CIBERSEGURIDAD PARA

EMPRESAS

Conoce a tu enemigo
Parte teórica

ING. CIRO ANTONIO DUSSAN

ciro.dussan00@usc.edu.co
índice

1 PRINCIPALES AMENAZAS ►

2 ACTORES ►

3 AMENAZAS INTERNAS ►

4 FORMACIÓN A LOS EMPLEADOS ►

5 CONCLUSIONES ►

2
Objetivos

Conocer las principales amenazas que pueden afectar a

mi negocio.

Identificar a los distintos actores que realizan

ciberataques:

Clasificación
Cuáles son sus objetivos
Cuáles son sus motivaciones

Distinguir y prevenir los ataques internos realizados

por usuarios internos.

Fomentar la formación y concienciación a

empleados.

3
1. PRINCIPALES AMENAZAS

4
 1. PRINCIPALES AMENAZAS

Primero vamos a recordar el concepto de amenaza que ya hemos

mencionado en la unidad anterior. En la siguiente página veremos un
resumen de los tipos de amenazas más habituales.

Las amenazas son elementos que pueden provocar alteraciones, daños o

fugas de información de la organización ocasionando pérdidas materiales,
económicas y de prestigio.

También se define como la causa potencial de un incidente no deseado, el

cual puede ocasionar daño a un sistema o a una organización [UNE−ISO/IEC
27000:2014].

5
 1. PRINCIPALES AMENAZAS

MALWARE EXPLOIT ATAQUES DE DENEGACIÓN PHISHING APT

DE SERVICIO (DOS) Amenaza
También Es un programa Este tipo de ataque se persistente
llamado código que aprovecha una Se entiende como realiza comúnmente a avanzada
malicioso; vulnerabilidad de denegación de servicio a un través de correos
incluye virus, un sistema conjunto de técnicas cuyo electrónicos (e-mail) Amenazas
gusanos, informático para objetivo es inutilizar un donde se intenta complejas
troyanos, etc. robar datos o servidor (por ejemplo la convencer a un usuario avanzadas y
contraseñas de los web de una empresa). para que confíe en el persistentes, a
usuarios, espiar la contenido del email, través de
actividad de los Un ataque de Denegación con la intención de ataques
mismos, controlar de Servicio Distribuido obtener información coordinados
o modificar la (DDoS) es más sofisticado y (por ejemplo dirigidos a una
configuración del permite enviar peticiones contraseñas o claves de entidad u
equipo, entre coordinadas entre distintos acceso). Este tipo de organización
otros. equipos a un mismo ataques también puede específica.
servidor para inutilizarlo o realizarse a través de
«tirarlo». WhatsApp, servicios de
mensajería, etc.

6
1. PRINCIPALES AMENAZAS

Veamos en detalle cuáles son las características de las

principales amenazas que acabamos de mencionar.

El Malware, también llamado código malicioso, es el software diseñado para tener acceso a
los sistemas informáticos específicos, robar información o interrumpir las operaciones
del ordenador. Erróneamente se conocen como virus informáticos, pero realmente los virus
son un tipo de malware. Hay otros tipos de malware: como los gusanos y los caballos de Troya,
que se diferencian por la forma en que operan o se propagan.

VIRUS Es un código de GUSANOS Variante del TROYANOS Malware que

software que virus pero es obtiene acceso
puede auto-replicante, a un sistema
replicarse y diseñado para que se suele
propagarse de propagarse a «esconder»
un ordenador a través de redes dentro de una
otro. informáticas. aplicación real.

7
 1. PRINCIPALES AMENAZAS

¿Y qué ocurre cuando un ordenador es infectado por un malware?

Aquí, vemos un ejemplo:

1. Un troyano puede infectar mi ordenador al pinchar
en una imagen o un enlace en una página web
afectada o por abrir un archivo adjunto (pdf) en un
email de dudosa procedencia.
2. Una vez que mi ordenador ha sido afectado puede ser
manipulado en remoto y ser utilizado para cometer
actividades ilícitas.
3. Incluso es posible que mi equipo quede bloqueado
(inutilizable) y que me pidan dinero a cambio de
desbloquearlo.
4. Cuando se rastrea el origen del delito aparecerán los
ordenadores de nuestra empresa, es decir, nuestra
empresa puede aparecer como la que ha cometido el
delito.

8
 1. PRINCIPALES AMENAZAS

El malware que bloquea o codifica los datos o funciones de los

equipos a cambio de un pago para desbloquearlos es conocido como
ransomware. Veamos un ejemplo:

El
ciberdelincuente
El le proporciona
usuario las claves para
El paga descifrar la
ciberdelincuente la información para
El virus busca se pone en cantidad. poder acceder
archivos para contacto con el otra vez a ella.
Si el usuario no cifrarlos. usuario y le
está solicita un
El usuario ya no
Normalmente debidamente «rescate».
puede acceder a
empieza con un capacitado 
su propia
correo abre el fichero!
información, es
infectado.
como si la
secuestraran pero
en tu casa.

Visita el Blog de INCIBE y enfréntate al Ransomware: [1]

9
1. PRINCIPALES AMENAZAS

Una de las vías de infección más habituales en las páginas web son los anuncios, que redirigen a
otra página comprometida que puede infectar tus dispositivos.

Por lo que parece, este tipo de amenazas tienen por objetivo llegar a la
mayor cantidad de personas posibles.

Correcto, además también se aprovechan de los anuncios en aplicaciones para móviles.

Otras vías de contagio son:
• dispositivos infectados (USB, DVD,…)
• sitios web fraudulentos (que suplantan a tiendas o bancos) o sitios web legítimos pero
infectados
• enlaces a sitios comprometidos en correos masivos o por mensajería instantánea
• redes sociales
• programas de compartición de ficheros (P2P)
• software gratuito

Veo que no es fácil reconocer y detectar el malware, espero que me puedas

dar consejos y trucos a lo largo de esta unidad para estar prevenido.

10
1. PRINCIPALES AMENAZAS

¿Pertenecen tus ordenadores a una botnet?

Te recomiendo el servicio gratuito de INCIBE

BOTNETS para detectar si alguno de tus ordenadores
pertenece a una botnet.
Una botnet (un término derivado de «robot»
y «red (net)») es una red, automatizada y
distribuida de ordenadores previamente
comprometidos (infectados) que,
controlados remotamente, realizan acciones
maliciosas de forma simultanea, como el
envío de spam o ataques de denegación de
servicio distribuido (DDoS).

INCIBE pone a disposición de tu empresa un servicio gratuito que permite saber de manera fácil y sencilla si
algún equipo de tu empresa está infectado por una botnet [2]

11
1. PRINCIPALES AMENAZAS

Antes de ver algunas formas de prevenir estos ataques de malware,

vamos a terminar de ver en detalle cada amenaza.

Un exploit es un programa que aprovecha una vulnerabilidad

de un sistema informático en beneficio propio. Los llamados
exploit de día-cero (zero-day) son aquellos que todavía no se
han hecho públicos y, por tanto, no disponen de soluciones
de seguridad que eviten la vulnerabilidad.

Actualmente, se ha desarrollado un mercado negro de

exploits capaz de mover cada año enormes sumas de dinero.

Te recomendamos ampliar información con la siguiente infografía : ¿Qué hacen los ciberdelincuentes con los
datos robados? [3]

12
1. PRINCIPALES AMENAZAS

Ataques DoS y DDoS

Se entiende como Denegación de Servicio (DoS) a un conjunto de técnicas que tienen

por objetivo dejar un servidor inoperativo. El ataque consiste en saturar con miles
de peticiones de servicio al servidor, hasta que éste no puede atenderlas, provocando
su colapso.

Un método mas sofisticado es el Ataque de Denegación de Servicio Distribuido

(DDoS), mediante el cual miles de peticiones son enviadas, de forma coordinada
desde varios equipos (pertenecientes a una botnet), que están siendo utilizados para
este fin sin el conocimiento de sus legítimos dueños.

Entonces, ¿nuestra página web podría quedar inutilizada por un ataque de

estas características?

Así es. Esto nos impediría seguir ofreciendo nuestros productos y servicios, por lo que si tienes
un negocio de venta online verías interrumpida tu actividad.

13
1. PRINCIPALES AMENAZAS

Phishing

Método de ataque que busca obtener información personal o confidencial de los

usuarios a través de medios electrónicos (email, WhatsApp, mensajería instantánea,
etc.) donde se intenta convencer a un usuario de que el autor es auténtico, pero con
la intención de obtener información confidencial.

Los mensajes de phishing han mejorado notablemente, cada vez son más sofisticados
y personalizados. Lo más novedoso de este tipo de ataques es el uso combinado del
correo electrónico y del teléfono. Se usa este engaño (llamado ingeniería social) para
obtener información que de otra forma no daríamos.

En tu negocio es fundamental informar a los empleados y usuarios sobre este

tipo de amenazas y trasladarles el siguiente mensaje:
NUNCA SE HA DE DAR ESTAINFORMACIÓN:

 CREDENCIALES DE ACCESO y CONTRASEÑAS

 COORDENADAS DEL BANCO
 INFORMACIÓN CONFIDENCIAL DE LA EMPRESA (cuentas,
reuniones, visitas,…)
 DATOS PERSONALES DE CLIENTES Y PROVEEDORES
14
1. PRINCIPALES AMENAZAS

Spear Phishing

El spear phishing es otra de las modalidades utilizadas para realizar este tipo de
ataques. El atacante redacta el correo electrónico utilizando información obtenida del
contexto de la víctima (en muchos casos de las redes sociales) para dar mayor
verosimilitud al email, incluyendo un enlace a contenidos de carácter malicioso
dirigido a dañar los sistemas de la víctima. Las garantías de éxito son, por tanto, muy
elevadas.

Aquí vemos un ejemplo de un caso de

spear phishing que utiliza nuestra
información para hacernos acceder a un
enlace falso que causará daños o infectará
mis equipos.

15
1. PRINCIPALES AMENAZAS

¿Yde todas las amenazas que hemos visto cuáles son las más frecuentes?

Según un estudio sobre incidentes de Ciberseguridad elaborado por INCIBE «Nuevas

tendencias en Ciberseguridad» de octubre de 2015, este es el «Top10» de fraudes a
ciudadanos:

1. Estafas en productos falsificados / falsas tiendas de productos «outlet»

2. Falsos prestamistas
3. Falsas ofertas de trabajo
4. Vales de regalo fraudulentos
5. Phishing
6. Muleros
7. Estafas en alquileres
8. Compra-venta de artículos usados
9. Novias por internet
10. Herencias y loterías

Fauna y flora del mundo de los virus: en la Oficina de Seguridad del Internauta (OSI) tienes a tu
disposición una infografía que resume los tipos de virus [4]

16
2. ACTORES

17
2. ACTORES

Los agentes que ejecutan los ataques se pueden clasificar en función de sus motivaciones: amistosos
(cuyo objetivo es detectar fallos de seguridad para anticiparse) o malintencionados (que tienen fines
lucrativos o políticos generalmente).

CIBERAGENTES

AMISTOSOS MALINTENCIONADOS

Cibervándalos
Agentes del orden

Ciberactivistas
Agencias de seguridad
Exempleados

Hackers «éticos» Estados

Corporaciones /empresas
Investigadores
Ciberterroristas

Cibercriminales

Fuente: National Cyber Security Centre, NL “Cyber Security Assessment Netherlands “ 18

2. ACTORES

Hay que señalar que las empresas pueden tener distintas motivaciones en el ámbito de la
ciberseguridad pues además de proporcionar seguridad a sus usuarios y empleados,
podrían realizar acciones poco éticas como espionaje industrial, competencia desleal, etc.
o mantener líneas de investigación con el objetivo de mejorar su protección.
Esto también es cierto para los estados. Por un lado, están obligados a promover la
ciberseguridad y la confianza de los usuarios en Internet pero también pueden utilizar sus
conocimientos para su defensa o para espiar a otros estados.

De acuerdo, empresas y estados tienen distintas motivaciones, pero ¿qué

hay del resto de agentes amistosos y malintencionados, ¿qué interés
pueden tener en atacar a una pequeña empresa?

Su interés dependerá de su motivación, así como de sus

objetivos. A continuación, veremos qué tipo de acciones
realizan algunos de estos agentes y dónde actúan.

19
 2. ACTORES

Es importante conocer a los actores ya que sus acciones pueden perjudicar tu negocio.
Conociéndoles puedes anticiparte a ellos y adoptar medidas adecuadas para proteger tu
negocio. Estos son algunos:

Cibervándalos Ciberactivistas o Actores internos (insiders) Ciberinvestigadores Las

y script kiddies Hacktivistas organizaciones
privadas
Se denomina Sus acciones Personas que tienen o han Personas que
cibervándalos a responden a tenido algún tipo de persiguen el Movidas por el
aquellos motivos relación con la descubrimiento de las interés
individuos que, ideológicos. Un organización, incluyendo vulnerabilidades que económico que
poseyendo grupo muy exempleados, personal pueden afectar a los supone poseer
conocimientos conocido es temporal o proveedores. sistemas (hardware o los
técnicos, llevan Anonymous. software). conocimientos
a cabo sus Su motivación suele ser que tiene la
acciones con el siempre similar: venganza, La publicación de los competencia,
único motivo de motivos financieros o resultados de sus desarrollan
demostrar políticos, etc. o investigaciones (al acciones de
públicamente simplemente pueden objeto de sensibilizar ciberespionaje
que son realizar acciones maliciosas sobre las necesarias industrial.
capaces de por desconocimiento. medidas de seguridad)
hacerlo. puede suponer que se
use por terceros
malintencionados.

29
2. ACTORES

Los datos de los últimos años demuestran que la delincuencia en el ciberespacio se

está llevando a cabo de manera cada vez más profesional y organizada. Estas bandas
organizadas usan Internet para perpetrar todo tipo de delitos siendo su objetivo final,
la obtención de un beneficio económico.

Las formas de actuación de las organizaciones del ciberdelito son:

Amenazas de ciberataques del tipo DDoS o introducción de código

dañino en los sistemas de información de las víctimas, como forma de
chantaje.

Oferta de servicios que no pueden automatizarse (alta en servicios con

captcha, desarrollo de exploits, robo de credenciales, tarjetas, usuarios …)
para que terceras partes puedan desarrollar ciberataques (inyección
de código, envío de spam, botnets, fraude, etc.)

Comercio de servicios o de información robada usando botnets o

código dañino.

21
 2. ACTORES

Por lo tanto, existen diferentes actores con distintos niveles de conocimientos técnicos y
distintas motivaciones que pueden amenazar la seguridad de mi negocio comprometiendo
mi información y mis recursos tecnológicos (ordenadores móviles, página web…)

Efectivamente Pedro, y entre ellos podemos encontrar hacktivistas, terroristas, ciberespías,

etc. Sin embargo, debemos destacar los siguientes grupos de actores como los más
relevantes a la hora de proteger un negocio:

Actor Motivaciones Nivel de Objetivos

conocimientos
Actores internos Venganza, o beneficios Alto / Medio / Bajo Entorno de trabajo, actual y/o anterior.
(insiders) económicos o ideológicos
(en ocasiones, dirigida desde el
exterior)

Organizaciones Obtener o vender
privadas información valiosa
Beneficio económico
Ciberdelincuentes
(directo o indirecto)
Alto / Medio / Bajo Competidores, clientes, público en general.
Ofrecer productos y servicios con muchos
detalles sobre datos de identidad o
financieros.
Alto / Medio Básicamente, cualquiera puede ser un
objetivo, si puede obtenerse beneficio
económico.

22
3. AMENAZAS INTERNAS

23
3. AMENAZAS INTERNAS

¿Qué tipos de amenazas internas son

relevantes? ¿Cómo puedo evitarlas?

Podríamos controlar y reducir las amenazas internas de

manera considerable a través de medidas tan sencillas
como la concienciación de nuestros empleados.

Y si se maneja información sensible también es

recomendable adoptar medidas de seguridad adicionales
como:
Control de accesos
Cifrado de información

24
3. AMENAZAS INTERNAS

TIPOS DE AMENAZAS POR AGENTES INTERNOS

MALINTENCIONADOS ENGAÑADOS DESCUIDADOS

Los usuarios internos Los usuarios internos Un usuario interno

malintencionados son el tipo pueden ser «engañados» por descuidado puede
menos frecuente, pero tienen terceros (ciberdelincuentes) simplemente presionar la
el potencial de ocasionar para proporcionar datos tecla equivocada y borrar o
daños considerables por su o contraseñas que no modificar información
capacidad de acceso interno. deberían compartir. esencial de manera no
intencionada.
Pueden ser empleados
descontentos o despedidos
cuyas credenciales no se han
eliminado y si tenían permisos
como administradores con
privilegios, pueden provocar
situaciones de riesgo más
elevadas.

25
3. AMENAZAS INTERNAS

Entonces, ¿una amenaza interna es un empleado que por falta de

formación o concienciación comete un error?

Los usuarios internos con falta de formación son el origen de algunas brechas de
seguridad que son fácilmente evitables con la debida concienciación en ciberseguridad.
Piensa que por mucha inversión que uno pueda hacer en tecnología, los usuarios son los
que en último término manejan la información.

Por otro lado, los empleados que han salido de la empresa de forma poco amistosa o que
estén descontentos con su situación laboral pueden realizar ataques o causar daños en el
negocio de forma intencionada.

Y por último, no siempre es culpa del empleado, sino que se producen a causa de la
inexistencia de políticas y procedimientos o bien por que éstos no se han aplicado bien.
Es el caso de cuentas de acceso de empleados que dejan la empresas y no se eliminan; o
cuando no se tiene una buena gestión de los accesos a la información sensible de nuestro
negocio (financiera o datos personales de clientes, proveedores o colaboradores).

26
 3. AMENAZAS INTERNAS

Ahora piensa en tu empresa, ¿cuáles son los principales factores de riesgo que
pueden afectar a tu negocio desde un punto de vista interno?

Falta de
conocimiento y Administración ineficaz de Inexistencia de
Respuesta reactiva
formación usuarios con privilegios acuerdos de
La mayoría de los confidencialidad con
enfoques actuales para
Cualquier usuario no debería tener
abordar las amenazas los empleados
privilegios con acceso total a los
sistemas, las aplicaciones y la internas son reactivos,
información clave. no predictivos. Es importante solicitar por
Asignación escrito la conformidad con
inapropiada de roles diversas normas internas,
como la política de
y derechos
confidencialidad o de
seguridad, entre otras.
Auditorías y
Uso de tecnologías no análisis
apropiadas, no inadecuados
Deficiente clasificación de aprobadas o sin Muchas empresas no Ausencia de
la información y control por parte de la
tienen forma de auditar
procedimientos y
cumplimiento de políticas el acceso para
organización asegurarse de que solo establecimiento de
las personas pautas y obligaciones
Desconocimiento en la empresa de Servicios en la nube para el debidamente para los trabajadores en
dónde se encuentra su información almacenamiento de autorizadas obtengan el ámbito de
confidencial o cómo se debe información o uso de acceso, y que su uso de
dispositivos móviles la información cumpla
ciberseguridad
manejar.
personales. con la política
establecida.

27
4. FORMACIÓN A LOS EMPLEADOS

28
4. FORMACIÓN A LOS EMPLEADOS

ACCIONES PARA MITIGAR EL RIESGO

Actividades de
formación y
concienciación
Establecimiento
No conectar a de políticas de
tus Una de las medidas más
dispositivos importantes seguridad y de
un USB de un normativas de
desconocido usos de activos
corporativos
Cláusulas de
confidencialida
No ejecutar d en contratos
programas o con empleados
ficheros de y terceros
origen dudoso
Se extiende incluso después de la
finalización de la relación
contractual.

Actualización Administración
constante del adecuada de
equipo y las roles y perfiles
credenciales con privilegios
(contraseñas) No usar cuentas compartidas.
Reportes de actividades del
usuario avanzados

Gestión de
permisos de
Soluciones anti- exempleados
malware y anti-
fraude
Es aconsejable eliminar
Establecer cuentas de usuario que no
un sistema están en uso.
de
clasificación
de la
información
29
4. FORMACIÓN A LOS EMPLEADOS

El empleado es la pieza clave en la ciberseguridad

Podemos implantar medidas de seguridad más o menos complejas, pero al final el empleado es el
que trata con la información.
Podemos aplicar todo tipo de políticas y normativas, pero es el empleado el que debe aplicarlas.
El acceso a la información por parte de empleados es necesario y tanto intencionada cómo no
intencionadamente, se pueden producir situaciones de riesgo.

Por eso es absolutamente imprescindible formar a los empleados en buenas prácticas de

ciberseguridad.

Como hemos visto en esta unidad, existen amenazas relacionadas

con los usuarios/empleados, que pueden comprometer la
seguridad de la información de mi negocio.

Sí, también hemos visto que la mejor forma de evitar este tipo de amenazas es la
concienciación de los empleados en temas de seguridad y las buenas prácticas
diarias en el puesto de trabajo…
¿Pero cómo lo hago? ¿Con qué herramientas?

30
4. FORMACIÓN A LOS EMPLEADOS

Kit de concienciación

En la web de INCIBE hay un kit de concienciación [5]: conjunto de materiales mediante los cuales cualquier
empresa será capaz de hacer comprender a sus empleados lo importantes que son para mantener el buen
nivel de ciberseguridad de la organización.

El Kit está compuesto por diferentes tipos de materiales: fondos de pantalla, salvapantallas, carteles, posters,
presentaciones en PowerPoint para ciclos de formación, videos interactivos y otros tipos de documentación
variada.

¿Y cuál es la mejor manera de implementar esto para

los empleados de mi negocio?

¡En el Kit se propone un plan de trabajo que es completamente flexible para que se
amolde a las necesidades de tu empresa!

31
CONCLUSIONES
Existen distintos tipos de amenazas que pueden afectar la seguridad de la información
en mi negocio como la infección de equipos por malware o los casos de phishing y spear
phishing. Estas amenazas pueden estar dirigidas a mí expresamente o ir dirigidas en
general a los usuarios de servicios TIC.

Lo motivos de los ataques van desde la curiosidad o la venganza hasta la obtención de

beneficios económicos, por ejemplo por la venta de información valiosa.

Los actores que más atacan a las empresas son ciberdelincuentes, organizaciones y
insiders. Estos últimos son los actores internos que pueden ser malintencionados como
los exempleados o empleados descontentos, o sin malas intenciones como los empleados
descuidados o engañados.

Las consecuencias y la viabilidad de estas amenazas en mi organización puede reducirse

considerablemente a través de distintas medidas y controles entre los que cabe
destacar la concienciación y formación de mis empleados para que estén
capacitados para reconocer este tipo de ataques y tomar las acciones correspondientes.

Además, en función del nivel de información confidencial o sensible manejada por mi

negocio y mis empleados podré adoptar medidas de control y seguridad adicionales
como el cifrado o el control de accesos, como veremos en detalle en próximas unidades.

32
Referencias

[1] Enfrentándonos al Ransomware:

https://www.certsi.es/blog/enfrentandonosransomware

[2] Servicio gratuito de INCIBE: ¿pertenece tu ordenador a una botnet?

https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antibotnet

[3] Infografía ¿qué hacen los ciberdelincuentes con los datos robados?
https://www.incibe.es/protege-tu-empresa/blog/que-hacen-los-ciberdelincuentes-con-los-
datos-robados

[4] Fauna y Flora de los virus: https://www.osi.es/actualidad/blog/2014/07/18/fauna-y-

flora-del-mundo-de-los-virus

[5] Kit de concienciación: https://www.incibe.es/protege-tu-empresa/kit-

concienciacion

33
33
34