Conocimientos Fundamentales Ciberseguridad PDF

Conocimientos Fundamentales en
Ciberseguridad
Orientados a desenvolverse de forma

segura en el puesto de trabajo.
®ANCIBE 2017
Autor: Jordi Torruella González
Temario oficial para la obtención del CCFC-17
Conocimientos Fundamentales en Ciberseguridad
Orientados a desenvolverse de forma segura en el puesto de trabajo
(Primera Edición)
Autor: Jordi Torruella González
© 2017 Asociación Nacional en Ciberseguridad - ANCIBE.
Esta obra se encuentra publicada bajo la licencia de Creative Commons (by-nc-sa), Por
consiguiente: La obra puede ser distribuida, copiada y usada si se atribuyen al autor original.
No se permite el uso comercial. Se pueden hacer trabajos derivados, que deben estar
licenciados bajo los mismos términos que el original.
Editado por: Asociación Nacional en Ciberseguridad - ANCIBE

Email: informacion@ancibe.com
Web: www.ancibe.com
Índice:
Introducción_________________________________________________________________________ 5
Capítulo 1: La Ciberseguridad ____________________________________________________________ 6
El valor de la información _________________________________________________________________ 7
Hackers y Ciberdelincuentes _______________________________________________________________ 8
Seguridad por defecto ____________________________________________________________________ 8
Políticas y procedimientos _________________________________________________________________ 8

Tipos de políticas ______________________________________________________________________ 9
Sistemas de Gestión de la Seguridad de la Información-SGSI ___________________________________ 9
Instituciones de interés (AEPD, CCN, FFCCS, CERT’s, etc) ________________________________________ 10
Capítulo 2: Delitos informáticos y legislación _______________________________________________ 12

La constitución Española _________________________________________________________________ 12
Delitos informáticos_____________________________________________________________________ 12
Código de derecho de la Ciberseguridad _____________________________________________________ 14

Infraestructuras Críticas _______________________________________________________________ 14
Normativa de Seguridad _______________________________________________________________ 14
Equipo de respuesta a incidentes de seguridad _____________________________________________ 14
Telecomunicaciones y usuarios__________________________________________________________ 15
Ciberdelincuencia ____________________________________________________________________ 15
Protección de datos __________________________________________________________________ 16
Relaciones con la administración ________________________________________________________ 16
RGDP – Reglamento General de Protección de Datos___________________________________________ 16
Capítulo 3: Amenazas, Vulnerabilidades y Riesgos ___________________________________________ 21

Definiciones, relaciones y diferencias _______________________________________________________ 21
Tipos de Amenazas _____________________________________________________________________ 22

Según su origen ______________________________________________________________________ 22
Según propósito _____________________________________________________________________ 22
Tipos de Vulnerabilidades ________________________________________________________________ 23
Vulnerabilidades especificas IoT ___________________________________________________________ 23
Ingeniería Social________________________________________________________________________ 24
Técnicas ____________________________________________________________________________ 25
Phishing ____________________________________________________________________________ 25
Amenazas persistentes avanzadas (APTs)____________________________________________________ 26
Gestión del riesgo ______________________________________________________________________ 27
Capítulo 4: Hacking___________________________________________________________________30
Clasificación y características _____________________________________________________________ 30
Web Hacking ________________________________________________________________________ 30
Hacking de Redes ____________________________________________________________________ 31
Escalar Privilegios ____________________________________________________________________ 32
Hacking IoT _________________________________________________________________________ 32
Hacking Industrial o IIoT _______________________________________________________________ 33
Hacking por hardware _________________________________________________________________ 33
Capítulo 5: Malware __________________________________________________________________34

Tipos de Malware y características _________________________________________________________ 34
Métodos de propagación_________________________________________________________________ 35
Métodos de detección ___________________________________________________________________ 36
Métodos de protección __________________________________________________________________ 36

Activos _____________________________________________________________________________ 36
Pasivos _____________________________________________________________________________ 36
Capítulo 6: Buenas prácticas____________________________________________________________ 37

Principios básicos _______________________________________________________________________ 37
Factor humano_________________________________________________________________________ 38
Roles y responsabilidades ______________________________________________________________ 38
Normas básicas ______________________________________________________________________ 38
El perímetro corporativo._________________________________________________________________ 39
Wifis públicas. _________________________________________________________________________ 39
Seguridad de la información ______________________________________________________________ 40

Objetivos ___________________________________________________________________________ 40
Seguridad por defecto y/o por diseño ____________________________________________________ 40
Sistemas actualizados _________________________________________________________________ 40
Control de accesos ___________________________________________________________________ 41
Gestión segura de contraseñas. _________________________________________________________ 41
Antimalware. ________________________________________________________________________ 41
El correo electrónico __________________________________________________________________ 42
Navegación Segura ___________________________________________________________________ 43
Aplicaciones de confianza. _____________________________________________________________ 43
Copias de seguridad __________________________________________________________________ 44
Destrucción segura ___________________________________________________________________ 44
Necesidades específicas en IoT ____________________________________________________________ 44
Necesidades específicas en Cloud.__________________________________________________________ 45
Sistemas operativos de confianza (TOS) _____________________________________________________ 46
Capítulo 7: Reacción frente un incidente __________________________________________________ 47

Detección _____________________________________________________________________________ 47
Análisis _______________________________________________________________________________ 47
Evaluación __________________________________________________________________________ 47
Clasificación de los incidentes de seguridad________________________________________________ 48
Priorización _________________________________________________________________________ 48
Reacción______________________________________________________________________________ 49
Prevención tras la reacción _______________________________________________________________ 50
Bibliografía _________________________________________________________________________ 51
Introducción
Esta obra tiene como objetivo que todos los interesados en la Ciberseguridad, y en especial a
empleados que manejen en su día a día la gestión de la información, obtengan los
conocimientos fundamentales para desenvolverse de forma segura en su puesto de trabajo.
Se tratará de orientar al lector dentro del laberinto de la Ciberseguridad, organizándolo de

forma sencilla en siete capítulos:
La Ciberseguridad: donde se expone una visión general de la misma así como las
metodologías necesarias para su gestión.
Delitos informáticos y legislación: Una recopilación sobre la legislación que afecta a la

Ciberseguridad y la protección de datos.
Amenazas, vulnerabilidades y riesgos: Sus definiciones, relaciones y clasificaciones.

Haciendo especial mención sobre la ingeniería social, las APT (Amenazas Persistentes
Avanzadas) y la gestión del riesgo.
Hacking: En este capítulo se trata de aprender que técnicas utilizan los

Ciberdelincuentes y cuáles son sus objetivos. Todo ello necesario para poder plantear
una defensa adecuada.
Malware: Tipos de Malware, métodos de propagación, detección y protección.
Buenas prácticas: Se trata de poner un poco de orden y metodología en la seguridad

orientada a la gestión de la información y la tecnología relacionada con ella.
Reacción frente un incidente: En el último capítulo se verá cuáles son los procedimientos
a realizar frente a un incidente de Ciberseguridad, como evaluarlo, clasificarlo,
establecer prioridades y por último realizar las acciones necesarias para su mitigación.
Cabe indicar que esta obra es la guía de estudio oficial, para la obtención del CCFC el Certificado
de Conocimientos Fundamentales en Ciberseguridad otorgada por ANCIBE, por consiguiente si
el lector está interesado en la obtención de dicho certificado, podrá optar a ello accediendo a la
Web www.ancibe.com.
®2017 - ANCIBE Página: 5

Capítulo 1: La Ciberseguridad
La Ciberseguridad se puede definir como el conjunto de políticas, procedimientos y
herramientas utilizadas para proteger tanto los activos de la organización como los usuarios en
el Ciberentorno.
Tengamos en cuenta que el cambio de paradigma ya hace tiempo que se ha producido y ahora
el activo más valioso de una empresa es sin duda la información. Los imparables avances
tecnológicos y de los servicios asociados a ellos han transformado la forma de comunicarnos, de
relacionarnos, de actuar, incluso podríamos decir de vivir; esto mismo ha sucedido en las
corporaciones, han pasado a tener una dependencia absoluta de la tecnología, de los sistemas
de comunicación y por supuesto de la información, la cual se ha convertido en su mayor activo.
Esta gran dependencia ha convertido los sistemas de información, de comunicación y por

supuesto, la propia información, en el principal objetivo de los Ciberdelincuentes, que
aprovechan este paradigma para obtener unos grandes beneficios.
Lo que conlleva a que es necesario concienciarse de que es fundamental para las corporaciones
el correcto uso y protección de su mayor activo “la información”.
La Ciberseguridad es una disciplina compleja, la cual se compone de la suma de un extenso

conjunto de singularidades, especializaciones y paradigmas. En el siguiente gráfico se muestran
algunos de los elementos que intervienen directamente en la Ciberseguridad.

El valor de la información
La información adquiere su máximo valor cuando es necesario tomar decisiones, aunque su
valor está directamente relacionado con quién la manipula y en la situación u objetivo con la
que se explota. Un ejemplo podría ser el siguiente:
Un restaurante recolecta información de sus comensales, para realizar estudios estadísticos,

relacionado los días de visita, domicilio, profesión y preferencias gustativas de los clientes; con
el objetivo de realizar una campaña promocional de fidelización de clientes.
Hasta aquí todo parece correcto, pero si esta información es vendida a compañías
especializadas en marketing, quizá podría ser usada para enviar publicidad orientada según la
profesión de estas personas.
Podría ser peor, sería necesario preguntarse qué pasaría si esta información es robada por
Ciberdelincuentes, esta información podría ser usada para infinidad de fines delictivos, veamos
algunos ejemplos:
 Podría ser vendida a delincuentes comunes para que conozcan los hábitos de estas personas,
con el objetivo de allanar su vivienda cuando se encuentren comiendo en ese establecimiento.
 Con toda probabilidad también habrán obtenido información de las tarjetas de crédito, por lo
que podrían realizar cargos a las tarjetas suplantando la identidad del restaurante, con lo cual los
clientes habituales podrían no detectar dichos cargos como fraudulentos.
 Podrían publicar la información con el objetivo de relevar el estatus económico de algunos
clientes.
 Podría ser usada por la competencia para perjudicar la imagen del restaurante.
 Y se podrían imaginar muchos más ejemplos con fines delictivos.
En los ejemplos anteriores se ha valorado la importancia que adquiere una información de

carácter personal que inicialmente no parecía tener un valor significativo. Pero siempre hay que
tener en cuenta quien explota dicha información, en qué situación y con qué objetivo.
Cualquier empresa por pequeña que sea, maneja mucha información, no solo de los clientes,
también de proveedores, contable, costes, estrategias, de sus propios empleados y mucha más;
y que el correcto uso y protección de la misma es vital para su propia existencia.
No es de extrañar que la información se haya convertido en el objetivo más importante de los

Ciberdelincuentes.

Hackers y Ciberdelincuentes
Normalmente se relaciona la palabra “Hacker” con un delincuente o, mejor dicho, con un
“Ciberdelincuente” y esto no siempre es así, tratemos de poner un poco de orden a estas
definiciones.
El “Hacker” se puede definir como aquella persona a la que apasiona el conocimiento, descubrir
o aprender nuevas cosas, entender su funcionamiento y en especial evaluar su seguridad. Esto
puede llevar principalmente a dos caminos o tipos de “Hacker”:
 Black Hat: (De sombrero negro), que aplica estos conocimientos con fines ilícitos o
delictivos, de modo que pasaría a ser un “Ciberdelincuente”.
 White Hat: (De sombrero blanco), que aplica estos conocimientos con fines lícitos.
Informa de las debilidades descubiertas a las posibles víctimas, trata de encontrarles
solución para que no puedan ser usadas por los “Ciberdelincuentes” y así contribuir a
mejorar los sistemas de seguridad informáticos.
Seguridad por defecto

La Ciberseguridad y la privacidad no deben afrontarse como un acto aislado o puntual, sino
como parte intrínseca de cualquier actividad relacionada con la información o uso de
tecnologías. No debe afrontarse como un añadido al desarrollo de un proyecto o actividad, sino
que debe formar parte del propio diseño de dicho proyecto o actividad.
Políticas y procedimientos
La definición de políticas de seguridad informática adquiere una transcendental relevancia, ya
que permite por una parte especificar las reglas, procedimientos y buenas prácticas que se
deben llevar a cabo en la protección de los activos de la empresa, y por otra, concienciar a
todos los miembros de la organización, de la importancia de la seguridad y privacidad de la
información.

Todas las políticas suelen definir unos procedimientos, que son todas aquellas acciones o tareas
a realizar, para cumplir con una norma o directriz establecida en las mismas. Estos
procedimientos deben ser claros, concisos y sencillos de interpretar, en ningún caso deben ser
documentos extensos y de difícil comprensión, si fuese necesario se pueden apoyar con otros
documentos con instrucciones técnicas, los cuales pueden llevar mayor nivel de detalle o
complejidad.
Tipos de políticas
Los tipos de políticas pueden clasificarse en:
 Seguridad Lógica. Se puede definir como: La aplicación de las medidas de

protección y procedimientos que salvaguarden el acceso a la información.
Siempre debería aplicarse la prerrogativa de "todo lo que no está permitido
está prohibido".
 Seguridad Física. Ya en el año 2000 se realizó una definición que sigue siendo
válida: "aplicación de barreras físicas y procedimientos de control, como
medidas de prevención y contra medidas ante amenazas a los recursos e
información confidencial". (Huerta, 2000).
 Seguridad Organizacional. Quizá la más olvidada dentro de las organizaciones,
aunque puede ser la interpretación más holística de la seguridad: Debe abarcar
todos los aspectos relativos a la gestión de la seguridad de la información,
desde la definición de buenas prácticas y controles, hasta los roles de los
empleados, pasando por las relaciones con otras organizaciones.
 Seguridad Legal. Este aspecto ha adquirido una gran relevancia, debido a que las
organizaciones deben velar por el cumplimiento de la legislación y normativas
relacionadas con el manejo de información, esta legislación está adquiriendo un
elevado grado de exigencia.
Sistemas de Gestión de la Seguridad de la Información-SGSI

Cuando se habla de políticas y procedimientos, se debe hacer especial mención a los
SGSI-Sistemas de gestión de la seguridad de la información.
Un Sistema de Gestión de Seguridad de la Información lo forman un conjunto de

políticas de gestión que tienen como objetivo la confidencialidad, integridad y
disponibilidad de la información y de todos los sistemas implicados en su tratamiento
dentro de la organización.
La implementación de un SGSI aporta, entre otras, las siguientes ventajas:
 Políticas y procedimientos estudiados y estructurados.

 Mejora continua en la gestión de la Ciberseguridad.
 Reducción de incidentes, impacto y costes de los mismos.
 Incremento de los niveles de confianza de clientes y proveedores.

 Mejora de la imagen corporativa.

 Cumplimiento con la legislación vigente.
 Garantía de continuidad del negocio.
 Posibilidad de integrarse con otros SGSI como ISO 9001, ISO 14001, OHSAS
18001 y otros.
Habitualmente para implementar y gestionar un SGSI se utiliza al ciclo de mejora

continua PHVA (PDCA en inglés). Esta metodología detalla los cuatro pasos
fundamentales que se deben realizar de forma metódica para alcanzar una mejora
continua, muy utilizado en los Sistemas de Gestión de la Calidad.
Existen distintos modelos y estándares de SGSI como el SOGP

y el ISM3, pero el más implementado y recomendable es el
correspondiente al ISO 27001, aunque su implementación
requiere de un importante esfuerzo por parte de la
organización, los beneficios que reporta son muy significativos
y en muchas ocasiones representa la solución idónea.
Instituciones de interés (AEPD, CCN, FFCCS, CERT’s, etc)

En Europa y concretamente en España, existen multitud de organismos e instituciones
relacionadas con la Ciberseguridad, algunas de gran importancia para las corporaciones, ya sea
porque se tratan de entidades legisladoras y controladoras, o debido a que pueden ofrecer
ayuda y soporte ante incidentes de Ciberseguridad.
 Agencia Española de Protección de Datos (AEPD): Ente público independiente cuya

finalidad principal es velar por el cumplimiento de la legislación sobre protección de

datos personales. En Catalunya y en el País Vasco, existen agencias de protección de

datos de carácter autonómico, con un ámbito de actuación limitado a los ficheros de
titularidad pública declarados por las administraciones autonómicas y locales de sus
respectivas comunidades.
 Centro Criptológico Nacional (CCN): Es el Organismo responsable de coordinar la acción
de los diferentes organismos de la Administración que utilicen medios o procedimientos
de cifra, garantizar la seguridad de las Tecnologías de la Información en ese ámbito,
informar sobre la adquisición coordinada del material criptológico y formar al personal
de la Administración especialista en este campo.
 CCN-CERT: Es el Equipo de Respuesta a incidentes de Seguridad de la Información del
Centro Criptológico Nacional (CCN). Su misión es convertirse en el centro de alerta
nacional que coopere y ayude a todas las administraciones públicas a responder de
forma rápida y eficiente a los incidentes de seguridad que pudieran surgir y afrontar de
forma activa las nuevas amenazas a las que hoy en día están expuestas.
 CNPIC: El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) es
el órgano que se encarga de impulsar, coordinar y supervisar todas las actividades que
tiene encomendadas la Secretaría de Estado de Seguridad del Ministerio del Interior en
relación con la protección de las infraestructuras críticas españolas.
 Grupo de delitos telemáticos de la Guardia Civil GDT: El Grupo de Delitos Telemáticos fue
creado para investigar, dentro de la Unidad Central Operativa de la Guardia Civil, todos
aquellos delitos que se cometen a través de Internet.
 Brigada de Investigación Tecnológica de la Policía Nacional: Entre sus funciones está la
de velar por la seguridad de los internautas y de los ciudadanos en general.
 Fuerzas y Cuerpos de Seguridad Autonómicos: En todos ellos se pueden encontrar
grupos o departamentos especializados en la Ciberseguridad y los delitos informáticos,
donde presentar las pertinentes denuncias.
Tal como se hacía referencia al inicio, existen multitud de organismos e instituciones

relacionadas con la Ciberseguridad, todas las Autonomías disponen en mayor o menor medida
de centros de referencia, pero no hay que olvidar que las corporaciones deben velar por su
seguridad y están en la obligación legal de poner los mecanismos necesarios para que no se
produzcan incidentes de Ciberseguridad.

Capítulo 2: Delitos informáticos y legislación

En este capítulo se hace referencia a los distintos delitos informáticos y la legislación que afecta
de forma más directa a las corporaciones. Cabe destacar que la legislación es muy amplia y que
algunos sectores específicos disponen de regulaciones concretas, como podrían ser las
infraestructuras críticas, pero en este documento solo se hace referencia a los puntos más
destacados y generalistas de la legislación.
La constitución Española
El artículo 18 establece el Derecho al honor, a la intimidad y a la propia imagen. En concreto, la
STC 94/1988 señaló que nos encontramos ante un derecho fundamental a la protección de
datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos
personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la
dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se
configura como una facultad del ciudadano para oponerse a que determinados datos
personales sean usados para fines distintos a aquél que justificó su obtención.
Delitos informáticos
La evolución tecnológica ha permitido implementar una gran cantidad de mejoras en la gestión
de las empresas y de la información, pero los Ciberdelitos se han convertido en una de las
principales preocupaciones ya que la dependencia de la tecnología y el valor de la información
los han convertido en extremadamente peligrosos. Año tras año, las cifras de los ataques
realizados se llegan a duplicar, pasando a ser un factor muy importante de la cuenta de
resultados.
Evolución de los Ciberataques

20000
18000
16000
14000
12000
10000
8000
6000
4000
2000
0
2011 2012 2013 2014 2015
Incidentes gestionados por el Centro Criptológico Nacional-CERT
(CCN-CERT, 2016)

Según el Convenio sobre Ciberdelincuencia, también conocido como el Convenio de Budapest

sobre Ciberdelincuencia (BOE-A-2010-14221), el primer tratado internacional sobre delitos
cometidos a través de Internet y otras redes informáticas, los delitos informáticos se clasifican
en:
 Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas

informáticos:
o Acceso ilícito: El acceso deliberado e ilegítimo a la totalidad o a una parte de un
sistema informático.
o Interceptación ilícita: La interceptación deliberada e ilegítima, por medios técnicos,
de datos informáticos comunicados en transmisiones no públicas efectuadas a un
sistema informático, desde un sistema informático o dentro del mismo.
o Interferencia en los datos: Los actos que dañen, borren, deterioren, alteren o
supriman datos informáticos.
o Interferencia en el sistema: La obstaculización grave, deliberada e ilegítima del
funcionamiento de un sistema informático mediante la introducción, transmisión,
provocación de daños, borrado, deterioro, alteración o supresión de datos
informáticos.
o Abuso de dispositivos: La producción, venta, obtención para su utilización,
importación, difusión u otra forma de puesta a disposición de dispositivos,
contraseñas o programas informáticos diseñados o adaptados para la comisión de
delitos.
 Delitos informáticos:
o Falsificación informática: introducción, alteración, borrado o supresión de datos
informáticos que dé lugar a datos no auténticos.
o Fraude informático: introducción, alteración, borrado o supresión de datos
informáticos o cualquier interferencia en el funcionamiento de un sistema
informático, con la intención fraudulenta o delictiva de obtener ilegítimamente un
beneficio económico para uno mismo o para otra persona.
 Delitos relacionados con el contenido:

o La producción de pornografía infantil con vistas a su difusión por medio de un
sistema informático.

o La oferta o la puesta a disposición de pornografía infantil por medio de un sistema

informático.
o La difusión o transmisión de pornografía infantil por medio de un sistema
informático.
o La adquisición de pornografía infantil por medio de un sistema informático para
uno mismo o para otra persona.
o La posesión de pornografía infantil en un sistema informático o en un medio de
almacenamiento de datos informáticos.
 Delitos relacionados con infracciones de la propiedad intelectual y derechos afines:

o Las infracciones de la propiedad intelectual.
Código de derecho de la Ciberseguridad

Con el fin de disponer de una referencia del código de derecho que afecta a la Ciberseguridad,
se ha elaborado la siguiente lista en la que se incluyen únicamente leyes y reales decretos
relacionados con la Ciberseguridad.
Infraestructuras Críticas
Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección
de las infraestructuras críticas.
Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de

protección de las infraestructuras críticas.
Normativa de Seguridad
Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
Ley 5/2014, de 4 de abril, de Seguridad Privada.
Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el

reglamento de Seguridad Privada.
Equipo de respuesta a incidentes de seguridad

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de
comercio electrónico.
Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro

Criptológico Nacional.
Real Decreto 872/2014, de 10 de octubre, por el que se establece la

organización básica de las Fuerzas Armadas.

Telecomunicaciones y usuarios
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de
comercio electrónico.
Real Decreto 381/2015, de 14 de mayo, por el que se establecen medidas

contra el tráfico no permitido y el tráfico irregular con fines fraudulentos en
comunicaciones electrónicas.
Real Decreto 1163/2005, de 30 de septiembre, por el que se regula el distintivo

público de confianza en los servicios de la sociedad de la información y de
comercio electrónico, así como los requisitos y el procedimiento de concesión.
Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los

Servicios Públicos.
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla

parcialmente la Ley 11/2007 de 22 de junio, de acceso electrónico de los
ciudadanos a los servicios públicos.
Ley 59/2003, de 19 de diciembre, de firma electrónica.
Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición

del documento nacional de identidad y sus certificados de firma electrónica.
Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
Real Decreto 863/2008, de 23 de mayo, por el que se aprueba el Reglamento de

desarrollo de la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones, en lo relativo al uso del dominio público radioeléctrico.
Real Decreto 1066/2001, de 28 de septiembre, por el que se aprueba el

Reglamento que establece condiciones de protección del dominio público
radioeléctrico, restricciones a las emisiones radioeléctricas y medidas de
protección sanitaria frente a emisiones radioeléctricas.
Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las

comunicaciones electrónicas y a las redes públicas de comunicaciones.
Ciberdelincuencia
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
Ley Orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad penal de

los menores.
Real decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de

Enjuiciamiento Criminal.

Protección de datos
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el

Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal.
Relaciones con la administración

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas.
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
RGDP – Reglamento General de Protección de Datos

Se trata de un nuevo marco jurídico el objetivo del cual es reforzar los derechos de los
ciudadanos en cuanto al control de sus datos personales y unificar los estándares de protección
de los mismos, en toda la Unión Europea.
El Reglamento General de Protección de Datos entro en vigor el 25 de mayo de 2016 y se

aplicará definitivamente el 25 de mayo de 2018.
El reglamento establece unos nuevos principios que se pueden agrupar en:

Para conseguir los objetivos planteados en estos principios, establece entre otros, los siguientes
derechos principales:
Al mismo tiempo establece entre otras, las siguientes obligaciones básicas para el responsable
del tratamiento:

La AEPD (Agencia Española de Protección de Datos) el 26 de Mayo de 2016 elaboró una nota de
prensa, que sigue el formato pregunta-respuesta, para facilitar la comprensión del nuevo marco
normativo a los ciudadanos y ayudar a las organizaciones a adaptarse a los cambios que
incorpora y cumplir así con sus obligaciones. La cual se reproduce de forma parcial, debido a su
elevado interés y validez:
1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de

Protección de Datos española?
“No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse

hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como
las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente
válidas y aplicables.”
2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?
“El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los
Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan
datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.”
3. ¿A qué empresas u organizaciones se aplica?
“El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de

datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos
en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios
destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento
de su comportamiento.”
4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación
territorial?
“Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para
tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el
Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la
realidad del mundo de Internet.”
5. ¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?
“El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la

portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos
personales que confían a terceros.”
6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus
datos personales?
“El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su
consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la
sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite
rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite

inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad,
es necesario el consentimiento de padres o tutores.”
“En el caso de las empresas que recopilen datos personales, es importante recordar que el
consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un
lenguaje que los niños puedan entender.”
7. ¿Qué implica la responsabilidad activa recogida en el Reglamento?
“Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las
organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas
deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con
los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que
actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que
esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o
reparar. Para ello, el Reglamento prevé una batería completa de medidas:”
8. Entonces, ¿supone una mayor carga de obligaciones para las empresas?
“El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la
protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga.
En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se
viene empleando ahora.”…
… “Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de
riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.
Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que
unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones
más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad
de interesados o que por sus características requieren de una valoración cuidadosa de sus
riesgos.”…
9. ¿Cambia la forma en la que hay que obtener el consentimiento?
“Una de las bases fundamentales para tratar datos personales es el consentimiento. El

Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e
inequívoco. Para poder considerar que el consentimiento es ?inequívoco?, el Reglamento requiere
que haya una declaración de los interesados o una acción positiva que indique el acuerdo del
interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.“
“Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento.

Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la
actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.”
“Además, el Reglamento prevé que el consentimiento haya de ser ?explícito? en algunos casos,
como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más
estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante
algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran
explícitamente al consentimiento y al tratamiento en cuestión.”

“Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen
datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento.
Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible
verificarlo ante una auditoría.”
10. ¿Deben las empresas revisar sus avisos de privacidad?
“Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se
proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes
nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar
la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los
interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen
que hay un problema con la forma en que están manejando sus datos. Es importante recordar
que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de
entender y presentarse en un lenguaje claro y conciso.”
11. En qué consiste el sistema de 'ventanilla única'?
“Este sistema está pensado para que los responsables establecidos en varios Estados miembros o
que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a
ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como
interlocutora. También implica que cada Autoridad de protección de datos europea, en lugar de
analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la
aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso
habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas
buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede
elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los
directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la
controversia mediante decisiones vinculantes para las Autoridades implicadas.” …
12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el
Reglamento?
“No. El Reglamento está en vigor, pero no será aplicable hasta 2018.”
“Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la
implantación de algunas de las medidas previstas, siempre que esas medidas no sean
contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de
regirse los tratamientos de datos en España.”
“Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán
realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde
ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que
deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que
paulatinamente vayan desarrollando las Autoridades de protección de datos.” …
(AEPD, 2016)

Capítulo 3: Amenazas, Vulnerabilidades y Riesgos

Definiciones, relaciones y diferencias
Estos tres temimos están muy relacionados entre sí, y habitualmente suelen confundirse, pero
es muy importante saber identificarlos de forma correcta.
Amenaza: Es una acción o evento que pueden causar potenciales efectos negativos sobre los
activos de la organización.
Vulnerabilidades: Son las debilidades o fallos en los sistemas, que pueden ser utilizados para
causar un incidente o perjuicio.

Riesgo: Se puede definir como la probabilidad de que ocurra un incidente de seguridad.
De una forma simple, también se podría decir que el riesgo=amenaza * vulnerabilidad, por
consiguiente se deduce que no hay riesgo si no existen amenazas y vulnerabilidades.
Tipos de Amenazas
Existen varias formas de clasificar las amenazas, aquí se muestran dos de ellas:
Según su origen
 Internas: Son aquellas que se originan dentro del perímetro de la empresa.
Estas son las más peligrosas ya que son mucho más difíciles de controlar y
mitigar. Estas amenazas pueden provenir de los propios empleados o
importantes fallos de seguridad.
 Externas: Son aquellas que se originan externamente al perímetro de la
organización. Los atacantes se encuentran fuera del perímetro de la
organización e intentaran encontrar los medios o vulnerabilidades para entrar
en ella.
Según propósito
 Intencionadas: son las que se producen de forma deliberada, con la intención
de causar un perjuicio (robo, destrucción o manipulación de información o
sistemas, interrupción del servicio, serian algunos ejemplos de este tipo de
amenazas).
 Accidentales: son las que se producen de forma no deliberada, ya sea por
accidente, desconocimiento o descuido, pero que ponen en peligro igualmente
los activos de la organización (las relacionadas con fenómenos naturales, la falta
de políticas así como la incorrecta formación o concienciación de los
responsables y usuarios, serian algunos de los ejemplos de estos tipos de
amenazas).

Tipos de Vulnerabilidades
Tal como ocurre con las amenazas, las vulnerabilidades se pueden clasificar de distintas formas,
por ejemplo su origen, pero en este caso se organizaran:
 Diseño
o Debilidad en el diseño de las redes informáticas o de su protección.
o Políticas de seguridad, deficientes o inexistentes.
 Implementación
o Errores de programación.
o Sistemas informáticos desactualizados o mal implementados.
o Errores propios de los fabricantes.
o También se deben incluir las extremadamente peligrosas vulnerabilidades
llamadas de día cero (aquellas que has sido descubiertas por los
Ciberdelincuentes, pero que son desconocidas por los usuarios y fabricantes, de
modo que todavía no se dispone de solución). Estas vulnerabilidades son muy
cotizadas, llegando los interesados a pagar cantidades astronómicas por ellas.
 Uso
o Configuración incorrecta de sistemas informáticos.
o Desconocimiento, falta de concienciación o formación de los empleados y
responsables.
o Uso de aplicaciones no seguras, o uso incorrecto de aplicaciones seguras.
Vulnerabilidades especificas IoT

Hagamos un especial hincapié en las vulnerabilidades relacionadas específicamente con los
dispositivos IoT (Internet de las cosas). Que hasta hace poco no se tenían demasiado en cuenta,
pero que han adquirido una notable importancia.
En el último año han ocurrido importantes

incidentes de seguridad que han estado
relacionados con dispositivos IoT, desde miles de
frigoríficos y cámaras conectadas a Internet que han
sido utilizadas para realizar ataques controlados a
grandes sistemas informáticos, hasta la
manipulación y control a distancia no autorizada de
vehículos de marcas muy conocidas, pasando por
cientos de cajeros automáticos que han sido
controlados a distancia para expulsar dinero en
momentos determinados.
Hay que tener en cuenta que en los próximos años se incrementará exponencialmente el
número de dispositivos de uso diario y cotidiano que estarán conectados a Internet y que

pueden disponer de vulnerabilidades que permitan a Ciberdelincuentes utilizarlos como origen

de ataques, o simplemente como puerta de entrada a las redes corporativas.
¿Quién puede decir que ese televisor de última generación que hay en la cafetería de la
empresa y que está conectado a Internet, no será usado un día como puerta de entrada para
acceder a la red de la empresa?, esto que en principio parece una utopía, es muy factible si los
responsables de la Ciberseguridad de la empresa no aplican las medidas necesarias para
prevenir dicho riesgo, o simplemente un empleado por su propia cuenta conecta el televisor o
cualquier otro dispositivo a la red de la empresa, sin informar de ello antes de realizar dicho
acto.
Ingeniería Social
Se puede definir como el arte de manipular o influir en las personas, sus actitudes y acciones,
con el fin de conseguir que realicen algo que no quieren realizar. (La ingeniería social es
ampliamente usada en otros ámbitos como las ciencias políticas y la inteligencia).
Kevin Mitnick, que fue uno de los hackers más importantes y buscados de la década de los 90,
suele decir de forma muy acertada, que la ingeniería social se basa en 4 principios
fundamentales:
 “A todos nos gusta que nos alaben”

 “El primer movimiento es siempre de confianza hacia el otro”
 “No nos gusta decir No, solo decir sí”
 “Todos queremos ayudar”
(Mitnick 2016)
Los Ciberdelincuentes los tienen muy

asumidos y utilizan estos principios para
conseguir obtener lo que desean de las
víctimas, saben que el eslabón más débil de
la seguridad, siempre es el propio usuario.

Técnicas
Las técnicas usadas en la ingeniería social suelen clasificarse en función de la interacción
que se tiene con la víctima:
 Pasivas: Se basan en la observación y el análisis del comportamiento de la

víctima, con el fin de establecer un perfil psicológico, sus gustos, aficiones y
hábitos.
 No presenciales: Son aquellas que basándose en solicitudes de información,
mediante llamadas telefónicas, correos electrónicos, suplantación de identidad
digital, etc., tratan de obtener información de la víctima. Esta es la técnica de
ingeniera social más extendida (El Phishing forma parte de esta categoría).
 Presenciales no agresivas: Se basan en el seguimiento de la víctima. Aquí se
incluye la vigilancia de domicilios y la búsqueda de información en su entorno
(oficina, libretas, vecinos, basura, etc.).
 Agresivas: Se basan en la presión psicológica y suplantación de identidad física
ya sea de la propia víctima, como de familiares o técnicos de compañías de
servicios.
Phishing
O también llamado suplantación de identidad, se basa en una de las técnicas de
ingeniera social más utilizada, la no presencial.
El método más habitual es en el que el Ciberdelincuente envía uno o varios correos

electrónicos a la víctima, haciéndose pasar por una empresa o contacto de confianza y
solicitando que se descargue un archivo infectado por malware o se haga clic a un
enlace malicioso.
Un ataque Phishing típico podría dividirse en cuatro fases básicas, véase el siguiente
ejemplo:
 En la primera fase, el Ciberdelincuente recolecta información sobre las víctimas,

es habitual que realice la compra de datos personales a redes especializadas en
el tráfico ilegal de datos.
 En la segunda fase, se comete el episodio de Phishing, el Ciberdelincuente envía
de forma masiva correos electrónicos a las posibles víctimas, suplantando la
identidad de compañías bancarias y solicitando las claves de acceso a dichas
cuentas.
 En la tercera fase, el Ciberdelincuente realiza retiradas de dinero de las cuentas
de las víctimas y se transfieren a cuentas de intermediarios, normalmente gente
sin recursos y el escalón más bajo de la organización, también llamados
“muleros”.

 En la cuarta y última fase: Los intermediarios retiran efectivo de sus cuentas y lo

ingresan en las cuentas de los Ciberdelincuentes, quedándose para ellos la
parte pactada.
Para protegerse ante los ataques de Phishing, las reglas de oro son la lógica y sentido
común. En el capítulo de buenas prácticas se mostraran algunas medidas específicas.
Amenazas persistentes avanzadas (APTs)

Debido a su extrema peligrosidad, se ha considerado esencial incluir en esta obra, una sección
especialmente dedicada a las amenazas APT.
Los procesos APT son procesos dirigidos específicamente contra un objetivo concreto, que
normalmente se trata de una corporación, aunque pueden dirigirse a una persona o colectivo
determinado y que habitualmente persiguen el robo de información.
Estos procesos requieren un largo periodo de preparación, incluso años, alta capacitación del
atacante, gran motivación y una importante inversión económica para poder llevarlos a cabo.
Aunque es necesario mencionar que los beneficios que proporcionan estos ataques son
exponencialmente proporcionales al tiempo e inversión realizada.
El ciclo de vida de un proceso APT consta de varias fases:
 Recolección de información: En la primera fase se realiza una amplia recolección de

información sobre el objetivo, se aplican todo tipo de técnicas de ingeniera social junto
a la recopilación de información de todas las fuentes disponibles.
 Intrusión en la Red: La finalidad de esta fase es acceder a la red o sistemas, por lo que se
emplearan todo tipo de técnicas, incluso vulnerabilidades de día cero, para conseguir el
objetivo.
 Establecimiento de conexión de salida: Una vez ha accedido a los sistemas o redes, el
atacante establecerá métodos seguros de conexión de salida, para poder trasmitir
datos al exterior de la forma más discreta posible con el fin de no ser detectado y evitar
poner en alerta a la víctima.
 Propagación: En esta fase se realiza una propagación del ataque a todos los sistemas,
equipos y servicios que estén en la red, para conseguir la mayor cantidad de
información posible.
 Extracción de información: De forma metódica y a pequeña escala para no levantar
sospechas, el atacante extrae la información obtenida. No hay que olvidar que son
ataques persistentes, por consiguiente la filtración de información puede prolongarse
durante largos periodos de tiempo, de manera que la cantidad de información filtrada
puede ser inmensa.

 Eliminación de huellas: Este proceso se realiza durante todas las fases, a partir de que se
ha conseguido el acceso a los sistemas, para evitar ser detectado o levantar sospechas
ni poder ser localizado.
Es muy difícil protegerse de este tipo de ataques, será necesario desplegar medidas de
“Defensa en profundidad” combinadas con estrategias de defensa temprana y eficaces políticas
de seguridad.
Gestión del riesgo

La Gestión de Riesgo es el método que permite establecer, analizar, evaluar y clasificar el riesgo,
para de este modo poder implementar las medidas necesarias para poder mitigarlo.
La gestión del riesgo se divide en distintas fases dependiendo de la metodología que se utilice,
en esta ocasión se han elegido las fases más comunes, tal como muestra INCIBE (El Instituto
Nacional de Ciberseguridad de España, SA):
(INCIBE 2014)
 Definir el alcance: En este paso se establece el alcance del análisis, es decir, qué
departamentos de la empresa, que procesos, sistemas o instalaciones se verán
afectados.
 Identificar los activos: Se deben identificar, numerar y clasificar, todos y cada uno de los
activos a analizar (Información, Bases de datos, Documentos, Servidores, Routers,
Terminales, etc.).
 Identificar las amenazas: En esta fase se deben identificar y clasificar todas las amenazas
que afecten a cada uno de los activos seleccionados en la fase anterior de
identificación.

 Identificar vulnerabilidades y salvaguardas: En la cuarta fase, es necesario analizar los

activos para identificar las vulnerabilidades y al mismo tiempo también se deben
analizar las posibles medidas de seguridad que ya están implementadas para
salvaguardar dichos activos.
 Evaluar el riesgo: Con la información obtenida de las fases anteriores, se puede realizar
el análisis del riesgo. En esta fase se deberá realizar una valoración de la probabilidad
de que suceda una amenaza para un activo determinado y el impacto que esto tendría.
A continuación se muestran unos ejemplos de tablas para la clasificación de la
probabilidad y el impacto:
Cualitativo Cuantitativo Probabilidad

Baja 1 Sucede una vez al año o menos
Media 2 Sucede una vez al mes o menos
Alta 3 Sucede más de una vez al mes
Cualitativo Cuantitativo Impacto

Bajo 1 No supone daños relevantes para la empresa
Medio 2 Supone daños relevantes para la empresa
Alto 3 Supone daños graves para la empresa
Una vez realizadas las clasificaciones ya es posible realizar el análisis y cálculo del riesgo.
En la siguiente tabla se puede observar dicho análisis (Matriz de evaluación de riesgos),
donde convergen impacto y probabilidad de cada amenaza y activo, para arrojar un
resultado equivalente al riesgo que representa.
Riesgo= probabilidad * impacto
Probabilidad de Amenazas
Criminalidad Sucesos físicos Negligencia
Matriz análisis de riesgo
Robo Malware Incendio Suministro Gestión de Cifrado de
eléctrico contraseñas datos
Activos Impacto 3 4 2 3 4 3
Información
Datos personales 3 9 12 6 9 12 9
Contabilidad 4 12 16 8 12 16 12
Sistemas
Equipos sobremesa 2 6 8 4 6 8 6
Portátiles 3 9 12 6 9 12 9
Personal
Dirección 4 12 16 8 12 16 12
Técnicos 3 9 12 6 9 12 9
Hay que recordar que el RGPD (Que se ha expuesto en el capítulo 2), establece que
todas las empresas están obligadas a realizar un análisis de riesgos.

 Tratar el riesgo: Por último será necesario tratar los riesgos que superen el umbral de
seguridad establecido. Si se pone de ejemplo la tabla anterior, la empresa podría
establecer la necesidad de realizar un tratamiento de los riesgos que superen el valor 6.
En cualquier tratamiento del riesgo hay que tomar decisiones, y estas se resumen en:
o Transferir: Derivar el riesgo a terceros, un caso habitual es la contratación de

seguros.
o Eliminar: Suprimir el activo o proceso implicado en el riesgo, por ejemplo eliminar la
conexión a Internet, aunque en la mayoría de casos la de eliminar un activo o
proceso no suele ser la más adecuada.
o Asumir: En algunas ocasiones, aunque tiene que ser muy razonada, se puede tomar
la decisión de asumir un riesgo y no realizar ningún tratamiento. Esto suele ocurrir
cuando el coste de realizar otra acción es inasumible y siempre será necesario
valorar adecuadamente el impacto que tendría si llegase a materializarse.
o Mitigar: Esta debería ser la decisión mayormente adoptada. Un ejemplo podría ser
la implementación de una correcta política de cifrado de datos en el caso de que
esta no exista.
La gestión del riesgo debe incluir obligatoriamente un plan de revisión periódico. Los riesgos en
la Ciberseguridad no son elementos estáticos, al contrario, son elementos muy vivos,
constantemente aparecen nuevas vulnerabilidades. Los activos tienen una gran rotación y
actualización. La obsolescencia de los equipos y sistemas es muy elevada.

Capítulo 4: Hacking
En este capítulo, se trata el Hacking
entendiéndolo como Cibercrimen, o los actos
realizados por Hackers de sombrero negro
(Black Hats) o Ciberdelincuentes, con fines
ilícitos. En el capítulo 2 se han expuesto los
distintos tipos de delitos y su clasificación. Aquí
se expondrán los métodos más comunes
utilizados para realizar ataques.
Clasificación y características
Los ataques ejecutados por Ciberdelincuentes profesionales suelen ser procesos muy
elaborados, estudiados y definidos, que se componen de varias etapas:
 Recogida de información (Information Gathering).

o Información pública, medios públicos (Footprinting).
o Información privada, técnica y más específica (Fingerprinting).
 Construcción y ejecución del ataque.
 Repetición, en el caso de que no sea un ataque aislado.
 Obtención de resultados.
 Anonimato (Se sostiene a lo largo de todo el tiempo).
Con el fin de entender algo mejor los tipos de actos ilícitos realizados por los Ciberdelincuentes,
a continuación se muestran agrupados según el objetivo de los mismos:
Web Hacking
Comprende los actos ilícitos realizados
contra los sitios Web o servicios ubicados
en Internet. Estos ataques son muy
comunes debido al gran nivel de
exposición que tienen estos sitios y
servicios, así como la cantidad de
vulnerabilidades que albergan.

A continuación se muestra una clasificación de los distintos tipos de ataques Web:
 Autenticación: Son ataques dirigidos al método de autenticación, con el objetivo

de conseguir acceso a webs o servicios a los que no se tiene.
 Autorización: Estos ataques van orientados a conseguir mayor autorización en
sitios que se tiene una autorización limitada.
 Ataques en la parte cliente: Son ataques de suplantación de contenido, se trata
de engañar al usuario y hacerle creer que un contenido insertado por el
atacante es legítimo, cuando en realidad no lo es.
 Ejecución de comandos: En este caso atacan al servidor desde los propios sitios,
aprovechando vulnerabilidades en el código para ejecutar comandos e
instrucciones arbitrarias en el servidor.
 Revelación de información: Ataques enfocados a conseguir información no
autorizada del servidor. Empleando vulnerabilidades de los sitios, intentan
recuperar documentos y archivos confidenciales.
 Ataques lógicos: Aprovechando las propias capacidades y funcionalidades del
sitio, consiguen automatizar procesos que deberían realizarse manualmente,
esquivar sistemas de control o incluso dejar inoperativos los servidores.
Hacking de Redes
Abarca los ataques realizados contra las
redes informáticas y contra los
dispositivos ubicados en ellas.
Es necesario no caer en el olvido y

mencionar que los dispositivos móviles
(smartphones) y redes inalámbricas
(Wifi) también son objetivos
fundamentales de estos tipos de
ataques.
Se podrían clasificar los ataques a redes en dos categorías:
 Pasivos: En estos ataques el objetivo principal es escuchar las transmisiones e

interceptar los datos. Son ataques difíciles de detectar e intervenir sobre ellos.
Ejemplos claros podrían ser el robo información y credenciales.
 Activos: Estos ataques van orientados a la modificación, destrucción o creación
de datos falsos, la interrupción de servicios y otros actos maliciosos. Son más
fáciles de detectar, pero también más impredecibles. Esencialmente se pueden
subdividir en: suplantación de identidad, reactuación o repetición, modificación
de mensajes y degradación de servicios.

Dentro de los ataques activos, se encuentran los conocidos DDoS, ataques de

denegación de servicio. Son ataques a sistemas que de forma temporal causan
que un servicio o recurso no sea accesible por los usuarios. Para ello se suelen
usar ejércitos de ordenadores o dispositivos, también llamados “Botnets”, que
están infectados con Malware que puede ser controlado remotamente para
poder realizar estas acciones.
Escalar Privilegios
Son las acciones ilícitas realizadas con el objetivo de adquirir permisos o privilegios de
usuarios distintos o superiores a los que se tienen establecidos por defecto.
Estos ataques suelen dividirse en:
 Verticales: Obtener privilegios de un usuario de nivel superior.

 Horizontales: Obtener acceso a cuentas de usuario del mismo nivel.
Hacking IoT
Incluye los ataques realizados desde o hacia los dispositivos conectados a Internet,
también llamado Internet de las cosas o “IoT”. Este tipo de ataques ha adquirido una
importante relevancia debido a que está
creciendo de forma exponencial el número de
dispositivos que se están conectando a
Internet, ya existen televisores, neveras,
termostatos, vehículos, y todo tipo de
sensores conectados y por ello susceptibles
de ser víctimas de estos ataques.
Estos ataques se pueden clasificar en dos grandes grupos:
 Como objetivo: Son los ataques dirigidos a entorpecer, deshabilitar o modificar

el habitual funcionamiento y/o comportamiento de los dispositivos IoT. Estos
ataques pretenden causar directa o indirectamente, pérdidas o daños a los
usuarios o fabricantes de los dispositivos.
 Como recurso: Son los ataques dirigidos a modificar la programación de los
dispositivos, de modo que puedan ser utilizados por el atacante como un
recurso o arma en ataques a otros objetivos. Estos ataques pretenden crear
pequeños ejércitos de dispositivos preparados para realizar ataques a los
objetivos elegidos por el Ciberdelincuente, también llamados “Bootnets IoT”.

Hacking Industrial o IIoT

Todos los ataques realizados a infraestructuras, sistemas industriales o equipos que
controlan los procesos industriales (IIoT - Internet Industrial de las cosas). Del mismo
modo que los dispositivos IoT están cada vez más presentes en la actividad cotidiana,
los equipos industriales ya están
mayoritariamente automatizados y conectados
a Internet, por consiguiente son claros
objetivos de los Ciberdelincuentes, sobre todo
cuando se habla de infraestructuras críticas.
Las infraestructuras críticas son firmes

candidatas a los temidos ataques APT, por lo
que están obligadas por ley a disponer de unas
medidas especiales de protección contra
Ciberataques.
Hacking por hardware

Hace referencia a los ataques o actos ilícitos, en los que se usa como medio de acceso a
los sistemas, dispositivos electrónicos especialmente diseñados para ello o reutilizados
de forma maliciosa.
 Reutilizados: En este grupo estarían los dispositivos USB que han sido
infectados con aplicaciones maliciosas (malware).
 Específicos: Existen una gran variedad de dispositivos diseñados
específicamente para realizar tares de hacking. Dentro de este grupo se pueden
incluir herramientas como “USB Rubber Ducky”, “KeyGrabber”, “Throwing Star
LAN Tap”, “WiFi Pineapple”, “Pwn Pad” y muchas más.

Capítulo 5: Malware
Malware puede definirse como: aplicación maliciosa que ha sido diseñada explícitamente para
realizar actos ilícitos. Es habitual utilizar de forma incorrecta Virus Informático para referirse a
Malware, cuando en realidad un Virus Informático es un tipo concreto de Malware.
El 31,9% de los equipos de los usuarios sufrieron al menos un tipo de ataque con programas
maliciosos desde Internet durante el año 2016. (Kaspersky Lab 2016).
Tipos de Malware y características

Existe una gran variedad de Malware, a continuación se muestra una clasificación del mismo
según funcionalidades:
 Virus clásicos: Programas maliciosos diseñados para infectar otros programas como
método de propagación.
 Gusanos: En este caso las aplicaciones maliciosas están diseñadas para que se
propaguen entre equipos de las redes, pero sin infectar a otras aplicaciones.
 Troyanos: Como su nombre indica son caballos de Troya, aplicaciones malignas
disfrazadas de aplicaciones que realizan funciones licitas u ocultándose dentro de ellas.
 Spyware: Permiten recolectar información de forma ilícita y enviarla al Ciberdelincuente
de forma invisible para el usuario.
 Adware: Aplicaciones que muestran publicidad no deseada ni solicitada, este tipo de
software malicioso se suele encontrar en programas distribuidos de forma gratuita.
 Ransomware: Este grupo lo forman programas diseñados para extorsionar a sus
víctimas. Existen diversas variantes, las más peligrosas son las que cifran los datos de la

víctima y solicitan un rescate por ellos. En 2016 la friolera cifra de 1.445.434 equipos de
usuarios fueron atacados por Ransomware (Kaspersky Lab 2016).
 Rootkits: Son aplicaciones malignas especialmente diseñadas para obtener acceso no
autorizado a ordenadores, sin ser detectados. Para pasar inadvertidos pueden incluso
instalarse de forma que se ejecuten antes que el propio sistema operativo.
 Backdoor (RAT): Programas maliciosos de administración remota. Este malware permite
al atacante acceder y controlar el ordenador de forma remota.
 Downloader: Aplicaciones maliciosas que permiten al atacante instalar o descargar otras
aplicaciones en el equipo de la víctima.
Como nota a esta clasificación, hay que recordar que es común que algunos programas
maliciosos, dentro de sus funcionalidades les hayan incluido varias de las técnicas expuestas, de
modo que podrían pertenecer a varias categorías al mismo tiempo.
Métodos de propagación
Conocer los métodos de propagación del Malware es una de las formas más eficaces de
prevención. Existen cuatro métodos principales de propagación:
 Ingeniería social en correo electrónico: Ya se ha profundizado en la ingeniería social en

un capitulo anterior. Un ejemplo clásico podría ser el típico correo electrónico que
solicita que se haga clic en un enlace para recibir un premio de un concurso que en
teoría se ha ganado, o que lleva un archivo adjunto para que se descargue.
 Unidades infectadas: Discos duros o unidades USB infectadas por malware, que al
introducirlas en otros equipos transfieren dicho malware a estos.
 Software pirata: La instalación de software pirata es otro método importante de
propagación. Suelen ser aplicaciones originales y de pago infectadas con malware, que
se ponen a disposición de los navegantes de forma gratuita.
 Páginas Web infectadas: La visita de una página web infectada con software malicioso,
puede producir una infección del ordenador. Durante el 2016 un total de 261.774.932
URLs únicas fueron reconocidas como maliciosas por los componentes Web Antivirus
(Kaspersky Lab 2016).

Métodos de detección
Existen principalmente dos técnicas de detección automatizada de Malware:
 Por firmas: Se trata de detectar las aplicaciones maliciosas buscando su firma dentro de
la aplicación. La firma no deja de ser algo parecido a una cadena de caracteres que
identifica de forma única a la aplicación.
 Heurística: Se trata de una técnica proactiva que analiza una aplicación y compara su
comportamiento con patrones que podrían revelar la presencia de una actividad
maliciosa.
Estos métodos de detección están ampliamente implementados en los programas de detección

de software malicioso, llamados Antivirus o Antimalware.
Métodos de protección
Los métodos para mitigar los riesgos de infección por Malware básicamente se clasifican en:
Activos
En los métodos activos se trata de utilizar aplicaciones que permitan la detección de las
aplicaciones maliciosas o la prevención mediante el control de las actividades. Dentro
de los métodos activos se pueden encontrar:
 Antivirus: Aplicaciones diseñadas para detectar y eliminar Malware utilizando

los métodos de detección por firmas y heurística.
 Filtros de archivos: Reglas automáticas para filtrar el tipo de archivos que
pueden descargarse por ejemplo de Internet o que pueden ser aceptados como
adjuntos a un correo electrónico. Es común configurar estas reglas en los
sistemas de protección instalados en las empresas, como por ejemplo los
“Firewall”.
Pasivos
Son aquellos en los que el usuario debe aplicar la lógica y evitar realizar acciones
peligrosas, que pongan en riesgo la seguridad de los ordenadores y su información.
También llamadas “Buenas prácticas”.
En el siguiente capítulo se tratará más a fondo todo lo relacionado con las “Buenas
prácticas”.

Capítulo 6: Buenas prácticas

En este capítulo se hará hincapié en lo que se debe hacer y sobre todo en lo que no se debe
hacer, para minimizar los riesgos intrínsecos a la utilización de la tecnología y la gestión de datos
e información.
La mayor parte de las buenas prácticas aquí descritas no requieren ninguna capacitación técnica
específica para llevarlas a cabo. Aunque algunas dependerán directamente de las directrices de
la dirección o de las configuraciones y sistemas implementados por los administradores o
responsables de la Ciberseguridad de su organización.
Principios básicos
 Mínimo privilegio: El usuario de un sistema informático debe tener los privilegios o
permisos necesarios para llevar a cabo las tareas específicas de su puesto de trabajo,
pero jamás debe tener más permisos de los estrictamente necesarios. Por ejemplo: un
usuario que efectúa tareas administrativas, no necesita disponer de permisos para
poder instalar aplicaciones.
 Mínima superficie de exposición: Este principio se basa en que a mayor superficie de
exposición, mayor es el número de vulnerabilidades se está expuesto.
Aquí se muestran dos ejemplos de mínima superficie de exposición:

o Si en un servidor se ha dispuesto una carpeta compartida con el fin de que el
departamento de facturación la use como repositorio temporal de las facturas
recibidas por correo electrónico, el resto de departamentos o empleados que
no necesiten acceso a dicha información, deben tener restringido dicho acceso.
o Si una impresora que dispone de tecnología Wifi para poder imprimir sin cables,
pero en la realidad está conectada a la red de la empresa por cable y no se usa
la impresión por Wifi, esta impresora debería tener la opción Wifi desactivada
para evitar posibles vulnerabilidades.
Como observación, la tecnología IoT entra en conflicto directo con este principio,
debido a que este tipo de tecnología se basa principalmente en la conexión y acceso
por medio de Internet y, por tanto, en una gran superficie de exposición. por
consiguiente hay que tener una especial atención en la implementación de soluciones
que utilicen estos dispositivos.
 Defensa en profundidad: Este principio se basa en la defensa o protección por capas.
Básicamente se podría decir que si es posible proteger un activo de la organización
utilizando distintos métodos esto debe llevarse a la práctica. Por ejemplo: Si un equipo
dispone de antivirus, esto no es motivo para que la red no disponga de un segundo
método de protección como un Sistema de prevención de intrusos (IPS).

Factor humano
En la sección dedicada a la ingeniería social ya se ha mencionado el factor humano como una de
las vulnerabilidades ampliamente aprovechada por los Ciberdelincuentes. No hay duda en que
el eslabón más débil en la cadena de seguridad es “El factor humano” (curiosidad, imprudencia,
confianza, etc.)
Roles y responsabilidades
Los roles de los usuarios de los sistemas informáticos deben estar definidos de forma
clara y deben tener aplicadas las restricciones y permisos adecuados según las
necesidades de cada puesto de trabajo.
Los roles van totalmente relacionados con las responsabilidades, a mayor nivel de
permisos, mayores son las responsabilidades. Unos roles correctamente definidos,
serán tan beneficiosos para la empresa como para el propio empleado.
Normas básicas
Contrarrestar actitudes que son intrínsecas del propio ser humano, es algo complejo en
consecuencia será necesario implementar unas normas básicas:
 Cumplimiento de políticas: La definición de correctas políticas y procesos es una

gran herramienta de protección frente amenazas. Se debería considerar
prioritario implementar Sistemas de Gestión de la Seguridad de la Información
(SGSI) o en su defecto políticas y procesos específicos para mitigar riesgos. Así
como formar y concienciar al personal sobre la necesidad de su correcto
cumplimiento.
 Confiabilidad: Es muy importante que los empleados de la empresa sean
conscientes de que los protocolos y las normas son imprescindibles para
garantizar la seguridad de los activos y como consecuencia la continuidad del
negocio. Pero el ser humano es proclive a cometer errores, así que es
igualmente necesario concienciar a los empleados de la necesidad de
comunicar cualquier error cometido lo antes posible, para poder mitigar
cualquier riesgo o impacto.
 Formación: La empresa tiene la obligación a formar a sus empleados en
Ciberseguridad y el empleado por su parte debe tener conciencia de la
importancia de formarse adecuadamente en los conocimientos básicos de
Ciberseguridad, que le serán aplicables incluso a sus actividades personales.
 Soporte: Cuando algún empleado de la organización deba realizar algún
proceso que pueda representar un riesgo especial, debe tener soporte técnico
para poder realizarlo de la forma menos peligrosa posible.
 Comunicación: Las comunicaciones que se efectúan entre empleados o
departamentos, deben ser formales. No es válido utilizar ningún método que
pueda provocar errores o confusiones.

 Nada es confiable: El usuario debe desconfiar absolutamente de todo, por

supuesto sin llegar a la paranoia. Pero hay que concienciarse de que nada es
gratis; el banco no solicita jamás tus datos, ya los sabe; el usuario jamás debe
descargarse nada de una página web, es tarea de los técnicos; el USB de casa
no se puede utilizar en la empresa, etc. Ante la duda siempre DESCONFIAR,
solicitar soporte, consultar y verificar.
El perímetro corporativo.
La seguridad tradicional se entendía en la necesidad de proteger los sistemas e información que
se encontraban dentro del perímetro corporativo, aplicando el principio de mínima exposición.
En la actualidad este perímetro corporativo ya no existe, el trabajo en el domicilio, la necesaria

relación e intercambio de información entre corporaciones, la implementación de dispositivos
IoT, los servicios en la nube “Cloud”, por supuesto los dispositivos móviles (smartphones) y
otros factores, hacen muy permeable el perímetro corporativo.
Ante este paradigma es necesario aplicar las siguientes pautas:
 La empresa: Todos los dispositivos y servicios que se encuentran fuera de las redes de la
empresa, deben de ser tratados y supervisados como vulnerabilidades propias de la
empresa. Si se contrata un servicio en la nube, este representará una amenaza que
deberá ser tratada y controlada del mismo modo que si fuese un servicio interno.
 El usuario: Debe aplicar los mismos principios y normas que aplicaría mientras está
utilizando equipos y sistemas dentro de la empresa. Cuando un empleado va de viaje,
debe tener en cuenta que no puede conectar el portátil a una Wifi pública, ya que
tampoco lo haría si estuviese en su puesto de trabajo habitual.
Wifis públicas.
Mucho más común de lo que debería, el uso de las Wifis públicas está
extendido. Cafeterías, restaurantes, piscinas, hoteles y una gran cantidad
de establecimientos ofrecen “Wifi Free”, en la mayoría de los casos estas
Wifis no pueden ofrecer ninguna garantía de seguridad al usuario, por
consiguiente su uso es altamente peligroso, debido a que no solo son
públicas, también son compartidas por otros usuarios sin ningún tipo de control.
En cuanto a normas básicas, solo se puede aconsejar una: No utilizarlas.
Es fácil deducir que en las Wifis públicas se está completamente expuesto a los riesgos
mencionados en el apartado de Hacking de Redes.

Seguridad de la información
Objetivos
Las buenas prácticas de la seguridad de la información persiguen mantener:
 La Integridad: La información solo puede ser manipulada por los usuarios

autorizados y de la forma establecida.
 La Confidencialidad: A la información y datos solo pueden acceder los usuarios
autorizados, para los propósitos establecidos y en el instante especificado.
 La Disponibilidad: La información debe estar disponible y accesible por los
usuarios autorizados en el momento que sea necesario.
 La Irrefutabilidad: (No repudio): El acceso o modificación de la información por
parte del usuario debe ser irrefutable, siempre se debe poder conocer quien,
cuando, desde donde y el motivo, por el cual un usuario accedió o manipulo
una información determinada.
Seguridad por defecto y/o por diseño

El concepto de seguridad por defecto y/o por diseño debe ser aplicado en todos los
procesos que manejan información o datos, desde el mismo momento que se diseña o
plantea el propio proceso. Por ejemplo: en el instante que se plantea el proceso de
aceptación y entrada de facturas de los proveedores, debe tenerse en cuenta la
seguridad de la información, quien y cuando tendrá acceso a los datos, donde se
guardarán y que medidas de protección se emplearán.
Será mucho más efectivo, seguro y menos costoso, un proceso que ha tenido en cuenta
la seguridad por defecto y/o diseño, que un proceso al cual haya sido necesario aplicar
medidas de protección y privacidad posteriormente.
Sistemas actualizados
Los sistemas operativos, ya sean de los servidores como de los propios terminales u
ordenadores independientes, deben estar siempre actualizados con las últimas
versiones disponibles. Muchas de las actualizaciones de los sistemas operativos
incorporan soluciones a vulnerabilidades conocidas, el simple hecho de tener un
sistema operativo desactualizado es en sí un peligro importante, ya que un atacante
puede utilizar una vulnerabilidad conocida para acceder fácilmente a él.

Control de accesos
Es necesario implementar controles de acceso a los sistemas y aplicaciones, de forma
que los usuarios deban introducir sus credenciales para acceder a ellos.
Cabe recordar que las credenciales deben estar correctamente vinculadas a los roles de
cada usuario, así como a los permisos y restricciones oportunas.
Gestión segura de contraseñas.

Ya sean empresas o usuarios particulares, todos usan multitud de contraseñas para
poder acceder a la gran variedad de servicios en la nube y recursos locales, como
correos electrónicos, plataformas corporativas, redes sociales, acceso a programas de
gestión, etc.
El hecho de disponer de una política en la gestión y uso de contraseñas permite

aumentar notablemente el nivel de seguridad y privacidad de la información.
Las normas básicas serian:
 Contraseñas robustas: Las contraseñas no deben ser fáciles; no deben ser

predecibles por parte de los atacantes; no deben ser sencillas de relacionar con
hábitos, familiares o bienes; deberían contener un mínimo de 8 caracteres,
combinados con símbolos y números.
 Evitar reutilización: No deben reutilizarse las contraseñas, ni para acceder a
distintas plataformas o servicios, ni en el tiempo reutilizando una contraseña ya
utilizada años atrás.
 Caducidad programada: Una contraseña jamás puede usada por un periodo
superior a un año.
 Uso de gestores de claves: Las normas básicas de uso de contraseñas que se han
expuesto revierten en la imposibilidad o gran dificultad en memorizarlas e
incluso en su propia gestión, por consiguiente es recomendable el uso de
aplicaciones que permitan la gestión de contraseñas.
Antimalware.
Ya se ha hablado de forma extensa en el capítulo 5 sobre el Malware y de los métodos
de protección (pasivos y activos), pero es necesario volver a referirse a ello y recordar la
importancia de instalar una aplicación Antimalware (También llamado Antivirus), así
como mantenerla correctamente actualizada.
La gran mayoría de fabricantes de aplicaciones Antimalware disponen de plataformas

centralizadas de gestión de las mismas, esto será un recurso muy eficaz e interesante
para la gestión, control y actualización masiva de aplicaciones Antimalware en entornos
corporativos.

Hay que recordar que los dispositivos móviles (smartphones) no dejan de ser
ordenadores que gestionan información y están conectados a internet, de manera que
también deben tener un Antimalware instalado.
Estas son algunas de las aplicaciones antimalware existentes.
El correo electrónico
El correo electrónico se ha convertido en uno de los grandes aliados de los
Ciberdelincuentes, ya nos hemos referido en varias ocasiones, al uso que hacen de ellos
junto con técnicas de ingeniería social, con el objetivo de infectar con malware los
equipos informáticos u obtener información de los usuarios.
Las normas básicas que se deberían tener en cuenta en el uso del correo electrónico
son:
 Estar alerta: La lógica, la intuición y la precaución son los grandes aliados. Si algo
parece raro, es que es raro y por supuesto peligroso: (raro o extraño) =
peligroso.
 Nada es gratis: Nada de lo que puedan ofrecer gratis será realmente gratis, el
simple hecho de enviar un correo electrónico ha tenido un coste. No se debe
hacer caso a campañas publicitarias donde ofrecen servicios gratis o con costes
ridículos.
 Desconocidos no gracias: Si el remitente es un desconocido hay que activar
todas las alarmas y estar muy atentos al contenido del correo, ya que podría
fácilmente ser un correo malicioso. Aunque es necesario especificar que si el
remitente es conocido, pero el mensaje parece algo extraño o inesperado, se
aplicará la fórmula: (raro o extraño) = peligroso.

 Archivos adjuntos un peligro: Nunca abrir un archivo adjunto a un correo

electrónico, si no se está completamente seguro de que proviene de un
remitente de confianza y/o se esperaba la recepción del adjunto.
 Contraseñas: Las contraseñas deben ser fuertes, no reutilizadas y deben
renovarse de forma periódica.
 Antimalware actualizado: La mayoría de Antimalware o Antivirus realizan
análisis automáticos de los correos antes de mostrarlas al usuario, por
consiguiente es necesario tener instalada alguna aplicación de este tipo.
Navegación Segura
En Internet se encuentran incontables Webs con información muy valiosa, confiable,
interesante e incluso necesaria, pero también hay Webs con aplicaciones maliciosas,
que intentaran usar vulnerabilidades de los navegadores para infectar a los equipos de
los usuarios que las visiten.
Las normas básicas de navegación segura son:
 Navegador actualizado: Los navegadores son aplicaciones informáticas que

como cualquier otra tienen vulnerabilidades que los Ciberdelincuentes
aprovechan, es necesario mantener los navegadores actualizados a la última
versión con el fin de que tengan solucionadas el mayor número de
vulnerabilidades posible.
 Sitios de confianza: Visitar sitios conocidos y de confianza no es una garantía
100% de que estén libres de aplicaciones maliciosas, pero seguro que estarán
más controlados que sitios de dudosa titularidad.
 Páginas web con https: Las páginas web cuya dirección empieza por https, son
direcciones seguras, no se deberían realizar operaciones bancarias o
transacciones en webs cuya dirección no empiece por https.
 Direcciones correctas (URLs): Se debe verificar las direcciones de los sitios Web
(URLs) que se visitan ya que existen muchas tentativas de engaño, dirigiendo a
los usuarios a páginas web malignas que tienen una apariencia igual a la original
y que solo se podrán diferenciar verificando que la dirección es la correcta.
 No aceptar descargas: Si una página web solicita que se realice una descarga de
un programa, no aceptar dicha descarga a excepción que se esté totalmente
seguro de que se está descargando una aplicación de confianza.
 Antimalware actualizado: La mayoría de Antimalware o Antivirus, realizan
análisis automáticos de las Webs antes de mostrarlas al usuario, del mismo
modo disponen de listas de sitios Web maliciosos, por consiguiente es
necesario tener instalada alguna aplicación de este tipo.
Aplicaciones de confianza.
Ya se ha comentado del peligro de descargar e instalar software pirata, pero en este
punto se hace mención a todo tipo de software pirata, no solo el que se puede
descargar de internet.

La instalación de software pirata significa que:
 No se puede garantizar la que no contenga malware.

 No se puede garantizar que cumpla correctamente con las funciones para las
que ha sido diseñado.
 No se puede garantizar que se pueda actualizar.
 Se está incumpliendo la ley.
Copias de seguridad
A estas alturas no debería ser necesario recordar que la realización de copias de
seguridad debe ser una prioridad para cualquier usuario o empresa.
Las copias deben realizarse de forma correcta:
 Las copias de seguridad deben realizarse de forma automática y programada,

sin que sea necesaria la intervención humana para ello.
 Los dispositivos de copias de seguridad deben estar protegidos y solo deben ser
accesibles de forma segura. No sirve de nada guardar copias de seguridad
dentro del propio equipo con el que se han realizado, ni en dispositivos que
sean accesibles directamente sin ningún tipo de protección.
 Se deben realizar pruebas periódicas de la integridad de las copias.
 Las copias de seguridad se deben guardar de forma segura y deben existir
copias en una segunda ubicación física controlada.
Destrucción segura
La tecnología se queda obsoleta rápidamente y debe ser sustituida de forma periódica,
también ocurre esto con los dispositivos de almacenamiento de datos, como discos
duros, unidades USB, etc. Pero todos estos dispositivos contienen información, la cual
debe ser eliminada de forma confiable antes de proceder a la retirada de dichos
dispositivos.
Esta información solo puede ser eliminada utilizando aplicaciones específicas que
sobrescriben las unidades de forma repetitiva con datos aleatorios o mediante su
destrucción física, esta última la más recomendable.
Necesidades específicas en IoT

Los dispositivos IoT son equipos conectados a internet que en la mayoría de los casos no
reciben ninguna atención especial, cuando la realidad es que son un objetivo potencial de los
Ciberdelincuentes.
Las medidas básicas de protección en IoT deberían ser:
 Solo deben estar conectados a internet los dispositivos que realmente lo necesiten.

 Los dispositivos que estén conectados deberían estar aislados de la red corporativa de
la empresa y disponer de sistemas de fortificación.
 Las claves de acceso a los dispositivos deben ser robustas y no pueden ser las asignadas
por el fabricante.
 Las comunicaciones deber ser cifradas.
 Los fabricantes deberían aportar garantías de que han sido fabricados cumpliendo
normas básicas de seguridad por defecto y que disponen de un servicio de actualización
del firmware con el objetivo de solventar posibles vulnerabilidades.
 Se deben establecer políticas y procesos adecuados al paradigma de IoT.
Necesidades específicas en Cloud.
En los servicios en la nube “Cloud”,

uno de los principales al contratar
servicios en la nube es que se pierde
el control sobre ellos y se establece
una relación de confianza con el
proveedor, el cual será el encargado
de la protección de los datos que la
empresa o usuario haya depositado.
En este entorno se deben tener en cuenta tres puntos básicos:
 Debido a la pérdida de control, se deben buscar garantías de que el proveedor cumple

unas normas estrictas seguridad. Existen dos normativas ISO que hacen referencia
explícita a estos tipos de servicios: La norma ISO 27017 (Controles de seguridad para
servicios Cloud) y la norma ISO 27018 (Requisitos para la protección de la información
de identificación personal en sistemas Cloud), que pueden ser un factor decisivo al
seleccionar el proveedor de servicios.
 Todas las comunicaciones e intercambio de información con los servicios contratados
en la nube, deben realizarse mediante protocolos seguros y con datos cifrados.
 Por supuesto, se deben establecer políticas y procedimientos adecuados.

Sistemas operativos de confianza (TOS)

Este es un aspecto bastante desconocido incluso por los responsables de las tecnologías de
información de las empresas. Existen sistemas operativos llamados “De Confianza”. Estos
sistemas operativos han sido diseñados desde cero o adaptados a partir de sistemas operativos
convencionales con la intención de que cumplan cuatro requisitos fundamentales:
 Corrección funcional: Deben disponer de métodos de monitorización y auditoria

diseñados para verificar que los procesos del sistema realizan correctamente las
funciones especificadas en el diseño.
 Integridad de la información y operaciones: Deben incorporar sistemas de detección de
modificaciones no autorizadas de información transmitida entre procesos del sistema.
 Limitación de privilegios: Deben garantizar el correcto control de accesos a todos los
recursos.
 Nivel de apropiado de confidencialidad: Deben permitir definir esquemas complejos de
confidencialidad.
Lista de algunos sistemas operativos de confianza certificados (Common Criteria Certification

Process):
 Apple Mac OS X 10.6 (EAL 3+).

 HP-UX 11i v3 (EAL 4+).
 Algunas distribuciones Linux (hasta EAL 4+).
 Microsoft Windows 7 y Microsoft Server 2008 R2 (EAL 4+).
 AIX 5L with PitBull Foundation (EAL 4+).
 Trusted Solaris.
 Trusted UNICOS 8.0.
 Ubuntu 14.4 LTS.
 XTS-400 (EAL5+).
 IBM VM (SP, BSE, HPO, XA, ESA, etc.) con RACF.

Capítulo 7: Reacción frente un incidente

Establecer y llevar a cabo una reacción organizada tras detectar un incidente relacionado con la
Ciberseguridad es vital, ya que permite mitigar el impacto del mismo, por consiguiente en todas
las organizaciones debería existir un protocolo claro de actuación y gestión de incidentes de
Ciberseguridad. Este protocolo de actuación debería establecer como mínimo las siguientes
fases:
Detección
La detección temprana de incidentes de Ciberseguridad es clave para la corporación. Si se parte
de la premisa que la seguridad al cien por cien no existe, se asume que será imposible
garantizar que no ocurrirá ningún incidente de Ciberseguridad, en consecuencia se deben
disponer métodos y medidas de detección de incidentes. Aquí entra en juego una correcta
aplicación de políticas, herramientas proactivas de monitorización y la adecuada concienciación
de los usuarios y responsables de los sistemas informáticos.
Análisis
Para poder determinar de forma eficaz que reacción debe aplicarse a un incidente, será
necesario realizar una evaluación y análisis del mismo.
Las fases básicas del análisis de incidentes de Ciberseguridad son:
Evaluación
Tras la detección de un incidente, se debe determinar el nivel de impacto que este tiene
sobre los activos:
 Bajo impacto: Cuando el incidente afecta a activos considerados insignificantes.

 Medio impacto: Cuando el incidente afecta a activos considerados de interés

medio. También se consideran de medio impacto todas las incidencias que
pueden afectar a procesos de la organización.
 Alto impacto: Cuando el incidente afecta a activos considerados de interés alto
o procesos vitales para la organización.
Clasificación de los incidentes de seguridad

El siguiente paso es realizar una clasificación, esta debe ser sencilla y rápida de realizar.
A continuación se expone un ejemplo clásico de clasificación de incidentes:
 Fuga de información: Todos los incidentes que hayan provocado o sean

susceptibles de provocar una fuga de información.
 Acceso no autorizado: Los incidentes que han permitido a un atacante acceder
de forma no autorizada a activos o sistemas de la organización.
 Alteración de activos: Los incidentes que han permitido una modificación,
borrado o deterioro de activos de la organización.
 Uso inapropiado de recursos: Cuando un recurso de la organización ha sido
usado de forma ilícita o indebida.
 Deterioro de disponibilidad: Todos los incidentes que han provocado una no
disponibilidad de activos o servicios, o un deterioro de la misma.
 Otros: Cualquier otro incidente que no pueda clasificarse en los grupos
anteriores.
Priorización
La priorización es fundamental debido a que la mayoría de incidentes afectaran a
diversos activos o sistemas, incluso en muchas ocasiones, se trataran incidencias
múltiples. Será necesario realizar priorización de las mismas, para poder dar paso a la
reacción necesaria.
Para determinar la prioridad se deben tener en cuenta siempre el nivel de impacto

obtenido en la evaluación, completando con distintos factores, siempre dependiendo
de las características propias de la organización. Algunos de los factores habituales
utilizados para determinar la priorización son:
 Daño actual: El perjuicio o daño que ha efectuado el incidente hasta el mismo

momento en que se ha detectado.
 Daño futuro: El perjuicio o daño futuro que puede efectuar el incidente.
 Recursos: Recursos disponibles por la organización o disponibilidad de recursos
externos y tiempos de respuesta.
 Aspectos normativos/legales: La necesidad de efectuar o no reclamaciones,
denuncias o imponer sanciones.

Reacción
Tras aplicar el protocolo de gestión de incidentes en Ciberseguridad y realizar el análisis del
incidente, se debería disponer de suficiente información para hacer frente a la incidencia. Las
acciones a realizar deberían mantener este orden:
 Mitigación, supresión, recuperación o bloqueo: Mitigar los efectos del incidente,

restablecer los activos a su estado original o bloqueo de sistemas y activos. Se deberá
realizar las acciones adecuadas, dependiendo de los resultados obtenidos del análisis.
No siempre un bloqueo, supresión del incidente y recuperación inmediata de los activos
es la mejor solución, ya que si por ejemplo fuese necesario efectuar denuncias, primero
se debería realizar un peritaje informático forense del incidente.
 Peritaje informático forense: Este proceso es necesario siempre que se desee formular
una denuncia o realizar una reclamación. El simple hecho de la necesidad de realizar un
peritaje, requiere la preservación de evidencias, en consecuencia realizar algunas
acciones agresivas de supresión de un incidente, puede causar la perdida de las mismas.
Para realizar un proceso de peritaje válido ante estamentos judiciales, se debe acudir a
personal especializado (Peritos Judiciales Informático Forenses), ya que todo el proceso
requiere una metodología y conocimientos específicos.
 Notificaciones: La ley establece la obligación de notificar algunos incidentes de
Ciberseguridad, esta obligación está directamente relacionada con el tipo de incidente,
los activos afectados o las características de la corporación.
 Reclamaciones y denuncias: Si es necesario realizar denuncias, se recomienda
interponerlas en departamentos especializados de las FFCCS, como el Grupo de Delitos
Telemáticos de la Guardia Civil, la Brigada de Investigación Tecnológica de la Policía
Nacional u otros grupos especializados de Policías de las Comunidades Autonómicas.
También existen bufetes de abogados especializados en delitos informáticos a los que
se puede recurrir.

Prevención tras la reacción

Tras aplicar las medias de reacción oportunas, no se debe descuidar la prevención, tras un
incidente de Ciberseguridad siempre será necesario realizar:
 Revisión: Revisión de amenazas, vulnerabilidades, riesgos, protocolos, políticas y

sistemas de gestión de la información. Toda la información obtenida del análisis del
incidente y en especial del peritaje forense en caso de haberse realizado, deberá
tenerse en consideración en la realización de las revisiones.
 Aplicar medidas correctivas: Por supuesto será necesario aplicar los cambios técnicos
precisos, así como la adecuación de los equipos y software que sean necesarios para
prevenir la posible reproducción de la incidencia ocurrida.
 Formación y concienciación: Revisar planes de formación con el fin de incluir los
cambios efectuados en políticas y protocolos, así como agregar formación específica
sobre los incidentes ocurridos.

Bibliografía
AEPD-Agencia Española de Protección de Datos (2016). El Reglamento de protección de datos
en 12 preguntas. Versión Digital. Consultado del 16 de noviembre de 2016, de la página Web:
https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news
/2016_05_26-ides-idphp.php
CCN-CERT (2016). Centro Criptológico Nacional-CERT, CCN-CERT IA-09/16 Ciberamenazas 2015

Tendencias 2016 - Resumen Ejecutivo. Consultado el 07 de noviembre de 2015, de la página
Web: https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos.html#document-ccn-
cert-ia-0916-ciberamenazas-2015-tendencias-2016-resumen-ejecutivo
Gobierno de España, Jefatura del Estado (2010). Convenio de Budapest sobre

Ciberdelincuencia, BOE-A-2010-14221 núm. 226, páginas 78847 a 78896. Consultado el 15 de
noviembre de 2016.
Huerta, A. (2000). Seguridad en Unix y Redes. Versión 1.2 Digital - Open Publication License v.10
o Later. Consultado el 11 de noviembre de 2016, de la página Web: http://www.kriptopolis.org.
INCIBE, Instituto Nacional de Ciberseguridad de España, S.A. (2014). ¡Fácil y sencillo! Análisis de
riesgos en 6 pasos. Consultado el 4 de noviembre de 2016, de la página Web:
https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo
Kaspersky Lab (2016). Boletín de seguridad: Estadísticas Generales 2016, Consultado el 31 de

diciembre de 2016, de la página Web:
https://go.kaspersky.com/LATAM_Security_Bulletin_2016_Stats_SP_SOC_2016.html
Mitnick (2016). mitnicksecurity.com. Kevin Mitnick and the Global Ghost Team. Consultado el 2
de noviembre de 2016, de la página Web: https://mitnicksecurity.com/
Parlamento Europeo (2016). El Reglamento General de Protección de Datos. Reglamento (UE)

2016/679, Consultado el 19 de noviembre de 2016.

Conocimientos Fundamentales Ciberseguridad PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Conocimientos Fundamentales Ciberseguridad PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Conocimientos Fundamentales en

Orientados a desenvolverse de forma

Autor: Jordi Torruella González

© 2017 Asociación Nacional en Ciberseguridad - ANCIBE.

Editado por: Asociación Nacional en Ciberseguridad - ANCIBE

Hackers y Ciberdelincuentes _______________________________________________________________ 8

Seguridad por defecto ____________________________________________________________________ 8

Políticas y procedimientos _________________________________________________________________ 8

Instituciones de interés (AEPD, CCN, FFCCS, CERT’s, etc) ________________________________________ 10

Capítulo 2: Delitos informáticos y legislación _______________________________________________ 12

Código de derecho de la Ciberseguridad _____________________________________________________ 14

RGDP – Reglamento General de Protección de Datos___________________________________________ 16

Capítulo 3: Amenazas, Vulnerabilidades y Riesgos ___________________________________________ 21

Tipos de Amenazas _____________________________________________________________________ 22

Tipos de Vulnerabilidades ________________________________________________________________ 23

Vulnerabilidades especificas IoT ___________________________________________________________ 23

Amenazas persistentes avanzadas (APTs)____________________________________________________ 26

Gestión del riesgo ______________________________________________________________________ 27

Capítulo 5: Malware __________________________________________________________________34

Métodos de detección ___________________________________________________________________ 36

Métodos de protección __________________________________________________________________ 36

Capítulo 6: Buenas prácticas____________________________________________________________ 37

Wifis públicas. _________________________________________________________________________ 39

Seguridad de la información ______________________________________________________________ 40

Necesidades específicas en IoT ____________________________________________________________ 44

Necesidades específicas en Cloud.__________________________________________________________ 45

Sistemas operativos de confianza (TOS) _____________________________________________________ 46

Capítulo 7: Reacción frente un incidente __________________________________________________ 47

Prevención tras la reacción _______________________________________________________________ 50

Se tratará de orientar al lector dentro del laberinto de la Ciberseguridad, organizándolo de

Delitos informáticos y legislación: Una recopilación sobre la legislación que afecta a la

Amenazas, vulnerabilidades y riesgos: Sus definiciones, relaciones y clasificaciones.

Hacking: En este capítulo se trata de aprender que técnicas utilizan los

Malware: Tipos de Malware, métodos de propagación, detección y protección.

Buenas prácticas: Se trata de poner un poco de orden y metodología en la seguridad

®2017 - ANCIBE Página: 5

Esta gran dependencia ha convertido los sistemas de información, de comunicación y por

La Ciberseguridad es una disciplina compleja, la cual se compone de la suma de un extenso

®2017 - ANCIBE Página: 6

Un restaurante recolecta información de sus comensales, para realizar estudios estadísticos,

En los ejemplos anteriores se ha valorado la importancia que adquiere una información de

No es de extrañar que la información se haya convertido en el objetivo más importante de los

®2017 - ANCIBE Página: 7

Seguridad por defecto

®2017 - ANCIBE Página: 8

 Seguridad Lógica. Se puede definir como: La aplicación de las medidas de

Sistemas de Gestión de la Seguridad de la Información-SGSI

Un Sistema de Gestión de Seguridad de la Información lo forman un conjunto de

La implementación de un SGSI aporta, entre otras, las siguientes ventajas:

 Políticas y procedimientos estudiados y estructurados.

®2017 - ANCIBE Página: 9

 Mejora de la imagen corporativa.

Habitualmente para implementar y gestionar un SGSI se utiliza al ciclo de mejora

Existen distintos modelos y estándares de SGSI como el SOGP

Instituciones de interés (AEPD, CCN, FFCCS, CERT’s, etc)

 Agencia Española de Protección de Datos (AEPD): Ente público independiente cuya

®2017 - ANCIBE Página: 10

datos personales. En Catalunya y en el País Vasco, existen agencias de protección de

Tal como se hacía referencia al inicio, existen multitud de organismos e instituciones

®2017 - ANCIBE Página: 11

Capítulo 2: Delitos informáticos y legislación

Evolución de los Ciberataques

Incidentes gestionados por el Centro Criptológico Nacional-CERT