Capítulo 1: La ciberseguridad

y los centros de operaciones

de seguridad
Materiales del Instructor

Operaciones de ciberseguridad v1.1

Capítulo 1: La ciberseguridad y
los centros de operaciones de
seguridad
Operaciones de ciberseguridad v1.1
Guía de planificación

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 3
Capítulo 1: La ciberseguridad
y los centros de operaciones
de seguridad

Operaciones de ciberseguridad v1.1

Capítulo 1: Secciones y objetivos
 1.1 El peligro
• Explicar por qué se atacan las redes y los datos.
• Describir las características de ejemplos de incidentes ciberseguridad.
• Explicar las razones de los actores de amenazas detrás de los incidentes de seguridad específicos.
• Explicar el impacto potencial de ataques de seguridad de la red.

 1.2 Combatientes en la guerra contra la ciberdelincuencia

• Explicar cómo prepararse para una carrera en el ámbito de las operaciones de ciberseguridad.
• Explicar la misión del centro de operaciones de seguridad (SOC).
• Describir los recursos disponibles para prepararse para una carrera en las operaciones de ciberseguridad.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 10
1.1 El peligro

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 11
Historias de guerra
Personas con secuestro de información
 Un hacker configuró una zona de cobertura inalámbrica abierta y "no autorizada" que se hacía
pasar por una red inalámbrica legítima.
 Un cliente inició sesión en el sitio web de su banco.

 El hacker había secuestrado su sesión.

 El hacker obtuvo acceso a sus cuentas bancarias.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 12
Historias de guerra
Empresas a las que se piden rescates
 Un empleado recibió un correo electrónico de parte de su director ejecutivo con un PDF adjunto.

 Ransomware está instalado en la computadora del empleado.

 Ransomware recopila y cifra datos corporativos.

 Los atacantes conservaron los datos de la

empresa para el rescate hasta que se les pagó.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 13
Historias de guerra
Países objetivo
 Gusano Stuxnet
• Se infiltró en sistemas operativos de Windows.
• Se destinó al software Step 7 que regula los controladores lógicos programables (PLC) para dañar
las centrifugadoras en establecimientos nucleares.
• Se transmitió de las unidades USB infectadas a los PLC y, finalmente, dañó muchas de las
centrifugadoras.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 14
Historias de guerra
Práctica de laboratorio: instalación de la máquina virtual CyberOps Workstation

Lab 1.1.1.4

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 15
Historias de guerra
Práctica de laboratorio: casos prácticos de ciberseguridad

Lab 1.1.1.5

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 16
Actores de amenazas
Aficionados
 Se los conoce como script kiddies.

 Tienen poca o ninguna habilidad.

 Utilizan herramientas ya existentes o

instrucciones que encuentran en Internet para
iniciar ataques.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
Actores de amenazas
Hacktivistas
 Protestan frente a organizaciones o gobiernos
• Publican artículos y videos.
• Filtran información.
• Interrumpen los servicios web con ataques DDoS.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 18
Actores de amenazas
Beneficios financieros
 Gran parte de la actividad de los hackers es en busca de beneficios financieros.

 Los delincuentes cibernéticos desean generar flujo de caja

• Cuentas bancarias
• Datos personales
• Algo más que pueden aprovechar

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 19
Actores de amenaza
Secretos comerciales y política global
 Los estados de una nación también están interesados en utilizar el ciberespacio.
• Hackeo a otros países
• Interferencia con la política interna
• Espionaje industrial
• Obtención de ventaja importante en el comercio
internacional

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 20
Actores de amenaza
Cuán segura es Internet de las cosas
 Internet de las cosas (IdC)

• Cosas conectadas para mejorar la calidad de vida.

• Ejemplo: los rastreadores de actividad física
 ¿Qué grado de seguridad ofrecen estos dispositivos?

• Firmware
• Errores de seguridad
• Actualizable con parche
 Ataque DDoS al proveedor de nombre del dominio, Dyn

• Perjudicó muchos sitios web.

• Las cámaras web, DVR, routers y otros dispositivos de IdC
afectados formaron un botnet.
• El hacker controló el botnet que se usó para crear un ataque de
DDoS que desactivó servicios esenciales de Internet.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 21
Actores de amenaza
Práctica de laboratorio: aprendizaje de los detalles de ataques

https://www.iotsworldcongress.com/5-infamous-iot-hacks-and-
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 22
El impacto de las amenazas
PII y PHI
 La información que permite identificar personas (Personally
Identifiable Information, PII) es cualquier dato que pueda utilizarse
para identificar inequívocamente a una persona.
• Ejemplos de PII incluyen: nombre, número de seguro social, fecha de
nacimiento, números de tarjetas de crédito, números de cuenta
bancaria, identificaciones emitidas por el gobierno, información de la
dirección (calle, correo electrónico, números de teléfono).
• Esta información se vende a la Web oscura.
• Se crean cuentas falsas, como tarjetas de crédito y préstamos a corto
plazo.
 Información confidencial sobre la salud (PHI): un subconjunto de PII:
• crea y mantiene registros médicos electrónicos (EMR)
• Regulada por la Ley de Transferibilidad y Responsabilidad del Seguro
Médico (HIPAA)

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 23
El impacto de las amenazas
Pérdida de la ventaja competitiva
 Puede resultar en pérdida de la ventaja competitiva.
• Espionaje corporativo en el ciberespacio.
• Pérdida de confianza que surge cuando una
empresa es incapaz de proteger los datos
personales de sus clientes.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 24
El impacto de las amenazas
Seguridad nacional y política
 En 2016, un hacker publicó PII de 20 000 empleados
del FBI y 9000 empleados del Departamento de
Seguridad Nacional estadounidense.
 El gusano Stuxnet fue diseñado para impedir el
progreso de Irán en el enriquecimiento de uranio.
• Es un ejemplo de un ataque a la red motivado por
asuntos de seguridad nacional.
 La ciberguerra es una posibilidad concreta.

 Internet se ha tornado esencial como medio para

actividades comerciales y financieras.
• La interrupción puede acabar con la economía de un
país y la seguridad de sus ciudadanos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 25
El impacto de las amenazas
Práctica de laboratorio: visualización de los Sombreros negro

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 26
1.2 Soldados en la guerra
contra el ciberdelito

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 27
El centro de operaciones de seguridad moderno
Elementos de un SOC
 Los centros de operaciones de seguridad (SOC) proporcionan una amplia gama de servicios:
• Monitoreo
• Administración
• Soluciones completas de amenazas
• Seguridad alojada
 Los SOC pueden:
• encontrarse dentro de la empresa, ser de su
propiedad y ser operados por esta.
• Los elementos pueden ser contratados para los
proveedores de seguridad.
 Los elementos principales de un SOC son:
• Personas
• Procesos
• Tecnología
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 28
El centro de operaciones de seguridad moderno
Personas en el SOC
 SANS Institute (www.sans.org) divide en cuatro los roles de la gente en los SOC:
• Nivel 1: Analista de alertas
• Nivel 2: Encargado de respuesta ante incidentes
• Nivel 3: Experto en la materia (SME)/Cazador
• Gerente de SOC
 ¿Pueden adivinar las responsabilidades de
cada uno de los cargos de trabajo?

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 29
El centro de operaciones de seguridad moderno
Proceso en el SOC
 Un analista de alerta de nivel 1 comienza con el
monitoreo de las colas de alertas de seguridad.
 Un analista de alerta de nivel 1 comprueba si una alerta
que se activó en el software de emisión de boletos
representa un verdadera incidente de seguridad.
 El incidente puede reenviarse a investigadores o
resolverse como falsa alarma.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 30
El centro de operaciones de seguridad moderno
Tecnologías en el SOC
 Sistemas de administración de información y eventos de seguridad (SIEM):
• Recopilar y filtrar datos.
• Detectar y clasificar amenazas.
• Analizar e investigar las amenazas.
• Implementar medidas preventivas.
• Examinar amenazas futuras.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 31
El centro de operaciones de seguridad moderno
Seguridad empresarial y administrada

 Las organizaciones pueden implementar un SOC de nivel empresarial.

 El SOC puede ser:

• Una solución interna completa
• Terciarizada en al menos una parte de las operaciones
del SOC a un proveedor de soluciones de seguridad.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 32
El centro de operaciones de seguridad moderno
Comparación entre seguridad y disponibilidad
 La mayoría de las redes empresariales deben funcionar en todo momento.

 El tiempo de actividad buscado suele medirse por la cantidad anual de minutos de inactividad. Un tiempo
de actividad de "cinco nueves" indica que la red estuvo activa el 99,999% del tiempo (o inactiva no más de
5 minutos en el año).

 Logre siempre un equilibrio entre un buen nivel de seguridad y la posibilidad de que la empresa funcione.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 33
Cómo convertirse en un defensor
Certificaciones
 Hay disponibles varias certificaciones de ciberseguridad:
• CCNA Cyber Ops
• Certificación CompTIA Cybersecurity Analyst (CSA+)
• (ISC)² Certificaciones de seguridad informática (incluida CISSP)
• Certificación Global Information Assurance (GIAC)

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 34
Cómo convertirse en un defensor
Más formación
 Consideren iniciar una carrera técnica de grado o
una licenciatura en ciencias informáticas,
ingeniería eléctrica, tecnología de la información o
seguridad informática.
 La capacidad de programar es una habilidad
esencial para la ciberseguridad.
 Python es un lenguaje de programación orientado
a objetos, de código abierto. Habitualmente se
está utilizando para analistas de ciberseguridad.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 35
Cómo convertirse en un defensor
Fuentes de información sobre trabajo
 Hay varios sitios web y aplicaciones móviles donde se publican empleos disponibles en el ámbito
de la tecnología de la información:
• Indeed.com
• CareerBuilder.com
• USAJobs.gov
• Glassdoor.com: información sobre
sueldos
• LinkedIn: red profesional

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 36
Cómo convertirse en un defensor
Adquisición de experiencia
 Cómo adquirir experiencia:
• Pasantías
• Beca para ciberseguridad de Cisco
• Agencias de empleos temporarios
• Su primer trabajo

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 37
Cómo convertirse en un defensor
Práctica de laboratorio: cómo convertirse en un defensor

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 38
1.3 Resumen del capítulo

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 39
Resumen del capítulo
Resumen
 Una red inalámbrica "no autorizada" pública puede utilizarse para obtener acceso a información personal.
 Los empleados de una empresa pueden descargar accidentalmente ransomware que puede comenzar el
proceso de recopilación y descifrado de datos corporativos.
 Un malware sofisticado, el gusano Stuxnet, es un ejemplo de cómo los países pueden ser objeto de una
infraestructura vulnerable del país.
 Los aficionados causan daño mediante herramientas simples que hallan en línea.
 Los hacktivistas son hackers experimentados que trabajan por causas nobles o con fines maliciosos.
 Muchos hackers solo buscan beneficios financieros al robar dinero de forma electrónica o robar secretos
comerciales a corporaciones o naciones para vender la información.
 Defender a un país contra ciberespionaje y guerra cibernética sigue siendo una prioridad.
 Tenga en cuenta los puntos débiles de la de IdC.
 PII es la sigla para la información personal. PHI es la sigla para la información confidencial sobre la salud.
Estos dos tipos de información se pueden robar y emplear para acceder a información privada.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 40
Resumen del capítulo
Resumen (continuación)
 Puede perderse la ventaja competitiva al perder la confianza de los clientes si la empresa no es capaz de
proteger su PII.
 Los hackers pueden afectar la seguridad nacional. El gusano Stuxnet es un ejemplo.
 Los principales elementos de un SOC son la gente, los procesos y la tecnología.
 En los centros de operaciones de seguridad se trabaja para combatir la ciberdelincuencia.
 La gente de los SOC se divide en la de nivel 1, que son los analistas, a quienes está dirigido este curso; la
de nivel 2, que son los encargados de la respuesta ante incidentes; la de nivel 3, que son los
SME/cazadores; y por último el gerente del SOC.
 Un analista monitorea las colas de alertas de seguridad. El analista quizás deba comprobar si la alerta
representa un incidente de seguridad verdadero. Una vez comprobado esto, el incidente puede reenviarse
a investigadores o resolverse como falsa alarma.
 Los sistemas SIEM se usan para recopilar y filtrar datos; detectar, clasificar, analizar e investigar
amenazas; implementar medidas preventivas y afrontar futuras amenazas.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 41
Resumen del capítulo
Resumen (continuación)
 Un SOC puede ser una solución totalmente interna, o bien, subcontratar parte de las operaciones a un
proveedor de soluciones de seguridad.
 El tiempo de actividad buscado suele medirse por la cantidad anual de minutos de inactividad. Un tiempo de
actividad de "cinco nueves" indica que la red estuvo activa el 99,999% del tiempo o inactiva no más de 5
minutos en el año.
 Hay disponibles varias certificaciones de ciberseguridad otorgadas por diferentes organizaciones.
 Para una carrera en el campo de la ciberseguridad, considere un título técnico o título de grado. Los analistas
de ciberseguridad necesitan saber programar. Python es un buen punto de partida.
 Una gran variedad de recursos proporcionan información sobre búsqueda de empleos y salarios.
 Prepararse para trabajar en un Centro de Operaciones de Seguridad (Security Operations Center, SOC)
implica obtener certificados, asistir a cursos de educación formal y hacer uso de servicios de empleo para
adquirir experiencia en pasantías y empleos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 42
Capítulo 1
Nuevos términos y comandos
• Denegación de servicio distribuida (DDoS)
• Hacktivistas
• Malware
• Información de identificación personal (PII)
• Información confidencial sobre la salud (PHI)
• Ransomware
• Script kiddies
• Sistema de administración de información y
eventos de seguridad (SIEM)
• Centro de operaciones de seguridad (SOC)
• Gerente de SOC
• Analista especializado en alertas, nivel 1
• Nivel 2: Encargado de respuesta ante
incidentes
• Nivel 3: Experto en la materia (SME)/Cazador

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 43
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:
De 210-250 SECFND - descripción de temas fundamentales sobre ciberseguridad de Cisco:
 Dominio 2: conceptos de seguridad
• 2.3 Describa los siguientes términos:
• Actor malicioso
• Ingeniería inversa
• PII
• PHI

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 44