Seguridad en los sistemas de gestión de la

información

I. Introducción

II. Objetivos

III. Amenazas a los sistemas de información

IV. Anatomía de un ataque

V. Gestión de incidentes

VI. Postura en ciberseguridad

VII. Resumen

VIII. Caso práctico con solución

IX. Lecturas recomendadas

X. Glosario

XI. Bibliografía
Lección 1 de 11

I. Introducción

1. Introducción de la unidad

Los factores que definen el funcionamiento óptimo de una empresa son diversos.
 1

Desde la capacidad de gestión del equipo directivo hasta la implantación de procesos eficientes,
son factores que ofrecen ciertas garantías de supervivencia a largo plazo. Sin embargo, en un
entorno cada vez más cambiante, la capacidad de las empresas para adaptarse al medio puede
convertirse en un elemento determinante para lograr la supervivencia.
 2

En la actualidad, los sistemas de información con base tecnológica están presentes en

prácticamente todos los procesos de cualquier empresa: comunicaciones internas, logística,
relación con clientes y proveedores, marketing, selección de personal, etc.
 3

En estos entornos cada vez más digitalizados es habitual el uso de información sensible, ya sea
acerca de clientes o sobre la propia empresa o el negocio, que debe ser protegida de cualquier
acceso no legítimo.
 4

El aumento en el uso de dispositivos móviles y servicios en la nube para el desarrollo de la

actividad empresarial está facilitando la creación de nuevas oportunidades de negocio, nuevas
formas de interactuar con los clientes, así como nuevas formas de trabajo para los empleados.
Este aumento de las interacciones digitales entre las empresas y su entorno implica un aumento
colateral de los riesgos a los que estas interacciones están expuestas.
 5

Un acceso malintencionado a un sistema vulnerable puede suponer el secuestro de datos, el robo

de contraseñas y hasta filtraciones de datos sensibles. El impacto en el negocio es muy diverso, y
en ocasiones, resulta muy difícil cuantificar las pérdidas causadas por un ciberataque. Por esta
razón es importante que las empresas desarrollen estrategias de protección que se ajusten a los
mecanismos digitales utilizados.
 6

Para abordar la cuestión de la seguridad en los sistemas de información resulta útil tener una
visión integral del entorno interno y externo, que tenga en cuenta no solo los aspectos técnicos,
sino también los físicos, organizativos y legales. Con esta perspectiva panorámica se facilita la
adaptación al medio, lo que promueve la identificación de los riesgos a los que se expone la
empresa y la localización de sus puntos débiles.
 7

A lo largo de los años, la visión que las empresas tienen de la inversión en ciberseguridad se ha
movido paulatinamente desde la opcionalidad hacia la completa obligatoriedad. Hoy en día es de
común aceptación que este tipo de inversiones sea vital para garantizar la competitividad en el
mercado. Aquellas que fracasen en asegurar y proteger sus activos pueden acabar en daños
irreparables, y en algunas circunstancias, incluso, llevarlas a la bancarrota.

Dado el escenario actual, en el que abundan las potenciales amenazas, la inversión únicamente en
sistemas de protección puede resultar insuficiente. Las empresas deben adoptar una postura completa en
torno a la seguridad integral de sus sistemas. Esto implica dedicar inversión tanto en protección como en
detección y respuesta.
Lección 2 de 11

II. Objetivos

2. Objetivos de la unidad

Al finalizar el desarrollo de esta unidad, el estudiante habrá alcanzado los siguientes objetivos:

1 Comprender las motivaciones detrás de la mayoría de ciberataques llevados a cabo contra una
empresa.

2 Asimilar los retos a los que se enfrentan las empresas en el espacio de la ciberseguridad.
3 Entender los mecanismos de protección, detección y respuesta que las empresas tienen a su
disposición para combatir las amenazas a sus sistemas de información.

4 Distinguir los diferentes tipos de amenaza a las que se enfrentan los sistemas de información.

5 Evaluar los potenciales puntos débiles presentes en las empresas, tanto en los sistemas de
información como en el entorno físico.

6 Identificar los pilares sobre los que se sustenta una organización cibersegura.

7 Reconocer la vulnerabilidad del usuario en un entorno bajo constante amenaza.

Lección 3 de 11

III. Amenazas a los sistemas de información

Con la prevalencia de los entornos colmados de dispositivos conectados y los avances tecnológicos
actuales, las posibles amenazas también evolucionan rápidamente para explotar diferentes aspectos de
estos entornos distribuidos. Cualquier dispositivo es vulnerable, y con el advenimiento del internet de las
cosas (IoT, por sus siglas en inglés) estas vulnerabilidades se han hecho palpables.
 1

En noviembre de 2021, Microsoft reportó haber paralizado el mayor ataque DDoS (denegación de
servicio distribuido o distributed denial of service, por sus siglas en inglés) de la historia, por su
carácter masivo, al generar 3.47 terabytes de datos por segundo. Originado desde
aproximadamente 10 000 dispositivos conectados y distribuidos por diferentes países alrededor
del mundo, este ataque pudo haber dejado fuera de juego los servidores de la compañía, de no
haber contado con un sistema de detección precoz1 .
 2

Este tipo de ataques es posible gracias a la enorme cantidad de dispositivos IoT no seguros que
existen en el mundo. El volumen creciente de estos posibilita un aumento en la deslocalización de
los ataques y que se sirvan de una creciente capacidad de computación para aumentar el daño
producido. No obstante, las vulnerabilidades que estos ataques explotan no son nuevas. En
2014, ESET reportó la presencia de 73 000 cámaras desprotegidas mediante el uso de las
contraseñas definidas por defecto por sus fabricantes2 . En abril de 2017, IOActive encontró una
serie de vulnerabilidades que pudieron afectar a unos 100 000 routers en uso3 .
 3

Ante la pregunta plausible de por qué un dispositivo doméstico puede afectar a la seguridad de
una compañía, la respuesta es clara y se presenta en dos posibles escenarios: el acceso remoto y
las políticas BYOD (“trae tu propio dispositivo” o bring your own device, por sus siglas en inglés).
 4

El acceso remoto no es un paradigma novedoso, pero sí es cierto que el número de trabajadores

en esta modalidad va en aumento. En España, aunque su adopción no es tan abultada como en
otros países, se ha pasado de un 5 % de trabajadores remotos en 2006 a más del 15 % en 20214 .
Esto significa que, por norma general, estos trabajadores utilizan su propia infraestructura para
acceder a los sistemas de la compañía. Si se le suma el notable aumento en la adopción de
políticas BYOD, el problema se agrava cuando estas no se implantan de forma segura.

BY O D

Es una tendencia tecnológica orientada a que los trabajadores utilicen sus propios dispositivos portátiles
para desempeñar su trabajo.

Existe un factor común a todas las tecnologías mencionadas anteriormente, y es el hecho de que todas ellas
necesitan un usuario que opere los sistemas. Los seres humanos son los eslabones más débiles en la
cadena de seguridad informática, y esto los convierte en uno de los objetivos más interesantes para un
atacante. De ahí que todavía abunden amenazas relativamente antiguas, como son los mensajes de
phishing, que tratan de sacar partido a las emociones de los usuarios, lo que los lleva a proporcionar
información valiosa o a instalar softwares maliciosos. En el momento en el que el usuario hace alguna de
estas acciones, su dispositivo o sus credenciales pueden quedar comprometidas y ser utilizadas por el
atacante.

1Tung, L. “Microsoft: Here is how we stopped the biggest ever DDoS attack”. ZDNET; 31 de

enero de 2022.
2 ESET. “Default Password Palaver”. 20 de noviembre de 2014.

3 Sauvage, T. “Linksys Smart Wi-Fi Vulnerabilities”. IOActive; 20 de abril de 2017.

4 EpData. “La evolución del teletrabajo en España, en gráficos”. 25 de marzo de 2022.

C O NT I NU A R

3.1. El usuario como objetivo

La figura 1 muestra la correlación entre los ataques y el usuario final. En este marco se definen cuatro
posibles puntos de entrada por los que un atacante podría acceder al usuario:

Conectividad entre sistemas locales y la nube

–
Por ejemplo, en arquitecturas híbridas en las que la empresa aloja parte de sus servicios de forma local (en
un data center, por ejemplo) y parte como servicio IaaS (infraestructura como servicio) en un proveedor en
la nube.

Conectividad entre dispositivos BYOD y la nube

–
Por ejemplo, cuando la empresa opta por usar servicios SaaS (software como servicio) accesibles desde
cualquier dispositivo, como un teléfono móvil.

Conectividad entre dispositivos corporativos y los sistemas locales

–
Caso habitual en el que los trabajadores usan sus terminales para acceder a servidores locales de la
compañía.

Conectividad entre dispositivos personales y la nube

–
Se trata de aquellos casos en los que un usuario accede a un sistema de la empresa desde un dispositivo
personal y que no es herramienta habitual de trabajo. Un ejemplo de este escenario podría ocurrir cuando el
trabajador abre un correo corporativo a través de una tablet personal que contiene un enlace malicioso o un
elaborado mensaje de phishing.

Figura 1. Relaciones entre el usuario y los posibles ataques.

Fuente: Packt.
El uso de los controles de seguridad apropiados ayuda a mitigar los riesgos a los que se exponen los
usuarios. Pero, sin lugar a duda, el sistema de protección más eficaz es la educación del usuario mediante
un proceso continuo de entrenamiento y concienciación sobre la seguridad.

En el ciclo de vida del usuario dentro de una empresa existen tres factores relacionados (figura 2), y cada
uno de ellos está expuesto a un panorama único de amenazas que deben ser identificadas y tratadas:

Figura 2. Factores expuestos a amenazas

Fuente: elaboración propia.

C O NT I NU A R
3.2. Las credenciales de usuario
En su informe anual sobre Incidentes de filtración de datos (2021), Verizon analizó cerca de 80 000
incidentes en más de 80 países y constató que el 61 % de los incidentes se debió a problemas con las

credenciales de los usuarios5. Según el informe, estas todavía son uno de los tipos de datos más buscados
por los atacantes, puesto que suponen la puerta de entrada a todo un sistema del cual se puede extraer
información valiosa.

En términos generales, las industrias están de acuerdo en que el perímetro de seguridad debe ubicarse en
torno a las identidades de los usuarios. Este hecho requiere la aplicación de controles de seguridad
específicos para la autenticación y la autorización de los individuos, con base en su rol y necesidades
específicas de acceso a los datos.

En este punto es importante establecer las diferencias entre autenticación y autorización:

La autenticación es el proceso por el que se verifica que un individuo es quien dice ser.

La autorización es el proceso por el que se verifica que el usuario, debidamente autenticado,

puede acceder a un dato o recurso concreto.

El robo de credenciales podría ser un primer paso para habilitar el acceso de los cibercriminales a los
sistemas de la compañía. El hecho de disponer de una cuenta válida permitiría a un atacante, con los
conocimientos específicos, escalar sus privilegios y conseguir el acceso a los dominios propios de una
cuenta de administrador. Por este motivo, el uso de estrategias basadas en una defensa en profundidad
resultan vitales para proteger la identidad del usuario.

Esta estrategia implica el uso de múltiples capas de protección que deberían partir desde un conjunto de
políticas óptimas de seguridad alrededor del usuario, basadas en las mejores prácticas seguidas por las
industrias. Algunos ejemplos de este tipo de políticas son los requisitos de fortaleza en las contraseñas que
los usuarios crean, la obligatoriedad de cambiar la contraseña cada poco tiempo o el uso de técnicas más

avanzadas como la autenticación de múltiples factores6 (MFA, por sus siglas en inglés).

5Verizon. “Data Breach Investigation Report”. 2021.

6 Wikipedia. “Autenticación de múltiples factores”.

C O NT I NU A R

3.3. Las aplicaciones

Las aplicaciones son los puntos de entrada de los usuarios para añadir o consumir datos en el entorno de
una compañía. La naturaleza y tipología de estas son diversas, y con ello también los riesgos y las
implicaciones que se deben tener en cuenta en materia de seguridad.

No obstante, es posible distinguir dos grandes grupos, como se indica en la figura 3:

Figura 3. Tipos de aplicaciones y sus problemáticas.

Fuente: elaboración propia.
Otro de los retos a los que se enfrentan las empresas es al proceso de intercambio de datos entre
aplicaciones. Los modelos tradicionales de protección en una red de comunicaciones son efectivos cuando
las aplicaciones residen en el mismo entorno. Esto no sucede así con aplicaciones SaaS, ya que la
compañía no tiene control sobre su infraestructura ni visibilidad acerca de cómo sus empleados hacen uso
de estas. Esta situación se conoce como “IT en la sombra” (o shadow IT, por sus siglas en inglés). Esto se
agrava si se incluye el uso de dispositivos personales en el acceso a estas aplicaciones. Por ejemplo, un
empleado podría descargarse en su tablet personal un fichero con información confidencial desde su
aplicación de correo corporativo, después subir ese fichero a su cuenta de DropBox, lo cual expondría a la
empresa a una posible filtración de datos, sin siquiera saberlo y sin tener la posibilidad de remediarlo.

Según un informe de Forbes, en 2019 el 60 % de las empresas analizadas no incluían el IT en la sombra

entre sus procesos de evaluación de amenazas7.

Fuera del ámbito de la relación entre el empleado y las aplicaciones de la compañía, existen otros tipos de
amenazas a la seguridad de las aplicaciones, como se ve en la figura 4:
 Figura 4. Amenazas a las aplicaciones corporativas.
Fuente: elaboración propia.

C O NT I NU A R

3.4. Los datos

Los datos suelen ser el fin que justifica un ataque y, por tanto, deben ser considerados como la pieza central
en el ciclo de vida de las políticas de seguridad. Los datos deben ser protegidos, independientemente de su
estado: en tránsito (los que viajan de un sistema a otro a través de la red) o en reposo (almacenados en un
dispositivo, ya sea en forma de fichero, base de datos, etc.).

Según los posibles estados de los datos, se pueden identificar las amenazas más habituales, tal y como se
indica en la figura 5:
Figura 5. Amenazas a los datos.
Fuente: elaboración propia.
Lección 4 de 11

IV. Anatomía de un ataque

A pesar de que todos los sistemas de gestión de la información están construidos sobre la misma base
tecnológica, las amenazas a las que están expuestos varían notablemente de una industria a otra. No
obstante, en esta sección se revisarán los tipos de ataque más habituales y que prevalecen a lo largo de
modelos de negocio diferentes.

Según el Informe de riesgos globales elaborado por el Kaspersky Lab, las causas principales de las mayores

filtraciones de datos fueron viejos conocidos del mundo de la ciberseguridad8.

Entre ellos, y ordenados por su impacto económico, se encuentran:

Virus, malware y troyanos.

Falta de diligencia en las políticas de seguridad, así como falta de entrenamiento de los
empleados en materia de ciberseguridad.

Phishing e ingeniería social.

Ataques dirigidos.

Criptografía y ransomware (aplicaciones para el secuestro de datos).

 1

Los tres primeros de la lista cuentan con cierta longevidad y un largo historial, razón por la cual
se dispone de amplia información sobre ellos. A pesar de esto, todavía hoy son capaces de
conseguir sus objetivos. El problema subyacente en todos ellos es la presencia del factor humano
como facilitador de los ataques. Un ejemplo que abarque los tres casos es el de un usuario que
reciba un correo de phishing y, por su desconocimiento en materia de seguridad, pulse en un
enlace que le lleve a descargar e instalar un virus, malware o troyano.
 2

Los ataques dirigidos requieren de procesos más complejos, ya que sus objetivos suelen ser
concretos y bien organizados. El proceso comienza con la definición de un plan durante el cual el
atacante dedica un importante esfuerzo a reconocer el terreno e identificar las vulnerabilidades
del sujeto bajo amenaza. La filtración de datos suele ser una de las motivaciones principales
detrás de este tipo de ataques, y durante el proceso es probable que el atacante permanezca
infiltrado durante largos periodos de tiempo, hasta conseguir su objetivo. Uno de los mayores
retos en este tipo de situaciones es identificar al atacante una vez que ha conseguido
introducirse en los sistemas. Según IBM, el tiempo medio para detectar a un intruso es de 287
días9 . Reducir esta ventana de tiempo es, sin duda, uno de los mayores retos de los profesionales
en ciberseguridad.
 3

Los ataques de tipo criptográfico y ransomware tienen por objetivo secuestrar desde equipos
informáticos hasta redes de servidores completas. Una vez dentro del sistema, el atacante es
capaz de cifrar parte o la totalidad de los discos duros disponibles y solicitar un “rescate” al
afectado para descifrarlos y devolverlos a su estado natural. Uno de los casos más populares se
dio en 2017, causado por el ransomware WannaCry, que llegó a infectar a más de 400 000
ordenadores en todo el mundo10 .

8Kaspersky Lab. Global IT Risk Report.

9 IMB. Cost of a data breach 2022. 2022.

C O NT I NU A R

4.1. Tendencias actuales

A lo largo de los años los hackers han demostrado que son persistentes, más creativos y capaces de
elaborar ataques cada vez más sofisticados. Han conseguido adaptarse rápidamente a los cambios en el
panorama TI, con lo que han logrado un alto grado de efectividad en sus ataques.

En la figura 6 se observan los tipos de ataque más habituales en la actualidad:

 Figura 6. Tendencias actuales en el panorama de amenazas.
Fuente: elaboración propia.

C O NT I NU A R

4.2. Ataques con extorsión

En los modelos habituales de ciberdelincuencia es habitual que los atacantes obtengan su beneficio a partir
de la venta de datos robados. Sin embargo, en los últimos años se está produciendo un cambio de
paradigma. Con más frecuencia se observan ataques en los que los ejecutores intentan obtener beneficio
directamente de sus víctimas. Para ello recurren a tácticas que implican el secuestro de datos mediante
ransomware o las amenazas de hacer públicos datos sensibles, previamente filtrados desde un sistema
legítimo. En ambos casos, el atacante reclama un rescate a cambio de liberar los datos secuestrados.
Este tipo de ataque está en auge, puesto que para los atacantes suele ser más sencillo reclamar dinero
directamente a la víctima que obtener beneficio por la venta de sus datos a un tercero.

Figura 7. Ataque con cifrado mediante ransomware.

Fuente: Wikimedia Commons.

C O NT I NU A R

4.3. Ataques mediante manipulación de datos

Se trata de un tipo de ataque cuyo objetivo es la modificación de los datos de un sistema, de manera que su
integridad quede comprometida. La manipulación de estos puede ser trivial y, en ocasiones, bastaría con
modificar un solo dato para causar gran perjuicio a una compañía que dejaría de ser fiable al carecer de una
fuente íntegra de información.
 1

Este tipo de ataques son difíciles de detectar, puesto que un dato manipulado puede pasar
fácilmente desapercibido a los ojos de cualquier persona que tenga visibilidad sobre el sistema, y
una vez detectado, el proceso de recuperación es lento y tedioso, ya que requiere evaluar
cuidadosamente todos los datos disponibles hasta dar con las inconsistencias provocadas por el
ataque.
 2

Las motivaciones detrás de este tipo de ataques son diversas. Desde compañías rivales que
tratan de reducir la credibilidad de sus competidores, hasta organismos gubernamentales rivales
para desacreditarse entre sí y forzar la opinión pública a partir de datos manipulados. En 2016 un
grupo de hackers rusos filtró datos de la Agencia Mundial Antidopaje, que previamente habían
sido manipulados. En ellos se acusaba de dopaje a un grupo de medallistas olímpicos de las
olimpiadas de ese mismo año11 .
 3

En una sociedad en la que se producen cada vez más datos y en la que las compañías alimentan
algoritmos con datos para la toma de decisiones automáticas, es de esperar el auge de este tipo
de ataques en los que los beneficios para un atacante pueden ser cuantiosos.

11Gallagher, S. “Researchers find fake data in Olympic anti-doping”. Ars Technica; 10 de junio

de 2016.

C O NT I NU A R

4.4. Ataques mediante dispositivos IoT

 1

La creciente popularidad en el uso de dispositivos IoT hace posible que cada vez existan más
máquinas interconectadas entre sí a través de internet y con una capacidad de cómputo
suficiente para participar en diferentes tipos de ataque.
 2

Según Statista, en 2021 había 10 mil millones de dispositivos IoT conectados en todo el mundo, y
se estima que para 2030 la cifra supere los 25 mil millones12 .
 3

Desde coches inteligentes, cámaras de seguridad, relojes, dispositivos médicos, luces en hogares
inteligentes, etc., la lista de pequeñas máquinas con la capacidad de formar una red con un
propósito común es abrumadora.
 4

El carácter masivo de este tipo de redes y la facilidad con la que es posible para un atacante
obtener el control sobre un dispositivo IoT convierte a estos elementos en los favoritos de los
ciberdelincuentes para llevar a cabo ataques de tipo DDoS.

Figura 8. Ataque DDoS con dispositivos IoT.

Fuente: Dao, et al. (2017).
 12Fernández, R. “Dispositivos conectados (Internet de las cosas) a nivel mundial de 2019 a

2030”. Statista; 27 de septiembre de 2022.

C O NT I NU A R

4.5. Puertas traseras o backdoors

PUE R TA S T R A S E R A S

Las puertas traseras (backdoors, en inglés) son características o defectos de un sistema que facilitan la
intrusión de personas no autorizadas.

En 2021 Zyxel reportó haber localizado una vulnerabilidad en el firmware de varios de sus modelos de
firewall, que permitía a un atacante iniciar sesión con privilegios administrativos, lo cual comprometería la
seguridad de toda la red13.

En ocasiones estas puertas traseras no son más que errores informáticos cometidos durante el proceso de
implementación del producto o sistema. Pero en veces, es el atacante quien, con acceso a los procesos de
elaboración y desarrollo, añade código o funcionalidades maliciosos para explotar cuando el producto llegue
a su consumidor final.
 Figura 9. Backdoor a partir del gusano Win32/Hamweq.
Fuente: Microsoft Security Intelligence.

13EnHacke. “Ciberseguridad 360”.

C O NT I NU A R

4.6. Ataques mediante dispositivos móviles

Los dispositivos móviles (teléfonos, tabletas, etc.) han desplazado progresivamente a los ordenadores
como los dispositivos preferidos para navegar en la web. Esta situación los convierte en una de las puertas
de entrada predilectas para los ciberdelincuentes.
 1

Según la aseguradora Hiscox, en 2021 el 41 % de los ciberataques ocurridos a empresas

españolas se originó a través de los teléfonos móviles de sus empleados14 . Del total de ataques,
el 22 % se produjo desde teléfonos corporativos, mientras que el 19 % ocurrió desde teléfonos
personales.
 2

Aparte de los tipos de amenazas habituales a las que están expuestos los ordenadores
personales y los dispositivos IoT, los equipos móviles se enfrentan a otros retos derivados de la
amplia variedad de sensores y actuadores de los que disponen hoy en día este tipo de terminales.
La posibilidad de acceder a la cámara del terminal o a los sistemas de comunicación, tanto por
datos como por voz, los convierte en perfectas herramientas de espionaje.
 3

En 2020 Kaspersky detectó un nuevo tipo de malware, denominado stalkerware (software de

acoso), capaz de rastrear dispositivos y acceder a sus patrones de desbloqueo de pantalla.
Aparte de esto, este software permite a los atacantes acceder a datos sensibles y rastrear
cualquier actividad de los dispositivos, servicios de mensajería y redes sociales.
 4

Se considera que el aumento en el uso de este tipo de dispositivos como objetivo de los
ciberataques se debe, en gran medida, al escaso nivel de protección que los usuarios aplican a
sus terminales. Así como parece evidente instalar software antivirus en los ordenadores
personales, esta necesidad no parece tan evidente cuando se trata de un teléfono móvil.

Figura 10. Dispositivos móviles como puerta de entrada para los atacantes.
Fuente: Zimperium.

14Hiscox. “Informe de Ciberpreparación de Hiscox 2021. Hiscox.es”.

 C O NT I NU A R

4.7. Ataques a dispositivos habituales

Existe cierta tendencia creciente entre los ciberdelincuentes a poner el objetivo en dispositivos
aparentemente inofensivos, pero que están presentes en las redes corporativas. Dispositivos periféricos
como impresoras y escáneres que se instalan de forma independiente con el objetivo de ser compartidos y,
por tanto, tienen conexión directa a la red, suelen ofrecer la capacidad suficiente como para ejecutar
software malicioso.
 1

Una de las motivaciones principales para poner el foco en estos dispositivos es la posibilidad de
llevar a cabo espionaje corporativo. Por ejemplo, una vez comprometida una impresora en red, es
fácil para un atacante extraer los documentos enviados por un usuario para ser impresos.
 2

Otra motivación es la actitud laxa de algunos fabricantes para incorporar medidas de seguridad
a estos equipos. Para un ciberdelincuente puede resultar más sencillo infiltrarse en una
impresora que en un ordenador que disponga de antivirus y otros mecanismos antintrusión.
 3

Las redes domésticas tampoco están exentas de estos riesgos. Aquellos empleados que trabajen
en remoto desde sus hogares probablemente hagan uso de su red doméstica para acceder a
internet desde sus equipos de trabajo. En esa misma red es probable que existan otros
dispositivos conectados, como los smart TV, asistentes de voz e incluso robots de limpieza que
podrían utilizarse como puente para acceder a otros dispositivos de la red.

C O NT I NU A R

4.8. Ataques a la nube

 1

La nube es una de las tecnologías preferidas por las empresas, debido a su flexibilidad,
accesibilidad y capacidad incomparables. Sin embargo, los expertos en ciberseguridad están de
acuerdo en la problemática que plantean los entornos de virtualización en los que se basan. La
principal vulnerabilidad es que toda la infraestructura física del proveedor es compartida. Todos
sus clientes deben compartir espacio de almacenamiento, CPU e interfaces de red. Por tanto, un
atacante que consiga acceder al sistema hipervisor (el sistema físico en el que reside la
infraestructura virtualizada de los clientes) tan solo necesita sobrepasar los límites de seguridad
definidos por el proveedor entre los espacios de cada cliente.
 2

Hay un límite en la medida en que las empresas garantizan la seguridad de los datos que
almacenan en la nube, ya que el entorno de seguridad en estos casos depende ampliamente del
proveedor. Una compañía que establezca en su infraestructura unas políticas robustas en
materia de ciberseguridad se ve incapaz de aplicar estas políticas más allá de su entorno
virtualizado, por lo que queda expuesta a las políticas definidas por el proveedor de la nube. Esto
puede suponer un riesgo evidente, ya que existe la posibilidad de que el proveedor no sea tan
cuidadoso con la seguridad que brinda a los datos de sus clientes.

Figura 11. Amenazas en la nube.

Fuente: Haque, et al. (2020).
Contenido recomendado

Ciberataques

La información es un bien muy valioso. La pugna por su control se libra ahora en el ciberespacio:
https://www.youtube.com/watch?v=4ka48BmCMng

C O NT I NU A R

4.9. Comprometiendo un sistema

En este apartado se discuten los mecanismos más habituales que utilizan los piratas informáticos para
comprometer un sistema.

4.9.1. Phishing
–
El phishing es una técnica de reconocimiento utilizada por los atacantes para obtener información valiosa
acerca de usuarios y empresas. Se basa en técnicas de ingeniería social, con el objetivo de guiar
maliciosamente a los usuarios a que hagan ciertas acciones. En la mayoría de las ocasiones los ataques
de phishing aparecen disfrazados como entidades de confianza, como un banco o una compañía de
seguros, que solicitan al usuario introducir cierta información sensible, como sus credenciales o sus datos
financieros.

El proceso comienza con un correo electrónico o un mensaje recibido por la víctima, aparentemente
legítimo, en el que se incluyen elementos como enlaces o formularios que llevan al usuario al dominio del
atacante o, incluso, incorporar ficheros adjuntos o enlaces que deriven en la instalación de
software malicioso en el ordenador de la víctima.

En la figura 12 se muestra un ejemplo de correo de phishing, cuyo objetivo es extraer las credenciales de
acceso del usuario a su cuenta de ING. El atacante proporciona un enlace a una página que contendrá un
formulario de inicio de sesión, de aspecto similar a la del propio banco, en el que el usuario comprometería
sus datos de acceso sin saberlo.

Figura 12. Ejemplo de phishing.

Fuente: ChristianDvE.

4.9.2. Explotación de vulnerabilidades (I)

–
Es habitual que los piratas informáticos dediquen tiempo a estudiar los sistemas objetivo de sus ataques
con el propósito principal de identificar vulnerabilidades. De hecho, no solo los piratas informáticos dedican
tiempo a esta tarea. WikiLeaks ha comentado en numerosas ocasiones que la NSA y la CIA (agencias de
seguridad e inteligencia de Estados Unidos) hacen lo mismo15, y que mantienen una base de datos de
vulnerabilidades conocidas, tanto en sistemas computacionales como software aplicativo y dispositivos de
uso habitual.

La explotación de una vulnerabilidad ocurre cuando un atacante se aprovecha de un bug (error informático)
en un sistema de software, desde sistemas operativos hasta aplicaciones de escritorio, móviles o webs.
Por lo general, se trata de errores en el propio código que afectarían a sus mecanismos para la
autenticación de usuarios o la ejecución de código aleatorio (código malicioso que introduciría el propio
atacante).

Es habitual que los equipos de desarrollo de los sistemas afectados cumplan tareas continuas de
actualización de su software como respuesta a los errores detectados. Este proceso es conocido como
gestión de parches y sigue un flujo estándar acordado por la mayoría de las empresas especializadas en el
desarrollo de sistemas 16.

La aplicación de un riguroso proceso de gestión de parches ayuda a mitigar las probabilidades de que un
atacante saque partido a una vulnerabilidad, ya que se minimiza el tiempo durante el cual la vulnerabilidad
existe en el sistema. No obstante, en esta carrera por la detección de vulnerabilidades los piratas
informáticos han desarrollado técnicas avanzadas para detectar nuevas vulnerabilidades, aún
desconocidas para los desarrolladores de los sistemas. Este tipo de técnicas facilitan los ataques
conocidos como ataques de día cero (zero-day, en inglés), que se basan en la explotación de
vulnerabilidades aún no conocidas.

Figura 13. Ciclo de vida de una vulnerabilidad zero-day.

Fuente: NIVEL4.

4.9.2. Explotación de vulnerabilidades (II)

–
En la figura 14 se muestran algunas de las técnicas utilizadas por los piratas informáticos para la detección
de vulnerabilidades:

Figura 14. Técnicas para el descubrimiento de vulnerabilidades.

Fuente: elaboración propia.
4.9.2. Explotación de vulnerabilidades (III)
–
Las vulnerabilidades de tipo zero-day se pueden explotar de diferentes maneras. En la figura 15 se
muestran algunos ejemplos habituales.

Un ejemplo interesante de vulnerabilidad basada en desbordamiento de buffer se dio en el reproductor de

grabaciones de Cisco WebEx. Por medio de esta, un atacante ejecutaría código aleatorio o causaría una
denegación de servicio al corromper la memoria de la aplicación17.
15Fernández, Y. “Wikileaks se niega a decirle a las grandes tecnológicas qué vulnerabilidades está

explotando la CIA”. Genbeta; 19 de marzo de 2017.

16 Red Hat. “¿En qué consiste la gestión (y la automatización) de parches?”.

17 INCIBE-CERT. “Vulnerabilidad CVE-2012-3939”.

Lección 5 de 11

V. Gestión de incidentes

Antes de desgranar los procesos que las compañías tienen disponibles para la óptima gestión de un ataque,
entendido como incidente, es fundamental tratar primero el proceso de ataque en sí, desde el punto de vista
del ciberdelincuente. En la actualizad se sabe que los ciberataques más avanzados implican la intrusión en
una red en la que el atacante pasa desapercibido durante largos periodos de tiempo. Este hecho pone de
manifiesto una característica única de los ciberdelincuentes actuales: tienen una asombrosa habilidad para
permanecer indetectables hasta que llega el momento de ejecutar el ataque. Esto significa que operan en
estructuras bien definidas y con planes debidamente trazados.

Para adoptar una postura adecuada en materia de ciberseguridad, y para entender los procesos en la gestión
de un incidente, es conveniente destacar las fases de las que se componen los ciberataques en la
actualidad.

5.1. Fases de un ciberataque

5.1.1. Reconocimiento
–
Durante esta fase el atacante evalúa el terreno y busca vulnerabilidades para activar y alcanzar su objetivo.
En este proceso se extrae la mayor cantidad posible de información del entorno de la víctima (por ejemplo,
datos acerca de su cadena de suministro, procesos de desecho de dispositivos obsoletos y actividades
sociales de sus empleados).

Con estos datos el atacante decide qué técnica será la más adecuada para explotar las vulnerabilidades
detectadas. En esta fase es habitual el uso de phishing e ingeniería social para extraer datos sensibles
tanto de empleados como del sistema.

En la figura 16 se muestran algunas de las herramientas más utilizadas durante esta fase.

Figura 16. Herramientas de reconocimiento más populares.

Fuente: elaboración propia.

5.1.2. Acceso y escalada de privilegios

–
Una vez identificado el punto de entrada y explotadas sus vulnerabilidades, el foco del atacante se centra en
mantener su acceso y moverse dentro de la red sin ser detectado. Para ello, necesita escalar su nivel de
privilegios y así lograr acceso al mayor número posible de dispositivos disponibles en la red. El escalado de
privilegios es vertical (se cambia de cuenta hasta encontrar una con mayores privilegios) u horizontal
(permanece con la misma cuenta, pero logra que sus privilegios de acceso se incrementen).

5.1.3. Exfiltración
–
Esta es la fase en la que realmente comienza el ataque. En este punto el atacante ha logrado suficiente
grado de libertad para moverse por la red de su víctima y acceder a los sistemas y datos objetivo del
ataque.

Se procede a la extracción de los datos sensibles de la compañía, tales como documentación secreta,
datos personales de sus clientes y empleados, contraseñas, etc.

Una vez extraídos los datos, el acatante opta por venderlos a un tercero o extorsionar a la empresa con la
amenaza de hacerlos públicos 18.

5.1.4. Sostenimiento
–
Esta fase se da cuando el atacante decide permanecer en la red de la víctima incluso tiempo después de la
exfiltración. Tal puede ser el caso de aquellos atacantes que tengan un objetivo más allá que la mera
extracción de datos, como la ejecución de un ataque más severo.

Mediante el uso de rootkits 19 (software malicioso diseñado para permanecer oculto en un sistema)
instalados en diferentes puntos de la red, el atacante se asegura que puede acceder al sistema en
cualquier momento y desde diferentes puntos alternativos.

5.1.5. Asalto
–
Se trata de la fase más agresiva y se da cuando el atacante produce daño irreversible, más allá de los datos
y del software. Tal sería el caso, por ejemplo, de que el atacante desactivara o alterase el funcionamiento
del hardware de la víctima o llegase a destruirlo por completo.

Un buen ejemplo de ataque llevado hasta esta fase fue aquel cometido contra una central nuclear en Irán,
en 2010. Un grupo de piratas informáticos logró hacerse con el control de varias centenas de dispositivos
industriales y, mediante el gusano informático Stuxnet, lograron reprogramar los dispositivos para que se
autodestruyeran20.

5.1.6. Ofuscación
–
Se trata de la última fase del ataque y su objetivo es hacer desaparecer cualquier pista que comprometa la
identidad del atacante.

La ofuscación se lleva a cabo de diferentes maneras. Una de las más habituales es ofuscar el propio origen
de los ataques. Tal es el caso de la utilización de una o varias redes intermediarias para acceder a la red
objetivo, lo que hace más difícil trazar una línea desde la víctima hasta el origen. Uno de los ejemplos más
famosos se dio en una universidad (cuyo nombre no trascendió) y cuyos servidores fueron atacados desde
varios miles de dispositivos IoT de la propia universidad, tales como bombillas inteligentes y máquinas
expendedoras o de vending21.

18Rosenthal, M. “12 Examples of Data Exfiltration”. Tessian; 3 de febrero de 2021.

19 Red Seguridad. “Rootkit: definición, tipos y protección ante este ‘malware’”. 12 de julio de

2021.
20 BBC Mundo. “El virus que tomó el control de mil máquinas y les ordenó autodestruirse”. 11

de octubre de 2015.
21 Smith. “University attacked by its own vending machines, smart light bulbs & 5000 IoT

devices”. CSO; 12 de febrero de 2017.

C O NT I NU A R

5.2. Gestión del incidente

En el momento en el que se detecta un posible ataque, se activa un proceso de investigación con el objetivo
de determinar las causas y definir acciones para evitar que vuelva a suceder en el futuro. No obstante, antes
de iniciar la investigación es fundamental definir el alcance del incidente y evaluar si se trata ciertamente de
un problema de seguridad o si, simplemente, los síntomas observados se derivan de un problema interno.
 Ejemplo

Por ejemplo, si un empleado observa que su ordenador se ralentiza, esto

podría ser indicativo de que el equipo está comprometido o quizá pueda
deberse al mal uso por parte del empleado.

En la figura 17 se describe el ciclo de vida de la gestión de un incidente:

Figura 17. Ciclo de vida en la gestión de un incidente de seguridad.

Fuente: Wiese, Aanenson (2020).

Hoy en día la cantidad de información disponible es tan elevada, que la recolección de evidencias sobre un
incidente debe centrarse en aquellos artefactos que son realmente relevantes. Disponer de más
información no implica necesariamente mayor capacidad de investigación, principalmente porque los datos
deben correlacionarse entre sí y el uso de demasiada información en el proceso podría inducir a
conclusiones erróneas.

Por eso es importante identificar aquellos artefactos clave alrededor de los cuales debería centrarse la
investigación. En la figura 18 se muestran los más importantes.

Figura 18. Artefactos clave en la investigación de un incidente.

Fuente: elaboración propia.
La recogida de eventos de aplicación y seguridad puede ser tediosa, máxime si la red de la empresa está
compuesta de multitud, quizá miles, de máquinas interconectadas. En estos casos es recomendable
instalar un sistema SIEM (sistema de gestión de eventos e Información de seguridad, o security information
and event management, en inglés). Se trata de sistemas que recopilan, de forma activa, todos los eventos
que suceden en la empresa, para detectar cualquier tendencia o patrón fuera de lo común y así actuar de
forma inmediata.

Contenidos recomendados

Elementos de monitorización de seguridad

En el siguiente webinar se exponen casos reales de ciberataques y se presentan los elementos que facilitan
la monitorización de un sistema ante un posible ataque: https://www.youtube.com/watch?v=AILC6mGJ7Yg

C O NT I NU A R

5.3. Lecciones aprendidas

Cuando se da por concluida una investigación, la empresa debe documentar cada paso ejecutado durante el
proceso. En este punto se deben identificar todos aquellos aspectos que no funcionaron correctamente y
que han de ser revisados y mejorados. Las lecciones aprendidas durante la investigación son cruciales en la
mejora continua del proceso, para asegurar que no se vuelvan a cometer los mismos errores en el futuro.

C O NT I NU A R
5.4. Plan de recuperación ante un desastre
 1

A pesar de las medidas de control y monitorización que se apliquen en un sistema de gestión de la

información, las organizaciones no pueden depender íntegramente de sí mismas para protegerse
de posibles ataques y amenazas. Los desastres en este tipo de entornos se deben a múltiples
factores tanto naturales (incendios, huracanes, terremotos, etc.) como humanos (ataques
intencionados, accidentes, etc.). Cuando se produce este tipo de eventos, la capacidad de una
organización para responder a ellos es determinante en su supervivencia y en la velocidad y el
esfuerzo para recuperarse.
 2

Un plan de recuperación es un conjunto documentado de procesos y procedimientos que deben

llevarse a cabo para recuperar la infraestructura IT de una empresa ante un desastre. Dada la
dependencia que muchas organizaciones tienen de su infraestructura IT, se considera obligatorio
disponer de un plan comprensivo y bien formulado.

Algunos de los beneficios de disponer de un plan de recuperación son:

Existencia de una sensación real de seguridad: el plan garantiza la capacidad de la

organización para seguir funcionando tras un desastre.

Reducción de los tiempos de recuperación: la ausencia de un plan puede dar lugar a una
recuperación lenta y descoordinada.

Mantenimiento de la fiabilidad de los sistemas de reserva: parte del proceso de recuperación

se basa en restaurar el negocio sobre un sistema de reserva.

Provisionamiento de un plan de prueba estándar para todas las operaciones del negocio.

Minimización del tiempo requerido para tomar decisiones durante un desastre.

Mitigación de las responsabilidades legales.

La figura 19 muestra los pasos que las organizaciones deberían llevar a cabo para definir un plan de
recuperación comprensivo:

Figura 19. Pasos para la elaboración de un plan de recuperación.

Fuente: elaboración propia.

5.4.1. Formar un equipo de recuperación

–
El equipo DR (disaster recovery, por sus siglas en inglés) es un equipo formado por miembros de todos los
departamentos y algunos representantes del equipo gestor de la organización. Su cometido es ayudar a la
empresa en la definición de las operaciones necesarias para la recuperación, así como asegurar su
correcto desarrollo e implementación en cada departamento.
5.4.2. Analizar riesgos
–
Se deben identificar todos los riesgos, tanto naturales como humanos, que afecten las operaciones de la
organización, especialmente a la infraestructura IT.

5.4.3. Priorizar procesos y operaciones

–
Los representantes de cada departamento deben identificar sus necesidades críticas y cuya recuperación
debería ser prioritaria en el evento de un desastre. Es posible que no se disponga de suficientes recursos
para responder a todas las necesidades. En ese caso, se deben definir criterios de viabilidad mínimos para
identificar aquellas necesidades que deben ser atendidas primero.

5.4.4. Definir estrategias de recuperación

–
En este paso se definen los mecanismos prácticos para la correcta recuperación ante un desastre. En las
estrategias se deben considerar todos los aspectos de la operativa, tales como hardware, software, bases
de datos, canales de comunicación, servicios de atención al cliente y servicios al usuario final.

Al final de este paso, el equipo DR debería tener la solución a todos los posibles desastres identificados.

5.4.5. Recopilar datos

–
Se debe recopilar información relevante acerca de la organización, que sea de ayuda en el proceso de
recuperación, detalles tales como inventarios, políticas y procedimientos, datos de contacto, teléfonos de
atención al cliente de los proveedores, etc.
5.4.6. Crear el plan
–
Tras los pasos anteriores, el equipo DR habrá recopilado información suficiente para desarrollar un plan de
recuperación comprensivo y práctico. Debe definirse en un formato estándar que sea fácilmente
interpretado y que exprese, de manera breve y clara, toda la información esencial.

Cada procedimiento debe detallarse en una guía paso a paso y tiene que cubrir todo aquello que el equipo
de respuesta y los usuarios deben hacer cuando se produzca el desastre.

5.4.7. Testar el plan

–
El plan de recuperación debe ser sometido a prueba para detectar los posibles errores o retos que pueda
contener. Se pueden ejecutar simulaciones, listas de verificación e incluso hasta interrupciones parciales o
totales para llevar al extremo los procedimientos de recuperación definidos.

5.4.8. Obtener aprobación

–
Una vez que el plan ha sido testado y se ha alcanzado un grado aceptable de fiabilidad, debe ser aprobado
por el organismo gestor de la organización. Esta aprobación tiene que hacerse en dos ámbitos: ser
consistente con las políticas de la compañía y ser revisable de forma anual.

Contenido recomendado

Estrategias para la gestión de incidentes de ciberseguridad

En este webinar se tratan los aspectos más relevantes de un centro de operaciones de seguridad (SOC),
desde su definición hasta las capacidades necesarias requeridas para ejecutar su función:
https://www.youtube.com/watch?v=1H5PA-pFWo0
Lección 6 de 11

VI. Postura en ciberseguridad

El número y tipo de amenazas a los que se enfrentan las organizaciones hoy en día es cada vez mayor, y por
ello es importante adoptar una postura firme en materia de ciberseguridad.

Es fundamental establecer tres pilares sólidos sobre los que hay que asentar esta postura:

Asegurar la protección de todos los dispositivos que componen la infraestructura de la

organización.

Tener la capacidad suficiente para identificar posibles ataques de forma rápida y efectiva,
gracias a la implantación de mecanismos de detección.

Reducir al mínimo el tiempo entre infección y contención, mediante el uso de un proceso de

respuesta efectivo.
 Figura 20. Pilares de la postura en ciberseguridad.
Fuente: elaboración propia.

De cara a desarrollar un sistema de defensa óptimo centrado en esos tres pilares, existen cuatro ángulos
críticos para tener en cuenta. Se les considera las cuatro V de la postura cibersegura, detalladas en la figura
21:
 Figura 21. Las cuatro V de la postura cibersegura.
Fuente: elaboración propia.

C O NT I NU A R

6.1. Equipo rojo y equipo azul

En el anterior apartado se ha hablado de la validación como proceso clave para establecer una postura
segura ante amenazas. Una de las técnicas más utilizada se basa en la formación de dos equipos, rojo y

azul, que deben “competir” en torno a los mecanismos de ciberseguridad implantados en la organización22.

El concepto original de estos dos equipos se introdujo durante la Primera Guerra Mundial, con el objetivo de
demostrar la efectividad de un ataque a través de diferentes simulaciones. En el ámbito de la
ciberseguridad, el equipo rojo se encarga de organizar ataques mediante las técnicas conocidas más
avanzadas, con el objetivo de penetrar en los sistemas de la organización. Durante el proceso, el equipo
debe documentar las vulnerabilidades encontradas y registrar las métricas que aportan más valor en el
proceso de mejora continua de la seguridad:

Tiempo medio para comprometer el sistema (MTTC, por sus siglas en inglés): es el tiempo
medio desde que comienza el ataque hasta que se consigue acceder al sistema.

Tiempo medio para escalar privilegios (MTTP, por sus siglas en inglés): esta métrica
comienza en el mismo punto que la anterior, pero mide el tiempo medio hasta que se
compromete definitivamente el sistema, es decir, cuando el atacante obtiene privilegios de
administrador.

La contrapartida del equipo rojo es el equipo azul, que debe velar por la seguridad del sistema. Cuando el
equipo rojo encuentra una vulnerabilidad y es capaz de explotarla, el equipo azul es el responsable de
validarla y tomar las acciones oportunas para corregirla lo antes posible.

Para lograr la máxima efectividad de estos ejercicios, ambos equipos trabajan de forma opuesta y es
habitual que entre ellos no haya intercambio de información, hasta el punto de que el equipo azul podría
mantenerse ajeno a las vulnerabilidades explotadas por el equipo rojo. Por tanto, el equipo azul debe tomar
medida de las siguientes métricas y hacer lo posible por reducirlas:

Tiempo estimado para la detección (ETTD, por sus siglas en inglés).

Tiempo estimado para la recuperación (ETTR, por sus siglas en inglés).

Contenido recomendado

Equipo rojo y equipo azul

En el siguiente vídeo se profundiza en el trabajo complementario que los equipos rojo y azul llevan a cabo
para mejorar la ciberseguridad en una organización: https://www.youtube.com/watch?v=j5VJmLq37h8

22UNIR. “Red Team, Blue Team y Purple Team, ¿cuáles son sus funciones y diferencias?”.

C O NT I NU A R

6.2. Educar al usuario

 1

Las bases fundacionales de las políticas de seguridad de una organización deben centrarse en
resolver el siguiente trinomio de problemas: confidencialidad, integridad y disponibilidad. Se trata
de una responsabilidad compartida entre organización y usuario, y aunque la primera ofrezca
mecanismos robustos para su cumplimiento, es el usuario, en última instancia, el encargado de
velar por el cumplimiento de estos tres factores. Por tanto, es imperativo que los usuarios sean
conscientes de sus roles y responsabilidades dentro de los sistemas de la organización.
 2

La educación de los usuarios debe ser una tarea integrada dentro del proceso de gestión de la
seguridad y debe tener como objetivo la concienciación. Es una de las tareas más importantes en
esta gestión, puesto que aquellos usuarios que no hayan sido debidamente entrenados en
materia de seguridad podrían suponer un grave peligro para la organización.
 3

Según la Agencia Europea para la Ciberseguridad (ENISA), los ataques de tipo

ransomware supusieron la principal tendencia en ciberataques durante el año 2021. En su
informe se indica que la mayoría de estos ataques se inician a partir de correos de phishing23 .
Estos envíos se basan en diferentes técnicas, pero los más masivos hacen uso de técnicas de
ingeniería social para llegar al mayor número posible de usuarios.
 4

Según la compañía de ciberseguridad Symantec, la palabra más utilizada en campañas masivas

de envío de phishing es “factura”. El objetivo de estos correos es asustar al usuario y hacerle creer
que tiene un pago pendiente. Este parece un método bastante efectivo a la hora de hacerle caer
en la trampa.
 5

Para que sea efectivo, el proceso de entrenamiento y concienciación debe cumplirse con todos
los empleados de la organización, con las adaptaciones de contenido para cada tipo de perfil.
Para garantizar su asimilación, este proceso debería ir acompañado de ejemplos reales, así como
de ejercicios para que los usuarios lleven los conceptos a la práctica.

23ENISA. “ENISA Threat landscape 2021”.

C O NT I NU A R

6.3. Aplicación de políticas de seguridad

En el sentido más estricto, las políticas de seguridad son declaraciones formales de las reglas que deben
cumplir los empleados para acceder a los activos IT de la organización, con base en su postura en materia
de ciberseguridad. Es posible distinguir dos grandes grupos de políticas:

Las que definen lo que debe ser evitado: aglutinan comportamientos y prácticas que pongan
en riesgo la seguridad de los sistemas, como, por ejemplo, utilizar contraseñas débiles, abrir
archivos sospechosos, utilizar redes wifi abiertas, etc.
 Las que definen lo que debe hacerse siempre: algunos ejemplos son: instalar software
antivirus en los equipos, utilizar VPN para acceder a la red de la organización, renovar las
contraseñas con frecuencia, etc.

La elección de unas u otras políticas dependerá del tipo de negocio y el nivel de seguridad que la
organización desea alcanzar. El Instituto Nacional de Ciberseguridad de España ha elaborado una guía

completa de políticas, tanto para empresarios como para empleados y personal técnico24.

24Incibe. “Políticas de seguridad para la pyme”.

C O NT I NU A R

6.4. Defensa en profundidad

Las redes de la organización pueden resultar fáciles de navegar para un intruso si no se establecen políticas
estrictas para el acceso entre dispositivos y subsistemas. La defensa en profundidad se basa en establecer
diferentes capas de protección alrededor de los datos, en las que cada una de ellas tenga sus propios
controles de seguridad, de manera que los atacantes deben romperlos para acceder a la siguiente capa.
 Figura 22. Capas en la defensa en profundidad.
Fuente: CyberSecure.

Históricamente, las organizaciones han desarrollado sus estrategias de defensa en profundidad alrededor
de modelos de defensa perimetral para infraestructuras on-premise. La figura 23 contiene los elementos
más habituales en una implementación clásica de esta estrategia, pero que hoy en día todavía son
aplicables:
 Figura 23. Elementos de seguridad para una defensa en profundidad.
Fuente: elaboración propia.

C O NT I NU A R

6.5. Detección activa

Hasta ahora se han tratado dos de los pilares fundamentales en la adopción de una postura cibersegura en
la organización: la protección, que se alcanza con políticas de seguridad y estrategias de defensa
adecuadas, y la respuesta, que se define con base en un procedimiento robusto de gestión de incidentes.

El tercer pilar bajo el que se sustentan las organizaciones ciberseguras requiere la implantación de
sistemas de detección de amenazas. Este tipo de sistemas se construyen a partir de sensores distribuidos
por toda la red de la organización y que monitorizan la actividad.
 1

En el panorama de amenazas actual, los métodos tradicionales de análisis, como las aplicaciones
de análisis de tráfico de red y el antimalware basado en detección de firmas, todavía tienen su
espacio, pero la incorporación de técnicas de explotación cada vez más avanzadas hace
necesario que estos métodos se complementen con técnicas modernas de detección. Ya no es
suficiente con analizar el comportamiento de los usuarios con los perfiles más altos, sino que
todos deben ser sometidos a escrutinio continuo. Dado el elevado número de empleados bajo
análisis que una organización puede llegar a tener, se hace necesario utilizar técnicas de análisis
comportamental que alimenten algoritmos de aprendizaje automático y que generen alertas
cuando se detecten comportamientos anómalos.
 2

Es tarea habitual del equipo azul implantar mecanismos de detección para identificar esos
comportamientos en el conjunto de todos los dispositivos que forman la red, independientemente
de su localización, y que generen alertas basadas en la correlación de datos extraídos a nivel
global.
 Figura 24. Alertas basadas en la correlación de datos.
Fuente: elaboración propia.

Los sistemas de detección de amenazas se basan en la interpretación de indicadores conocidos como

indicadores de compromiso (IoC, por sus siglas en inglés) 25. Estos son huellas que dejan los atacantes o
las aplicaciones maliciosas, y que no suelen existir en entornos saneados. Un ejemplo de IoC es la
existencia, en los logs del sistema operativo, de un evento indicativo de la ejecución de un comando
concreto.

Ejemplo

Por ejemplo, el ransomware Petya26 sigue un proceso intensivo de escaneo

de la red en los puertos TCP 139 y 445. La existencia de trazas acerca de
estos escaneos puede ser indicativo de que se está produciendo un ataque y
de que, probablemente, se trate de este malware.

Existen bases de datos abiertas en las que se pueden descubrir nuevos IoC e incluso colaborar con la
incorporación de nuevos indicadores detectados. Una de las bases de datos más populares es
https://openioc.org (adquirida recientemente por FireEye, aunque todavía es de uso gratuito).

Conviene en este punto hablar no solo de detección activa, sino también de protección activa. Es habitual
confundir los sistemas de detección de intrusos (IDS, por sus siglas en inglés) con los sistemas de
prevención de intrusos (IPS, por sus siglas en inglés).
 Figura 25. IDS vs. IPS.
Fuente: elaboración propia.

Figura 26. IDS vs. IPS.

Fuente: TecSens.

Contenido recomendado
 Qué son los sistemas IDS e IPS y sus diferencias

En el siguiente vídeo se detallan los aspectos más relevantes de los sistemas IPS e IDS y se profundiza en
sus diferencias, mediante ejemplos concretos.

25Muñoz, F. “Qué son los indicadores de Compromiso: la evidencia de que puedes haber sido

víctima de malware”. WeLiveSecurity; 22 de febrero de 2021.

26 Wikipedia. “Petya (malware)”.

IDS vs. IPS   

  0:00 / 9:14 1x 
Lección 7 de 11

VII. Resumen

Repasa los conocimientos adquiridos en la unidad

En esta unidad se ha descrito el panorama actual de las amenazas a las que están expuestos los
sistemas de gestión de la información. Los avances en digitalización que llevan a cabo las
organizaciones y la presencia creciente de todo tipo de dispositivos interconectados (teléfonos móviles,
tablets, dispositivos IoT, etc.) conforman un buen caldo de cultivo en el que los ciberdelincuentes son
capaces de trazar planes de ataque cada vez más sofisticados.
Las motivaciones que llevan a los ciberdelincuentes a atacar un sistema son muy diversas, pero en la
mayoría de ellas existe una motivación económica. Ataques como la extorsión basada en ransomware
(secuestro de datos) o la exfiltración de datos sensibles para su posterior venta están entre los
preferidos por los atacantes.

El uso creciente de sistemas en la nube plantea nuevos retos, ya que los límites existentes entre las
plataformas de distintas organizaciones en una misma infraestructura pueden diluirse. En este tipo de
entorno las organizaciones ya no tienen control sobre las políticas de seguridad fuera de sus fronteras y
dependen de aquellas políticas establecidas por su proveedor cloud.

Las posturas que las organizaciones deben adoptar para garantizar la seguridad de sus sistemas deben
ser firmes y comenzar desde el usuario final. Las estadísticas muestran que los correos de phishing
siguen siendo una de las técnicas más efectivas para lograr el acceso no legítimo a un sistema o para
robar datos sensibles. Es por esto por lo que las organizaciones deben formar a sus empleados en
materia de ciberseguridad y darles las herramientas necesarias para evitar que se conviertan en el punto
de entrada al sistema.

Los cimientos de un sistema ciberseguro se asientan sobre tres principios básicos: protección,
detección y respuesta.

Los mecanismos de protección disponibles son diversos, pero deben discurrir alrededor de un conjunto
de políticas claras y concisas que definan lo que se debe hacer y lo que está prohibido, con el fin de
fortalecer la posición de los usuarios ante posibles amenazas. No obstante, esta protección debe ser
llevada a todo el sistema, y las arquitecturas propuestas por una defensa en profundidad pueden
dificultar, e incluso impedir, que un atacante se mueva libremente por la red.

Según IBM, el tiempo medio para detectar a un intruso dentro de una red es de 287 días. Los sistemas de
detección de intrusos (IDS), en combinación con los sistemas SIEM, reducen drásticamente este tiempo
y pueden ser clave para evitar que los intrusos lleven a cabo su propósito.

La respuesta ante un incidente debe ser robusta y basada en un protocolo bien definido. Durante la
investigación del incidente se deben seleccionar los artefactos apropiados y descartar la información
que no sea relevante, y una vez contenida la amenaza, debe llevarse a cabo un plan de recuperación que
mitigue los daños y permita el correcto desarrollo del negocio de la organización.
Lección 8 de 11

VIII. Caso práctico con solución

Aplica los conocimientos adquiridos en esta unidad

ENUNCIADO

La fábrica de galletas Birba, consciente de que el 70 % de los ciberdelitos en España está dirigido a las
pymes, ha puesto en marcha un sistema de seguridad integral. En el siguiente enlace se detallan los
mecanismos implantados con el objetivo de minimizar los riesgos a los que la fábrica está expuesta en
materia de ciberseguridad:
 González, D. “Caso de éxito en ciberseguridad: Galletas Birba”. dairas.com; 5 de septiembre de
2020.

SE PIDE

1. Identificar los mecanismos implantados y analizar los problemas de seguridad que resuelve cada
uno.

2. Tratar de identificar los dispositivos conectados que pueden existir en el sistema e identificar las
amenazas a las que están expuestos.

3. Incorporar nuevos elementos a la solución implantada por Birba para conseguir una postura
cibersegura.

UD5_CP_Contenido.pdf
3.3 MB

VER SOLUCIÓN
SOLUCIÓN

El sistema de seguridad implantado en Birba se centra en proteger los puntos más vulnerables del
sistema: los usuarios, las comunicaciones y los datos.

Para proteger a los usuarios han realizado procesos formativos con sus empleados acerca de los
peligros existentes en el ámbito de las comunicaciones vía e-mail. En este proceso han aprendido a
identificar correos de phishing y cómo tratarlos. Asimismo, se ha instalado un sistema de autenticación
por múltiples factores (MFA) que reduzca las posibilidades de acceso al sistema por parte de un
atacante, en caso de que algunas credenciales hubieran sido comprometidas. No obstante, existe un
riesgo en esta aproximación: al utilizar Office365 como suite de correo, la empresa ha adoptado una
solución SaaS y, por tanto, depende íntegramente de las políticas de seguridad que implante este
producto, y no podría endurecerlas en caso de ser necesario.

De igual modo, se ha instalado un antivirus en los equipos de los usuarios, de manera que se evite la
ejecución de software malintencionado, con lo cual reducen las probabilidades de que un atacante
pueda obtener el control de los estos.

Para la protección de la red han utilizado dos mecanismos:

Instalación de una VPN para acceder desde equipos externos a la red interna: este mecanismo
permite que toda la comunicación entre los equipos de trabajo y los servidores de la red esté
cifrada, es decir, los datos se envían cifrados en tránsito, lo que reduce las probabilidades de sufrir
un ataque de tipo man in the middle.

Instalación de firewall UTM, desarrollado a partir de los servicios Threat Detection and Response
de WatchGuard. Revisando en detalle la web de WatchGuard describen su solución como un
sistema capaz de detectar y bloquear amenazas, tanto conocidas como desconocidas. Por tanto,
parece tratarse de un IPS (sistema de prevención de intrusos).
Para proteger los datos han instalado un sistema que realiza copias de seguridad de manera frecuente.
De esta manera se mitigan las consecuencias de ataques de tipo ransomware o de posibles ataques de
manipulación de datos.

Aparte, la empresa consultora en seguridad recomendó a Birba la implantación de un plan de

contingencia con detalles prácticos sobre cómo actuar en caso de fallo informático.

En el artículo se habla de la protección de equipos informáticos, datos y puntos de entrada a la red. No

obstante, no se mencionan otros dispositivos, como pueden ser aquellos de tipo IoT que la empresa
pudiera tener (como las cámaras de seguridad en la fábrica, los robots de limpieza, etc.). Tampoco se
mencionan otros dispositivos, como pueden ser las máquinas que participan en los procesos de
fabricación, y que pueden ser parte de la red. Si no se aplican las mismas políticas de seguridad a estos
componentes, podrían suponer un riesgo para el sistema si un atacante lograra burlar el sistema IPS y
acceder a ellos.

En la adopción de una postura sólida en materia de ciberseguridad se podría decir que la solución de
Birba cubre los tres pilares fundamentales: protección, detección y respuesta, aunque no lo hace con
una profundidad suficiente. Se han centrado en la seguridad de equipos informáticos, la red, la gestión
del acceso y la prevención de intrusos. Para lograr una postura sólida habría que considerar también
otros aspectos, como la segmentación de la red y la implantación de políticas para la gestión de parches
contra vulnerabilidades (en sistemas operativos, aplicaciones, etc.).
Lección 9 de 11

IX. Lecturas recomendadas

Lecturas recomendadas
En esta sección podréis acceder a las lecturas recomendadas para esta unidad.

Vass Team. “Hacia el Cloud Computing y el refuerzo de la Ciberseguridad en la banca”. Vass;

20 de mayo de 2021.

Ranchal, J. “Los 10 peores incidentes de ciberseguridad en 2021”. Muycomputer.com; 29 de

diciembre de 2021.

C O NT I NU A R

Vídeos recomendados
En esta sección podréis acceder a los vídeos recomendados para esta unidad.

Fyde Caja Canarias. Recomendaciones de ciberseguridad para la empresa. Archivo de vídeo; 2 de

noviembre de 2018.

ABRIR ENLACE
Incibe. ¿Por qué el phishing sigue siendo tan efectivo? Archivo de vídeo; 29 de enero de 2020.

ABRIR ENLACE

ManageEngine LATAM. Webinar: Ataque de ransomware en vivo. Archivo de vídeo; 6 de octubre de 2021.

ABRIR ENLACE
Lección 10 de 11

X. Glosario

El glosario contiene términos destacados para la

comprensión de la unidad

Autenticación de múltiples factores o MFA

–
Método de control de acceso a un sistema informático en el que a un usuario solo se le concede acceso
después de que presente dos o más pruebas diferentes de que es quien dice ser. Las pruebas pueden ser
diversas e implicar el uso de certificados, biometría o incluso de hardware específico.
Bug o error informático
–
Problema o fallo en un programa o sistema de software que desencadena un resultado no deseado. El
factor humano durante el desarrollo suele ser el desencadenante de este tipo de errores.

Data at rest o datos en reposo

–
Término para referirse al estado de los datos cuando permanecen almacenados físicamente en un
dispositivo en su forma digitalizada.

DDOS o denegación de servicio distribuido

–
Ataque cuyo objetivo es saturar un servicio, aplicación o red. El atacante, con el uso de la potencia de
centenares o miles de servidores, coordina la ejecución de múltiples peticiones simultaneas que el
sistema atacado es incapaz de manejar, y queda, por tanto, inoperable.

CPU o Unidad Central de Proceso

–
Hardware de un dispositivo programable (ordenador, teléfono, IoT, etc.) cuyo trabajo es interpretar y ejecutar
las instrucciones de los programas informáticos.

Cracker
–
Término utilizado para referirse a las personas que vulneran un sistema de seguridad con un propósito
ilícito. No debe confundirse con el término hacker, que se refiere a personas cuyo propósito, al vulnerar un
sistema, no es ilícito.

BYOD
–
Tendencia tecnológica orientada a que los trabajadores usen sus propios dispositivos portátiles para el
cumplimiento de su trabajo.

Gusano informático
–
Tipo de malware que tiene la capacidad de propagarse para infectar otros ordenadores. Se sirve de la red
para escanear posibles equipos vulnerables para infectar.

Hacker
–
Término utilizado para referirse a los expertos en tecnologías de la comunicación y la información, que
utilizan sus conocimientos en computación y programación para estudiar todo tipo de problemas,
normalmente relacionados con la seguridad.

Ingeniería social
–
Conjunto de técnicas exploratorias cuyo objetivo es extraer información privada de una persona y su
entorno. En el ámbito de la ciberseguridad, estas técnicas se centran en extraer información confidencial a
través de la manipulación de usuarios legítimos, con el propósito de obtener información, acceso o
permisos en un sistema.
Malware
–
Término utilizado para describir una variedad de software hostil o intrusivo. Los tipos de malware más
habituales son virus, gusanos informáticos, caballos de Troya, spyware, adware, entre otros.

Man in the middle

–
Tipo de ataque en el que se extrae información por medio de la escucha en una comunicación entre dos
partes. El atacante intercepta el tráfico en tránsito y extrae la información que pueda ser de valor.

Phishing
–
Conjunto de técnicas cuyo objetivo es engañar a una víctima y ganarse su confianza, al hacerse pasar por
una entidad conocida. Mediante la manipulación de la víctima, esta acaba por ejecutar acciones que llevan
a la filtración de datos sensibles o a la instalación de software malicioso en su equipo informático.

Ransomware o secuestro de datos

–
Programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado.
Los atacantes solicitan un rescate a cambio de eliminar estas restricciones.

SIEM
–
Sistema que centraliza el almacenamiento y la interpretación de los datos relevantes a la ciberseguridad y
que se generan en un entorno distribuido, como una red de múltiples dispositivos interconectados. De esta
manera hace un análisis global de la situación en múltiples ubicaciones, desde un punto de vista unificado
y que facilita la detección de tendencias y patrones no habituales.

Single Sign-On
–
Procedimiento de autenticación que habilita a un usuario para acceder a varios sistemas con una sola
instancia de identificación.

SOAR
–
Organización, automatización y respuesta de la seguridad. Describe un conjunto de funciones que se
utilizan para centralizar la recolección de datos acerca de amenazas, y la elaboración de respuestas
automáticas ante estas.

TPM
–
Chip criptográfico seguro y diseñado para llevar a cabo operaciones criptográficas. Este incluye varios
mecanismos de seguridad físicos para que sea resistente a alteraciones, de modo que el software
malintencionado no pueda alterar las funciones de seguridad del TPM.

Virus
–
Software que tiene por objetivo alterar el correcto funcionamiento de cualquier tipo de dispositivo
informático sin el permiso o consentimiento del usuario. Su propósito es lograr fines maliciosos como la
destrucción de datos almacenados, el uso del dispositivo para fines ajenos al usuario o su propia
propagación.
Lección 11 de 11

XI. Bibliografía

McKinsey & Company. Cybersecurity in a Digital Era. Nueva York: Digital McKinsey and Global
Risk Practice; 2020.

Mitnick, K. The Art of Invisibility. New York: Little, Brown and Company; 2017.

Diogenes Y., Ozkaya, E. Cybersecurity – Attack and Defense Strategies. Birmingham: Packt
Publishing Ltd; 2018.

Instituto Nacional de Ciberseguridad. Decálogo de ciberseguridad empresas. 2017.

Kaspersky Lab. A global survey into attitudes and opinions on IT security. 2021.

ENISA. Threat landscape. 2021.