Documente Academic
Documente Profesional
Documente Cultură
Ciberseguridad
®ANCIBE 2017
Autor: Jordi Torruella González
Temario oficial para la obtención del CCFC-17
Conocimientos Fundamentales en Ciberseguridad
Orientados a desenvolverse de forma segura en el puesto de trabajo
(Primera Edición)
Esta obra se encuentra publicada bajo la licencia de Creative Commons (by-nc-sa), Por
consiguiente: La obra puede ser distribuida, copiada y usada si se atribuyen al autor original.
No se permite el uso comercial. Se pueden hacer trabajos derivados, que deben estar
licenciados bajo los mismos términos que el original.
Delitos informáticos_____________________________________________________________________ 12
Ingeniería Social________________________________________________________________________ 24
Técnicas ____________________________________________________________________________ 25
Phishing ____________________________________________________________________________ 25
Capítulo 4: Hacking___________________________________________________________________30
Clasificación y características _____________________________________________________________ 30
Web Hacking ________________________________________________________________________ 30
Hacking de Redes ____________________________________________________________________ 31
Escalar Privilegios ____________________________________________________________________ 32
Hacking IoT _________________________________________________________________________ 32
Hacking Industrial o IIoT _______________________________________________________________ 33
Hacking por hardware _________________________________________________________________ 33
Métodos de propagación_________________________________________________________________ 35
Factor humano_________________________________________________________________________ 38
Roles y responsabilidades ______________________________________________________________ 38
Normas básicas ______________________________________________________________________ 38
El perímetro corporativo._________________________________________________________________ 39
Análisis _______________________________________________________________________________ 47
Evaluación __________________________________________________________________________ 47
Clasificación de los incidentes de seguridad________________________________________________ 48
Priorización _________________________________________________________________________ 48
Reacción______________________________________________________________________________ 49
Bibliografía _________________________________________________________________________ 51
Conocimientos Fundamentales en Ciberseguridad
Introducción
Esta obra tiene como objetivo que todos los interesados en la Ciberseguridad, y en especial a
empleados que manejen en su día a día la gestión de la información, obtengan los
conocimientos fundamentales para desenvolverse de forma segura en su puesto de trabajo.
La Ciberseguridad: donde se expone una visión general de la misma así como las
metodologías necesarias para su gestión.
Reacción frente un incidente: En el último capítulo se verá cuáles son los procedimientos
a realizar frente a un incidente de Ciberseguridad, como evaluarlo, clasificarlo,
establecer prioridades y por último realizar las acciones necesarias para su mitigación.
Cabe indicar que esta obra es la guía de estudio oficial, para la obtención del CCFC el Certificado
de Conocimientos Fundamentales en Ciberseguridad otorgada por ANCIBE, por consiguiente si
el lector está interesado en la obtención de dicho certificado, podrá optar a ello accediendo a la
Web www.ancibe.com.
Capítulo 1: La Ciberseguridad
La Ciberseguridad se puede definir como el conjunto de políticas, procedimientos y
herramientas utilizadas para proteger tanto los activos de la organización como los usuarios en
el Ciberentorno.
Tengamos en cuenta que el cambio de paradigma ya hace tiempo que se ha producido y ahora
el activo más valioso de una empresa es sin duda la información. Los imparables avances
tecnológicos y de los servicios asociados a ellos han transformado la forma de comunicarnos, de
relacionarnos, de actuar, incluso podríamos decir de vivir; esto mismo ha sucedido en las
corporaciones, han pasado a tener una dependencia absoluta de la tecnología, de los sistemas
de comunicación y por supuesto de la información, la cual se ha convertido en su mayor activo.
Lo que conlleva a que es necesario concienciarse de que es fundamental para las corporaciones
el correcto uso y protección de su mayor activo “la información”.
El valor de la información
La información adquiere su máximo valor cuando es necesario tomar decisiones, aunque su
valor está directamente relacionado con quién la manipula y en la situación u objetivo con la
que se explota. Un ejemplo podría ser el siguiente:
Hasta aquí todo parece correcto, pero si esta información es vendida a compañías
especializadas en marketing, quizá podría ser usada para enviar publicidad orientada según la
profesión de estas personas.
Podría ser peor, sería necesario preguntarse qué pasaría si esta información es robada por
Ciberdelincuentes, esta información podría ser usada para infinidad de fines delictivos, veamos
algunos ejemplos:
Podría ser vendida a delincuentes comunes para que conozcan los hábitos de estas personas,
con el objetivo de allanar su vivienda cuando se encuentren comiendo en ese establecimiento.
Con toda probabilidad también habrán obtenido información de las tarjetas de crédito, por lo
que podrían realizar cargos a las tarjetas suplantando la identidad del restaurante, con lo cual los
clientes habituales podrían no detectar dichos cargos como fraudulentos.
Podrían publicar la información con el objetivo de relevar el estatus económico de algunos
clientes.
Podría ser usada por la competencia para perjudicar la imagen del restaurante.
Y se podrían imaginar muchos más ejemplos con fines delictivos.
Cualquier empresa por pequeña que sea, maneja mucha información, no solo de los clientes,
también de proveedores, contable, costes, estrategias, de sus propios empleados y mucha más;
y que el correcto uso y protección de la misma es vital para su propia existencia.
Hackers y Ciberdelincuentes
Normalmente se relaciona la palabra “Hacker” con un delincuente o, mejor dicho, con un
“Ciberdelincuente” y esto no siempre es así, tratemos de poner un poco de orden a estas
definiciones.
El “Hacker” se puede definir como aquella persona a la que apasiona el conocimiento, descubrir
o aprender nuevas cosas, entender su funcionamiento y en especial evaluar su seguridad. Esto
puede llevar principalmente a dos caminos o tipos de “Hacker”:
Black Hat: (De sombrero negro), que aplica estos conocimientos con fines ilícitos o
delictivos, de modo que pasaría a ser un “Ciberdelincuente”.
White Hat: (De sombrero blanco), que aplica estos conocimientos con fines lícitos.
Informa de las debilidades descubiertas a las posibles víctimas, trata de encontrarles
solución para que no puedan ser usadas por los “Ciberdelincuentes” y así contribuir a
mejorar los sistemas de seguridad informáticos.
Políticas y procedimientos
La definición de políticas de seguridad informática adquiere una transcendental relevancia, ya
que permite por una parte especificar las reglas, procedimientos y buenas prácticas que se
deben llevar a cabo en la protección de los activos de la empresa, y por otra, concienciar a
todos los miembros de la organización, de la importancia de la seguridad y privacidad de la
información.
Todas las políticas suelen definir unos procedimientos, que son todas aquellas acciones o tareas
a realizar, para cumplir con una norma o directriz establecida en las mismas. Estos
procedimientos deben ser claros, concisos y sencillos de interpretar, en ningún caso deben ser
documentos extensos y de difícil comprensión, si fuese necesario se pueden apoyar con otros
documentos con instrucciones técnicas, los cuales pueden llevar mayor nivel de detalle o
complejidad.
Tipos de políticas
Los tipos de políticas pueden clasificarse en:
La constitución Española
El artículo 18 establece el Derecho al honor, a la intimidad y a la propia imagen. En concreto, la
STC 94/1988 señaló que nos encontramos ante un derecho fundamental a la protección de
datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos
personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la
dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se
configura como una facultad del ciudadano para oponerse a que determinados datos
personales sean usados para fines distintos a aquél que justificó su obtención.
Delitos informáticos
La evolución tecnológica ha permitido implementar una gran cantidad de mejoras en la gestión
de las empresas y de la información, pero los Ciberdelitos se han convertido en una de las
principales preocupaciones ya que la dependencia de la tecnología y el valor de la información
los han convertido en extremadamente peligrosos. Año tras año, las cifras de los ataques
realizados se llegan a duplicar, pasando a ser un factor muy importante de la cuenta de
resultados.
(CCN-CERT, 2016)
Delitos informáticos:
o Falsificación informática: introducción, alteración, borrado o supresión de datos
informáticos que dé lugar a datos no auténticos.
o Fraude informático: introducción, alteración, borrado o supresión de datos
informáticos o cualquier interferencia en el funcionamiento de un sistema
informático, con la intención fraudulenta o delictiva de obtener ilegítimamente un
beneficio económico para uno mismo o para otra persona.
Infraestructuras Críticas
Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección
de las infraestructuras críticas.
Normativa de Seguridad
Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
Telecomunicaciones y usuarios
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de
comercio electrónico.
Ciberdelincuencia
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
Protección de datos
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal.
Para conseguir los objetivos planteados en estos principios, establece entre otros, los siguientes
derechos principales:
Al mismo tiempo establece entre otras, las siguientes obligaciones básicas para el responsable
del tratamiento:
La AEPD (Agencia Española de Protección de Datos) el 26 de Mayo de 2016 elaboró una nota de
prensa, que sigue el formato pregunta-respuesta, para facilitar la comprensión del nuevo marco
normativo a los ciudadanos y ayudar a las organizaciones a adaptarse a los cambios que
incorpora y cumplir así con sus obligaciones. La cual se reproduce de forma parcial, debido a su
elevado interés y validez:
“El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los
Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan
datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.”
4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación
territorial?
“Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para
tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el
Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la
realidad del mundo de Internet.”
6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus
datos personales?
“El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su
consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la
sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite
rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite
inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad,
es necesario el consentimiento de padres o tutores.”
“En el caso de las empresas que recopilen datos personales, es importante recordar que el
consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un
lenguaje que los niños puedan entender.”
“Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las
organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas
deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con
los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que
actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que
esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o
reparar. Para ello, el Reglamento prevé una batería completa de medidas:”
“El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la
protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga.
En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se
viene empleando ahora.”…
… “Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de
riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.
Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que
unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones
más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad
de interesados o que por sus características requieren de una valoración cuidadosa de sus
riesgos.”…
“Además, el Reglamento prevé que el consentimiento haya de ser ?explícito? en algunos casos,
como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más
estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante
algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran
explícitamente al consentimiento y al tratamiento en cuestión.”
“Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen
datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento.
Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible
verificarlo ante una auditoría.”
“Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se
proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes
nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar
la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los
interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen
que hay un problema con la forma en que están manejando sus datos. Es importante recordar
que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de
entender y presentarse en un lenguaje claro y conciso.”
“Este sistema está pensado para que los responsables establecidos en varios Estados miembros o
que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a
ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como
interlocutora. También implica que cada Autoridad de protección de datos europea, en lugar de
analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la
aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso
habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas
buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede
elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los
directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la
controversia mediante decisiones vinculantes para las Autoridades implicadas.” …
12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el
Reglamento?
“Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la
implantación de algunas de las medidas previstas, siempre que esas medidas no sean
contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de
regirse los tratamientos de datos en España.”
“Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán
realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde
ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que
deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que
paulatinamente vayan desarrollando las Autoridades de protección de datos.” …
(AEPD, 2016)
Amenaza: Es una acción o evento que pueden causar potenciales efectos negativos sobre los
activos de la organización.
Vulnerabilidades: Son las debilidades o fallos en los sistemas, que pueden ser utilizados para
causar un incidente o perjuicio.
De una forma simple, también se podría decir que el riesgo=amenaza * vulnerabilidad, por
consiguiente se deduce que no hay riesgo si no existen amenazas y vulnerabilidades.
Tipos de Amenazas
Existen varias formas de clasificar las amenazas, aquí se muestran dos de ellas:
Según su origen
Internas: Son aquellas que se originan dentro del perímetro de la empresa.
Estas son las más peligrosas ya que son mucho más difíciles de controlar y
mitigar. Estas amenazas pueden provenir de los propios empleados o
importantes fallos de seguridad.
Externas: Son aquellas que se originan externamente al perímetro de la
organización. Los atacantes se encuentran fuera del perímetro de la
organización e intentaran encontrar los medios o vulnerabilidades para entrar
en ella.
Según propósito
Intencionadas: son las que se producen de forma deliberada, con la intención
de causar un perjuicio (robo, destrucción o manipulación de información o
sistemas, interrupción del servicio, serian algunos ejemplos de este tipo de
amenazas).
Accidentales: son las que se producen de forma no deliberada, ya sea por
accidente, desconocimiento o descuido, pero que ponen en peligro igualmente
los activos de la organización (las relacionadas con fenómenos naturales, la falta
de políticas así como la incorrecta formación o concienciación de los
responsables y usuarios, serian algunos de los ejemplos de estos tipos de
amenazas).
Tipos de Vulnerabilidades
Tal como ocurre con las amenazas, las vulnerabilidades se pueden clasificar de distintas formas,
por ejemplo su origen, pero en este caso se organizaran:
Diseño
o Debilidad en el diseño de las redes informáticas o de su protección.
o Políticas de seguridad, deficientes o inexistentes.
Implementación
o Errores de programación.
o Sistemas informáticos desactualizados o mal implementados.
o Errores propios de los fabricantes.
o También se deben incluir las extremadamente peligrosas vulnerabilidades
llamadas de día cero (aquellas que has sido descubiertas por los
Ciberdelincuentes, pero que son desconocidas por los usuarios y fabricantes, de
modo que todavía no se dispone de solución). Estas vulnerabilidades son muy
cotizadas, llegando los interesados a pagar cantidades astronómicas por ellas.
Uso
o Configuración incorrecta de sistemas informáticos.
o Desconocimiento, falta de concienciación o formación de los empleados y
responsables.
o Uso de aplicaciones no seguras, o uso incorrecto de aplicaciones seguras.
Hay que tener en cuenta que en los próximos años se incrementará exponencialmente el
número de dispositivos de uso diario y cotidiano que estarán conectados a Internet y que
¿Quién puede decir que ese televisor de última generación que hay en la cafetería de la
empresa y que está conectado a Internet, no será usado un día como puerta de entrada para
acceder a la red de la empresa?, esto que en principio parece una utopía, es muy factible si los
responsables de la Ciberseguridad de la empresa no aplican las medidas necesarias para
prevenir dicho riesgo, o simplemente un empleado por su propia cuenta conecta el televisor o
cualquier otro dispositivo a la red de la empresa, sin informar de ello antes de realizar dicho
acto.
Ingeniería Social
Se puede definir como el arte de manipular o influir en las personas, sus actitudes y acciones,
con el fin de conseguir que realicen algo que no quieren realizar. (La ingeniería social es
ampliamente usada en otros ámbitos como las ciencias políticas y la inteligencia).
Kevin Mitnick, que fue uno de los hackers más importantes y buscados de la década de los 90,
suele decir de forma muy acertada, que la ingeniería social se basa en 4 principios
fundamentales:
(Mitnick 2016)
Técnicas
Las técnicas usadas en la ingeniería social suelen clasificarse en función de la interacción
que se tiene con la víctima:
Phishing
O también llamado suplantación de identidad, se basa en una de las técnicas de
ingeniera social más utilizada, la no presencial.
Un ataque Phishing típico podría dividirse en cuatro fases básicas, véase el siguiente
ejemplo:
Para protegerse ante los ataques de Phishing, las reglas de oro son la lógica y sentido
común. En el capítulo de buenas prácticas se mostraran algunas medidas específicas.
Los procesos APT son procesos dirigidos específicamente contra un objetivo concreto, que
normalmente se trata de una corporación, aunque pueden dirigirse a una persona o colectivo
determinado y que habitualmente persiguen el robo de información.
Estos procesos requieren un largo periodo de preparación, incluso años, alta capacitación del
atacante, gran motivación y una importante inversión económica para poder llevarlos a cabo.
Aunque es necesario mencionar que los beneficios que proporcionan estos ataques son
exponencialmente proporcionales al tiempo e inversión realizada.
Eliminación de huellas: Este proceso se realiza durante todas las fases, a partir de que se
ha conseguido el acceso a los sistemas, para evitar ser detectado o levantar sospechas
ni poder ser localizado.
Es muy difícil protegerse de este tipo de ataques, será necesario desplegar medidas de
“Defensa en profundidad” combinadas con estrategias de defensa temprana y eficaces políticas
de seguridad.
La gestión del riesgo se divide en distintas fases dependiendo de la metodología que se utilice,
en esta ocasión se han elegido las fases más comunes, tal como muestra INCIBE (El Instituto
Nacional de Ciberseguridad de España, SA):
(INCIBE 2014)
Definir el alcance: En este paso se establece el alcance del análisis, es decir, qué
departamentos de la empresa, que procesos, sistemas o instalaciones se verán
afectados.
Identificar los activos: Se deben identificar, numerar y clasificar, todos y cada uno de los
activos a analizar (Información, Bases de datos, Documentos, Servidores, Routers,
Terminales, etc.).
Identificar las amenazas: En esta fase se deben identificar y clasificar todas las amenazas
que afecten a cada uno de los activos seleccionados en la fase anterior de
identificación.
Una vez realizadas las clasificaciones ya es posible realizar el análisis y cálculo del riesgo.
En la siguiente tabla se puede observar dicho análisis (Matriz de evaluación de riesgos),
donde convergen impacto y probabilidad de cada amenaza y activo, para arrojar un
resultado equivalente al riesgo que representa.
Probabilidad de Amenazas
Criminalidad Sucesos físicos Negligencia
Matriz análisis de riesgo
Robo Malware Incendio Suministro Gestión de Cifrado de
eléctrico contraseñas datos
Activos Impacto 3 4 2 3 4 3
Información
Datos personales 3 9 12 6 9 12 9
Contabilidad 4 12 16 8 12 16 12
Sistemas
Equipos sobremesa 2 6 8 4 6 8 6
Portátiles 3 9 12 6 9 12 9
Personal
Dirección 4 12 16 8 12 16 12
Técnicos 3 9 12 6 9 12 9
Hay que recordar que el RGPD (Que se ha expuesto en el capítulo 2), establece que
todas las empresas están obligadas a realizar un análisis de riesgos.
Tratar el riesgo: Por último será necesario tratar los riesgos que superen el umbral de
seguridad establecido. Si se pone de ejemplo la tabla anterior, la empresa podría
establecer la necesidad de realizar un tratamiento de los riesgos que superen el valor 6.
En cualquier tratamiento del riesgo hay que tomar decisiones, y estas se resumen en:
La gestión del riesgo debe incluir obligatoriamente un plan de revisión periódico. Los riesgos en
la Ciberseguridad no son elementos estáticos, al contrario, son elementos muy vivos,
constantemente aparecen nuevas vulnerabilidades. Los activos tienen una gran rotación y
actualización. La obsolescencia de los equipos y sistemas es muy elevada.
Capítulo 4: Hacking
En este capítulo, se trata el Hacking
entendiéndolo como Cibercrimen, o los actos
realizados por Hackers de sombrero negro
(Black Hats) o Ciberdelincuentes, con fines
ilícitos. En el capítulo 2 se han expuesto los
distintos tipos de delitos y su clasificación. Aquí
se expondrán los métodos más comunes
utilizados para realizar ataques.
Clasificación y características
Los ataques ejecutados por Ciberdelincuentes profesionales suelen ser procesos muy
elaborados, estudiados y definidos, que se componen de varias etapas:
Con el fin de entender algo mejor los tipos de actos ilícitos realizados por los Ciberdelincuentes,
a continuación se muestran agrupados según el objetivo de los mismos:
Web Hacking
Comprende los actos ilícitos realizados
contra los sitios Web o servicios ubicados
en Internet. Estos ataques son muy
comunes debido al gran nivel de
exposición que tienen estos sitios y
servicios, así como la cantidad de
vulnerabilidades que albergan.
Hacking de Redes
Abarca los ataques realizados contra las
redes informáticas y contra los
dispositivos ubicados en ellas.
Escalar Privilegios
Son las acciones ilícitas realizadas con el objetivo de adquirir permisos o privilegios de
usuarios distintos o superiores a los que se tienen establecidos por defecto.
Hacking IoT
Incluye los ataques realizados desde o hacia los dispositivos conectados a Internet,
también llamado Internet de las cosas o “IoT”. Este tipo de ataques ha adquirido una
importante relevancia debido a que está
creciendo de forma exponencial el número de
dispositivos que se están conectando a
Internet, ya existen televisores, neveras,
termostatos, vehículos, y todo tipo de
sensores conectados y por ello susceptibles
de ser víctimas de estos ataques.
Reutilizados: En este grupo estarían los dispositivos USB que han sido
infectados con aplicaciones maliciosas (malware).
Específicos: Existen una gran variedad de dispositivos diseñados
específicamente para realizar tares de hacking. Dentro de este grupo se pueden
incluir herramientas como “USB Rubber Ducky”, “KeyGrabber”, “Throwing Star
LAN Tap”, “WiFi Pineapple”, “Pwn Pad” y muchas más.
Capítulo 5: Malware
Malware puede definirse como: aplicación maliciosa que ha sido diseñada explícitamente para
realizar actos ilícitos. Es habitual utilizar de forma incorrecta Virus Informático para referirse a
Malware, cuando en realidad un Virus Informático es un tipo concreto de Malware.
El 31,9% de los equipos de los usuarios sufrieron al menos un tipo de ataque con programas
maliciosos desde Internet durante el año 2016. (Kaspersky Lab 2016).
Virus clásicos: Programas maliciosos diseñados para infectar otros programas como
método de propagación.
Gusanos: En este caso las aplicaciones maliciosas están diseñadas para que se
propaguen entre equipos de las redes, pero sin infectar a otras aplicaciones.
Troyanos: Como su nombre indica son caballos de Troya, aplicaciones malignas
disfrazadas de aplicaciones que realizan funciones licitas u ocultándose dentro de ellas.
Spyware: Permiten recolectar información de forma ilícita y enviarla al Ciberdelincuente
de forma invisible para el usuario.
Adware: Aplicaciones que muestran publicidad no deseada ni solicitada, este tipo de
software malicioso se suele encontrar en programas distribuidos de forma gratuita.
Ransomware: Este grupo lo forman programas diseñados para extorsionar a sus
víctimas. Existen diversas variantes, las más peligrosas son las que cifran los datos de la
víctima y solicitan un rescate por ellos. En 2016 la friolera cifra de 1.445.434 equipos de
usuarios fueron atacados por Ransomware (Kaspersky Lab 2016).
Rootkits: Son aplicaciones malignas especialmente diseñadas para obtener acceso no
autorizado a ordenadores, sin ser detectados. Para pasar inadvertidos pueden incluso
instalarse de forma que se ejecuten antes que el propio sistema operativo.
Backdoor (RAT): Programas maliciosos de administración remota. Este malware permite
al atacante acceder y controlar el ordenador de forma remota.
Downloader: Aplicaciones maliciosas que permiten al atacante instalar o descargar otras
aplicaciones en el equipo de la víctima.
Como nota a esta clasificación, hay que recordar que es común que algunos programas
maliciosos, dentro de sus funcionalidades les hayan incluido varias de las técnicas expuestas, de
modo que podrían pertenecer a varias categorías al mismo tiempo.
Métodos de propagación
Conocer los métodos de propagación del Malware es una de las formas más eficaces de
prevención. Existen cuatro métodos principales de propagación:
Métodos de detección
Existen principalmente dos técnicas de detección automatizada de Malware:
Por firmas: Se trata de detectar las aplicaciones maliciosas buscando su firma dentro de
la aplicación. La firma no deja de ser algo parecido a una cadena de caracteres que
identifica de forma única a la aplicación.
Heurística: Se trata de una técnica proactiva que analiza una aplicación y compara su
comportamiento con patrones que podrían revelar la presencia de una actividad
maliciosa.
Métodos de protección
Los métodos para mitigar los riesgos de infección por Malware básicamente se clasifican en:
Activos
En los métodos activos se trata de utilizar aplicaciones que permitan la detección de las
aplicaciones maliciosas o la prevención mediante el control de las actividades. Dentro
de los métodos activos se pueden encontrar:
Pasivos
Son aquellos en los que el usuario debe aplicar la lógica y evitar realizar acciones
peligrosas, que pongan en riesgo la seguridad de los ordenadores y su información.
También llamadas “Buenas prácticas”.
En el siguiente capítulo se tratará más a fondo todo lo relacionado con las “Buenas
prácticas”.
La mayor parte de las buenas prácticas aquí descritas no requieren ninguna capacitación técnica
específica para llevarlas a cabo. Aunque algunas dependerán directamente de las directrices de
la dirección o de las configuraciones y sistemas implementados por los administradores o
responsables de la Ciberseguridad de su organización.
Principios básicos
Mínimo privilegio: El usuario de un sistema informático debe tener los privilegios o
permisos necesarios para llevar a cabo las tareas específicas de su puesto de trabajo,
pero jamás debe tener más permisos de los estrictamente necesarios. Por ejemplo: un
usuario que efectúa tareas administrativas, no necesita disponer de permisos para
poder instalar aplicaciones.
Mínima superficie de exposición: Este principio se basa en que a mayor superficie de
exposición, mayor es el número de vulnerabilidades se está expuesto.
Como observación, la tecnología IoT entra en conflicto directo con este principio,
debido a que este tipo de tecnología se basa principalmente en la conexión y acceso
por medio de Internet y, por tanto, en una gran superficie de exposición. por
consiguiente hay que tener una especial atención en la implementación de soluciones
que utilicen estos dispositivos.
Defensa en profundidad: Este principio se basa en la defensa o protección por capas.
Básicamente se podría decir que si es posible proteger un activo de la organización
utilizando distintos métodos esto debe llevarse a la práctica. Por ejemplo: Si un equipo
dispone de antivirus, esto no es motivo para que la red no disponga de un segundo
método de protección como un Sistema de prevención de intrusos (IPS).
Factor humano
En la sección dedicada a la ingeniería social ya se ha mencionado el factor humano como una de
las vulnerabilidades ampliamente aprovechada por los Ciberdelincuentes. No hay duda en que
el eslabón más débil en la cadena de seguridad es “El factor humano” (curiosidad, imprudencia,
confianza, etc.)
Roles y responsabilidades
Los roles de los usuarios de los sistemas informáticos deben estar definidos de forma
clara y deben tener aplicadas las restricciones y permisos adecuados según las
necesidades de cada puesto de trabajo.
Los roles van totalmente relacionados con las responsabilidades, a mayor nivel de
permisos, mayores son las responsabilidades. Unos roles correctamente definidos,
serán tan beneficiosos para la empresa como para el propio empleado.
Normas básicas
Contrarrestar actitudes que son intrínsecas del propio ser humano, es algo complejo en
consecuencia será necesario implementar unas normas básicas:
El perímetro corporativo.
La seguridad tradicional se entendía en la necesidad de proteger los sistemas e información que
se encontraban dentro del perímetro corporativo, aplicando el principio de mínima exposición.
La empresa: Todos los dispositivos y servicios que se encuentran fuera de las redes de la
empresa, deben de ser tratados y supervisados como vulnerabilidades propias de la
empresa. Si se contrata un servicio en la nube, este representará una amenaza que
deberá ser tratada y controlada del mismo modo que si fuese un servicio interno.
El usuario: Debe aplicar los mismos principios y normas que aplicaría mientras está
utilizando equipos y sistemas dentro de la empresa. Cuando un empleado va de viaje,
debe tener en cuenta que no puede conectar el portátil a una Wifi pública, ya que
tampoco lo haría si estuviese en su puesto de trabajo habitual.
Wifis públicas.
Mucho más común de lo que debería, el uso de las Wifis públicas está
extendido. Cafeterías, restaurantes, piscinas, hoteles y una gran cantidad
de establecimientos ofrecen “Wifi Free”, en la mayoría de los casos estas
Wifis no pueden ofrecer ninguna garantía de seguridad al usuario, por
consiguiente su uso es altamente peligroso, debido a que no solo son
públicas, también son compartidas por otros usuarios sin ningún tipo de control.
Es fácil deducir que en las Wifis públicas se está completamente expuesto a los riesgos
mencionados en el apartado de Hacking de Redes.
Seguridad de la información
Objetivos
Las buenas prácticas de la seguridad de la información persiguen mantener:
Será mucho más efectivo, seguro y menos costoso, un proceso que ha tenido en cuenta
la seguridad por defecto y/o diseño, que un proceso al cual haya sido necesario aplicar
medidas de protección y privacidad posteriormente.
Sistemas actualizados
Los sistemas operativos, ya sean de los servidores como de los propios terminales u
ordenadores independientes, deben estar siempre actualizados con las últimas
versiones disponibles. Muchas de las actualizaciones de los sistemas operativos
incorporan soluciones a vulnerabilidades conocidas, el simple hecho de tener un
sistema operativo desactualizado es en sí un peligro importante, ya que un atacante
puede utilizar una vulnerabilidad conocida para acceder fácilmente a él.
Control de accesos
Es necesario implementar controles de acceso a los sistemas y aplicaciones, de forma
que los usuarios deban introducir sus credenciales para acceder a ellos.
Cabe recordar que las credenciales deben estar correctamente vinculadas a los roles de
cada usuario, así como a los permisos y restricciones oportunas.
Antimalware.
Ya se ha hablado de forma extensa en el capítulo 5 sobre el Malware y de los métodos
de protección (pasivos y activos), pero es necesario volver a referirse a ello y recordar la
importancia de instalar una aplicación Antimalware (También llamado Antivirus), así
como mantenerla correctamente actualizada.
Hay que recordar que los dispositivos móviles (smartphones) no dejan de ser
ordenadores que gestionan información y están conectados a internet, de manera que
también deben tener un Antimalware instalado.
El correo electrónico
El correo electrónico se ha convertido en uno de los grandes aliados de los
Ciberdelincuentes, ya nos hemos referido en varias ocasiones, al uso que hacen de ellos
junto con técnicas de ingeniería social, con el objetivo de infectar con malware los
equipos informáticos u obtener información de los usuarios.
Las normas básicas que se deberían tener en cuenta en el uso del correo electrónico
son:
Estar alerta: La lógica, la intuición y la precaución son los grandes aliados. Si algo
parece raro, es que es raro y por supuesto peligroso: (raro o extraño) =
peligroso.
Nada es gratis: Nada de lo que puedan ofrecer gratis será realmente gratis, el
simple hecho de enviar un correo electrónico ha tenido un coste. No se debe
hacer caso a campañas publicitarias donde ofrecen servicios gratis o con costes
ridículos.
Desconocidos no gracias: Si el remitente es un desconocido hay que activar
todas las alarmas y estar muy atentos al contenido del correo, ya que podría
fácilmente ser un correo malicioso. Aunque es necesario especificar que si el
remitente es conocido, pero el mensaje parece algo extraño o inesperado, se
aplicará la fórmula: (raro o extraño) = peligroso.
Navegación Segura
En Internet se encuentran incontables Webs con información muy valiosa, confiable,
interesante e incluso necesaria, pero también hay Webs con aplicaciones maliciosas,
que intentaran usar vulnerabilidades de los navegadores para infectar a los equipos de
los usuarios que las visiten.
Aplicaciones de confianza.
Ya se ha comentado del peligro de descargar e instalar software pirata, pero en este
punto se hace mención a todo tipo de software pirata, no solo el que se puede
descargar de internet.
Copias de seguridad
A estas alturas no debería ser necesario recordar que la realización de copias de
seguridad debe ser una prioridad para cualquier usuario o empresa.
Destrucción segura
La tecnología se queda obsoleta rápidamente y debe ser sustituida de forma periódica,
también ocurre esto con los dispositivos de almacenamiento de datos, como discos
duros, unidades USB, etc. Pero todos estos dispositivos contienen información, la cual
debe ser eliminada de forma confiable antes de proceder a la retirada de dichos
dispositivos.
Esta información solo puede ser eliminada utilizando aplicaciones específicas que
sobrescriben las unidades de forma repetitiva con datos aleatorios o mediante su
destrucción física, esta última la más recomendable.
Solo deben estar conectados a internet los dispositivos que realmente lo necesiten.
Los dispositivos que estén conectados deberían estar aislados de la red corporativa de
la empresa y disponer de sistemas de fortificación.
Las claves de acceso a los dispositivos deben ser robustas y no pueden ser las asignadas
por el fabricante.
Las comunicaciones deber ser cifradas.
Los fabricantes deberían aportar garantías de que han sido fabricados cumpliendo
normas básicas de seguridad por defecto y que disponen de un servicio de actualización
del firmware con el objetivo de solventar posibles vulnerabilidades.
Se deben establecer políticas y procesos adecuados al paradigma de IoT.
Detección
La detección temprana de incidentes de Ciberseguridad es clave para la corporación. Si se parte
de la premisa que la seguridad al cien por cien no existe, se asume que será imposible
garantizar que no ocurrirá ningún incidente de Ciberseguridad, en consecuencia se deben
disponer métodos y medidas de detección de incidentes. Aquí entra en juego una correcta
aplicación de políticas, herramientas proactivas de monitorización y la adecuada concienciación
de los usuarios y responsables de los sistemas informáticos.
Análisis
Para poder determinar de forma eficaz que reacción debe aplicarse a un incidente, será
necesario realizar una evaluación y análisis del mismo.
Evaluación
Tras la detección de un incidente, se debe determinar el nivel de impacto que este tiene
sobre los activos:
Priorización
La priorización es fundamental debido a que la mayoría de incidentes afectaran a
diversos activos o sistemas, incluso en muchas ocasiones, se trataran incidencias
múltiples. Será necesario realizar priorización de las mismas, para poder dar paso a la
reacción necesaria.
Reacción
Tras aplicar el protocolo de gestión de incidentes en Ciberseguridad y realizar el análisis del
incidente, se debería disponer de suficiente información para hacer frente a la incidencia. Las
acciones a realizar deberían mantener este orden:
Bibliografía
AEPD-Agencia Española de Protección de Datos (2016). El Reglamento de protección de datos
en 12 preguntas. Versión Digital. Consultado del 16 de noviembre de 2016, de la página Web:
https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news
/2016_05_26-ides-idphp.php
Huerta, A. (2000). Seguridad en Unix y Redes. Versión 1.2 Digital - Open Publication License v.10
o Later. Consultado el 11 de noviembre de 2016, de la página Web: http://www.kriptopolis.org.
INCIBE, Instituto Nacional de Ciberseguridad de España, S.A. (2014). ¡Fácil y sencillo! Análisis de
riesgos en 6 pasos. Consultado el 4 de noviembre de 2016, de la página Web:
https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo
Mitnick (2016). mitnicksecurity.com. Kevin Mitnick and the Global Ghost Team. Consultado el 2
de noviembre de 2016, de la página Web: https://mitnicksecurity.com/