Unidad 1 - Establecimiento de

planes
1.1 - Principios generales de ciberseguridad

1
0. Principios generales de ciberseguridad

● Objetivos de este apartado

○ Se han definido los principios generales de la
organización en materia de ciberseguridad, que deben
ser conocidos y apoyados por la dirección de la misma.

2
1. Introducción

● Constante avance tecnológico. Redes de sistemas de

información.
● Red de SS.II.: Conjunto de sistemas o nodos conectados
entre sí a través de un medio con capacidad para
intercambiar información.
● Si poseemos información valiosa debemos tomar
precauciones.
● Pentágono, CIA, Unicef, ONU o locales, como la cadena Ser o
everis, han sido víctimas de ataques.

3
2. Seguridad en sistemas en red

● Seguridad: característica que nos indica que un sistema

(informático o no) está libre de todo peligro, daño o riesgo, y
que es. en cierta manera, infalible → Muy difícil de conseguir.
● Se suaviza definición, a fiabilidad: probabilidad de que un
sistema se comporte tal y como se espera de él.
● En muchos casos se habla de sistemas fiables en lugar de
seguros.

4
2. Seguridad en sistemas en red

● Problema habitual de los expertos en seguridad:

○ Si no pasa nada, ¿para qué te pago?
○ Si pasa algo, ¿para qué te pago?
● Debemos tener presente que nuestro sistema, si está abierto
al exterior, es visible y por tanto expuesto a ataques.

5
2. Seguridad en sistemas en red

● Seguridad → fiabilidad
○ Aspectos generales de ciberseguridad: confidencialidad,
integridad y disponibilidad
○ Elementos a proteger: HW, SW y datos
○ Amenazas
■ Tipos: interrupción, interceptación, modificación y
fabricación.
■ Origen: personas, amenazas lógicas, catástrofes
○ Mecanismos: prevención, detección y recuperación

6
2.1 Aspectos generales de ciberseguridad

● Desde la empresa, al ofrecer nuestros servicios relacionados

con la tecnologías de la información (ya sea un web
information server, una app, consultoría…) debemos
garantizar la confidencialidad, la disponibilidad y la
integridad de la información que gestionamos.
● Veamos cada una de ellas por separado.

7
2.1.1 Disponibilidad

● Disponibilidad de la información: Se refiere a que la

información debe estar disponible siempre para las personas
autorizadas para accederla y tratarla, y además puede
recuperarse en caso de que ocurra un incidente de seguridad
que cause su pérdida o corrupción.
○ Es decir; permite que la información esté disponible
cuando sea necesario.
○ Ello nos obliga a generar los planes de prevención,
actuación y recuperación necesarios para que un
incidente no interrumpa el acceso al servicio.

8
2.1.2 Confidencialidad

● Confidencialidad de la información: También conocida como

privacidad, hace referencia a que la información sólo debe
ser conocida por las personas que necesitan conocerla y que
han sido autorizadas para ello.
○ Este principio asegura que la información no va a ser
divulgada de manera fortuita o intencionada.
○ Para proporcionar la confidencialidad adecuada
debemos tener en cuenta que solo los usuarios
adecuados pueden acceder al sistema (autenticación) y
que cada uno de ellos debe ver solo su información y no
la del resto de usuarios (autorización).
○ Mediante una buena gestión de autenticación y
autorización garantizamos la confidencialidad en el
sistema. 9
2.1.2 Confidencialidad - privacidad

● En estos días la privacidad está en boca de todos. Existen

multitud de servicios cloud que recopilan una gran cantidad
de información sobre nosotros. Esa información es obtenida
bajo nuestro consentimiento de la misma al aceptar los
términos y condiciones.
● Un servicio que recopile información sin indicarlo realiza una
actividad ilegal y se categoriza dentro de los conocidos
como “spyware”, es decir, software que recopila información
sobre nosotros sin el consentimiento expreso para ello.
● Los datos recopilados por estas empresas deben ser
almacenados de forma segura, generando los planes
adecuados para protegerlas de las filtraciones (leaks).

10
2.1.2 Confidencialidad - privacidad

● Actualmente existe un debate moral sobre hasta cuánto es

necesario y moralmente aceptable una cesión de
información a cambio del uso de un servicio.
● https://foundation.mozilla.org/es/privacynotincluded/
● Por ejemplo:
○ https://foundation.mozilla.org/es/privacynotincluded/pro
ducts/amazon-halo/

11
2.1.3 Integridad

● Integridad de la información: Hace referencia a que la

información que se encuentra almacenada en los
dispositivos o la que se ha transmitido por cualquier canal de
comunicación no ha sido manipulada por terceros de
manera malintencionada.
○ Esto garantiza que la información no será modificada por
personas no autorizadas.
○ La criptografía hoy en día nos permite garantizar la
integridad de la información.

12
2.2 Elementos a proteger

● Hardware: conjunto de todos los elementos físicos de un

sistema informático, como CPUs, cableado, discos duros,
etc…
● Software: conjunto de programas lógicos que hacen al
hardware funcionar, ya sean sistemas operativos, firmware o
aplicaciones.
● Datos: conjunto de información lógica. Principal elemento a
proteger. Es el más amenazado y difícil de recuperar.

13
2.3 Amenazas de seguridad

● Tipos de amenazas
○ Cualquier elemento está expuesto. Especialmente los
datos.
○ Las taxonomías elementales de amenazas muestran
cuatro tipos: interrupción, interceptación, modificación y
fabricación.

14
2.3 Amenazas de seguridad

● Tipos de amenazas
○ Interrupción del servicio: una entidad situada entre el
emisor y el receptor evita la comunicación.
○ Interceptación: una entidad obtiene mensajes cuyo
destinatario era otra entidad.
○ Modificación: los mensajes obtenidos por el receptor son
diferentes a los emitidos por el emisor originalmente.
○ Fabricación: una entidad tercera suplanta al emisor
original.

16
2.3 Amenazas de seguridad

● Tipos de amenazas
○ Proceso habitual:
○ Escaneo de puertos (portscan): detectar qué servicios
ofrece una máquina. Abiertos, cerrados o protegidos
(cortafuegos).
○ Interceptación lógica (sniffing): analizar los paquetes que
circulan por el medio compartido (dominio de colisión).
○ Fabricación (spoofing): distintos tipos: IP, ARP, DNS, Web,
Email o GPS.
○ Denegación de servicio (DoS). Distribuido (DDoS): se
consume todo el ancho de banda/procesamiento de un
servidor.

17
2.3 Amenazas de seguridad

● Origen de las amenazas

○ Personas: personal, ex-empleados, curiosos, crackers,
terroristas, hackers, intrusos remunerados, etc…
○ Amenazas lógicas: programas, ya sea mediante bugs o
malware.
○ Ej: virus, bombas lógicas, gusanos, caballos de troya,
programas conejo/bacteria o ransomware.
○ Los últimos son muy populares.
○ Catástrofes naturales: incendios, inundaciones,
terremotos, etc…

18
2.4 Mecanismos de seguridad

● Tres grupos: prevención, detección y recuperación.

○ Prevención: aumentan la fiabilidad durante el
funcionamiento normal, previniendo la ocurrencia de
violaciones de seguridad.
■ Ejemplo: servicio de cifrado en la transmisión de
datos
○ Detección: aquellos que se utilizan para revelar
violaciones de seguridad o intentos.
■ Ejemplo: servicios de alarma tras intentos de inicio de
sesión, o inicio de sesión desde nuevos dispositivos.

19
2.4 Mecanismos de seguridad

● Recuperación: se aplican cuando la violación del sistema se

ha detectado. Deben devolver el sistema a su
funcionamiento normal.
○ Ejemplo: uso de copias de seguridad de datos, hardware
adicional (redundante)...
○ Análisis forense: averiguar desde dónde se realizó el
ataque, qué puerta se usó para entrar, de qué forma se
puede prevenir para el futuro, etc...

20
3. Técnicas y sistemas de protección

● Veamos algunas técnicas y sistemas de protección

genéricas, es decir, no específicas para un determinado tipo
de empresa o negocio.
● Veamos los cortafuegos, los sistemas de detección de
intrusos (relevantes en hacking ético) y la criptología.

21
3.1 Cortafuegos

● Cortafuegos (firewall): sistema o grupo de sistemas que

hace cumplir una política de control de acceso entre dos
redes.
● Perímetro de seguridad: es el espacio protegido por el
cortafuegos. Suele ser propiedad de la organización. La
protección se realiza entre una red interna y una externa (no
fiable), llamada zona de riesgo.

22
3.1 Cortafuegos

- Aislamiento → Conexión total → Firewall

23
3.1.1 Elementos de un cortafuegos

● Elementos: host bastión, choke, proxy.

● Host bastión: es un sistema especialmente asegurado, pero
en principio vulnerable a todo tipo de ataques por estar
abierto a Internet.
○ Este host es el punto de contacto entre la red interna y
las externas. Esconde la configuración de la red hacia el
exterior.
● Choke: puede ser un host bastión o un router. Se encarga del
filtrado de paquetes, es decir, negar o permitir el flujo de
tramas entre dos redes.

24
3.1.1 Elementos de un cortafuegos

● Proxy: programa que niega o permite el acceso de una

aplicación determinada entre dos redes.
○ Los servidores proxy o bien permiten la petición y la
reenvían al servidor real o la deniegan y la devuelven al
cliente que realizó la petición.
● Estos elementos son habituales, pero la manera de
estructurarlos da lugar a diferentes arquitecturas, con
diferentes niveles de seguridad.
● Una de las que más seguridad ofrecen se conoce como
Screened Subnet, y se centra en situar el cortafuegos en una
subnet propia, de forma que se reducen los efectos de un
ataque exitoso al host bastión.

25
3.1.1 Elementos de un cortafuegos

El acceso de un intruso al host bastión no compromete a la

red interna, de forma que se contiene la amenaza.
26
3.2 Sistema de detección de intrusos

● Intrusión: conjunto de acciones que intentan comprometer la

integridad, confidencialidad o disponibilidad de un recurso.
○ Una intrusión no es solo un acceso no autorizado.
● Sistema de detección de intrusos (IDS): su objetivo es
detectar la penetración a nuestro sistema.
● Ejemplo 1: avisar si un usuario ha fallado múltiples veces la
contraseña al iniciar sesión.
● Ejemplo 2: un usuario ha intentado violar algunas
restricciones de integridad de la base de datos.

27
3.3 Criptografía

● Criptología: ciencia que trata los problemas teóricos

relacionados con la seguridad en el intercambio de mensajes
en clave entre un emisor y un receptor a través de un canal
de comunicaciones.
● Dos ramas:
○ Criptografía: ocupada del cifrado de mensajes en clave y
del diseño de criptosistemas.
○ Criptoanálisis: trata de descifrar mensajes en clave,
rompiendo el criptosistema.

28
3.3 Criptografía

● El objetivo original de la criptografía era mantener en secreto

un mensaje. Privacidad o confidencialidad.
● En la actualidad se busca también garantizar la autenticidad,
la integridad y el no repudio.
● Existen dos formas de generar un criptosistema seguro: o
manteniendo en secreto el algoritmo empleado (por ejemplo,
el cifrado César) o manteniendo en secreto algún valor
empleado por el algoritmo.

29
3.3 Criptografía

● Hoy en día los criptosistemas se basan en mantener en

secreto una serie de parámetros, llamados claves. El
algoritmo puede ser público y conocido.
● Dos tipos: de clave secreta/simétricos, o los de clave
pública/asimétricos.
● Un caso particular de los asimétricos es la firma digital de
documentos.

30