Capítulo 1: la ciberseguridad, un mundo de paladines, héroes y

delincuentes

Muchos de los hackers originales del mundo eran aficionados, programadores y estudiantes de informática
durante los años 60. Originalmente, el término hacker describió a las personas con habilidades de
programación avanzada. Los hackers utilizan estas habilidades de programación para probar los límites y las
capacidades de los primeros sistemas. Estos primeros hackers también estaban involucrados en el desarrollo
de los primeros juegos de computadora. Muchos de estos juegos incluían paladines y destrezas.

A medida que la cultura de hacking evolucionaba, incorporó el léxico de estos juegos en la cultura en sí.
Incluso el mundo exterior comenzó a proyectar la imagen de los paladines poderosos sobre esta cultura de
hacking incomprendida. Libros como Where Wizards Stay up Late: The Origins of The Internet (Cuando los
paladines se quedan despiertos hasta tarde: los orígenes del Internet) publicado en 1996 agregó la mística de
la cultura de hacking. La imagen y el léxico se estancaron. Muchos grupos de hacking hoy adoptan estas
imágenes. Uno de los grupos de hacker más infames se lo conoce con el nombre de Legion of Doom. Es
importante comprender la cultura cibernética para comprender a los delincuentes del mundo cibernético y sus
motivaciones.

Sun Tzu era un filósofo chino y guerrero en el siglo seis a. C. Sun Tzu escribió el libro llamado The Art of War
(El arte de la guerra) que es un trabajo clásico sobre las estrategias disponibles para vencer al enemigo. Su
libro ha orientado a los estrategas durante siglos.

Uno de los principios guía de Sun Tzu fue conocer a su oponente. Aunque él se refería específicamente a la
guerra, gran parte de sus consejos se traducen en otros aspectos de la vida, incluidos los desafíos de la
ciberseguridad. Este capítulo comienza explicando la estructura del mundo de la ciberseguridad y el motivo
por el que sigue creciendo.

En este capítulo se analizará el rol de los delincuentes cibernéticos y sus motivaciones. Finalmente, en el
capítulo se explica cómo convertirse en un especialista en ciberseguridad. Estos héroes cibernéticos ayudan a
vencer a los delincuentes cibernéticos que amenazan el mundo cibernético.

¿Quiénes son los delincuentes cibernéticos?

En los primeros años del mundo de la ciberseguridad, los delincuentes cibernéticos típicos eran adolescentes
o aficionados que operaban desde una PC doméstica, y sus ataques se limitaban a bromas y vandalismo.
Actualmente, el mundo de los delincuentes cibernéticos se ha vuelto más peligroso. Los atacantes son
personas o grupos que intentan atacar las vulnerabilidades para obtener una ganancia personal o financiera.
Los delincuentes cibernéticos están interesados en todo, desde las tarjetas de crédito hasta los diseños de
producto y todo lo que tenga valor.

Aficionados: los aficionados, o script kiddies, tienen pocas habilidades o ninguna, y generalmente usan
herramientas existentes o instrucciones que se encuentran en Internet para realizar ataques. Algunos solo son
curiosos, mientras que otros intentan demostrar sus habilidades y causar daños. Pueden utilizar herramientas
básicas, pero los resultados aún pueden ser devastadores.

Hackers: este grupo de delincuentes penetran en las computadoras o redes para obtener acceso por varios
motivos. La intención por la que interrumpen determina la clasificación de estos atacantes como delincuentes
de sombrero blanco, gris o negro. Los atacantes de sombrero blanco penetran en las redes o los sistemas
informáticos para descubrir las debilidades a fin de mejorar la seguridad de estos sistemas. Los propietarios
del sistema les otorgan permiso para realizar la interrupción y reciben los resultados de la prueba. Por otro
lado, los atacantes de sombrero negro aprovechan las vulnerabilidades para obtener una ganancia ilegal
personal, financiera o política. Los atacantes de sombrero gris están en algún lugar entre los atacantes de
sombrero blanco y negro. Los atacantes de sombrero gris pueden encontrar una vulnerabilidad y señalarla a
los propietarios del sistema si esa acción coincide con sus propósitos. Algunos hackers de sombrero gris
publican los hechos sobre la vulnerabilidad en Internet para que otros atacantes puedan sacarles provecho.

La figura ofrece detalles sobre los términos hacker de sombrero blanco, negro y gris.

Hackers organizados: estos hackers incluyen organizaciones de delincuentes informáticos, hacktivistas,

terroristas y hackers patrocinados por el estado. Los delincuentes cibernéticos generalmente son grupos de
delincuentes profesionales centrados en el control, la energía y la riqueza. Los delincuentes son muy
sofisticados y organizados, e incluso pueden proporcionar el delito cibernético como un servicio. Los
hacktivistas hacen declaraciones políticas para concientizar sobre los problemas que son importantes para
ellos. Los hacktivistas publican de manera pública información embarazosa sobre sus víctimas. Los atacantes
patrocinados por el estado reúnen inteligencia o sabotean en nombre de su gobierno. Estos atacantes suelen
estar altamente capacitados y bien financiados. Sus ataques se centran en objetivos específicos que resultan
beneficiosos para su gobierno. Algunos atacantes patrocinados por el estado son incluso miembros de las
fuerzas armadas de sus países.
¿Por qué convertirse en un especialista en ciberseguridad?

La demanda de especialistas en ciberseguridad ha crecido más que la demanda de otros trabajos de TI. Toda
la tecnología que transforma el reino y mejora la forma de vida de las personas también puede hacerlos más
vulnerables a los ataques. La tecnología en sí misma no puede prevenir, detectar, responder ni recuperarse
de los incidentes de ciberseguridad. Considere lo siguiente:

 El nivel de habilidad que requiere un especialista eficiente en ciberseguridad y la escasez de

profesionales calificados en ciberseguridad se traduce en la posibilidad de mayores ingresos.

 La tecnología de la información cambia constantemente. Esto también es cierto para la ciberseguridad.

La naturaleza muy dinámica del campo de la ciberseguridad puede ser difícil y fascinante.

 La carrera de un especialista en ciberseguridad también es muy transferible. Los trabajos en casi todas
las ubicaciones geográficas.

 Los especialistas en ciberseguridad proporcionan un servicio necesario a sus organizaciones, países y

empresas, casi como las autoridades encargada del orden público o los equipos de respuesta ante una
emergencia.

Convertirse en un especialista en ciberseguridad es una oportunidad profesional gratificante

Los servicios del reino son los mismos servicios que necesita una red y, en última instancia, Internet para
operar. Estos servicios incluyen routing, asignación de direcciones, designación de nombres y administración
de bases de datos. Estos servicios también sirven como objetivos principales para los delincuentes
cibernéticos.

Los delincuentes utilizan herramientas de análisis de paquetes para capturar flujos de datos en una red. Esto
significa que todos los datos confidenciales, como nombres de usuario, contraseñas y números de tarjetas de
crédito, están en riesgo. Los analizadores de protocolos de paquetes supervisan y registran toda la
información que proviene de una red. Los delincuentes pueden utilizar además dispositivos falsos, como
puntos de acceso a Wi-Fi no seguros. Si el delincuente configuran estos dispositivos cerca de un lugar
público, como una cafetería, las personas desprevenidas pueden conectarse y el analizador de protocolos
copiará su información personal.

El Servicio de nombres de dominio (DNS) traduce un nombre de dominio, por ejemplo www.facebook.com en
su dirección IP numérica. Si un servidor DNS no conoce la dirección IP, consultará a otro servidor DNS. Con
una suplantación de identidad DNS (o envenenamiento de caché DNS), el delincuente introduce datos falsos
en la caché de resolución de DNS. Estos ataques de envenenamiento atacan una debilidad en el software
DNS que hace que los servidores DNS redirijan el tráfico de un dominio específico a la computadora del
delincuente, en lugar de redirigirlo al propietario legítimo del dominio.

Los paquetes transportan datos a través de una red o de Internet. La falsificación del paquete (o la inyección
de paquetes) interfiere con una comunicación de red establecida mediante la creación de paquetes para que
parezca como si fueran parte de una comunicación. La falsificación de paquetes permite a un delincuente
alterar o interceptar los paquetes. Este proceso permite a los delincuentes secuestrar una conexión autorizada
o denegar la capacidad de una persona para usar determinados servicios de red. Los profesionales
cibernéticos denominan esta actividad un ataque man-in-the-middle.
Los ejemplos dado solo son ejemplos generales de los tipos de amenazas que los delincuentes pueden lanzar
contra los servicios del reino.

Amenazas internas y externas

Amenazas de seguridad internas

Los ataques pueden originarse dentro de una organización o fuera de ella, como se muestra en la figura. Un
usuario interno, como un empleado o un partner contratado, puede de manera accidental o intencional:

 Manipular de manera incorrecta los datos confidenciales

 Amenazar las operaciones de los servidores internos o de los dispositivos de la infraestructura de red

 Facilitar los ataques externos al conectar medios USB infectados al sistema informático corporativo

 Invitar accidentalmente al malware a la red con correos electrónicos o páginas web maliciosos

Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas porque los
usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura. Los atacantes
internos normalmente tienen conocimiento de la red corporativa, sus recursos y sus datos confidenciales.
También pueden tener conocimiento de las contramedidas de seguridad, las políticas y los niveles más altos
de privilegios administrativos.
Amenazas de seguridad externas

Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las vulnerabilidades
en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como trucos, para obtener
acceso. Los ataques externos aprovechan las debilidades o vulnerabilidades para obtener acceso a los
recursos internos.

Datos tradicionales

Los datos corporativos incluyen información del personal, de propiedad intelectual y datos financieros. La
información del personal incluye el material de las postulaciones, la nómina, la carta de oferta, los acuerdos
del empleado, y cualquier información utilizada para tomar decisiones de empleo. La propiedad intelectual,
como patentes, marcas registradas y planes de nuevos productos, permite a una empresa obtener una
ventaja económica sobre sus competidores. Considere esta propiedad intelectual como un secreto comercial;
perder esta información puede ser desastroso para el futuro de la empresa. Los datos financieros, como las
declaraciones de ingresos, los balances y las declaraciones de flujo de caja brindan información sobre el
estado de la empresa.

El surgimiento del internet de las cosas

El Internet de las cosas (IdC ) es el conjunto de tecnologías que permiten la conexión de varios dispositivos a
Internet. La evolución tecnológica asociada con la llegada del IdC está cambiando los entornos comerciales y
de consumidores. Las tecnologías del IdC permiten que las personas conecten miles de millones de
dispositivos a Internet. Estos dispositivos incluyen trabas, motores y dispositivos de entretenimiento, solo por
mencionar algunos ejemplos. Esta tecnología afecta la cantidad de datos que necesitan protección. Los
usuarios acceden a estos dispositivos en forma remota, lo cual aumenta la cantidad de redes que requieren
protección.

Con el surgimiento del IdC, hay muchos más datos que deben administrarse y protegerse. Todas estas
conexiones, además de la capacidad y los servicios de almacenamiento expandidos que se ofrecen a través
de la nube y la virtualización, han generado el crecimiento exponencial de los datos. Esta expansión de datos
ha creado una nueva área de interés en la tecnología y los negocios denominada “datos masivos”.

El impacto de los datos masivos

Los datos masivos son el resultado de los conjuntos de datos que son grandes y complejos, lo que hace que
las aplicaciones tradicionales de procesamiento de datos sean inadecuadas. Los datos masivos presentan
desafíos y oportunidades según tres dimensiones:

 El volumen o la cantidad de datos

 La velocidad de los datos

 La variedad o el rango de los tipos y fuentes de datos

Existen muchos ejemplos de amenazas de gran envergadura en las noticias. Las empresas como Target,
Home Depot y PayPal son objetos de ataques muy promocionados. Como resultado, los sistemas
empresariales deben realizar cambios drásticos en los diseños de producto de seguridad y las actualizaciones
importantes a las tecnologías y las prácticas. Además, los gobiernos y las industrias están introduciendo más
regulaciones y obligaciones que requieren una mejor protección de los datos y controles de seguridad para
ayudar a proteger los datos masivos.

Uso de instrumentos avanzados

Las vulnerabilidades de software actualmente tienen como base los errores de programación, las
vulnerabilidades de protocolo o las configuraciones erróneas del sistema. El delincuente cibernético tan solo
tiene que aprovechar una de estas. Por ejemplo, un ataque común fue la construcción de una entrada a un
programa para sabotear el programa, haciendo que funcione mal. Este mal funcionamiento proporcionó una
entrada al programa o provocó que filtre información.

Actualmente, se percibe una creciente sofisticación en los ciberataques. Una amenaza persistente avanzada
(APT) es una amenaza continua a las computadoras que se realizan en el radar contra un objeto específico.
Los delincuentes eligen generalmente una APT por motivos políticos o empresariales. Una APT se produce
durante un período prolongado con un alto nivel de confidencialidad utilizando malware sofisticado.

Los ataques a los algoritmos pueden rastrear los datos de informe propio de un sistema, como la cantidad de
energía que utiliza una computadora, y usar esa información para seleccionar los objetivos o para activar
alertas falsas. Los ataques algorítmicos también pueden desactivar una computadora forzándola a usar
memoria o a trabajar demasiado su unidad de procesamiento central. Los ataques a los algoritmos son más
taimados porque atacan a los diseños utilizados para mejorar el ahorro de energía, disminuir las fallas del
sistema y mejorar las eficiencias.
Por último, la nueva generación de ataques involucra la selección inteligente de víctimas. En el pasado, los
ataques seleccionaban las opciones más fáciles o las víctimas más vulnerables. Sin embargo, con más
atención a la detección y el aislamiento de los ciberataques, los delincuentes cibernéticos deben ser más
cuidadosos. No pueden arriesgar la detección temprana o los especialistas en ciberseguridad cerrarán las
puertas del castillo. Como resultado, muchos de los ataques más sofisticados solo se lanzarán si el atacante
puede igualar la firma objeto del objetivo.

Implicaciones de seguridad

Los centros de llamadas de emergencia en EE. UU. son vulnerables a los ciberataques que podrían apagar
las redes de 911 y comprometer así la seguridad pública. Un ataque de denegación de servicios telefónicos
(TDoS) utiliza las llamadas telefónicas a una red telefónica objetivo, lo que condiciona el sistema y evita que
las llamadas legítimas pasen. Los centros de llamadas 911 de próxima generación son vulnerables porque
utilizan los sistemas de voz sobre IP (VoIP) en lugar de líneas fijas tradicionales. Además de los ataques de
TDoS, estos centros de llamadas también pueden estar a merced de ataques de denegación de servicio
distribuido (DDoS) que utilizan muchos sistemas para saturar los recursos del objetivo, lo que hace que este
no esté disponible para los usuarios legítimos. En la actualidad, existen muchas maneras de solicitar la ayuda
del 911, desde el uso de una aplicación en un smartphone hasta un sistema de seguridad en el hogar.

Siete categorías de paladines en el área de la ciberseguridad

El marco de la fuerza laboral categoriza el trabajo en ciberseguridad en siete categorías.

Operar y mantener incluye proporcionar soporte técnico, administración, y el mantenimiento necesario para
garantizar el rendimiento y la seguridad de los sistemas de TI.

Proteger y defender incluye la identificación, el análisis y la mitigación de amenazas a los sistemas internos y
redes internas.

Investigar incluye la investigación de los eventos cibernéticos o los delitos informáticos que involucran a los
recursos de TI.

Recopilar y operar incluye operaciones especializadas de ataque y engaño, y la recopilación de información

sobre ciberseguridad.

Analizar incluye la revisión y evaluación altamente especializada de la información entrante de ciberseguridad

para determinar si es útil para la inteligencia.

Supervisión y desarrollo establece el liderazgo, la administración y la dirección para realizar el trabajo de

ciberseguridad de manera eficaz.

Disponer de manera segura incluye conceptualización, diseño y creación de sistemas de TI seguros.

Dentro de cada categoría, existen varias áreas de especialidad. Las áreas de especialidad luego definen los
tipos comunes de trabajo de ciberseguridad.
Certificaciones del sector

En un mundo de amenazas a la ciberseguridad, existe una gran necesidad de contar con profesionales
expertos y calificados en seguridad de la información. La industria de TI estableció estándares para que los
especialistas en ciberseguridad obtengan certificaciones profesionales que proporcionan pruebas de las
habilidades y el nivel de conocimiento.

CompTIA Security+

Security+ es un programa de pruebas patrocinado por CompTIA que certifica la competencia de los
administradores de TI en la seguridad de la información. La prueba de Security+ abarca los principios más
importantes para proteger una red y administrar el riesgo, incluidas las inquietudes relacionadas con la
computación en la nube.

Hacker ético certificado por el Consejo Internacional de Consulta de Comercio Electrónico (CEH)

Esta certificación de nivel intermedio afirma que los especialistas en ciberseguridad que cuentan con esta
credencial poseen las habilidades y el conocimiento para varias prácticas de hacking. Estos especialistas en
ciberseguridad utilizan las mismas habilidades y técnicas que utilizan los delincuentes cibernéticos para
identificar las vulnerabilidades y puntos de acceso del sistema en los sistemas.
SANS GIAC Security Essentials (GSEC)

La certificación GSEC es una buena opción como credencial de nivel básico para especialistas en
ciberseguridad que pueden demostrar que comprenden la terminología y los conceptos de seguridad, y tienen
las habilidades y la experiencia necesarias para puestos “prácticos” en seguridad. El programa SANS GIAC
ofrece varias certificaciones adicionales en los campos de administración de la seguridad, informática forense
y auditoría.

(ISC)^2 Profesional certificado en seguridad de los sistemas informáticos (CISSP)

La certificación de CISSP es una certificación neutral para proveedores para los especialistas en
ciberseguridad con mucha experiencia técnica y administrativa. También está aprobada formalmente por el
Departamento de Defensa (DoD) de EE. UU. y es una certificación con reconocimiento global del sector en el
campo de la seguridad.

Certificación para administradores de seguridad informática (CISM) de ISACA

Los héroes cibernéticos responsables de administrar, desarrollar y supervisar los sistemas de seguridad de la
información a nivel empresarial o para aquellos que desarrollan las mejores prácticas de seguridad puedan
obtener la certificación CISM. Los titulares de estas credenciales poseen aptitudes avanzadas en la
administración de riesgos de seguridad.

Certificaciones patrocinadas por la empresa

Otras credenciales importantes para los especialistas en ciberseguridad son las certificaciones patrocinadas
por la empresa. Estas certificaciones miden el conocimiento y la competencia en la instalación, la
configuración y el mantenimiento de los productos de los proveedores. Cisco y Microsoft son ejemplos de
empresas con certificaciones que prueban el conocimiento de sus productos. Haga clic aquí para explorar la
matriz de las certificaciones de Cisco que se muestran en la figura.

Asociado en redes con certificación de Cisco (Seguridad de CCNA)

La certificación de Seguridad de CCNA ratifica que un especialista en ciberseguridad cuenta con el

conocimiento y las habilidades necesarias para proteger las redes de Cisco.

Haga clic aquí para obtener más información sobre la certificación de Seguridad de CCNA

Cómo convertirse en un héroe cibernético

Para convertirse en un especialista exitoso en ciberseguridad, el candidato potencial debe tener en cuenta
algunos de los requisitos exclusivos. Los héroes deben ser capaces de responder a las amenazas tan pronto
como ocurran. Esto significa que las horas de trabajo pueden ser poco convencionales.

Los héroes cibernéticos también analizan las políticas, las tendencias y la inteligencia para comprender cómo
piensan los delincuentes cibernéticos. Muchas veces, esto pueden incluir una gran cantidad de trabajo de
detección.

Las siguientes recomendaciones ayudarán a los aspirantes a especialistas en ciberseguridad a alcanzar sus
objetivos:
  Estudie: conozca los aspectos básicos al completar los cursos en TI. Sea un estudiante durante toda su
vida. La ciberseguridad es un campo en constante cambio y los especialistas en ciberseguridad deben
mantenerse actualizados.

 Obtenga certificaciones: las certificaciones patrocinadas por la empresa y el sector, de organizaciones

como Microsoft y Cisco demuestran que uno posee los conocimientos necesarios para buscar empleo
como especialista en ciberseguridad.

 Busque pasantías: la búsqueda de una pasantía en seguridad como estudiante puede traducirse en
oportunidades en el futuro.

 Únase a organizaciones profesionales: únase a las organizaciones de seguridad informática, asista a

reuniones y conferencias y participe en foros y blogs para obtener conocimiento de los expertos.

EVALUACION EJE 1