Introduccion a la Ciberseguridad.docx

Full Transcript

Capítulo 2: Ataques, conceptos y técnicas

Este capítulo abarca las maneras en que los profesionales de la
ciberseguridad analizan qué ocurrió después de un ciberataque. Explica
las vulnerabilidades de software y hardware de seguridad y las distintas
categorías de las vulnerabilidades de seguridad.

Analiza los diferentes tipos de software malicioso (conocido como
malware) y los síntomas de malware. Cubre las diferentes maneras en que
los atacantes pueden infiltrarse en un sistema, así como los ataques de
denegación de servicio.

La mayoría de los ciberataques modernos se consideran ataques
combinados. Los ataques combinados usan varias técnicas para infiltrarse
en un sistema y atacarlo. Cuando un ataque no puede evitarse, es el
trabajo del profesional de ciberseguridad reducir el impacto de dicho
ataque.

Búsqueda de vulnerabilidades en la seguridad

Las vulnerabilidades de seguridad son cualquier tipo de defecto en
software o hardware. Después de obtener conocimientos sobre una
vulnerabilidad, los usuarios malintencionados intentan explotarla.
Un *ataque* es el término que se utiliza para describir un programa
escrito para aprovecharse de una vulnerabilidad conocida. El acto de
aprovecharse de una vulnerabilidad se conoce como ataque. El objetivo
del ataque es acceder a un sistema, los datos que aloja o recursos
específicos.

**Vulnerabilidades de software**

Las vulnerabilidades de software generalmente se introducen por errores
en el sistema operativo o el código de aplicación; a pesar de todos los
esfuerzos realizados por las empresas para encontrar y corregir las
vulnerabilidades, es común que surjan nuevas vulnerabilidades.
Microsoft, Apple y otros productores de sistemas operativos lanzan
parches y actualizaciones casi todos los días. Las actualizaciones de
las aplicaciones también son comunes. Las aplicaciones como navegadores
web, aplicaciones móviles y servidores web son actualizadas con
frecuencia por las empresas y las organizaciones responsables de estas.

En 2015, una vulnerabilidad importante, llamada SYNful Knock, se
descubrió en Cisco IOS. Esta vulnerabilidad permitió a los atacantes
obtener el control de los routers de nivel empresarial, como los
antiguos routers 1841, 2811 y 3825 de Cisco. Los atacantes pudieron así
monitorear todas las comunicaciones de red y tuvieron la capacidad de
infectar otros dispositivos de la red. Esta vulnerabilidad se introdujo
en el sistema cuando una versión alterada de IOS se instaló en los
routers. Para evitar esto, verifique siempre la integridad de la imagen
de IOS descargada y limite el acceso físico al equipo solo al personal
autorizado.

El objetivo de las actualizaciones de software es mantenerse actualizado
y evitar el aprovechamiento de vulnerabilidades. Si bien algunas
empresas tienen equipos de prueba de penetración dedicados a la búsqueda
y la corrección de vulnerabilidades de software antes de que puedan ser
aprovechadas, hay investigadores de seguridad independientes que también
se especializan en la búsqueda de vulnerabilidades de software.

El Proyecto Zero de Google es un excelente ejemplo de esta práctica.
Después de descubrir varias vulnerabilidades en los diversos programas
de software utilizados por los usuarios finales, Google formó un equipo
dedicado a encontrar vulnerabilidades de software. La investigación de
seguridad de Google puede
encontrarse [[aquí]](https://code.google.com/p/google-security-research/issues/list?can=1).

**Vulnerabilidades de hardware**

Las vulnerabilidades de hardware se presentan a menudo mediante defectos
de diseño del hardware. La memoria RAM, por ejemplo, consiste
básicamente en capacitores instalados muy cerca unos de otros. Se
descubrió que, debido a la cercanía, los cambios constantes aplicados a
uno de estos capacitores podían influir en los capacitores vecinos. Por
esta falla de diseño, se generó una vulnerabilidad llamada Rowhammer.
Mediante la reescritura repetida de memoria en las mismas direcciones,
el ataque Rowhammer permite que se recuperen los datos de las celdas de
memoria de direcciones cercanas, incluso si las celdas están protegidas.

Las vulnerabilidades de hardware son específicas de los modelos de
dispositivos y generalmente no se ven atacadas por intentos
comprometedores aleatorios. Si bien las vulnerabilidades de hardware son
más comunes en ataques altamente dirigidos, la protección contra malware
tradicional y la seguridad física son suficientes para proteger al
usuario común.

Clasificación de las vulnerabilidades en la seguridad

La mayoría de las vulnerabilidades en la seguridad del software se
incluye en una de las siguientes categorías:

**Desbordamiento del búfer:** esta vulnerabilidad ocurre cuando los
datos se escriben más allá de los límites de un búfer. Los búferes son
áreas de memoria asignadas a una aplicación. Al cambiar los datos más
allá de los límites de un búfer, la aplicación accede a la memoria
asignada a otros procesos. Esto puede llevar a un bloqueo del sistema,
comprometer los datos u ocasionar el escalamiento de los privilegios.

**Entrada no validada:** los programas suelen trabajar con la entrada de
datos. Estos datos que entran al programa pueden tener contenido
malicioso diseñado para que el programa se comporte de manera no
deseada. Considere un programa que recibe una imagen para procesar. Un
usuario malintencionado podría crear un archivo de imagen con
dimensiones de imagen no válidas. Las dimensiones creadas maliciosamente
podrían forzar al programa a asignar búferes de tamaños incorrectos e
imprevistos.

**Condiciones de carrera:** esta vulnerabilidad sucede cuando el
resultado de un evento depende de resultados ordenados o temporizados.
Una condición de carrera se convierte en una fuente de vulnerabilidad
cuando los eventos ordenados o temporizados requeridos no se producen en
el orden correcto o el tiempo adecuado.

**Debilidades en las prácticas de seguridad:** los sistemas y los datos
confidenciales pueden protegerse con técnicas tales como autenticación,
autorización y encriptación. Los desarrolladores no deben intentar crear
sus propios algoritmos de seguridad porque es probable que introduzcan
vulnerabilidades. Se recomienda encarecidamente que los desarrolladores
utilicen las bibliotecas de seguridad ya creadas, aprobadas y
verificadas.

**Problemas de control de acceso:** el control de acceso es el proceso
de controlar quién hace qué y va desde la administración del acceso
físico a los equipos hasta determinar quién tiene acceso a un recurso,
por ejemplo, un archivo, y qué pueden hacer con este, como leerlo o
modificarlo. Muchas vulnerabilidades de seguridad se generan por el uso
incorrecto de los controles de acceso.

Casi todos los controles de acceso y las prácticas de seguridad pueden
superarse si el atacante tiene acceso físico a los equipos objetivo. Por
ejemplo, no importa que haya configurado los permisos de un archivo, el
sistema operativo no puede evitar que alguien eluda el sistema operativo
y lea los datos directamente del disco. Para proteger los equipos y los
datos contenidos, el acceso físico debe restringirse y deben usarse
técnicas de encriptación para proteger los datos contra robo o daño.

Tipos de malware

Malware, acrónimo para el inglés "Malicious Software" (Software
malicioso), es cualquier código que pueda utilizarse para robar datos,
evitar los controles de acceso, ocasionar daños o comprometer un
sistema. A continuación, se encuentran algunos tipos comunes de malware:

**Spyware:** este malware está diseñado para rastrear y espiar al
usuario. El spyware a menudo incluye rastreadores de actividades,
recopilación de pulsaciones de teclas y captura de datos. En el intento
por superar las medidas de seguridad, el spyware a menudo modifica las
configuraciones de seguridad. El spyware con frecuencia se agrupa con el
software legítimo o con caballos troyanos.

**Adware:** el software de publicidad está diseñado para brindar
anuncios automáticamente. El adware a veces se instala con algunas
versiones de software. Algunos adware están diseñados para brindar
solamente anuncios, pero también es común que el adware incluya spyware.

**Bot:** de la palabra robot, un bot es un malware diseñado para
realizar acciones automáticamente, generalmente en línea. Si bien la
mayoría de los bots son inofensivos, un uso cada vez más frecuente de
bots maliciosos es el de los botnets. Varias computadoras pueden
infectarse con bots programados para esperar silenciosamente los
comandos provistos por el atacante.

**Ransomware:** este malware está diseñado para mantener captivo un
sistema de computación o los datos que contiene hasta que se realice un
pago. El ransomware trabaja generalmente encriptando los datos de la
computadora con una clave desconocida para el usuario. Algunas otras
versiones de ransomware pueden aprovechar vulnerabilidades específicas
del sistema para bloquearlo. El ransomware se esparce por un archivo
descargado o alguna vulnerabilidad de software.

**Scareware:** este tipo de malware está diseñado para persuadir al
usuario de realizar acciones específicas en función del temor. El
scareware falsifica ventanas emergentes que se asemejan a las ventanas
de diálogo del sistema operativo. Estas ventanas muestran mensajes
falsificados que indican que el sistema está en riesgo o necesita la
ejecución de un programa específico para volver al funcionamiento
normal. En realidad, no se evaluó ni detectó ningún problema y, si el
usuario acepta y autoriza la ejecución del programa mencionado, el
sistema se infecta con malware.

**Rootkit:** este malware está diseñado para modificar el sistema
operativo a fin de crear una puerta trasera. Los atacantes luego
utilizan la puerta trasera para acceder a la computadora de forma
remota. La mayoría de los rootkits aprovecha las vulnerabilidades de
software para realizar el escalamiento de privilegios y modificar los
archivos del sistema. También es común que los rootkits modifiquen las
herramientas forenses de supervisión del sistema, por lo que es muy
difícil detectarlos. A menudo, una computadora infectada por un rootkit
debe limpiarse y reinstalarse.

**Virus:** un virus es un código ejecutable malintencionado que se
adjunta a otros archivos ejecutables, generalmente programas legítimos.
La mayoría de los virus requiere la activación del usuario final y puede
activarse en una fecha o un momento específico. Los virus pueden ser
inofensivos y simplemente mostrar una imagen o pueden ser destructivos,
como los que modifican o borran datos. Los virus también pueden
programarse para mutar a fin de evitar la detección. La mayoría de los
virus ahora se esparcen por unidades USB, discos ópticos, recursos de
red compartidos o correo electrónico.

**Troyano:** un troyano es malware que ejecuta operaciones maliciosas
bajo la apariencia de una operación deseada. Este código malicioso ataca
los privilegios de usuario que lo ejecutan. A menudo, los troyanos se
encuentran en archivos de imagen, archivos de audio o juegos. Un troyano
se diferencia de un virus en que se adjunta a archivos no ejecutables.

**Gusanos:** los gusanos son códigos maliciosos que se replican mediante
la explotación independiente de las vulnerabilidades en las redes. Los
gusanos, por lo general, ralentizan las redes. Mientras que un virus
requiere la ejecución de un programa del host, los gusanos pueden
ejecutarse por sí mismos. A excepción de la infección inicial, ya no
requieren la participación del usuario. Una vez infectado el host, el
gusano puede propagarse rápidamente por la red. Los gusanos comparten
patrones similares. Todos tienen una vulnerabilidad de activación, una
manera de propagarse y contienen una carga útil.

Los gusanos son responsables de algunos de los ataques más devastadores
en Internet. Como se muestra en la Figura 1, en 2001 el gusano Código
Rojo infectó 658 servidores. En el plazo de 19 horas, el gusano infectó
más de 300 000 servidores, como se muestra en la Figura 2.

**Hombre en el medio (MitM):** el MitM permite que el atacante tome el
control de un dispositivo sin el conocimiento del usuario. Con ese nivel
de acceso, el atacante puede interceptar y capturar información sobre el
usuario antes de retransmitirla a su destino. Los ataques MitM se usan
ampliamente para robar información financiera. Existen muchas técnicas y
malware para proporcionar capacidades de MitM a los atacantes.

**Hombre en el móvil (MitMo):** una variación del hombre en el medio, el
MitMo es un tipo de ataque utilizado para tomar el control de un
dispositivo móvil. Cuando está infectado, puede ordenarse al dispositivo
móvil que exfiltre información confidencial del usuario y la envíe a los
atacantes. ZeuS, un ejemplo de ataque con capacidades de MitMo, permite
que los atacantes capturen silenciosamente SMS de verificación de
2 pasos enviados a los usuarios.

Síntomas de malware

Independientemente del tipo de malware con el que se ha infectado un
sistema, estos son síntomas frecuentes de malware:

-

-

-

-

-

-

-

-

-

-

-

CAP \#3

Capítulo 3: Protección de sus datos y de su seguridad

Este capítulo se centra en sus dispositivos personales y sus datos
personales. Incluye sugerencias para proteger sus dispositivos, crear
contraseñas seguras y usar redes inalámbricas de manera segura. También
analiza el mantenimiento de sus datos protegidos.

Sus datos en línea valen mucho para los delincuentes cibernéticos. Este
capítulo abarca brevemente las técnicas de autenticación para ayudarlo a
mantener sus datos protegidos. Además, cubre las opciones para mejorar
la seguridad de sus datos en línea con sugerencias sobre qué hacer y qué
no hacer en línea.

Proteja sus dispositivos informáticos

Sus dispositivos informáticos almacenan sus datos y son el portal hacia
su vida en línea. La siguiente es una breve lista de pasos a seguir para
proteger sus dispositivos informáticos contra intrusiones:

-

-

-

-

Los dispositivos de IoT (Internet de las cosas) representan un riesgo
incluso mayor que los otros dispositivos electrónicos. Mientras que las
computadoras de escritorio, portátiles y los dispositivos móviles
reciben actualizaciones de software frecuentes, la mayoría de los
dispositivos de IoT aún tiene su firmware original. Si se encuentran
vulnerabilidades en el firmware, el dispositivo de IoT es probable que
se mantenga vulnerable. Para empeorar el problema, los dispositivos de
IoT están diseñados para conectarse con los servidores del proveedor
(call home) y solicitar acceso a Internet. Para acceder a Internet, la
mayoría de los fabricantes de dispositivos de IoT confían en la red
local del cliente. El resultado es que los dispositivos de IoT son muy
propensos a verse comprometidos y, cuando lo están, permiten el acceso a
la red local del cliente y sus datos. La mejor manera de protegerse de
esta situación es contar con dispositivos de IoT con una red aislada
compartida únicamente con otros dispositivos de IoT.

Haga clic [[aquí]](https://www.shodan.io/) para visitar
Shodan, un escáner de dispositivos de IoT basado en la web.

Use las redes inalámbricas en forma segura

Las redes inalámbricas permiten que los dispositivos habilitados con
Wi-Fi, como computadoras portátiles y tablets, se conecten a la red por
medio de un identificador de red conocido como identificador de conjunto
de servicios (SSID). Para evitar que los intrusos ingresen en su red
inalámbrica doméstica, el SSID predeterminado y la contraseña
predeterminada para la interfaz de administración en el navegador web
deben cambiarse. Los hackers son conscientes de este tipo de información
de acceso predeterminada. Opcionalmente, el router inalámbrico también
puede configurarse para que no difunda el SSID, lo que añade una barrera
adicional para la detección de la red. Sin embargo, esto no debe
considerarse una seguridad adecuada para una red inalámbrica. Además,
debe encriptar la comunicación inalámbrica habilitando la seguridad
inalámbrica y la función de encriptado WPA2 en el router inalámbrico.
Incluso con el encriptado WPA2 habilitado, la red inalámbrica aún puede
ser vulnerable.

En octubre de 2017, se descubrió una falla de seguridad en el protocolo
WPA2. Esta falla permite a un intruso descifrar la encriptación entre el
router inalámbrico y el cliente inalámbrico, lo que permite que este
tenga acceso al tráfico de red y lo manipule. Esta vulnerabilidad puede
ser atacada utilizando el Ataque de reinstalación de clave (KRACK, Key
Reinstallation Attack). Afecta a todas las redes wifi protegidas,
modernas. Para mitigar un ataque, un usuario debe actualizar todos los
productos afectados: routers inalámbricos y cualquier dispositivo
inalámbrico, como computadoras portátiles y dispositivos móviles, tan
pronto como las actualizaciones de seguridad estén disponibles. Para las
computadoras portátiles u otros dispositivos con NIC por cable, una
conexión por cable podría mitigar esta vulnerabilidad. Además, también
puede utilizarse un servicio de VPN de confianza para prevenir el acceso
no autorizado a los datos mientras se utiliza la red inalámbrica.

Haga clic [[aquí]](https://www.krackattacks.com/) para saber
más acerca de KRACK.

Cuando está lejos de casa, los puntos públicos de acceso inalámbrico
permiten tener acceso a su información en línea y navegar por Internet.
Sin embargo, es mejor no acceder ni enviar información personal
confidencial a través de una red pública inalámbrica. Verifique si su
computadora está configurada para compartir archivos y medios digitales
y si requiere la autenticación de usuario con encriptación. Para evitar
que una persona intercepte su información (lo que se conoce como
"eavesdropping") mientras utiliza una red pública inalámbrica, utilice
túneles VPN y servicios encriptados. El servicio VPN proporciona acceso
seguro a Internet con una conexión cifrada entre la computadora y el
servidor VPN del proveedor de servicios VPN. Con un túnel VPN
encriptado, aunque se intercepte una transmisión de datos, no podrá
descifrarse.

Haga
clic [[aquí]](https://www.fcc.gov/consumers/guides/protecting-your-wireless-network) para
obtener más información acerca de la protección al utilizar redes
inalámbricas.

Muchos dispositivos móviles, como smartphones y tablets, incluyen el
protocolo inalámbrico Bluetooth. Esta funcionalidad permite que los
dispositivos con Bluetooth habilitados se conecten entre sí y compartan
información. Desafortunadamente, Bluetooth puede ser atacado por hackers
a fin de espiar algunos dispositivos, establecer controles del acceso
remoto, distribuir malware y consumir baterías. Para evitar estos
problemas, mantenga Bluetooth desactivado cuando no lo utiliza.

Utilice contraseñas únicas para cada cuenta en línea

Posiblemente tenga más que una cuenta en línea y cada cuenta debe tener
una contraseña única. Son muchas contraseñas para recordar. Sin embargo,
la consecuencia de no usar contraseñas seguras y únicas los deja a usted
y sus datos vulnerables ante los delincuentes cibernéticos. Usar la
misma contraseña para todas las cuentas en línea es como usar la misma
llave para todas las puertas cerradas; si un atacante consiguiera su
contraseña, tendría acceso a todo lo que usted posee. Si los
delincuentes obtienen su contraseña mediante la suplantación de
identidad, por ejemplo, intentarán ingresar en sus otras cuentas en
línea. Si solo utiliza una contraseña para todas las cuentas, pueden
ingresar en todas estas, robar o borrar todos sus datos, o hacerse pasar
por usted.

Utilizamos tantas cuentas en línea que necesitan contraseña que es
demasiado para recordar. Una solución para evitar reutilizar las
contraseñas o utilizar contraseñas débiles es utilizar un administrador
de contraseñas. El administrador de contraseñas almacena y encripta
todas sus contraseñas complejas y diferentes. El administrador puede
ayudarlo a iniciar sesión en sus cuentas en línea automáticamente. Solo
debe recordar la contraseña maestra para acceder al administrador de
contraseñas y administrar todas sus cuentas y contraseñas.

**Consejos para elegir una buena contraseña**:

-

-

-

-

-

Use una frase en lugar de una palabra como contraseña.

Para evitar el acceso físico no autorizado a los dispositivos
informáticos, use frases en lugar de palabras como contraseñas. Es más
fácil crear una contraseña larga en forma de frase que en forma de
palabra porque generalmente está en el formato de oración en lugar de
palabra. Una longitud mayor hace que las frases sean menos vulnerables a
los ataques de fuerza bruta o de diccionario. Además, una frase puede
ser más fácil de recordar, especialmente si debe cambiar de contraseña
con frecuencia. Aquí se incluyen algunas sugerencias para elegir buenas
contraseñas o frases:

**Sugerencias para elegir una buena frase:**

-

-

-

-

Recientemente, el Instituto Nacional de Normas y Tecnología (NIST) de
los Estados Unidos publicó requisitos de contraseña mejorados. Las
normas del NIST están destinadas a aplicaciones del gobierno, pero
también pueden servir como normas para otras. Las nuevas pautas tienen
como objetivo proporcionar una mejor experiencia del usuario y poner la
responsabilidad de comprobación del usuario en los proveedores.

**Resumen de las nuevas pautas:**

-

-

-

-

-

-

-

-

Haga clic [[aquí]](https://pages.nist.gov/800-63-3/) para
obtener más información sobre el requisito de contraseña mejorado del
NIST.

Aunque el acceso a sus computadoras y dispositivos de red sea seguro,
también es importante proteger y preservar sus datos.

Laboratorio: crear y almacenar contraseñas seguras

En esta práctica de laboratorio, explorará los conceptos para crear
contraseñas seguras y cómo guardarlas con protección.

Encripte sus datos

Sus datos siempre deben estar encriptados. Es posible que piense que no
tiene secretos ni nada que ocultar, ¿por qué usar la encriptación?
Quizás cree que nadie desea sus datos. Muy probablemente, esto no es
cierto.

¿Está listo para mostrar todas sus fotos y documentos a extraños? ¿Está
listo para compartir información financiera almacenada en su computadora
con sus amigos? ¿Desea divulgar sus correos electrónicos y las
contraseñas de sus cuentas al público en general?

Esto puede ser incluso más problemático si una aplicación maliciosa
infecta su computadora o dispositivo móvil y le roba información
potencialmente valiosa, como números de cuenta, contraseñas y otros
documentos oficiales. Dicho tipo de información puede generar robos de
identidad, fraude o rescates. Los delincuentes pueden decidir
simplemente encriptar sus datos y hacer que sean inutilizables hasta que
la extorsión se liquide.

¿Qué es la encriptación? La encriptación es el proceso de conversión de
la información a un formato que una parte no autorizada no puede leer.
Solo una persona de confianza autorizada con la contraseña o clave
secreta puede descifrar los datos y acceder a ellos en su formato
original. La encriptación en sí misma no evita que una persona
intercepte los datos. La encriptación solo puede evitar que una persona
no autorizada vea o acceda al contenido.

Se utilizan programas de software para encriptar archivos, carpetas e
incluso unidades enteras.

El sistema de encriptación de archivos (EFS, Encrypting File System) es
una característica de Windows que permite encriptar datos. El EFS está
directamente vinculado a una cuenta de usuario determinada. Solo el
usuario que cifró los datos puede acceder a estos una vez encriptados
con el EFS. Para encriptar datos con EFS en todas las versiones de
Windows, siga estos pasos:

**Paso 1**: Seleccione uno o más archivos o carpetas.

**Paso 2**: Haga clic derecho en los datos seleccionados y
en **\>Propiedades**.

**Paso 3**: Haga clic en **Opciones avanzadas\...**

**Paso 4**: Seleccione la casilla de verificación **Encriptar contenido
para proteger datos**.

**Paso 5**: Las carpetas y los archivos encriptados con el EFS se
muestran en verde, como se muestra en la ilustración.

Realice un respaldo de sus datos

Su disco duro puede fallar. Su computadora portátil puede perderse.
Pueden robar su teléfono. Quizá borró la versión original de un
documento importante. Tener un respaldo puede evitar la pérdida de datos
irreemplazables, como fotos familiares. Para hacer un respaldo correcto
de los datos, necesitará una ubicación de almacenamiento adicional para
los datos y deberá copiar los datos en dicha ubicación periódica y
automáticamente.

La ubicación adicional para los archivos de copia de seguridad puede
estar en su red doméstica, una ubicación secundaria o la nube. Si
almacena los respaldos de los datos de manera local, tendrá el control
total de los datos. Puede decidir copiar todos sus datos en un
dispositivo de almacenamiento conectado a la red (NAS), un disco duro
externo simple o puede seleccionar solo algunas carpetas importantes
para hacer un respaldo en unidades de memoria USB, CD/DVD o incluso
cintas. En dicho escenario, es usted el propietario y es totalmente
responsable del costo y el mantenimiento de los equipos del dispositivo
de almacenamiento. Si contrata un servicio de almacenamiento en la nube,
el costo depende de la cantidad de espacio de almacenamiento que
necesita. Con un servicio de almacenamiento en la nube, como Amazon Web
Services (AWS), tendrá acceso a sus datos de respaldo siempre que tenga
acceso a su cuenta. Cuando contrata servicios de almacenamiento en
línea, es posible que deba ser más selectivo respecto de los datos que
respalda debido al costo del almacenamiento y las constantes
transferencias de datos en línea. Uno de los beneficios de guardar un
respaldo en una ubicación alternativa es que es seguro en caso de
incendio, robo u otro desastre, excepto que falle el dispositivo de
almacenamiento.

En esta práctica de laboratorio, utilizará un disco externo y un disco
remoto para respaldar sus datos.

Eliminación de sus datos en forma permanente

Cuando mueve un archivo a la papelera de reciclaje y lo elimina de
manera permanente, no se puede acceder al archivo solo desde el sistema
operativo. Cualquier persona con las herramientas forenses adecuadas
puede recuperar el archivo debido al rastro magnético que deja en el
disco duro.

Para borrar datos de modo que no sean recuperables, los datos deben
sobrescribirse con unos y ceros varias veces. Para evitar la
recuperación de los archivos eliminados, es posible que deba utilizar
herramientas diseñadas específicamente para hacerlo. El programa SDelete
de Microsoft (para Vista y versiones posteriores) reclama tener la
capacidad de eliminar los archivos confidenciales por completo. Shred
para Linux y Secure Empty Trash para Mac OSX son algunas herramientas
que aseguran proporcionar un servicio similar.

La única forma de estar seguros de que los datos o los archivos no son
recuperables es destruir físicamente el disco duro o el dispositivo de
almacenamiento. Muchos delincuentes cometen la insensatez de pensar que
sus archivos son impenetrables o irrecuperables.

Además de almacenar datos en las unidades de disco duro locales, sus
datos también pueden guardarse en línea en la nube. Dichas copias
también deberán eliminarse. Tómese un momento para preguntarse: ¿dónde
están guardados mis datos? ¿En una copia de seguridad en algún lado?
¿Están encriptados? Cuando deba eliminar sus datos o librarse de un
disco duro o de una computadora, pregúntese: ¿he protegido los datos
para evitar que caigan en las manos incorrectas?

Laboratorio: ¿Quién posee sus datos?

En este laboratorio explorará los acuerdos legales requeridos para usar
diversos servicios en línea. También explorará algunas de las formas en
que puede proteger sus datos.

CAP \#4

Capítulo 4: Protección de la organización

Este capítulo abarca algunos de los procesos y tecnologías utilizados
por los profesionales de la ciberseguridad para proteger la red, equipos
y los datos de una organización. Primero, explica brevemente los tipos
de firewalls, dispositivos de seguridad y software que se utilizan
actualmente, incluidas las mejores prácticas

Luego, este capítulo explica los botnets, the kill chain, la seguridad
basada en comportamientos y el uso de NetFlow para monitorear una red.

Abarca brevemente las herramientas que los profesionales de la
ciberseguridad utilizan para detectar y prevenir los ataques a la red.
Abarca brevemente las herramientas que los profesionales de la
ciberseguridad utilizan para detectar y prevenir los ataques a red.

Tipos de firewall

Un firewall (cortafuegos) es un muro o partición diseñada para evitar
que el fuego se propague de una parte a otra de un edificio. En las
redes de computadoras, un firewall está diseñado para controlar o
filtrar la entrada o salida de comunicaciones de un dispositivo o una
red, como se muestra en la figura. Un firewall puede instalarse en una
única computadora con el propósito de proteger dicha computadora
(firewall ejecutado en un host) o puede ser un dispositivo de red
independiente que protege toda una red de computadoras y todos los
dispositivos host en dicha red (firewall basado en la red).

Durante años, dado que los ataques a la computadora y la red se han
vuelto más sofisticados, se han desarrollado nuevos tipos de firewalls
que atienden diferentes fines en la protección de la red. Esta es una
lista de los tipos de firewall comunes:

-

-

-

-

-

-

-

-

Escaneo de puertos

El escaneo de puertos es un proceso de comprobación de una computadora,
un servidor u otro host de red para conocer los puertos abiertos. En
redes, a cada aplicación que se ejecuta en un dispositivo se le asigna
un identificador llamado número de puerto. Este número de puerto se
utiliza en ambos extremos de la transmisión para asegurar que los datos
estén llegando a la aplicación correcta. El escaneo de puertos se puede
utilizar con fines maliciosos como una herramienta de reconocimiento,
para identificar el sistema operativo y los servicios que se ejecutan en
una computadora o un host, o se puede utilizar inofensivamente por parte
de un administrador de red para verificar las políticas de seguridad en
la red.

Con el propósito de evaluar el firewall de la red de computadoras y la
seguridad de los puertos, puede utilizar una herramienta de escaneo de
puertos, como Nmap, para encontrar todos los puertos abiertos en su red.
El escaneo de puertos se puede considerar como precursor para un ataque
a la red y, por lo tanto, no debe realizarse en servidores públicos en
Internet o en la red de una empresa sin permiso.

Para ejecutar el escaneo de puertos Nmap de una computadora en la red
doméstica local, descargue y ejecute un programa como Zenmap,
proporcione la dirección IP de destino de la computadora que desea
analizar, elija un perfil de escaneo predeterminado y presione Escanear.
El escaneo de Nmap reportará cualquier servicio que se esté ejecutando
(como servicios web, servicios de correo, etc.) y los números de puerto.
El escaneo de puertos generalmente provoca alguna de estas tres
respuestas:

-

-

-

Para ejecutar escaneo del puerto desde fuera de la red, deberá iniciar
el escaneo desde fuera de la red. Esto implicará la ejecución de un
escaneo de puertos de Nmap con la dirección IP pública del firewall o
router. Para obtener su dirección IP pública, utilice un motor de
búsqueda, como Google, con la consulta "cuál es mi dirección IP". El
motor de búsqueda le devolverá su dirección IP pública.

Para ejecutar un escaneo de los seis puertos más comunes de un router o
firewall doméstico, vaya al escáner de puertos en línea de Nmap
en [[https://hackertarget.com/nmap-online-port-scanner/]](https://hackertarget.com/nmap-online-port-scanner/) e
ingrese su dirección IP pública en el cuadro del formulario*: dirección
IP para escanear...* y presione *Escaneo rápido de Nmap*. Si la
respuesta es *Abierta* para cualquiera de los puertos: 21, 22, 25, 80,
443 o 3389, lo más probable es que esté habilitado el reenvío de puertos
en el router o firewall y que ejecute servidores en su red privada, como
se muestra en la figura.

Dispositivos de seguridad

Hoy no existe un dispositivo de seguridad o una tecnología que resuelva
todas las necesidades de seguridad de la red por sí solo. Debido a que
hay una variedad de dispositivos de seguridad y herramientas que deben
implementarse, es importante que trabajen en conjunto. Los dispositivos
de seguridad son más efectivos cuando forman parte de un sistema.

Los dispositivos de seguridad pueden ser dispositivos independientes,
como un router o firewall, una tarjeta que puede instalarse en un
dispositivo de red o un módulo con su propio procesador y memoria en
caché. Los dispositivos de seguridad también pueden ser herramientas de
software que se ejecutan en un dispositivo de red. Los dispositivos de
seguridad se dividen en las siguientes categorías generales:

**Routers:** los routers de servicios integrados (ISR) Cisco, como se
muestra en la Figura 1, tienen muchas capacidades similares a las de un
firewall además de las funciones de ruteo, entre ellas, el filtrado de
tráfico, la capacidad de ejecutar un sistema de prevención de
intrusiones (IPS), el cifrado y las capacidades de VPN para las
conexiones de cifrado seguro.

**Firewalls:** los firewalls de nueva generación de Cisco tienen todas
las capacidades de un router ISR además de análisis y administración de
redes avanzadas. El dispositivo de seguridad adaptable (ASA, por sus
siglas en inglés) de Cisco con funcionalidades de firewall se muestra en
la Figura 2.

**IPS:** los dispositivos IPS de nueva generación, que se muestran en la
Figura 3, están dedicados a la prevención de intrusiones.

**VPN:** los dispositivos de seguridad de Cisco cuentan con tecnologías
de redes virtuales privadas (VPN) tanto de cliente como servidor. Están
diseñados para conexiones de cifrado seguro.

**Malware/antivirus:** Cisco Advanced Malware Protection (AMP) viene en
los routers de nueva generación de Cisco, como también en los firewalls,
los dispositivos IPS y los dispositivos de seguridad web y de correo
electrónico y además puede instalarse como software en los equipos host.

**Otros dispositivos de seguridad:** esta categoría incluye dispositivos
de seguridad web y de correo electrónico, dispositivos de descifrado,
servidores de control de acceso del cliente y sistemas de administración
de seguridad.

Detección de ataques en tiempo real

El software no es perfecto. Cuando un hacker explota un defecto de un
software antes de que el creador pueda corregirlo, se conoce como ataque
de día cero. Debido a la complejidad y tamaño de los ataques de día cero
que se encuentran actualmente, no es extraño que los ataques a la red
tengan éxito y que el éxito de su defensa ahora se mida según la rapidez
con la que una red responde ante un ataque. La capacidad de detectar
ataques mientras suceden en tiempo real, así como de detenerlos
inmediatamente o en cuestión de minutos, es el objetivo ideal.
Desafortunadamente, muchas empresas y organizaciones a día de hoy no
pueden detectar los ataques sino hasta días o incluso meses después de
ocurridos.

-

-

Protección contra el malware

- ¿Cómo proporciona la defensa contra la presencia constante de
ataques de día cero y las amenazas persistentes avanzadas (APT, por
sus siglas en inglés) que roban datos durante largos períodos de
tiempo? Una solución es utilizar una aplicación de detección de
malware avanzada de nivel empresarial que ofrezca detección de
malware en tiempo real.

- Los administradores de red deben monitorear constantemente la red
para detectar signos de malware o comportamientos que revelan la
presencia de una APT. Cisco cuenta con Advanced Malware Protection
(AMP) Threat Grid, que analiza millones de archivos y los
correlaciona con cientos de millones de otros objetos de malware
analizados. Esto brinda a los clientes una vista global de las
campañas, la distribución y los ataques de malware. AMP es un
software de Cliente/Servidor implementado en terminales de host,
como servidor independiente, o en otros dispositivos de seguridad de
la red. La figura muestra los beneficios de AMP Threat Grid.

CAP \#5

Capítulo 5: ¿Su futuro estará relacionado con la ciberseguridad?
================================================================

Este capítulo examina las cuestiones legales y éticas que surgen cuando
se trabaja en ciberseguridad. También se analizan trayectorias
educativas y profesionales en el ámbito de la ciberseguridad. Hay una
trayectoria educativa para las certificaciones que desee obtener con
Cisco Networking Academy (NetAcad). Algunas de estas certificaciones son
requisitos previos a los certificados de especialización en muchas áreas
de red, incluida la ciberseguridad.

La página Networking Academy Talent Bridge (netacad.com en Recursos)
proporciona información útil para escribir un excelente currículum y
prepararse para una entrevista de trabajo. También contiene listas de
trabajos de Cisco y de partners de Cisco. Se presentan tres motores de
búsqueda de trabajo en Internet externos para que explore.

Cuestiones legales en la ciberseguridad
=======================================

Los profesionales de la ciberseguridad deben tener las mismas
habilidades que los hackers, especialmente que los hackers de Sombrero
Negro, para ofrecer protección contra los ataques. Una diferencia entre
un hacker y un profesional de la ciberseguridad es que el profesional de
la ciberseguridad debe trabajar dentro de los límites legales.

**Asuntos legales personales**

Ni siquiera tiene que ser un empleado para estar sujetos a las leyes de
la ciberseguridad. En su vida privada, puede tener la oportunidad y las
habilidades de hackear la computadora o la red de otra persona. Hay un
antiguo dicho, \"Solo porque puede no significa que deba hacerlo\".
Tenga en cuenta esto. La mayoría de los hackers dejan huellas, lo sepan
o no, y estas huellas pueden rastrearse hasta el hacker.

Los profesionales de la ciberseguridad desarrollan muchas habilidades
que se pueden utilizar para bien o mal. Los que utilizan sus habilidades
dentro del sistema legal, para proteger la infraestructura, las redes y
la privacidad siempre tienen alta demanda.

**Asuntos legales corporativos**

La mayoría de los países tienen algunas leyes de ciberseguridad. Pueden
tener relación con la infraestructura crítica, las redes, y la
privacidad corporativa e individual. Las empresas deben cumplir estas
leyes.

En algunos casos, si infringe las leyes de ciberseguridad mientras
realiza su trabajo, es posible que sea la empresa la que resulte
castigada y usted podría perder su trabajo. En otros casos, podría ser
procesado, multado y posiblemente condenado.

Generalmente, si tiene dudas sobre si una acción o un comportamiento
pueden ser ilegales, suponga que son ilegales y no los lleve a cabo. Su
empresa puede tener un departamento legal o alguien del departamento de
Recursos Humanos que puede contestar su pregunta antes de hacer algo
ilegal.

**Derecho internacional y ciberseguridad**

El área de la ley de ciberseguridad es mucho más nueva que la
ciberseguridad en sí. Como se mencionó anteriormente, la mayoría de los
países tienen algunas leyes, y habrá más leyes por venir.

Cuestiones éticas en ciberseguridad

Además de trabajar dentro de los límites de la ley, los profesionales de
la ciberseguridad también deben demostrar un comportamiento ético.

**Asuntos éticos personales**

Una persona puede actuar de manera no ética y no someterse a un proceso
legal, multas ni encarcelamiento. Esto se debe a que es posible que la
acción no haya sido técnicamente ilegal. Pero eso no significa que el
comportamiento sea aceptable. El comportamiento ético es muy fácil de
verificar. Es imposible enumerar todos los distintos comportamientos no
éticos que puede exhibir alguien con habilidades de ciberseguridad. A
continuación, presentamos solo dos. Hágase las siguientes preguntas:

-

-

Si responde \'no\' a cualquiera de estas preguntas, entonces no haga
esas cosas a los demás.

**Cuestiones éticas corporativas**

La ética representa los códigos de comportamiento que se aplican a veces
por las leyes. Existen muchas áreas en ciberseguridad que no están
cubiertas por las leyes. Esto significa que hacer algo que es
técnicamente legal puede sin embargo no ser algo ético. Debido a que
muchas áreas de ciberseguridad no están (o aún no están) cubiertas por
las leyes, muchas organizaciones profesionales de TI han creado códigos
de ética para las personas del sector. A continuación, se muestra una
lista de tres organizaciones con códigos de ética:

- - -

Cisco tiene un equipo dedicado exclusivamente al comportamiento ético
comercial.
Vaya [[aquí]](http://csr.cisco.com/pages/governance-and-ethics) para
leer más sobre esto.
Este [[sitio]](http://investor.cisco.com/investor-relations/governance/code-of-conduct/default.aspx) contiene
un libro electrónico sobre el Código de conducta comercial de Cisco y un
archivo PDF. En los dos archivos hay un "Árbol de decisiones de ética",
como se muestra en la figura. Aunque usted no trabaje para Cisco, las
preguntas y respuestas que se encuentran en este árbol de decisiones se
pueden aplicar fácilmente a su lugar de trabajo. Al igual que con las
preguntas legales, generalmente, si tiene dudas sobre si una acción o un
comportamiento podrían resultar inmorales, suponga que lo son y no los
lleve a cabo. Puede haber alguien en el departamento de Recursos Humanos
o Legal de su empresa que pueda aclarar su situación antes de hacer algo
que se consideraría no ético.

Busque en línea para encontrar otras organizaciones relacionadas con TI
con códigos de ética. Intente encontrar lo que tienen en común.

Puestos de trabajo en ciberseguridad

Muchos otros negocios y sectores están contratando profesionales de la
ciberseguridad. Existen varios motores de búsqueda en línea para
ayudarlo a encontrar el trabajo correcto en ciberseguridad:

-

-

-

Estos son solo tres de muchos sitios diferentes de búsqueda de trabajo
en línea. Aunque recién esté comenzando sus estudios en TI y
ciberseguridad, utilizar los motores de búsqueda laboral es una buena
forma de ver qué tipo de trabajos están disponibles, en todo el mundo.

Según su interés en la ciberseguridad, puede haber distintos tipos de
trabajo disponibles para usted, y es posible que requieran
certificaciones de habilidades especializadas. Por ejemplo, un
analizador de penetración, también conocido como hacker ético, busca y
ataca las vulnerabilidades en la seguridad de aplicaciones, redes y
sistemas. Para convertirse en analizador de penetración, deberá obtener
experiencia en otros trabajos de TI, como administrador de seguridad,
administrador de red y administrador del sistema. Cada uno de estos
trabajos requiere su propio conjunto de habilidades que lo ayudarán a
convertirse en un activo valioso para una organización.

Esperamos que este curso haya ganado su interés para que se capacite en
TI y ciberseguridad, y que, luego, continúe con una carrera emocionante.
Cisco Networking Academy ofrece muchos cursos para que pueda continuar
su educación en ciberseguridad. Lo invitamos a inscribirse en el curso
siguiente, Cybersecurity Essentials, para seguir adquiriendo una base de
conocimientos sólidos en ciberseguridad. Visite Cisco Networking Academy
y consulte la lista
de [[cursos]](https://www.netacad.com/courses/) que se
encuentran disponibles. Además, también puede tener acceso a [[recursos
profesionales]](http://www.netacad.com/careers) disponibles
en Cisco Networking Academy.

Solo por diversión, haga
clic [[aquí]](http://newsroom.cisco.com/supersmartsecurity) para
leer una novela gráfica de un superhéroe de la ciberseguridad.

Capítulo 5: ¿Su futuro estará relacionado con la ciberseguridad?

Este capítulo empieza analizando las cuestiones éticas y legales que los
profesionales de la ciberseguridad comúnmente enfrentan. También
presenta trayectorias educativas y profesionales para aquellos que
desean convertirse en profesionales de la ciberseguridad. Se presentan
tres motores de búsqueda de trabajo en Internet externos para que
explore.

Si desea explorar más a fondo los conceptos de este capítulo, consulte
la página [[Actividades y recursos
adicionales]](https://contenthub.netacad.com/legacy/I2CS/2.1/es/course/files/IntroCybersecurity%20-%20Additional%20Resources%20and%20Activities.pdf) en
Recursos para los estudiantes.