Ehe 1

Machine Translated by Google
Consejo CE
MT
Y
Ético
h Y
Conceptos básicos de piratería
SERIE PROFESIONAL
planes de estudio oficiales del consejo electrónico

Hackeo ético
Esenciales
Versión 1
Consejo CE
Copyright © 2021 por el Consejo CE. Reservados todos los derechos. Excepto lo permitido por la Ley de Derechos de Autor de 1976, ninguna
parte de esta publicación puede reproducirse o distribuirse de ninguna forma ni por ningún medio, ni almacenarse en una base de datos o
sistema de recuperación, sin el permiso previo por escrito del editor, con la excepción de que Los listados de programas pueden ingresarse,
almacenarse y ejecutarse en un sistema informático, pero no pueden reproducirse para su publicación sin el permiso previo por escrito del
editor, excepto en el caso de citas breves incorporadas en reseñas críticas y ciertos otros usos no comerciales permitidos por ley de derechos
de autor. Para solicitudes de permiso, escriba al ECCouncil, dirigido a "Atención: ECCouncil", a la siguiente dirección:
Consejo CE Nuevo México

101C Sun Ave NE
Albuquerque, Nuevo México 87109
La información contenida en esta publicación ha sido obtenida por el Consejo EC de fuentes que se consideran confiables. ECCouncil toma
medidas razonables para garantizar que el contenido sea actual y preciso; sin embargo, debido a la posibilidad de error humano o mecánico,
no garantizamos la exactitud, idoneidad o integridad de ninguna información y no somos responsables de ningún error u omisión ni de la
exactitud de los resultados obtenidos del uso de dicha información.
El material didáctico es el resultado de una extensa investigación y contribuciones de expertos en la materia de todo el mundo. Los créditos
correspondientes a todas esas contribuciones y referencias se dan en el material didáctico en las notas finales de la investigación.
Estamos comprometidos a proteger los derechos de propiedad intelectual. Si es propietario de derechos de autor (un licenciatario exclusivo o
su agente) y cree que cualquier parte del material educativo constituye una infracción de derechos de autor o un incumplimiento de una licencia
o contrato acordado, puede notificarnos a [email protected]. En caso de una queja justificada, ECCouncil eliminará el material en cuestión
y realizará las rectificaciones necesarias.
El material educativo puede contener referencias a otros recursos de información y soluciones de seguridad, pero dichas referencias no deben
considerarse como un respaldo o recomendación por parte del ECCouncil.
Se anima a los lectores a informar errores, omisiones e inexactitudes al ECCouncil en [email protected]. Si tiene algún problema,
contáctenos en [email protected].
AVISO AL LECTOR
ECCouncil no garantiza ninguno de los productos, metodologías o marcos descritos en este documento ni realiza ningún análisis independiente
en relación con la información del producto contenida en este documento. ECCouncil no asume, y renuncia expresamente, a cualquier
obligación de obtener e incluir información distinta a la proporcionada por el fabricante. Se advierte expresamente al lector que considere y
adopte todas las precauciones de seguridad que puedan indicar las actividades aquí descritas y que evite todos los peligros potenciales. Al
seguir las instrucciones contenidas en este documento, el lector asume voluntariamente todos los riesgos relacionados con dichas instrucciones.
ECCouncil no hace declaraciones ni garantías de ningún tipo, incluidas, entre otras, las garantías de idoneidad para un propósito particular o
comerciabilidad, ni dichas declaraciones están implícitas con respecto al material establecido en este documento, y ECCouncil no asume
ninguna responsabilidad con respecto a dicho material. ECCouncil no será responsable de ningún daño especial, consecuente o ejemplar
que resulte, total o parcialmente, del uso o confianza del lector en este material.
Página II Conceptos básicos del hacking ético Copyright © by ECCouncil

Reservados todos los derechos. La reproducción está estrictamente prohibida.
Prefacio
La seguridad de la información se refiere a proteger los datos y los sistemas de información contra el acceso no autorizado,
el uso no autorizado, el mal uso, la destrucción o la alteración. El objetivo de la seguridad de la información es proteger la
confidencialidad, integridad y disponibilidad de la información digital.
La seguridad de la información juega un papel vital en todas las organizaciones. Es un estado de cosas en el que la
información, el procesamiento de la información y la comunicación están protegidos contra la confidencialidad, la integridad
y la disponibilidad de la información y el procesamiento de la información. En las comunicaciones, la seguridad de la
información también abarca la autenticación confiable de los mensajes que abarcan la identificación de las partes, la
verificación y registro de la aprobación y autorización de la información, la no alteración de los datos y el no repudio de la
comunicación o datos almacenados.
La seguridad de la información es uno de los elementos requeridos que constituyen la calidad de la información y los
sistemas de información. La precaución ante los riesgos de seguridad de la información y la adopción de medidas de
seguridad de la información adecuadas y suficientes son parte de las buenas prácticas de procesamiento de la información
requeridas, en particular, por las leyes de protección de datos y, más ampliamente, parte de las buenas prácticas de gestión
de la información.
El programa Ethical Hacking Essentials (EHE) cubre los conceptos fundamentales de seguridad de la información y hacking
ético. Proporciona a los estudiantes las habilidades necesarias para identificar las crecientes amenazas a la seguridad de la
información que se reflejan en la postura de seguridad de la organización e implementar controles de seguridad generales.
Este programa ofrece una descripción general holística de los componentes clave de la seguridad de la información. El curso
está diseñado para aquellos interesados en aprender los diversos fundamentos de la seguridad de la información y la
piratería ética y aspiran a seguir una carrera en seguridad de la información.
Página III Conceptos básicos del hacking ético Copyright © by ECCouncil

Acerca del Consejo de la CE

El Consejo Internacional de Consultores de Comercio Electrónico, más conocido como ECCouncil, se fundó a finales
de 2001 para abordar la necesidad de profesionales certificados y bien formados en seguridad de la información y
comercio electrónico. ECCouncil es una organización global basada en miembros compuesta por expertos de la
industria y en la materia que trabajan juntos para establecer estándares y elevar el nivel en certificación y educación en
seguridad de la información.
ECCouncil desarrolló por primera vez el programa Certified Ethical Hacker (C|EH) con el objetivo de enseñar las
metodologías, herramientas y técnicas utilizadas por los hackers. Aprovechando el conocimiento colectivo de cientos
de expertos en la materia, el programa CEH ha ganado rápidamente popularidad en todo el mundo y ahora se imparte
en más de 145 países a través de más de 950 centros de capacitación autorizados. Se considera el punto de referencia
para muchas entidades gubernamentales y corporaciones importantes de todo el mundo.
ECCouncil, a través de su impresionante red de profesionales y su enorme seguimiento en la industria, también ha

desarrollado una variedad de otros programas líderes en seguridad de la información y comercio electrónico. Las
certificaciones ECCouncil se consideran las certificaciones esenciales necesarias cuando los cursos de política de
seguridad y configuración estándar son insuficientes. Al ofrecer un verdadero enfoque táctico y práctico de la seguridad,
personas armadas con el conocimiento difundido por los programas del Consejo de la CE están reforzando las redes
de seguridad en todo el mundo y venciendo a los piratas informáticos en su propio juego.
Otros programas del Consejo de la CE

Conciencia de seguridad: usuario certificado de computadora segura
El propósito del programa de capacitación CSCU es brindar a los estudiantes los

conocimientos y habilidades necesarios para proteger sus activos de información.
Esta clase sumergirá a los estudiantes en un entorno de aprendizaje interactivo donde
adquirirán una comprensión fundamental de diversas amenazas a la seguridad de las
redes y las computadoras, como el robo de identidad, el fraude con tarjetas de crédito,
las estafas de phishing en la banca en línea, los virus y las puertas traseras, los engaños por correo electrónico, los
depredadores sexuales y otras amenazas en línea. , pérdida de información confidencial, ataques de piratería e ingeniería social.
Más importante aún, las habilidades aprendidas en la clase ayudan a los estudiantes a tomar las medidas necesarias
para mitigar su exposición a la seguridad.
Defensa de red: defensor de red certificado
Los estudiantes inscritos en el curso Certified Network Defender obtendrán una comprensión
detallada de la defensa de la red y desarrollarán su experiencia práctica para desempeñarse
en situaciones de defensa de la red de la vida real. Obtendrán el profundo conocimiento
técnico necesario para diseñar activamente una red segura dentro de su organización. Este
curso proporciona una comprensión fundamental de la verdadera naturaleza de la
transferencia de datos, las tecnologías de redes y las tecnologías de software para que los estudiantes puedan
comprender cómo operan las redes, cómo se comporta el software de automatización y cómo analizar las redes y su
defensa.
Página IV Conceptos básicos del hacking ético Copyright © by ECCouncil

Los estudiantes aprenderán cómo proteger, detectar y responder a los ataques de la red, así como también aprenderán
sobre los fundamentos de la defensa de la red, la aplicación de controles de seguridad de la red, protocolos, dispositivos
perimetrales, IDS seguros, VPN y configuración de firewall. Los estudiantes también aprenderán las complejidades de la
firma, el análisis y el escaneo de vulnerabilidades del tráfico de red, lo que ayudará a diseñar políticas de seguridad de red
mejoradas y planes exitosos de respuesta a incidentes. Estas habilidades ayudarán a las organizaciones a fomentar la
resiliencia y la continuidad operativa durante los ataques.
Hacking Ético: Hacker Ético Certificado

La credencial Certified Ethical Hacker (CEH) es la certificación y el logro de piratería ética
más confiable recomendado por empleadores a nivel mundial. Es la certificación de
seguridad de la información más deseada y representa una de las credenciales cibernéticas
de más rápido crecimiento requeridas por
infraestructura crítica y proveedores de servicios esenciales. Desde la introducción de CEH
en 2003, se reconoce como un estándar dentro de la comunidad de seguridad de la
información. CEH continúa presentando las últimas técnicas de piratería y las herramientas y exploits de piratería más
avanzados utilizados por los piratas informáticos y los profesionales de la seguridad de la información en la actualidad. Las
cinco fases del hacking ético y la misión central original de CEH siguen siendo válidas y relevantes hoy en día: "Para
vencer a un hacker, es necesario pensar como un hacker".
CEH proporciona una comprensión profunda de las fases de piratería ética, diversos vectores de ataque y
contramedidas preventivas. Le enseñará cómo piensan y actúan los piratas informáticos de forma maliciosa para que
estará mejor posicionado para configurar su infraestructura de seguridad y defender futuros ataques.
Comprender las debilidades y vulnerabilidades del sistema ayuda a las organizaciones a fortalecer su
Controles de seguridad del sistema para minimizar el riesgo de un incidente.
CEH se creó para incorporar un entorno práctico y un proceso sistemático en todos los dominios y metodologías de piratería
ética, brindándole la oportunidad de trabajar para demostrar los conocimientos y las habilidades necesarios para realizar el
trabajo de un hacker ético. Estará expuesto a una postura completamente diferente hacia las responsabilidades y medidas
necesarias para estar seguro.
Pruebas de penetración: profesional certificado en pruebas de penetración

La certificación CPENT requiere que usted demuestre la aplicación de técnicas
avanzadas de pruebas de penetración, como ataques avanzados de Windows, ataques
a sistemas IOT, explotación avanzada de binarios, escritura de exploits, eludir una red
filtrada, pruebas de penetración de tecnología operativa (OT), acceso a redes ocultas
con pivote y doble pivotamiento, escalada de privilegios y evasión de mecanismos de
defensa.
CPENT de ECCouncil estandariza la base de conocimientos para los profesionales de pruebas de penetración mediante
la incorporación de mejores prácticas seguidas por expertos experimentados en el campo. El objetivo del CPENT es
garantizar que cada profesional siga un estricto código de ética, esté expuesto a las mejores prácticas en el ámbito de las
pruebas de penetración y sea consciente de todos los requisitos de cumplimiento exigidos por la industria.
Página V Conceptos básicos del hacking ético Copyright © by ECCouncil

A diferencia de una certificación de seguridad normal, la credencial CPENT brinda la garantía de que los profesionales de
seguridad poseen habilidades para analizar exhaustivamente la postura de seguridad de una red y recomendar medidas
correctivas con autoridad. Durante muchos años, ECCouncil ha estado certificando a profesionales de seguridad de TI en todo
el mundo para garantizar que estos profesionales dominen los mecanismos de defensa de la seguridad de la red. Las
credenciales de ECCouncil avalan su profesionalismo y experiencia, lo que hace que estos profesionales sean más buscados
por organizaciones y firmas consultoras a nivel mundial.
Informática forense: investigador forense de piratería informática
Investigador forense de piratería informática (CHFI) es un curso integral que cubre los
principales escenarios de investigación forense. Permite a los estudiantes adquirir experiencia
práctica crucial con diversas técnicas de investigación forense. Los estudiantes aprenden a
utilizar herramientas forenses estándar para llevar a cabo con éxito una investigación
forense informática, preparándolos para ayudar mejor en el procesamiento de los
perpetradores.
El CHFI de ECCouncil certifica a personas en la disciplina de seguridad específica de la informática forense desde una
perspectiva neutral respecto del proveedor. La certificación CHFI refuerza el conocimiento aplicado del personal encargado de
hacer cumplir la ley, administradores de sistemas, oficiales de seguridad, personal militar y de defensa, profesionales legales,
banqueros, profesionales de seguridad y cualquier persona que esté preocupada por la
integridad de las infraestructuras de red.
Manejo de incidentes: Manejador de incidentes certificado por el Consejo EC
El programa de Manejador de Incidentes Certificado (E|CIH) de ECCouncil ha sido

diseñado y desarrollado en colaboración con profesionales de ciberseguridad y
manejo y respuesta a incidentes de todo el mundo. Es un programa integral de nivel
especializado que imparte conocimientos y habilidades que las organizaciones
necesitan para manejar eficazmente las consecuencias posteriores a una infracción
al reducir el impacto del incidente, tanto desde una perspectiva financiera como reputacional.
E|CIH es un programa basado en métodos que utiliza un enfoque holístico para cubrir amplios conceptos relacionados con el
manejo y la respuesta a incidentes organizacionales, desde la preparación y planificación del proceso de respuesta al manejo
de incidentes hasta la recuperación de los activos de la organización después de un incidente de seguridad.
Estos conceptos son esenciales para manejar y responder a incidentes de seguridad para proteger a las organizaciones de
futuras amenazas o ataques.
Gestión: Director certificado de seguridad de la información
El programa de Director Certificado de Seguridad de la Información (CCISO) fue desarrollado

por ECCouncil para llenar un vacío de conocimiento en la industria de la seguridad de la
información. La mayoría de las certificaciones de seguridad de la información se centran en
herramientas específicas o capacidades de los profesionales. Cuando se creó el programa CCISO
Página VI Conceptos básicos del hacking ético Copyright © by ECCouncil

desarrollado, no existía ninguna certificación para reconocer el conocimiento, las habilidades y las aptitudes necesarias para
que un profesional experimentado en seguridad de la información desempeñara las funciones de un CISO de manera efectiva y
competentemente. De hecho, en ese momento existían muchas preguntas sobre qué era realmente un CISO y el valor que
este rol agrega a una organización.
El Cuerpo de Conocimientos de CCISO ayuda a definir el papel del CISO y a describir claramente las contribuciones que esta
persona hace en una organización. ECCouncil mejora esta información a través de oportunidades de capacitación realizadas
como módulos de autoestudio o dirigidos por un instructor para garantizar que los candidatos tengan una comprensión
completa del puesto. ECCouncil evalúa el conocimiento de los candidatos de CCISO con un examen riguroso que pone a
prueba su competencia en cinco dominios con los que un líder de seguridad experimentado debería estar familiarizado.
Seguridad de aplicaciones: ingeniero certificado en seguridad de aplicaciones
La credencial de Ingeniero certificado en seguridad de

aplicaciones (CASE) se desarrolla en asociación con
grandes expertos en desarrollo de software y
aplicaciones a nivel mundial.
La credencial CASE pone a prueba las habilidades y
conocimientos de seguridad críticos necesarios a lo
largo de un ciclo de vida de desarrollo de software (SDLC) típico, centrándose en la importancia de la implementación de
metodologías y prácticas seguras en el entorno operativo inseguro actual.
El programa de capacitación certificado de CASE se desarrolla simultáneamente para preparar a los profesionales del software
con las capacidades necesarias que esperan los empleadores y el mundo académico a nivel mundial. Está diseñado para ser
un curso práctico e integral sobre seguridad de aplicaciones que ayudará a los profesionales del software a crear aplicaciones
seguras. El programa de capacitación abarca actividades de seguridad involucradas en todas las fases del ciclo de vida de
desarrollo de software (SDLC): planificación, creación, prueba e implementación de una aplicación.
A diferencia de otras capacitaciones sobre seguridad de aplicaciones, CASE va más allá de las pautas sobre prácticas de
codificación segura e incluye recopilación segura de requisitos, diseño sólido de aplicaciones y manejo de problemas de
seguridad en las fases posteriores al desarrollo de aplicaciones. Esto convierte a CASE en una de las certificaciones más
completas del mercado actual. Es deseado por ingenieros de aplicaciones de software, analistas y evaluadores a nivel mundial
y respetado por las autoridades contratantes.
Manejo de incidentes: analista certificado de inteligencia de amenazas
Certified Threat Intelligence Analyst (C|TIA) está diseñado y desarrollado en colaboración

con expertos en ciberseguridad e inteligencia de amenazas de todo el mundo para ayudar
a las organizaciones a identificar y mitigar los riesgos comerciales al convertir amenazas
internas y externas desconocidas en amenazas conocidas. Es un programa integral de nivel
especializado que enseña un enfoque estructurado para desarrollar inteligencia sobre
amenazas efectiva.
Página VII Conceptos básicos del hacking ético Copyright © by ECCouncil

En el panorama de amenazas en constante cambio, C|TIA es un programa de capacitación en inteligencia de amenazas

esencial para quienes se enfrentan a amenazas cibernéticas a diario. Hoy en día, las organizaciones exigen un analista
de inteligencia de amenazas de ciberseguridad de nivel profesional que pueda extraer la inteligencia de los datos
mediante la implementación de diversas estrategias avanzadas. Estos programas de capacitación en inteligencia de
amenazas de nivel profesional solo se pueden lograr cuando el núcleo de los planes de estudio se corresponde con los
marcos de inteligencia de amenazas publicados por el gobierno y la industria y los cumplen.
Manejo de incidentes: analista SOC certificado

El programa Certified SOC Analyst (CSA) es el primer paso para unirse a un centro de
operaciones de seguridad (SOC). Está diseñado para que los analistas SOC de nivel I
y II actuales y aspirantes alcancen competencia en la realización de operaciones de
nivel básico e intermedio.
CSA es un programa de capacitación y acreditación que ayuda al candidato a adquirir
habilidades técnicas de moda y demanda a través de la instrucción impartida por
algunos de los capacitadores más experimentados de la industria. El programa se enfoca en crear nuevas oportunidades
profesionales a través de un conocimiento extenso y meticuloso con capacidades de nivel mejorado para contribuir
dinámicamente a un equipo SOC. Al ser un programa intenso de 3 días, cubre a fondo los fundamentos de las
operaciones SOC, antes de transmitir el conocimiento de la gestión y correlación de registros, la implementación de
SIEM, la detección avanzada de incidentes y la respuesta a incidentes. Además, el candidato aprenderá a gestionar
varios procesos SOC y colaborar con CSIRT en el momento de necesidad.
Página VIII Conceptos básicos del hacking ético Copyright © by ECCouncil

Información del examen EHE

Detalles del examen EHE
Título del examen Conceptos básicos de la piratería ética (EHE)
Código de examen 11252
Disponibilidad Portal de exámenes del ECCouncil (visite https://www.eccexam.com)
Duración 2 horas
Preguntas 75
Puntaje de aprobación 70%
Página IX Conceptos básicos del hacking ético Copyright © by ECCouncil

Tabla de contenido
Módulo 01: Fundamentos de seguridad de la información 1
Fundamentos de seguridad de la información 3
Leyes y regulaciones de seguridad de la información 18
Módulo 02: Fundamentos del Hacking Ético 39
Metodología de la cadena de muerte cibernética 41
Conceptos de hacking y clases de hackers 54
Diferentes fases del ciclo de piratería 61
Conceptos, alcance y limitaciones del hacking ético 69
Herramientas de piratería ética 78
Módulo 03: Amenazas a la seguridad de la información y evaluación de vulnerabilidades 95
Amenazas y fuentes de amenazas 97
Malware y sus tipos 103
Vulnerabilidades 185
Evaluación de vulnerabilidad 196
Módulo 04: Técnicas y contramedidas para descifrar contraseñas 227
Técnicas para descifrar contraseñas 229
Herramientas para descifrar contraseñas 252
Contramedidas para descifrar contraseñas 257
Módulo 05: Técnicas y contramedidas de ingeniería social 261
Conceptos de Ingeniería Social y sus Fases 263
Técnicas de ingeniería social 275
Amenazas internas y robo de identidad 303
Contramedidas de ingeniería social 314
Módulo 06: Ataques y contramedidas a nivel de red 331
olfatear 333
Conceptos de rastreo de paquetes 334
Técnicas de olfateo 347
Contramedidas para olfatear 360
Negación de servicio 367
Página X Conceptos básicos del hacking ético Copyright © by ECCouncil

Ataques DoS y DDoS 368
Contramedidas para ataques DoS y DDoS 391
Secuestro de sesión 395
Ataques de secuestro de sesión 396
Contramedidas para ataques de secuestro de sesión 411
Módulo 07: Ataques y contramedidas a aplicaciones web 419
Ataques a servidores web 422
Ataques a servidores web 423
Contramedidas para ataques a servidores web 456
Ataques a aplicaciones web 461
Arquitectura de aplicaciones web y pila de vulnerabilidades 462
Amenazas y ataques a aplicaciones web 475
Contramedidas para ataques a aplicaciones web 503
Ataques de inyección SQL 514
Ataques de inyección SQL 515
Contramedidas para ataques de inyección SQL 539
Módulo 08: Ataques inalámbricos y contramedidas 545
Terminología inalámbrica 547
Encriptación inalámbrica 558
Técnicas de ataque específicas de redes inalámbricas 572
Ataques Bluetooth 600
Contramedidas contra ataques inalámbricos 611
Módulo 09: Ataques móviles y contramedidas 619
Anatomía del ataque móvil 621
Vulnerabilidades y vectores de ataque a plataformas móviles 635
Concepto de gestión de dispositivos móviles (MDM) 660
Contramedidas para ataques móviles 667
Módulo 10: Ataques y contramedidas de IoT y OT 677
Ataques de IoT 680
Conceptos de IoT 681
Amenazas y ataques de IoT 690
Contramedidas para ataques de IoT 719
Página XI Conceptos básicos del hacking ético Copyright © by ECCouncil

Ataques OT 724
Conceptos del Antiguo Testamento

725
Amenazas y ataques de OT 735
Contramedidas para ataques OT 755
Módulo 11: Amenazas y contramedidas de la computación en la nube 761
Conceptos de computación en la nube 763
Tecnología de contenedores 789
Amenazas de la computación en la nube 815
Contramedidas para ataques en la nube 842
Módulo 12: Fundamentos de las pruebas de penetración 851
Fundamentos de las pruebas de penetración y sus beneficios 853
Estrategias y fases de las pruebas de penetración 862
Directrices y recomendaciones para pruebas de penetración 870
Glosario 889
Referencias 903
Página XII Conceptos básicos del hacking ético Copyright © by ECCouncil

Consejo CE
MT
Y h Y
Ético Conceptos básicos de piratería
Conceptos básicos del hacking ético Examen 11252
Fundamentos de seguridad de la información
Objetivos del módulo

Idea creativa
1 Comprender la necesidad de seguridad
Comprender los elementos de información

2
Seguridad
Comprender la seguridad, la funcionalidad y

3
Triángulo de usabilidad
Comprender los motivos, las metas y los objetivos de los

4
ataques a la seguridad de la información
5 Descripción general de la clasificación de ataques
6 Descripción general de los vectores de ataque a la seguridad de la información
Descripción general de diversas leyes de seguridad de la información y

7
Reglamentos
Copyright © del Consejo de la CE. Reservados todos los derechos. La reproducción está estrictamente prohibida.
Objetivos del módulo

Los atacantes irrumpen en los sistemas por diversos motivos. Por lo tanto, es importante entender cómo,
y por qué, los piratas informáticos malintencionados atacan y explotan los sistemas. Como afirma Sun Tzu en El arte de la guerra: “Si
te conoces a ti mismo pero no al enemigo, por cada victoria obtenida, también sufrirás una derrota”.
Los profesionales de la seguridad deben proteger su infraestructura contra ataques conociendo al enemigo:
los piratas informáticos maliciosos, que buscan utilizar la misma infraestructura para actividades ilegales.
Este módulo comienza con una descripción general de la necesidad de seguridad y los vectores de amenazas emergentes.
Proporciona una visión de los diferentes elementos de la seguridad de la información. Posteriormente, el módulo
analiza los tipos y clases de ataques y finaliza con una breve discusión sobre las leyes y regulaciones de seguridad de la información.
Al final de este módulo, podrá hacer lo siguiente:
Comprender la necesidad de seguridad.
Describir los elementos de seguridad de la información.
Describir el triángulo de seguridad, funcionalidad y usabilidad.
Explicar los motivos, metas y objetivos de los ataques a la seguridad de la información.
Explicar la clasificación de los ataques.
Describir los vectores de ataque a la seguridad de la información.
Conocer las leyes y regulaciones de seguridad de la información.
Módulo 01 Página 2 Conceptos básicos del hacking ético Copyright © de ECCouncil Todos los
derechos reservados. La reproducción está estrictamente prohibida.
Flujo del módulo
Discutir información
Fundamentos de seguridad
Discutir varios
Seguridad de información
Leyes y regulaciones
Discutir los fundamentos de seguridad de la información

La información es un activo crítico que las organizaciones deben proteger. Si la información confidencial de una
organización cae en las manos equivocadas, la organización puede sufrir pérdidas considerables en términos de
finanzas, reputación de marca o clientes, o de otras maneras. Para comprender cómo proteger dichos recursos de
información críticos, este módulo comienza con una descripción general de la seguridad de la información.
Esta sección presenta la necesidad de seguridad; los elementos de seguridad de la información; el triángulo de
seguridad, funcionalidad y usabilidad; Motivos, metas y objetivos de la seguridad de la información.
ataques; clasificación de ataques; y vectores de ataque a la seguridad de la información.
¿Qué es la seguridad de la
información?
La seguridad de la información es un estado de bienestar de la

información y la infraestructura en el que la posibilidad de robo,
manipulación e interrupción de la información y los servicios es baja o tolerable.
¿Qué es la seguridad de la información?
La seguridad de la información es "el estado de bienestar de la información y la infraestructura en el que la

posibilidad de robo, manipulación o interrupción de la información y los servicios se mantiene baja o tolerable".
La seguridad de la información se refiere a la protección o salvaguarda de la información y los sistemas de
información que utilizan, almacenan y transmiten información contra el acceso no autorizado, la divulgación,
la alteración y la destrucción.
Necesidad de seguridad
Evolución de la tecnología, centrada en la facilidad

de uso. 01
Depender del uso de computadoras para acceder,

proporcionar o simplemente almacenar información.
02
Mayor entorno de red y aplicaciones basadas

en red.
03
Impacto directo de la violación de seguridad en la base

de activos corporativos y el fondo de comercio
04
Complejidad creciente de la administración y

gestión de la infraestructura informática
05
Necesidad de seguridad
Hoy en día, las organizaciones dependen cada vez más de las redes informáticas porque los usuarios y empleados
esperan intercambiar información a la velocidad del pensamiento. Además, con la evolución de la tecnología, se ha
prestado mayor atención a la facilidad de uso. Las tareas rutinarias dependen de la
uso de computadoras para acceder, proporcionar o simplemente almacenar información. Sin embargo, a medida que
los activos de información diferencian a la organización competitiva de otras de su tipo, ¿registran un aumento en su
contribución al capital corporativo? Existe un sentido de urgencia por parte de la organización para proteger estos
activos de posibles amenazas y vulnerabilidades. El tema de abordar la seguridad de la información es amplio y el
objetivo de este curso es proporcionar al estudiante un conjunto integral de conocimientos necesarios para proteger
los activos de información bajo su consideración.
Este curso supone que existen políticas organizacionales respaldadas por la alta dirección y que los objetivos
comerciales y las metas relacionadas con la seguridad se han incorporado a la estrategia corporativa. Una política de
seguridad es una especificación de cómo se permite que interactúen los objetos en un dominio de seguridad. La
importancia de la seguridad en la información contemporánea y
No se puede dejar de enfatizar el escenario de las telecomunicaciones. Existen innumerables razones para proteger la
infraestructura de TIC. Inicialmente, las computadoras fueron diseñadas para facilitar la investigación, y esto no colocó
Se puso mucho énfasis en la seguridad, ya que estos recursos, al ser escasos, estaban destinados a compartirse. La
penetración de las computadoras tanto en el espacio de trabajo rutinario como en la vida diaria ha llevado a que se
transfiera más control a las computadoras y a una mayor dependencia de ellas para facilitar importantes tareas
rutinarias. Esto ha aumentado aún más el uso de entornos en red y aplicaciones basadas en red. Cualquier interrupción
de la red significa una pérdida de tiempo, dinero y, a veces, incluso la pérdida de vidas. Además, la creciente
complejidad de la administración y gestión de la infraestructura informática está creando un impacto directo de las
violaciones de seguridad en la base de activos corporativos y
buena voluntad.
Elementos de información
Seguridad
Confidencialidad Integridad Disponibilidad

Seguridad de que el La confiabilidad de los datos o Garantía de que los sistemas
La información es accesible recursos en términos de responsables de entregar, almacenar y
sólo para aquellos autorizados a prevenir cambios inapropiados procesar la información sean
tener acceso. o no autorizados accesibles cuando lo requieran los
usuarios autorizados.
Autenticidad No repudio
Se refiere a la característica de una comunicación, Una garantía de que el remitente de un mensaje no
documento o cualquier dato que asegure la calidad de ser puede negar posteriormente haber enviado el mensaje
genuino. y que el destinatario no puede negar haber recibido el mensaje.
Elementos de seguridad de la información
La seguridad de la información se basa en cinco elementos principales: confidencialidad, integridad, disponibilidad, autenticidad y
no repudio.
Confidencialidad
La confidencialidad es la seguridad de que la información es accesible sólo a personas autorizadas.
Pueden producirse violaciones de confidencialidad debido a un manejo inadecuado de los datos o un intento de piratería.
Los controles de confidencialidad incluyen la clasificación de datos, el cifrado de datos y la eliminación adecuada de los
equipos (como DVD, unidades USB, etc.).
Integridad
La integridad es la confiabilidad de los datos o recursos en la prevención de cambios inadecuados y no autorizados: la
seguridad de que la información es lo suficientemente precisa para su propósito. Las medidas para mantener la integridad
de los datos pueden incluir una suma de verificación (un número producido por una función matemática para verificar
que un determinado bloque de datos no se modifica) y control de acceso (que garantiza que solo las personas autorizadas
puedan actualizar, agregar o eliminar datos).
Disponibilidad
La disponibilidad es la garantía de que los sistemas responsables de entregar, almacenar y procesar la información sean
accesibles cuando lo requieran los usuarios autorizados. Las medidas para mantener la disponibilidad de los datos
pueden incluir matrices de discos para sistemas redundantes y máquinas agrupadas, software antivirus para combatir el
malware y sistemas de prevención de denegación de servicio distribuido (DDoS).
Autenticidad
La autenticidad se refiere a la característica de las comunicaciones, documentos o cualquier dato que

asegura la calidad de ser genuino o incorrupto. El papel principal de la autenticación es
para confirmar que un usuario es genuino. Controles como biométricos, tarjetas inteligentes y digitales.
Los certificados garantizan la autenticidad de los datos, transacciones, comunicaciones y
documentos.
No Repudio
El no repudio es una forma de garantizar que el remitente de un mensaje no pueda negarlo posteriormente.
haber enviado el mensaje y que el destinatario no puede negar haber recibido el
mensaje. Los individuos y las organizaciones utilizan firmas digitales para garantizar el no repudio.
La seguridad, funcionalidad y
Triángulo de usabilidad
El nivel de seguridad en cualquier sistema se puede definir por la fortaleza

de tres componentes:
Mover la pelota hacia la

Funcionalidad
seguridad significa (Características)
menos funcionalidad y usabilidad
Seguridad Usabilidad
(Restricciones) (GUI)
El triángulo de seguridad, funcionalidad y usabilidad
La tecnología está evolucionando a un ritmo sin precedentes. Como resultado, los nuevos productos en el mercado se
centran más en la facilidad de uso que en la informática segura. Aunque la tecnología se desarrolló originalmente con fines
académicos y de investigación “honestos”, no ha evolucionado al mismo ritmo que la competencia del usuario. Además, en
esta evolución, los diseñadores de sistemas a menudo pasan por alto las vulnerabilidades durante la implementación prevista
del sistema. Sin embargo, agregar más mecanismos de seguridad predeterminados integrados permite a los usuarios tener
más competencia. Con el uso aumentado de las computadoras durante un
Debido al creciente número de actividades rutinarias, a los profesionales de la seguridad les resulta cada vez más difícil
asignar recursos exclusivamente para proteger los sistemas. Esto incluye el tiempo necesario para comprobar los archivos
de registro, detectar vulnerabilidades y aplicar parches de actualizaciones de seguridad.
Las actividades rutinarias por sí solas consumen la mayor parte del tiempo de los profesionales de sistemas, lo que deja
relativamente poco tiempo para una administración atenta o para el despliegue de medidas de seguridad para los recursos
informáticos de forma regular e innovadora. Este hecho ha aumentado la demanda de personal dedicado.
profesionales de la seguridad para monitorear y defender constantemente los recursos TIC (Tecnologías de la Información y
la Comunicación).
Originalmente, "hackear" significaba poseer habilidades informáticas extraordinarias para explorar características ocultas de
los sistemas informáticos. En el contexto de la seguridad de la información, la piratería se define como la explotación de
vulnerabilidades de sistemas y redes informáticas y requiere una gran competencia. Sin embargo, hoy en día hay herramientas
y códigos automatizados disponibles en Internet que hacen posible que cualquiera que tenga la voluntad tenga éxito en la
piratería. Sin embargo, el mero compromiso de la seguridad del sistema no indica éxito de la piratería. Hay sitios web que
insisten en “recuperar Internet” como
así como personas que creen que les están haciendo un favor a todos al publicar detalles de sus hazañas.
La facilidad con la que se pueden explotar las vulnerabilidades del sistema ha aumentado mientras que el conocimiento
La curva requerida para realizar tales hazañas ha disminuido. El concepto de “súper atacante” de élite es una ilusión.
Uno de los principales impedimentos al crecimiento de la infraestructura de seguridad radica en una
falta de voluntad por parte de las víctimas explotadas o comprometidas para informar tales incidentes por temor a perder
la buena voluntad y la fe de sus empleados, clientes o socios, y/o perder participación de mercado. La tendencia de los
activos de información que influyen en el mercado ha hecho que más empresas lo piensen dos veces antes de informar
incidentes a los funcionarios encargados de hacer cumplir la ley por temor a la “mala prensa” y la publicidad negativa.
El entorno cada vez más interconectado, en el que las empresas suelen utilizar sus sitios web como puntos de contacto
únicos a través de fronteras geográficas, hace que sea fundamental para los profesionales de la seguridad
tome contramedidas para evitar vulnerabilidades que puedan provocar la pérdida de datos. Es por eso que las
corporaciones necesitan invertir en medidas de seguridad para proteger sus activos de información.
El nivel de seguridad en cualquier sistema se puede definir por la fortaleza de tres componentes:
Funcionalidad: Conjunto de características que proporciona el sistema.
Usabilidad: Los componentes GUI utilizados para diseñar el sistema para facilitar su uso.
Seguridad: Restricciones impuestas al acceso a los componentes del sistema.
La relación entre estos tres componentes se demuestra mediante el uso de un triángulo porque
un aumento o disminución en cualquiera de los componentes afecta automáticamente a los otros dos componentes.
Mover la pelota hacia cualquiera de los tres componentes significa disminuir la intensidad de los otros dos componentes.
El diagrama representa la relación entre funcionalidad, usabilidad y seguridad. Por ejemplo, como se muestra en la figura,
si la pelota se mueve hacia la seguridad, significa mayor seguridad y menor funcionalidad y usabilidad. Si la bola está en
el centro del triángulo, entonces los tres componentes están equilibrados. Si la pelota avanza hacia la usabilidad, esto
conduce a una mayor usabilidad y una menor funcionalidad, así como seguridad. Para cualquier implementación de
controles de seguridad, los tres componentes deben considerarse cuidadosamente y equilibrarse para obtener una
funcionalidad y usabilidad aceptables con una seguridad aceptable.
Figura 1.1: Triángulo de seguridad, funcionalidad y usabilidad
Desafíos de seguridad
Cumplimiento de las leyes y regulaciones Falta de personal calificado y capacitado Dificultad para centralizar la seguridad en un
gubernamentales. profesionales de la ciberseguridad entorno informático distribuido
Fragmentado y complejo Problemas de cumplimiento debido a la Reubicación de datos confidenciales de
normativa de privacidad y protección implementación de Bring Your Own centros de datos heredados a la nube sin la
de datos Políticas de dispositivos (BYOD) en las empresas configuración adecuada
Desafíos de seguridad La
acelerada digitalización ha beneficiado a la industria de TI en todos los sentidos; sin embargo, también ha allanado el
camino para ciberataques sofisticados y desafíos de ciberseguridad. Existe la necesidad de que los profesionales de la
seguridad en todas las organizaciones protejan sus datos confidenciales y privados. Los profesionales de la seguridad
enfrentan muchos desafíos y amenazas de ciberatacantes que intentan alterar sus redes y activos.
Los siguientes son algunos de los desafíos de seguridad que enfrentan los profesionales y organizaciones de seguridad:
Cumplimiento de leyes y regulaciones gubernamentales.
Falta de profesionales calificados y capacitados en ciberseguridad
Dificultad para centralizar la seguridad en un entorno informático distribuido.
Dificultad para supervisar los procesos de un extremo a otro debido a la compleja infraestructura de TI
Regulaciones de privacidad y protección de datos fragmentadas y complejas
Uso de una arquitectura sin servidor y aplicaciones que dependen de proveedores de nube de terceros
Problemas de cumplimiento y problemas con la eliminación y recuperación de datos debido a la

implementación de políticas Bring Your Own Device (BYOD) en las empresas
Reubicación de datos confidenciales desde centros de datos heredados a la nube sin la debida
configuración
Eslabones débiles en la gestión de la cadena de suministro.
Aumento de los riesgos de ciberseguridad, como pérdida de datos y vulnerabilidades y errores sin parches.
debido al uso de TI en la sombra
Escasez de visibilidad de la investigación y capacitación para los empleados de TI
Motivos, metas y objetivos de la seguridad de la información

Ataques
Ataques = Motivo (Objetivo) + Método + Vulnerabilidad
Un motivo surge de la noción de que el sistema objetivo almacena o procesa algo valioso, y esto conduce a la amenaza de
un ataque al sistema.
Los atacantes prueban diversas herramientas y técnicas de ataque para explotar las vulnerabilidades en un sistema
informático o su política y controles de seguridad para cumplir sus motivos.
Motivos detrás de los ataques a la seguridad de la información
Interrumpir la continuidad del negocio.
Robo de información y manipulación de datos.
Crear miedo y caos al alterar infraestructuras críticas
Causar pérdidas financieras al objetivo.
Dañar la reputación del objetivo.
Motivos, metas y objetivos de los ataques a la seguridad de la información
Los atacantes generalmente tienen motivos (metas) y objetivos detrás de sus ataques a la seguridad de la información.
Un motivo surge de la idea de que un sistema objetivo almacena o procesa algo valioso, lo que genera la amenaza
de un ataque al sistema. El propósito del ataque puede ser interrumpir las operaciones comerciales de la organización
objetivo, robar información valiosa por curiosidad o incluso vengarse. Por tanto, estos motivos u objetivos dependen
del estado de ánimo del atacante, de su motivo para realizar dicha actividad, así como de sus recursos y capacidades.
Una vez que el atacante determina su objetivo, puede emplear varias herramientas, técnicas de ataque y métodos
para explotar las vulnerabilidades de una computadora.
sistema o política y controles de seguridad.
Ataques = Motivo (Objetivo) + Método + Vulnerabilidad

Motivos detrás de los ataques a la seguridad de la información
Interrumpir la continuidad del negocio. Lograr los objetivos militares de un estado.
Realizar robo de información Dañar la reputación del objetivo.
Manipulación de datos. Tomar venganza
Crear miedo y caos al alterar Exigir rescate

infraestructuras críticas
Llevar la pérdida financiera al objetivo.
Propagar creencias religiosas o políticas.
Clasificación de ataques
Ataques pasivos
No altere los datos e implique interceptar y monitorear la red.

flujo de tráfico y datos en la red de destino
Los ejemplos incluyen olfatear y escuchar a escondidas.
Ataques activos
Manipular los datos en tránsito o interrumpir la comunicación o los servicios entre los
sistemas para eludir o ingresar a sistemas seguros
Los ejemplos incluyen DoS, ManintheMiddle, secuestro de sesión e inyección SQL.
Ataques cercanos
Se realizan cuando el atacante está en estrecha proximidad física con el sistema o

red objetivo para recopilar, modificar o interrumpir el acceso a la información.
Los ejemplos incluyen ingeniería social como escuchas ilegales, navegación desde el hombro y búsqueda
en contenedores de basura.
Clasificación de ataques (continuación)
Ataques internos Ataques de distribución
Implica el uso de privilegios Ocurren cuando los atacantes
acceder para violar reglas o manipular el hardware o

causar intencionalmente una software antes de
amenaza a la información instalación
o información de la organización
Los atacantes alteran el
sistemas
hardware o software en su
Los ejemplos incluyen el robo de origen o en tránsito
dispositivos físicos y la
instalación de registradores
de teclas, puertas traseras y malware.
Clasificación de ataques
Según la IATF, los ataques a la seguridad se clasifican en cinco categorías: pasivos, activos, cercanos, internos y
de distribución.
Ataques pasivos
Los ataques pasivos implican interceptar y monitorear el tráfico de red y el flujo de datos en la red.
red de destino y no altere los datos. Los atacantes realizan reconocimientos
actividades de red utilizando rastreadores. Estos ataques son muy difíciles de detectar ya que el atacante no
tiene interacción activa con el sistema o la red objetivo. Los ataques pasivos permiten a los atacantes capturar
los datos o archivos que se transmiten en la red sin el consentimiento del usuario. Por ejemplo, un atacante
puede obtener información como datos no cifrados en tránsito, credenciales en texto claro u otra información
confidencial que sea útil para realizar ataques activos.
Ejemplos de ataques pasivos:
o Huella
o Olfatear y escuchar a escondidas
o Análisis de tráfico de red.
o Descifrado de tráfico débilmente cifrado
Ataques activos
Los ataques activos alteran los datos en tránsito o interrumpen la comunicación o los servicios entre los sistemas
para eludir o ingresar a sistemas seguros. Los atacantes lanzan ataques al sistema o red objetivo enviando tráfico
activo que puede ser detectado. Estos ataques se realizan en la red objetivo para explotar la información en
tránsito. Penetran o infectan la red interna del objetivo y obtienen acceso a un sistema remoto para comprometer
la red interna.
Ejemplos de ataques activos:
o Ataque de denegación de servicio (DoS) o Ataque de firewall e IDS
o Eludir los mecanismos de protección. o Perfilado
o Ataques de malware (como o Ejecución de código arbitrario

virus, gusanos, ransomware)
o Escalada de privilegios
o Modificación de información
o Acceso por puerta trasera
o Ataques de suplantación de identidad

o Ataques de criptografía
o Repetir ataques
o Inyección SQL
o Ataques basados en contraseñas
o ataques XSS
o Secuestro de sesión
o Ataques transversales de directorio
o Ataque de intermediario
o Explotación de la aplicación y
o Envenenamiento de DNS y ARP software del sistema operativo
o Ataque de clave comprometida
Ataques cercanos
Los ataques cercanos se realizan cuando el atacante está muy cerca físicamente del sistema o red objetivo. El
objetivo principal de realizar este tipo de ataque es recopilar o modificar información o interrumpir su acceso. Por
ejemplo, un atacante podría navegar por el hombro
credenciales de usuario. Los atacantes se acercan más mediante la entrada subrepticia, el acceso abierto o
ambos.
Ejemplos de ataques cercanos:
o Ingeniería social (escuchas, navegación desde el hombro, búsqueda en contenedores de basura y otros
métodos)
Ataques internos
Los ataques internos los realizan personas de confianza que tienen acceso físico a los activos críticos del
objetivo. Un ataque interno implica el uso de acceso privilegiado para violar reglas o causar intencionalmente
una amenaza a la información o los sistemas de información de la organización.
Los usuarios internos pueden eludir fácilmente las reglas de seguridad, corromper recursos valiosos y acceder
a información confidencial. Hacen mal uso de los activos de la organización para afectar directamente la
confidencialidad, integridad y disponibilidad de los sistemas de información. Estos ataques afectan las
operaciones comerciales, la reputación y las ganancias de la organización. Es difícil descubrir un ataque interno.
Ejemplos de ataques internos:
o Escuchas y escuchas telefónicas
o Robo de dispositivos físicos
oIngeniería social
o Robo y expoliación de datos.
o sorber vaina
o Colocar registradores de pulsaciones de teclas, puertas traseras o malware
Ataques de distribución
Los ataques de distribución ocurren cuando los atacantes manipulan el hardware o el software antes de la
instalación. Los atacantes manipulan el hardware o software en su origen o cuando está en tránsito. Ejemplos
de ataques de distribución incluyen puertas traseras creadas por proveedores de software o hardware en el
momento de la fabricación. Los atacantes aprovechan estas puertas traseras para obtener acceso no autorizado
a la información, los sistemas o la red de destino.
o Modificación de software o hardware durante la producción.
o Modificación de software o hardware durante la distribución.
Vectores de ataque a la seguridad de la información
Computación en la nube Persistente avanzado virus y Secuestro de datos Amenazas móviles

Amenazas Amenazas (APT) gusanos
La computación en la nube Un ataque que se La amenaza de red más Restringe el acceso a El foco de los atacantes se ha
es una entrega bajo demanda de centra en robar información frecuente que es capaz los archivos y desplazado a los
Capacidades de TI donde de de carpetas del sistema dispositivos móviles debido a

datos sensibles de la máquina víctima infectar una red en informático y exige un pago Mayor adopción de
organizaciones y sus clientes. sin que el usuario sea segundos de rescate en línea a dispositivos móviles
Una falla en la nube de consciente de ello los creadores de para fines comerciales y
aplicaciones de un cliente malware para eliminar el personales y
permite a los atacantes controles de seguridad
acceder a los datos de otros clientes restricciones comparativamente menores.
Vectores de ataque a la seguridad de la información (continuación)
Aplicación web IoT

Red de bots Ataque interno Suplantación de identidad
Amenazas Amenazas
Una enorme red de Un ataque realizado a La práctica de Los atacantes apuntan a Los dispositivos
sistemas comprometidos una red corporativa enviar un aplicaciones web para IoT incluyen
utilizados por un intruso o a una correo electrónico ilegítimo robar credenciales, muchos software
para realizar varios computadora única por afirmar falsamente ser de configurar sitios de Aplicaciones que se
ataques a la red. utilizan para
una persona de confianza un sitio legítimo en un phishing o adquirir
información privada para acceder al dispositivo de
(interno) que ha intento de adquirir
autorizado el acceso a la información personal amenazar el forma remota.
red o de cuenta de un usuario rendimiento del sitio Los fallos en los

web y obstaculizar su dispositivos IoT
seguridad permiten a los
atacantes acceder
al dispositivo de
forma remota y realizar
diversos ataques.
Vectores de ataque a la seguridad de la información
A continuación se muestra una lista de vectores de ataque a la seguridad de la información a través de los cuales un atacante puede obtener acceso.
a una computadora o servidor de red para entregar una carga útil o buscar un resultado malicioso.
Amenazas de la computación en la nube: la computación en la nube se refiere a la entrega de TI bajo demanda.
capacidades en las que la infraestructura y aplicaciones de TI se proporcionan a los suscriptores como un

servicio medido a través de una red. Los clientes pueden almacenar información confidencial en la nube. A
Una falla en la nube de aplicaciones de un cliente podría permitir a los atacantes acceder a los datos de otro
cliente.
Amenazas persistentes avanzadas (APT): se refiere a un ataque que se centra en robar información de la
máquina víctima sin que el usuario se dé cuenta. Estos ataques generalmente están dirigidos a grandes
empresas y redes gubernamentales. Debido a que los ataques APT son de naturaleza lenta, su efecto sobre
el rendimiento de la computadora y las conexiones a Internet es insignificante. Las APT explotan
vulnerabilidades en las aplicaciones que se ejecutan en computadoras, sistemas operativos y sistemas
integrados.
Virus y gusanos: los virus y gusanos son las amenazas de red más frecuentes y son capaces de infectar una
red en cuestión de segundos. Un virus es un programa autorreplicante que produce una copia de sí mismo
adjuntándolo a otro programa informático, sector de arranque o documento. Un gusano es un programa
malicioso que se replica, ejecuta y se propaga a través de conexiones de red.
Los virus ingresan a la computadora cuando el atacante comparte un archivo malicioso que lo contiene con la
víctima a través de Internet o mediante cualquier medio extraíble.
Los gusanos ingresan a una red cuando la víctima descarga un archivo malicioso, abre un correo no deseado
o navega por un sitio web malicioso.
Ransomware: El ransomware es un tipo de malware que restringe el acceso a los archivos y carpetas del
sistema informático y exige un pago de rescate en línea a los creadores del malware para eliminar las
restricciones. Generalmente se propaga a través de archivos adjuntos maliciosos en mensajes de correo
electrónico, aplicaciones de software infectadas, discos infectados o sitios web comprometidos.
Amenazas móviles: los atacantes se centran cada vez más en los dispositivos móviles debido a la mayor
adopción de teléfonos inteligentes para uso empresarial y personal y sus controles de seguridad
comparativamente menores.
Los usuarios pueden descargar aplicaciones infestadas de malware (APK) en sus teléfonos inteligentes, lo
que puede dañar otras aplicaciones y datos o revelar información confidencial a los atacantes. Los atacantes
pueden acceder de forma remota a la cámara de un teléfono inteligente y a la aplicación de grabación para
ver las actividades de los usuarios y rastrear las comunicaciones de voz, lo que puede ayudarlos en un ataque.
Botnet: una botnet es una enorme red de sistemas comprometidos que utilizan los atacantes para realizar
ataques de denegación de servicio. Los bots, en una botnet, realizan tareas como cargar virus, enviar correos
electrónicos con botnets adjuntos, robar datos, etc. Es posible que los programas antivirus no encuentren (o
incluso no analicen) software espía o botnets. Por lo tanto, es esencial implementar programas diseñados
específicamente para encontrar y eliminar dichas amenazas.
Ataque interno: un ataque interno es un ataque realizado por alguien dentro de una organización que ha
autorizado el acceso a su red y conoce la arquitectura de la red.
Phishing: Phishing se refiere a la práctica de enviar un correo electrónico ilegítimo que afirma falsamente
provenir de un sitio legítimo en un intento de adquirir información personal o de cuenta de un usuario. Los
atacantes realizan ataques de phishing distribuyendo enlaces maliciosos a través de algún canal de
comunicación o correos electrónicos para obtener información privada como números de cuenta,
números de tarjetas de crédito, números de móvil, etc. de la víctima. Los atacantes diseñan correos electrónicos para
Atraen a las víctimas de tal manera que parezcan provenir de alguna fuente legítima o, en ocasiones, envían enlaces
maliciosos que se asemejan a un sitio web legítimo.
Amenazas a aplicaciones web: ataques como la inyección SQL y secuencias de comandos entre sitios han hecho
Las aplicaciones web son un objetivo favorable para que los atacantes roben credenciales, creen sitios de phishing,
o adquirir información privada. La mayoría de estos ataques son el resultado de una codificación defectuosa y
Sanitización inadecuada de los datos de entrada y salida de la aplicación web. Aplicación web
Los ataques pueden amenazar el rendimiento del sitio web y obstaculizar su seguridad.
Amenazas de IoT: los dispositivos de IoT conectados a Internet tienen poca o ninguna seguridad, lo que dificulta
los hacen vulnerables a varios tipos de ataques. Estos dispositivos incluyen muchos software.
aplicaciones que se utilizan para acceder al dispositivo de forma remota. Debido a limitaciones de hardware
como memoria, batería, etc. estas aplicaciones de IoT no incluyen seguridad compleja
Mecanismos para proteger los dispositivos de ataques. Estos inconvenientes hacen que los dispositivos IoT sean más
vulnerable y permite a los atacantes acceder al dispositivo de forma remota y realizar diversos ataques.
Flujo del módulo
Discutir información
Fundamentos de seguridad
Discutir varios
Seguridad de información
Leyes y regulaciones
Discutir diversas leyes y regulaciones de seguridad de la información

Las leyes son un sistema de reglas y pautas que un país o comunidad en particular aplica para regir el
comportamiento. Una Norma es un “documento establecido por consenso y aprobado por un organismo
reconocido que proporciona, para uso común y repetido, reglas, directrices o características para actividades
o sus resultados, encaminadas a lograr el grado óptimo de orden en un contexto determinado. .” Esta sección
trata de las diversas leyes y reglamentos.
abordando la seguridad de la información en diferentes países.
Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
Un estándar de seguridad de la información patentado para organizaciones que manejan información de titulares de tarjetas para
principales tarjetas de débito, crédito, prepago, monedero electrónico, cajero automático y POS
PCI DSS se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago , incluidos comerciantes, procesadores,
adquirentes, emisores y proveedores de servicios, así como a todas las demás entidades que almacenan, procesan o transmiten
datos de titulares de tarjetas.
Estándar de seguridad de datos PCI: descripción general de alto nivel
Construya y mantenga una red segura Implementar fuertes medidas de control de acceso
Proteger los datos del titular de la tarjeta Supervise y pruebe las redes periódicamente
Mantener un programa de gestión de vulnerabilidades Mantener una política de seguridad de la información
https://www.pcisecuritystandards.org
El incumplimiento de los requisitos de PCI DSS puede resultar en multas o la terminación de los privilegios de procesamiento de tarjetas de pago.
Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
Fuente: https://www.pcisecuritystandards.org
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información patentado
para organizaciones que manejan información de titulares de tarjetas para las principales tarjetas de débito, crédito, prepago, monedero
electrónico, cajero automático y POS. Este estándar ofrece estándares y materiales de apoyo sólidos y completos para mejorar la
seguridad de los datos de las tarjetas de pago. Estos materiales incluyen un marco de especificaciones, herramientas, mediciones y
recursos de soporte para ayudar a las organizaciones a garantizar el manejo seguro de la información de los titulares de tarjetas. PCI DSS
se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago, incluidos comerciantes, procesadores, adquirentes,
emisores y proveedores de servicios, así como a todas las demás entidades que almacenan, procesan o transmiten datos de titulares de
tarjetas.
PCI DSS comprende un conjunto mínimo de requisitos para proteger los datos de los titulares de tarjetas. El Consejo de Normas de
Seguridad de la Industria de Tarjetas de Pago (PCI) ha desarrollado y mantiene un alto nivel
descripción general de los requisitos de PCI DSS.
Estándar de seguridad de datos PCI: descripción general de alto nivel
Instalar y mantener una configuración de firewall para proteger los datos de

Construya y mantenga un sistema seguro los titulares de tarjetas.
Red No utilice valores predeterminados proporcionados por el proveedor para las contraseñas del sistema.
y otros parámetros de seguridad

Proteger los datos almacenados del titular de la tarjeta
Proteger los datos del titular de la tarjeta Cifrar la transmisión de datos de titulares de tarjetas a través de sitios públicos y abiertos.
redes
Mantener una vulnerabilidad Usar y actualizar periódicamente software o programas antivirus.

Programa de Gestión Desarrollar y mantener sistemas y aplicaciones seguros.
Restringir el acceso a los datos del titular de la tarjeta según la necesidad empresarial de saber
Implementar un acceso fuerte
Asignar una identificación única a cada persona con acceso a la computadora
Medidas de control
Restringir el acceso físico a los datos del titular de la tarjeta.
Rastrear y monitorear todo el acceso a los recursos de la red y

Supervise y pruebe periódicamente
datos del titular de la tarjeta
Redes
Probar periódicamente los sistemas y procesos de seguridad.
Mantener una información Mantener una política que aborde la seguridad de la información para todos.
Politica de seguridad personal
Tabla 1.1: Tabla que muestra el estándar de seguridad de datos PCI: descripción general de alto nivel
El incumplimiento de los requisitos de PCI DSS puede dar lugar a multas o la cancelación de los privilegios de
procesamiento de tarjetas de pago.
ISO/CEI 27001:2013
Especifica los requisitos para establecer, implementar, mantener y mejorar continuamente una
sistema de gestión de seguridad de la información dentro del contexto de la organización
Está pensado para ser adecuado para varios tipos diferentes de uso, incluidos:
Uso dentro de las organizaciones para formular requisitos y Identificación y aclaración de los procesos de gestión de seguridad
objetivos de seguridad. de la información existentes.
Uso dentro de las organizaciones para garantizar que los riesgos Uso por parte de la gestión de la organización para determinar el estado de
de seguridad se gestionen de forma rentable las actividades de gestión de la seguridad de la información.
Uso dentro de las organizaciones para garantizar el Implementación de seguridad de la información que permita el
cumplimiento de las leyes y regulaciones. negocio
Definición de nuevos procesos de gestión de la seguridad de la Uso por parte de organizaciones para proporcionar información
información relevante sobre seguridad de la información a los clientes.
https://www.iso.org
ISO/CEI 27001:2013
Fuente: https://www.iso.org
ISO/IEC 27001:2013 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de
gestión de seguridad de la información dentro del contexto de una organización. Incluye requisitos para la evaluación y
tratamiento de riesgos de seguridad de la información adaptados a las necesidades de la organización.
Se pretende que el reglamento sea adecuado para varios usos diferentes, entre ellos:
Uso dentro de las organizaciones para formular requisitos y objetivos de seguridad.
Uso dentro de las organizaciones como una forma de garantizar que los riesgos de seguridad sean rentables.
administrado
Uso dentro de las organizaciones para garantizar el cumplimiento de las leyes y regulaciones.
Definición de nuevos procesos de gestión de seguridad de la información.
Identificar y aclarar los procesos de gestión de seguridad de la información existentes.
Uso por parte de la dirección de las organizaciones para determinar el estado de la información.
actividades de gestión de seguridad
Implementación de seguridad de la información que permita el negocio.
Uso por organizaciones para proporcionar información relevante sobre seguridad de la información a
clientes
Portabilidad y responsabilidad del seguro médico

Ley (HIPAA)
Estatuto y normas de simplificación administrativa de HIPAA
Electrónico
Requiere que todos los proveedores que hacen negocios electrónicamente utilicen las
Transacción y
mismas transacciones de atención médica, conjuntos de códigos e identificadores.
Estándares de conjunto de códigos
Proporciona protecciones federales para la información de salud personal.

Regla de privacidad en poder de entidades cubiertas y otorga a los pacientes una variedad de derechos
con respecto a esa información
Especifica una serie de salvaguardas administrativas, físicas y técnicas que las

Regla de seguridad entidades cubiertas deben utilizar para garantizar la confidencialidad, integridad y
disponibilidad de la información de salud protegida electrónicamente.
Requiere que los proveedores de atención médica, los planes de salud y los
identificador nacional
empleadores tengan números nacionales estándar que los identifiquen adjuntos
Requisitos
a las transacciones estándar.
Proporciona las normas para el cumplimiento de toda la Administración.

Regla de cumplimiento
Reglas de simplificación
https://www.hhs.gov
Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA)
Fuente: https://www.hhs.gov
La Regla de Privacidad de HIPAA proporciona protecciones federales para la información de salud de identificación individual
en poder de las entidades cubiertas y sus socios comerciales y otorga a los pacientes una variedad de derechos sobre esa
información. Al mismo tiempo, la Regla de Privacidad permite la divulgación de información de salud necesaria para la
atención del paciente y otros fines necesarios.
La Regla de Seguridad especifica una serie de salvaguardias administrativas, físicas y técnicas que las entidades cubiertas
y sus socios comerciales deben utilizar para garantizar la confidencialidad, integridad y disponibilidad de la información de
salud protegida electrónicamente.
La oficina de derechos civiles implementó el Estatuto y las Reglas de Simplificación Administrativa de HIPAA, como se
analiza a continuación:
Transacciones Electrónicas y Estándares de Conjunto de Códigos
Las transacciones son intercambios electrónicos que implican la transferencia de información entre
dos partes para fines específicos. La portabilidad y responsabilidad del seguro médico
La Ley de 1996 (HIPAA) designó ciertos tipos de organizaciones como entidades cubiertas,
incluidos planes de salud, cámaras de compensación de atención médica y ciertos proveedores de atención médica. En
las regulaciones HIPAA, el Secretario de Salud y Servicios Humanos (HHS) adoptó
ciertas transacciones estándar para el Intercambio Electrónico de Datos (EDI) de atención médica
datos. Estas transacciones son reclamaciones y encuentros de información, pago y
asesoramiento de remesas, estado de reclamo, elegibilidad, inscripción y cancelación de inscripción, referencias y
autorizaciones, coordinación de beneficios y pago de primas. Según HIPAA, si un
entidad cubierta realiza electrónicamente una de las transacciones adoptadas, debe utilizar
el estándar adoptado, ya sea de ASC, X12N o NCPDP (para ciertas farmacias)
actas). Las entidades cubiertas deben cumplir con los requisitos de contenido y formato de cada transacción. Todo proveedor
que haga negocios electrónicamente debe utilizar las mismas transacciones de atención médica, conjuntos de códigos e
identificadores.
Regla de privacidad
La regla de privacidad de HIPAA establece estándares nacionales para proteger los registros médicos de las personas y otra
información de salud personal y se aplica a los planes de salud, las cámaras de compensación de atención médica y los
proveedores de atención médica que realizan ciertas transacciones de atención médica de forma electrónica. La regla requiere
salvaguardias apropiadas para proteger la privacidad de la información de salud personal. Establece límites y condiciones
sobre los usos y divulgaciones que pueden hacerse de dicha información sin la autorización del paciente. La regla también
otorga derechos a los pacientes sobre su información médica, incluido el derecho a examinar y obtener una copia de sus
registros médicos y solicitar correcciones.
Regla de seguridad
La regla de seguridad de HIPAA establece estándares nacionales para proteger la información de salud personal electrónica
de las personas que es creada, recibida, utilizada o mantenida por una entidad cubierta. La Regla de Seguridad requiere
salvaguardias administrativas, físicas y técnicas apropiadas para garantizar la confidencialidad, integridad y seguridad de los
datos electrónicos.
información de salud protegida.
Estándar de Identificador de Empleador
La HIPAA requiere que cada empleador tenga un número nacional estándar que identifique
en transacciones estándar.
Estándar Nacional de Identificador de Proveedores (NPI)
El Identificador Nacional de Proveedor (NPI) es un Estándar de Simplificación Administrativa de HIPAA.

El NPI es un número de identificación único asignado a los proveedores de atención médica cubiertos.
Los proveedores de atención médica cubiertos y todos los planes de salud y cámaras de compensación de atención médica
deben utilizar los NPI en las transacciones administrativas y financieras adoptadas según HIPAA. El NPI es un identificador
numérico sin inteligencia de 10 posiciones (número de 10 dígitos). Esto significa que los números no contienen otra información
sobre los proveedores de atención médica, como el estado en el que viven o su especialidad médica.
Regla de cumplimiento
La Regla de cumplimiento de HIPAA contiene disposiciones relacionadas con el cumplimiento y la investigación, así como la
imposición de sanciones monetarias civiles por violaciones de las Reglas de simplificación administrativa de HIPAA y los
procedimientos para audiencias.
SarbanesOxley
(SOX)
Promulgada en 2002, la Ley SarbanesOxley está diseñada para proteger a los inversores y al público aumentando
la exactitud y confiabilidad de las divulgaciones corporativas
Los requisitos y disposiciones clave de SOX están organizados en 11 títulos:
Título I Título II Título III

Contabilidad de Empresas Públicas Independencia del auditor establece los estándares La Responsabilidad Corporativa
La Junta de Supervisión (PCAOB) para la independencia del auditor externo, destinados a exige que los altos ejecutivos
proporciona supervisión limitar los conflictos de intereses y abordar nuevos asumir la responsabilidad individual de la
independiente de las firmas de requisitos de aprobación del auditor, rotación de socios de exactitud e integridad de los informes
contadores públicos que brindan auditoría y requisitos de presentación de informes del financieros corporativos
servicios de auditoría (“auditores”) auditor.
https://www.sec.gov
SarbanesOxley
(SOX) (Continuación)
Título IV
Las divulgaciones financieras mejoradas describen requisitos de presentación de informes mejorados
para transacciones financieras, incluidas transacciones fuera de balance, cifras proforma y transacciones de
acciones de funcionarios corporativos.
Título V
Los conflictos de intereses de los analistas consisten en medidas diseñadas para ayudar a restaurar la
confianza de los inversores en los informes de los analistas de valores.
Título VI
Recursos y Autoridad de la Comisión define prácticas para restaurar la confianza de los inversores
en los analistas de valores
Título VII
Estudios e informes incluyen los efectos de la consolidación de firmas de contabilidad pública , el
papel de las agencias de calificación crediticia en el funcionamiento de los mercados de
valores, violaciones de valores y acciones de ejecución, y si los bancos de inversión ayudaron
a Enron, Global Crossing u otros a manipular ganancias y ofuscar verdaderas condiciones
financieras
Ley Sarbanes Oxley (SOX) (Continuación)

Título VIII
La Responsabilidad por Fraude Corporativo y Penal describe sanciones penales específicas por fraude mediante la manipulación,
destrucción o alteración de registros financieros, u otra interferencia con las investigaciones, al tiempo que brinda ciertas
protecciones a los denunciantes.
Título X
La mejora de las penas por delitos de cuello blanco aumenta las sanciones penales
asociadas con delitos de cuello blanco y conspiraciones. Recomienda pautas de
sentencia más estrictas y agrega específicamente la falta de certificación de los
informes financieros corporativos como un delito penal.
Título IX
Las declaraciones de impuestos corporativos establecen que el director ejecutivo debe firmar la declaración
de impuestos de la empresa.
Título XI
Corporate Fraud Accountability identifica el fraude corporativo y la manipulación de registros
como delitos penales y les asigna sanciones específicas. También revisa las pautas de
sentencia y fortalece sus penas. Esto permite a la SEC congelar temporalmente pagos grandes
o inusuales.
Ley Sarbanes Oxley (SOX)
Fuente: https://www.sec.gov
Promulgada en 2002, la Ley SarbanesOxley tiene como objetivo proteger al público y a los inversores aumentando la
precisión y confiabilidad de las divulgaciones corporativas. Esta ley no explica cómo una organización debe almacenar
registros, pero describe los registros que las organizaciones deben almacenar y la duración de su almacenamiento. La
ley ordenó varias reformas para mejorar la
responsabilidad, mejorar las declaraciones financieras y combatir el fraude corporativo y contable.
Los requisitos y disposiciones clave de SOX están organizados en 11 títulos:
Título I: Junta de Supervisión Contable de Empresas Públicas (PCAOB)
El Título I consta de nueve secciones y establece la Junta de Supervisión de Contabilidad de Empresas

Públicas para proporcionar supervisión independiente de las firmas de contadores públicos que brindan
servicios de auditoría ("auditores"). También crea una junta central de supervisión encargada de registrar los
servicios de auditoría, definir los procesos y procedimientos específicos para las auditorías de cumplimiento,
inspeccionar y vigilar la conducta y el control de calidad, y hacer cumplir los mandatos específicos de SOX.
Título II: Independencia del Auditor
El Título II consta de nueve apartados y establece normas de independencia del auditor externo para limitar
los conflictos de intereses. También aborda nuevos requisitos de aprobación de auditores, rotación de socios
de auditoría y requisitos de presentación de informes de auditores. Restringe a las empresas de auditoría la
prestación de servicios distintos de los de auditoría (como consultoría) para los mismos clientes.
Título III: Responsabilidad Corporativa
El Título III consta de ocho secciones y exige que los altos ejecutivos asuman la responsabilidad individual de
la exactitud e integridad de los informes financieros corporativos. Define la interacción entre los auditores
externos y los comités de auditoría corporativos y especifica la responsabilidad de los funcionarios corporativos
por la exactitud y validez de los informes financieros corporativos. Enumera límites específicos sobre el
comportamiento de los funcionarios corporativos y describe la pérdida específica de beneficios y sanciones
civiles por incumplimiento.
Título IV: Divulgaciones financieras mejoradas
El Título IV consta de nueve secciones. Describe requisitos mejorados de presentación de informes para
transacciones financieras, incluidas transacciones fuera de balance, cifras proforma y transacciones de
acciones de funcionarios corporativos. Requiere controles internos para garantizar la exactitud de los informes
y divulgaciones financieros y exige auditorías e informes sobre esos controles. También exige la presentación
oportuna de informes sobre cambios importantes en los estados financieros.
condiciones y revisiones específicas mejoradas de informes corporativos por parte de la SEC o sus agentes.
Título V: Conflictos de Interés de los Analistas
El Título V consta de una sola sección que analiza las medidas diseñadas para ayudar a restaurar la confianza
de los inversores en la información de los analistas de valores. Define el código de conducta para los analistas
de valores y exige que revelen cualquier conflicto de intereses conocido.
Título VI: Recursos y Autoridad de la Comisión
El Título VI consta de cuatro secciones y define prácticas para restablecer la confianza de los inversores en
los analistas de valores. También define la autoridad de la SEC para censurar o prohibir a los profesionales de
valores ejercer y define las condiciones para prohibir a una persona ejercer como corredor, asesor o
comerciante.
Título VII: Estudios e Informes
El Título VII consta de cinco secciones y exige que la Contraloría General y la Comisión de Bolsa y Valores
(SEC) realicen diversos estudios e informen sus conclusiones.
Los estudios e informes requeridos incluyen los efectos de la consolidación de firmas de contabilidad pública,
el papel de las agencias de calificación crediticia en el funcionamiento de los mercados de valores, violaciones
de valores, acciones de cumplimiento y si los bancos de inversión ayudaron a Enron, Global Crossing y otros
a manipular las ganancias. y ofuscar las verdaderas condiciones financieras.
Título VIII: Responsabilidad por Fraude Corporativo y Penal
El Título VIII, también conocido como “Ley de Responsabilidad por Fraude Corporativo y Penal de 2002”,
consta de siete secciones. Describe sanciones penales específicas por la manipulación, destrucción o
alteración de registros financieros o la interferencia con las investigaciones, al tiempo que proporciona ciertas
protecciones para los denunciantes.
Título IX: Mejora de las penas para delitos de cuello blanco
El Título IX, también conocido como "Ley de mejora de las penas por delitos de cuello blanco de 2002",
consta de seis secciones. Este título aumenta las penas penales asociadas con delitos de cuello blanco y
conspiraciones. Recomienda pautas de sentencia más estrictas y agrega específicamente la falta de
certificación corporativa. informes financieros como delito penal.
Título X: Declaraciones del Impuesto sobre Sociedades
El Título X consta de una sección que establece que el Consejero Delegado debe firmar la declaración de
impuestos de la empresa.
Título XI: Responsabilidad por Fraude Corporativo
El título XI consta de siete secciones. La Sección 1101 recomienda el siguiente nombre para el título: “Ley
de Responsabilidad por Fraude Corporativo de 2002”. Identifica el fraude corporativo y la manipulación de
registros como delitos penales y une esos delitos a sanciones específicas. También revisa las pautas de
sentencia y fortalece las penas. Hacerlo permite a la SEC congelar temporalmente transacciones o pagos
"grandes" o "inusuales".
El milenio digital
Ley de derechos de autor (DMCA)
La DMCA es una ley de derechos de autor de los Estados Unidos que implementa dos tratados del Tratado Mundial de 1996.
Organización de la Propiedad Intelectual (OMPI)
Define las prohibiciones legales contra la elusión de la protección tecnológica

medidas empleadas por los propietarios de derechos de autor para proteger sus obras y contra la eliminación o
alteración de la información de gestión de derechos de autor
https://www.copyright.gov
La Ley de Derechos de Autor del Milenio Digital (DMCA)
Fuente: https://www.copyright.gov
La DMCA es una ley de derechos de autor estadounidense que implementa dos tratados de 1996 de la Organización Mundial de la
Propiedad Intelectual (OMPI): el Tratado de Derechos de Autor de la OMPI y el Tratado de Ejecuciones y Fonogramas de la OMPI. Para
implementar las obligaciones del tratado estadounidense, la DMCA
define prohibiciones legales contra la elusión de las medidas tecnológicas de protección empleadas por los propietarios de derechos de
autor para proteger sus obras, y contra la eliminación o alteración de la información de gestión de derechos de autor. La DMCA contiene
cinco títulos:
Título I: IMPLEMENTACIÓN DEL TRATADO DE LA OMPI
El Título I implementa los tratados de la OMPI. En primer lugar, introduce ciertas modificaciones técnicas a las normas estadounidenses.
derecho a fin de proporcionar las referencias y enlaces apropiados a los tratados. En segundo lugar,
crea dos nuevas prohibiciones en el Título 17 del Código de EE. UU.: una sobre la elusión de la
medidas tecnológicas utilizadas por los propietarios de derechos de autor para proteger sus obras y una de
manipulación de la información de gestión de derechos de autor y añade recursos civiles y
sanciones penales por violar las prohibiciones.
Título II: LIMITACIÓN DE RESPONSABILIDAD POR INFRACCIÓN DE DERECHOS DE AUTOR EN LÍNEA
El Título II de la DMCA agrega una nueva sección 512 a la Ley de Derechos de Autor para crear cuatro nuevos
limitaciones de responsabilidad por infracción de derechos de autor por parte de proveedores de servicios en línea. Un servicio
El proveedor basa estas limitaciones en las siguientes cuatro categorías de conducta:
o Comunicaciones transitorias
o Almacenamiento en caché del sistema
o El almacenamiento de información dirigido por el usuario en sistemas o redes.
o Herramientas de localización de información
El nuevo artículo 512 también incluye reglas especiales relativas a la aplicación de estas limitaciones a instituciones
educativas sin fines de lucro.
Título III: MANTENIMIENTO O REPARACIÓN DE INFORMÁTICAS
El Título III de la DMCA permite al propietario de una copia de un programa realizar reproducciones o adaptaciones
cuando sea necesario para utilizar el programa junto con una computadora. La enmienda permite al propietario o
arrendatario de una computadora hacer o autorizar la realización de una copia de un programa de computadora durante
el mantenimiento o reparación de esa computadora.
Título IV: DISPOSICIONES VARIAS
El título IV contiene seis disposiciones diversas. La disposición primera anuncia la Aclaración de las Facultades de la
Oficina de Derecho de Autor; el segundo otorga exención para la realización de “grabaciones efímeras”; el tercero
promueve el estudio a distancia;
el cuarto establece una exención para bibliotecas y archivos sin fines de lucro; la quinta permite la transmisión por Internet
de enmiendas al derecho de ejecución digital de grabaciones sonoras y, finalmente, la sexta disposición aborda las
preocupaciones sobre la capacidad de los escritores, directores y actores de cine para obtener pagos residuales por la
explotación de películas cinematográficas en situaciones en las que el productor no es ya no podrá hacer estos pagos.
Título V: PROTECCIÓN DE DETERMINADOS DISEÑOS ORIGINALES
El Título V de la DMCA da derecho a la Ley de protección del diseño del casco de buques (VHDPA). Esta ley crea un
nuevo sistema para proteger los diseños originales de ciertos artículos útiles que hacen que el artículo sea atractivo o
distintivo en apariencia. Para los fines de la VHDPA, los "artículos útiles" se limitan a los cascos (incluidas las cubiertas)
de embarcaciones de no más de 200 pies.
La Seguridad de la Información Federal

Anna
Ley Stewart
de Gestión (FISMA)
La FISMA proporciona un marco integral para garantizar la eficacia de

los controles de seguridad de la información sobre los recursos de
información que respaldan las operaciones y los activos federales.
Incluye
Estándares para categorizar la información y los sistemas de información por

impacto de la misión
Normas de requisitos mínimos de seguridad de la información y

sistemas de información
Orientación para seleccionar controles de seguridad apropiados para la información.

sistemas
Guía para evaluar los controles de seguridad en los sistemas de información y determinar la
efectividad del control de seguridad.
Guía para la autorización de seguridad de los sistemas de información.
https://csrc.nist.gov
La Ley Federal de Gestión de la Seguridad de la Información (FISMA)
Fuente: https://csrc.nist.gov
La Ley Federal de Gestión de la Seguridad de la Información de 2002 se promulgó para producir varios estándares y
directrices de seguridad clave requeridos por la legislación del Congreso. La FISMA proporciona un marco integral
para garantizar la eficacia de los controles de seguridad de la información sobre los recursos de información que
respaldan las operaciones y los activos federales. Requiere que cada agencia federal desarrolle, documente e
implemente un programa para toda la agencia para brindar seguridad de la información y los sistemas de información
que respaldan las operaciones y los activos de la agencia, incluidos aquellos proporcionados o administrados por otra
agencia, contratista u otro. fuente. El marco FISMA incluye:
Estándares para categorizar la información y los sistemas de información por impacto de la misión.
Normas para los requisitos mínimos de seguridad de la información y la información.

sistemas
Orientación para seleccionar controles de seguridad adecuados para los sistemas de información.
Orientación para evaluar los controles de seguridad en los sistemas de información y determinar su
eficacia
Guía para la autorización de seguridad de los sistemas de información.
La regulación GDPR entró en vigor el 25 de mayo de 2018 y es una de las leyes

de privacidad y seguridad más estrictas a nivel mundial.
El RGPD impondrá duras multas a quienes violen su privacidad y Informacion General

normas de seguridad, con sanciones que alcanzan decenas de millones de euros
Proteccion
Principios de protección de datos del RGPD Regulación
Legalidad, equidad y Precisión (RGPD)
transparencia
Limitación de almacenamiento
Limitación de finalidad
Integridad y confidencialidad
Minimización de datos
Responsabilidad https://gdpr.eu
Reglamento General de Protección de Datos (GDPR)
Fuente: https://gdpr.eu
El Reglamento General de Protección de Datos (GDPR) es una de las leyes de privacidad y seguridad más estrictas a
nivel mundial. Aunque fue redactado y aprobado por la Unión Europea (UE), impone obligaciones a las organizaciones
en cualquier lugar, siempre que se dirijan a personas de la UE o recopilen datos relacionados con ellas. El reglamento
entró en vigor el 25 de mayo de 2018. El RGPD impondrá duras multas a quienes violen sus normas de privacidad y
seguridad, con sanciones que alcanzarán decenas de millones de euros.
Con el RGPD, Europa expresa su postura firme sobre la privacidad y la seguridad de los datos en un momento
en que cada vez más personas confían sus datos a servicios en la nube y las infracciones son algo cotidiano. La
regulación en sí es extensa, de gran alcance y relativamente ligera en detalles, lo que hace que el cumplimiento
del RGPD sea una perspectiva desalentadora, particularmente para las pequeñas y medianas empresas (PYME).
Principios de protección de datos del RGPD
El RGPD incluye siete principios de protección y responsabilidad descritos en el artículo 5.12:
Legalidad, equidad y transparencia: el procesamiento debe ser legal, justo y transparente.

al interesado.
Limitación de finalidad: Deberá tratar los datos para las finalidades legítimas especificadas
explícitamente al interesado cuando los recopiló.
Minimización de datos: debe recopilar y procesar solo la cantidad de datos necesaria para
los fines especificados.
Exactitud: Debe mantener los datos personales exactos y actualizados.
Limitación de almacenamiento: solo puede almacenar datos de identificación personal durante el tiempo que
necesario para el propósito especificado.
Integridad y confidencialidad: el procesamiento debe realizarse de tal manera que se garantice la seguridad,
integridad y confidencialidad adecuadas (por ejemplo, mediante el uso de cifrado).
Responsabilidad: El responsable del tratamiento de datos es responsable de demostrar el cumplimiento del

RGPD con todos estos principios.
Ley de Protección de Datos de 2018 (DPA)
La DPA es una ley que prevé la regulación del procesamiento de información relacionada con
individuos; tomar disposiciones en relación con las funciones del Comisionado de Información
bajo regulaciones específicas relacionadas con la información; prever un código de
prácticas de marketing directo y fines relacionados
La DPA protege a las personas en lo que respecta al procesamiento de datos personales, en

particular mediante:
Exigir que los datos personales se procesen de manera legal y justa, basándose en
el consentimiento del interesado u otra base especificada,
Conferir derechos al interesado a obtener información sobre el

tratamiento de datos personales y a exigir la rectificación de los datos
personales inexactos, y
Conferir funciones al Comisionado, atribuyéndole al titular de ese cargo la

responsabilidad de vigilar y hacer cumplir sus disposiciones
https://www.legislation.gov.uk
Ley de Protección de Datos de 2018 (DPA)
Fuente: https://www.legislation.gov.uk
La DPA 2018 establece el marco para la ley de protección de datos en el Reino Unido. Actualiza y reemplaza la Ley
de Protección de Datos de 1998 y entró en vigor el 25 de mayo de 2018. Fue modificada el 1 de enero de 2021 por las
regulaciones de la Ley (Retirada) de la Unión Europea de 2018 para reflejar el estado del Reino Unido fuera de la UE.
La DPA es una ley que prevé la regulación del procesamiento de información relacionada con individuos; tomar disposiciones
en relación con las funciones del Comisionado de Información bajo regulaciones específicas relacionadas con la información;
para prever un código de prácticas de marketing directo y fines relacionados. La DPA también establece reglas separadas de
protección de datos para las autoridades encargadas de hacer cumplir la ley, extiende la protección de datos a otras áreas
como la seguridad y la defensa nacionales, y establece las funciones y poderes del Comisionado de Información.
Protección de datos personales
1. La DPA protege a las personas en lo que respecta al procesamiento de datos personales, en particular
por:
a. Exigir que los datos personales se procesen de manera legal y justa, sobre la base de los datos
el consentimiento del sujeto u otra base especificada,
b. Conferir derechos al interesado a obtener información sobre el tratamiento de datos personales y a exigir la
rectificación de los datos personales inexactos, y
C. Conferir funciones al Comisionado, atribuyéndole al titular de dicho cargo la responsabilidad de vigilar y hacer
cumplir sus disposiciones.
2. Al llevar a cabo funciones en virtud del RGPD, el RGPD aplicado y esta Ley, el
Comisionado debe considerar la importancia de garantizar un nivel adecuado de
protección de los datos personales, teniendo en cuenta los intereses de los interesados,
los controladores y otros, y asuntos de interés público general.
Ley cibernética en diferentes países

País Sitio web
Leyes/Actos
Nombre
El artículo 107 de la Ley de Derecho de Autor menciona la doctrina del “uso

justo”
Ley de limitación de responsabilidad por infracción de derechos de autor en línea
Ley Lanham (Marcas Registradas) (15 USC §§ 1051 1127) https://www.uspto.gov
La Ley de Privacidad de las Comunicaciones Electrónicas https://fas.org
Ley de vigilancia de inteligencia extranjera https://fas.org
Ley de Protección de Estados Unidos de 2007 https://www.justicia.gov

Estados Unidos
Ley de Privacidad de 1974 https://www.justicia.gov
Ley de Protección de la Infraestructura Nacional de Información de 1996 https://www.nrotc.navy.mil
Ley de seguridad informática de 1987 https://csrc.nist.gov
Ley de Libertad de Información (FOIA) https://www.foia.gov
Ley de abuso y fraude informático https://energía.gov
Ley federal de disuasión del robo y la asunción de identidad https://www.ftc.gov
Ley cibernética en diferentes países (continuación)

Nombre del país Leyes/Actos Sitio web
La Ley de Marcas de 1995
La Ley de Patentes de 1990

Australia https://www.legislation.gov.au
La Ley de derechos de autor de 1968
Ley de delitos cibernéticos de 2001
Ley de derechos de autor, etc. y marcas comerciales (infracciones y aplicación) de 2002
Ley de Marcas de 1994 (TMA)
Ley de uso indebido de computadoras de 1990
El Reglamento de Redes y Sistemas de Información de 2018

Reino Unido Ley de Comunicaciones de 2003
https://www.legislation.gov.uk
Reglamento sobre privacidad y comunicaciones electrónicas (Directiva CE) de 2003
Ley de poderes de investigación de 2016
Ley de regulación de los poderes de investigación de 2000
Ley de Derecho de Autor de la República Popular China (Enmienda del 27 de octubre de 2001)
Porcelana http://www.npc.gov.cn
Ley de Marcas de la República Popular China (Enmienda del 27 de octubre de 2001)
Ley de Patentes (enmienda) de 1999, Ley de Marcas Comerciales de 1999, Ley de Derecho de Autor de 1957 http://www.ipindia.nic.in
India
Ley de tecnología de la información https://www.meity.gov.in
Alemania Sección 202a. Espionaje de datos, Sección 303a. Modificación de Datos, Sección 303b. Sabotaje informático https://www.cybercrimelaw.net
Ley cibernética en diferentes países (continuación)

País
Leyes/Actos Sitio web
Nombre
Italia Código Penal Artículo 615 ter https://www.cybercrimelaw.net
Ley de Marcas (Ley N° 127 de 1957), Ley Comercial de Gestión de

Japón https://www.iip.or.jp
los Derechos de Autor (4.2.2.3 de 2000)
Ley de Derecho de Autor (RSC, 1985, c. C42), Ley de Marcas, Código Penal
Canada https://lawslois.justice.gc.ca
Canadiense, Sección 342.1
Singapur Ley de uso indebido de computadoras https://sso.agc.gov.sg
Ley de Marcas 194 de 1993 http://www.cipc.co.za

Sudáfrica
Ley de derechos de autor de 1978 https://www.nlsa.ac.za
Ley de Derecho de Autor Ley N° 3916 https://www.copyright.or.kr

Corea del Sur
Ley de protección de diseños industriales https://www.kipo.go.kr
Ley de Derecho de Autor, 30/06/1994 https://www.wipo.int

Bélgica
Hackeo de computadoras https://www.cybercrimelaw.net
Modificación o alteración no autorizada del sistema de información

Brasil https://www.domstol.no
Hong Kong Artículo 139 de la Ley Fundamental https://www.basiclaw.gov.hk
Ley cibernética en diferentes países
La ley cibernética o ley de Internet se refiere a cualquier ley que se ocupe de la protección de Internet y
otras tecnologías de comunicación en línea. El ciberderecho cubre temas como el acceso y uso de Internet,
la privacidad, la libertad de expresión y la jurisdicción. Las leyes cibernéticas brindan garantía de integridad,
seguridad, privacidad y confidencialidad de la información tanto en organizaciones gubernamentales como
privadas. Estas leyes se han vuelto prominentes debido al aumento en el uso de Internet en todo el mundo.
el mundo. Las leyes cibernéticas varían según la jurisdicción y el país, por lo que implementarlas es todo
un desafío. La violación de estas leyes resulta en castigos que van desde multas hasta prisión.
País
Leyes/Actos Sitio web
Nombre
El artículo 107 de la Ley de Derecho de Autor menciona la doctrina del

“uso justo”
Ley de limitación de responsabilidad por infracción de derechos de autor en línea
Ley Lanham (Marcas Registradas) (15 USC §§ 1051 1127) https://www.uspto.gov
La Ley de Privacidad de las Comunicaciones Electrónicas https://fas.org
Ley de vigilancia de inteligencia extranjera https://fas.org
Estados Unidos Ley de Protección de Estados Unidos de 2007 https://www.justicia.gov
Ley de Privacidad de 1974 https://www.justicia.gov
Ley de Protección de la Infraestructura Nacional de Información de

https://www.nrotc.navy.mil
1996
Ley de seguridad informática de 1987 https://csrc.nist.gov
Ley de Libertad de Información (FOIA) https://www.foia.gov
Ley de abuso y fraude informático https://energía.gov
Ley federal de disuasión del robo y la asunción de identidad https://www.ftc.gov
La Ley de Marcas de 1995
La Ley de Patentes de 1990

Australia https://www.legislation.gov.au
La Ley de derechos de autor de 1968
Ley de delitos cibernéticos de 2001
Ley de derechos de autor, etc. y marcas comerciales (infracciones

y aplicación) de 2002
Ley de Marcas de 1994 (TMA)
Ley de uso indebido de computadoras de 1990
El Reglamento de Redes y Sistemas de Información de 2018

Reino Unido https://www.legislation.gov.uk
Ley de Comunicaciones de 2003
El Reglamento de Privacidad y Comunicaciones Electrónicas (CE

Directiva) Reglamento 2003
Ley de poderes de investigación de 2016
Ley de regulación de los poderes de investigación de 2000
Ley de derechos de autor de la República Popular China

(Enmiendas del 27 de octubre de 2001)
Porcelana http://www.npc.gov.cn
Ley de Marcas de la República Popular China
(Enmiendas del 27 de octubre de 2001)
Ley de Patentes (enmienda) de 1999, Ley de Marcas Comerciales,

http://www.ipindia.nic.in
India 1999, Ley de Derecho de Autor de 1957
Ley de tecnología de la información https://www.meity.gov.in
Sección 202a. Espionaje de datos, Sección 303a. Modificación de Datos,

Alemania https://www.cybercrimelaw.net
Sección 303b. Sabotaje informático
Italia Código Penal Artículo 615 ter https://www.cybercrimelaw.net
Ley de Marcas (Ley N° 127 de 1957), Ley Comercial de Gestión de los

Japón https://www.iip.or.jp
Derechos de Autor (4.2.2.3 de 2000)
Ley de Derecho de Autor (RSC, 1985, c. C42), Ley de Marcas,

Canada https://lawslois.justice.gc.ca
Código Penal Canadiense, Sección 342.1
Singapur Ley de uso indebido de computadoras https://sso.agc.gov.sg
Ley de Marcas 194 de 1993 http://www.cipc.co.za

Sudáfrica
Ley de derechos de autor de 1978 https://www.nlsa.ac.za
Ley de Derecho de Autor Ley N° 3916 https://www.copyright.or.kr

Corea del Sur
Ley de protección de diseños industriales https://www.kipo.go.kr
Ley de Derecho de Autor, 30/06/1994 https://www.wipo.int

Bélgica
Hackeo de computadoras https://www.cybercrimelaw.net
Modificación o alteración no autorizada del sistema de

Brasil https://www.domstol.no
información
Hong Kong Artículo 139 de la Ley Fundamental https://www.basiclaw.gov.hk
Cuadro 1.2: Ley cibernética en diferentes países

Ehe 1

Cargado por

Copyright:

Formatos disponibles

Ehe 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ehe 1

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

planes de estudio oficiales del consejo electrónico

Consejo CE Nuevo México

Página II Conceptos básicos del hacking ético Copyright © by EC­Council

Página III Conceptos básicos del hacking ético Copyright © by EC­Council

Acerca del Consejo de la CE

EC­Council, a través de su impresionante red de profesionales y su enorme seguimiento en la industria, también ha

Otros programas del Consejo de la CE

El propósito del programa de capacitación CSCU es brindar a los estudiantes los

Defensa de red: defensor de red certificado

Página IV Conceptos básicos del hacking ético Copyright © by EC­Council

Hacking Ético: Hacker Ético Certificado

Pruebas de penetración: profesional certificado en pruebas de penetración

Página V Conceptos básicos del hacking ético Copyright © by EC­Council

Informática forense: investigador forense de piratería informática

Manejo de incidentes: Manejador de incidentes certificado por el Consejo EC

El programa de Manejador de Incidentes Certificado (E|CIH) de EC­Council ha sido

Gestión: Director certificado de seguridad de la información

El programa de Director Certificado de Seguridad de la Información (CCISO) fue desarrollado

Página VI Conceptos básicos del hacking ético Copyright © by EC­Council

Seguridad de aplicaciones: ingeniero certificado en seguridad de aplicaciones

La credencial de Ingeniero certificado en seguridad de

Manejo de incidentes: analista certificado de inteligencia de amenazas

Certified Threat Intelligence Analyst (C|TIA) está diseñado y desarrollado en colaboración

Página VII Conceptos básicos del hacking ético Copyright © by EC­Council

En el panorama de amenazas en constante cambio, C|TIA es un programa de capacitación en inteligencia de amenazas

Manejo de incidentes: analista SOC certificado

Página VIII Conceptos básicos del hacking ético Copyright © by EC­Council

Información del examen EHE

Título del examen Conceptos básicos de la piratería ética (EHE)

Código de examen 112­52

Disponibilidad Portal de exámenes del EC­Council (visite https://www.eccexam.com)

Puntaje de aprobación 70%

Página IX Conceptos básicos del hacking ético Copyright © by EC­Council

Fundamentos de seguridad de la información 3

Leyes y regulaciones de seguridad de la información 18

Módulo 02: Fundamentos del Hacking Ético 39

Metodología de la cadena de muerte cibernética 41

Conceptos de hacking y clases de hackers 54

Diferentes fases del ciclo de piratería 61

Conceptos, alcance y limitaciones del hacking ético 69

Herramientas de piratería ética 78

Módulo 03: Amenazas a la seguridad de la información y evaluación de vulnerabilidades 95

Amenazas y fuentes de amenazas 97

Malware y sus tipos 103

Evaluación de vulnerabilidad 196

Módulo 04: Técnicas y contramedidas para descifrar contraseñas 227

Técnicas para descifrar contraseñas 229

Herramientas para descifrar contraseñas 252

Contramedidas para descifrar contraseñas 257

Módulo 05: Técnicas y contramedidas de ingeniería social 261

Conceptos de Ingeniería Social y sus Fases 263

Técnicas de ingeniería social 275

Amenazas internas y robo de identidad 303

Contramedidas de ingeniería social 314

Módulo 06: Ataques y contramedidas a nivel de red 331

Conceptos de rastreo de paquetes 334

Técnicas de olfateo 347

Contramedidas para olfatear 360

Página II Conceptos básicos del hacking ético Copyright © by ECCouncil

Página III Conceptos básicos del hacking ético Copyright © by ECCouncil

ECCouncil, a través de su impresionante red de profesionales y su enorme seguimiento en la industria, también ha

Página IV Conceptos básicos del hacking ético Copyright © by ECCouncil

Página V Conceptos básicos del hacking ético Copyright © by ECCouncil

El programa de Manejador de Incidentes Certificado (E|CIH) de ECCouncil ha sido

Página VI Conceptos básicos del hacking ético Copyright © by ECCouncil

Página VII Conceptos básicos del hacking ético Copyright © by ECCouncil

Página VIII Conceptos básicos del hacking ético Copyright © by ECCouncil

Código de examen 11252

Disponibilidad Portal de exámenes del ECCouncil (visite https://www.eccexam.com)

Página IX Conceptos básicos del hacking ético Copyright © by ECCouncil

Página X Conceptos básicos del hacking ético Copyright © by ECCouncil

Página XI Conceptos básicos del hacking ético Copyright © by ECCouncil

Página XII Conceptos básicos del hacking ético Copyright © by ECCouncil

Conceptos básicos del hacking ético Examen 11252

Conceptos básicos del hacking ético Examen 11252