BRS01 - Introducción al Bastionado.

 antecedentes
o 70 :preocupación Seguridad Física, surge Primer CERT
o 80 : Internet Seguridad Lógica, servicio Ciberseguridad
o 2000: nuevos elementos móviles y cloud
 cumplimiento normativo :RGPD, ENS, ONS
 Evitar amenazas
o Malware tipos  Ransomware, RootKit, Spyware, Gusanos, Troyanos, Bots,Keylogger,
Fileless malware
o Vulnerabiildades - Fraudes - Insider - Ataques externos
 sistemas de defensa
o Reducir vulnerabilidades con
 Políticas alineadas con Estrat.organización se define en Plan director de seguridad
 Medidas técnicas se define en Plan director de seguridad
o Controlar amenazas a través Defensa en profundidad se define en P.director de seguridad
 nuevo paradigma Zero Trust debido al contexto:movilidad, IoT, Cloud, nada es confiable

AFO 01 - Introducción al Bastionado.

1.- Orígenes.
1.1.- Necesidad.
2.- Bastionado o "Hardening".
2.1.- Zero trust. 2.2.- ¿Por dónde empiezo?.
3.- Plan director de seguridad.

1.- Orígenes.
En orígenes de informática las cuestiones de seguridad eran inexistentes, en 70’s 80’s solo preocupación
física  inicio 1º gusano: “demorris” y virus “Creeper” a prtir del que se crea el 1er CERT (Compt.
Emergency Response Team) con expansión internet y externaliz Ss las posibilidades de incidente crecen
exponencialm (problamas no sólo físicos tb parte lógica cobra importancia y necesario proteger sist. y
redes.)  1os Ss asistencia ciberseguridad,  A partir del 2000 empieza a “descontrolarse” Ss colaborat,
redes sociales, smatphones, cloud, … organiz. y usuarios + expuestos. Hoy mantener sist.protegidos es un
reto. Un Ss web, se gestiona y proporciona por una serie de tecnologías desde el SO hasta las infraest.de
red necesarias.
1.1.- Necesidad.
Es necesario llevar a cabo labores de bastionado de sist. y redes por necesidad de mantener las 3 dim. de la
seguridad de la info.: confidencialidad, integridad y disponibilidad, porque hay numerosos requerimientos
legales de protección de infraestr. tecnológicas que almacenan información (ej. datos carácter personal).
Malware (popularmente conocido como virus), o software malicioso cuyos subtipos más populares serían:
 Ransomware: Capaz de secuestrar dispositivo mediante cifrado de los archivos principalmente. Se
solicita un secuestro para volver a la actividad normal. Más información sobre ransomware.
 Spyware: (programa espía), apps que recopilan info. del sistema para enviarla x Internet. Dos tipos.
El primero (+ peligroso), recopila info., mensajes, datos, contraseñas, etc. xa algún atacante que lo
controla remotamente. El segundo (+ inocuo), envía info. de hábitos de navegación y similar general.
xa Ea publicidad..
  Troyanos: software dañino disfrazado de software legítimo. No es capaz de replicarse y se adjunta a
otro tipo de software.
 Gusanos (worms): simil a virus, pero no dependen de archivos portadores. Pueden modificar el SO
xa auto ejecutarse en inicialización del sistema.
 Bots: Programas que a través de órdenes desde otra computadora controlan el equipo de víctima
convirtiéndola en un "Zombi“. Redes de ordenadores “Zombis” BotNets pueden usarse para ataques
de denegación de servicio distribuída (DdoS), robo de credenciales, envío de SPAM, etc.
 Keylogger: roba info. registrando el teclado/ ratón, para robar todo tipo de información.
 Rootkit: programas insertados en computadora después de que atacante gana control de un sistema.
Incluyen funciones para ocultar su rastros, como borrar log de entradas o encubrir procesos.
 Fileless malware: El atacante aprovecha de funcionalidad del SO para la infección. Ej. mediante
scripts programados para interpretarse con PowerShell, se podría llevar a cabo un ataque.
Vulnerabilidades: “un fallo en el código o configuración de software o en diseño/implementación de sist.
físico, que permite comprometer la seguridad del activo y hacer que realice funciones no autorizadas”. No es
lo mismo una amenaza que una vulnerabilidad. Todo software susceptible de fallos de seg. Las
aplicaciones, SO o tecnol. más usadas, son las más escrutadas (Windows más vuln. reportadas que
Debian). Los fabricantes publican periódicamente actualiz.seguridad/parches.
Fraude: Uno de los problemas más recurrentes. Motivación ciberdelincuentes básicamente económica.
Pueden llegar de varias maneras y poner en compromiso sist. y arquitecturas ya que dentro de este tipo de
incidente, también suplantaciones de correo electrónico o web también conocidas como phishing.
Insiders: Básicamente se trata de un ataque generalmente interno, por empleado con acceso a sistemas de
org. Xa robo info., deshabilitación Ss, etc. para evitar estos riesgos.
Ataques externos: Intencionados o no. Dentro de esta tipología los escaneos indiscriminados con
herramientas de enumeración como NMAP; identificación de vulnerabilidades con herramientas como
Nessus o Acunetix, etc
2.- Bastionado o "Hardening".
El aumento de dispositivos e interconexiones en los sistemas, ha hecho difícil confiar en sist. de
proveedores o con partes propias del sist, en Ss en la nube. Hay que tratarlos sistemas no confiables. Es
necesario renovar la confianza con todos los elementos, como sucede en el modelo Zero Trust.
El bastionado se refiere a todo lo que tiene que ver con protección de activos que soportan los sist. info, es
decir, dotar de defensas a los sistemas y redes para evitar amenazas. También se usa en referencia a
usuarios  dotarles de capacidades para que identifiquen amenazas, reporten incidentes, etc.
Diferenciar amenaza (algo que podría representar daño potencial sobre un activo, ej. Tener activado el
escritorio remoto) y vulnerabilidad (es un estado o condición que tiene el activo que podría hacer que el
daño se materializara, ej. Que Windows use credenciales x defecto en un Ss).
Podemos referirnos al bastionado de un sistema o de una red como “el proceso que se lleva a cabo para
reducir o mitigar vulnerabilidades a través de políticas, medidas técnicas de seguridad, o cualquier otro
mecanismo que lo consiga”. Algunos modelos propugnan limitar funciones del sist. a una única función. El
propósito del bastionado, es conseguir la “defensa en profundidad” (DiD – Defense in Depth), del ámbito
militar y que ha evolucionado para integrarse en el mundo de las tecnologías de la información (TI).
 Eliminación cuentas innecesarias.
 Eliminación contraseñas por defecto.
 Instalación de tecnol.seguridad como firewalls, WAFs (Web Application Firewalls, etc.)
 Implementar política de actualizaciones.
 Deshabilitación de puertos/Ss que no se usen y elevar la seguridad de los que sí se utilizan.
 Desarrollar planes de contingencia con políticas de copia de seguridad y recuperación de sistemas.
 Elevar la seguridad en redes inhalámbricas y usarlas únicamente si es necesario.
2.1.- Zero trust Security.
Nuevo paradigma que se está extendiendo (evolución del “mínimo privilegio”), representa un nuevo modo de
proteger info. En algunas referencias encontramos que esto pasaría por disponer de una red interna
confiable y una red externa no confiable. Con Cloud, IOT y la implementación de movilidad empleados el
perímetro de seguridad de las compañías se extendía más allá de sus firewalls, VPNs y otras tecnologías
controlables x Cia, el perímetro se vuelve más “incontrolable”  por defecto, no se ha de confiar incluso en
los usuarios confiables. Aspectos posibles del paradigma:
 Doble factor/multifactor de autenticación
(2FA/MFA): minimizando el compromiso de la
barrera clásica formada por usuario/contraseña.
 Control del flujo de red entre los activos.
 Acceso discrección a aplicaciones frente a la
red completa.
 Acceso por usuarios con mínimos privilegios.
 Mejora de estrategias existentes en ciberseg.
con mecanismos avanzados de detección de
amenazas incluidas vulnerabilidades “zero day”.
 Implementación de VPNs transparentes para el
usuario
2.2.- ¿Por dónde empiezo?.
Antes de implementar acciones xa reforzar seguridad, análisis de riesgos xa obtener info para identificar
dónde hay que poner atención para elevar nivel de ciberseguridad de procesos más importantes. La
ciberseguridad se ha de alinear con el negocio (no priorizar medidas de seguridad frente a operativa Ea). La
ciberseguridad acompaña a la estrategia de la org. Hay numerosas metodologías, normas y estándares para
llevar a cabo esta tarea.
Herramienta de autodiagnóstico de INCIBE: Herramienta muy sencilla que considera tres elementos:
personas, procesos y tecnologías sobre cinco aspectos (página web, trabajo en mobilidad, servidores
propios, email y teletrabajo). Con respuestas a las preguntas del cuestionario obtendremos ayuda para
saber reducir el nivel de riesgo en relación a las personas, los procesos o las tecnologías.

3.- Plan director de seguridad.

Es cjto actividades xa elevar el nivel de ciberseguridad. Las acciones tienen el propósito de reducir riesgos a
los que org se expone. La reducción será adecuada cuando tras análisis, se considere que riesgos están en
un nivel aceptable. Cualquier proyecto de ciberseguridad alineado con negocio y no discurrir fuera de la
estrategia. La ciberseguridad apoya al negocio.
Un plan director, ha de incluir medidas técnicas y medidas organizativas en su ejecución y tiene que
contener una definición y alcance concreto xa incrementar seg. en los procesos críticos de la
organización. Error común planes no son realistas, que abarcar cuestiones no críticas o que implementan
soluciones sobredimensionadas.
Modo de implementar un plan director varia en fn de características org.. ej: de la dependencia tecnológica,
el sector o criticidad de la info que maneja, entre otros.
Los planes directores de seguridad, y la certificación en estándares, se basan en ciclos de mejora
continua. (tras implementación, el ciclo continua para iterar de nuevo).
BRS02-Diseño de planes de securización.

 Para Analizar riesgos con el objetivo de

o conocer situación - limitar alcance
 princpios de Economía circualr 4.0
 medidas de carácter técnico
o preventivas - reactivas
 A través de
o Políticas
 organizativas - técnicas
o Guías de buenas prácticas y estándares
 ISO - NIST -ENS
 sirven para Proceso de caracterización de procesos y procedimientos

1.- Análisis de riesgos.

1.1.- Fases del análisis.
2.- Principios de la economía circular.
3.- Medidas técnicas de seguridad.
4.- Políticas de securización.
5.- Guías buenas prácticas.
6.- Estándares de securización en sistemas y redes.
7.- Caracterización de procedimientos, instrucciones y recomendaciones.
8.- Niveles, escalado y protocolos de atención a incidencias

1.- Análisis de riesgos.

Para conocer a qué amenazas están sujetos los activos, el primer paso es una evaluación sit.inicial, en
términos de ciberseguridad, de la organización. Esta fase conlleva una serie de actividades:
1.- Conocer la situación actual del sistema/organización
No podremos saber si estamos elevando el nivel de seguridad si no conocemos la situación de partida. Para
ello tendremos en cuenta los siguientes aspecto aspectos esenciales:
 Nivel de madurez de la empresa - Elementos técnicos
 Aspectos organizativos - Cumplimiento o normativa vigente
 Criticidad de la información
Este primer análisis implicar a toda la org. Realizaremos una serie de activ. como entrevistas, cuestionarios,
etc. para recopilar info. xa llevar a cabo el análisis. Necesario contar con apoyo dirección. Posible problemas
de no obtener toda info (intencionada o no) o no contar con apoyo de áreas críticas, como área de TI, etc..
2.- Limitar el alcance
Para poder implementar ciberseguridad efectiva y eficientemente, se ha de limitar el alcance del proyecto
que además ha de ser realista. Definir tamaño de las tareas a realizar y concretar sobre qué áreas o
procesos. Tendremos que realizar identificación de activos objetivos de los controles de seguridad (a nivel
técnico, organizativo y normativo). Una vez determinados los más críticos  comenzar por ellos las tareas
de protección. Un punto partida para determinar qué controles implementar, podría estar basado en el
listado de la norma ISO/IEC 27001. Estos controles han de estar dirigidos por los que se denominan escalas
o modelos de madurez. Ej: basados en CMM (Capability Maturity Model) xa control de copias de seguridad:
 Inexistente: carecen de política de copias de seguridad.
 Inicial: disponen de un sistema, pero nadie las controla ni se planifican.
 Repetible: se lleva a cabo pero sin ningún tipo de normalización, habitualmente bajo demanda.
 Definido: existe un procedimiento claro, pero no está aprobado por la dirección.
 Administrado: existe un procedimiento formal que ha sido aprobado.
 Optimizado: existe proced.formal aprobado y se verifica eficacia periódicamente con indicadores.
1.1.- Fases del análisis.
En paralelo a las cuestiones previas, llevaremos a cabo el análisis para obtener el listado de posibles
amenazas que podrían afectar al sistema. Entre las fases para llevar a cabo esta tarea destacamos:
Fase inicial: reconocimiento
1. Identificación de activos: para identificar las amenazas a las que podrían estar sujetos.
2. Identificación del riesgo intrínseco: resultante de la fase previa y que, nos dará el nivel de riesgo
del activo sin la aplicación de los controles que mejorarán la seguridad.
3. Probabilidad de ocurrencia: estableceremos prob. de materializ. de amenaza sobre el activo y las
consecuencias derivadas. Nivel de Riesgo= Impacto (€) x probabilidad.
4. Riesgos no aceptables: identificamos los riesgos que no son aceptables (pueden afectar muy
negativamente al negocio). El tipo de control a implementar  proporcional al activo a proteger.
5. Riesgo residual: determinar nivel de riesgo a obtener tras la reducción a un valor “aceptable”.
Mitigación de los riesgos
Se establecen los mecanismos y controles que permitirán obtener un nivel de riesgo aceptable y asumible.
1. Implementar controles para su mitigación: La más habitual ante problemas que pueden interferir
en el correcto funcionamiento de los procesos de una organización.
2. Eliminando el riesgo: Si proceso no necesario pero podría poner en peligro otros activos de org.
3. Tercerizar o transferir el riesgo: por ejemplo con un ciberseguro o una póliza de ciberriesgos.

Establecimiento de indic. y verificación del proceso

Establecer cuadros de mando xa medir el correcto
funcionamiento de los controles y verificar que la medida
que se ha implementado es efectiva contra el riesgo que
queremos reducir. El análisis de riesgos es un proceso
continuo y se debe llevar a cabo periódicamente
(tecnologías, Ss e infraestructuras cambian frecuentemente)
 proceso de mejora continua.
Fase 1. Definir el alcance: Ejemplo, “Los servicios y
sistemas del Departamento Informática”.
Fase 2. Identificar los activos:
Fase 3. Identificar / seleccionar las amenazas. Ejemplo, si queremos evaluar el riesgo de destrucción del
servidor de ficheros  considerar averías del servidor, posibilidad de daños por agua, por fuego…Puede ser
útil tomar como punto de partida el catálogo de amenazas que incluye la metodología MAGERIT v3.
Fase 4. Identificar vulnerabilidades y salvaguardas: Estudiar características de nuestros activos para
identificar puntos débiles/vulnerab. Ejemplo, identificar cjto ordenadores/servidores cuyo antivirus está
desactualizado o activos para los que no existe soporte del fabricante. Documentar tb las medidas de
seguridad implantadas (salvaguarda) que contribuyan a reducir riesgo de amenazas. Ejemplo, SAI o grupo
electrógeno. Estas vulnerabilidades y salvaguardas las tendremos en cuenta xa estimar prob. e impacto.
Fase 5. Evaluar el riesgo: En este momento tendremos: Inventario de activos. Conjunto de amenazas a las
que está expuesta cada activo. Conjunto de vulnerabilidades asociadas a cada activo. Conjunto de medidas
de seguridad implantadas.  Calculamos el riesgo para cada par activo-amenaza estimando prob.de
materialización y el impacto que esto produciría. Se puede realizar con criterios cuantitativos/cualitativos.
Ejemplo: tablas para estimar los factores probabilidad e impacto y el calculo del riesgo (cualitativo), el
cuantitativo con fórmula.

Fase 6. Tratar el riesgo

2.- Principios de la economía circular.

El proceso productivo actual, no es sostenible: Usa demasiada mat.prima que luego no es posible reciclar o
reutilizar en un % que garantice niveles sostenibilidad adecuados. La econ circular en la industria 4.0se basa
en un sistema que permita aprovechar los recursos, reduciendo elementos que por su naturaleza no pueden
volver al medio ambiente Principios fundamentales:
 Residuo  recurso. Todo material biodegradable a la naturaleza y el no biodegradable reutiliza.
 Reintroducir en circuito económico pdtos que ya no corresponden a necesidades iniciales de cons.
 Reutilizar residuos o partes de ellos factibles para elaborar nuevos productos.
 Reparar/2ª vida para productos estropeados o defectuosos.
 Reciclar materiales de residuos.
 Aprovechar energéticamente los residuos que no reciclables.
 Eliminar la venta de ciertos productos para implantar sistema alquiler bienes.
 Eliminar los combustibles fósiles para producir el producto, reutilizar y reciclar.
 Considerar impactos medioambientales en el ciclo de vida pdto e integrarlso desde su concepción.
 Método de organiz.industrial caracterizado por gestión optima de stocks y flujos de materiales,
energía y Ss.
En el mundo TI poner fin a obsolescencia programada y diseñar productos sean sostenibles y eficaces en el
tiempo. Además los avances tecn.como IA, Big Data y otras ayudan en mejora procesos.
3.- Medidas técnicas de seguridad.
Para implementar seguridad, además del factor humano, hay que considerar las tecnologías. Cuando
hablamos de ciberseguridad, lo primero visualizamos, es lo relativo a tecnologías y herramientas.
Medida técnica de seguridad “aquella que ha sido diseñada en base a una tecnología/varias, cuyo propósito
es proteger activo/Ss de alguna amenaza/riesgo y que habitualmente ha de proteger las tres dimensiones de
la seguridad de la info: confidencialidad, integridad y disponibilidad”. Grupos fundamentales de medidas:
Preventivas “es mejor prevenir que lamentar”. Describiremos algunos grupos de controles:
 Herramientas antimalware: La solución más básica. Los antivirus que ahora tb disponen de otras
funcionalidades integradas como cortafuegos.
  EDR y XDR: soluciones antimalware más modernas y que disponen de funciones reactivas. EDR
(Endpoint Detection and Response) fue la 1ªgen. de este tipo soluciones, y XDR (Extended Detection
and Response) la 2ª. Ambas usan IA y otras técnicas para prever posibles ataques y patrones.
 Firewalls/cortafuegos: Herram.configurables para permitir/impedir tráfico entre redes según reglas.
 Copias de seguridad: La estrella de las medidas preventivas. Si pdda info permite recuperarla.
 DLP: Data Loss Prevention, cjto herram.que velan para que info no se exfiltre o se envíe sin
autorización (fuga datos). Permiten mantener el control de la info sin perder productividad.
 Verificación de integridad: Permite controlar integridad de los archivos de un sistema. Construye una
BBDD y ante cambios genera una alerta. Habitualmente se usan funciones de hash.
 Conexiones seguras: mantener la confidencialidad de datos que discurren por redes es esencial.
Existen numerosas herram. pero destaca la implement. de VPNs (Virtual Private Networks) y otro tipo
de soluciones de encapsulado. Si atacante intercepta tráfico, en principio no podrá leerlo.
 IDS: (sist. detección de intrusos) Informan ante un comportamiento anómalo en la red o en un host.
 Virtual patching: Cjto de soluciones para sist.de producción soportados por sistemas obsoletos y que
no es posible cambiar.
 SIEMs: (sist. de identif. eventos seguridad), Ayudan a identificar comp.anómalos en una red/host.
Reactivas: Son herramientas que, en caso de identificación o de materializ de un incidente, lleven a cabo
acción xa contenerlo, eliminarlo o corregir la situación. Complementarias de las preventivas.
 EDR (Endpoint Detection & Response) y XDR (Extended Detection & Response): Contienen,
bloquean o eliminan la amenaza detectada usando sistemas de inferencia avanzados y efectivos.
 IPS: IDS con capacidad reactiva, ante evento no autorizado  avisa + acción (ej. bloqueo).
 Plan de contingencia: más que herram, es una política con varias herram./soluciones xa restaurar
activ. con un procedimiento específico. Suelen involucrar herram. copia seg, gestión incidentes, etc.
 Verificación de integridad: además de prevenir, puede llevar a cabo acciones como la restauración
de un archivo en caso de modificación no autorizada o similar.
 Virtual patching: permite bloquear o parar ciertas amenazas que puedan afectar al activo.

4.- Políticas de securización.

Diferencia entre una política y una buena práctica:
 Buena práctica: recomendación que no es de obligado cumplimiento.
 Política: instrucción de obligado cumplimiento  posible amonestar/acción sancionadora.
Las políticas son una herram. que permite implementar ciberseguridad en los procesos del negocio de org.
Podemos distinguir 2 grupos: organizativas (hacen referencia cuestiones relacionadas con comportamiento
por ej, de empleados ante determinadas cuestiones, normalmente no protegibles con medidas técnicas. Ej:
“Está prohibido compartir contraseñas”) y técnicas (medidas que automatizan el control a implementar. Ej:
necesidad de cambiarla contraseña cada “x” meses a través de una directiva en el servidor).
Las políticas se aplican sobre, procesos, personas y tecnologías.  En fn a quién se dirigen, caract.
concretas en el diseño de la propia política. Las políticas deben estar equilibradas y alineadas con el
negocio y con la usabilidad de los sist. La ciberseguridad ha de apoyar al negocio y no al contrario (no
medidas que entorpezcan procesos de negocio).
Organizativas
 Continuidad del negocio: Implementar los controles necesarios para que en caso de desastre, se
recupere actividad del negocio lo más rápido posible.
 Cumplimiento legal: de han de cumplir una serie de leyes. Algunas destacadas son el RGPD o la
LOPDGDD. Esta política se implementa para garantizar el cumplimiento.
 Relación con proveedores: La falta de controles en las transacciones ques e realizan con 3os
colaboradores, podrían provocar un incidente. Esta política vela por que se haga de manera correcta.
 Concienciación y formación: De las + importantes xa que empleados puedan elevar el nivel de
ciberseguridad. Garantiza la existencia de un “firewall humano” que identifique/elimine los incidentes.
 Uso del correo electrónico: Habitualmente se relaciona con permitir sólo el uso corporativo del email.
 Uso de dispositivos corporativos: similar a la anterior, esta política regula las directrices que un
empleado ha de asumir cuando usa un equipo corporativo, sea un PC, portátil o dispositivo móvil.
 Uso de contraseñas: El control se refiere a lo que no puede ser controlado por una política técnica.
No compartir contraseñas, a no apuntarlas en post-it, etc.
 Protección del puesto de trabajo: xa q empleados hagan uso correcto del entorno. Ej: bloqueo de
sesión, no dejar información confidencial a la vista, etc.
Técnicas
 Auditoría de sistemas: medida técnica que permite identificar problemas ante la evolución de las
infraestructuras. Se ejecuta cada cierto tiempo.
 Antimalware: política que obliga a disponer de sol.individual/centraliz para combatir estas amenazas.
 Uso de dispos. móviles y equipos corporativos: a través de diversas directivas técnicas, tiene como
propósito la protección del hardware enumerado.
 Control de acceso: en Ea, empleados no tienen que tener acceso a “todo”  se apuesta por el
paradigma “Zero Trust” estableciendo roles y permisos para garantizar los dominios de seg. info.
 Copias de seguridad: La info.es el activo más importante  está sujeto a amenazas que pueden
afectar a disponibilidad, integridad o confidencialidad. Las políticas de copias de seguridad diseñadas
para hacer frente a estos problemas.
 Gestión de logs: la monitorización de sistemas es esencial para garantizar respuestas ágiles ante
incidentes. Esta política sirve para conocer las alertas posibles y analizar el problema surgido.
 Respuesta a incidentes: Los incidentes van a poder materializarse a pesar del plan director. Este tipo
de política permite diseñar plan de acción y sistema de escalado para mitigar el problema ágilmente.
 Actualizaciones: el “delivery” de actualizaciones puede ser muy complejo en org. Grandes  plan
que impida que atacante se aproveche de vuln. En SO/app. Se diseña el despliegue.
 Borrado seguro: por necesidad o por cumplimiento legal será necesario diseñar un control que
permita a la organización destruir la información con total garantía de no recuperación.
 Teletrabajo: Contendrá las directrices para desempeñar esta modalidad de manera segura. Por
ejemplo, conectarse siempre a través de una VPN, usar 2FA, etc.
5.- Guías buenas prácticas.
Hay documentos elaborados por org. dedicadas a la ciberseguridad, de ámbito nacional como el INCIBE o el
CCN-CERT, o internacional con la ENISA o ECSO, que facilitan guías de buenas prácticas. No son de
obligado cumplimiento pero muy recomendables. Las temáticas son muy diversas, desde el uso seguro de
redes wifi hasta recomendaciones sectores concretos ej: fabricantes de juguetes conectados.
Referencias a listados más interesantes: Guías de ciberseguridad del INCIBE, Guías STIC del CCN, Guías
de la ENISA, Guías de ECSO
6.- Estándares de securización en sistemas y redes.
No son de obligado cumplimieto pero si lo serán para certificarse en dicho estándar de securización para
redes y sist. En el caso de la ciberseguridad los organismos conocidos sonUNE, ISA, NIST, IEC, entre otras.
La implementación de una norma, lleva asociados costes y no todas Ea. pueden asumir. La certif. de un
SGSI tiene revisiones en los que hay que pagar xa mantener la cert., además de cumplir los requisitos.
ISO: A continuación las más relevantes relativas a la Internation Standards Organization:
 ISO/IEC 27000: Gestión de la seguridad de la información (SGSI).
 ISO/IEC 27032: Directrices para la ciberseguridad.
 ISO/IEC 27033: Seguridad de la redes.
 ISO/IEC 27034: Seguridad de las aplicaciones.
 ISO/IEC 27035: Gestión de incidentes de seguridad de TI.
 ISO/IEC 27036: Gestión de la seguridad de la información en relaciones con terceros.
NIST
 Cybersecurity Framework
El ENS es un un marco normativo de aplicación en la Admión Pública de España, en las licitaciones públicas
se exije a contratistas estar certificados en el Esquema Nac.Seguridad.  si una Ea va a ofrecer Ss a
Admón, deberá contar con al menos, las mismas medidas de seguridad que ella.
7.- Caracterización de procedim., instrucciones y recomendaciones.
Se va a proponer un modelo de caracterización (hay muchas + alternativas) con los sig. Elementos:
 Nombre del proceso/procedimiento: gestión de incidentes
 Propietario: jefe de seguridad (CISO). En este caso, será el que tenga la responsabilidad.
 Cliente/destinatario del proceso: usuarios, personal, clientes, etc. El público al que se dirige.
 Objetivo del proceso: gestionar incidentes que lleguen a través de email y procesarlos a través de
RTIR. Se ha de tener en cuenta cuestiones como la idoneidad del objetivo, los indicadores para
medir eficacia y eficiencia y ver cómo satisfacen las necesidades de los destinatarios.
 Elementos de entrada: colas de correo, llamadas telefónicas y formulario web. Se han de indicar
desde dónde llegan los input.
  Elementos de salida: elementos resultantes del proceso como informes, estadísticas, etc.
 Recursos humanos: responsable, tres técnicos de nivel 1 y un técnico de nivel 2.
 Recursos tecnológicos: cola RTIR, máquinas de pruebas, sandboxes y cuadros de mando Kibana.
 Mecanismos de control: informes de seguimiento y tiempo de respuesta.
 Indicadores: incidentes resueltos/día, ½ resolución de incidentes, etc. Lo que no se puede medir, no
se puede mejorar.

8.- Niveles, escalado y protocolos de atención a incidencias

En la gestión de incidentes es necesario llevar a cabo procesos de escalado que se realizan en fn de la
importancia del incidente o del impacto que puede tener. Ej. una infección de un virus fácil de contener, no
será escalado y si se trata de amenaza que puede provocar grandes daños  se eleva al equipo más
preparado para contenerla. No existe un método específico para esta cuestión ya que la tipología de
incidentes varía a medida que las tecnologías evolucionan. Es necesario distinguir:
 Evento: cambio de estado signif. de “algo” en la infraest.TIC. Tb llamado notificación o alerta.
 Evento de seguridad: Evento que genera notificación a raíz de violación de una política de seg.
 Incidente de seguridad: evento/serie eventos de seguridad no deseados/previstos que pueden
poner en riesgo sistemas org. y a la información que almacenan o contienen.
El tipo de incidente variará en fn. de los sist. que afecte, la criticidad de los mismos, la info. que puede
compromenter, etc Para clasificación de incidentes, existe taxonomía en página del CERT de INCIBE.
Una vez clasificado el incidente y su nivel de criticidad  se escala dónde el procedimiento indique donde
se procesa el incidente con las fases de seguimiento y cierre (no significa nesesariam. que resuelto ok).
En el proceso de gestión de incidentes, es necesario obtener indicadores acerca del servicio para
redimensionarlo, para reducir su tiempo de respuesta o para mejorar el servicio.
BRS03. Config.de sist.de control acceso y autentic. personas.
o tienen Mecanismos con principios básicos
 Identificación - Autorización -Autenticación
o basados Factores de autenticación pueden ser
 2FA - MFA

1.- Mecanismos de autenticación.

1.1.- Principios básicos para el control de acceso.
2.- Tipos de factores.

1.- Mecanismos de autenticación.

Los controles de acceso se pueden clasificar en 2 grupos.
controles de acceso físico (puertas, cajas fuertes, etc.) y
controles de acceso lógicos (ej: usuario y contraseña). También existen controles mixtos, ej: puerta
que necesita contraseña o acercar token o tarjeta RFID (RedioFrecuencyIdentification).
1.1.- Principios básicos para el control de acceso.
Identificación: Proceso inicial para acceder a un lugar física/lógicamente. Mecanismo:
Usuario/contraseña: Lo que “Sabemos”. De los más utilizados, hoy en día no suficiente ya que
atacantes sofisticado engaño a usuarios a través de suplantaciones (phishing) y por gran cantidad
de brechas de seguridad existentes. Servicio “Have I been Powned"
Biometría: Lo que “Somos”. A pesar de ser considerado “infalible” en realidad aún le queda para
ser preciso. Algunos elementos utilizados son: huella dactilar, expresiones faciales, voz y el iris.
Tokens, tarjetas físicas y otros dispositivos: Lo que “Tenemos”. Normalmente más para acceso
físico que lógico, pero tb existen tarjetas con chip y un certificado xa acceso a sist. y sist. que usan
los móviles xa identificación o reforzar la seguridad.
Autenticación: Proceso después de identificación donde se comprueba en BBDD/sistema que permite
acceso, si info. facilitada (contraseña, rasgos biométricos, etc.) coincide con la de algún usuario.
Autorización Después de autenticado, se procede a autorizar el acceso al sistema, servicio, tecnología o
instalación física en fn de la segmentación de acceso/roles.
2.- Tipos de factores.
Usar solo un factor xa autenticación, puede suponer riesgo. Cuantos más elementos usemos, más
capas de seguridad xa acceder al servicio. Tipos:
2FA
Utiliza 1 de los 3 factores: “sé”, “soy” y “tengo” y es posible que un 2FA sea un factor que se repite.
La banca tras la entrada en vigor de la última versión de la PCI DSS, los bancos pasaron de
emplear 2FA a MFA (permite más granularidad xa acciones que se lleven a cabo). ej, para acceder
a banca online, usuario y contraseña, para operar, verificar la op. con clave y firmar con otra. La
mayor parte de Ss de Internet, permite la utilización de 2FA a través de diversos métodos como
Google Google Autenticator, FreeOTP o incluso vía SMS.
MFA
Autenticación que permite +2 factores.¿Significa que MFA es más seguro?, aunque se indique que
no necesariamente, a mayor número de capas mayor seguridad, pero también peor usabilidad de
los usuarios para evitar esto existen iniciativas que consideran más elementos como capas de
seguridad (ubic.geográfica, tipo de terminal, etc). Esto se refleja en tecnologías como:
 MFA adaptativo: donde se tienen en cuenta cuestiones como la ubicación.
 SSO o inicio de sesión único: Para darnos de alta podemos vincular la información a una cnt
existente de Gmail, Facebook, etc.
BRS04. Admón credenciales de acceso a sist.
informáticos.
 información sobre gestión de credenciales
o características básicas - riesgos -Soluciones
 mediante
 Infraestructura PKI (usos)
o Firma electrónica - Navegadores, VPN, etc.
 NAC
 precaución con Cuentas privilegiadas
o Cuentas en servidores -Grupos por defecto
o Delegadas
 Otro tipo Sistemas AAA
o RADIUS -TACACS

1.- Gestión de credenciales.

2.- Infraestructura PKI.
3.- Firma Electrónica.
4.- Sistemas NAC.
5.- Gestión de cuentas privilegiadas.
6.- Protocolo RADIuS y TACACS.
1.- Gestión de credenciales.
Para acceder a sistemas y Ss, es necesario disponer de credencial xa
autorización que se puede llevar a cabo a nivel local (para acceder a recurso,
configuración, realizar tareas mantenimiento, etc. se introducen credenciales en el
propio dispositivo); o a través de un acceso remoto (mediante consola, escritorio
remoto u otra tecnología).
Riesgos o problemas comunes en el uso de credenciales
1. Contraseñas “hardcodeadas”:Menos habitual hoy en día, credenciales
no modificables. En el mundo de tecn. de la operación (OT) es posible encontrar dispositivos así. Las
credenciales suelen ser conocidas (en el manual o via Internet).
2. Contraseñas por defecto: Que fabricante dispone, que se deben cambiar y que,.por descuido o
voluntariamente, se dejan.
3. Incremento en el uso de credenciales: Como cada vez hay más tráfico de contraseñas por la red
(autenticaciones), crece el riesgo de intercepción de una de ellas.
4. Compartir contraseñas: Sobre todo en ámbito laboral, se pierde trazabilidad entre otros problemas.
5. Credenciales privilegiadas: Emplear credenciales de administrador en la operación de los servicios
tb impide trazabilidad entre otros problemas.
Características básicas para una correcta gestión de credenciales
 Descubrimiento de credenciales: Disponer de un inventario actualizado de activos protegidos con
contraseña es esencial. Hay apps que permiten inspeccionar la red para descubrimiento de
credenciales mediante la monitorización de equipos  base de datos inicial.
 Modificación periódica de contraseñas: incomoda a usuarios, pero es necesario.
 Segmentación por roles: Para que no se permita a usuarios sin permisos acción no/intencionada.
 Auditoría de accesos: Necesario implementar para garantizar trazabilidad de las acciones de los
usuarios.
 Acceso único o SSO: Puede ser interesante para ofrecer al usuario autorización para gestionar
todos los activos para los que tenga permiso, mostrándole sólo opciones permitidas para el.
Existen apps cciales xa gestión cuentas: Shared Account & Credential Vault / Safeguard for Privileged Passwords
Gestores de credenciales
Existen numerosas alternativas comerciales/gratuitas que almacenan info de nuestras credenciales en 1
BBDD cifrada con algoritmo seguro y con “contraseña/clave maestra” acceder al resto . Caract.comunes:
 Multidispositivo: Acceso a BBDD con apps para diversas plat.(Windows, Android, iOS, etc.)..
 Acceso online y offline: En servicio online (nube) necesitaremos conexión a Internet o exportar
contras. En apps offline (ej: Keepass), copia BBDD xa cada dispositivo.
 Generador de contraseñas: generadores de claves con buenos niveles de seguridad.
 Identificación de debilidad en contraseñas.
 Verificación en dos pasos: Solo gestores en la nube como LastPass.
 Integración con navegadores: casi todos los gestores de claves en la nube de manera nativa con el
navegador o a través de un plugin.
2.- Infraestructura PKI.
“La infraestructura de clave pública (PKI) es un cjto de roles, políticas, hardware, software y
procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar cert.digitales
y administrar el cifrado de clave pública”. (crear infraest.de autoridades certificación, autoridades registro
y certificados, que garantizarán, seguridad en comunicaciones y transacciones certificando que alguien es
quien dice ser), es un sistema de cifrado asimétrico: par de claves (privada y pública). Lo ppal son los
certificados (aportan info. de quién es el dueño del mismo, la autoridad de certificación, la autoridad de
registro del certif –ej:fabrica nacional moneda y timbre-, la clave pública, el algoritmo de cifrado, fecha
caducidad del certif,etc).
La CA (autoridad de certificación) sóla o con otra entidad (Autoridad de Registro), realiza comprobaciones y,
si todo es correcto, genera el certificado para cifrarlo con su clave privada  el que reciba el certificado
sabrá que datos que se muestran en el detalle de ese certificado los ha validado una CA. Los
navegadores/clientes web, correo, etc suelen tener instaladas las claves
públicas de las CA’s + conocidas x lo que validan el certificado automatic. Si el
certificado es autofirmado  advertencia “sitio no es seguro” y en la de URL, un
candado tachado (en vez de verde) y las letras “https” tachadas

Usos de la infraestructura PKI

 Firma digital de documentos: permite trazar ops, ganar en agilidad y aumentar la seguridad.
 Cifrado datos: cualquiera con certif.válido, podrá cifrar cualquier doc. y transmitirlo con seguridad.
 Gestión de credenciales e implementación de sistemas SSO: eliminando necesidad de recordar
usuarios y contraseñas como hemos visto en puntos previos.
 Operar con otras instituciones de manera segura: ej:Ss digitales de Admón (Ptos carnet, etc)

3.- Firma Electrónica.

Consiste en un concepto legal xa dar fe de la voluntad del firmante. Es un conjunto de datos vinculados a un
documento que identifica autor y garantiza integridad. Se usan en muchas apps móviles sobre todo de
carácter financiero, en operación como transferencia, app solicita la acción de firma de diferentes maneras:
 Con contraseñas: clave que hemos concretado con el banco.
 Con datos biom: ej: huella. (huella no se envía al bancomovil compruba y envía clave al banco).
 Claves criptográficas de carácter privado: la validez de la firma en fn de acuerdos con la entidad.

4.- Sistemas NAC.

Sistema NAC (Network Access Control) permite controlar qué dispositivos acceden a una red o segmento de
esta empleando políticas y directivas de seguridad para la gestión de dispositivos (fijos, móviles, de 3os o
BYOD -Bring Your Own Device-). Lo usan empresas de tamaño medio y con dependencia tecnológica
media/alta.
Implementación NAC. NAC es + que un red virtual. Casos de uso:
1. NAC para IoT: Muchos fabricantes no integran seguridad desde el diseño  activos que podría
poner en riesgo a resto org. Con NAC sobre estos dispositivos limitaríamos la exposición.
2. NAC para BYOD: simil a anterior, dispositivos no amparados/revisados por las políticas generales,
con NAC se limita alcance de ops de estos elementos ofreciendo mayor seguridad a la empresa.
3. NAC para terceros o visitas: simil anterior, pero más restrictiva, permitiendo conectarse a red Cia,
pero de manera segregada por ejemplo con respecto a los empleados.
4. NAC para OT: las redes industriales en ocasiones son críticas. NAC permite diferenciar redes y
aplicar políticas para cada una de ellas.
Soluciones OpenSource
Comerciales: numerosas soluciones de prov.tecnologías de red como Cisco, HP, FortiGate, etc. y de
acceso gratuito (- funcionaildad/facilidad uso y config) como: FreeNAC, PacketFence.
5.- Gestión de cuentas privilegiadas.
Usar credenciales de administrador de forma habitual en teras que no requieren dicho privilegio es una
práctica común y peligrosa, algunas veces involuntaria, por desconocimiento o por gestión ineficiente. Hay
que ir siempre de máxima restricción (mínimo impacto en seguridad) a la restricción justa y necesaria
cuando sea necesario.
Cuentas de usuario en servidores
Usuarios, ordenadores y Ss suelen cambiar pero roles de servidores y reglas
de seguridad son más estables y normalmente varios usuarios gestionan esos
roles a lo largo del tiempo  no es sensato administrar la red mediante
derechos y permisos individuales.  lógico crear grupos de usuarios con
permisos definidos y diferenciados y para ello importante conocer el
funcionamiento de los grupos para identificar los roles, filtrar directivas y
asignar políticas de contraseñas únicas y para administrar dchos y permisos.
Cada usuario su propia cuenta (salvo excepciones) y su propia contraseña (con
características mínimas de complejidad definidas en políticas). Los atributos de
las cuentas de usuario juegan un papel muy importante, son responsables de
una gestión segura y eficiente de los usuarios. Entre ellos destacan:
 Inicio de sesión en franja horaria: limitando tiempos de operacion.
 Iniciar sesión en: opción para logarse en algunos equipos,
 La cuenta expira en: útil para cuentas temporales.
 El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
 La contraseña nunca caduca: Solo xa contraseñas relativas a servicio.
 El usuario no puede cambiar la contraseña: usado en cuentas de servicio.
 Almacenar contraseña usando cifrado reversible: no recomendable activar esta opción
 La cuenta es confiable para delegación: xa delegar algúna fn a esa cuenta ej: operador cop. seg.
Grupos por defecto
Las cuentas de usuario deben organizarse en grupos, hay dos tipos de grupos:
 De distribución: no tienen identificador, no se les puede dar permisos, solo con apps de correo.
 De seguridad: tienen identificador y se le puede dar permisos.
Estos grupos definen derechos y permisos de cada usuario xa mejor gestión y organización clara en cuanto
a permisos de acceso/recursos compartidos. En servidores suelen existir grupos por defecto con permisos y
derechos predefinidos, están protegidos por defecto y no eliminar/modificar.
Administración delegada
La administración delegada pretende evitar el acceso de un “superusuario” o usuario con privilegios totales a
todas las áreas del sistema, acota las personas que pueden acceder a ciertas características y al mismo
tiempo, reparte tareas de admón. Requiere una organización bien estudiada.
El diseño de 1 BBDD usuarios consistente debe usar la jerarquía dentro de la organización: quien, como y
donde puede acceder a info. La jerarquía informa de las posibilidades de delegación.
También se pueden delegar determinadas tareas especificas a otros usuarios usando los permisos,
pudiendo hablar de permisos de distinta granularidad según su concreción y especificidad.
Protección del acceso con privilegios
La seguridad de los recursos empresariales depende de la integridad de las cuentas con privilegios ya que
son el foco principal de los ciberdelincuentes, xq permite acceso a datos y sistemas rápidamente robando
las credenciales (técnicas: “pass the hash” o “pass the ticket” que usan técnicas de phishing e ingeniería
social), accediendo a recursos compartidos y elevando los privilegios del usuario  robar otros activos o
acceder a maquinas y configuraciones robando credenciales de toda la organización.
Reducción de privilegios y consecuencias de una gestión ineficaz
Debemos centrarnos en proteger 1º cuentas cuyo privilegio crea el mayor riesgo, normalmente las
integradas en BBD por defecto y usadas por administradores, las cuentas locales con privilegios en estac.
Trabajo o grupos usuarios con privilegios críticos. Los ataques frecuente en hosts individuales  proteger
cuentas de admin.local de cada equipo (deshabilitadas por defecto pero si habilitadas se pueden usar para
propagar compromisos de seguridad entre los servidores y equipos). Nunca usar credenciales de admin
local para iniciar sesión en equipos locales o en servidores asociados (solo para solucionar incidencias
sistema en arranque modo seguro), tb útil cambiar el nombre de la cuenta.
Algunos de los riesgos o problemas de no llevar a cabo una gestión de credenciales adecuadas serían
 Robo de credenciales:.
 Propagación de Ramsomwares y secuestros de info: con técnicas como “pass the hashTticket.
 Robo de datos personales: u otro tipo de información accesible en el activo.
 Eliminación accidental o no de información: sin trazabilidad del usuario.
 Desestabilización de la red o infraestructura: x configurar opciones que el usuario no domina.

6.- Protocolo RADIuS y TACACS.

Protocolos de la familia AAA (authentication, authorization y accounting), que facilitan acceso a redes, del
como NAC pero de manera remota. Estos protocolos se desarrollaron inicialmente para uso a través de
módems y hoy con las tecnologías existentes. Entre los protocolos más utilizados destacan:
 RADIUS: protocolo creado para autorizar el acceso a las redes a través de módems.
 DIAMETER: evolución del protocolo RADIUS.
 TACACS y TACAS+: (Terminal Access Controller) se trata de protocolos propietarios de CISCO
 EAP: protocolo utilizado para habilitar el acceso en redes de tipo Wireless.
 LDAP: protocolo utilizado para acceder a servicios de directorio en un entorno de red.

RADIUS
1991, acrónimo de Remote Autentication Dial-In User
Service. Se utiliza para ofrecer acceso a red a un
cliente previa autenticación de este. Ej: la red wifi de un
aeropuerto/hoteles…, para disfrutar del acceso wifi, 1º
registrarse para recibir credenciales de acceso.
Elementos para implementar esta arquitectura:
 Cliente: quien trate de conectarse a la red a
través del Servicio NAS.
 Servicio NAS (Network Access Server):
servidor intermedio que actua como un cliente de RADIUS y facilita común. Cliente-servidor RADIUS.
 Servidor RADIUS: será el servicio que permitirá el acceso a la red.
El servidor RADIUS 1º recibe petición del cliente, lleva a cabo autenticación con datos recibidos entregando
posteriormente info. necesaria para que el cliente pueda acceder al servicio.
Problemas de seguridad en RADIUS
Este protocolo fue creado sin cuestiones relacionadas con seguridad que más tarde serían necesarias:
 Comunicación con protocolo UDP  permite a atacante suplantar dir.IP o falsearlas.
 Información de peticiones del protocolo no cifrada salvo contraseñas  acceso info. intercambiada.
 Para el cifrado de hash, usa el algoritmo MD5 vulnerable a ataques de colisión.
Evolución de RADIUS
Para corregir problemas iniciales de RADIUS  protocolo DIAMETER con notables mejoras:
 Protocolos de transportes fiables como TCP o SCTP.
 Usa seguridad a nivel de transporte encapsulando tráfico  evitando que se pueda inspeccionar.
 Compatibilidad transicional con RADIUS.
 Pueden usarse modelos con y sin estado.
 Tiene notificación de errores xa depuración del servicio.
 Mejor compatibilidad con roaming, ideal para cuestiones relacionadas con movilidad.
TACACS
Protocolo similar a RADIUS pero xa tecnología CISCO.
BRS05. Diseño de redes seguras.
 Wifi Conceptos
o Cobertura y canles - SSID BSS y ESS
o Vulnerabilidades: .- wep .- WPA .- WPS
o Modos y frames
 Previenen Soluciones DLP
o Protege Fugas de información
 Facilitan VPN que pueden ser:
o red/cliente - Red/red
 pueden ser monitorizadas IDS/IPS que tiene:
o Problemáticas: métodos evasión .- De Host .- De Red

1.- Seguridad en redes inalámbricas.

1.1.- Conceptos básicos.
1.2.- Debilidades en las redes wifi.
1.3.- Vulnerabilidades en protocolos wifi.
1.4.- Ataques a redes wifi.
2.- Soluciones DLP.
3.- Redes Privadas virtuales y túneles.
4.- Herramientas de monitorización.
4.1.- Tecnologías.

1.- Seguridad en redes inalámbricas.

Las redes han ido creciendo a lo alrgo del tiempo siguiendo criterios de
necesidad, y no mediante un estudio completo de la red. Ahora toca arreglar
esos problemas, creando/reformando arquitecturas de red xa que sean
seguras, dimensionadas y escalables para cada sist.de control
En conexiones inalámbricas el canal por el que se transmite info, es
accesible a todos. Cualquiera será capaz de conectarse o inspeccionar la
info. de una red wifi/bluetooth.
1.1.- Conceptos básicos.
Cobertura, canales y SSID
Existe limitación del radio de cobertura (en interiores aprox 20 m y + al aire
libre >100m si condiciones lo permiten). La potencia de la señal se mide en
mili vatios (A+ potencia, + alcance). El receptor o antena también influye
en la cobertura (podemos usar antenas alimentadas eléctric. para ganar
varios km cobertura). La banda de 2,4 Ghz da + cobertura pero menos
velocidad (que 5Ghz). Los ptos acceso transmiten la señal Wifi a través
de diferentes canales para mejor transmisión evitando contaminación de
otras señales en la misma banda. El SSID (Service Set Identifier) es el
nombre de la red wifi. Los ptos acceso (routers) “anuncian” su red
continuamente, permitiendo a clientes listar redes disponibles. Hay tb
redes “ocultas” que no anuncian de forma activa su SSID (no es una
medida de protección aunque antes así se pensara).
BSS
O Basic Service Set, se trata de la configuración normal/habitual. Un
pto de acceso al que se conectan varios clientes. Están formadas por:
 El SSID: visto en el punto previo.
 El BSSID: O Basic SSID que es la MAC, o dirección física del
pto acceso (AP).
ESS
Extended Service Set: es la config. que
contempla + de 1 pto acceso para la
conexión. Existirá el ESSID (Extended
SSID), simil al SSID pero que puede
haber varios ptos de acceso con <>
SSID. Se despliegan en ciudades,
universidades, aeropuertos, y empresas
con gran extensión.
Modos
 Infraestructura: El modo más común. La generan los propios router wifi o ptos acceso. Es la que
podemos encontrar en los hogares, empresas y ciudades.
 Ad-hoc: o "peer-to-peer". No requieren pto de acceso centralizado. Los dispositivos de la red
inalámbrica se conectan directamente entre sí.
Frames
1. Management frames: (paquetes de gestión), Son responsables de mantener la comunicación entre
el pto acceso y el cliente asociado a él. Alguno de sus subtipos:
o Beacon frame - ATIM frame - Probe response
o Probe request - Disassociation frame - Association Request frame
o Association Response frame
2. Control frames: (paquetes de control), son responsables del intercambio adecuado de info (Data)
entre pto acceso y clientes asociados. Tiene varios subtipos:
o CTS: Clear to Send - RTS: Request to Send - ACK: Acknowledgement frame
3. Data frames: paquetes con info. Los más importantes xa tratarde descifrar la contraseña encriptada,
ya que dichos paquetes contienen toda la información que se envía a través de nuestra red wifi.
Tanto xa auditoría como xa ataque a red, hay que centrarse en los beacon frames, los probe request y los
probe response. A través del análisis de estos paquetes se podrá obtener información como:
 SSID - Tipo de cifrado- - Canal - MAC - Info.del fabricante
1.2.- Debilidades en las redes wifi.
En infraestructura cableada, acceder a la red requiere acceso físico (mediante cable Ethernet RJ-45)
impidiendo acceso a no autorizados. Con aparición redes inalámbricas  necesidad de proteger accesos no
autorizados. Cuando se adquiere router wifi o pto acceso normalm. está sin cifrado (o con config.por
defecto) y sin control de acceso a la red  totalmente inseguro. Debemos implementar tanto el cifrado como
el control de acceso a la red inalámbrica xq cualquier usuario que se pueda conectar podría espiar el tráfico.
Desde inicios, de las medidas más interesantes xa seguridad en una wifi, era el filtrado por MAC. Hoy
recomendable pero ineficaz xq posible evadirlo modificando MAC desde un SO Linux con app macchanger.
1.3.- Vuln.en protocolos wifi.
Si comunicación en claro, cualquiera puede
interceptar la comunicación y sin ser siquiera
detectado. Los protocolos de cifrado existentes son:
WEP (Wired Equivalent Privacy)
El objetivo es proporcionar seguridad equivalente a
la de red cableada mediante una contraseña. El sist-
WEP no protege de escuchas de tráfico (sniffing) por
usuarios ya conectados (ídem a red cableada).
Hoy en día, el cifrado WEP no se considera seguro
(ataques sencillos que permiten obtener la clave
rápidamente sin emplear fuerza bruta basta con
conseguir una cantidad suficiente de paquetes para obtener la contraseña).
WPA, WPA2 y WPA3 (Wi-Fi Protected Access)
Usa un vector de inicialización de 48 bits y clave de cifrado de 128 bits. Usa el Protocolo de integridad de
clave temporal (TKIP). WEP usa misma clave para cifrar todos los paquetes  WPA con TKIP, cambia la
clave de cifrado en cada paquete. WPA2 es la versión certificada del estándar de la IEEE de WPA con
algunas actualizaciones como el uso de cifrado AES.
TKIP (“Protocolo de integridad de clave temporal”) y AES (Advanced Encryption Standard) son 2 tipos
diferentes de cifrado utilizables en una red WiFi. TKIP fue introducido con WPA para reemplazar cifrado
WEP, aunque es muy similar a WEP. AES mucho más seguro introducido con WPA2 (no sólo xa redes Wifi)
aunque vulnerable a ataque de fuerza bruta usando diccionario sobre el paquetes 4wayHandshake usar
contra. muy segura. El “PSK”, en ambos casos, significa “llave pre-compartida” o frase de cifrado (WPA-
Enterprise utiliza servidor RADIUS en su lugar, y crea claves aleatoria únicas).
WPS
Los routers inalámbricos han evolucionado xa hacernos la vida más cómoda e incorporan funcionalidad
llamada WPS o WiFi Protected Setup  mecanismo para facilitar conexión de dispositivos a nuestra WiFi.
con varios métodos pero el más extendido es el intercambio de PIN. Si el router habilitado WPS,
simplemente le enviamos PIN de 8 dígitos para que router permita acceso el tiempo que atacante necesita
para averiguar PIN de 8 dígitos es mucho menor que para averiguar la contraseña WPA2/3 de la red.
Apps como reaver pueden llevar a cabo ataques contra este tipo de Ss aunque muchos router cuentan con
medidas de protección para evitarlo.
1.4.- Ataques a redes wifi.
 Man in The Middle: Un usuario autorizado en la red
capturar el tráfico si no va cifrado. Derivados de este
tipo ataque, se pueden suplantar MAC, suplantación
de servidor DHCP y un largo etcétera.
 Falsificación puntos de acceso: Suplantar router.
 Denegaciones de servicio: Sencillo si pto acceso
no tiene funcionalidades contra este tipo ataques.
 Deautenticación de usuarios: Usuarios conectados
a router wifi, son desconectados por atacante.
2.- Soluciones DLP.
“Un DLP (prevención de pdda datos) es el cjto de herram. y
procesos usados para garantizar que datos confidenciales
de Ea no se pierdan, se utilicen de forma inapropiada o se
accedan x usuarios no autorizados”. La info. es uno de los activos más importantes de Cias x lo que su pdda
o filtración es.uno de sus mayores riesgos. Muchas compañías clasifican info. en fn de importancia
(criticidad e impacto ante la pérdida) gralmente mediante el marcaje de docs con niveles de clasificación con
herram. Otra herramienta posible es el IRM (Information Resource Manag) donde info se gestiona en base a
destinatarios, T.vida o cuándo debe ser destruida y se puede complementar con vigilancia basada en
comportamientos de usuarios en fn de los movimientos que realizan:
 Descargas masivas de documentos
 Permisos sobre nuevas carpetas
 Falta de recertificación de permisos en las carpetas.
Estas herramientas están basadas en la necesidad de conocer de los usuarios, revisión de permisos sobre
la información (recertificación), mínimo privilegio, control y vigilancia. La difusión del perímetro a Ss cloud y
dispositivos BYOD ha incrementado estos riesgos.
La pdda de info puede llegar a  delitos penales o sanciones. La prevención de fugas posible con herram.
como un DLP o en base a serie de políticas seguridad (q sin ayuda de tecnología podría ser insuficiente).
Ventajas de un DLP
Este tipo de soluciones cuenta con caract. que les hacen ideales para proteger los datos entre otras cosas:
 Identificación de amenazas tanto internas como externas: Actúa en ocasiones como solución
antimalware en compañía de cortafuegos. A través de config. directivas y políticas se parametrizan
estas herramientas para evitar tráfico no esperado o la exfiltración de información no autorizada.
 Se alinea con el cumplimiento normativo: Las org.están sujetas a cumplir leyes relacionadas con
prot.datos. Estas herramientas facilitan dicha labor x mecanismos de protección xa asegurar datos.
 Segregación de roles para evitar el envío de información: un DLP no permitirá transferencia de
determinados tipos de archivos sin autorización pertinente a través de de credenciales o sistemas
que garanticen la autorización.
Habitualmente son soluciones comerciales aunque es posible encontrar Open Source (no toda funcionalidad
pero válidas para determinado tipo de Eas). Listado: https://heimdalsecurity.com/blog/open-source-paid-
data-loss-prevention-dlp-solutions/
3.- Redes Privadas virtuales y túneles.
Para obtener seguridad en conexiones de Internet (canal inseguro) surgen
soluciones xa usar un canal inseguro para establecer un canal seguro por el
mismo. Surgen conceptos de túneles y/o VPNs.
Qué es una VPN y para qué sirve
Es la implementación de una red privada y segura sobre red pública y no
segura que es Internet proporcionando o construyendo un túnel IP cifrado
y/o encapsulado a través de la Red. El tipo de encapsulado ha de estar
permitido en la red pública. Los paquetes de la red privada no accesibles
por terceros salvo vulnerabilidad o problema con certificado.
Una vez que se establece conexión con Ss de VPN, el direcc. IP será
independiente del de la red pública, pasando a formar parte del
direccionamiento privado de la organización (usado gralm. Xa permitir acceso a red interna a empleados
itinerantes). Los clientes que se conectan pasan a ser un equipo más de la red corporativa/interna. Suele
hacerse con encriptación con IPSec o protocolo más evolucionado.
Son más seguras que una extranet convencional y permite conectar delegaciones o sedes de Ea, simulando
red local transparente y económica, permitiendo acceso a clientes, socios y consultores a recursos de la red.
Actualm. también VPN xa saltarse restric.geográficas para el acceso a Ss no disponibles en nuestro país.
Tipos o modos de enlace
2 modos para establecimiento de las conexiones vía VPN:
 Enlace Cliente - Red: El cliente se conecta en remoto a LAN.
Usa PPP para establecer conexión entre cliente y LAN.
 Enlace Red – Red: Se encapsula directam. el tráfico de red
local. Nos ahorramos el paso PPP.
Aspectos técnicos (tunneling)
Tunneling consiste en encapsular un protocolo de red sobre otro
(prot.red encapsulador) creando un túnel dentro de una red. Se
implementa incluyendo un PDU (Ud datos de protocolo) dentro de otra
PDU xa transmitirla de un extremo al otro del túnel sin que sea necesaria
interpretación intermedia de la PDU encapsulada (los paquetes de datos
se transportan sobre Internet y nadie salvo emisor y receptor pueden
ver en claro su contenido). El túnel se define por los ptos extremos y el
prot. Comunic. empleado (SSH, IPSec, etc.).
Se añade cabecera IP adicional al paquete original que circula x
Internet hasta el router destino donde es eliminada. El router que
permite accesos vía tunel se denomina servidor de túneles.
IPSec
A nivel técnico, los protoc. de IPsec actúan en capa de red (capa 3
OSI). Otros prot.seguridad para Internet como SSL, TLS y SSH operan
en capa de transporte (capas OSI 4 a 7) hacia arriba  IPsec es más
flexible xq puede ser usado para proteger protoc. de capa 4, incluyendo
TCP y UDP (los más usados). Para que app pueda usar IPsec no hay
que hacer cambios, mientras que para usar SSL y otros de niveles superiores, las apps necesitan
modificaciones sobre su implementación.
IPSec es bastante flexible xq permite seleccionar protoc. seguridad, algoritmos a usar y las claves para
estos Ss. Algunos de los servicios de seguridad que proporciona:
 Control de acceso: incluso mediante infraestructura PKI.
 Integridad: a través del control del flujo de las transmisiones.
 Autentificación del origen de los datos
 Confidencialidad: mediante el encapsulado.
Ventajas VPN
 Ahorro en costes: al emplear Internet, las conexiones privadas muy económicas.
 No se compromete la seguridad de la red empresarial: comunicación por canal privado.
 El cliente remoto adquiere la condición de miembro de la red corporativa con todas las medidas
de seguridad que conlleva: permisos, directivas de seguridad, políticas, etc.
  El cliente tiene acceso a todos los recursos ofrecidos en la red corporativa incluyendo servicios
como impresoras, correo electrónico, base de datos, etc.
 Acceso desde cualquier punto del mundo si se tiene acceso a una conexión a Internet.
Inconvenientes VPN
 No se garantiza disponibilidad. Si no tenemos conexión a internet no dispondremos del canal.
 No se garantiza el caudal y estaremos sujetos a la velocidad que provea el ISP.
 Gestión de claves de acceso y autenticación delicada y laboriosa.
 La fiabilidad es menor que en una línea dedicada al depender del ISP.
 Mayor carga en el cliente VPN x trabajo extra de encapsular y cifrar el tráfico.
 Mayor complejidad en la config.del cliente para confluencia de Ss como proxy, serv.correo, etc.
 Una VPN se considera segura pero no viajamos por Internet con las amenazas sujetas a este tipo
de canal y también el compromiso de los certificados podría comprometer a la organización.
4.- Herramientas de monitorización.
Tanto IDS como IPS son piezas claves en la atención e
investigación de incidentes de seguridad y solución para
la prevención de determinado tipo de amenazas.
Aunque no son solución general, son una pieza más.
IDS Sist.Detección de Intrusiones monitorizan tráfico
entrante y revisan reglas asociadas a ataques en su
BBDD  si detectan comportamiento sospechoso,
lanzan alerta a operadores del Ss. Los IDS comerciales
cuentan con BBDD y reglas más completas que los
open source. Comportamiento reactivo, no mitigan la
intrusión, simplemente informan de ella.
IPS: Similar a IDS pero con carácter preventivo. Si
incidente trata de afectar a un sist. y es detectado,
además de informar  acción para contenerlo y si
posible, mitigarlo. Analizan en tiempo real tráfico de red
xa identificar anomalías, comportamientos extraños, etc.
x cotejo con reglas de BBDD interactuar con
amenaza bloqueando conexión, descartando paquetes,
cerrando puertos, etc. Casi todas soluciones tienen
funcionalidad de IPS y además se combinan con apps
tipo UTM Unified Threat Man (Gestión Unif.Amenazas)
4.1.- Tecnologías.
Ambas soluciones se pueden implementar en diferentes tipos de activos. De esta manera podemos
encontrar
1. Basados en Red (o Network IDS/IPS): Monitorizan actividad de un segmento de red.
2. B. en Host (Host IDS/IPS) Monitorizan actividad/comport. de un host (servidor o puesto trabajo)
3. Híbridos Son IDS/IPS basados en host con capacidades de detectar eventos en la red.
Network IDS/IPS NIPS/NIDS
Al estar desplegadas en un segmento de red pueden proteger varios sistemas al mismo tiempo. “Escuchan”
el tráfico en la red (sin alterarlo) –IDS-,pero ante evento no contemplado o alerta, llevará a cabo una acción
de contención (IPS). Los IDS/IPS de red pueden interpretar todas las opciones e info. que pudiera llevar un
paquete TCP, UDP o ICMP y de otros tipos. Pueden detectar intentos repetidos de un evento (portscan, uso
de herram.conocidas, etc.) y pueden colocarse en modo “invisible/monitor” con interfaz que solo escucha.
Qué pueden detectar
 Paquetes con piezas de código o payload maliciosos.
 Sesiones no permitidas (intentos de ftp, telnet, etc.)
 Secuencia de paquetes que sigue un tipo de ataque conocido.
Inconvenientes
Requiere configuración especial en switches o la electrónica de red para que el equipo donde está instalado
el IDS/IPS pueda escuchar el tráfico de todo un segmento. Esto supone:
 Requieren una configuración inicial y parametrización que puede ser más o menos compleja.
 Pueden tener muchos “falsos positivos” y “falsos negativos”.
 Su funcionamiento es inútil en conexiones cifradas (SSL, VPN, SSH).
Host IDS/IPS (HIDS/HIPS)
Se instala directamente en servidores que soportan apps específicas (BBDD, www, DNS, etc.) o puestos
críticos como los usados para admón sistemas. Además de detectar ataques locales, también pueden
detectar anomalías en la red.
Inconvenientes: Al formar parte del SO, consumen recursos y en ocasiones pueden interferir con otras apps
o Ss. Para que funcionen ok necesario que registro de logs esté habilitado  gran nivel de detalle de
auditoría para investigación de los incidentes.
Ante evento, permiten reconfiguración dinámica del sist.para contenerlo o bloquearlo. Tipos respuesta:
 Suspensión o bloqueo de cuentas de usuario - Bloqueo del ataque
 Registro de eventos para análisis posterior - Notificación de eventos (alarma, e-mail)
 Ejecución de scripts
Otros problemas y conclusiones
Problemas relacionados con la propia solución como:
· Si vamos a disponer de varios IDS/IPS, la administración de eventos se vuelve compleja,
· Problema de espacio de Tentre aparición de ataque nuevo y la aparición de la firma para el IDS/IPS.
· Existencia de falsos Positivos/falsos negativos. Los 1º  tarea extra de parametrización y afinado,
los 2º  problema grave, la solución detecta amenazas reales.
Métodos de evasión: Además hay q añadir que se crean métodos xa evitar ser detectados:
 Ataques de inserción:
o Mediante la inyección de paquetes especialmente manipulados.
o Disminuir el tamaño de paquetes para pasar desapercibidos.
o Ocultar verdadera información a través de “covert channels”.
 Evasión:
o Fragmentación de los paquetes para que estos no sean inspeccionados.
o Spoofing o falsificación para hacer creer a los IDS/IPS que se trata de paquetes legítimos
o Modificación de la secuencia y/o payload de paquetes de un ataque conocido para que la
regla no sea capaz de detectarlo.
 Denegación de servicio (DoS):
o Ataques falsos a HIDS para que deshabiliten cuentas y servicios de manera automática.
o Ataques a gran escala para llenar bases de datos con registros de log.
o Ataques para provocar sobrecarga y que dejen de actuar. Es posible configurar para que en
caso de mal funcionamiento, se desconecten aunque puede ser una opción arriesgada.
BRS06. Configuración de dispositivos y sist. informát I.
1.- Seguridad perimetral. Firewalls de próxima generación.
1.1.- Seguridad perimetral.
1.2.- Generación de Firewalls.
1.3.- Firewalls de próxima generación.
2.- Seguridad de Portales y aplicativos web. Soluciones WAF (Web Application Firewall)
2.1.- Desarrollo e instalación.
2.2.- Mantenimiento.
2.3.- Medidas de seguridad sobre servicios web.
2.4.- WAF.
3.- Segmentación de redes.
4.- Subnetting.
5.- Redes Virtuales (VLANS).
6.- DMZ.
7.- Seguridad en entornos Cloud. Soluciones CASB.
1.- Seguridad perimetral. Firewalls de próxima generación.
Un firewall es un dispositivo de seguridad de protección (software o hardware) y cuya función es controlar el
tráfico de la red en base a un conjunto de reglas. Es útil recordar el contenido de un paquete IP y un
segmento TCP. De estos paquetes sólo interesan los campos:
IP: Protocol, Source Address, Destination Address
TCP: Source Port Number, Destination Port Number

La IANA
dispone de
un registro
de número
de puertos, protocolos y servicios asociados.

1.1.- Seguridad perimetral.

Los Firewall son uno de los elementos principales en la seguridad perimetral y uno de los dispositivos de
seguridad más importantes de la red  una de las principales líneas de defensa para tener el control de
los flujos de info al proteger, controlar y monitorizar el acceso a otras redes (internas o Internet) xa impedir
accesos no autorizados. La red interna se debe separar del exterior mediante un cortafuegos que sólo
dejará transitar los flujos autorizados previamente definidos.
Los administradores de seguridad del firewall tienen que configurar el dispositivo para permitir o denegar la
entrada o salida de información red en función de numerosos factores, como:
 ¿De dónde viene el tráfico?. - ¿Hacia dónde va el tráfico?.
 ¿En qué puerto es el tráfico? - ¿Qué protocolo está utilizando el tráfico?
Para esto, los firewall inspeccionan los paquetes para tomar una decisión.
1.2.- Generación de Firewalls.
La 1ª gen. de firewall tenía la funcionalidad de inspeccionar los paquetes, cotejándolo contra una serie de
reglas y tomando la acción de permitir o denegar el paso del paquete. Trabajan en las capas 3 y 4 del
modelo OSI (Red y Transporte). Excelentes ante grandes cantidades de tráfico de varios hosts (como un
ataque de DoS). El filtrado se produce en base a:
 Direcciones IP - Protocolo - ToS (Tipo de Servicio)
 Puerto TCP o UDP (Capa 4) - Flags TCP (SYN, ACK, FIN…),…
Limitaciones:
 Si núm. reglas muy elevado  costoso crear y mantenerlas sin un procedimiento.
 No protegen de ataques de capa de aplicación (XSS en HTTP por ejemplo)
 Son susceptibles a algunos ataques de capa TCP/IP (TCP SYN floods o IP Spoofing)
 Capacidades de información (logs) limitadas, sólo información sobre las capas 3 y 4.
Son estáticos (stateless): usan el cjto de con cada paquete de manera individual. (ej, se puede denegar un
paquete específico enviado por un dispositivo pero no significa que el dispositivo esté bloqueado). La última
regla define la acción a tomar sobre este  necesario definir una regla de denegación final.
La 2ªgen. de firewall está basado en estado (stateful) y añaden la
capacidad de analizar la info. de las conversaciones en lugar de un
paquete individual, recordando puertos usados en capa 4 para permitir
analizar el intercambio de paquetes (Stateful Inspection). Usan toda la
info. de una conexión y si la conexión del host es mala, bloquea todo el
dispositivo. limitaciones:
 mayor complejidad de configuración.
 No protegen de ataques de capa de aplicación.
 No soportan el análisis de conexiones cifradas.
 Ralentizan la red  análisis paquetes en base a la tabla estados.
 Tiene limitaciones con aplicaciones multimedia.
 susceptibles ataque DoS por limite en tamaño de tabla estado.
En los firewall de 3ª gen. hay nuevas funcionalidades que permite darle
un mayor control de las comunic. a las distintas capas de los protocolos
de red y a tecnologías de inspección de paquete (DPI) para permitir o
denegar el tráfico. Son capaces de entender elementos de la capa de
aplicación (FTP o HTTP…) permitiendo detectar aplicaciones usando puertos
no comunes (SSL over DNS). También permitir iniciar sesión a los usuarios
antes de realizar la conexión portal cautivo. Tipos de Firewall de 3º gen:
 Connection Gateway Firewall (CGF): las comunicaciones se asocian
a una cuenta que necesita autenticación, se aplican las reglas en base
a las capas de aplicación, sesión, transporte y red y se monitoriza la
conexión con un alto nivel de detalle.
 Cut-Through Proxy Firewalls (CTPF): O cortafuegos de aplic.(AF).
Hacen de intermediarios entre cliente y Ss final de las apps para dotar
al firewall de capacidad de análisis de la info.de la capa de aplicación. Específicos por aplicación por
lo que no funcionan de manera genérica para todos los protocolos.
1.3.- Firewalls de próxima generación (NGFW).
Ofrecen > nivel de protección que cortafuegos originales ya que inspeccionan todas las capas del modelo
OSI. Están aglutinando las capacidades de otros dispositivos de seguridad como IPS, IDS o WAF. Existe
la posibilidad de incluir en estos dispositivos info. relativa a la inteligencia de amenazas o IOCs: dominios,
IPs,.. lo que que permite trabajar a estos dispositivos con una mayor eficiencia. Nuevas soluciones a través
de tecnologías Big Data e IA permiten detectar de una manera más temprana los nuevos mecanismos de
ataque, ya que muchos de los indicadores van cambiando rápidamente.
También existen firewall de proveedores como Ss en cloud Firewall (FWaaS). Suelen ser de tipo NGFW . Un
ejemplo es AWS WAF para la protección de aplicaciones web y AWS Shield para la protección DDoS.
Existen procedimientos operativos de seguridad (POS) para que la gestión/administración del dispositivo
no sea aleatoria, sino basada en procedimientos corporativos que permitan el control de las reglas y el
motivo de su inclusión. La aplicación de excepciones también debe tener un procedimiento para que las
excepciones no pongan en peligro la seguridad de la red.
Se deben conocer las técnicas que evitar los controles del firewall  nmap, para que el bastionado pueda
evitar en lo posible estas técnicas. Algunas de las medidas de bastionado asociado al firewall:
 Proteger el descubrimiento de la arquitectura de red y los activos, bloqueando el protocolo ICMP por
defecto (ping) y sólo permitirlo para ciertos equipos en tareas de administración.
 Todas las reglas tienen que ir alineadas con las políticas de seguridad de la empresa.
 Es la parte de red más expuesta  mayor control de la seguridad: actualizaciones, backup, gestión
de incidentes, gestión de accesos, registro de eventos,...
 Las reglas deberán estar basada en IP de origen, IP de destino y servicio utilizado.
 Especial cuidado en reglas del tráfico de salida xa impedir la exfiltración de información.
 Especial cuidado en prot. DNS. Se debe bloquear toda conexión a serv.DNS externo (no corporativ).
  Debido alto volumen de datos de conexiones en orgs y núm.reglas a chequear y contrastar, deben
ser equipos rápidos y con alta disponibilidad.
 La última regla marca la “política del FW”  establecer como regla base de denegar todo el tráfico
(deny-any) para que sólo se permitan las comunicaciones en base a las reglas definidas.
2.- Seg.de Portales y apps web. Soluciones WAF (Web App Firewall)
La seguridad de los servicios web se debe establecer en las distintas etapas de ciclo de vida:

2.1.- Desarrollo e instalación.

El diseño de aplicaciones de manera segura (security by design) es fundamental para no tener que
implementar medidas de protección adicionales  guías de referencia de desarrollo como OWASP .
Una vez desarrollado el pdto web se ha de verificar a través de auditorías de seguridad y la inclusión de
pruebas de seguridad dentro del ciclo de desarrollo del producto. El sistema se debe configurar sobre
arquitectura basada en capas donde capa de presentación (expuesta al exterior) esté alojada en la DMZ.
La protección del Ss web tiene que estar sustentada por la config.segura de los distintos componentes: SO
base. El servicio web. Los Ss asociados al servicio web (ej. BBDD).
Para este tipo de Ss, se debe implementar seguridad basada en la defensa en profundidad colocando
cada uno de los diferentes el.del sist. en una arquitectura basada en capas. ej: de exterior a interior:
 Capa 1: Dispositivo de prot.perimetral (DPP). Firewall,
proxy inverso, WAF, IDS, …
 Capa 2: Servidor web
 Capa 3: Disp.protección perimetral entre servicio web
y los servicios asociados: Firewall interno.
 Capa 4: Ss asociados: BBDDs, servid. ficheros,…
Existirá protección de acceso desde la DMZ hacia la red
exterior y existirá otro control de acceso desde la DMZ hacia
la red interna por un firewall. Uno de los dispositivos
específicos que protegerá los servicios web es un WAF (disp..
seguridad que permite proteger Ss web de ataques
específicos sobre tecnologías web), mayoría de ataques web
son protegidos por controles sobre la capa de aplicación (7).
Al igual que con firewalls de red, se debe disponer de cjto de
reglas que permitan detectar ataques más comunes
adaptándolas a particularidades y contexto de la compañía.
Desde el punto de vista de los usuarios de la red, se debe
proteger la navegación hacia Ss web externos a la
compañía. Existen 2 políticas de actuación ante la aplicación
de reglas de navegación de los usuarios en la red, que son: Basado en listas blancas (solo navegación a
dominios de la lista blanca, más costosa de implementar pero mayor control de webs permitidas). Basadas
en listas negras (detectan comportamientos anómalos en listas de dominios maliciosos).
2.2.- Mantenimiento.
Los dispositivos del Ss deben ser configurados de manera segura y ser monitorizados de manera que ante
un evento se sincronicen con el SOC, registrando las interacciones con el servicio web (logs) xa monitorizar
el servicio y responder ante un incidente de seguridad. Ante un incidente se debe poder realizar un análisis
completo de lo sucedido  incluir logs de los elementos de las diferentes capas: firewall, servidor web,
proxy, base de datos,...
Si gestión del servicio es externa  protocolo de notificación de incidente, definiendo tareas asociadas al
prov.del servicio y a la organización incluyendo info. de cómo se realiza el aviso del incidente, T de
resolución, canal de comunicación. Toda esta info. se puede reflejar en una matriz RACI.
2.3.- Medidas de seg.sobre servicios web.
 Los portales deben estar configurados con protocolos
seguros (HTTPS). Estableciendo la protección con certif.
web de confianza permitiendo el cifrado de comunicaciones
entre usuarios y servidor web.
 Acceso la admón del servicio debe estar segmentada en
VLAN de admón y con prot. seguros y no vulnerables.
 Si servicio alojado en prov.externo, al configurar el Ss, se
debe establecer matriz RACI xa que ningún aspecto de seg.
quede sin cubrir definiendo las responsabilidades.
 Deben existir mecan. autenticación de usuarios al Ss web.
 Mec. identificación única por usuario en su parte privada.
 Mec.protección contra ataques fuerza bruta con CAPTCHA.
 Procedimientos operativos seguros de recuperación y
cambio de contraseñas, alta/bloqueo de usuarios,…
 Existirá una política de contraseñas segura, no permitiendo el establecimiento de contraseñas débiles.
 Contraseñas de admón de cada componentes del Ss web  con 2FA y desde qué dispositivos se
puede realizar admón de equipos. Desabilitar o cambiar contraseña de usuarios por defecto
 Los docs publicados no deben tener metadatos, para no facilitar info. sensible e interna de la org.
 Procedimiento de actualizaciones del sistema: Al ser Ss expuestos al exterior y suelen estar DMZ, los
parches de seguridad deben solventarse rápido. Es necesario mantener actualizado software de los
componentes del sistema: servidor web, servidor de base de datos, servidor de contenidos (CMS),...
 Tener control de las interconexiones del Ss web con Ss externos  conexión con cifrados seguros, y
con autenticación. En caso de que sist.interconectados sufran incidente no se pueda expandir a nuestra
infraestructura. Ej de mecanismos de protección contra estos servicios externos:
 Autenticación fuerte entre servicios: usuario/password, 2FA, certificados,...
 Filtrado de conexión por IPs
 Protocolos seguros de comunicación.
 Se debe disponer de diagrama de arquitectura del sistema que aloja el servicio web con un diagrama de
flujos de info. entre componentes (internos y externos) y protocolos utilizados en flujos de información.
 Auditorías de seguridad con periodicidad regular (inferior a 6 meses) en el que se establezcan medidas
correctoras sobre los fallos de seguridad encontrados.
 Requisitos más restrictivos para acceso a partes privadas de la web. Ej: Acceso con autenticación
basada en 2FA y sólo desde determinados equipos.
 Deberá existir un método de cifrado de información que se almacena (cifrado en reposo) en el servicio.
 Eliminar contraseñas y usuarios por defectos del software y de herramientas que soportan el servicio.
 Definir proc. operativos de las web: recup de contraseñas, alta\baja\modificación de usuarios de la web,
métodos de subida y descarga de ficheros,etc. Y que los procedimientos no sean vulnerables a ataques.
2.4.- WAF.
WAF (cortafuegos de aplicaciones web): Dispositivo de protección de la seg. localizado entre clientes y
servidor web cuyo objetivo es proteger el servidor web de ataques malware o de denegación de servicio.
Está dentro de la categoría de proxy firewall, siendo intermediario entre el cliente web y el servidor para
inspeccionar y analizar contenido de los paquetes del servicio web.
3.- Segmentación de redes.
La segmentación de redes desde el punto de vista de la seguridad permite:
 Proteger activos por importancia y determinar reglas de acceso entre dispositivos.
 Realizar defensa en profundidad
 Segmentar flujos de info. y establecer la máxima seguridad para flujos críticos.
 Contener la propagación de la infección de los sistemas.
 Tener más info. de lo que ocurre en el sistema  info. de dispositivos que realizan la segmentación.
Esta segmentación está apoyada por dispositivos de red y de seguridad de red que permitirán controlar las
comunicaciones. La segmentación se puede realizar por capas:
 En capa de enlace (capa 2). Mediante la creación de VLANs. Controlada y gestionada por switches.
 En capa de red (capa 3). Mediante creación de redes. Controlada/gestionada por routers y firewalls.
Para redes industriales existe un modelo de segmentación basado en
capas y defensa en profundidad (modelo IEC 62443, que se refiere
al modelo Purdue).

4.- Subnetting.
Una IP (identificador de cada dispositivo) está formada por conjunto de
cuatro octetos (0-255). Desde el punto de vista de la seg. se deben tener en cuenta la segregación de redes
en redes más pequeñas en base a:
 Sep.de redes de usuarios y servicios
 Controles de seg.en el paso de 1 red a otra.
 Controles de conexiones para usuarios con privilegios de
administración.
 Permitir control y gestión de la config. de manera más eficiente.
Dentro de una red y el protocolo IP permite localizar a un dispositivo:
La IP se dividida en 2 datos: la red y el equipo, proporcionando control y seguridad. Para conocer la
seguridad del subnetting es necesario conocer los protocolos asociados y sus ataques más comunes:
 ARP - ICMP - TCP - DHCP
La segmentación activa, aplica mecanismo de defensa activa en caso de incidentes seg: aislando zonas,
reducción de superficie de ataque,…
Dentro del subnetting  atención en el bastionado a los equipos que realizan la segmentación:
Switches son dispositivos de red diseñados unir varios dispositivos (PCs, impresoras, otros) que utilicen
Ethernet y se conectan a un puerto del switch que identifica al dispositivo. Al recibir un paquete lo envían al
puerto concreto (no a todos como el hub) reduciendo el tráfico de red. Estas comunicaciones se producen
dentro de lo que se denomina dominio de broadcast.
Routers Conectar redes y transfiere datos entre ellas.
Firewall Determina la reglas en comunic.entre capas de la red. Pueden tener capac.enrutam. y segment.
5.- Redes Virtuales (VLANS).
Las VLANs permiten que dispositivos de una red se dividan virtualmente, pero beneficiándose de Ss de la
red (internet, monitorización, servicios,…) aportando seguridad basada en las reglas que determinan cómo
se comunican los dispositivos entre sí de dos redes diferentes. Se deben analizar los dispositivos que
gestionan las vlan (switchs) y los protocolos que tiene que asignadas VLANs por defecto (VLAN 1) para
enviar mensajes cada cierto tiempo que en caso de no utilizarlos se debn desactivar. Estos protocolos son:
 STP (Spaning Tree Protocol) - GVRP - LLDP
Como medidas de seguridad asociada a las VLAN se deben realizar las siguiente acciones :
 Desconectar los puertos que no esté en uso
 Establecer una VLAN específica para aquellos puertos que no esté en uso.
 Establecer seguridad en cada puerto asociado a una MAC.
 Realizar reglas de control de acceso entre las diferentes VLAN
Uno de los ataque más comunes
asociado a no eliminar la VLAN 1 por
defecto a los puertos de trunk es VLAN
Hoping. Con la manipulación del
protocolo de negociación automática de
los puertos en modo "trunk" del protocolo
DTP podemos acceder a otra VLAN
aunque no sea la de nuestro puerto.
6.- DMZ.
La DMZ es la capa de nuestra red que
contiene Ss expuestos al exterior. Esta
parte de la red está separada del resto de red corporativa ya se conectada a redes que Cia determina como
no confiables (internet). Es la superficie de nuestra red con más probabilidad de ataques o inc.seg  Se
debe reducir la “superficie de exposición” de manera especial y asegurar los flujos de info. desde esta
capa hacia el interior sea a través de un firewall estableciendo reglas de control.
Pueden existir en una arquitectura varias DMZ con niveles de seg.<>. El nivel de seg. marca las reglas del
paso de info. de una red de < seg. a otra de > seg. La DMZ puede estar implementada por un firewall o por
dos (uno permite entrada de datos a la DMZ y el otro la salida limitando la comunicación entre firewalls,
dificulta los ataques ya que hay que atacar a los 2 firewalls, mejor si firewalls de distinto fabricante)
Los servicios más comunes en la DMZ y que requieren de una configuración segura son:
 Proxy: filtra el tráfico de entrada y salida.
Los accesos al proxy deben ser
autorizados por el firewall y los paquetes
de la red exterior e interior deben debe
ser autorizados por proxy. Los ataques al
proxy son mitigados por el firewall.
 Servicios Web. HTTP/S
 Ss transf.archivos. SFTP/FTPS, SSH
 Ss de resolución de nombres DNS.
 Concentrador de VPN
La arq.segura de una DMZ tendrá sig. capas:
 Ss protec. perimetrales: Firewalls,
AntiDoS, ProxyInverso, IPS, IDS, WAF
Asegurándo que no sea posible
conectar a servicio de la DMZ sin pasar
por disp..seguridad que lo protegen.
 Servicios propios de la DMZ.
 Ss de protección de la red interna a
través de Firewalls internos. Deberían
ser de diferente fabrican al firewall
perimetral (biodiversidad). si se
sufre ataque en el firewall externo, no se pueda utilizar el mismo vector para entrar a red interna.
7.- Seg.en entornos Cloud. Soluciones CASB.
Ante la difusión del perímetro de seg. de las compañías por migración de Ss a la nube  necesario
establecer mec.seguridad y control de usuarios y dispositivos durante el uso de estos Ss.
El acceso a los Ss se puede controlar x dispositivo: desde disp.. de Cia (COBO Corporate Busines Owned
Only), disp.. externos personales o corporartivos (COPE Corporate Ownes Personally Enabled), dispositivos
personales (BYOD),..pero siempre controlados a través de un Mobile Device Management (MDM).
Las herramientas CASB (Cloud Access Security Broker) tiene como objetivo controlar y gestionar el uso de
los servicios alojados en la nube.
 Monitorización de seguridad. Sobre todo en el punto de intercambio entre el sistema y el servicio
alojado en la nube.
  Prevenir la fuga de información.
 Gestión de usuarios y permisos de los mismos - Gestión de incidentes.
 Copias de seguridad - Mecan.de recuperación de desastres
 Cumplir con la RGPD
 Integración con herramientas corporativas: AD, SIEM, DNS, Correo, Proxy, firewall, …
Los proveedores de estos servicios deben proteger:
 Control de las comunicaciones - Control de acceso
 Definición de la gestión. Especial atención a la admón del acceso a usuarios privilegiados.
 Datos de configuración - Control de la auditoría
 Actualizaciones de seg.de componentes del Ss. - Información almacenada
Los Ss en la nube pueden estar deslocalizados  tener en cuenta la leyes
en función del alojamiento físico del servicio, por si incompatibilidad con la
reglas internas de la compañía.
La responsabilidad de muchas acciones de seguridad recaen en el
proveedor pero la gobernanza de la seguridad recae sobre el cliente del
servicio que debe establecer los requisitos de seguridad. Los Ss
corporativos alojados en la nube deber poder interconectarse de manera
segura con la partes on-premise.
Comprobar la fiabilidad del proveedor del Ss desde el pto vista de la seg. 
certificados de auditorías de seguridad, certificados de seguridad de
entidades reconocidas como SOC 2, PCI DSS,...Tb útil conocer el plan
director de seguridad del prov. para saber cómo gestionan incidentes.
BRS07. Configuración de dispositivos y sistemas
informáticos II.
1.- Seguridad del puesto de trabajo y endpoint fijo y móvil. AntiAPT, Antimalware.
2.- Seguridad del correo electrónico.
3.- Herramientas de almacenamiento de logs.
4.- Protección ante ataques de denegación de servicio distribuido (DDoS).
5.- Configuración segura de cortafuegos, enrutadores y proxies.
5.1.- Firewalls.
5.1.1.- Medidas de evasión.
5.2.- Router.
5.3.- Proxy.
6.- Monitorización de sistemas y dispositivos.
7.- SIEMs.
8.- Soluciones de Centros de Operación de Red, y C.Seguridad de Red: NOCs y SOCs.

1.- Seg. puesto trabajo y endpoint fijo y móvil. AntiAPT, Antimalware.

Puestos de trabajo son punto más débil de la seg.de un sistema, son operados por usuarios  cometen
más err.seguridad  el principal objetivo de los atacantes.
Cambio últimos años de paradigma en seguridad. Protegiendo equipos finales de los sist (endpoint) en
lugar de proteger sólo servidores (dónde está info) ya que muchos ataques requieren de acciones de
usuarios para que se produzcan las infecciones  entra en juego la ingeniería social.
Uno de los mec. protección equipos usuarios finales son los endpoint, se configuran y permiten desplegar
reglas para detección amenazas y remitir info. de eventos a servidor central, para ser enviada al SOC y
analizada por equipos respuesta a incidentes o por equipo de threat hunting. Soft.libre como osquery.
Herram. antiAPT están más orientadas a reaccionar autónomamente ante incidente  tiempo de reacción
disminuye (dwell time). Se actualizan con la info de amenazas que proporciona el dep.de threat intelligence.
En el siguiente video podemos visualizar la importancia de la inteligencia de amenazas.
2.- Seguridad del correo electrónico.
Las principales amenazas del correo electrónico son la entrada de malware a través de:
 Enlaces maliciosos en el cuerpo del mensaje.
 Documentos adjuntos en el correo.
 Campañas de desinformación.
Frente a estas amenazas los mecanismos de protección son:
 Protección del servidor de correo frente a enlaces maliciosos.
 Protección del servidor de correo frente a ficheros que contengan malware.
 Limitación al reenvío automático de correos  proteger de fuga de información.
 Concienciación y formación de ciberseguridad a los usuarios.
Hay 3 protocolos principales que gestionan la entrada y salida de correos electrónicos:
 SMTP (Simple Mail Transfer Protocol) – Para el envío de correos.
 POP3 (Post Office Protocol) – Transferencia de correos entre cliente y servidor de correo. Mensajes
se eliminan del serv. tras descarga en dispositivo y después se pueden ver offline.
 IMAP (Internet Message Access Protocol) – Transferencia entre servidor email y cliente. Los
mensajes pueden ser transferidos a múltiples dispositivos porque se guardan en el servidor.
Para un email seguro, la info. cifrada en tránsito
(incluso en servicio webmail usando https). Puertos +
comunes de funcionamiento de los protocolos de
correo electrónico:
Ej. Mensaje legítimo e ilegítimo analizando las
cabeceras con Messageheader
Reglas que minimizan riegos de infección al recibir campañas fraudulentas de correo que contengan:
 Ficheros adjuntos maliciosos: ficheros ofimáticos con macros, ficheros ejecutables enmascarados.
 Remitentes de dominios maliciosos
 Enlaces maliciosos
 Ficheros comprimidos con contraseña, para análisis por las herramientas de seguridad (antivirus)
 Cabeceras de seguridad del correo electrónico.
Protocolos que permiten aumentar seguridad para proteger suplantación del correo electrónico y añadir
funcionalidades de autenticación:
SPF (Sender Policy Framework).
Nos permite proteger correo contra
falsificaciones de remitentes. Los
propietarios de dominios registran en el
DNS los servidores de correo desde los
que realizan los envíos.  Al recibir
correo puedan consultar estos
servidores SMTP autorizados a través
de los servidores DNS, identificando las
máquinas por su dirección IP.
Este sistema puede ser - eficiente para
reenvío de correos xq mensaje puede viajar entre diferentes dominios y sería necesario mantener esa lista
de dominios desde los que se permite el reenvío. Se debería configurar el SPF en modo monitor.
DKIM (Domain Keys Identified Mail)
Otra forma de autenticar un correo añadiendo un
texto cifrado difícilmente falseable que contiene la
procedencia del mensaje. Esta info es validada en
destino con mecanismos de clave público/privada que
confirman autenticidad/ integridad.
Las claves públicas se almacenan en registros de los
servidores DNS.
DMARC (Domain-based Message Authentication
Reporting, & Conformance)
Suma los beneficios de SPF y DKIM
Estos mecanismos no son suficientemente eficientes
por sí solos, los usuarios un papel muy importante.
3.- Herramientas de almacenamiento de logs.
Almacenar logs de lo que sucede en el sistema es un mecanismo de protección y mejora de sistemas. Tiene
un coste asociado  proveer al sistema del almac. Info. + proceso y análisis info.  info. crece
exponencialmente x req.legales y frameworks/sist. gestión seg.info. Pero beneficio mayor x prevencion de
ataques con más impacto. Hay que elegir bien las fuentes/info. a guardar para no consumo recursos de +.
Los logs permiten tareas de vigilancia (monitorización). Están almacenados en los equipos que los generan,
pero deben enviarse a un sistema centralizado que obtiene información de diferentes fuentes:
 Sistemas operativos - Aplicaciones - Bases de datos
 Herramientas de seguridad: antivirus, NIDS, HIDS, - Disp.red: switchs, firewalls, NAC, …
El alm.centralizado de logs permite usar herr.de apoyo con tecnologías como el Big Data xa encontrar
patrones de comportamientos anómalos. Problemas a los que se enfrentan las herr.que almacenan log son:
 Incremento de info recibida
 Incremento del Nº ataques y duración, que obligan al sistema a tener mayor capacidad de retención
 La regulación que obliga al almacenamiento de los registros (logs) para utilizarlos como evidencias.
Es como buscar “una aguja en un pajar”, el pajar es cada vez más grande y la aguja va cambiando forma.
Herramientas extendidas: Logstash, GrayLog,… El problema es tener capacidad de localizar info con
indexación de manera eficiente.  Herramientas popular Splunk. No creada para mundo de la seguridad,
pero su capacidad de búsqueda y análisis datos, etc. permite búsqueda de info.en procesos de un SOC:
 Mejora en la búsqueda de datos para la detección de amenazas
 Agilidad en las tareas de investigación
 Cortos tiempos de respuesta en la búsquedas de gran volumen de datos
A continuación describimos los elementos más importantes de la arquitectura de Splunk que permiten
buscar y almacenar logs. En esta arquitectura el “Splunk Indexer” es el responsable de:
 Procesa los logs y los almacena con índices para facilitar su análisis y búsqueda
 Organización eficiente de índices  hacer eficiente la herramienta
El camino que recorre un registro hasta que es almacenado en disco es:
 Recopilación de la fuente - Envío al punto central de recogida de información
 Parseo - Indexado - Almacenamiento en disco

Herramientas de almacenamiento de logs: Windows  EventViewer, Linux  servicio de syslog. Se deben

establecer en ambos las políticas de seg. que permitan almacenar logs en equipos y en sist.centralizado.
Es necesario establecer arq.de monitorización: red monitorización, almacenamiento y procesamiento de info.
La info. de los logs relativos al sistema tienen un carácter sensible, ya que almacenan mucha info y a veces
con un alto nivel de detalle de dispositivos, configuraciones, protocolos, … dependiendo del nivel que
hayamos configurados (verbose). Esta info tiene que ser enviada y tratada con seguridad.
4.- Protección ante ataques de deneg. servicio distribuido (DDoS).
Ataques de DoS y DDoS cada vez de > dimensiones por la capacidad de atacantes de ir aumentando su
infraestructura en base a Bots (desde dif.países y localizaciones  dificulta mitigación y medidas prot).
Para protección frente ataque de Dos/DDoS debemos
articular medidas no sólo técnicas sino tb procedimentales.
Subcontratar Ss protección DDoS x Eas especializadas.,
tener documentados proced.activación de defensa de este
tipo de ataques  avisando ISPs desde los que se realiza
ataque, o filtrado del tráfico desde tu ISP y mitiguen la
dimensión del ataque.
Estos ataques afectan a la disponibilidad de los Ss (1 de las
dim.de la seguridad). La protección frente a estos ataques
se debe dimensionar acorde al volumen de tráfico esperado.
Además de aplicar config.asociadas a la protección de esta
amenaza.
Los dispositivos de prot.perimetral deben establecer alarmas
que permitan tomar las 1as acciones de mitigación (documentadas en proced.defensa) para que la reacción
al ataque sea lo más eficiente posible. Además de acciones de defensa de ataques externos, se debe
proteger de ataques desde propia infraestructura (por mala config/uso fraudulento de nuestro sistema x 3os).
Estos ataques son mitigados por firewalls y routers perimetrales (en fn de la magnitud ataque puede que no
tengan capacidad de contrarestarlo). Empresas especializadas ofrecen servicio de manera externalizada, ya
que ciertos ataques requieren de infraestructura potente y conocimientos muy específicos en la materia.
Algunos de los ataque más comunes de DoS son:
 Syn Flood: Usa el 3-way-handshake, dejando sin terminar el último paso (envío ACK por cliente) 
quedando servidor a la espera y consumiendo recursos. Con herr. hping podemos simular ataque:
hping --syn --flood --rand-source -p <Port> <IP-Adresse>
 Connection Flood: Realizar un elevado Nº de peticiones sobre un servicio.
 UDP Flood: Realizar elevado Nº peticiones sobre protocolo UDP. Cada vez que un equipo envía
petición a puerto UDP cerrado, servidor responde con un paquete ICMP (destino inalcanzable). El
atacante utiliza IPs falsas xa destinar sus rec.a enviar paquetes UDP sin gestionar ICMP recibidos.
Una medida preventiva es obtener info. previa ante posibles ataques. Ya que grupos de ciberdelincuentes
preparan previamente su infraestructura de Botnes para lanzar los ataques.
Algunas medidas de protección contra Syn Flood son:
 Aumentar recursos asociados a conexiones semiabiertas. No efectivo dim. ataque supera recursos
del dipositivo. Reciclaje de la conexión TCP semiabierta más antigua
 Establecer cola LIFO en recursos asociados a conexiones semiabiertas. Ante un Nº de conexiones la
última conexión se libera.
 Almacenar menos información sobre el establecimiento de la conexión. TBC mínimo.
 Servicio de un prov.externo (nube) x aumento de los bots y sus dimensiones. Los prov. tienen
infraestructura que permite distribuir la carga del ataque.
5.- Configuración segura de cortafuegos, enrutadores y proxies.
Son 3 de los princip.disp.de prot.perimetral de redes y sistemas. Sus tareas de config. tienen el objetivo de
proteger estos dispositivos en sí mismos así como de la redes y sist.que los albergan. Aspectos a considerar
en la config.segura estos dispositivos, que puede ser aplicado para cualquier elemento del sistema.:
 Control de acceso
 Autenticación
 Control de sesión
 Configuración de servicios
 Mantenimiento
 Certificación de seguridad del producto.
 Auditoría
 Gestión de eventos.
 Protección de las comunicaciones
Diseños de red con firewall, router y con firewall,
router y proxy.
5.1.- Firewalls.
Evolución desde simples disp..perimetrales en
redes (sólo uno y separaba parte interna de
externa), hasta firewall en nube  difumina
perímetro y controla flujos de info. hacia Ss alojados fuera de nuestras
instalaciones.
El firewall tb clave en la integración de red IT (Info Technology) y OT
(Operational Technology), para separarlas (red OT es más crítica que la
red IT). Los firewall nos ayudan a:
 Impedirá obtener info.de sistemas y puertos abiertos y cerrados a
la capas más internas de la red.
 Proteger y realizan el control de acceso a IP internas y puertos.
 Controlar flujos de info. de entrada y de salida de las distintas redes del sistema.
 Las reglas asociadas a flujos de salida impedirán a dipositivos conectarse a IPs/dominios maliciosos
 No permitir obtener mayor conocimiento de la red con el análisis de la info. que recojan.
 El dispositivo principal de protección de la defensa en profundidad basado en capas.
 Permite reducir y mantener controlada la exposición de tu sistema frente ataques.
Es uno de los ptos críticos xq esta expuesto frente a las amenazas externas sus vuln. son críticas 
elemento crítico de parcheo. Además si se accede a ellos con con permisos de admón  alto impacto en el
sistema el acceso sólo desde dispositivos controlados, apoyado por la segmentación.
La medidas generales de bastionado de estos dispositivos es:
 Software actualizado. Prioritarios para su actualización al ser un punto crítico del sistema.
 Segmentación de acceso para los administradores. Filtrando el acceso para ciertos equipos.
 Habilita el doble factor de autenticación para los administradores del firewall,
 Elimina las contraseñas y usuarios por defecto del dispositivo.
 Eliminar los servicios de administración administración no confiables.
 Realzar auditorías de seguridad sobre el firewall
Tb existen los firewall locales (software) que residen en los equipos. Complementan a los firewall de red.
Controlando la entrada de protocolos en los equipos.
5.1.1.- Medidas de evasión.
Tras configurar el firewall, auditoría de seguridad  confirmar que equipo bastionado correctamente. Manual
o combinada con scripts que automaticen parte del proceso. nmap permite realizar todas estas tareas.
 MAC/IP a través de métodos de MAC/IP spoofing. Podemos usar modificadores "señuelos" (-D),
proxy (--proxies) y spoofing (-S). En caso de MAC spoofing con --spoof-mac,  para este ataque
hay que usar MAC de la red atacada, salvo que objetivo ocultar el ataque en vez de capturar tráfico.
 La fragmentacion, MTU, y longitud de los datos. La fragmentación sirve en firewalls que no
analizan paquetes enteros. Los paquetes se fragmentan con opción -f, -ff o en base a la MTU que
será múltiplo de 8 (-mtu). Otra opción es fijar longitud de la capa TCP con datos aleatorios una vez
que hemos introducido los datos en la capa (--data-length).
 Cabeceras de los campos. Estableciendo específicamente TTL(--ttl) o checksum (--badsum)
inválidos nos pueden dar info. del sistema auditado (cada sist.responde de manera diferente).
5.2.- Router.
Son dispositivos de control críticos en la seguridad que trabaja en la capa 3 (red) del mod.OSI, realizan el
control de las comunic.en la red, son fundamentales para interconectar redes (permiten aislar zonas xa
aislar dispositivos y crear capas dentro de un sistema). Tienen la capacidad de crear reglas que permitan o
denieguen tráfico entre zonas, mediante listas de control de acceso (ACL). Su config. tarea necesaria para
mantener el sistema securizado. Medidas de configuración segura que debemos aplicar a:
 Deshabilitar puertos que no se utilicen que formen parte una VLAN específica de "puertos sin uso".
 Deshabilitar Ss de un router que no se utilicen como: BOOTP, CDP, FTP, TFTP, HTTP, DNS, ...
 Utiliza versiones seguras de los protocolos (SNMP v3 o HTTPS).
 Elimina los usuarios y contraseñas por defecto.
 Establece grupos de usuarios con diferentes perfiles, administrador, operador, monitorización,...
 El acceso remoto a los sistema debe ser con mínimo privilegio.
 Permitir sólo protocolos seguros de conexión remota como SSH2
 Establecer políticas de password complejas alineadas con las del resto de la compañía
 Restringe el acceso al equipo desde el segmento de admón y sólo para determinados IP/equipos.
 Activa la auditoría (loggin) en el dispositivo y configúralo para que pueda enviar info.al SOC.
 Establece un tiempo de inactividad de las sesiones de administrador.
 Las password almacenadas en el dispositivo estarán cifradas.
 Limita el número de intentos en la autenticación (evitar ataques de fuerza bruta).
 Mantén actualizado el software del dispositivo.
 Incluye la config del dispositivo en el proc. copias seguridad., para poder recuperar operatividad del
dispositivo de manera rápida en caso de desastre.
 Habilitar únicamente los protocolos de enrutamiento que se estén utilizando.
SNMP es un prot. recopilación info del dispositivo. Existen herramientas que permiten auditar config del prot.
utilizado en los router: smpcheck, snmpwalk, snmpget, módulos específicos de metasploit (snmp-scan),...
5.3.- Proxy.
Dispositivo colocado entre los equipos de nuestra red e
Internet que permite analizar el tráfico intercambiado y en
base a reglas permitir o no la conexión. Además identifica
el servidor al que nos conectamos como solicitante 
permite anonimizar al solicitante original. Trabaja a nivel
de aplicación. Pueden trabajar con diferentes protocolos:
SNMP, POP, POP3, FTP, HTTP,... Desde pto vista de seguridad proporcionan control, anonimización y
vigilancia de las conexiones. Muchos tiene capacidades para incluir listas de IOCs xa impedir conexión con
estas IPs y dominios. Se debe activar en el proxy la vigilancia del dispositivo, integrando la info. recogida
con el centro de operaciones de seguridad (SOC). Tipos de arquitecturas para servicio proxy.
 Un proxy central al que se conectan todos los usuarios de la red. (Permite política común para org).
 Externalizar servicio hacia proveedor que controla este componente de la seguridad (proxy en nube).

6.- Monitorización de sistemas y dispositivos.

La monitorización debe dimensionarse a los recursos que se destinen, no por tener más dispositivos
monitorizados es más efectivo, si no se dispone de personal xa tratar las alertas y la info. Muchos sist.de
monitorización automatizan el tratamiento de los incidentes más comunes a través de los SOAR
(Orquestación, automatización y respuesta de seguridad).
La primera tarea de la monitorización consiste en la config. de dispositivos y software para que realicen
registro de actividades realizadas xa poder detectar actividades maliciosas e intrusiones. Todas las fuentes
de info. pueden proporcionar info.relativa a la seguridad, pero los disp. relacionados con la seg.aportan info.
más específica  centrarnos en estos. Ej. Config de "logging" en un firewall de Checkpoint.
Los disp.seguridad del sistema están más directamente relacionados con la info.más relevante y crítica de
seguridad, ya controlan flujos hacia los elem.más críticos.
Tradicionalmente monitorización sólo en dispositivos más críticos, actualmente se intenta detección de incid.
en una fase más temprana de la Kill-Chain de los atacantes  el concepto de EDR ha cobrado importancia
a la hora de poder reaccionar y resolver incidente rápidam. La monitorización y búsqueda de artefactos
están recayendo en estas herram.y uno de los requisitos de bastionado es que se pueda activar la
monitorización de los elem.del sistema.
Tienen que estar configurados de manera segura, los atacantes intentarán desactivarlos para que la
información de seguridad no llegue al SOC y los equipos DFIR puedan responder al ataque. Se han de
establecer reglas xa detectar la desactivación de monitorización o falta de info. usual de la misma.
7.- SIEMs (Info de seg. y gestión eventos).
Un SIEM es un disp.que recoge info de varias
fuentes centralizadamente y que relaciona esta info.
para detectar anomalías de seguridad en el sist:
(users que inician sesión desde IPs no conocidas,
fuera de horario, desde dos IPs distintas en un corto
periodo de tiempo,....). El SIEM está en continuo
aprendizaje y mejora  muchas veces se detectan
anomalías que son comportamientos legítimos 
necesario excepciones para que el "falso positivo" no
se vuelva a producir xq el evento consume recursos
del SOC que podríamos destinar a eventos
importantes.
Este método de seguridad es reactivo y ante alertas
de seguridad se debe establecer proc.de actuación
en base a los SOP (Security Operation Playbook).
Dentro del ciclo de gestión de incidentes, las fases
que tiene que ver con el SIEM son:
1. Al configurar disp..de seguridad de
infraestructura: antivirus, EDR, proxy, firewalls,
IDS / IPS, etc, se debe config. la auditoría de
estos disp.para que envien info. al SIEM. Tb
aplicar al SIEM reglas de detección acordes al
contexto de nuestra organización.
2. En la fase de detección gestionaremos las
alertas y realizaremos investig. necesarias para
encontrar el origen de la alerta.
3. Una vez resuelto el ataque aplicaremos las
lecciones aprendidas a la mejora del sistema.
Nos permitirá indicar a los admin.sistema si
necesitamos mejorar las vuln. sistema para
aplicar nuevas medidas de configuración segura
o disponer de más recursos económicos y humanos.
Existen diferentes pdtos en el mercado xa implementar nuestro SIEM en el sistema. Algunos de libre
distribución (mantenimiento y actualización por parte del personal de la org) y tb posibilidad de adquirir un
pdto con licencia que tenga el apoyo y soporte de equipo externo especializado.
 SIEM recomendados por CCN - SELKS - Splunk - Security Onion -Elastic SIEM
Muchas empresas externalizan y delegan detección de amenazas a Eas especializadas.
8.- Soluciones de Centros de Operación de Red, y Centros de
Seguridad de Red: NOCs y SOCs.
Una vez implementados medidas de seg.preventivas en sistemas, las tareas de seguridad requieren de
mantenimiento y mejora continua con tareas de mejora y revisión de la seg. periódicamente. Otro de los
pilares básicos de la seguridad es la vigilancia/monitorizacón de los sistemas.
Se crean los Centros de Operaciones de Seguridad (SOC o CyOC) x el incremento de sist y de info
recopilada. Son centros con Ss relativos a la seg. que operan 24x7 o 8x5, en fn criticidad sistema y recursos.
El otro centro de control ops del sistema es el Network Operation Center (NOC) que gestiona la
disponibilidad de la red. Muchas herr. Comunes xa SOC y el NOC. Aunque objetivo de su uso distinto.
Aunque los objetivos son diferentes (NOC, el funcionamiento, SOC, nivel de seguridad), la dimensión de la
disponibilidad relativa a la seguridad es un elemento común  deben ser complementarios.
El SOC es una ud centralizada y servicio
interno donde se monitorizan, evalúan y
defienden los sist.de info.de Ea.
Típicamente tiene herramientas para
monitorizar red, gestionar incidentes y
reaccionar ante diferentes eventos.
Tiene como misión detectar actividades
anómalas xa su tratamientos como
incidentes seguridad, para que sistemas
no se dañen por amenazas externas que
deriven en fugas/destrucción info. o robo,
inoperatividad sistema.
Para su funcionamiento se necesita
recopilar info.de sistemas y red (ej. Logs
firewalls, lods DNS, logs DHCP, logs
acceso…) Toda la info. se centralizada
en un punto, y con herr. como los SIEM
se normalizan (unificar fuentes y
formatos) y correlacionan (búsqueda
anomalías.
El SOC al ser un servicio de seguridad,
concentra multitud de tareas:
 Gestión registros
 Gestión de vuln. Únicamente
parte de detección y estado del
sistema.
 Análisis de malware
 Threat Hunting
 Threat Intelligence (Inteligencia)
 Generación de informes técnicos y ejecutivos.
 Ejercicios de defensa.
Los integrantes del SOC son también denominados
como personal del equipo de blue team. En el equipo
hay personal especializado en tareas forense, análisis
malware, threat intelligence, threat hunting,…
Fases de gestión de incidentes:
Preparación y prevención
Se crea y se forma al Eq.Respuesta a Ciberincidentes
(ERC) y en el uso herr. y recursos necesarios, identificando y desplegando medidas de seguridad
determinadas en fn del análisis de riesgos.
 Identificación
Se detectan los ciberincidentes posibles en la org. a partir de las medidas seg. implantadas, implement.
procesos de notificación.
Contención
Para reducir/abordar consecuencias directas del ciberincidente rápida y efectiva impidiendo propagación, y
acciones xa recoger evidencias forenses. Con triaje ciberincidente se evalúa importancia e impacto en fn
info disponible en el momento. Además, proceso para comunicación interna y externa de ataques.
Mitigación
Para eliminación del incidente: acciones inmediatas como desconexiones, controles acceso, revisiones, etc.;
y acciones a posteriori como gestión de actualizaciones, cambios de infraestructura, etc.
Recuperación
Devolver a la normalidad los sist. afectados para retomar la actividad priorizando sist. críticos xa negocio y,
aplicar medidas de seg. que eviten repetición del incidente. Tb cómo debe ser la comunicación para la vuelta
a la normalidad de los afectados.
Post-Incidente
Proceso de registro de todo el ciberincidente: trazabilidad, escalado y notificación, actuaciones y lecciones
aprendidas.  Permitirá mejora en el proceso de monitorización de sistema ante nuevos ataques.
BRS08. Config.dispositivos xa la instalación de
sist.informáticos
 comprobación equipos de fábrica
o BIOS configuración
 software - Contraseña
o Puertos comprueba
 USB - Wifi - Bluetooth - CD-ROM
o Arranque en BIOS/UEFI
 arranque del
o GRUB
o Kernel
o Sistema operativo a través de
 PXE - Imagen - dispositivo externo - VDI/VGI
 seguridad información
o cifrado herramientas
 Bitlocker - GPG
o particinado
o permisos
o borrado seguro
1.- Precauciones previas a la instalación de un sistema informático:
aislamiento, configuración del control de acceso a la BIOS, bloqueo del
orden de arranque de los dispositivos, otros.
1.1.- Control de configuración BIOS/UEFI.
1.2.- Secuencia de arranque.
1.3. Puertos de conexión: Ethernet, Wifi, Bluetooth,…
1.4.- Puertos de conexión: USB.
2.- Seguridad en el arranque del sistema informático, configuración del
arranque seguro.
3.- Seguridad de los sistemas de ficheros, cifrado, particionado, entre
otros.

1.- Precauciones previas a la instalación de un sist.

informát: aislamiento, config. control acceso a BIOS,
bloqueo del orden de arranque de dispositivos, otros.
La protección de los dispositivos que forman parte del sistema tb constituye elem.protección xa
bastionado de los sistemas. La normativa de requisitos seg. de los sistemas (CCN-STIC, ENS,
NIST) indica que es necesario configuración segura de la BIOS bajo los siguientes criterios:
 Mínima funcionalidad - Acceso por contraseña
 Se activará el arranque seguro - Actualización del firmare
 Comprobación de la integridad de firmware - Revisión del proceso de arranque
 Revisión de los dispositivos conectados (puertos)
Habrá que tener en cuenta la configuración segura de los siguientes elementos de los equipos:
 Control de config.de BIOS y UEFI - Orden de arranque.
 Puertos conexión: Bluetooth, wifi, NFC, … - Disp. almacen: USB, CD-ROM, tarjetas,…
Las recomendaciones y posibilidades de config. están asociadas al fabricante de los equipos y
vienen determinadas en sus manuales de usuario.
Se han detectado ataques ligados a la cadena de suministro de equipos que venía infectados
desde el fabricante  los riesgos en la cadena de suministros se han elevado y es necesario
aumentar esa confianza entre cliente y proveedor de dispositivos.
En casos como el de redes clasificadas oficiales, los productos que forma parte de la red tienen
que estar en un catálogo de pdtos acreditados que pasan una serie de controles y auditorías. El
CCN tiene publicado su catálogo de productos (seguros desde el diseño) en su guía CCN-STIC
105. Guía de referencia de certificación pdtos basado en la metodología de certificación española de
productos LINCE. Otra referencia que hace mención a la utilización de productos seguros en las redes es el
Esquema Nacional de Seguridad v.Mayo/22.
1.1.- Control de configuración BIOS/UEFI.
La UEFI o BIOS(Basic Input/Output System) es el primer software que se ejecuta al arrancar el equipo (ya
ha sido objetivo de atacantes), la infección de este software aumenta el nivel de la persistencia en el sistema
y la dificultad de detección.  Software crítico a tener en cuenta en el plan de actualizaciones.
La BIOS suele estar desarrollada por fabricante del equipo (original equipment manufacturer - OEM), son
ellos los proporcionan software original y sus actualizaciones.
El software UEFI (Unified Extensible Firmware Interface) surgió posteriormente, añadiendo funcionalidades a
BIOS como proporcionar acceso remoto (nuevo vector de ataque). UEFI es una versión más moderna y
segura, pero si la configuración se deja por defecto no será tan segura.
Suele estar guardado en memorias específicas: CMOS, EEPROM, ROM, Flash… por lo que su config.
permanece almacenada mientras tenga fuente de alimentación conectada (pila)  puede ser borrado
quitando la pila (requiere de acceso físico al equipo)  permite eliminar configuración de la BIOS y usado
para infectar el equipo. Para saber si se ha accedido a equipo pegatinas anti tamper
Este tipo de software también puede estar presente en tarjeta gráficas, controladores
de tarjetas de red,…
La actualización de BIOS por el método del fabricante (sistema ópticos, USB,..)
La BIOS/UEFI realiza el proceso de inicio y carga de software:
 Comprobación del Hardware del equipo - Iniciación del Hardware
 Inicio del SO.
Es necesario usar sólo pdtos de empresas proveedoras de software de UEFI que
tengan plan de actualización y mitigación de vulnerabilidades y metodología de
desarrollo basado en la security by-design.
Los org.internacionales han publicado guías de configuración segura de este software:
 Guía NIST de protección de BIOS
 Guía NIST de protección de BIOS de servidores.
Entre los proc. de autenticación segura del EUFI y BIOS está el mecanismo de
actualización protegido por contraseña, no permitiendo actualización remota o sólo
desde dispositivos controlados. Si se permite, sería necesario monitorizar y controlar
con los firewalls las conexiones que permiten la actualización de estos dispositivos, y
sólo desde las redes internas.
Se debe establecer el control de la config. de la BIOS /UEFI x contraseña (controlado el acceso a los
cambios de configuración). Al no existir control usuarios, contraseña debe ser custodiada y actualizada
según proc.de seguridad de la org. Un usuario no deseado con acceso a la BIOS/UEFI podrá cambiar:
1. Secuencia de arranque
2. Habilitar puertos y dispositivos de comunicación: bluetooth, wifi, nfc
3. Solicitud de contraseña con cada arranque del sistema
Para reducir los riesgos de infección de la BIOS: instalar BIOS sin permisos escritura y verificar su integridad
en cada proceso de arranque. La descarga de actualizaciones sólo desde páginas oficiales del fabricante,
controlar la integridad del software descargado y mantenerlo actualizado.
Existen proyectos de software sobre la UEFI que incluyen la seguridad como uno de los aspectos a tener en
cuenta: https://libreboot.org/ https://www.coreboot.org/
1.2.- Secuencia de arranque.
Si se modifica la secuencia de arranque al modificar la config de la BIOS xa arrancar desde disp.. externo
permite iniciar el equipo con otro SO no controlado por admin sistema (acceso a ficheros). Para esto
deshabilitar disp.externos o controlar entrada/salida de info. a través de ordenadores frontera o aduana.
Existen varias herramientas para crear USBs de arranque, entre ellas está Rufus.
1.3. Puertos de conexión: Ethernet, Wifi, Bluetooth,…
Xa Minimizar riesgos evitar conexiones a redes wifi no controladas por org., dispositivos bluetooth, o
conexiones a redes cableadas de otros sistemas. Solo permitir conexiones hacia puntos Wifi/Ethernet de
confianza, estableciendo conexión VPN contra la organización si se produce desde fuera de instalaciones.
Sólo permitir conexiones Wifi/Ethernet/Bluetooth… desde dispositivos controlados (configurados acorde a
políticas seg. Org.) y, si redes públicas usando túneles VPN/HTTPS… como extensión de red.
Algunos fabricantes disponen de simuladores de BIOS (ej. Lenovo) xa familiarizarse con las BIOS.
1.4.- Puertos de conexión: USB.
La conexión de dispositivos externos como norma general deshabilitadas, x elem. incontrolado entrada y
salida de info.  riesgos de infección y exfiltración de la información.
Algunas estaciones deben tener habilitados estos dispositivos por funcionalidad  La instalación de los
drivers del dispositivo ha de estar controlado con restricción de permisos de admin. Además los USB
deberán estar registrados como activos del sistema con un identificador único (existen herram.para gestión y
control de disp..conectados mediante listas blancas) ya que existen dispositivos que permitirían una puerta
de entrada al sistema, o de recopilación crítica.
 Rubber Ducky - LAN Turtle -Yard Stick One - Key Logger - USB Killer
Una opción de seguridad es usar USBs sólo en equipo aislados de la red con proc de seguridad específicos
xa el uso de los USB que los analicen e intercambien info a través de medio air-gap, pasarelas o diodos
(dispositivos de protección de perímetro DPP), minimizando riesgos de tener los USB activos en todos
equipos de la org y reduciendo riesgos (no eliminando, Stuxnet) de:
 Infección - Fuga de información - Accesos remotos no controlados,…
2.- Seguridad en arranque sist.informático, config.arranque seguro.

Debemos conocer cómo es un inicio normal del SO, para

poder detectar anomalías que se produzcan en arranque.
Las amenazas de malware de rootkit que se instalan en
el arranque son difíciles de detectar y provocan que
muchas herr.seguridad no funcionen con ellas. Hay que
realizar análisis de jerarquía de procesos que se ejecutan
en Windows xa determinar y analizar los posibles
ataques en inicio del SO, este análisis ayuda a
determinar si atacantes están fase de persistencia en su
Kill-Chain. Medidas de seg en arranque:
 Comprobación de la integridad del sistema.
 Envío de logs de arranque al SOC para análisis.
Hay herr. xa control arranque equipos. Para Linux: AppArmor SELinux
Para un análisis seguro de un equipo se puede utilizar un arranque con un disp..externo (liveCD o liveDVD)
con la ejec.de un SO certificado y configurado de manera segura. Esta medida solo para casos de análisis
de equipos o equipos con funcionalidad específica y queremos que el equipo permanezca inmutable.
También es importante proteger el arranque por PXe. Las contraseñas de este proc. De instalación de
sistemas suelen estar en claro en scripts hay que protegerlas. Tb comprobar en el serv. Que imágenes no
hayan cambiado (hash) previo a descarga.
Los gestores de arranque también presentan vulnerabilidades  actualización de este software, tener
configurado la contraseña para acceder a su config.. Como es el caso del gestor de arranque del grub.
3.- Seg.de los sist.de ficheros, cifrado, particionado, entre otros.
Entre los mecanismos de protección está el cifrado de la información (en caso de robo protege la info).
Debería ser cifrada en todos los niveles del sistema: nivel de sist.ficheros, dispositivos extraíbles: USB,
memorystick, CD, DVD, … . También para info.en la nube. En Windows normalm. a través de BitLocker.
Para sistemas Linux a través de la herramienta gpg, teniendo los modos de clave simétrica y asimétrica.
Dentro del ciclo de vida de la info. tb el borrado seguro que deberá aplicarse a todos dispositivos:
ordenadores, portátiles, servidores, HD, USB, móviles. Referencias a herramientas de borrado seguro:
 Herramientas de borrado seguro de INCIBE. - Herramienta de Borrado Seguro de CCN.
Los usuarios deben concienciarse de no almacenar info. en disp..locales, sino en servidores de ficheros,
BBDD, …con bastionado de la info.y del sistema (mejor y más fácil garantizar seguridad y recuperación tras
incidentes x copias seg).
Existe tendencia de uso sistemas virtualizados con despliegue de máq.virtuales (VDI/VGI): El usuario solicita
el despliegue de su máquina mediante virtualización y cuando deja de usar el sistema la info.se borra del
equipo protegendo la info.ante robo dispositivos.
El particionado del sistema de archivos se realizará asignando el mínimo privilegio a cada una de ellas.
Estableciendo permisos por particiones y la gestión de permisos de los ficheros de las mismas.
Cada sistema de archivos tiene características propias que permiten diferentes config de seguridad en
particiones y ficheros. En Linux la part:
 Noauto: montaje automático. - Noexec: no admitirá la ejecución de ficheros.
 Nodev: no admitirá instal.dispositivos. - Permisos: solo lectura(ro) y lectura y escritura (rw).
 Default: opciones para esta configuración (rw, suid, dev, exec, auto, nouser, async)
Se protegerán las particiones con info. de los usuarios y config.del sistema, para que ante recup.del sistema
sea rápida y eficaz. Guía referencia del CCN del bastionado de sist Linux con la config de las particiones.
BRS09. Config. sistemas informáticos.
 ARQUITECTURAS SEGURAS
o Servicios
 Telnet
 características
 TCP/23 - sin cifrar - vulnerable brute force
 interactuar con protocolo
 IMAP - POP3 - SMTP -HTTP
 FTP/TFTP caraterísticas
 modos reglas firewall
 activo - pasivo
 TCP/21 - FTP UDP/21 - TFTP
 vulnerable brute force
 sin cifrar
 SSH características
 cifrado - TCP/22
 puede ser vulnerable a brute force
 se puede aplicar configuración de seguridad
o procesos
 Perímetro - sitemas críticos
 Usuarios - Servidores - OT
 DMZ sevicios
 web seguridad
 proto.comunicación - auditorías
 actualización - mecanismos de acceso
 mec.de protección - mec.de autenticación
 navegación seguridad
 listas negras - listas blancas
o cloud CASB
 servicio:SaaS - VDI/VGI - PaaS - FaaS -IaaS
 dispositivos : BYOD - COBO -COPE
1.- Reducción del número de servicios, Telnet, RSSH, TFTP, entre otros.
1.1.- Telnet. 1.2.- TFTP/FTP. 1.3.- RSSH / SSH.
2.- Hardening de procesos (eliminación información de depuración en caso
de errores, aleatorización de la memoria virtual para evitar exploits, etc.).
3.- Eliminación de protocolos de red innecesarios (ICMP, entre otros).
4.- Securización de los sistemas de administración remota.
5.- Sistemas de prevención y protección frente a virus e intrusiones (antivirus, HIDS, etc.).
6.- Configuración de actualizaciones y parches automáticos.
7.- Sistemas de copias de seguridad.
8.- Shadow IT y políticas de seguridad en entornos SaaS.
8.1.- Shadow IT.
1.- Reducción del Nº de servicios, Telnet, RSSH, TFTP, entre otros.
Los protocolos no necesarios o presenten vulnerab, deben ser eliminados de los sistemas. Si prot vuln son
imprescindibles para operativa. Se debe tunelizar las comunic xa comunicación de manera más segura. Otro
mecanismo seg. es establecer reglas de comunicación en firewalls de red y firewalls locales del equipo del
servicio. Tb posible aislar servicio vuln. y acceder sólo desde máquina de salto que tenga prot. y medidas
seg. adecuadas, mitigando riesgo x acceso controlado.
Usar prot. Vuln. puede proporcionar un método de acceso inicial para
posteriormente exploits, shell control remoto, … toma de control del sistema
1.1.- Telnet.
Prot. que permite conectar con equipo y ejecutar comandos de manera remota
x puerto TCP 23. Los mensajes se envían en claro (sin cifrar), atacante podría
leer comandos ejecutados + otra info como nombres usuarios y contraseñas
intercambiadas. Hay prog como WinSCP, Putty + línea comandos en Windows y Linux Telnet nativo.
Con nmap, podemos hacer fingerprint del protocolo que está corriendo en remoto y saber versión serv
telnet, si tiene vuln.conocidas, … Tb hay herr. F.bruta xa adivinar usuario y contraseña (hydra, medusa).
Para bastionar prot. Telnet  sustituirlo por SSH (cifrado) pero si no posible x “sistema legacy” configurarlo
de manera segura + medidas refuerzo complementario (medidas compensatorias) como pueden ser:
 Aumentar vigilancia con monitorización.
 Diseño arquitectura basado en aislamiento servicio, o acceso con máquina de salto.
 Aumentar el control de acceso al servicio.
 Reforzar las medidas de seguridad del sistema operativo base que alberga el servicio.
Dentro de medidas generales de seguridad también se deben implementar en estos servicios:
 Actualizaciones del producto.
 Copias de seguridad de la configuración y de los datos.
 Establecer máquina de salto a servidor ssh para posteriormente acceder al servicio vulnerable.
Telnet es usado por atacantes para obtención de info. del sist a través del “Banner” servicio. (Fingerprint). Tb
se puede usar xa interactuar con prot SNMP (TCP/25), POP3 (TCP/110), IMAP (TCP/143), HTTP (TCP/80)
1.2.- TFTP/FTP.
Creado para transmisión remota de ficheros. Se crean 2 canales (transmitir datos y ejecutar comandos
remotos). 2 modos funcionam.:
 Activo: servidor crea canal de datos en Pto 20 TCP y cliente crea canal datos en puerto TCP
aleatorio >1024. Cliente envía Nº puerto al servidor para establecer conexión. El servidor no conoce
puerto del cliente  complica la definición de reglas de firewall.
 Pasivo: Servidor FTP abre puerto de datos TCP>1024y lo comunica al cliente FTP.
El canal por donde se transmiten los datos de control es hacia el puerto TCP 21.

El protocolo TFTP tb para transmisión ficheros es un prot no orientado a conexión (UDP) y además no
requiere autenticación (debe protegerse con reglas de Firewall). Se puede aprovechar por atacantes para
envio fichero con código y mas tarde ejecutarlo en servidor.
Se debe habilitar el serv FTP con contra eliminando el usuario anónimo x defecto. Hay programas xa
configurar el servicio. Si posible, implementar vers. Segura del prot (cifrada) FTPS/SFTP.
1.3.- RSSH / SSH.
RSSH es una versión reducida de SSH que sólo permite scp (security copy) y sftp (secure ftp). Permite
transmisión ficheros en común. cifrada entre cliente y servidor. Mediante esta conexión se establece común.
Xa gestión equipos. Algunas de las medidas de protección para el servicio ssh:
 Acceso a máquina con permisos mínimos y en 2ª etapa realizar elevación priv. Xa acciones
privilegiadas. Acceso inicial NO con privilegios de administración.
 Recomendable mec.autenticación robusto, ej.con certificados y/o integrar autenticación servicio con
autent.sistema.
 Limitar Nº intentos, para evitar ataque de fuerza bruta.
 T sesión e inactividad se deben limitar para que no quede abierta sesión.
 Establecer permisos de archivos en los que se guarden claves privadas/públicas autenticación.
 Utilizar versión del software y protocolo sin vulnerabilidades del protocolo. Como es la versión 1.
 Se eliminará el acceso al entorno gráfico del equipo que alberga el servicio
 Eliminar de acceso del usuario superadmin root.
 Establecer reglas de usuarios que pueden acceder servicio, y desde qué dispositivo pueden.
  No se permite el acceso de usuarios sin contraseña.
 Usuarios reciben mensaje con caract. del entorno que acceden y normas de uso (concienciación).
 Eliminar comando rsh a través de archivos rhost. del servicio, autenticación criptográfica basada en
host de SSH es + segura q autenticación .rhosts.
 Usuarios no puedan usar variables de entorno al demonio SSH.
 Utilizar algoritmo de cifrado robustos.
Xa configurar el acceso con claves criptográficas.
 Las claves públicas en el directorio home de cada usuarios ~/.ssh/id_rsa. El fichero debe establecer
permisos lectura y escritura para su propietario pero no para el resto de usuarios y grupos (600).
 El acceso por ssh con clave privada se realiza por ssh -i /ruta/clave/privada usuario@ip_dominio.com

2.- Hardening procesos (elimin info de depuración en caso de

errores, aleatorización memoria virtual para evitar exploits, etc.).
Se establecerán configuración segura para cada componentes instalados en equipos, tanto del SO como
cada programa específico de tareas asignadas del sistema. Dentro de elem.comunes config serán:
 Eliminación de usuarios por defecto
 Modificación de las contraseñas por defecto del Sistema.
 Activar el registro de eventos del sistema
 Se permite gestión usuarios con roles y grupos asignando a usuario privilegios mínimos xa su tarea.
 Se establecerán mensajes informativos respecto a resp.usuario a la utilización de los sistemas.
 Los equipos se bloquean después de un tiempo de inactividad.
 Solo abiertos puertos necesarios para desarrollo actividad. Bloqueándo con firewall local y de red.
 Tener herramientas de protección antimalware como antivirus. Y deberán estar actualizados.
 Todo el software debe estar actualizado a la última versión.
Para control ejecución de software hay herr.que permiten sólo ciertos programas. Xa Microsoft AppLocker.
Tb monitorizar ejecución nuevos programas con herr. como HIDS. Se deben aplicar medidas seg.relativas a:
 Protección en reposo mediante el cifrado de los datos
 Protección en tránsito mediante el cifrado de las comunicaciones
 Protección en uso que es la seguridad de los datos asociado a los procesos.
Microsoft tiene Anti-Malware Scan Interface (AMSI) xa detectar script cuando se ejecuta en memoria,
proporcionando a los AV una copia de lo que se está ejecutando.
Los procesos maliciosos realizan acciones anormales en sistema que impiden su detección  necesario
controlar cambios claves registro, jerarquía procesos que ejecutan, T ejecución procesos, … estas tareas se
realizan en las tareas de Threat hunting y que posteriormente son implementados como reglas de detección.
La info de logs es info sensible por dos motivos, permite conocer info relativa al sistema y son las evidencias
de sucesos en un incidente de seguridad. El acceso a los mismos regulado y protegido.
Hay herr. como ProcMon de sysinternals que permite tener info. procesos en ejecución en SO. Tb otra herr
de sysinternal para enviar info sobre procesos como puede ser sysmon.
Medidas para proteger la memoria de los sistemas Dirigidas a impedir ejec. instrucciones en ciertas
regiones de memoria como el stack y a proporcionar cierta aleatoriedad al espacio de direcciones del
proceso (heap, stack,librerías, etc) para hacer más complejo el uso de direcciones hardcodeadas o de
técnicas como ret-to-libc. Con uso direcciones predecibles (p.ej. librerías estáticas) y ROP el atacante,
podría eludir dichas restricciones de seguridad.
ASLR Evita explotación de vuln. sobre la corrupción de memoria. (atacante pueda saltar a una dir.de
memoria donde sabe que hay una función disponiendo de datos del proceso: ejecutable + datos en la pila).
DEP - "Prevención de ejecución de datos de Windows". El código
malicioso ejecuta código fuera de ubicaciones reservadas al SO
Windows y prog. autorizados. Este mecanismo protección nos asegurael
uso de la memoria de manera segura y si uso incorrecto el programa se
cierra y notifica. Usaremos siempre soft compatible con DEP.
Inicio --> Equipo --> Propiedades --> Configuración avanzada
Sistema --> Cambiar configuración avanzada del sistema -->
Opciones avanzadas --> Configuración --> Prevención de
ejecución de datos
3.- Eliminación de protocolos de red innecesarios (ICMP, entre otros).
El control comunic. requiere de gestión en todo ciclo vida sistemas.
Desde fases de diseño, con el diagrama de arquitectura del
sistema indicando flujos info entre componentes sistema y prot
utilizados. Para control comunic y puertos que deben estar
abiertos para permitir solo comunic.establecidas y por los equipos.
Esta gestión se actualiza ante cambios en arquitectura o
componentes sistema y estará complementada por mecan
monitoriz de elementos protectores como los firewalls y, si
comunicación/intento no controlado permita determinar motivo de
porqué se han realizado y reportar incidente o falso positivo por mal funcionam. equipo que originó alerta.
Los protocolos innecesarios deben ser eliminados a nivel de red y a nivel de SO (firewalls de red y del SO).
Un ejemplo es el prot IPv6 (apenas se usa y lo usan atacantes xq nivel conocimiento protocolo es bajo y por
defecto muchos Ss se levantan en él sin que admin. lo desactiven a pesar de no estar siendo utilizado).
Estamos usando masivamente prot NAT para extender uso IPv4 en vez de IPv6  servicio de NAT se
convierte en pto clave/crítico seguridad. El NAT no debería ser medida protección, xq no es más que un
mec. ocultación de la infraestructura, atacantes saben que está siendo utilizada usan otras técnicas para
acceder a descubrir la arquitectura.
4.- Securización de los sistemas de administración remota.
Los sist. admin remotos debe ser actualizados para no disponer de vuln. conocidas y los Ss deben estar
protegidos como elem. críticos del sist, xq permiten tomar control sist. y extraer info, elevar privilegios, …
Comunicaciones a través de prot cifrado seguro que impidan que se pueda visualizar info transmitida.
La autenticación deberá estar basada en usuario y contraseña, un 2º factor autenticación y adicionalmente:
 Bloqueo de usuario frente ataques de fuerza bruta.
 No mostrar info relevante que indique la existencia de los usuarios.
 Control del origen desde la que se hace la conexión remota.
 Análizar equipos origen: Actualizado, con antivirus, firewall habilitado
 Tener proc. operativos de recup. contraseñas y realizar bajas usuarios.
 Usar CAPTCHA para evitar la utilización de herramientas automáticas.
Los accesos deben haber sido aprobados por responsable sistema y cada
usuario con su nivel de acceso mínimo al sistema. Estos accesos se
recertificarán periódicamente xa control usuarios con acceso.
Se deberá contar con mecanismo monitoriz de logs de la aplicación control
remoto y detectar intentos no deseados de acceso.
Los accesos remotos deben estar controlados (y los mínimos indispensables). Mejor acceso al sistema x un
pto central con salto a los diferentes sist, y no múltiples sist control remoto y hacia múltiples equipos (+ difícil
administración y control accesos). El acceso remoto deberá estar alineado con procesos de alta,
modificación y baja usuarios en sistema con sist gestión de identidades(PIM) y sist.accesos privilegiados
(PAM). Todos estos procesos tb alineados con procesos operativos de seguridad, también llamados POS.
El nivel de acceso remoto para usuarios privilegiados debe reforzarse (x posible impacto en org).
Tb se debe tener cta si app acceso remoto tiene que exponerse al dom público de Internet  refuerzo
medidas seg (establecer localizaciones o dispositivos origen del acceso remoto). Siempre basados en una
defensa en profundidad, donde acceso a determ Ss desde disposit controlados y con mínimos seguridad.
5.- Sist.prev y prot frente a virus/intrusiones (antivirus, HIDS, etc.).
Existen varios sistemas que protejen contra soft maliciosos y virus. Los que se implementen deben ser
complementarios, proporcionar protección + info ante incidente y deseable que tenga mecanismo de
reacción automática (defensa activa) en caso de que sistema peligro. Tipos herramientas:
 Activas: Se realizan contramedidas protección contra código malicioso. Deben estar actualizadas xq
métodos de ataque también evolucionan en el tiempo.
 Pasivas. Sólo avisan.
Active response: Concepto de los HIDS (sist detec intrusos a nivel de Host) de cómo reaccionar ante
eventos sospechosos. Hay que particularizar reglas a entorno donde se implementan. Ej de libre distrib es
OSSEC o versión + reciente Wazuh.
Los mec. protección deben tener sist.actualizaciones x nuevas vuln, y ser parametrizables para entorno
concreto, pudiendo añadir excepciones que deberán ser documentadas y analizadas previa a su aplicación.
Se debe contar en la red con <> mec.detección de código malicioso ya que hay técnicas de evasión de
antivirus y tener <> antivirus en la red complica a atacante la evasión.
Hay que ponerse en la mente atacante xa buscar contramedida xa ciertas actividades (ej. ejercicio
simulación ataque al sistema sistema y utilizando herr.de prot. como un endpoint (EDR) o antivirus, para ver
si se detecta el ataque mientras tratamos de evadir nuestros sistemas de proteccion).
Los sist.detección de intrusos (IDS) a través del análisis de trazas de red, alertan en base a
reglas Acompañado a la alerta, procedimiento de gestión de la alerta xq sistema sólo genera alarmas, no
mecan. protección (sí lo hace el IPS). Existe muchas formas de determinar reglas xa IDS, las de Snort se
basan en firmas clasificadas por categorías. Las reglas de los IDS pueden estar basadas en:
 Comportamiento. Necesitamos conocer funcionam normal del sistema para detectar las anomalías.
 Firmas: Detectan el tráfico malicioso en base a reglas.
La monitorización del tráfico red para enviar a IDS, se hace a través de métodos de port-mirroring o con
disp. denominado tap (antiguos hub) que reenvían todos paquete a todos puertos por métodos de broadcast.
Debemos estar informados de parches seguridad y vuln publicadas x fabricantes en base a nuestro catálogo
de activos y software. Las actualizaciones se deben forzar según programación en los equipos (no como
tarea dependiente del usuario). Tras actualizar, reinicio de equipos xa actualización correcta.
También actualiza las herr.de detección de artefactos de seguridad como pueden ser:
 Antivirus - HIDS, NIDS… (dominios, hash, ips,…)
Para móviles tb necesario utilización MDM que permita la actualización de dispositivos y control
herramientas ejecutables en ellos. Siempre orientado a una red BYOD,
Lo que pierda soporte (no actualización)  sustituir x lo que si tenga.
Básicos en las actualizaciones
 Descarga de sitios oficiales
 Comprobación de la integridad de la descarga
 Pruebas en entornos de preproducción. Si se puede.
 Mejor hacerlo que esperar a tener la seguridad al 100%

6.- Configuración de actualizaciones y parches automáticos.

Actualizaciones y parches seguridad uno de los pilares fund. para mantener nivel seguridad de sistemas.
Teniendo en cuenta que software está instalado en sistemas con complejas relaciones entre ellos, un fallo
seguridad en uno de los componentes software puede dañar el sistema entero. La seguridad de un
sistema es la seguridad de su punto más débil.
Una vez que pdto ha sido actualizado  actualización por parte de los administradores del sistema.
Algunas Cias como Microsoft aglutinan actualizaciones una vez al mes (1º martes del mes), salvo alguna
especialmente crítica que denominan parches de seguridad de vulnerabilidades de día cero.
Debido al desconocimiento de nuevas vuln en soft equipos, es necesario disponer mecan de protección
frente ataques además de actualizar (mitigar las conocidas).
El software licenciado está apoyado por equipo de soporte que desarrolla soluciones y envían a sist con
licencia,. El software libre depende de agilidad de comunidad para buscar solución (si grande, mejor). En
soft libre se está incrementando impacto de seguridad cuando son ampliamente utilizados, como
recientemente el fallo de seguridad de log4j.
Normalmente arquitecturas para el servicio de actualización pueden ser dos:
 Arquitectura distribuida del sistema, cada equipos actualiza descargando independientemente los
parches. Ok para org. Pequeñas/casa donde infraestructura pequeña y no equipo TIC.
 Arquitectura centralizada de actualización, servidor interno de actualizaciones que descarga
actualizaciones, las distribuye a resto equipos. Para entornos empresariales, y admin sistema que
controla actualizaciones (libera las que mejoran seguridad y no impacto negativo en operatividad).
Herram. xa búsqueda vuln que complementa tareas de actualización. Búsca vuln no parcheadas y permite
control y estado de actualización del sistema, dos de las herramientas más conocidas son:
 Nessus - OpenVas (incluida en Kali Linux)
En ejecución escaneos se deben realizar con credenciales xq muchas vuln. solo descubiertas asi.
 Fáciles de programas y repetir. Es fácil saber nivel parcheo. Herr. suelen poder hacer informes.
 Se puede cruzar con el inventario de activos.
 Producen “mucho ruido” en la red y consumo de recursos.
 Herram tienen que cubrir >> cjto elementos. Las licencias de los productos completos son caras.
 Existen soluciones open-source pero que no tienen una inteligencia tan amplia.
7.- Sistemas de copias de seguridad.
Permiten recuperar el sist ante incidente grave seguridad que deje sist inoperativo y/o con pérdida de datos
(ej ransomware). El sistema copias seguridad y las propias copias seg deberán estas protegidas x ser pto
crítico para resolver estos incidentes (evitar que atacante tb destruya sistema de copia y/o las copias de seg
realizadas para que no puedan ser restauradas). El sist copias de seguridad debe ser tratado como un
sistema crítico (acceso y control privilegiados desde red con propósito específico). El impacto de un ataque
crece con el tiempo entre copias.
Como resumen pasamos a indicar una estrategia de copias de seguridad basado en la regla 3.2.1:
 Deberías al menos almacenar 3 copias actualizadas de tus datos
 Las copias deben ser almacenadas en 2 medios diferentes (y con control acceso y prot.físicas)
 Una de las copias deberá ser almacenada de manera off-line.
Complementario al plan de copias de seguridad, deberá existir un plan de recuperación ante desastres. Las
copias se han de priorizar en fn citicidad datos/sistema y además respaldar tb configuraciones equipos para
rápida recuperación tras desastre (hacer manuales xa recuperar sistema tras desastre y simulaciónes de
restauración de copias seguridad periódicamente, para comprobar que copia info y config sea suficiente).
8.- Shadow IT y políticas de seguridad en entornos SaaS.
Las polít. seguridad en entornos cloud (SaaS, PaaS, …) deben respaldarse con matriz de responsabilidades
(matriz RACI) entre prov y cliente que delimite tareas de cada uno conforme a políticas seguridad sistema.
En caso de servicio SaaS las copias seguridad son resp.proveedor, cliente deberá ser informado de
realización de éstas y tener evidencia de que se han realizado. Las cop.seg. deben cumplir mismas medidas
que las internas:
 Tiempo de retención - Cifrado de las copias
 Procedimiento en caso de recuperación - Realización de simulacros de recuperación
 Fiabilidad de copias con test de las realizadas. - Copias etiquetadas y fácilmente identificables.
Los sistemas proporcionados x prov externos deben cumplir con mismas medidas seguridad que las
implementadas en la org. Se deben delimitar las resp del servicio relativos a la seguridad, para que ningún
ámbito quede sin cubrir. Tras definir funciones tb se implementan los procesos que formen parte de la
seguridad (ej. comunicación de un incidente, brecha seguridad de datos, caída servicio, actualización de
componentes, medidas regulatorias adicionales que hay que implementar, la gestión de excepciones, la
formación de los técnicos que administran la plataforma desde el punto de vista de la seguridad,…)
8.1.- Shadow IT.
Las aplicaciones y sistemas olvidados (sin mantenimiento) constituyen elem vulnerable para la org desde
pto vista seguridad (dispositivos, software, servicios en la nube, servicios on-premise…), además muchos
depart. Eº sacan proyectos usando TIC y dejan de lado la seguridad. El control de activos constituye un
elem fundamental. Admins pueden usar herram para la detección de:
 Elementos de red a través de NAC
 Control de software instalados con agentes de control de inventario, HIDS,...
 Ss centralizados de control de configs como: SCCM (Microsoft), Ansible o Jenkins (Linux),... Muchas
de ellas pueden usarse con fines de seguridad en el mundo de las operaciones DevSecOps.
La org. debe contar con políticas que incluyan a los equipos de seguridad desde el diseño de programas que
usen tecnología (actualmente casi todos proyectos empresariales).
Tb hay malas prácticas por usuarios que usan softw personal o que + conocen en vez del que proporciona
Cia, medidas técnicas que impidan descarga e instalación software no aprobado y configurado x Cia.
Políticas de concienciación, muchos usuarios usan plataf. descarga gratuita (posible delito prop intelectual +
malware asociado casi seguro).
 No permitir descarga ficheros ejecutables, no permitiendo la navegación a páginas web de software.
 Controlar entrada ficheros ejecutable en email o en mecan. intercambio info. que Ea proporcione.
 Desinstalar los ficheros ejecutables no controlados.
 La búsqueda de ficheros ejecutables y maliciosos.
 Actualización de patrones de búsqueda en base a IOCs: hash. nombres de ficheros,...
El ciclo vida software debe finalizar con etapa desinstalación, borrado y actualiz. Mecan.seguridad:
 Eliminación de protocolos, puertos, reglas,...en los dispositivos de la red.
 Desinstalción de software, Eliminación de usuarios
 Baja de los procedimientos de copia y recuperación de desastres.
 Destrucción de los dispositivos que albergaban la información
 Desconexión de los elementos con los que se integraba y operaba.