
MODULO 9.
Sin embargo, estas etapas han evolucionado y ahora no
MODULO 10. solamente se utilizan estas técnicas, sino también técnicas
Seguridad en la transmisión de escuchas electrónicas, como escuchas a comunicacio-
de información
nes celulares o a comunicaciones a través de Internet.
MODULO 11.
MODULO 12.
Las escuchas se pueden realizar de forma bastante
Curso simple, por ejemplo:
Introductorio
de Seguridad · Se puede escuchar lo que se transmite a través de una
Autor: fibra óptica poniendo un splitter (aparato que divide el haz
Ernesto Pérez Estévez de luz en dos), dejando pasar la misma información hacia
el usuario legítimo pero también usando la señal dividida
MODULO 1.
para enviarla a un equipo de escucha que no pertenece a
MODULO 2. su destinatario original.
MODULO 3. · Se puede escuchar lo que se transmite a través de un

par de cobre (un cable de cobre), conectando otro par de
MODULO 4.
cobre a este, de forma que la señal eléctrica continúe cir-
MODULO 5. culando hacia su destino original pero también permita la
escucha a quien no era su destinatario original.
MODULO 6.
· Se puede aprovechar una falla o descuido de un rutea-
MODULO 7.
dor para escuchar a través del software del equipo: ya no
MODULO 8. hace falta intervenir físicamente en la fibra o el cable de
cobre, sino que se le puede ordenar al ruteador que todo
MODULO 9. o parte del tráfico que circula a través de él sea desviado,
reenviado, hacia un tercero con la finalidad de almacenar y
MODULO 10. analizar esta información.
Seguridad en la transmisión
de información
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor: A B
MODULO 1.
MODULO 2. Interceptión
MODULO 3.
Lo que se pretende destacar es que no se debe confiar en
MODULO 4. las conexiones o equipamientos fuera de nuestro control.
Una vez que la información sale de nuestras computado-
MODULO 5.
ras, entra a una red, física, lógica, de cables y equipos de
MODULO 6. red sobre los cuales no hay control total y estos equipos
pueden estar siendo intervenidos, incluso sin el conoci-
MODULO 7. miento de sus legítimos dueños, por lo que se sugiere no
confiar en la seguridad que estos equipos brindan por de-
MODULO 8.
fecto. Deben buscarse alternativas para que los paquetes
MODULO 9. de información salgan de nuestro equipo de forma tal que
no puedan ser descifrados por un tercero.
MODULO 10.
Seguridad en la transmisión SSH
de información
El que sigue es un ejemplo clásico de cómo algo aparen-
MODULO 11. temente simple necesitó ser asegurado: en los principios
de Internet muchas personas la usaban para la investi-
MODULO 12.
gación y el intercambio de información. Por lo tanto, la
información fluía libremente y sin necesidad de ser cifra-
Curso da. No había, y es entendible, una necesidad de cifrar los
Introductorio datos, de cuidar la privacidad. Esto, lógicamente, ha cam-
de Seguridad biado: Internet es mucho más que aquel paraíso de hace
Autor: varias décadas atrás.
Inicialmente, los servidores, switches, routers y todo
MODULO 1.
equipamiento que necesitara manejarse remotamente se
MODULO 2. manejaba a través de telnet, un servidor que envía la in-
formación en texto claro, como ya se ha visto. Cualquiera
MODULO 3. podía escuchar lo que circulaba vía telnet entre cliente y
servidor. Resulta increíble que aún hoy existan organiza-
MODULO 4.
ciones que sigan usando telnet, un protocolo que debió
MODULO 5. haber desaparecido hace al menos veinte años.
MODULO 6. Ventajas de SSH sobre telnet

MODULO 7.
SSH viene de Secure Shell y puede realizar las mismas
MODULO 8. funciones que telnet, y más, pero se agrega que SSH ci-
fra la conexión entre el cliente y el servidor usando claves
MODULO 9. públicas-privadas, o sea, cifrado asimétrico.
MODULO 10.
de información
MODULO 11.
MODULO 12.
Curso 1. El cliente solicita iniciar una sesión con el servidor
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez 2. El servidor envía su clave pública al cliente
MODULO 1.
MODULO 2.
3. Utilizando la clave pública del servidor el cliente negocia un canal cifrado entre ambos
A Servidor
MODULO 3. de SSH
MODULO 4.
4. El cliente entonces autentica y accede al servidor a través de esta comunicación cifrada
MODULO 5.
MODULO 6.
MODULO 7.
El servidor genera una clave pública y una privada desde
MODULO 8.
la primera vez que se inicia.
MODULO 9.
Los clientes le solicitan iniciar una sesión, para lo cual el
MODULO 10. servidor les envía su clave pública. La primera vez que
Seguridad en la transmisión se conecta a un servidor el cliente pide que se le indique
de información si se confía o no en esa clave pública que se ha enviado.
El cliente negocia con el servidor una clave de encripta-
MODULO 11. ción, para lo que utiliza la clave pública del servidor para
MODULO 12.
enviar de forma cifrada la clave de encriptación que usa-
rán ambas partes.
1
Lo que se cifre con una clave pública solamente podrá ser https://www.chiark.greenend.
Curso descifrada por su clave privada correspondiente, como ya
org.uk/~sgtatham/putty/la-
Introductorio se vio. El servidor tiene su clave privada, por lo que es el
test.html
de Seguridad único que podrá descifrar lo que el cliente cifró en el paso

Autor: 3 con la clave pública que el servidor le envió en el paso 2.
Cómo usar SSH
MODULO 1.
MODULO 2. Existen diversas aplicaciones que permiten conexión vía

SSH desde un escritorio hacia un servidor. Se mencionan
MODULO 3. a continuación algunos ejemplos:
MODULO 4.
PUTTY
MODULO 5.
En Windows hay una herramienta conocida como PUTTY1
MODULO 6. que permite una conexión a servidores tipo Unix desde
equipos Windows. A propósito: existe PUTTY para otros
MODULO 7.
sistemas operativos.
MODULO 8.
Simplemente se ejecuta PUTTY, se le pone la dirección IP
MODULO 9. del servidor y listo.
MODULO 10.
de información
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10. La primera vez que una persona se conecta a un servi-

Seguridad en la transmisión dor, el cliente de SSH le pedirá si quiere confiar en la clave
de información
pública que le envía: si está segura de que es el servidor
al que se está conectando, se selecciona «Sí» y luego
MODULO 11.
«Aceptar».
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
El servidor le pedirá usuario y clave para entrar:
MODULO 8.
MODULO 9.
MODULO 10.
de información
MODULO 11.
MODULO 12.
Si se le envían el usuario y la clave correctos se tendrá
Curso acceso al shell donde se podrán digitar comandos para el
Introductorio servidor:
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4. Cliente SSH de Linux
MODULO 5. En el caso de sistemas operativos tipo Unix, como es el

caso de Linux, hay un cliente por defecto muy sencillo, al
MODULO 6. que se invoca con el nombre del usuario y la IP del servi-
dor de destino para ejecutar.
MODULO 7.
MODULO 8. En caso de que sea la primera vez que alguien se conecta

al servidor, se debe escribir «Yes» cuando este consulte si
MODULO 9. se quiere confiar en su clave pública.
MODULO 10.
de información
MODULO 11.
MODULO 12.
Como se puede observar, se trata de un cliente mucho
Curso más sencillo pero muy fácil de invocar. Viene instalado
Introductorio normalmente en cualquier sistema Linux, lo que permite
de Seguridad la conexión remota a servidores tipo Unix (Linux).
Autor:
Ernesto Pérez Estévez Demostración de cifrado de SSH
MODULO 1.
Se usará el ya conocido ettercap para escuchar una comu-
MODULO 2. nicación vía SSH. Para ello, como forma de ejemplificar, se
ha filtrado una IP que comienza con 179.49.x.x y se ha esta-
MODULO 3. blecido una conexión al puerto 22 de 179.49.x.x.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
de información
MODULO 11.
MODULO 12.
Como se puede ver, al apretar «View Details», aparece el
Curso tráfico capturado de la sesión, que no se comprende ya que
Introductorio está cifrado.
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
de información
MODULO 11.
MODULO 12.
Otras ventajas de SSH
Curso
Introductorio Una de las características de SSH es que no solamente
de Seguridad sirve como sustituto cifrado del protocolo telnet, sino que
Autor: tiene también una serie de características adicionales que
Ernesto Pérez Estévez se mencionan a continuación, siempre teniendo en cuenta
que todas ellas utilizan cifrado del canal:
MODULO 1.
MODULO 2. X-Forwarding
MODULO 3. Algunas personas pueden conocer sobre herramientas

para conectarse a escritorios gráficos remotos y ejecutar
MODULO 4.
aplicaciones en ese escritorio remoto. Veamos algunas op-
MODULO 5. ciones a continuación:
MODULO 6. VNC: permite acceder a escritorios remotos, o sea, mane-

jar un equipo de forma remota. Es un protocolo que tiene
MODULO 7.
muchos años en el mercado y es multiplataforma (existen
MODULO 8. clientes y servidores en sistemas Windows, Linux, Android,
iPhone, etcétera).
MODULO 9.
Sin embargo, el protocolo VNC no fue concebido con la se-
MODULO 10. guridad en mente. La información puede viajar en texto claro
Seguridad en la transmisión entre ambos extremos, lo que ya se vio que no es recomen-
de información
dable, si bien es cierto que existen sistemas de VNC que
brindan cifrado de la información entre ambos extremos.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9. RDP: conocido como escritorio remoto de Windows, per-

mite acceder al escritorio de un equipo Windows. RDP ha
MODULO 10. tenido reportes en el pasado sobre la seguridad en la au-
Seguridad en la transmisión tenticación o los tipos de cifrado utilizados, por lo que se ha
de información recomendado como medida de seguridad que no sea ex-
puesto directamente a Internet.
MODULO 11.
En general debe considerarse con mucho cuidado al abrir el
MODULO 12.
acceso desde Internet a aplicaciones o al escritorio gráfico
de un sistema operativo con cualquier herramienta de las
Curso mencionadas anteriormente o con cualquier otro sistema
Introductorio que lo permita. ¿Por qué? Porque estos sistemas pueden
de Seguridad haber tenido o tener algún problema de seguridad, como
Autor: por ejemplo realizar la autenticación en texto claro. Es por
Ernesto Pérez Estévez ello que es mejor no exponerlos directamente a Internet.
MODULO 1.
Con SSH existe la opción de utilizar X-Forwarding, que
MODULO 2. nos permite ejecutar aplicaciones gráficas remotas a tra-
vés de SSH, es decir, a través de un canal seguro, utilizan-
MODULO 3. do las ventajas que brinda el autenticado a través de SSH.
MODULO 4.
Para hacer uso del X-Forwarding se puede simplemente
MODULO 5. ejecutar SSH invocándolo con el switch X para permitir el
reenvío gráfico. Adicionalmente al switch X se utilizan los
MODULO 6. switches Y y C, donde Y es la opción para que confíe en el
host remoto y C para que comprima el canal. C es muy útil
MODULO 7.
en conexiones remotas a través de canales de poco ancho
MODULO 8. de banda.
MODULO 9. En la siguiente imagen se puede observar que alguien se

ha conectado a un servidor (192.168.1.101) con el usuario
MODULO 10. «curso» con los switches X, Y y C (-XYC). Al entrar al shell
Seguridad en la transmisión podrá ejecutar comandos de aplicaciones gráficas, como
de información
el Firefox y se puede observar cómo se ejecuta el Fire-
fox de ese servidor remoto. Esta aplicación, Firefox, está
MODULO 11.
ejecutándose en el servidor remoto pero se muestra en
MODULO 12. nuestro equipo.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
de información Esto es válido solamente si el cliente corre en un escrito-
rio que le permita interpretar las aplicaciones gráficas (X)
MODULO 11. de Linux, por ejemplo, en una estación de trabajo que corra
bajo Linux. En el caso de Windows es bastante complejo
MODULO 12.
hacerlo, pues no interpreta nativamente el ambiente gráfico
(X) de Linux, por lo que hay que instalar aplicaciones adicio-
Curso nales que están fuera del alcance de este curso.
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
de información
MODULO 11.
MODULO 12.
2
Copia de archivos (SCP/SFTP) https://filezilla-project.org/
Curso
Introductorio SSH también permite copiar archivos entre dos equipos a
de Seguridad través de herramientas como SCP (Secure copy) o SFTP
Autor: (Secure FTP). A los efectos de este tema se considerará
Ernesto Pérez Estévez que ambos hacen lo mismo.
MODULO 1.
Existen diversos clientes para hacer SCP, de los que se
MODULO 2. verá uno que se conoce como el «cliente Filezilla»2 y que
funciona tanto para Windows como para Linux. Su uso es
MODULO 3. muy intuitivo: se le da la IP del servidor con el que uno se
quiere conectar, el usuario con el que se hará la autenti-
MODULO 4.
cación y se mostrarán dos ventanas:
MODULO 5.
· a la izquierda, el árbol de directorio del equipo local;
MODULO 6. · a la derecha, el árbol de directorio del servidor remoto.
MODULO 7.
A través de Filezilla podemos arrastrar archivos o directo-
MODULO 8. rios entre el cliente y el servidor para copiar entre ellos.
MODULO 9.
MODULO 10.
de información
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10. SCP y SFTP utilizan SSH, pero son el realidad el mismo
Seguridad en la transmisión SSH, así que toda información que está siendo transferida
de información con estos protocolos está pasando cifrada por Internet, lo
que dificulta que un atacante pueda obtener información
MODULO 11.
sobre ella.
MODULO 12.
SSL/TLS
Curso Qué es SSL/TLS
Introductorio
de Seguridad SSL/TLS permite acordar conexiones cifradas entre dos
Autor: puntos: el cliente y el servidor. Se basa en el uso de llaves
Ernesto Pérez Estévez privadas generadas por el servidor y en certificados (llaves
públicas) emitidos por un tercero confiable, conocido como
MODULO 1.
entidad certificadora.
MODULO 2.
SSL: conocido inicialmente como Secure Socket Layer,
MODULO 3. este protocolo tiene dos versiones utilizadas actualmente,
SSL v2 y SSL v3, ambas consideradas inseguras, por lo que
MODULO 4.
se se sugiere no usarlas.
MODULO 5.
TLS: desde inicios de este milenio, a las nuevas versiones
MODULO 6. se las comenzó a llamar TLS (Transport Layer Security). al
momento hay tres versiones públicas: 1.0, 1.1 y 1.2 y se está
MODULO 7.
trabajando en la siguiente evolución, TLS 1.3
MODULO 8.
A pesar de que SSL ya no se debe estar usando, se lo sigue
MODULO 9. llamando así, y en realidad es el mismo protocolo que en
algún momento cambió de nombre.
MODULO 10.
de información
MODULO 11.
MODULO 12.
Curso Tabla 6
Introductorio Nombre Año de inicio Observaciones

de Seguridad SSLv2 1994 En el 2011 se decide prohibir el uso de SSL v2. En ese año, más
Autor: del 50 % de los sitios aún lo soportaban.
SSLv3 1995 Ya en 2016 Google decide dejar de soportar SSL v3. Actual-
MODULO 1. mente no se sugiere su uso y debe ser deshabilitado tanto en
servidores como en clientes.
MODULO 2. TLS1.0 1999 Al día de hoy algunos sitios sugieren que se use TLS 1.1 o TLS
1.2 y se comience a depreciar esta versión.
MODULO 3.
TLS1.1 2006
MODULO 4.
TLS1.2 2008
MODULO 5. TLS1.3 Está en draft, por lo que todavía no ha sido liberado para su
uso. En 2013 comenzó a trabajarse en él.
MODULO 6.
MODULO 7. Tanto SSL como TLS utilizan las mismas técnicas de cla-
ves públicas y privadas:
MODULO 8.
MODULO 9. · El certificado: es un archivo que contiene la clave pú-

blica. Lo pueden obtener todos los clientes que necesiten
MODULO 10. enviar información cifrada al servidor.
de información · La clave (llave): es un archivo que contiene una clave
privada y que solamente tiene el servidor, por lo que lo
MODULO 11. que los clientes cifren con el certificado (clave pública) del
MODULO 12.
servidor, solamente podrá ser descifrado por el servidor.
Para darle mayor seguridad, el certificado es validado por
una entidad certificadora a la que pueden acudir los clien-
Curso tes para validar si el certificado realmente pertenece al
Introductorio servidor que lo está entregando. Es lo que se llama tercero
de Seguridad confiable, un ente ajeno al cliente y al servidor que valida
que los certificados SSL realmente pertenezcan a quien
Autor:
Ernesto Pérez Estévez dice ser.
MODULO 1. ¿Para qué se usa esto último?

MODULO 2.
Si alguien mañana quiere hacerse pasar por Google, emite
MODULO 3. un certificado que diga que él se llama www.google.com y
comienza a entregárselo a miles de navegadores (clientes)
MODULO 4. en Internet. Es por ello que cuando alguien diga que él es
www.google.com tendrá que demostrarlo de alguna forma:
MODULO 5.
MODULO 6. 1. Mostrando físicamente documentos que avalen que es

parte o dueño de esta empresa.
MODULO 7.
2. Mostrando que puede realizar cambios en los DNS del
MODULO 8.
sitio google.com (normalmente, quien controla los DNS de
MODULO 9. un sitio definitivamente tiene todo el derecho a indicar o
reclamar que es el propietario del sitio).
MODULO 10.
Seguridad en la transmisión 3. Mostrando que puede recibir correos al dominio (por
de información ejemplo, a [email protected], ya que es una cuenta a la
que típicamente acceden quienes controlan el servicio de
MODULO 11. correo de Google.
MODULO 12.
¿Dónde se usan los certificados SSL?
Curso
Introductorio Uno de los mayores usos de estos certificados es en los
de Seguridad sitios web. En la actualidad casi todo sitio web reconocido
Autor: utiliza certificados SSL para cifrar los datos que circulan
Ernesto Pérez Estévez entre el cliente y el servidor, y viceversa.
MODULO 1.
MODULO 2.
Cliente indica a servidor que necesita comunicarse utilizando SSL/TLS
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
El servidor descifra el mensaje con su clave privada y utiliza esta pre-clave
para acordar una clave de cifrado de la sesión con el cliente
MODULO 10.
de información
MODULO 11.
MODULO 12.
1. Como se puede ver, inicialmente el cliente le indica al
Curso servidor que desea conectarse vía SSL/TLS.
Introductorio
de Seguridad 2. El servidor le envía su certificado SSL, que no es más
Autor: que la clave pública.
3. El cliente genera una preclave de cifrado, que envía al
MODULO 1.
servidor. La envía cifrada con la clave pública que el ser-
MODULO 2. vidor le entregó en el paso anterior. Lo que se cifra con la
clave pública solo podrá ser descifrado con la clave privada.
MODULO 3.
4. El servidor recibe este mensaje cifrado, lo descifra con
MODULO 4.
su clave privada y, utilizando esta preclave, acuerda con el
MODULO 5. cliente la clave de cifrado que utilizarán ambos para en-
viarse mensajes.
MODULO 6.
¿Dónde adquirir un certificado SSL?
MODULO 7.
Existen entidades certificadoras autorizadas y auditadas
MODULO 8.
por browsers como Firefox o Chrome. Es en ellas donde
MODULO 9. se registran las solicitudes y se generan los certificados.
Estas entidades certificadoras responden a consultas
MODULO 10. realizadas por los clientes sobre si un certificado de un
Seguridad en la transmisión servidor es válido o no. Es por ello que se les conoce como
de información tercero confiable.
MODULO 11. Existen sitios que permiten adquirir certificados SSL, como
MODULO 12.
son namecheap.com, digicert.com o rapidssl.com. Existe
3
incluso un proyecto llamado Letsencrypt3 que permite la https://letsencrypt.org/
Curso obtención de certificados SSL sin costo para servidores.
Introductorio
de Seguridad Ventajas del uso de SSL en nuestros sitios web
Autor:
Ernesto Pérez Estévez Al permitir conexiones cifradas se garantiza que la infor-
mación viaje de forma confidencial entre los dos extre-
MODULO 1.
mos: el cliente y el servidor. Esto permite mejorar mucho
MODULO 2. el respeto de la privacidad: excepto el servidor, nadie más
debería saber sobre la información que estoy buscando.
MODULO 3.
Esto es muy importante en la actualidad, pues se está
MODULO 4.
buscando mantener la privacidad de los usuarios en In-
MODULO 5. ternet, evitar que su información, sus intereses o sus
búsquedas sean conocidos por terceros al punto de que
MODULO 6. incluso el mayor buscador en la actualidad, Google, está
comenzando a premiar a los sitios que utilizan SSL/TLS
MODULO 7.
sobre los que no los usan. Esto está provocando que mu-
MODULO 8. chos sitios web comiencen a utilizar SSL/TLS para que los
usuarios accedan al sitio.
MODULO 9.
En los navegadores se puede verificar si un sitio soporta
MODULO 10. SSL/TLS pues aparecerá la cadena HTTPS en color verde
Seguridad en la transmisión y un indicador en forma de candado también verde. A con-
de información
tinuación se presenta un ejemplo de un sitio que está co-
municándose a través de SSL/TLS:
MODULO 11.
MODULO 12.
Curso Este es el caso de un sitio que no lo está usando:
Introductorio
de Seguridad
Autor:
Como se puede ver, el sitio anterior no está utilizando SSL:
MODULO 1. no tiene el candado verde ni dice HTTPS.
MODULO 2.
Esto va a ir cambiando rápidamente en el futuro próximo y
MODULO 3. se verán cada vez más sitios que permitan conexiones a tra-
vés de SSL/TLS, pues hay un enorme movimiento para que
MODULO 4. todos los sitios cifren los datos que transmiten o reciben.
MODULO 5.
¿Qué no hace SSL/TLS?
MODULO 6.
1. SSL/TLS no es un sustituto para usar claves débiles:
MODULO 7. suele pensarse que en los sitios con SSL/TLS no es pro-
blema tener claves débiles. Esto no es cierto, pues SSL/
MODULO 8.
TLS solo intenta garantizar la confidencialidad de la infor-
MODULO 9. mación que circula entre el cliente y el servidor.
MODULO 10. 2. SSL/TLS no es un sistema para hacer débitos por tar-

Seguridad en la transmisión jeta de crédito: si bien en algún momento se popularizó
de información esta idea, SSL no se ocupa de realizar débitos de tarjetas
de crédito o débito ni transfiere dinero de una cuenta a
MODULO 11. otra: solo intenta garantizar la confidencialidad de la infor-
mación que circula entre el cliente y el servidor. Claro está
MODULO 12.
que cuando se envían los datos de una tarjeta de crédito
o débito entre el cliente y el servidor se utiliza SSL, pero el 4
https://www.openvpn.net/
Curso SSL no debita montos, sino que evita que estos números
Introductorio sean leídos por un tercero no autorizado. 5
https://www.stunnel.org/
de Seguridad
Autor: Otros usos de SSL/TLS
SSL/TLS no solamente se usa para cifrar la información
MODULO 1. que circula entre un cliente y un servidor web, sino que se
MODULO 2.
puede utilizar para cifrar la información entre dos puntos
utilizando otros protocolos como SMTP, SIP, POP3 o VPN
MODULO 3. (por ejemplo, Open VPN4 o stunnel5 ).
MODULO 4. Firma digital

MODULO 5.
La firma, tal y como la conocemos en la actualidad se
MODULO 6. compone de grupo de rasgos que realizamos los seres
humanos para, en cierta forma, validar que conocemos
MODULO 7. o hemos creado un documento. Cada persona tiene sus
propios rasgos y son bastante difíciles de replicar por ter-
MODULO 8.
ceros. Existen de hecho peritos grafólogos, personas que
MODULO 9. pueden analizar los rasgos de una firma con la finalidad de
determinar quién ha firmado un documento.
MODULO 10.
Seguridad en la transmisión Lo que se busca con una firma es garantizar la autentici-
de información dad de un documento: que quien lo haya firmado sea en
verdad quien dice ser su autor, y también el no repudio:
MODULO 11. que quien lo haya firmado no pueda decir posteriormente
MODULO 12. que no ha sido el autor de esta firma (repudiar, rechazar,
haberla hecho).
En el mundo digital se puede intentar falsificar un docu-
Curso mento, para lo que se han creado mecanismos para vali-
Introductorio dar que un determinado documento sea de quien dice ser.
de Seguridad En este caso no nos fijamos en los rasgos que reproduce
Autor: la mano, sino que se buscan algoritmos matemáticos que
Ernesto Pérez Estévez permitan garantizar la autenticidad y el no repudio, para lo
que se usan las firmas digitales.
MODULO 1.
MODULO 2.
Las firmas digitales —que se trataron en el capítulo 7— per-
miten evidenciar ante el receptor de un mensaje —autori-
MODULO 3. dades, jueces o quizás público en general— que quien ha
creado un documento es quien dice ser. Esto se hace gra-
MODULO 4. cias a que la única forma de firmar un mensaje en nuestro
nombre es utilizando nuestra llave privada y si nosotros
MODULO 5.
somos los únicos poseedores de nuestra llave privada na-
MODULO 6. die más podrá firmar un documento en nuestro nombre.
Esto es muy importante a la hora de transmitir la informa-
MODULO 7. ción en Internet si se quiere dar certeza de quién ha firma-
do un documento, por ejemplo, un correo electrónico.
MODULO 8.
MODULO 9. Lamentablemente, las firmas digitales no han despega-

do, a pesar de ser un sistema que cuenta con muchos
MODULO 10. años de antigüedad, y esto es lo que muchas veces da
Seguridad en la transmisión pie a que personas inescrupulosas creen noticias falsas
de información o documentos falsos para dar la impresión de que algún
personaje político o de la farándula ha dicho algo. Como
MODULO 11. no se acostumbra a firmar digitalmente documentos, no
MODULO 12. hay forma de poder repudiar (o no repudiar) un determi-
nado documento con facilidad.
6
En el caso del correo electrónico existe una aplicación, https://www.mozilla.org/
Curso llamada Thunderbird6, que cuenta con una herramien- fr/thunderbird/
Introductorio ta conocida como Enigmail7, que es muy útil para firmar
de Seguridad documentos. Enigmail también permite cifrar los correos
Autor: electrónicos dirigidos a una persona cuya clave pública 7
https://www.enigmail.net/
Ernesto Pérez Estévez conocemos. index.php/en/
MODULO 1. Con Enigmail se puede generar una clave pública y priva-

MODULO 2. da con GPG y publicar la clave pública. Así, todo aquel que
importe la clave pública hacia su cliente de correo podrá
MODULO 3. validar si el mail que le llega de un destinatario es válido o
no. Quien no haya importado la clave pública simplemen-
MODULO 4. te verá unos caracteres al final del mensaje que quizás no
MODULO 5.
tengan sentido, pero sí podrá leer el correo y, claro está,
no podrá verificar si es o no auténtico.
MODULO 6.
Como se puede ver en la siguiente imagen, tomada del
MODULO 7. sitio de Enigmail, en la parte inferior, a la derecha, se ve un
signo de lápiz en amarillo. Esta es la señal de que el men-
MODULO 8.
saje fue firmado por quien lo envió (Patrick Brunschwig) y
MODULO 9. que nuestro sistema pudo validar que este mensaje fue,
efectivamente firmado por esta persona. También se pue-
MODULO 10. de ver una franja verde que dice «Decrypted message;
Seguridad en la transmisión Good signature from Patrick». La primera parte significa
de información que el mensaje llegó cifrado, pero lo que ahora interesa es
conocer que el mensaje fue firmado por Patrick y que el
MODULO 11.
sistema lo pudo validar («Good signature from Patrick»).
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
De haber problemas al verificar la firma, el sistema no
MODULO 6. mostrará la franja verde que se ve en la imagen anterior ni
el lápiz. Esto puede ser síntoma de que el usuario no tiene
MODULO 7. la clave pública del remitente (Patrick, en este ejemplo) o
de que la firma utilizada no es la del correo electrónico de
MODULO 8.
Patrick, lo que podría ser un indicador de que se trata de
MODULO 9. un mensaje falso.
MODULO 10. Conclusiones

de información Como se puede ver, existe una serie de herramientas,
protocolos o servicios que permiten mantener o mejorar
MODULO 11. la confidencialidad de la información mientras está sien-
MODULO 12. do transmitida a través de Internet. Es importante pres-
tar siempre atención a esto ya que, como se mencionó al
inicio del capítulo, es posible escuchar los mensajes que
Curso se envían a través de Internet, pues estos circulan a tra-
Introductorio vés de varios dispositivos y medios físicos de transmisión
de Seguridad hasta alcanzar su destino final, y que muchos de estos
Autor: dispositivos y medios de transmisión no están bajo nues-
Ernesto Pérez Estévez tro control, por lo que no se sabe si pueden estar com-
prometidos o no.
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
de información
MODULO 11.
MODULO 12.
Curso
Introductorio Amenazas actuales
de Seguridad
Autor: · Cambios en la forma de distribuir malware
· Técnicas «sociales» para obtener información
· La inseguridad distribuida
MODULO 1.
· Fallas en el hardware
· Cómo protegerse de ataques
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULO 12.
Curso
Introductorio
de Seguridad
11.
Autor:
Introducción
MODULO 1.
En sentido general, las amenazas actuales siguen tenien-
MODULO 2. do el mismo fundamento que lo que anteriormente se ha
utilizado para atacar a usuarios y sistemas:
MODULO 3.
· Técnicas de ingeniería social que aprovechan la mala o
MODULO 4.
poca preparación de los usuarios para detectar intentos
MODULO 5. de robo de información.
MODULO 6. · Sistemas desactualizados que permiten la ejecución de

malware en ellos para beneficio de los atacantes.
MODULO 7.
MODULO 8. · Uso de claves débiles.
MODULO 9. · Sistemas mal programados, etcétera.

MODULO 10. De hecho, en una exposición realizada por una institución
miembro de LACNIC en la reunión presencial de CSIRT en
MODULO 11.
Amenazas actuales 2017 se demostró que las técnicas utilizadas para vulnerar
la seguridad en los ochenta y noventa siguen vigentes.
MODULO 12.
Lógicamente, a medida que evolucionan los sistemas es-
Curso tas técnicas también se acoplan para aprovecharse de
Introductorio estos nuevos sistemas y de sus usuarios.
de Seguridad
Autor: Este capítulo es un refuerzo y una extensión de los ante-
Ernesto Pérez Estévez riores, pero con mayor conocimiento.
MODULO 1. Cambios en la forma de distribuir malware
MODULO 2. La forma en que el malware se distribuye hacia los usua-

rios ha cambiado con el tiempo y han aparecido nuevos
MODULO 3.
dispositivos y nuevas herramientas para que los atacantes
MODULO 4. logren instalar estos programas maliciosos. A continua-
ción se analiza brevemente cómo ha cambiado la forma
MODULO 5. en que se distribuyen o propagan los malwares a lo largo
del tiempo:
MODULO 6.
MODULO 7. Tabla 7 (Continúa en página 4)
MODULO 8. Fechas Descripción

80 a 2000 Durante los años ochenta y hasta entrado ya este siglo los programas maliciosos
MODULO 9. se introducían en los equipos de los usuarios a través de dispositivos de almacena-
miento contaminados: disquetes y CD son algunos ejemplos. Aún permanece en el
MODULO 10. recuerdo que antes de usar un disquete se le pasaba un antivirus o que cuando se le
pedía a alguien que copiara algo desde un disquete se le desactivaba la protección
MODULO 11. contra escritura, dejando libre una muesca del disquete, que si se tapaba los usua-
Amenazas actuales rios solamente podían leer.
MODULO 12.
Curso
Introductorio Inicios del · Aunque ya existía, hay una explosión en el envío de spam. Esto fue cambiando len-
de Seguridad siglo XXI tamente hacia envíos masivos con la finalidad de capturar información de los usua-
rios (phishing).
Autor:
· El malware comienza a propagarse por correo electrónico.
MODULO 1. · Comienzan a usarse nuevos dispositivos de almacenamiento para la propagación,

como dispositivos de estado sólido (flash, memorias SD, etc.)
MODULO 2.
· Toma fuerza la propagación lateral en las redes a través de aprovechamiento de
MODULO 3. fallas en los sistemas para compartir archivos como NetBIOS de Windows. Una má-
quina se contaminaba y el malware aprovechaba y contaminaba a todos los equipos
MODULO 4. de la red.
MODULO 5.
Actualidad · El phishing ya es algo de todos los días, busca encontrar claves de sistemas que
MODULO 6. estén almacenadas en la nube o en sitios sociales.
MODULO 7. · El malware busca convencer a los usuarios de hacer clic en enlaces para que abran su-
puestos pdf o doc, entre otros. Al abrirlos se ejecuta el código malicioso que esconden.
MODULO 8.
· Producto de esto ha surgido una variante llamada ransomware que cifra todos los
MODULO 9. archivos importantes de un equipo y solicita dinero a cambio de entregar la clave
para descifrar los archivos.
MODULO 10.
· El malware ya no solamente alcanza al usuario en sus equipos, sino que busca ser
MODULO 11. ejecutado desde sitios web aprovechando recursos de la máquina del usuario cuan-
Amenazas actuales do entra a este sitio web.
MODULO 12.
Curso Como se puede ver, las técnicas han evolucionado, pero
se siguen rigiendo por el mismo principio: aprovechar fa-
Introductorio llas en los sistemas o fallas humanas que les permitan la
de Seguridad propagación del malware. Algunas técnicas ya no se uti-
Autor: lizan tanto como en el pasado, pero todas se mantienen
Ernesto Pérez Estévez como potenciales formas de propagación de malware.
MODULO 1. Técnicas «sociales» para obtener información
MODULO 2. Se trata de técnicas con varios años de uso pero que fun-
cionan. No podemos cargar toda la culpa a los fabricantes
MODULO 3. de software o de dispositivos por el hecho de que estos
MODULO 4. sean comprometidos por fallas que no han corregido. Se
han estado utilizando desde hace tiempo técnicas de in-
MODULO 5. geniería social para obtener información o hacer que in-
grese malware a las redes. Esto no es novedad, por ejem-
MODULO 6. plo: muchas veces los virus se propagaban cuando un
usuario era convencido de bajar un programa pirata a su
MODULO 7.
computador o de hacer doble clic sobre fotos privadas de
MODULO 8. una personalidad pública, etcétera.
MODULO 9. Phishing
MODULO 10. A veces no hay que llegar a instalar un malware. Alguien
pensó: «¿y si mejor convenzo a los usuarios de la red de
MODULO 11.
Amenazas actuales que me den su usuario y clave?». Así, una vez hecho de
usuario y clave de una persona importante no sería nece-
MODULO 12.
sario contaminar su sistema para obtener la información,
ya que se podría acceder a sus correos electrónicos o a
1
algún sitio con información sobre él o ella para obtener https://blogs.technet.
Curso fácilmente información sin llegar a contaminar nada y sin
microsoft.com/fesnou-
Introductorio activar alarmas.
f/2010/11/08/a-good-phi-
shing-example-how-is-struc-
de Seguridad tured-this-kind-of-attack/
Autor: El término phishing parece venir de password harvesting

Ernesto Pérez Estévez fishing (recolección y pesca de claves) y la técnica consis-
te precisamente en lo descripto anteriormente: convencer
MODULO 1. al usuario de que debe brindar su usuario y clave por algu-
na razón imperiosa y luego hacerse pasar por alguien con
MODULO 2. poder, como el administrador de la red, de forma de que el
usuario entregue sus datos.
MODULO 3.
MODULO 4. Así, los usuarios deben estar siempre alertas sobre la in-
formación que les llega, siempre dudar, verificar de quién
MODULO 5. vino y no hacer clic en cualquier enlace que llega por muy
legítimo que parezca.
MODULO 6.
MODULO 7. A continuación se muestra un ejemplo de phishing to-

mado del sitio Technet de Microsoft1, veamos este correo
MODULO 8. electrónico:
MODULO 9.
MODULO 10.
MODULO 11.
Amenazas actuales
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
Amenazas actuales
MODULO 12.
Parece un mail de la tarjeta del banco Interbank que le
Curso pide a un usuario que actualice sus datos. Si no lo hiciera,
Introductorio parecería que algo malo pasaría con su cuenta, como que
de Seguridad fuera suspendida.
Autor:
Ernesto Pérez Estévez Algunas características que todavía tienen los correos
electrónicos de phishing son:
MODULO 1.
1. Vienen, posiblemente, de un remitente que no es del
MODULO 2. país de residencia del usuario.
MODULO 3. 2. Notamos en este mensaje que faltan varias tildes (“per-

didas”, “porque ingreso” en vez de “porque ingresó”) y
MODULO 4. hay una muy muy evidente que está al inicio en negrillas
“Cleinte”. Los bancos son muy cuidadosos con lo que en-
MODULO 5.
vían y no acostumbran a cometer estas fallas. A propósi-
MODULO 6. to, hay correos de phishing con peores faltas que las del
ejemplo, pues para crear el texto del correo usan traduc-
MODULO 7. tores automáticos que siempre tienen errores.
MODULO 8.
3. Son imperiosas, ya que indican que si el usuario no
MODULO 9. hace clic, se le suspenderá el servicio, por ejemplo.
MODULO 10. 4. Si se deja el cursor sobre el enlace donde se espera que

se haga clic, el enlace que aparece no tiene nada que ver
MODULO 11. con el servicio del que supuestamente habla. Por ejemplo,
Amenazas actuales
en este caso, si se hacía clic en «Realizar Verificación:», el
usuario iba a ser enviado a un enlace como este:
MODULO 12.
“ito.mx/Llb8”
2
Este sitio está en méxico (ito.mx) y hace referencia a un si- https://fr.wikipedia.org/wiki/
Curso Cambridge_Analytica
tio peruano (“interbank.pe”) pero el usuario raramente mira
Introductorio a dónde realmente apunta un link (el link dice interbank.pe
de Seguridad pero si dejamos el mouse arriba veremos abajo a la izquier-
Autor: da que apunta realmente a ito.mx).
Por regla se debe desconfiar de todo correo electrónico,
MODULO 1. sobre todo de este tipo. Luego se lo debe leer bien, deter-
minar que quien lo envía es quien dice ser y luego pensar si
MODULO 2. en verdad es necesario el clic que solicita.
MODULO 3.
Redes sociales
MODULO 4.
Las redes sociales se han convertido en un problema para
MODULO 5. la privacidad. Muchas personas crean cuentas en redes
sociales y ofrecen información sobre sí mismas de forma
MODULO 6.
bastante inocente.
MODULO 7.
En el reciente escándalo de Cambridge Analytica, se creó
MODULO 8. una aplicación que permitía determinar ciertos paráme-
tros psicológicos sobre los usuarios que la usaban, pero la
MODULO 9.
aplicación solicitaba y recababa además información so-
MODULO 10. bre los usuarios que no era necesaria, incluso información
sobre los amigos de los usuarios que ejecutaban la apli-
MODULO 11. cación. Esta aplicación recopiló muchísima información
Amenazas actuales sobre varias decenas de millones de usuarios, que luego
fue utilizada para conocer sus perfiles con intenciones de
MODULO 12. influir en diversas elecciones presidenciales2.
Esto no fue algo que no se pudiera prever. No fueron pocos
Curso los que advirtieron sobre publicar información personal en
Introductorio redes sociales. Por ejemplo, cualquier usuario de redes so-
de Seguridad ciales seguramente conozca o sea él mismo una persona
Autor: que publica cada vez que hace alguna actividad importante:
· «Saliendo para la playa, ¡siete días completos de disfrute!»
MODULO 1.
· «¡Subiéndome por primera vez al avión! ¡Qué miedooooo!»
MODULO 2.
· «Aquí, en el aeropuerto, agotado, listo para viajar a
MODULO 3.
Australia.»
MODULO 4.
· «Disfrutando con los niños en su escuela.» (y el nombre
MODULO 5. de la escuela).
MODULO 6. Es difícil saber qué busca cada usuario con este tipo de
MODULO 7.
publicaciones (mostrar a los demás lo que ha logrado ser
en la vida, enseñarle a los abuelos cómo van los niños,
MODULO 8. etc.), pero desde hace tiempo esto es utilizado —o mal uti-
lizado—, pues una vez que posibles atacantes sepan que
MODULO 9. alguien está viajando a Australia o que pasará siete días
en la playa, tendrán margen para un ejecutar un ataque.
MODULO 10.
Sin embargo, volviendo al ejemplo de Cambridge Analyti-
MODULO 11.
Amenazas actuales ca, allí tomaban información personal sin que el usuario lo
supiera, a través de amigos que ejecutaban esa aplicación
MODULO 12.
para luego usarla para interferir en procesos electorales.
Esta parece ser una tendencia que irá en aumento porque
este tipo de apoderamiento y procesamiento de datos es
Curso posible gracias al desarrollo de la capacidad de cómputo
Introductorio del hardware y al desarrollo de la inteligencia artificial.
de Seguridad
Autor: La inseguridad distribuida
Actualmente hay una inmensa cantidad de dispositivos
MODULO 1. conectados en Internet y muchos de ellos carecen de una
adecuada monitorización o actualización.
MODULO 2.
Muchos atacantes están buscando opciones para aprove-
MODULO 3.
char las capacidades de miles de dispositivos en su bene-
MODULO 4. ficio. Por capacidades se entiende:
MODULO 5. · Capacidad de procesamiento: el hecho de que haya miles,

millones de dispositivos fáciles de comprometer, que, su-
MODULO 6. mados, brindan una enorme capacidad de procesamiento.
MODULO 7. · Ancho de banda: estos miles o millones de dispositivos
están dispersos a través de Internet. Si se pudiera coor-
MODULO 8. dinar un buen porcentaje de estos, un atacante tendría
suficiente ancho de banda como para realizar ataques de
MODULO 9. negación de servicio distribuidos (DDoS) contra cualquier
MODULO 10.
proveedor mundial, por más grande que fuera.
MODULO 11. Esta situación no está mejorando, sino que, por el contra-
Amenazas actuales rio, se están incrementando los dispositivos desatendidos
conectados a Internet y ya se están viendo ataques como
MODULO 12. el de Mirai, del cual se hablará más adelante.
Actualmente los atacantes se están centrando en algunas
Curso áreas, pero mencionemos dos en las que los atacantes
Introductorio están haciendo mucho énfasis:
de Seguridad
Autor: Los dispositivos móviles:
Es bastante conocido el incremento en la cantidad de
MODULO 1. dispositivos móviles como tabletas o, especialmente, te-
léfonos inteligentes, que no se conocían hace apenas una
MODULO 2. década. De hecho, en 2004, por ejemplo, era muy raro que
alguien se conectara a Internet a través de su teléfono
MODULO 3. celular y, si lo hacía, era para usar el teléfono celular como
MODULO 4. módem para conectar su computadora de escritorio o lap-
top y navegar a través de él.
MODULO 5.
Hoy, sin embargo, es raro ver, en países donde se ha ex-
MODULO 6. pandido el negocio de la telefonía celular a través de 3G,
4G o LTE, teléfonos que no sean inteligentes.
MODULO 7.
MODULO 8. Si bien es cierto que se pueden encontrar usuarios con

teléfonos «no inteligentes», todo el énfasis de los pro-
MODULO 9. veedores de telefonía celular está centrado en ofrecer
servicios orientados al uso de Internet. Existen regiones o
MODULO 10. países donde la competencia es tan alta que los planes de
telefonía incluyen una generosa cantidad de megabytes
MODULO 11.
Amenazas actuales
para navegar por Internet a alta velocidad a precios ex-
tremadamente bajos. Es difícil llegar a un país de Norte-
américa o de Europa y toparse con una persona que no
MODULO 12.
tenga un celular en sus manos. Esto no parece decrecer,
sino que, por el contrario, muchas personas poseen más
Curso de una línea celular y, en los países donde hace unos años
Introductorio no se veía este ritmo de crecimiento, ya se están comen-
de Seguridad zando a promover planes de Internet en el celular, lo que
Autor: implica nuevos mercados.
Esto es muy beneficioso para las sociedades en muchos
MODULO 1. aspectos: se reducen a valores fijos los costos de lla-
madas, pues muchos usuarios las hacen por Internet, al
MODULO 2. tiempo que permite acercar familias alejadas por la migra-
ción y aumenta la posibilidad de adquirir conocimientos
MODULO 3.
a todos los niveles, pero también preocupa que no todos
MODULO 4. estos dispositivos móviles que se utilizan para navegar
por Internet están siendo actualizados.
MODULO 5.
Hay decenas de empresas fabricantes de teléfonos inte-
MODULO 6.
ligentes: Apple, Samsung, BLU, Huawei, HTC, etc.. Ahora,
MODULO 7. cuando analizamos el sistema operativo que usan, la enor-
me mayoría de estos teléfonos usan dos variantes:
MODULO 8.
· iOS de Apple para dispositivos fabricados por ellos, como
MODULO 9. los iPhone.
MODULO 10.
· Android de Google: un sistema operativo basado en
MODULO 11. Linux y adaptado por Google para funcionar en teléfonos
Amenazas actuales inteligentes. Es un mercado muy abierto, y fabricantes
como Samsung, Huawei o BLU lo usan.
MODULO 12.
¿Quién no ha oído hablar de Android o de los teléfonos de 3
https://en.wikipedia.org/wiki/
Curso Apple en los últimos años? Es más, posiblemente haya-
Android_version_history
Introductorio mos tenido o seamos los orgullosos propietarios de uno de
de Seguridad estos teléfonos.
Autor:
Ernesto Pérez Estévez Muchos de los fabricantes de estos teléfonos son res-
ponsables de evitar algunos problemas que conlleva su
MODULO 1. uso, pues, además de producir un hardware agradable a la
vista, se encargan de mantener el sistema operativo ac-
MODULO 2. tualizado. De esta forma es muy difícil que uno de estos
teléfonos pueda ser atacado aprovechando una falla en el
MODULO 3.
sistema operativo. Pero no todos los fabricantes lo hacen,
MODULO 4. y esto es fácil de comprobar accediendo a algún teléfono
inteligente: si se intenta actualizar su sistema operativo
MODULO 5. se verá que no es raro toparse con un mensaje que dice:
«Este teléfono tiene la última actualización», mensaje que
MODULO 6.
hace que cualquier persona desconocedora piense que
MODULO 7. está actualizado, pero ese mensaje implica que el telé-
fono informe que no ha habido una nueva actualización
MODULO 8. de su sistema, lo que abre la pregunta sobre el tiempo
transcurrido desde la última actualización: ¿Dos sema-
MODULO 9. nas? ¿Dos meses? ¿Dos años?
MODULO 10. Las versiones de estos sistemas operativos dejan de tener
soporte técnico con el tiempo. Todavía se ven versiones de
MODULO 11.
Amenazas actuales Android que hace años Google no soporta: cualquier ver-
sión que tenga por lo menos cuatro años de antigüedad
MODULO 12.
es seguro que sea una versión no soportada3. ¿Por qué
sucede esto? El fabricante de un determinado teléfono
produce una cantidad de ellos. Posiblemente no todos ellos
Curso serán vendidos a tiempo, entonces, a medida que el tiempo
Introductorio pasa, se van ofreciendo descuentos que intentan motivar a
de Seguridad los potenciales compradores. Cuando ya la tecnología está
Autor: por volverse obsoleta se los vende a precios realmente ba-
Ernesto Pérez Estévez jos, con la finalidad de vender todo el stock que mantienen,
pero ese es el comienzo de algunos problemas: los minoris-
MODULO 1. tas que ofrecen estos teléfonos al público ofrecen grandes
descuentos, con base en que el proveedor les ha bajado los
MODULO 2. costos drásticamente. Así, centenares o miles de perso-
nas compran estos celulares, que posiblemente no tendrán
MODULO 3.
actualizaciones, pero, para las personas que recién los han
MODULO 4. adquirido, estos celulares son nuevos y serán conservados
por varios años. Otros fabricantes simplemente nunca ofre-
MODULO 5. cen una actualización de su sistema operativo y si la ofre-
cen es por necesidad imperiosa. Así, hay marcas reconoci-
MODULO 6.
das cuyos celulares nunca tendrán actualizaciones.
MODULO 7.
Pero más allá de la responsabilidad de los fabricantes,
MODULO 8. muchas veces son los usuarios quienes no actualizan
sus sistemas operativos, ya sea porque no saben cómo o
MODULO 9. porque temen que el celular deje de funcionar o consuma
más energía.
MODULO 10.
También tenemos el problema de que no hay una forma
MODULO 11.
Amenazas actuales única de actualizar: en las diferentes versiones de An-
droid, por ejemplo, la forma de llegar a la opción de ac-
MODULO 12.
tualizar ha ido cambiando, e incluso entre los diferentes
fabricantes existen diferentes aplicaciones para actualizar
o sitios web diversos desde donde bajar actualizaciones 4
https://www.androidpit.com/
Curso (que a veces llaman firmware4).
how-to-update-your-android
Introductorio
de Seguridad Otro problema son las aplicaciones que se instalan en los
Autor: teléfonos inteligentes: muchos creadores de aplicaciones
Ernesto Pérez Estévez no se preocupan por actualizar o mantener estándares
mínimos de seguridad, por lo que estas pueden exponer al
MODULO 1. usuario a problemas de seguridad producto de fallas que
se mantengan.
MODULO 2.
La Internet de las cosas (IOT)
MODULO 3.
MODULO 4. La IOT es otra área de crecimiento explosivo. En diversos

países hay personas que quieren o necesitan tener infor-
MODULO 5. mación sobre diversos aspectos de sus casas o negocios,
como por ejemplo:
MODULO 6.
MODULO 7. Cámaras, dispositivos que permitan:
MODULO 8. · Monitorear la entrada de la casa.
MODULO 9. · Monitorear si los niños están durmiendo bien o si lloran.

MODULO 10.
· Monitorear que los trabajadores de un negocio realicen
MODULO 11. su labor y no hagan actividades fuera de lo normal en ho-
Amenazas actuales rario de trabajo.
MODULO 12. · Grabar todo lo que esté ocurriendo en la calle, etcétera.

Alarmas contra intrusos que den aviso sobre eventos https://beebom.com/exam
Curso
5
ples-of-internet-of-things-te-
inusuales en casas o comercios:
Introductorio chnology/
de Seguridad · Si alguien abrió la puerta de una casa mientras sus pro-

Autor: pietarios no estaban presentes.
· Detectar si hubo un incendio en un local comercial.
MODULO 1.
· Avisar si hay monóxido de carbono en un local.
MODULO 2.
· Apagar o encender la alarma a través de Internet, por
MODULO 3.
ejemplo, para cuando los niños de la casa entren o salgan.
MODULO 4.
Otros dispositivos que se han vuelto «necesarios» por-
MODULO 5. que permiten5:
MODULO 6.
· Controlar el funcionamiento y las características del
MODULO 7. equipo que ofrece WiFi en una casa (conocidos como rou-
ters inalámbricos).
MODULO 8.
· Controlar la temperatura de una casa antes de llegar a ella.
MODULO 9.
MODULO 10.
· Apagar o encender remotamente las luces.
MODULO 11. · Abrir la puerta de entrada al garaje.

Amenazas actuales
· Abrir o cerrar la puerta de una casa para cuando los ni-
MODULO 12. ños o nuestros familiares lleguen.
· Alimentar a la mascota si no se está en la casa.
Curso
Introductorio · Proveer medicinas a una persona enferma cada cierto
de Seguridad tiempo o monitorear su estado de salud.
Autor:
Ernesto Pérez Estévez A medida que pasa el tiempo crece la cantidad de disposi-
tivos conectados.
MODULO 1.
Ahora, si actualizar los sistemas operativos de los celula-
MODULO 2. res inteligentes es un problema, ¿qué problemas presenta
con la IOT?
MODULO 3.
MODULO 4. No hay certeza de que los miles de fabricantes de esta

infinidad de dispositivos se preocupen por actualizar con-
MODULO 5. tinuamente estos equipos y es prácticamente imposible
que suceda, ya que muchos equipos concebidos para IOT
MODULO 6. vienen con claves por defecto y sus fabricantes no se pre-
ocupan en general por mantener actualizaciones o hacer-
MODULO 7.
las automáticamente con suficiente frecuencia, de modo
MODULO 8. que estos equipos están expuestos al acceso de terceros
no autorizados en algún momento. De hecho, ya han sur-
MODULO 9. gido malwares como Mirai, del que se hablará luego, que
está orientado a contaminar y hacer mal uso de sistemas
MODULO 10.
de este tipo.
MODULO 11.
Amenazas actuales Al adquirir un sistema se debe pensar no solamente en los
beneficios que implica sino también en los potenciales pro-
MODULO 12.
blemas que pueda traer que alguien entre en él, y esta forma
de ver los dispositivos es un paso a favor de la seguridad.
Criptominado ilegal
Curso
Introductorio Un ejemplo muy actual es el criptominado ilegal, que ha
de Seguridad tenido bastante atención mediática: el uso de bitcoins
como forma de especular y ganar, supuestamente, dinero
Autor:
Ernesto Pérez Estévez fácil. El bitcoin es una de las muchas criptomonedas que
existen actualmente en el mercado.
MODULO 1.
Una criptomoneda es un medio de pago que permite dar
MODULO 2. seguridad a través de algoritmos matemáticos para que
tanto quien envía dinero como quien lo recibe tengan la
MODULO 3. certeza de que ha cambiado apropiadamente de mano.
Esto es:
MODULO 4.
MODULO 5. 1. que se pueda evitar la falsificación de la moneda;
MODULO 6. 2. que se pueda evitar que con una misma moneda una
persona adquiera dos bienes o servicios diferentes.
MODULO 7.
MODULO 8. Las criptomonedas son resultado de operaciones mate-

máticas muy complejas que consumen gran cantidad de
MODULO 9. recursos de un procesador.
MODULO 10. A las personas que encuentran criptomonedas se las lla-

ma «mineros», pues se asemejan a aquellos que buscaban
MODULO 11.
Amenazas actuales recursos preciosos, como el oro, bajo tierra. En la vida real,
los mineros remueven toneladas de tierra y escarban lenta-
MODULO 12.
mente en ella hasta encontrar ese preciado gramo de oro.
Es un proceso costoso y lento. Así funciona el criptominado:
para encontrar una criptomoneda se necesitan ejecutar
Curso continuamente complejos algoritmos matemáticos en el
Introductorio procesador del minero hasta que, por fortuna, se encuen-
de Seguridad tre una criptomoneda. Este proceso es:
Autor:
Ernesto Pérez Estévez 1. Muy lento: mientras más hardware haya a disposición,
más probabilidad habrá de encontrar una criptomoneda.
MODULO 1.
2. Alto consumo de electricidad: mientras más operacio-
MODULO 2. nes matemáticas realice un hardware, más probabilidad
habrá de encontrar una criptomoneda, pero también más
MODULO 3. energía eléctrica se consumirá.
MODULO 4.
3. Mucha generación de calor: cuantas más operaciones
MODULO 5. matemáticas, más calor, y el calor requiere refrigeración y
la refrigeración consume energía eléctrica.
MODULO 6.
A alguien dentro de este grupo de criptomineros se le
MODULO 7.
ocurrió una idea: instalar el programa de criptominado en
MODULO 8. un sitio web muy popular para que todo el que entrara al
sitio ejecutara el programa en su equipo y, así, este mina-
MODULO 9. ría para él.
MODULO 10.
Este tipo de minado no se instala normalmente en el sitio
web por parte de su legítimo dueño, sino que lo instalan
MODULO 11.
Amenazas actuales crackers que logran entrar ilegalmente a él y, por ejemplo,
en lugar de colocar un cartel que diga «Sitio hackeado por
MODULO 12. el estado islámico», aprovechan las fallas en los sitios web
para insertar aplicaciones de minado, que no son más que
programas en Javascript. Como casi todos los navegado-
Curso res ejecutan Javascript, cualquiera que entre al sitio web
Introductorio infectado ejecutará esta aplicación.
de Seguridad
¿Quién consumirá sus recursos de procesador?
Autor:
Ernesto Pérez Estévez El usuario.
¿Quién consumirá energía eléctrica y generará calor?
El usuario.
MODULO 1.
MODULO 2. El usuario no ganará dinero con este criptominado, sino

que lo hará quien haya logrado entrar al sitio web. El usua-
MODULO 3. rio será un simple ejecutor de esta aplicación y favorecerá,
sin saberlo, al atacante.
MODULO 4.
MODULO 5. ¿Cuántos sitios con este tipo de aplicación existen? No

hay un número exacto, pero se está popularizando enor-
MODULO 6. memente y no es raro ver personas quejándose de que la
batería de su laptop se consume muy rápidamente o que
MODULO 7.
su equipo genera mucho calor.
MODULO 8.
¿Cómo se puede mitigar este problema?
MODULO 9.
Actualmente se recomienda utilizar servicios de DNS que
MODULO 10. bloqueen el acceso a sitios que alojan Javascript para
criptominado.
MODULO 11.
Amenazas actuales
Un servicio DNS que evita muchos sitios de criptominado
MODULO 12.
es el conocido como Quad9. Para instalarlo simplemente
se configuran los DNS del equipo para utilizar 9.9.9.9 como
servicio de DNS. Todo equipo que consulte a 9.9.9.9 no po-
Curso drá acceder a sitios que permitan en criptominado ilegal.
Introductorio
de Seguridad En el sitio https://www.quad9.net/ están las instrucciones
Autor: para usar el servicio de Quad9 en equipos de una red.
Primero, se hace clic con el botón derecho del mouse para
MODULO 1. entrara la sección de propiedades de la red:
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
Amenazas actuales
MODULO 12.
Curso En la parte de abajo, se escoge que sea el usuario quien
asigne los DNS, poniendo 9.9.9.9 como servicio de DNS:
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
Amenazas actuales Esto se debe configurar en todos los equipos de la red.
MODULO 12.
Otra variante para mitigar o evitar el criptominado es uti- https://github.com/keraf/NoCoin
Curso
6
lizar plugins en los navegadores que impidan la ejecución

Introductorio de estos tipos de Javascript al bloquear acceso a estos 7
http://ublock.org
de Seguridad sitios, como por ejemplo:
Autor:
Ernesto Pérez Estévez · No coin: mantiene una lista de sitios que contienen Ja-
vascript malicioso6.
MODULO 1.
· uBlock: tiene una categoría llamada «Resource abuse»
MODULO 2. que busca bloquear sitios que intentan abusar de los re-
cursos de los usuarios, entre ellos sitios de criptominado7.
MODULO 3.
MODULO 4. La desventaja de los plugins es que deben instalarse en

todos los equipos de la red, y no siempre se tiene acceso
MODULO 5. rápido a todos, por lo que algún equipo podría no tenerlo
instalado y ser utilizado para hacer criptominado.
MODULO 6.
MODULO 7.
Ransomware
MODULO 8. Otro problema que ha surgido en la actualidad es la difu-

sión de ransomware a través de las técnicas descritas con
MODULO 9. anterioridad, ya sea:
MODULO 10. · Engañando al usuario para que haga clic y ejecute o ins-
tale algún software.
MODULO 11.
Amenazas actuales
· Propagando el malware de forma lateral al aprovechar
fallas en servicios, como por ejemplo aquellos desactuali-
MODULO 12.
zados o con claves por defecto.
El ransomware es una forma de monetizar las actividades
Curso maliciosas, que ya no buscan (¿solamente?) hacer daño,
Introductorio sino que buscan ganar dinero del usuario que haya sido
de Seguridad contaminado por él.
Autor:
Ernesto Pérez Estévez Ransom viene de ‘rescate’ por un secuestro. Cuando en
los sistemas se instala un ransomware, este cifra todos
MODULO 1. los datos de importancia de los usuarios (por ejemplo,
documentos, videos, imágenes) con una clave que sola-
MODULO 2. mente el atacante conoce y luego exige un pago (rescate)
a cambio de darle la clave al usuario.
MODULO 3.
MODULO 4. Bots y botnets
MODULO 5. El criptominado pretende lograr que un gran grupo de

máquinas realice ciertas acciones a nombre de alguien
MODULO 6.
que no es su propietario, y los bots y botnets actúan de
MODULO 7. forma similar.
MODULO 8. Botnet es una red compuesta de dispositivos (bots) contro-

lados por un atacante. A través de un sistema preestableci-
MODULO 9. do el atacante puede enviarle órdenes a los integrantes de
MODULO 10.
esta botnet. Este sistema preestablecido se conoce como
Centro de Comando y Control (CCC o C&C).
MODULO 11.
Amenazas actuales A través de la botnet el atacante dueño de ella puede rea-
lizar diversas actividades en su favor o vender estos servi-
MODULO 12. cios a terceros, como por ejemplo:
· Envío de spam: el envío de spam desde miles de má-
Curso quinas contaminadas alrededor del mundo es muy difícil
Introductorio de bloquear.
de Seguridad
Autor: · Ataques de denegación de servicio distribuido (DDoS):
Ernesto Pérez Estévez el atacante tiene una red de varias decenas o cientos de
miles de máquinas contaminadas a las que puede pedirles
MODULO 1. que accedan a un determinado sitio web al mismo tiempo
, de modo de afectar su funcionamiento. Estas máquinas
MODULO 2. pueden ocuparse de reclutar nuevas máquinas en su red
o en Internet aprovechando fallas conocidas.
MODULO 3.
MODULO 4. · C&C: son equipos a los que todos los integrantes (bots)
de las botnets se conectan y esperan recibir órdenes.
MODULO 5.
Normalmente son equipos muy codiciados, ya que los
MODULO 6. dueños del C&C pueden dominar el funcionamiento de las
botnets. Los investigadores de seguridad y las autorida-
MODULO 7.
des apuntan muchas veces a controlar a los C&C con la
MODULO 8. finalidad de que deje de funcionar la botnet. Si no existe
C&C, la botnet dejará de funcionar. Por su parte, los ata-
MODULO 9. cantes generan nuevas ideas sobre cómo evitar que un
C&C sea detectado o que la caída de un C&C haga que
MODULO 10.
toda la red caiga.
MODULO 11.
Bot: son los soldados de las botnets (es el diminutivo de
Amenazas actuales
robot). Son todos los equipos comprometidos que se co-
nectan al C&C para esperar órdenes de sus propietarios.
MODULO 12.
Son, posiblemente, máquinas contaminadas en una red,
máquinas que fueron comprometidas por tener claves
Curso débiles, sistemas desactualizados o porque se engañó a
Introductorio su usuario para que ejecutara una determinada aplicación
de Seguridad maliciosa que la contaminó.
Autor:
Ernesto Pérez Estévez Existen diversos casos de botnets, pero mencionaré bre-
vemente uno: el caso Mirai. Es una botnet que aprovecha
MODULO 1. las debilidades de diversos dispositivos usados en IOT para
comprometerlos y hacerlos parte de esta botnet.
MODULO 2.
Su modo de operación es muy simple: busca continuamen-
MODULO 3.
te en Internet dispositivos que tengan claves de acceso co-
MODULO 4. nocidas (por ejemplo, admin/admin, admin/password, etc.),
pues muchos dispositivos de IOT traen configuradas estas
MODULO 5. claves por defecto y sus propietarios no las cambian.
MODULO 6.
Una vez que los atacantes logran entrar al dispositivo, ins-
MODULO 7. talan en la memoria RAM su carga maliciosa, que estará
funcionando hasta que el equipo sea reiniciado. Lógica-
MODULO 8. mente, una vez reiniciado es cuestión de minutos, horas o
días hasta que vuelva a ser infectado, pues seguramente el
MODULO 9. dueño no habrá cambiado la clave por defecto.
MODULO 10.
Los dispositivos de la botnet Mirai han sido utilizados para
MODULO 11. realizar ataques de denegación de servicios muy poderosos
Amenazas actuales contra diversos sitios en Internet. Su código fuente es co-
nocido, por lo que se ha podido estudiar y también adaptar
MODULO 12. en nuevos proyectos para crear botnets.
Fallas en el hardware
Curso
Introductorio Los problemas ya no se circunscriben solamente al sof-
de Seguridad tware. Se ha pensado que la seguridad está relacionada
Autor: con fallas en el software, lo que es verdad: muchos de los
Ernesto Pérez Estévez problemas vendrán del lado del software o los protoco-
los que se utilizan para la comunicación en Internet. Sin
MODULO 1. embargo, en los últimos tiempos se han ido presentando
problemas relacionados con el hardware, de los que men-
MODULO 2. cionaré solamente dos que han surgido en los últimos
tiempos, pero es seguro que surjan más problemas en el
MODULO 3.
hardware de uso común.
MODULO 4.
El hardware tiene algo que hace muy problemáticas las
MODULO 5. fallas de seguridad encontradas en él y es que es muy
difícil de cambiar cualquier comportamiento que haya sido
MODULO 6. incluido en él, por lo que para corregir una potencial falla
de seguridad en el hardware posiblemente sea necesaria
MODULO 7.
su sustitución, con el consecuente gasto que conlleva.
MODULO 8.
A inicios de 2018 surgió una noticia bastante explosiva en
MODULO 9. el mundo de la seguridad, a pesar de que se venía traba-
jando desde hacía meses: dos fallas conocidas como Melt-
MODULO 10.
down y Spectre descubiertas y publicadas por el Google’s
Project Zero y varias universidades de Norteamérica, Euro-
MODULO 11.
Amenazas actuales pa y Australia en colaboración con la empresa privada.
Se determinó que ambas fallas afectan el aislamiento de

MODULO 12.
la información dentro del sistema. Esto es: permiten que
la información perteneciente a un proceso pueda ser leída
Curso por otro. Esto es sumamente grave, pues hasta el momen-
Introductorio to siempre se ha considerado que un proceso solamente
de Seguridad puede acceder a su área de memoria, a su información.
Autor:
Ernesto Pérez Estévez Al momento se considera que Meltdown afecta solamente
a procesadores Intel, pero Spectre afecta además de Intel
MODULO 1. a los procesadores de AMD y de ARM.
MODULO 2. Se trata de un conjunto de fallas de seguridad que afectan

severamente a los principales fabricantes de procesadores
MODULO 3.
del mundo. Esta falla solamente puede ser mitigada des-
MODULO 4. de el software pero a un gran costo para el desempeño del
procesador y en algunos casos la solución no es perfecta.
MODULO 5.
Hay que esperar a que se fabriquen nuevas versiones de
MODULO 6. procesadores o nuevas ideas sobre cómo mitigar o eli-
MODULO 7.
minar esta falla a través del software sin afectar al des-
empeño de los procesadores. Sin embargo, posiblemente
MODULO 8. veremos en los próximos años procesadores relativamen-
te modernos a un costo bajísimo pues, lógicamente, los
MODULO 9. mayoristas y minoristas que ya los tienen almacenados no
asumirán la pérdida.
MODULO 10.
MODULO 11.
Protección contra estos ataques
Amenazas actuales
La protección contra estos ataques no implica nada nove-
doso, sino seguir lo que se ha dicho a lo largo de los capí-
MODULO 12.
tulos anteriores.
· Actualizaciones: no deben obviarse, deben considerarse
Curso obligatorias, ya que los sistemas deben ser actualizados
Introductorio frecuentemente, tanto como sea posible. Como se puede
de Seguridad ver, los atacantes utilizan fallas de seguridad en sistemas
Autor: operativos y aplicaciones para lograr sus objetivos. Si se
Ernesto Pérez Estévez los mantiene actualizados, se habrán eliminado al menos
las fallas de seguridad ya conocidas y públicas. Esto es
MODULO 1. imperioso: se debe tener garantía de que lo que se com-
pra pueda ser actualizado. No se debe comprar sin esta
MODULO 2. garantía. Muchas veces el usuario se enfoca en las carac-
terísticas de un celular o un dispositivo de monitoreo, sin
MODULO 3.
verificar si el fabricante ofrece actualizaciones y por cuán-
MODULO 4. to tiempo. Ante dos posibles opciones de compra, se debe
escoger la que brinde actualizaciones durante el tiempo
MODULO 5. que se usará su producto. Los gobiernos y las agencias
de regulación eventualmente deberán dictar normas para
MODULO 6.
importación y venta de equipos que obligue a los fabrican-
MODULO 7. tes a ofrecer entre sus características el tiempo durante el
cual ofrecerán actualizaciones.
MODULO 8.
· Claves fuertes: muchos dispositivos de IOT siguen te-
MODULO 9. niendo claves triviales, simples de adivinar, a pesar de
que hace varias décadas que se demostró que tener cla-
MODULO 10.
ves fuertes es una de las mejores protecciones y que los
MODULO 11. atacantes aprovechan las claves débiles para entrar a los
Amenazas actuales sistemas. Este es un problema que persiste.
MODULO 12. · Educación al usuario: si bien parece novedoso, es de sen-

tido común: nunca, bajo ningún concepto se debe ofrecer
información que no sea necesaria o compartir con un ter-
Curso cero información confidencial, pues esta puede prestarse
Introductorio para diversos tipos de ataques, virtuales o físicos.
de Seguridad
Autor: Como resumen de esta parte: los métodos de ataque van
Ernesto Pérez Estévez evolucionando y de forma similar lo hacen las formas de
protección: aunque son las mismas que antes, se deben
MODULO 1. aplicar a toda nueva tecnología o sistema que se vaya
adoptando o usando.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
Amenazas actuales
MODULO 12.
Curso
Introductorio CSIRT y tratamiento
de Seguridad
Autor:
Tde incidentes
· Conceptos básicos
· Planificación de un CSIRT
MODULO 1. · Manejo de incidentes
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULE 12.
MODULO
Curso
Introductorio
de Seguridad
Autor:
12.
Introducción
MODULO 1.
MODULO 2.
Como ya se ha visto, las amenazas informáticas son mu-
chas y provienen de diversos lugares, muchas veces ines-
MODULO 3. perados para los usaurios. Estos incidentes de seguridad
pueden hacer que una organización pierda su información
MODULO 4. confidencial o incluso puede provocar pérdidas financie-
ras, pues los usuarios pueden verse sin servicio durante
MODULO 5.
extensos períodos.
MODULO 6.
Si enfrentamos un incidente de seguridad lo mejor es rea-
MODULO 7. lizar un adecuado tratamiento de este de forma tal que se
pueda mitigar el daño, eliminar o corregir los problemas
MODULO 8.
provocados por el incidente para que, en lo posible, no
MODULO 9. vuelva a ocurrir.
MODULO 10. Para este módulo nos hemos basado extensamente en la

documentación que se incluye en la bibliografía con tal de
MODULO 11.
resumir los aspectos más importantes de la formación de
MODULE 12. un CSIRT (Computer Security Incident Response Team) y
MODULO
CSIRT y tratamiento el tratamiento de incidentes dentro de ellos.
de incidentes
Curso Conceptos básicos
Introductorio
de Seguridad Se partirá de la definición y la explicación de algunos con-
ceptos básicos del tratamiento de incidentes y cómo se
Autor:
Ernesto Pérez Estévez puede planificar y operar un CSIRT.
MODULO 1. ¿Qué es un evento?
MODULO 2. Es cualquier situación detectada por un usuario o infor-

mada por un tercero que pueda ser síntoma de que algo
MODULO 3.
de importancia está sucediendo o puede suceder en un
MODULO 4. sistema si no se toman medidas adecuadas.
MODULO 5. Ejemplo: se ha detectado que el usuario administrador del

router tiene la clave por defecto. En sí esto no significa
MODULO 6.
que algo malo haya sucedido, pero si se piensa un poco
MODULO 7. más allá, se sabrá que puede convertirse en algo grave si
alguien utiliza esa clave para acceder al sistema.
MODULO 8.
¿Qué es un incidente?
MODULO 9.
MODULO 10. Es cuando algo que podía ocurrir en un sistema se mate-

rializa, se vuelve realidad: se ha comprometido o se podrá
MODULO 11. comprometer potencialmente la confidencialidad, integri-
dad o disponibilidad de un activo de la organización.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso Siguiendo con el ejemplo anterior: alguien aprovechó 1
Para más información sobre
CERT ver en
Introductorio un router que tenía la clave por defecto para instalar un http://www.cert.org/
de Seguridad sniffer en la red y robar las claves de los usuarios.
Autor: 2
Algunas personas piensan que
Ernesto Pérez Estévez ¿Qué es un grupo de respuesta a incidentes informáticos? un CERT es un organismo na-
cional y que debajo del CERT
MODULO 1. Un grupo de respuesta a incidentes informáticos es un nacional que existen los CSIRT.
Esto no es necesariamente
grupo de expertos en seguridad que pueden responder a cierto. Es simplemente una
MODULO 2. vulnerabilidades o incidentes de seguridad en una orga- forma de nombrar a un centro
nización. Este equipo tiene la capacidad de detectar estos de respuesta a incidentes y
MODULO 3. es tan normal usar este nom-
incidentes y apoyar a los miembros de la organización en bre como el que se verá en el
MODULO 4. la solución de los incidentes o problemas. Este grupo pue- ítem siguiente para nombrar
de apoyar a la organización con servicios proactivos que a nuestros centros, sin que
MODULO 5. ello marque una diferencia en
busquen mitigar o eliminar potenciales riesgos en la orga- cuanto a su funcionamiento,
nización; apoyar a difundir el conocimiento sobre seguri- legalidad o posición.
MODULO 6.
dad y educar a sus miembros en el desarrollo y la mejora
MODULO 7. de servicios de seguridad.
MODULO 8. Existen diversas formas de nombrar a los grupos de res-

puestas a incidentes informáticos, de las que se verán
MODULO 9.
algunas de las más utilizadas:
MODULO 10.
• Computer Emergency Response Team (CERT)1: es una
MODULO 11. marca registrada del Centro de coordinación del CERT
(CERT/CC) que es parte del Software Engineering Institute
MODULE 12.
MODULO (SEI) de la Universidad Carnegie Mellon (CMU) de los Es-
CSIRT y tratamiento tados Unidos2. Fue el primer centro de respuesta, creado
de incidentes
en 1988, para responder a un gusano que se propagó en
Curso aquella época y que fue conocido como Morris3. Si fuera 3
https://en.wikipedia.org/wiki/
Morris_worm
Introductorio necesario utilizar la marca CERT para un nombre, se debe-
de Seguridad rá solicitar autorización al SEI4. 4
https://www.sei.cmu.edu/
education-outreach/licen-
Autor: se-sei-materials/authoriza-
Ernesto Pérez Estévez • Computer Security Incident Response Team (CSIRT): tion-to-use-cert-mark/index.
es un nombre genérico para los centros de respuestas a cfm
MODULO 1. incidentes informáticos. Su función es idéntica a la del
CERT con la diferencia de que el acrónimo CERT es marca
MODULO 2. registrada.
MODULO 3.
• Security Operations Center (SOC): a veces hace refe-
MODULO 4. rencia al área física en la que se monitorea y se envían las
notificaciones sobre incidentes. Es donde ocurre la coor-
MODULO 5. dinación del centro.
MODULO 6.
• Realmente no hay diferencias entre las actividades de un
MODULO 7. SOC y de un CSIRT. Muchas funciones de un CSIRT se lo-
calizan dentro de un SOC y algunos CSIRT utilizan el SOC
MODULO 8. como primera línea de trabajo.
MODULO 9.
Lo más importante es que, independientemente del nom-
MODULO 10. bre que se use o vaya a usar, se brinden los servicios que
se anuncien a sus miembros.
MODULO 11.
En las siguientes secciones se busca indicar cuáles son
MODULE 12.
MODULO los requisitos mínimos necesarios para operar un CSIRT
CSIRT y tratamiento en una organización, con la finalidad de apoyar la mejora
de incidentes
del conocimiento necesario para formar estos equipos y
Curso buscar que, con esta simple guía, se puedan tener los ele-
Introductorio mentos fundamentales para formarlos.
de Seguridad
¿Qué beneficios trae recibir servicios de un CSIRT?
Autor:
Un centro de respuesta a incidentes de seguridad infor-
MODULO 1. mática tiene como beneficio principal la capacidad que le
brindará a su comunidad al proveerla de un servicio en el
MODULO 2. manejo de una respuesta rápida que permita contener un
incidente de seguridad informática, y, según sea el caso,
MODULO 3.
posibilitar la recuperación del daño causado. Las relaciones
MODULO 4. o alianzas con pares que tenga el CSIRT así como el acceso
compartido a estrategias de respuesta y alertas tempranas
MODULO 5. hacen más efectiva su operación. También contribuye en
procesos de aseguramiento de sistemas, identificación de
MODULO 6.
vulnerabilidades y la detección de incidentes.
MODULO 7.
A continuación se listan algunos de los beneficios que se
MODULO 8. obtienen al implementar un CSIRT:
MODULO 9.
• Se convierte en un punto de contacto confiable dentro
MODULO 10. de la comunidad para el manejo de incidentes de seguri-
dad informática.
MODULO 11.
• Promueve un desarrollo en el uso de infraestructura tec-
MODULE 12.
MODULO nológica basado en buenas y mejores prácticas para la
CSIRT y tratamiento adecuada coordinación de la respuesta a incidentes de
de incidentes
seguridad informática.
Curso • Se constituye en un punto especializado y de asesoramien-
Introductorio to para la protección de las distintas actividades informáti-
de Seguridad cas de los sectores que conforman su comunidad objetivo.
Autor:
Ernesto Pérez Estévez • Brinda información sobre vulnerabilidades y las asocia
con recomendaciones para su mitigación o control.
MODULO 1.
• Provee servicios de publicación de información eficaz con
MODULO 2. la finalidad de socializar la cultura de seguridad informática.
MODULO 3.
• Participa y comparte experiencias con equipos similares
MODULO 4. y proveedores de servicios de seguridad informática para
su promoción y actualización, así como para el estableci-
MODULO 5. miento de mejores estrategias en el manejo de incidentes
de seguridad informática.
MODULO 6.
MODULO 7. • Administra puntos de contacto con otros CSIRT para

respaldar las distintas estrategias de seguridad informáti-
MODULO 8. ca en un sentido más global.
MODULO 9.
• Apoya a otras instituciones que lo requieran en el desa-
MODULO 10. rrollo de capacidades propias para el manejo de inciden-
tes, así como la implantación de buenas y mejores prácti-
MODULO 11. cas de seguridad informática.
MODULE 12.
MODULO • Posee un equipo conformado por personal especializado,
CSIRT y tratamiento en constante proceso de actualización con la intención de
de incidentes
brindar servicios de soporte informático con un alto nivel
Curso de eficacia y eficiencia a los distintos requerimientos de la
Introductorio comunidad.
de Seguridad
• Promueve y desarrolla materiales de concientización,
Autor:
Ernesto Pérez Estévez educación y entrenamiento en variedad de temas de se-
guridad informática.
MODULO 1.
Planificando un CSIRT
MODULO 2.
Cuando se desea iniciar un grupo de respuesta a inci-
MODULO 3.
dentes, normalmente hay un conjunto de elementos que
MODULO 4. se deben tener en cuenta para comenzar a operar. En los
manuales indicados en la bibliografía se habla extensa-
MODULO 5. mente de cada uno.
MODULO 6.
Deseamos hacer énfasis en varios de ellos con la finali-
MODULO 7. dad de facilitar el proceso de comprensión del proceso de
creación de un CSIRT.
MODULO 8.
Misión
MODULO 9.
MODULO 10. Deben listarse, de forma breve, el propósito y la función

del CSIRT así como ofrecerse una breve descripción de los
MODULO 11. objetivos del grupo. De esta forma, con una rápida mirada,
los interesados podrán conocer sus alcances.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso Membresía
Introductorio
de Seguridad Es muy importante que al comenzar a operar esté bien de-
finido a quiénes se ofrecerán los servicios. Esto ayudará
Autor:
Ernesto Pérez Estévez a estudiar, conocer y comprender las necesidades de los
potenciales usuarios y, en consecuencia, preparar los servi-
MODULO 1. cios que se les brindarán.
MODULO 2. ENISA sugiere los siguientes tipos de sectores que pueden

ser atendidos:
MODULO 3.
MODULO 4. Tabla 8 (Continúa en página 10)
Sector Foco Membresía

MODULO 5.
Académico Instituciones académicas Docentes, administrativos,
MODULO 6. como universidades. estudiantes.
También atiende institutos de
MODULO 7. investigación.
MODULO 8.
MODULO 9. Comercial Brinda servicios comerciales. Usuarios de pago.

Típicamente se especializan en
MODULO 10. un conjunto de servicios que
ofrecen a otras organizaciones.
MODULO 11.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso Tabla 8 (Continúa en página 11)
Introductorio Infraestructura crítica Busca proteger las infraestructu- Sectores con infraestructura
ras críticas de los Estados crítica.
de Seguridad (electricidad, finanzas, suministro
Autor: de agua, transporte de bienes).
MODULO 1. Gubernamental Atiende a entidades del Agencias del gobierno.

gobierno.
MODULO 2.
MODULO 3.
MODULO 4.
Interno Usuarios de la organización. Clientes internos de la
MODULO 5. organización.
MODULO 6.
MODULO 7.
Militar Trabaja con las organizaciones Personal de las instituciones
MODULO 8. militares. militares.
MODULO 9.
MODULO 10.
MODULO 11. Nacional Considerado el punto de Todas las áreas del país.
contacto para un país. A veces combinando con
MODULE 12.
MODULO CSIRT gubernamental.
CSIRT y tratamiento
de incidentes
Curso Tabla 8
Introductorio PYME CSIRT organizado y manejando Personal de las PYMES.

por las PYME de un sector para
de Seguridad autoproveerse servicios.
Autor:
MODULO 1. Vendedor Productos propios de un fabri- Dueños de un producto.

cante (por ejemplo, switches,
MODULO 2. routers, sistemas operativos).
Normalmente se los conoce
MODULO 3.
como PSIRT (Product Security
Incident Response Team).
MODULO 4.
MODULO 5.
MODULO 6. Autoridad
MODULO 7. Es la capacidad que tiene un CSIRT de intervenir ante

eventos o incidentes de seguridad. Existe un gran espectro
MODULO 8. de posibilidades que incluye las capacidades de informar la
existencia de incidentes o coordinar la solución de inciden-
MODULO 9.
tes, hasta intervenir para reconfigurar, rehabilitar, deshabi-
MODULO 10. litar o apagar servicios que hayan sido comprometidos.
MODULO 11. ¿Qué se protege con un CSIRT?

MODULE 12.
MODULO
Un equipo de respuesta debe tener como objetivo proteger
CSIRT y tratamiento
de incidentes
infraestructuras críticas de la información. Con base en el
segmento de servicio al que esté destinado deberá definir su
Curso alcance de cobertura de requerimientos de protección sobre
Introductorio los servicios que brinda. El CSIRT debe brindar servicios de
de Seguridad seguridad a las infraestructuras críticas de su segmento.
Autor:
Ernesto Pérez Estévez Las infraestructuras críticas en un país están distribuidas
en grandes sectores, entre otros:
MODULO 1.
• Agricultura.
MODULO 2. • Energía.
• Transporte.
MODULO 3.
• Industrias.
MODULO 4. • Servicios postales.
• Suministro de agua.
MODULO 5. • Salud pública.
• Telecomunicaciones.
MODULO 6.
• Banca/finanzas.
MODULO 7. • Gobierno.
• Educación.
MODULO 8.
Por su parte, las infraestructuras de información están
MODULO 9.
segmentadas de la siguiente manera:
MODULO 10.
• Internet: servicios web, hosting, correo electrónico,
MODULO 11. DNS, etcétera.
• Hardware: servidores, estaciones de trabajo, equipos de
MODULE 12.
MODULO red.
CSIRT y tratamiento • Software: sistemas operativos, aplicaciones, utilitarios.
de incidentes
• Sistemas de control: SCADA, PCS/DCS.

Curso Servicios de un CSIRT
Introductorio
de Seguridad Un CSIRT puede ofrecer una gran variedad de servicios. Sin
embargo, debe notarse que no es necesario ofrecerlos todos
Autor:
Ernesto Pérez Estévez para poder operar como tal. Depende mucho de la experien-
cia que tenga el personal en manejar diversas áreas, así como
MODULO 1. de la capacidad de financiamiento con la que se cuente.
MODULO 2. Se sugieren orientarse a comprender a cabalidad y cum-

plir con las siguientes dos condiciones:
MODULO 3.
MODULO 4. 1. No ofrecer más servicios que los que verdaderamente

se puedan cumplir: de nada sirve anunciar el apoyo a los
MODULO 5. miembros con, por ejemplo, diez servicios, cuando en rea-
lidad no se tiene experiencia, conocimiento o el personal
MODULO 6.
para poder ofrecerlos.
MODULO 7.
2. Todo CSIRT debe ofrecer al menos un conjunto mínimo
MODULO 8. obligatorio de servicios que se verán a continuación y que
se pueden clasificar en las siguientes áreas:
MODULO 9.
MODULO 10. • Servicios reactivos: son aquellos que se brindan para

apoyar cuando un incidente está en curso o ya ha ocurri-
MODULO 11. do. Son servicios para apoyar en la eliminación o mitiga-
ción de las consecuencias de un incidente.
MODULE 12.
MODULO
CSIRT y tratamiento • Servicios proactivos: son aquellos que se prestan antes
de incidentes
de la ocurrencia de un incidente. Esto se logra a través del
Curso entrenamiento de los miembros y de acciones de sensibi-
Introductorio lización que permitan que estos tomen medidas y adquie-
de Seguridad ran conocimiento para evitar incidentes o minimizar su
impacto en su organización.
Autor:
• Manejo de artefactos: es la posibilidad de analizar archi-
MODULO 1. vos u objetos presentes en equipos afectados y que ha-
yan sido o sean parte de una actividad maliciosa.
MODULO 2.
• Gestión de la calidad de la seguridad: servicios a largo
MODULO 3.
plazo que incluyen servicios de educación, certificación
MODULO 4. de productos, recuperación ante desastres, etcétera.
MODULO 5. El conjunto mínimo de servicios a ofrecer incluye:

MODULO 6.
• Del área de servicios reactivos: alertas y avisos, manejo
MODULO 7. de incidentes, análisis de incidentes, apoyo en la respuesta
a incidentes y coordinación para la respuesta a incidentes.
MODULO 8.
• Del área de servicios proactivos: anuncios de seguridad.
MODULO 9.
MODULO 10. Un detalle de cada uno de estos servicios puede ser estudia-
do en el documento de ENISA:
MODULO 11.
CSIRT_setting_up_guide_ENISA, Anexo A.2 CSIRT Services.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
Figura: servicios de un CSIRT de acuerdo con CERT/CC, tomado de
MODULO 9. CSIRT_setting_up_guide_ENISA
MODULO 10.
MODULO 11.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso Es mejor ofrecer los servicios que realmente pueden abar-
carse. No importa su cantidad sino que en realidad pue-
Introductorio dan garantizarse.
de Seguridad
Autor: Financiamiento
Uno de los puntos centrales a la hora de formar un CSIRT
MODULO 1.
es buscar estrategias de financiamiento. Muchos comien-
MODULO 2. zan con buenas intenciones, pero sin una adecuada es-
trategia de financiamiento todos los esfuerzos pueden
MODULO 3. verse comprometidos a corto plazo.
MODULO 4.
Es importante buscar formas de interesar a la alta gerencia
MODULO 5. de la organización en el proceso de formación del CSIRT,
ya que la seguridad muchas veces es vista como un gas-
MODULO 6. to, sin que se comprendan los beneficios que trae tener un
centro de respuesta. Sobre todo, hay que estar atentos en
MODULO 7. momentos críticos de la organización, como por ejemplo
MODULO 8.
cambios de la directiva, pues sus nuevos miembros pueden
tomar medidas rápidas para demostrar eficiencia y estas
MODULO 9. medidas siempre incluyen reducción de costos.
MODULO 10. Costos

MODULO 11.
Hay algunos parámetros que afectarán el costo de ope-
MODULE 12.
MODULO ración de un CSIRT y que no deben obviarse a la hora de
CSIRT y tratamiento calcular sus costos:
de incidentes
Curso 1. Horas de operación: mientras mayor sea la cantidad de
Introductorio horas de operación más personal será necesario y mayor
de Seguridad será el costo. Entonces, es necesario preguntarse: ¿Es
necesario que el CSIRT opere las 24 horas los siete días de
Autor:
Ernesto Pérez Estévez la semana? ¿Puede trabajar solamente en horario laboral o
se necesita que lo haga también fuera de ese horario? ¿Se
MODULO 1. podría trabajar en forma remota fuera del horario laboral?
MODULO 2. 2. Personal necesario para brindar los servicios anun-

ciados: para todos los servicios que se ofrecen se requie-
MODULO 3.
re personal calificado. Ciertos servicios pueden requerir
MODULO 4. personal altamente calificado y muy difícil de conseguir.
¿Existe disposición de pagar por ellos? Se deben calcular
MODULO 5. muy bien los servicios que se ofrecen, ya que, a más can-
tidad de servicios se requiere más personal, algunas ve-
MODULO 6.
ces especializado.
MODULO 7.
3. Hardware: ¿Se puede usar equipamiento ya en existen-
MODULO 8. cia en la organización o tendrá que adquirirse nuevo hard-
ware? ¿Qué hardware se va a utilizar? ¿Se necesita equi-
MODULO 9.
pamiento de última tecnología para ofrecer los servicios?
MODULO 10.
4. Software: ¿Se puede valorar el uso de herramientas
MODULO 11. de software libre para ofrecer los servicios anunciados?
¿Estarán capacitados los técnicos para operar el software
MODULE 12.
MODULO que se adquirirá?
CSIRT y tratamiento
de incidentes
Curso Respuestas sinceras a esta lista de preguntas darán como
Introductorio resultado los costos en los que incurrirá el CSIRT y, por
de Seguridad lo tanto, permitirá definir claramente los servicios que se
ofreceran, así como enfocar los esfuerzos en conseguir
Autor:
Ernesto Pérez Estévez financiamiento para cubrir los costos.
MODULO 1. Se sugiere consultar los potenciales gastos con un contador

que pueda asesorar en costos no relacionados directamente
MODULO 2. con los gastos principales que se han descrito, ya que hay
otros gastos que deberán incluirse, como por ejemplo:
MODULO 3.
MODULO 4. • Costo de Internet.

• Consumo de energía.
MODULO 5. • Compra de insumos (papeles, repuestos de impresoras,
etcétera).
MODULO 6.
• Arriendo de local.
MODULO 7. • Compra de muebles.
• Pago de impuestos, etcétera.
MODULO 8.
Sobre el personal: es muy importante insistir en que al
MODULO 9.
menos serán necesarios dos técnicos para lograr redun-
MODULO 10. dancia en caso de que uno de ellos falle temporal o per-
manentemente. Es el mínimo recomendado para que un
MODULO 11. CSIRT opere normalmente. Uno de ellos será el coordina-
dor o director del CSIRT y el otro le servirá de apoyo.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso Financiamiento
Introductorio
de Seguridad Una vez que se tenga una idea bastante clara de los costos,
se deberá analizar de dónde se obtendrá su financiamiento:
Autor:
• Uso de recursos ya existentes: ¿Existen recursos en la
MODULO 1. institución que pueden ser utilizados para comenzar a ofre-
cer los servicios del CSIRT? Personal que colabora en otras
MODULO 2. áreas de la institución puede apoyar al CSIRT. También se
pueden utilizar muebles, conectividad, hardware o softwa-
MODULO 3.
re. No es infrecuente buscar este tipo de solución especial-
MODULO 4. mente en organizaciones pequeñas y medianas, de forma
tal de no generar mayores gastos para iniciar el CSIRT.
MODULO 5.
• Cobro de un valor por el servicio a los miembros: ¿Se
MODULO 6.
puede cobrar un valor mensual, semestral o anual a los in-
MODULO 7. teresados (a la membresía) de forma que esta cuota cubra
los gastos del CSIRT?
MODULO 8.
• Subsidios: dependiendo del país o de las habilidades
MODULO 9.
de los integrantes del CSIRT se pueden buscar fondos de
MODULO 10. financiamiento ante entidades nacionales o del exterior de
forma tal que se puedan cubrir todos o parte de los costos
MODULO 11. de operación del CSIRT durante un período.
MODULE 12.
MODULO • Esquema mixto, como por ejemplo: los servicios de se-
CSIRT y tratamiento guridad brindados a la institución se brindan sin costo y
de incidentes
los que se brindan externos se cobran.
Curso Estructura organizacional de un CSIRT
Introductorio
de Seguridad Esta parte depende mucho de los servicios ofrecidos y del
personal que se requiera. En realidad, cada CSIRT mane-
Autor:
Ernesto Pérez Estévez ja una estructura que depende mucho de cómo se inserta
dentro de la organización y cómo se hace uso de sus recur-
MODULO 1. sos humanos. Se verán a continuación algunos modelos, que
pueden combinarse para lograr una estructura mixta acorde
MODULO 2. a cada organización.
MODULO 3. Recordemos que en un CSIRT debe haber al menos dos
MODULO 4. técnicos: uno actuará como coordinador o director y el otro
como técnico de apoyo. Puede no haber más personal que
MODULO 5. ese, o estos roles pueden ser asumidos por técnicos del
CSIRT o por personal de otras áreas de la empresa.
MODULO 6.
Modelo independiente
MODULO 7.
En este modelo el CSIRT actúa con independencia de los
MODULO 8.
recursos que tenga la organización. Tiene sus propios re-
MODULO 9. cursos, todos dependen de un coordinador o director ge-
neral del CSIRT:
MODULO 10.
MODULO 11.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5. Modelo independiente, tomado de CSIRT_settingup_guide_ENISA.

MODULO 6.
Modelo embebido
MODULO 7.
Es útil si se está estableciendo un CSIRT dentro de una organización
MODULO 8. donde existen áreas requeridas por el CSIRT. Por ejemplo, el personal
del área técnica puede actuar como técnicos del CSIRT, el personal
MODULO 9.
del área legal realizaría las actividades requeridas en la parte legal del
MODULO 10. CSIRT, y así sucesivamente. En este modelo no se requeriría mayor-
mente de personal dedicado exclusivamente al CSIRT.
MODULO 11.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes Modelo embebido, tomado de CSIRT_settingup_guide_ENISA
Curso Modelo voluntario
Introductorio
de Seguridad En este modelo el CSIRT es manejado por personas que de-
dican su tiempo libre para colaborar, voluntariamente, con su
Autor:
Ernesto Pérez Estévez operación. Se depende mucho de la motivación y de los de-
seos de un participante de colaborar con el CSIRT.
MODULO 1.
Entrenamiento
MODULO 2.
Mantener a los técnicos continuamente preparados es
MODULO 3.
crucial en un CSIRT, por lo que se sugiere que estos reali-
MODULO 4. cen actividades de entrenamiento frecuentes con la finali-
dad de mantener sus conocimientos actualizados. Existen
MODULO 5. diversos lugares donde se puede recibir entrenamiento,
por ejemplo:
MODULO 6.
MODULO 7. • Entrenamiento sobre creación y formación de CSIRT

del WARP de LACNIC: LACNIC brinda, varias veces al año,
MODULO 8. entrenamientos in situ con la finalidad de preparar a inte-
resados en el proceso de formación de CSIRT.
MODULO 9.
MODULO 10. • TRANSITS: es un proyecto europeo que busca estable-

cer CSIRT a través de la preparación de personal para tra-
MODULO 11. bajar en las áreas requeridas por un CSIRT.
MODULE 12.
MODULO • CERT/CC: ofrece cursos para crear y manejar CSIRT,
CSIRT y tratamiento fundamentos del manejo de incidentes y manejo de inci-
de incidentes
dentes avanzados.
Curso
En general, cualquier curso relacionado con la seguridad
Introductorio debe ser valorado con la finalidad de que el personal se
de Seguridad mantenga actualizado y adquiera nuevos conocimientos.
Autor:
Ernesto Pérez Estévez Cooperación con otros grupos
MODULO 1.
La preparación y actualización de conocimientos de nues-
MODULO 2. tro personal es muy importante. Y con el mismo nivel de
importancia se debe valorar la participación de nuestro
MODULO 3. CSIRT en grupos, listas, foros y congresos de seguridad.
A través de esta participación se logran contactos, herra-
MODULO 4.
mientas, información y actualización de conocimientos;
MODULO 5. todos ellos nos van a ser útiles para ser aplicados a nues-
tro CSIRT en beneficio de nuestra organización.
MODULO 6.
Un CSIRT que trabaja solo, sin interacción con terceros,
MODULO 7.
no es tan útil como un CSIRT conectado a redes locales,
MODULO 8. regionales e internacionales que le permitirán dar y recibir
apoyo cuando sea necesario.
MODULO 9.
Existen varias redes de las que se puede participar, ya sea
MODULO 10. de forma remota o presencial. En sus sitios web se puede
MODULO 11.
encontrar información sobre eventos, congresos, listas o
foros en los que se puede y debe buscar participar.
MODULE 12.
MODULO
CSIRT y tratamiento • WARP LACNIC: es el centro de respuesta a incidentes de
de incidentes
Curso LACNIC. Sitio web: https://warp.lacnic.net
Introductorio
de Seguridad • FIRST: es el foro para equipos de respuesta a incidentes.
Sitio web: https://first.org
Autor:
• TI de Geant: busca trabajar para apoyar a equipos de
MODULO 1. respuesta a incidentes para solventar problemas que sur-
gen en el área. Sitio web:
MODULO 2. https://www.trusted-introducer.org/index.html
MODULO 3.
• Unión Internacional de Telecomunicaciones (ITU): es
MODULO 4. una institución internacional que apoya a países en la im-
plementación de centros de seguridad y otras actividades
MODULO 5. relacionadas con la seguridad en el planeta. Sitio web:
https://www.itu.int/en/action/cybersecurity
MODULO 6.
MODULO 7. • APWG: es un grupo de trabajo para la lucha contra el

phishing. Sitio web: https://www.antiphishing.org/
MODULO 8.
• Organización de Estados Americanos (OEA): apoya a
MODULO 9.
los países de la región en la implementación de centros
MODULO 10. de seguridad, capacitación en seguridad e intercambio de
información sobre seguridad. Sitio web:
MODULO 11. https://www.oas.org/cyber
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso Aprobación
Introductorio
de Seguridad Algo muy importante es cómo presentarle a los directivos,
quienes toman decisiones y tienen la capacidad para finan-
Autor:
Ernesto Pérez Estévez ciar y autorizar la creación y comienzo de operaciones, el
CSIRT. Para ello se sugiere preparar un caso de negocios
MODULO 1. que permita, de forma convincente, demostrar la necesidad
de tener y mantener un CSIRT. En este caso de negocios:
MODULO 2.
• Se debe comenzar por plantear, a través de matrices
MODULO 3.
FODA (fortalezas, oportunidades, debilidades, amenazas),
MODULO 4. las oportunidades y los problemas que se pueden obtener.
MODULO 5. • Se debe utilizar información lo más actualizada posible

que permita apoyar las explicaciones que demuestran la
MODULO 6.
importancia de proteger los activos de la organización en
MODULO 7. el ciberespacio.
MODULO 8. Deben tomarse todas las precauciones para poder pre-

sentar de manera exitosa el caso de negocios. Aunque
MODULO 9.
este no hará que automáticamente los directivos aprue-
MODULO 10. ben el inicio de operaciones del CSIRT, sí podrá permitir
obtener apoyo de parte de estos para su formación.
MODULO 11.
Para crear un caso de negocios se puede intentar responder
MODULE 12.
MODULO las siguientes preguntas, extraídas del manual de ENISA,
CSIRT y tratamiento donde figura no solo una breve explicación de aspectos im-
de incidentes
portantes a tener en mente a la hora de realizar un caso de
Curso negocios, sino que además se enlazan varios ejemplos de
Introductorio casos de negocios de diversas organizaciones (pp. 33-35).
de Seguridad
Para crear este plan se puede pensar en responder una
Autor:
Ernesto Pérez Estévez serie de preguntas que permitirán hacer énfasis en lo que
los directivos necesitan oír para tomar una decisión:
MODULO 1.
• ¿Qué problema se necesita solucionar? La escasa pre-
MODULO 2. ocupación o coordinación para resolver problemas de se-
guridad. Es típico que las organizaciones cuya operación
MODULO 3.
dependa mucho de las redes informáticas comiencen a
MODULO 4. tener problemas para solucionar incidentes informáticos.
MODULO 5. • ¿Qué se quiere lograr con los miembros? ¿Qué ganan

ellos? Conocimiento, cooperación entre las partes, apoyo
MODULO 6.
para resolver incidentes.
MODULO 7.
• ¿Qué sucede si no se hace nada? ¿Qué implicaciones ten-
MODULO 8. dría no hacer algo por mejorar la seguridad? Normalmente
serán afectaciones financieras y legales: pérdida de compe-
MODULO 9.
titividad, migración de clientes a la competencia, etcétera.
MODULO 10.
• ¿Qué sucedería si se decide hacer algo? ¿Qué se ga-
MODULO 11. naría si se decide formar el centro? Seguramente poco o
nada de lo que se menciona en el punto anterior sucede-
MODULE 12.
MODULO ría, ya que se trabajaría en la prevención o mitigación de
CSIRT y tratamiento pérdidas finacieras o situaciones legales y en la mejora en
de incidentes
la competitividad y eficiencia, etcétera.
Curso • ¿Costará algo? De acuerdo al modelo organizacional que
Introductorio se defina y a los costos estimados de personal, hardware,
de Seguridad software, se debe ser claro al presentar los costos de ope-
ración del centro.
Autor:
• Presentación de los tiempos de ejecución del proyec-
MODULO 1. to: se debe preparar un proyecto que permita a la directi-
va conocer los tiempos, el uso de recursos y actividades y
MODULO 2. las tareas que se deben realizar.
MODULO 3.
Manejo de incidentes
MODULO 4.
El corazón de un CSIRT es el manejo de incidentes: qué
MODULO 5. hacer desde el momento en que se recibe información o
se encuentra que ha ocurrido un potencial incidente en
MODULO 6.
uno de nuestros miembros. Nos apoyaremos en la sección
MODULO 7. «Doing Incident Handling» de la guía de ENISA (p. 45 en
adelante) para hacer un breve resumen de cómo manejar,
MODULO 8. en sentido general, un incidente que llega al CSIRT.
MODULO 9.
MODULO 10.
MODULO 11.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Figura tomada del manual de ENISA, p. 46
Curso Este es el diagrama de flujo típico del proceso de manejo
Introductorio de un incidente. Se puede dividir en tres pasos:
de Seguridad
Paso 1: Proceso de recepción del reporte
Autor:
Ya sea a través de información recibida de parte de:
MODULO 1.
• un miembro que reporta un incidente que conoce;
MODULO 2.
• un desconocido que conoce la ocurrencia de un inciden-
MODULO 3.
te a uno de los miembros;
MODULO 4.
• alguna organización relacionada con la seguridad infor-
MODULO 5. mática que suministra información de forma automatizada
(por ejemplo: ShadowServers, Teamcymru, FIRST, etcétera).
MODULO 6.
MODULO 7. Se sugiere el uso de un formulario único que permita a

quienes reportan el envío de la información en un forma-
MODULO 8. to que podamos almacenar y buscar la información que
necesitamos. A continuación se muestra un ejemplo pro-
MODULO 9.
puesto por ENISA:
MODULO 10.
MODULO 11.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes
Curso
Introductorio
de Seguridad
Autor:
MODULO 1.
MODULO 2.
MODULO 3.
MODULO 4.
MODULO 5.
MODULO 6.
MODULO 7.
MODULO 8.
MODULO 9.
MODULO 10.
MODULO 11.
MODULE 12.
MODULO
CSIRT y tratamiento
de incidentes Imagen tomada de guía de ENISA, p. 47.
Curso Como se puede observar, es un conjunto de datos que per-
Introductorio mitirá identificar quién emite el reporte, qué equipos (hosts)
de Seguridad de la red están afectados y otros detalles sobre el incidente
reportado. Los campos marcados con asterisco son de llena-
Autor:
Ernesto Pérez Estévez do obligatorio. Este formulario se utiliza actualmente como
formulario web, con el objetivo de que sean almacenados
MODULO 1. automáticamente en el sistema. Antiguamente se enviaban
por fax y, aunque hoy es posible usarlo, ahora se usan herra-
MODULO 2. mientas en línea para la recepción de reportes de incidentes.
MODULO 3.
Se puede ver un ejemplo de reporte de un incidente aquí:
MODULO 4.
http://www.csirt.org/incident_report/sslp/online_report.html
MODULO 5.
Como se puede ver, se trata de un formato un poco diferen-
MODULO 6.
te, pues realmente el formato lo define el personal que atien-
MODULO 7. de el CSIRT de acuerdo con sus objetivos y necesidades.
MODULO 8. Paso 2: Evaluación del incidente

MODULO 9.
El hecho de recibir un reporte no significa que quien lo
MODULO 10. haya enviado sea quien dice ser ni tampoco significa que
el reporte sea verídico o válido. Ocurre en ocasiones que
MODULO 11. personas de buena fe reporten lo que creen que es un
incidente pero que, luego de analizado, no lo es o no está
MODULE 12.
MODULO relacionado con nuestra membresía.
CSIRT y tratamiento
de incidentes
Curso Es por ello que es importante evaluar un reporte de inci- 5
SLA (Service Level Agree
ment): acuerdos de nivel de
Introductorio dente y para ello es este paso, en el cual se harán las si- servicio que definen tiempos
de Seguridad guientes valoraciones que permitirán descartar reportes requeridos para atender un
servicio por parte de un pro-
que no sean verdaderos incidentes y tener la certeza de
Autor: veedor a su usuario.
Ernesto Pérez Estévez que un incidente sea real y debe continuarse con el pro-
ceso. Para ello se debe:
MODULO 1.
• Identificar el origen del mensaje: se debe tratar de iden-
MODULO 2. tificar que quien origina el mensaje es una fuente confiable.
De ser así, podemos continuar a los siguientes pasos. Si la
MODULO 3.
fuente genera dudas, no es conocida o tiene un historial de
MODULO 4. posibles falsos positivos se debe valorar si hay que hacer
pruebas para determinar la validez del reporte o descartar-
MODULO 5. lo. No se debe procesar sin mayor razonamiento el reporte
de un incidente. Siempre se debe verificar la fuente.
MODULO 6.
MODULO 7. • Determinar la relevancia del reporte: en este paso se

determina si el informe que envía un miembro o un tercero
MODULO 8. está relacionado con alguno de nuestros miembros. De ser
así, se continúa con el proceso de manejo del incidente. Si
MODULO 9.
no está relacionado con uno de nuestros miembros, se de-
MODULO 10. bería redirigir el incidente al CSIRT apropiado.
MODULO 11. • Clasificar cuán severo es un incidente: de acuerdo a la

clasificación de severidad, se pueden tomar decisiones re-
MODULE 12.
MODULO ferentes a cómo se emitirán reportes a los interesados, qué
CSIRT y tratamiento tiempos de respuesta deben asignarse para este incidente,
de incidentes
así como determinar, por ejemplo los SLA5 a aplicar con los
Curso miembros. Para mayor información sobre la clasificación de 6
http://www.first.org/resour
ces/guides/csirt_case_clas-
Introductorio severidad de un incidente, se puede acceder a los ejemplos sification.html
de Seguridad indicados en el sitio de FIRST6.
7
https://www.otrs.org
Autor:
Ernesto Pérez Estévez • Evaluar el nivel de urgencia de un incidente: conocido 8
https://bestpractical.com/rtir/
como triage, permite evaluar la prelación en la atención de
MODULO 1. incidentes: Con base en la severidad de un incidente así
como en los recursos con que se cuenta, se debe determi-
MODULO 2. nar cuáles incidentes serán atendidos, por quién y en qué
orden de prioridad. El triage lo debe realizar el miembro con
MODULO 3.
mayor experiencia del centro, pues requiere de un amplio
MODULO 4. conocimiento sobre el impacto de un evento. En el triage se
designa un técnico o un grupo de técnicos que trabajarán
MODULO 5. en el incidente.
MODULO 6.
Paso 3: Acciones a tomar para apoyar, solventar o miti-
MODULO 7. gar el incidente
MODULO 8. En este paso se toman todas las acciones tendientes a elimi-

nar o mitigar un incidente y consta de una serie de procesos
MODULO 9.
que pueden repetirse según vayan siendo necesarios.
MODULO 10.
Inicio del proceso de resolución del incidente:
MODULO 11.
Lo primero que hacen los técnicos al comenzar a trabajar
MODULE 12.
MODULO en un incidente es asignarle un número. Esto normalmen-
CSIRT y tratamiento te se logra a través de un sistema de manejo de tickets
de incidentes
como es OTRS7 o el RT-IR8.
Curso Proceso de resolución:
Introductorio
de Seguridad Cada proceso se maneja de forma diferente porque cada
incidente se comporta de formas diferentes, pero en sen-
Autor:
Ernesto Pérez Estévez tido general podríamos considerar como muy útil seguir
las siguientes recomendaciones de pasos a tomar durante
MODULO 1. el proceso:
MODULO 2. • Análisis: consiste en hacer un análisis completo de to-

das las evidencias que han sido informadas o que se han
MODULO 3.
recolectado, con la finalidad de entender a cabalidad en
MODULO 4. qué consiste el incidente.
MODULO 5. • Obtener información de contacto de involucrados: con

la finalidad de lograr el apoyo de las partes involucradas
MODULO 6.
debe buscarse información de todos los involucrados en
MODULO 7. el incidente: víctimas, responsables del o de los sistemas
involucrados, CSIRT que los atiende.
MODULO 8.
• Proveer asistencia técnica: apoyar a los responsables
MODULO 9.
del sistema o servicio atacado para que puedan solucio-
MODULO 10. nar el incidente.
MODULO 11. • Coordinar: informar y contactar a las partes involucra-

das para que puedan trabajar en conjunto para solucionar
MODULE 12.
MODULO el incidente.
CSIRT y tratamiento
de incidentes
Curso Reporte del incidente:
Introductorio Con la finalidad de respaldar el trabajo realizado así como de
de Seguridad contribuir a mejorar el conocimiento con base en las leccio-
Autor: nes aprendidas durante el proceso de solución del inciden-
Ernesto Pérez Estévez te se acostumbra a emitir un reporte de todo el proceso de
trabajo, con las acciones realizadas para solucionarlo.
MODULO 1.
MODULO 2. Cierre del incidente:
MODULO 3. Una vez solucionado el incidente se puede cerrar el proceso.

MODULO 4.
Debe notarse que el incidente podría ser reabierto si se
MODULO 5. descubre o reporta que no ha sido solucionado completa-
mente. Normalmente se vuelve al paso 2 de esta sección
MODULO 6. (Evaluación del incidente) para que al menos deba pasar
por proceso de triage para reabrirse. Esto permitirá verifi-
MODULO 7. car si debe ser reabierto, determinar su nivel de prioridad y
MODULO 8.
asignarlo a un grupo de técnicos encargados.
MODULO 9. Conclusiones
MODULO 10. Este capítulo es solo un resumen que busca generar una
mayor comprensión sobre la utilidad de los centros de res-
MODULO 11.
puesta a incidentes. Recomendamos que se lean los docu-
MODULE 12.
MODULO mentos listados en la bibliografía para obtener explicacio-
CSIRT y tratamiento nes detalladas sobre cómo formar centros de respuesta a
de incidentes incidentes informáticos.

Curso de Seguridad de Redes Completo-Lacnic

Cargado por

Copyright:

Formatos disponibles

Curso de Seguridad de Redes Completo-Lacnic

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Curso de Seguridad de Redes Completo-Lacnic

Cargado por

Copyright:

Formatos disponibles

Temario del curso introductorio de

Tema 1: Principios básicos de la seguridad

Tema 2: Estrategias de seguridad

Tema 3: Seguridad física

Tema 4: Seguridad Lógica

Tema 5: La seguridad en la actualidad

Tema 6: Seguridad en redes TCPIP

Tema 7: Introducción a la criptografía

Tema 8: Seguridad en el almacenamiento

Tema 9: Seguridad en el almacenamiento -

Tema 11: Las amenazas de hoy en día

Tema 12: Tratamiento de incidentes

MODULO 7. Pero ¿quién es el receptor? En nuestro mundo, el receptor

MODULO 6. • En los últimos años se ha vuelto muy popular el alma-

MODULO 7. • Archivos de audio: también se almacenan, por ejemplo,

MODULO 1. Esta información no solamente es almacenada en nuestros

MODULO 4. Pensemos en lo peor: alguien entra a nuestra oficina

MODULO 8. El ejemplo es muy simple pero permite notar que, en el

MODULO 1. Lo más valioso para una organización es la información que

MODULO 7. • Uso del conocimiento institucional por la competencia:

MODULO 7. Es necesario enfatizar que la información a la que se hace

MODULO 10. En la siguiente sección se abordará un aspecto muy im-

MODULO 8. Existen puntos o momentos en los cuales debemos hacer

MODULO 10. 1. Cuando la información es almacenada: debe almacenar-

MODULO 6. 2. Cuando la información es transmitida debe haber he-

MODULO 11. 2. B. Si se ataca el canal de una empresa (por ejemplo,

MODULO 3. 2. Vamos al cajero, sacamos dinero del banco y luego le

MODULO 7. Hay más ejemplos de principios adicionales a la tríada CIA,

MODULO 11. Algo similar se utilizaba en las puertas de las oficinas,

MODULO 4. 1.2. Seguridad en los años cuarenta del siglo XX

MODULO 1. Como consecuencia lógica de esto, con el transcurso de

MODULO 10. En esta década se produjo una verdadera expansión de

MODULO 6. Es así que a fines de los ochenta se comenzó a hacer un

MODULO 8. Pero no pensemos que el robo es personal o dirigido a una

MODULO 1. Iniciativas a nivel mundial o regional

MODULO 4. Sugiero que lean atentamente también cualquier noticia

MODULO 8. Tabla 1 (Continúa en la página 26)

MODULO 9. Sitio Idioma(s) Observaciones

MODULO 2. https://warp.lacnic. Español Es el sitio del centro de respuesta a incidentes de

MODULO 5. WARP de LACNIC también contiene algo muy intere-

MODULO 2. Es de interés que los conocimientos sobre estos temas se

MODULO 3. Es importante que se pueda profundizar sobre los aspec-

MODULO 8. La estrategia de participación universal, que se desarro-

MODULO 1. Se sugiere leer atentamente cada una de las siguientes

MODULO 5. Imaginemos algún atacante que aproveche una falla en

MODULO 1. · Mantener el sistema operativo actualizado

MODULO 10. Igualmente, queda una pregunta pendiente: si un equi-

Imaginemos un canal estrecho por donde todos los pa-

MODULO 10. Servidores de Contenido

MODULO 5. • Guardia en la única entrada de un edificio: aunque se

MODULO 8. En el mundo informático, los firewalls utilizan un principio

MODULO 3. • Permitido por defecto: todo está permitido y lo que está

MODULO 5. En sistemas seguros, se debe buscar siempre la primera po-

MODULO 8. Sin embargo, no siempre la posición de denegado por defec-

MODULO 11. 1. Todo intento de navegar sea bloqueado (para cumplir

MODULO 10. Por lo tanto, debemos imponer siempre medidas de segu-

MODULO 10. Por ejemplo, si se eliminan documentos confidenciales, el

MODULO 5. Por increíble que parezca, algunas organizaciones, quizás

MODULO 10. Si se usan sistemas de diferentes fabricantes el atacante

Todo en seguridad tiene un símil en la vida real y así mu-