Seguridad en Sistemas de Información PDF

Summary

Este documento proporciona un resumen de la seguridad en los sistemas de información. La seguridad de los sistemas de información se refiere a la práctica de proteger los datos y los sistemas informáticos de las diversas amenazas, garantizando su confidencialidad, integridad y disponibilidad.

Full Transcript

Seguridad en Sistemas de Información

1.1. Introducción
Se refiere a la práctica de proteger los datos y los sistemas informáticos de diversas
amenazas, garantizando su confidencialidad integridad, y disponibilidad. Esta disciplina
abarca una amplia gama de medidas y técnicas destinadas a salvaguardar los activos
digitales frente a accesos no autorizados, usos indebidos, alteraciones, destrucción o
interrupciones.

Sistemas de información: (Magerit) conjunto de elementos físicos, lógicos, elementos de
comunicación, datos y personal que permiten el almacenamiento, transmisión y proceso de
la información

Proteger Activos.Estos pueden ser:f
De Datos/Información (BBDD):
Servicios: TO

Dimensiones a tener en cuenta:
Integridad: la información debe mantenerse completa, precisa y sin alteraciones no
autorizadas. Asegura que los datos no sean modificados de manera incorrecta, ya
sea intencionalmente o accidentalmente.
○ Firmas digitales y hashes
○ Control de versiones:
○ Validación de entrada de datos:
Confidencialidad: protección de la información contra el acceso no autorizado.
Su objetivo es asegurar que los datos sensibles solo sean accesibles a las personas
o sistemas autorizados, impidiendo su divulgación a entidades no autorizadas.
○ Cifrado de datos
○ Controles de acceso
○ Políticas de privacidad
Disponibilidad: asegura que la información y los recursos del sistema estén
accesibles y utilizables por los usuarios autorizados cuando sea necesario. Esto
incluye mantener el funcionamiento continuo de sistemas, servicios y datos.
○ Redundancia y tolerancia a fallos
○ Planes de recuperación ante desastres
○ Monitoreo y mantenimiento

Guía
CCN-STIC-400: incluyen recomendaciones para los responsables de seguridad
relativas a aspectos concretos de la seguridad de las TIC
CCN-STIC-410: Análisis de Riesgos en Sistemas de la Administración
 1.2. Metodología (SGSI/Sistema de gestión de la información)
Definición: Es un marco estructurado que organiza, gestiona y protege los datos e
información dentro de una organización. Esta metodología establece políticas,
procedimientos, y herramientas necesarias para asegurar que la información se maneje de
manera eficiente y segura.

ISO/IEC 27001 - 27006: estándares que se enfocan en la gestión de la seguridad de la
información.
Se basa en la estrategia de mejora continua PDCA(Ciclo de Deming - Metodología
Incremental - Mejora continua)
Plan → Do → Check → Act (y vuelta a Plan)

Listado: ENS,ISM3,COBIT, Common Criteria, SOGP,TLLJO, ITIL

ENS (Esquema Nacional de Seguridad): Es un marco normativo español que tiene
como objetivo garantizar la protección adecuada de la información manejada por las
Administraciones Públicas, así como por las entidades que colaboran con ellas.
○ Establece los principios y requisitos necesarios para proteger la información y
los servicios que dependen de sistemas de información, garantizando la
confidencialidad, integridad y disponibilidad de los datos.
○ Nota: Obligado cumplimiento por la administración pública
○ Metodologías para la gestión y evaluación de riesgos de seguridad de la
información
i. MAGERIT: (Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información) está elaborada por el Consejo Superior de
Administración Electrónica del Gobierno de España para minimizar
los riesgos de la implantación y uso de las Tecnologías de la
Información, enfocada a las Administraciones Públicas
ii. OCTAVE
iii. CRAMM
iv. MEHARI
v. SP800-30
vi. UNE 71504
vii. EBIOS
ISM3
Cobit
Common Criteria: (EAL)[1-7]
SOGP
TLLJO
ITIL
 1.3. Atributos CORE a proteger → Tríada CIA + ACIDT

Listado de las principales dimensiones a proteger sobre un activo:
Confidencialidad:
Integridad

○
○ Si el canal no está cifrado, no garantiza la confidencialidad
○ Pasos que realiza el receptor:
i. General del documento su código hash
ii. Comparar el código Hash con el que le han mandado
iii. Si son iguales, INTEGRIDAD = SI. Caso contrario INTEGRIDAD=NO

Disponibilidad(Suele usarse mas para los tipos de Servicio: por ejemplo que esté la
web disponible)

Otros y también importantes
Autenticidad (no-repudio): a la garantía de que una entidad, ya sea una persona, un
sistema o una información, es genuina y verdadera.
○ Asegura que las partes involucradas en una comunicación o transacción son
quienes dicen ser y que la información proviene de una fuente legítima.(no
repudio en origen).
○ Sistemas que lo garantizan: Firma digital

Trazabilidad:capacidad de rastrear todas las acciones realizadas sobre un dato o en
un sistema de información, permitiendo seguir el historial, uso y localización de datos
a lo largo de su ciclo de vida.(Que y cuando)
 1.4. Conceptos
Nota: Según donde se mire las definiciones pueden variar
Activo:Componente o funcionalidad de un sistema de información susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
○ Algo que está en el SI a proteger (información o servicio)
Amenaza: evento que puede darse aprovechando una vulnerabilidad
Vulnerabilidad: probabilidad de ocurrencia/materialización de una amenaza
○ Debilidad de un activo o de un control que puede ser explotada por una o
mas amenazas
Ataque: Intento de destruir, exponer, alterar o inhabilitar un sistema de información o
la información que el sistema maneja, o violar alguna política de seguridad de alguna
otra manera.
Incidente de seguridad: Suceso (inesperado o no deseado) con consecuencias en
detrimento de la seguridad del sistema de información
Degradación [del valor] de un activo
○ Cuando un activo es víctima de una amenaza, una parte de su valor se
pierde.
○ Intuitivamente, se habla de un “porcentaje de degradación del activo”, de
forma que se puede perder entre un 0% y un 100%.
i. Se recoge “d” como un valor real entre 0,0 (degradación del 0%) y 1,0
(degradación del 100%).
Dependencias entre activos

○

Valor acumulado
○ Sea SUP(B) el conjunto superiores de B, es decir el conjunto de activos que
dependen directa o indirectamente de B:
i. SUP(B) = { Ai , Ai ⇒ B }
○ Se define el valor acumulado sobre B como el mayor valor entre el propio y
el de cualquiera de sus superiores:
i. valor_acumulado(B) = max (valor(B), maxi {valor(Ai)})
○ La fórmula anterior dice que el valor acumulado sobre un activo es el mayor
de los valores que soporta, bien propio, bien de alguno de sus superiores

Impacto : daño producido por la ocurrencia de una amenaza. Consecuencia que
sobre un activo tiene la materialización de una amenaza.
Impacto acumulado de una amenaza sobre un activo →
○ Es la medida de lo que implica una amenaza; es decir, la pérdida de valor
acumulado(el propio mas el acumulado de los activo que dependen de el).
 Impacto acumulado

○
Impacto repercutido de una amenaza sobre un activo
○ Si el activo A depende del activo B, las amenazas sobre B repercuten sobre
A.
○ Si B sufre una degradación “d”, eso mismo le ocurre a A, siendo el impacto
sobre A la pérdida de su valor propio.
Probabilidad de una amenaza
○ NA
Riesgo: F(probabilidadAmenza, impacto)
○ El valor 0 refleja el riesgo inexistente
○ Magerit: Estimación del grado de exposición a que una amenaza se
materialice sobre uno o mas activos causando daños o perjuicios a la
organización
○ Zonas de riesgo:
i. Zona 1: muy probables y de muy alto impacto
ii. Zona 2(amarillo): cubre un amplio rango desde situaciones
improbables y de impacto medio, hasta situaciones muy probables
pero de impacto bajo o muy bajo
iii. Zona 3: riesgos improbables y de bajo impacto
iv. Zona 4: riesgos improbables pero de muy alto impacto

v.

Análisis de riesgo: Proceso sistemático para estimar la magnitud de los riesgos a
que está expuesta una organización
Riesgo potencial → Se denomina riesgo a la medida del daño probable sobre un
sistema.
○ Conociendo el impacto de las amenazas sobre los activos, es directo derivar
el riesgo sin más que tener en cuenta la probabilidad de ocurrencia
Riesgo acumulado
○ impacto acumulado sobre el activo teniendo en cuenta
i. el impacto acumulado sobre un activo debido a una amenaza y
ii. la probabilidad de la amenaza
Riesgo repercutido
 ○ Es el calculado sobre un activo teniendo en cuenta
i. el impacto repercutido sobre un activo debido a una amenaza y
ii. la probabilidad de la amenaza se usará el impacto repercutido sobre
el activo
Impacto residual:
○ Un paquete de salvaguardas perfectamente eficaz reduce el impacto a un
valor residual “v=0”, es decir, al nivel de despreciable. Si las salvaguardas
son insuficientes, el impacto seguirá siendo apreciable

1.5. Seguridad

Se refiere a las prácticas, procesos, políticas y tecnologías implementadas para proteger la
confidencialidad, integridad y disponibilidad de la información y de los sistemas que la
procesan.
Objetivo: proteger los datos y los sistemas de información contra accesos no
autorizados, uso indebido, divulgación, alteración, destrucción y otros tipos de
amenazas

Nota. Mecanismos para reducir los riesgos: Salvaguardas
Puntos a tratar:
Seguridad Física
Seguridad Lógica
Políticas de seguridad
IDS/IPS (detectar accesos no autorizados a un ordenador o a una red / proteger a
los sistemas de ataques e intrusiones)
Criptografía: técnicas para asegurar la comunicación y proteger la información
contra accesos no autorizados y manipulaciones.

Seguridad Física: medidas diseñadas para proteger los componentes físicos de una
infraestructura de TI, como servidores, centros de datos, dispositivos de almacenamiento, y
otros equipos de hardware, contra accesos no autorizados, robos, desastres naturales, y
otros daños
Control de acceso a edificios
Sistemas contra Incendios
Sistemas de energía eléctrica (SAI)
Sistemas de vigilancia (CCTV)
Protección contra desastres naturales
etc
Nota Seguridad Física:
HSM (Hardware Security Module): dispositivo criptográfico que genera, almacena y
protege claves criptográficas y suelen aportar aceleración hardware para operaciones
criptográficas.
Como desde nuestras aplicaciones de usuario se le dice al HSM que firme:
○ Todos los módulos HSM tienen el mismo API (otra cosa es cómo esté
implementado ese API)
○ nombre del API: PCKS 11
○ Nombre coloquial: Cryptoki (cryptographic token interface)
Marcas: Luna
Ejemplo de módulo HSM:DNI Electrónico (en el chip están los certificados y con
ellos se permite hacer el firmado)

Seguridad Lógica: medidas y controles implementados para proteger los sistemas de
información y datos contra accesos no autorizados, manipulación, y otros tipos de
ciberataques.
Antivirus: son programas cuyo objetivo es detectar y eliminar virus informáticos
Anti-spam: son soluciones que permiten a los usuarios prevenir o acotar la entrega
de spam
Firewalls: es la parte de un sistema informático o una red informática que está
diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas.
Sistemas de autenticación : conjunto de procesos y tecnologías diseñadas para
verificar la identidad de un usuario, dispositivo o entidad antes de permitir el acceso
a un sistema de información, red o aplicación (capacidad de demostrar que un
usuario o una aplicación es realmente quién dicha persona o aplicación asegura
ser).
○ Uso de contraseña, certificado… y generalmente devuelve un token.
○ Con ese token ya puedes hacer una serie de cosas sobre el SI).
○ Métodos:
i. Radius, Kerberos, OAuth, JWT, OpenID, @Clave, SAML, Biométricos,
Sistemas OTP
ii. Radius: protocolo de red que proporciona autenticación centralizada,
autorización y contabilidad para los usuarios que se conectan y
utilizan un servicio de red.
Genera un token
iii. kerberos:protocolo de autenticación de red diseñado para
proporcionar una autenticación segura y sólida en redes no seguras
Genera tickets que son como los tokens
iv. OAuth: estándar de autorización que permite a los usuarios conceder
acceso a sus recursos en un sitio web a otro sitio web sin compartir
sus credenciales. Es un protocolo de autorización (la autenticación
va implícita)
Ejemplo de autorización: Ya logueado te ha dado un token y
con este te valida si tienes acceso a una determinada tienda
online

v. JWT (JSON Web Token): es un estándar abierto para crear tokens
de acceso que permiten la verificación de identidad y el intercambio
de información de forma segura entre dos partes
Un JWT consta de tres partes, separadas por puntos (.):

○
○ Header (Encabezado): Contiene el tipo de token
(JWT) y el algoritmo de cifrado (por ejemplo, HMAC
SHA256 o RSA).
En la cabecera es necesario poner el prefijo
Authentication: bearer
○ Payload (Carga Útil): Contiene las declaraciones o
"claims". Estas pueden ser declaraciones registradas,
públicas y privadas.
Nota: en subjet se suele poner el login
○ Signature (Firma): Asegura que el token no haya sido
alterado. Se crea tomando el encabezado, la carga útil,
una clave secreta y el algoritmo especificado.
 Se puede acceder a los datos y decodificarlos, pero no
modificarlos, ya que el servidor firma el token (clave que solo
sabe el servidor) y genera la clave HMAC.

vi. openId: protocolo de autenticación que permite a los usuarios
autenticarse en múltiples sitios web utilizando una única identidad
digital gestionada por un proveedor de identidad
vii. @Clave: sistema de autenticación digital utilizado en España para
acceder a servicios públicos en línea.
viii. SAML(@Clave): estándar abierto para el intercambio de datos de
autenticación y autorización entre un proveedor de identidad (IdP) y
un proveedor de servicios. Es un XML
ix. Biométricos
x. Sistemas OTP (One Time Password)
xi. etc

○ NOTA: MFA/2FA (2 Factor Authentication): consiste en combinar varios
métodos:
i. Algo que sé (PIN, Password…)
ii. Algo que tengo (USB, Certificado, QR…)
iii. Algo que soy (Biométricos)

Políticas de seguridad: conjunto de directrices, normas y procedimientos establecidos por
una organización para proteger sus activos de información, garantizar la integridad,
confidencialidad y disponibilidad de sus datos, y asegurar el cumplimiento de requisitos
legales y regulatorios.

IDS/IPS
IDS: Un sistema de detección de intrusiones es un programa de detección de
accesos no autorizados a un computador o a una red
IPS: software que ejerce el control de acceso en una red informática para proteger a
los sistemas computacionales de ataques y abusos
NOTA: el IPS agrega la posibilidad de bloquear ataques y además protege de forma
proactiva la red, mientras que el IDS no permite bloquear y protege de forma
reactiva la red.

Criptografía (VPN/SSL…)
 1.6. Amenazas y vulnerabilidades

Guía de ciberataques:

Resumen relacionados con monetización de un ataque:
Spyware:recopilar datos para enviarlos a agencias de publicidad
ransomware: cifran archivos para pedir un rescate.
○ Ataque: wanna cry
keylogger o steelers: roban información sensible
adware: muestran publicidad
dialer: toman control del medio
Rogue: hacen creer que el PC está infectado
Actores (Tipos):
Hacker: busca el conocimiento
○ White Hat Hackers: Conocidos como hackers éticos, estos profesionales
utilizan sus habilidades para mejorar la seguridad de sistemas y redes.
○ Black Hat Hackers: Hackers malintencionados que buscan explotar
vulnerabilidades para obtener ganancias personales o causar daño.
○ Gray Hat Hackers: operan en una zona intermedia, sin malas intenciones
pero sin seguir todas las reglas éticas.
Cracker: actividad ilícita
Lamer: alardea pero usa software desarrollado por otros
Script Kiddie: aficionado que usa sw de otros
Phreaker: área de telefonía
Newbie: novato

Herramientas
nmap: auditorías de seguridad.
○ Escanea puertos: consulta los puertos abiertos de la máquina y saber qué
servicios dispone
netstat - ss: herramienta que permite identificar conexiones TCP activas en la
máquina en la que se ejecuta el comando
nessus - OpenVAS: detector de vulnerabilidades
MetaSploit: test de penetración y descubrir vulnerabilidades de seguridad
Snort: NIDS(Sistema de detección de intrusos en una Red) e IPS(Sistema de
prevención de intrusos)
tcpdump: captura paquetes
ethereal/wireshark: sniffer
Linux Kali, Parrot: distribución basada en Debian GNU/Linux diseñada
principalmente para la auditoría y seguridad informática en general
John the Ripper: para realizar ataques de fuerza bruta y descifrado de contraseñas.

Ataques de fuerza bruta:
○ password cracker: también usa diccionarios
○ Hydra: fuerza bruta
○ NCrack: fuerza bruta
○ Medusa: fuerza bruta
Cain y Abel: recuperación de password para MS Windows
Shadow: motor de búsqueda de router, servidores, webcam…
Nikto: herramienta de escaneo de seguridad de código abierto diseñada para
identificar vulnerabilidades y problemas de seguridad en servidores web.
 1.7. Amenazas y vulnerabilidades - Ataques

Common vulnerabilities and Exposures (CVE): Es un sistema de referencia y
nomenclatura para identificar y catalogar públicamente vulnerabilidades conocidas en
software y hardware.
CVE fue creado por el MITRE Corporation( por eso a veces a la lista se la conoce por
el nombre MITRE CVE List) y es ampliamente utilizado por la industria de la
seguridad para comunicar información sobre vulnerabilidades de manera
estandarizada.
Cada referencia tiene:
○ CVE-ID: CVE-2024-12345
CVE-YYYY-NNNN (YYYY indica el año y NNNN el número de
vulnerabilidad).
Nota. Desde enero de 2014 este identificador puede contener,
si es necesario, más de cuatro dígitos
El formato para las entradas candidatas a entrar en el CVE es:
CAN-YYYY-NNNN (YYYY indica el año y NNNN el número de
vulnerabilidad)
○ Descripción.
○ Impacto.
○ Versiones del Software afectadas
○ Posible solución (si existe) o como configurar para mitigar la vulnerabilidad
○ Referencias a publicaciones o entradas de foros o blog donde se ha hecho
pública la vulnerabilidad o se demuestra su explotación
○ Además suele también mostrarse un enlace directo a la información de la
base de datos de vulnerabilidades del NIST (NVD), en la que pueden
conseguirse más detalles de la vulnerabilidad y su valoración

https://mvnrepository.com/artifact/log4j/log4j

Nota: Vulnerabilidad del día 0: vulnerabilidades recién descubiertas (Es posible que al
fabricante del producto no le da dado tiempo a sacar un parche, y de ellos se aprovechan
los hackers)

CWE(Common Weakness Enumeration): es un sistema de categorías (catálogo) para las
debilidades y vulnerabilidades del software y Hardware.
A modo genérico, no es para un tipo de producto concreto
Tipos de vulnerabilidades:
SQL Injection: Ejecución de código sql no autorizado por falta de validación de las
entradas de una app web
○ Ejemplo mala práctica

○
○ Ejemplo buena práctica

○
i. En lugar de concatenar directamente las entradas del usuario en las
consultas SQL, utiliza PreparedStatement. Este método no solo
mejora la seguridad sino también el rendimiento.
○ Herramientas para probarlo: sqlmap
○ Con un WAF (Web Application Firewall) delante de nuestra aplicación nos
protege de este ataque

Eavesdropping: escuchar en secreto conversaciones privadas

XSS (Cross Site Scripting): permite a una tercera persona inyectar en páginas
web código javascript malicioso
○ Salvaguardas:
i. Políticas CORS (Cross-Origin Resource Sharing): conjunto de
reglas y mecanismos implementados en los navegadores web para
controlar la interacción entre diferentes dominios en la web.

Define cómo los navegadores deben manejar las solicitudes
y respuestas para garantizar la seguridad y la protección del
usuario, cuando un recurso web (como una página HTML,
un script JavaScript o una imagen) es solicitado desde un
dominio diferente al dominio del recurso original.
 ○ (Ej. Te descargas la home de http://marca.com pero
esta tiene referencias de css, imágenes, js, etc. a url’s
como esta a
https://cdnjs.cloudflare.com/ajax/libs/.../bootstrap.m
in.js)

ii. HSTS: forzar el canal a HTTPS
iii. Content Security Policy:

Al conectarme a mydomain.com , el servidor me manda la
cabecera “Content-Security-Policy”
○ script-src self:
○ script-src google
○ Cualquier dirección que no lleve a google o self ( el
propio servidor), no cumple con las reglas
excepcionadas, por lo que corta la conexión
También se le puede configurar para que permita desde donde
quiere recibir las fuentes (ej:css, html, scripts y fuentes)
Hijacking: robo de una sesión ya iniciada
○ Válida para cualquier nivel: TCP, SSL…
Clickjacking: el hacker utiliza diferentes capas transparentes o en marca de agua
para poder engañar al usuario para que haga clic en un determinado botón o enlace
en otro sitio cuando pretendía hacer clic en la página de nivel superior. De esta
forma se pueden secuestrar los clics que están destinados a la página original y los
enruta a otra web, que seguramente es propiedad de otra app o dominio.
Nuke: familia de ataques en red consistente en el envío de paquetes ICMP mal
construidos.
Phishing: Suplantación de identidad (ej → al recibir un mail del banco)
Pharming: Vulnerabilidad en servidores DNS.
○ Para redirigir un dominio a otra IP. A veces también se llama Spoofing DNS.
Spoofing: Suplantación/sustitución.
○ IP: Sustituir IP Origen por la del host a atacar
○ MAC: Amenazar/suplantar identidad
○ DNS: apuntar a servidores maliciosos
DoS: Denegación de servicio.
 ○ Técnicas de inundación o flooding
i. SYN Flood
ii. ICMP Flood/SMURF
iii. UDP Flood
Ataque piggyback: ataque de interceptación activa en el que el atacante aprovecha
los periodos de pausa de un usuario legítimo para colarse
Ataque pitufo o ataque smurf: utiliza mensajes de ping a la dirección de difusión
(broadcast) con suplantación de identidad para inundar (flood) un objetivo (sistema
atacado).

○
○ Ping: Request + Reply
○ El atacante modifica el datagrama indicando que la ip de origen no es la
suya, sino la del equipo atacado
○ Todos los Request irán contra esa IP modificada, haciendo que el sistema
caiga.
Ataque Ping de la muerte: El ataque consiste en enviar paquetes ICMP "Echo
Request" (también conocidos como "pings") con un tamaño excesivamente grande
que excede el límite permitido por el protocolo IP.
○ TearDrop: Fragmentación IP. Hace que la pila se caiga
DDoS: Denegación de servicio distribuido.
○ botnets: redes de equipos infectados (bot/zombie)
 1.8. Herramientas CCN

CCN Cert: CERT: equipo de respuesta ante incidencias
INCIBE(Instituto Nacional de Ciberseguridad)

ADA Plataforma de análisis avanzado de malware, capaz de conseguir un análisis en
profundidad similar al resultante de un proceso de investigación en detalle

AMPARO Para la gobernanza de la ciberseguridad, que permite la implantación y gestión de la
seguridad en entidades y organismos

ANA Automatización y Normalización de Auditorías.
Objetivo: incrementar la capacidad de vigilancia y conocer la superficie de
exposición

ANGELES No es en sí mismo una solución de ciberseguridad. Es una solución dedicada
íntegramente a la formación, concienciación y capacitación de profesionales en
materia de ciberseguridad y personas interesadas en este ámbito.

ATENEA Plataforma del CCN-CERT en la que podrás demostrar tu conocimiento y destreza
ante diferentes desafíos de seguridad/ciberseguridad.

CARLA Solución de protección centrada en los datos, que permite que la información
corporativa viaje protegida y bajo control en todo momento, minimiza la posibilidad
de fugas de datos aumentando el control de la organización sobre los mismos más
allá de las defensas de protección perimetrales.

CARMEN Solución desarrollada con el objetivo de identificar el compromiso de la red de una
organización por parte de amenazas persistentes avanzadas (APT).

Dispone de capacidades para la protección avanzada ante amenazas en la
organización, de forma que tanto los tráficos de red salientes e internos de la
organización como los tráficos de red entrantes son adquiridos, procesados y
analizados para la defensa de ésta.

CCNDroid Herramientas de seguridad desarrolladas por el CCN-CERT para dispositivos con
sistema operativo Android.
CCNDroid Wiper: Herramienta para el borrado seguro de ficheros.
CCNDroid Crypter:Herramienta para el cifrado de ficheros con distintos
algoritmos (incluido PGP).

CLARA Herramienta para analizar las características de seguridad técnicas definidas a
través de las plantillas de seguridad de las Guías CCN-STIC

CLAUDIA Solución de endpoint integrada con la herramienta Carmen que permite tener una
visión más completa de lo que ocurre dentro de una red, siendo su objetivo principal
la detección de malware complejo y movimiento lateral relacionado con APT.

micro Es una capacidad basada en el motor de CLAUDIA que proporciona protección
CLAUDIA contra código dañino de tipo ransomware a los equipos de un organismo. Para ello,
hace uso de un agente ligero para sistemas Windows que se encarga del
despliegue y ejecución de vacunas.
ELSA permite la monitorización a nivel nacional de todos los activos conectados a Internet
para detectar posibles vectores de ataque y vulnerabilidades de todo organismo o
entidad de la administración pública, con el objetivo de mejorar la capacidad de
respuesta ante incidentes gubernamental.

ELENA es un simulador que permite a los usuarios tomar el rol del analista en un entorno
simulado de investigación basado en situaciones reales, que posibilita desarrollar y
poner en práctica las técnicas, tácticas y procedimientos necesarios para realizar
labores de ciber investigación

EMMA solución del CCN-CERT para conseguir Vigilancia sobre la red, desarrollada para
agilizar la visualización de activos en una red, su autenticación y segregación, así
como la automatización de auditorías de seguridad de la infraestructura.

GLORIA plataforma para la gestión de incidentes y amenazas de ciberseguridad a través de
técnicas de correlación compleja de eventos. Basado en los sistemas SIEM.

INES Solución desarrollada por el CCN para la gobernanza de la ciberseguridad, que
permite evaluar regularmente el estado de la seguridad de los sistemas TIC de las
entidades y su adecuación al Esquema Nacional de Seguridad (ENS) adaptándose
a otros estándares o normas reguladoras en caso necesario.

IRIS plataforma desarrollada por el CCN-CERT para conocer en tiempo real el estado de
la ciberseguridad del sector público y la situación de la ciberamenaza a nivel
nacional.

LORETO Almacenamiento en la nube

LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas) es una herramienta
desarrollada por el CCN-CERT para la Gestión de Ciber Incidentes en las
entidades del ámbito de aplicación del Esquema Nacional de Seguridad

MARIA Plataforma Multiantivirus en tiempo real.
Análisis estático en profundidad.
MARÍA es accesible únicamente desde ADA, al haberse integrado en con esta
solución. Desaparece del catálogo de soluciones como herramienta independiente.

MARTA es una plataforma avanzada de multi-sandboxing dedicada al análisis automatizado
de múltiples tipos de ficheros que pudieran tener un comportamiento malicioso.

MONICA Gestión de eventos e información de seguridad. Es un sistema automatizado de
gestión de información y eventos de seguridad que recoge en una única plataforma
toda la información existente sobre amenazas potenciales, permitiendo no solo
reaccionar ante los ataques, sino adelantarse a ellos para remediarlos antes de que
sucedan. Esun SIEM

OLVIDO solución que realiza tareas de sobreescritura y borrado sobre los sistemas de
archivos y discos

meta aplicar políticas de seguridad corporativas de prevención de fugas de información,
OLVIDO limpiando los metadatos e información sensible oculta en los ficheros ofimáticos
generados en una organización, reduciendo así los riesgos derivados del uso
malintencionado de los metadatos

PILAR Permite analizar los riesgos en varias dimensiones: confidencialidad, integridad,
disponibilidad, autenticidad y trazabilidad (accountability). Todo ello a lo largo de
diversas etapas de tratamiento.
PILAR Basic → Versión sencilla para PYME y Administración local. Se
 analizan los riesgos en varias dimensiones: confidencialidad, integridad,
disponibilidad, autenticidad y trazabilidad (accountability).

microPILAR → PILAR reducida a la mínima expresión para realizar
análisis de riesgos muy rápidos. Se analizan los riesgos en varias
dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y
trazabilidad (accountability).

RMAT(Risk Management Additional Tools) → Estas herramientas
permiten preparar y mantener personalizaciones, que se incorporan
dinámicamente a la biblioteca, extendiéndola para adaptarse a un
determinado contexto.

REYES Solución desarrollada por el CCN-CERT para agilizar la labor de análisis de ciber
incidentes y compartir información de ciberamenazas.

ROCIO Solución para la automatización de las tareas básicas realizadas por un auditor de
seguridad sobre equipos de comunicaciones: enrutadores, conmutadores y
cortafuegos. Así, ha sido desarrollada por el CCN-CERT para verificar el nivel de
seguridad de dichos equipos.

VANESA plataforma de retransmisión de sesiones formativas en directo.

MARGA MARGA es la solución para la tramitación de Habilitaciones Personales de
Seguridad (HPS)

ESE Entorno de Superficie de Exposición “S” (ESE). Es una red neuronal en
constante proceso de adaptación al medio y mejora continua, diseñada para mejorar
las capacidades de vigilancia y reducir la superficie de exposición de los sistemas
frente a las amenazas del ciberespacio, en tiempo real.
Proporciona una capa de acceso a todos los Recursos, Soluciones, Desarrollos,
Guías, Noticias, Cursos de Formación, Cultura de Ciberseguridad…, dedicados a
dar respuestas eficaces que permitan proteger de forma eficiente los sistemas,
frente al incremento constante en número, sofisticación y complejidad de los
ciberataques.

1.9. Seguridad en sistemas de información (CPD)
CPD (Centro de Proceso de Datos): es una instalación especializada donde se alojan
equipos y sistemas de procesamiento de datos
Norma TIA 942
Elementos característicos
○ Servidores, switches… organizados en racks (bastidor)
i. Anchura normalizada (19 pulgadas)
ii. Medida altura (u) (una u es 1.75 pulgadas)
iii. NOTAS:
enclosure: armazón/caja que almacena un grupo de
servidores

cada u toma 3 alturas del chasis

○ Alternancia de pasillos fríos y calientes: circulación del aire (TIA 942)
i. armarios enfrentados(front end) + suelo técnico perforado
○ Climatización: temperatura y humedad constante (Ej: HVAC-(Heating,
Ventilation, and Air Conditioning))
i. 21º con 50% humedad
ii. HVAC (Heating, Ventilation, and Air Conditioning): sistema de
control ambiental en su conjunto: control de temperatura, humedad,
flujo y caudal de aire, partículas en suspensión.
iii. CRAC (Computer Room Air Conditioners): dispositivos de aire
acondicionado instalados en las salas del CPD.
Variante: CRAH Unit (Computer Room Air Handler Unit):
unidad de precisión de climatización con batería de agua
enfriada
iv. Free cooling. Consiste en utilizar las bajas temperaturas del aire
exterior para la climatización. Obviamente sólo cuando las
temperaturas exteriores son inferiores a la necesaria dentro del CPD
(ejemplo, CPDs en Soria).
○ Iluminación: NO luz natural
○ Sistemas de detección y control de incendios (NFPA75)
○ Sistemas de energía eléctrica
i. SAI y grupos electrógenos
ii. Cuadros eléctricos separados por salas/zonas
○ Sistemas de cableado estructurado, suelos y techos falsos/técnicos:
TIA 658
○ Sistemas de control de acceso y video vigilancia
○ ubicación física: plantas intermedias, sin interferencias, sin canales de agua
cerca
○ CPD Respaldo [réplica de datos]
i. sala blanca: igual que el CPD principal
ii. sala de backup: similar pero ofrece menos servicios
1.10. Norma Tia 942 → Tier I hasta Tier IV
4 subsistemas para un datacenter
Telecomunicaciones + áreas funcionales(zonas)
Arquitectura
Sistema eléctrico
Sistema mecánico

Tabla de características de los TIER

Tier I Tier II Tier III Tier IV

Básico Componentes Mantenimiento Tolerante a errores
Redundantes concurrente

Disponibilidad: Disponibilidad: Disponibilidad: Disponibilidad:
99,6671% 99,741% 99,982% 99,995%

Anual: 28,8 h Anual: 22h Anual: 1,6h Anual: 0,4h

Paradas por 3/2 años de 12h Ninguna Ninguna
mantenimiento:
2/año de 12 h

no representa a partir de este hay redundancia (N+1) duplicada 2(N+1)
redundancia redundancia (N+1) Ej: 2 UPSs

una única entrada una única entrada 2 entradas energía. 2 entradas energía.
de energía de energía Una en activa otra Las 2 activas
pasiva

EPO (Emergency Power off): botón de parada de emergencia. Alguien activa la
interrupción de energía de emergencia

Eficiencia energética de un CPD: capacidad del CPD para utilizar la energía de manera
óptima, minimizando el desperdicio y reduciendo el consumo total de energía sin
comprometer el rendimiento de sus sistemas y servicios
Métricas:
○ PUE(Power Usage Effectiveness): se define como el resultado de divisor
los consumos eléctricos totales de un CPD entre el consumo exclusivo de los
sistemas IT (objetivo