Capítulo 1: la ciberseguridad, un mundo de paladines, héroes y

delincuentes

Muchos de los hackers originales del mundo eran aficionados, programadores y estudiantes de
informática durante los años 60. Originalmente, el término hacker describió a las personas con
habilidades de programación avanzada. Los hackers utilizan estas habilidades de programación para
probar los límites y las capacidades de los primeros sistemas. Estos primeros hackers también estaban
involucrados en el desarrollo de los primeros juegos de computadora. Muchos de estos juegos incluían
paladines y destrezas.

A medida que la cultura de hacking evolucionaba, incorporó el léxico de estos juegos en la cultura en sí.
Incluso el mundo exterior comenzó a proyectar la imagen de los paladines poderosos sobre esta cultura
de hacking incomprendida. Libros como Where Wizards Stay up Late: The Origins of The Internet
(Cuando los paladines se quedan despiertos hasta tarde: los orígenes del Internet) publicado en 1996
agregó la mística de la cultura de hacking. La imagen y el léxico se estancaron. Muchos grupos de
hacking hoy adoptan estas imágenes. Uno de los grupos de hacker más infames se lo conoce con el
nombre de Legion of Doom. Es importante comprender la cultura cibernética para comprender a los
delincuentes del mundo cibernético y sus motivaciones.

Sun Tzu era un filósofo chino y guerrero en el siglo seis a. C. Sun Tzu escribió el libro llamado The Art of
War (El arte de la guerra) que es un trabajo clásico sobre las estrategias disponibles para vencer al
enemigo. Su libro ha orientado a los estrategas durante siglos.

Uno de los principios guía de Sun Tzu fue conocer a su oponente. Aunque él se refería específicamente a
la guerra, gran parte de sus consejos se traducen en otros aspectos de la vida, incluidos los desafíos de
la ciberseguridad. Este capítulo comienza explicando la estructura del mundo de la ciberseguridad y el
motivo por el que sigue creciendo.

En este capítulo se analizará el rol de los delincuentes cibernéticos y sus motivaciones. Finalmente, en el
capítulo se explica cómo convertirse en un especialista en ciberseguridad. Estos héroes cibernéticos
ayudan a vencer a los delincuentes cibernéticos que amenazan el mundo cibernético.

Descripción general de los reinos

Existen muchos grupos de datos que conforman el “mundo cibernético”. Cuando los grupos pueden
recopilar y utilizar enormes cantidades de datos, comienzan a acumular poder e influencia. Estos datos
pueden estar en la forma de números, imágenes, video, audio o cualquier tipo de datos que puedan
digitalizarse. Estos grupos podrían resultar tan poderosos que funcionan como si fueran reinos. Empresas
como Google, Facebook y LinkedIn se pueden considerar castillos de datos en la analogía del reino del
mundo cibernético. Si extendemos aún más la analogía, las personas que trabajan en estas empresas
digitales podrían considerarse paladines cibernéticos.

Castillos del mundo cibernético

Los paladines cibernéticos en Google crearon uno de los primeros y más poderosos castillos del reino
cibernético. Miles de millones de personas utilizan Google para buscar en la red diariamente. Google ha
creado lo que podría considerarse la red más grande de recopilación de datos del mundo. Google
desarrolla Android, los sistemas operativos instalados en más del 80 % de todos los dispositivos móviles
conectados a Internet. Cada dispositivo requiere que los usuarios creen cuentas de Google que pueden
guardar marcadores e información de la cuenta, guardar los resultados de búsqueda, e incluso ubicar el
dispositivo. Haga clic aquí para ver algunos de los numerosos servicios que Google ofrece actualmente.
Facebook es otro castillo poderoso en el reino cibernético. Los paladines cibernéticos en Facebook
reconocieron que las personas crean cuentas personales a diario para comunicarse con amigos y
familiares. Al hacerlo, proporcionan muchos datos personales. Estos paladines de Facebook formaron un
castillo masivo de datos para ayudar a las personas a conectarse de maneras nunca antes imaginadas en
el pasado. Facebook afecta la vida de millones de personas a diario y permite a las empresas y las
organizaciones comunicarse con las personas de manera más personal y orientada.

LinkedIn es otro castillo de datos en el reino cibernético. Los paladines cibernéticos de LinkedIn
reconocieron que sus miembros compartirían información en la búsqueda de crear una red profesional.
Los usuarios de LinkedIn cargan esta información para crear perfiles en línea y conectarse con otros
miembros. LinkedIn conecta a los empleados con los empleadores y a las empresas con otras empresas
de todo el mundo.

Una mirada dentro de estos castillos revela cómo están diseñados. En un nivel fundamental, estos
castillos son firmes debido a la capacidad para recopilar datos del usuario que contribuyen los usuarios.
Estos datos incluyen a menudo los antecedentes de los usuarios, discusiones, preferencias, ubicaciones,
viajes, intereses, amigos y miembros de la familia, profesiones, pasatiempos y programas de trabajo y
personales. Los paladines cibernéticos crean un gran valor para las organizaciones interesadas en usar
estos datos para comprender y comunicarse mejor con sus clientes y empleados.

El crecimiento de los reinos cibernéticos

Los datos recopilados del mundo cibernético van más allá de los datos que los usuarios contribuyen
voluntariamente. El reino cibernético continúa creciendo a medida que la ciencia y la tecnología
evolucionan, lo que permite que los paladines cibernéticos recopilen otras formas de datos. Los paladines
cibernéticos ahora cuentan con la tecnología para hacer un seguimiento de las tendencias mundiales del
clima, monitorear los océanos y seguir el movimiento y el comportamiento de las personas, los animales y
los objetos en tiempo real.

Surgieron nuevas tecnologías, como los Sistemas de información geoespaciales (GIS) y el Internet de
todo (IdT). Estas nuevas tecnologías pueden seguir los tipos de árboles de un vecindario y proporcionar
ubicaciones actualizadas de los vehículos, los dispositivos, las personas y los materiales. Este tipo de
información puede ahorrar energía, mejorar la eficiencia y reducir los riesgos de seguridad. Cada una de
estas tecnologías también expandirá de manera exponencial la cantidad de datos recopilados, analizados
y utilizados para comprender el mundo. Los datos recopilados por GIS y el IdT constituyen un gran
desafío para los profesionales de la ciberseguridad en el futuro. El tipo de datos generado por estos
dispositivos tiene el potencial para permitir a los delincuentes cibernéticos obtener acceso a los aspectos
muy íntimos de la vida cotidiana.

¿Quiénes son los delincuentes cibernéticos?

En los primeros años del mundo de la ciberseguridad, los delincuentes cibernéticos típicos eran
adolescentes o aficionados que operaban desde una PC doméstica, y sus ataques se limitaban a bromas
y vandalismo. Actualmente, el mundo de los delincuentes cibernéticos se ha vuelto más peligroso. Los
atacantes son personas o grupos que intentan atacar las vulnerabilidades para obtener una ganancia
personal o financiera. Los delincuentes cibernéticos están interesados en todo, desde las tarjetas de
crédito hasta los diseños de producto y todo lo que tenga valor.

Aficionados: los aficionados, o script kiddies, tienen pocas habilidades o ninguna, y generalmente usan
herramientas existentes o instrucciones que se encuentran en Internet para realizar ataques. Algunos solo
son curiosos, mientras que otros intentan demostrar sus habilidades y causar daños. Pueden utilizar
herramientas básicas, pero los resultados aún pueden ser devastadores.

Hackers: este grupo de delincuentes penetran en las computadoras o redes para obtener acceso por
varios motivos. La intención por la que interrumpen determina la clasificación de estos atacantes como
delincuentes de sombrero blanco, gris o negro. Los atacantes de sombrero blanco penetran en las redes
o los sistemas informáticos para descubrir las debilidades a fin de mejorar la seguridad de estos sistemas.
Los propietarios del sistema les otorgan permiso para realizar la interrupción y reciben los resultados de la
prueba. Por otro lado, los atacantes de sombrero negro aprovechan las vulnerabilidades para obtener una
ganancia ilegal personal, financiera o política. Los atacantes de sombrero gris están en algún lugar entre
los atacantes de sombrero blanco y negro. Los atacantes de sombrero gris pueden encontrar una
vulnerabilidad y señalarla a los propietarios del sistema si esa acción coincide con sus propósitos.
Algunos hackers de sombrero gris publican los hechos sobre la vulnerabilidad en Internet para que otros
atacantes puedan sacarles provecho.

La figura ofrece detalles sobre los términos hacker de sombrero blanco, negro y gris.

Hackers organizados: estos hackers incluyen organizaciones de delincuentes informáticos, hacktivistas,

terroristas y hackers patrocinados por el estado. Los delincuentes cibernéticos generalmente son grupos
de delincuentes profesionales centrados en el control, la energía y la riqueza. Los delincuentes son muy
sofisticados y organizados, e incluso pueden proporcionar el delito cibernético como un servicio. Los
hacktivistas hacen declaraciones políticas para concientizar sobre los problemas que son importantes
para ellos. Los hacktivistas publican de manera pública información embarazosa sobre sus víctimas. Los
atacantes patrocinados por el estado reúnen inteligencia o sabotean en nombre de su gobierno. Estos
atacantes suelen estar altamente capacitados y bien financiados. Sus ataques se centran en objetivos
específicos que resultan beneficiosos para su gobierno. Algunos atacantes patrocinados por el estado son
incluso miembros de las fuerzas armadas de sus países.

Haga clic aquí para ver representaciones gráficas de los perfiles de los hackers.

Motivos de los delincuentes cibernéticos

Los perfiles de los delincuentes cibernéticos y los motivos han cambiado a lo largo de los años. El hacking
comenzó en los años 60 con el «phone freaking» (o el «phreaking»), una actividad que hace referencia al
uso de diversas frecuencias de audio para manipular los sistemas telefónicos. A mediados de los años 80,
los delincuentes utilizaban módems de internet por acceso telefónico de la computadora para conectar las
computadoras a las redes y utilizaban programas de descifrado de contraseñas para obtener acceso a los
datos. Hoy en día, los delincuentes van más allá del robo de información. Los delincuentes ahora pueden
usar el malware y los virus como instrumentos de alta tecnología. Sin embargo, la motivación más grande
para la mayoría de los delincuentes cibernéticos es financiera. Los delitos cibernéticos se han vuelto más
lucrativos que las transacciones de las drogas ilegales.

Los perfiles generales del hacker y los motivos han cambiado un poco. La figura muestra los términos de
hacking modernos y una breve descripción de cada una.

¿Por qué convertirse en un especialista en ciberseguridad?

La demanda de especialistas en ciberseguridad ha crecido más que la demanda de otros trabajos de TI.
Toda la tecnología que transforma el reino y mejora la forma de vida de las personas también puede
hacerlos más vulnerables a los ataques. La tecnología en sí misma no puede prevenir, detectar,
responder ni recuperarse de los incidentes de ciberseguridad. Considere lo siguiente:

 El nivel de habilidad que requiere un especialista eficiente en ciberseguridad y la escasez de

profesionales calificados en ciberseguridad se traduce en la posibilidad de mayores ingresos.

 La tecnología de la información cambia constantemente. Esto también es cierto para la

ciberseguridad. La naturaleza muy dinámica del campo de la ciberseguridad puede ser difícil y
fascinante.

 La carrera de un especialista en ciberseguridad también es muy transferible. Los trabajos en casi

todas las ubicaciones geográficas.

 Los especialistas en ciberseguridad proporcionan un servicio necesario a sus organizaciones,

países y empresas, casi como las autoridades encargada del orden público o los equipos de
respuesta ante una emergencia.

Convertirse en un especialista en ciberseguridad es una oportunidad profesional gratificante.

Cómo frustrar a los delincuentes cibernéticos

Frustrar a los delincuentes cibernéticos es una tarea difícil y no existe algo como una «fórmula mágica».
Sin embargo, las empresas, el gobierno y las organizaciones internacionales han comenzado a tomar
medidas coordinadas para limitar o mantener a raya a los delincuentes cibernéticos. Las acciones
coordinadas incluyen las siguientes:

 La creación de bases de datos completas de firmas conocidas de vulnerabilidades y ataques del

sistema (una disposición única de la información que se utiliza para identificar el intento de un
atacante de explotar una vulnerabilidad conocida). Las organizaciones comparten estas bases de
datos en todo el mundo para ayudar a prepararse y mantener alejados muchos ataques comunes.
  Establecimiento de sensores de advertencia temprana y redes de alerta. Debido al costo y la
imposibilidad de supervisar cada red, las organizaciones supervisan los objetivos de gran valor o
crean impostores que se parecen a los objetivos de gran valor. Debido a que estos objetivos de
gran valor tienen más probabilidades de experimentar los ataques, advierten a otros de los ataques
potenciales.

 Intercambio de información de inteligencia cibernética. Las empresas, los organismos

gubernamentales y los países ahora colaboran para compartir información esencial sobre los
ataques graves a los objetivos fundamentales para evitar ataques similares en otros lugares.
Muchos países han establecido agencias de inteligencia cibernética para colaborar en todo el
mundo en la lucha contra los ciberataques importantes.

 Establecimiento de estándares de administración de seguridad de la información entre

organizaciones nacionales e internacionales. ISO 27000 es un buen ejemplo de estos esfuerzos
internacionales.

 Promulgación de nuevas leyes para desalentar los ataques cibernéticos y las violaciones de
datos. Estas leyes tienen multas severas para penalizar a los delincuentes cibernéticos que realicen
acciones ilegales.

La figura muestra las medidas para frustrar a los delincuentes cibernéticos y una breve descripción de
cada una.

Amenazas a las personas del reino

Los paladines cibernéticos son innovadores y visionarios que crean el reino cibernético. Tienen la
inteligencia y el conocimiento para reconocer el poder de los datos y aprovechan ese poder para crear
grandes organizaciones, proporcionar servicios y proteger a las personas de los ciberataques Los
paladines cibernéticos reconocen la amenaza que presentan los datos si se utilizan contra las personas.

Las amenazas y vulnerabilidades son la principal inquietud de los paladines cibernéticos. Una amenaza a
la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque. La vulnerabilidad es
una debilidad que hace que un objetivo sea susceptible a un ataque. Por ejemplo, los datos en manos
incorrectas pueden provocar la pérdida de privacidad para los propietarios, pueden afectar su crédito o
comprometer sus relaciones profesionales o personales. El robo de identidad es un gran negocio. Sin
embargo, Google y Facebook no son necesariamente los que presentan el riesgo más grande. Las
escuelas, los hospitales, las instituciones financieras, los organismos gubernamentales, el lugar de trabajo
y el comercio electrónico plantean mayores riesgos. Las organizaciones como Google y Facebook
cuentan con los recursos para contratar grandes talentos en ciberseguridad para proteger sus castillos. A
medida que las organizaciones desarrollan los castillos de datos, aumenta la necesidad de profesionales
de la ciberseguridad. Esto deja a las empresas y organizaciones más pequeñas en la competencia por el
grupo restante de profesionales de la ciberseguridad. Las amenazas cibernéticas son particularmente
peligrosas para algunos sectores y los registros que deben mantener.

Tipos de registros personales

Los siguientes ejemplos son solo algunas fuentes de datos que pueden provenir de organizaciones
establecidas.

Historias clínicas

Ir al consultorio médico da como resultado la adición de más información a una historia clínica electrónica
(EHR). La prescripción de su médico de cabecera se vuelve parte de la EHR. Una EHR incluye el estado
físico y mental, y otra información personal que puede no estar relacionada médicamente. Por ejemplo,
una persona va a terapia cuando era niño debido a cambios importantes en la familia. Esto aparecerá en
alguna parte de su historia clínica. Además de la historia clínica y la información personal, la EHR también
puede incluir información sobre la familia de esa persona. Varias leyes abordan la protección de los
registros de pacientes.

Los dispositivos médicos, como las bandas de estado físico, utilizan la plataforma de la nube para permitir
la transferencia, el almacenamiento y la visualización inalámbricos de los datos clínicos, como el ritmo
cardíaco, la presión arterial y el azúcar en sangre. Estos dispositivos pueden generar una enorme
cantidad de datos clínicos que pueden volverse parte de sus historias clínicas.

Registros educativos

Los registros educativos incluyen información sobre calificaciones, puntajes de evaluaciones, asistencia,
cursos realizados, premios, grados otorgados e informes disciplinarios. Este registro también puede incluir
información de contacto, salud y registros de la inmunización, y registros de educación especial, incluidos
los programas educativos individualizados (IEP).

Registros de empleo y financieros

La información de empleo puede incluir empleos y rendimientos pasados. Los registros de empleo
también pueden incluir información sobre sueldos y seguros. Los registros financieros pueden incluir
información sobre ingresos y gastos. Los registros de impuestos pueden incluir talones de cheques de
pago, resúmenes de la tarjeta de crédito, calificación de crédito e información bancaria.

Amenazas a los servicios del reino

Los servicios del reino son los mismos servicios que necesita una red y, en última instancia, Internet para
operar. Estos servicios incluyen routing, asignación de direcciones, designación de nombres y
administración de bases de datos. Estos servicios también sirven como objetivos principales para los
delincuentes cibernéticos.

Los delincuentes utilizan herramientas de análisis de paquetes para capturar flujos de datos en una red.
Esto significa que todos los datos confidenciales, como nombres de usuario, contraseñas y números de
tarjetas de crédito, están en riesgo. Los analizadores de protocolos de paquetes supervisan y registran
toda la información que proviene de una red. Los delincuentes pueden utilizar además dispositivos falsos,
como puntos de acceso a Wi-Fi no seguros. Si el delincuente configuran estos dispositivos cerca de un
lugar público, como una cafetería, las personas desprevenidas pueden conectarse y el analizador de
protocolos copiará su información personal.

El Servicio de nombres de dominio (DNS) traduce un nombre de dominio, por

ejemplo www.facebook.com en su dirección IP numérica. Si un servidor DNS no conoce la dirección IP,
consultará a otro servidor DNS. Con una suplantación de identidad DNS (o envenenamiento de caché
DNS), el delincuente introduce datos falsos en la caché de resolución de DNS. Estos ataques de
envenenamiento atacan una debilidad en el software DNS que hace que los servidores DNS redirijan el
tráfico de un dominio específico a la computadora del delincuente, en lugar de redirigirlo al propietario
legítimo del dominio.

Los paquetes transportan datos a través de una red o de Internet. La falsificación del paquete (o la
inyección de paquetes) interfiere con una comunicación de red establecida mediante la creación de
paquetes para que parezca como si fueran parte de una comunicación. La falsificación de paquetes
permite a un delincuente alterar o interceptar los paquetes. Este proceso permite a los delincuentes
secuestrar una conexión autorizada o denegar la capacidad de una persona para usar determinados
servicios de red. Los profesionales cibernéticos denominan esta actividad un ataque man-in-the-middle.

Los ejemplos dado solo son ejemplos generales de los tipos de amenazas que los delincuentes pueden
lanzar contra los servicios del reino.

Amenazas a los sectores del reino

Los sectores del reino incluyen los sistemas de infraestructura como la fabricación, la energía, la
comunicación y el transporte. Por ejemplo, la matriz inteligente es una mejora del sistema de distribución
y generación eléctrica. La matriz eléctrica lleva la energía de los generadores centrales a un gran número
de clientes. Una matriz inteligente utiliza la información para crear una red avanzada y automatizada de
distribución de energía. Los líderes globales reconocen que la protección de la infraestructura es
fundamental para proteger su economía.

Durante la última década, los ciberataques como Stuxnet demostraron que un ataque cibernético puede
destruir o interrumpir con éxito las infraestructuras críticas. Específicamente, el ataque de Stuxnet apuntó
al sistema de control de supervisión y adquisición de datos (SCADA) utilizados para controlar y supervisar
los procesos industriales. El SCADA puede ser parte de diversos procesos industriales de los sistemas de
fabricación, producción, energía y comunicación. Haga clic aquí para ver más información sobre el ataque
de Stuxnet.

Un ataque cibernético podría anular o interrumpir los sectores industriales como los sistemas de
telecomunicaciones, de transporte o de generación y distribución de energía eléctrica. También puede
interrumpir el sector de servicios financieros. Uno de los problemas con los entornos que incorporan un
SCADA es que los diseñadores no se conectaron el SCADA al entorno de TI tradicional e Internet. Por lo
tanto, no tuvieron en cuenta la ciberseguridad de manera adecuada durante la fase de desarrollo de estos
sistemas. Como otros sectores, las organizaciones que utilizan los sistemas SCADA reconocen el valor
de la recopilación de datos para mejorar las operaciones y disminuir los costos. La tendencia resultante es
conectar los sistemas SCADA a los sistemas de TI tradicionales. Sin embargo, esto aumenta la
vulnerabilidad de los sectores que utilizan los sistemas SCADA.

El potencial avanzado de amenazas que existe en los reinos en la actualidad exige una generación
especial de especialistas en ciberseguridad.

Amenazas a la forma de vida del reino

La ciberseguridad es el esfuerzo constante por proteger los sistemas de red y los datos del acceso no
autorizado. A nivel personal, todas las personas necesitan proteger su identidad, sus datos y sus
dispositivos informáticos. A nivel corporativo, es responsabilidad de los empleados proteger la reputación,
los datos y los clientes de la organización. A nivel estatal, la seguridad nacional y la seguridad y el
bienestar de los ciudadanos están en juego. Los profesionales de ciberseguridad a menudo están
involucrados en el trabajo con los organismos gubernamentales en la identificación y recopilación de
datos.

En EE. UU., la Agencia de Seguridad Nacional (NSA) es responsable de las actividades de recopilación y

vigilancia de inteligencia. La NSA creó un nuevo centro de datos para procesar el volumen de información
cada vez mayor. En 2015, el Congreso de EE. UU. aprobó la Ley de Libertad de EE. UU. que ponía fin a
la práctica de recopilar de forma masiva los registros telefónicos de los ciudadanos de EE. UU. El
programa proporcionó los metadatos y otorgó a la NSA información sobre las comunicaciones enviadas y
recibidas.

Los esfuerzos por proteger la forma de vida de las personas a menudo entran en conflicto con su derecho
a la privacidad. Será interesante ver qué sucede con el equilibrio entre estos derechos y la seguridad del
reino.

Amenazas internas y externas

Amenazas de seguridad internas

Los ataques pueden originarse dentro de una organización o fuera de ella, como se muestra en la figura.
Un usuario interno, como un empleado o un partner contratado, puede de manera accidental o
intencional:

 Manipular de manera incorrecta los datos confidenciales

 Amenazar las operaciones de los servidores internos o de los dispositivos de la infraestructura

de red

 Facilitar los ataques externos al conectar medios USB infectados al sistema informático
corporativo

 Invitar accidentalmente al malware a la red con correos electrónicos o páginas web maliciosos

Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas porque
los usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura. Los atacantes
internos normalmente tienen conocimiento de la red corporativa, sus recursos y sus datos confidenciales.
También pueden tener conocimiento de las contramedidas de seguridad, las políticas y los niveles más
altos de privilegios administrativos.

Amenazas de seguridad externas

Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las
vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como trucos,
para obtener acceso. Los ataques externos aprovechan las debilidades o vulnerabilidades para obtener
acceso a los recursos internos.

Datos tradicionales

Los datos corporativos incluyen información del personal, de propiedad intelectual y datos financieros. La
información del personal incluye el material de las postulaciones, la nómina, la carta de oferta, los
acuerdos del empleado, y cualquier información utilizada para tomar decisiones de empleo. La propiedad
intelectual, como patentes, marcas registradas y planes de nuevos productos, permite a una empresa
obtener una ventaja económica sobre sus competidores. Considere esta propiedad intelectual como un
secreto comercial; perder esta información puede ser desastroso para el futuro de la empresa. Los datos
financieros, como las declaraciones de ingresos, los balances y las declaraciones de flujo de caja brindan
información sobre el estado de la empresa.

Las vulnerabilidades de los dispositivos móviles

En el pasado, los empleados generalmente utilizaban computadoras de la empresa conectadas a una

LAN corporativa. Los administradores supervisan y actualizan continuamente estas computadoras para
cumplir con los requisitos de seguridad. En la actualidad, los dispositivos móviles como iPhones,
smartphones, tablets y miles de otros dispositivos son sustitutos poderosos o agregados de las
computadoras tradicionales. La gente usa cada vez más estos dispositivos para tener acceso a la
información de la empresa. Bring Your Own Device (BYOD) es una tendencia en crecimiento. La
incapacidad para administrar y actualizar de manera central los dispositivos móviles presenta una
amenaza en crecimiento para las organizaciones que permiten el uso de dispositivos móviles de los
empleados en sus redes.

El surgimiento del internet de las cosas

El Internet de las cosas (IdC ) es el conjunto de tecnologías que permiten la conexión de varios
dispositivos a Internet. La evolución tecnológica asociada con la llegada del IdC está cambiando los
entornos comerciales y de consumidores. Las tecnologías del IdC permiten que las personas conecten
miles de millones de dispositivos a Internet. Estos dispositivos incluyen trabas, motores y dispositivos de
entretenimiento, solo por mencionar algunos ejemplos. Esta tecnología afecta la cantidad de datos que
necesitan protección. Los usuarios acceden a estos dispositivos en forma remota, lo cual aumenta la
cantidad de redes que requieren protección.

Con el surgimiento del IdC, hay muchos más datos que deben administrarse y protegerse. Todas estas
conexiones, además de la capacidad y los servicios de almacenamiento expandidos que se ofrecen a
través de la nube y la virtualización, han generado el crecimiento exponencial de los datos. Esta
expansión de datos ha creado una nueva área de interés en la tecnología y los negocios denominada
“datos masivos”.

El impacto de los datos masivos

Los datos masivos son el resultado de los conjuntos de datos que son grandes y complejos, lo que hace
que las aplicaciones tradicionales de procesamiento de datos sean inadecuadas. Los datos masivos
presentan desafíos y oportunidades según tres dimensiones:

 El volumen o la cantidad de datos

 La velocidad de los datos

  La variedad o el rango de los tipos y fuentes de datos

Existen muchos ejemplos de amenazas de gran envergadura en las noticias. Las empresas como Target,
Home Depot y PayPal son objetos de ataques muy promocionados. Como resultado, los sistemas
empresariales deben realizar cambios drásticos en los diseños de producto de seguridad y las
actualizaciones importantes a las tecnologías y las prácticas. Además, los gobiernos y las industrias están
introduciendo más regulaciones y obligaciones que requieren una mejor protección de los datos y
controles de seguridad para ayudar a proteger los datos masivos.

Uso de instrumentos avanzados

Las vulnerabilidades de software actualmente tienen como base los errores de programación, las
vulnerabilidades de protocolo o las configuraciones erróneas del sistema. El delincuente cibernético tan
solo tiene que aprovechar una de estas. Por ejemplo, un ataque común fue la construcción de una
entrada a un programa para sabotear el programa, haciendo que funcione mal. Este mal funcionamiento
proporcionó una entrada al programa o provocó que filtre información.

Actualmente, se percibe una creciente sofisticación en los ciberataques. Una amenaza persistente
avanzada (APT) es una amenaza continua a las computadoras que se realizan en el radar contra un
objeto específico. Los delincuentes eligen generalmente una APT por motivos políticos o empresariales.
Una APT se produce durante un período prolongado con un alto nivel de confidencialidad utilizando
malware sofisticado.

Los ataques a los algoritmos pueden rastrear los datos de informe propio de un sistema, como la cantidad
de energía que utiliza una computadora, y usar esa información para seleccionar los objetivos o para
activar alertas falsas. Los ataques algorítmicos también pueden desactivar una computadora forzándola a
usar memoria o a trabajar demasiado su unidad de procesamiento central. Los ataques a los algoritmos
son más taimados porque atacan a los diseños utilizados para mejorar el ahorro de energía, disminuir las
fallas del sistema y mejorar las eficiencias.

Por último, la nueva generación de ataques involucra la selección inteligente de víctimas. En el pasado,
los ataques seleccionaban las opciones más fáciles o las víctimas más vulnerables. Sin embargo, con
más atención a la detección y el aislamiento de los ciberataques, los delincuentes cibernéticos deben ser
más cuidadosos. No pueden arriesgar la detección temprana o los especialistas en ciberseguridad
cerrarán las puertas del castillo. Como resultado, muchos de los ataques más sofisticados solo se
lanzarán si el atacante puede igualar la firma objeto del objetivo.

Un alcance más amplio y el efecto cascada

La administración de identidades federada se refiere a varias empresas que permiten a los usuarios
utilizar las mismas credenciales de identificación que obtienen acceso a las redes de todas las empresas
del grupo. Esto amplía el alcance y aumenta las posibilidades de un efecto en cascada si se produce un
ataque.

Una identidad federada conecta la identidad electrónica de un sujeto mediante sistemas de administración
de identidades separados. Por ejemplo, un sujeto puede iniciar sesión en Yahoo! con credenciales de
Google o de Facebook. Este es un ejemplo de inicio de sesión social.

El objetivo de la administración de identidades federada es compartir la información de identidad

automáticamente a través de los límites del castillo. Desde la perspectiva del usuario particular, esto
significa un único inicio de sesión a la red.

Es imprescindible que las organizaciones escudriñen la información de identificación compartida con los
partners. Los números de seguridad social, los nombres y las direcciones pueden permitir a los ladrones
de identidad la oportunidad de robar esta información del partner para perpetrar un fraude. La manera
más común de proteger la identidad federada es vincular la capacidad de inicio de sesión a un dispositivo
autorizado.

Implicaciones de seguridad
Los centros de llamadas de emergencia en EE. UU. son vulnerables a los ciberataques que podrían
apagar las redes de 911 y comprometer así la seguridad pública. Un ataque de denegación de servicios
telefónicos (TDoS) utiliza las llamadas telefónicas a una red telefónica objetivo, lo que condiciona el
sistema y evita que las llamadas legítimas pasen. Los centros de llamadas 911 de próxima generación
son vulnerables porque utilizan los sistemas de voz sobre IP (VoIP) en lugar de líneas fijas tradicionales.
Además de los ataques de TDoS, estos centros de llamadas también pueden estar a merced de ataques
de denegación de servicio distribuido (DDoS) que utilizan muchos sistemas para saturar los recursos del
objetivo, lo que hace que este no esté disponible para los usuarios legítimos. En la actualidad, existen
muchas maneras de solicitar la ayuda del 911, desde el uso de una aplicación en un smartphone hasta un
sistema de seguridad en el hogar.

Reconocimiento mejorado de las amenazas a la ciberseguridad

Las defensas contra los ciberataques al inicio de la era cibernética eran bajas. Un estudiante inteligente
de escuela secundaria o script kiddie podría tener acceso a los sistemas. Los países de todo el mundo
son más conscientes de las amenazas de los ciberataques. La amenaza que presentaron los
ciberataques ahora encabezan la lista de las mayores amenazas a la seguridad nacional y económica en
la mayoría de los países.

Cómo abordar la escasez de especialistas en ciberseguridad

En EE. UU., el Instituto Nacional de Normas y Tecnologías (NIST) creó un marco de trabajo para las
empresas y las organizaciones que necesitan profesionales en el área de la ciberseguridad. El marco de
trabajo les permite a las empresas identificar los tipos principales de responsabilidades, los cargos y
destrezas de la fuerza laboral necesarias. El marco de trabajo nacional de la fuerza laboral de
ciberseguridad clasifica y describe el trabajo de ciberseguridad. Proporciona un lenguaje común que
define el trabajo de ciberseguridad junto con un conjunto común de tareas y habilidades requeridas para
convertirse en un especialista en ciberseguridad. El marco de trabajo ayuda a definir los requisitos
profesionales en ciberseguridad.

Siete categorías de paladines en el área de la ciberseguridad

El marco de la fuerza laboral categoriza el trabajo en ciberseguridad en siete categorías.

Operar y mantener incluye proporcionar soporte técnico, administración, y el mantenimiento necesario

para garantizar el rendimiento y la seguridad de los sistemas de TI.

Proteger y defender incluye la identificación, el análisis y la mitigación de amenazas a los sistemas

internos y redes internas.

Investigar incluye la investigación de los eventos cibernéticos o los delitos informáticos que involucran a
los recursos de TI.

Recopilar y operar incluye operaciones especializadas de ataque y engaño, y la recopilación de

información sobre ciberseguridad.

Analizar incluye la revisión y evaluación altamente especializada de la información entrante de

ciberseguridad para determinar si es útil para la inteligencia.

Supervisión y desarrollo establece el liderazgo, la administración y la dirección para realizar el trabajo

de ciberseguridad de manera eficaz.

Disponer de manera segura incluye conceptualización, diseño y creación de sistemas de TI seguros.

Dentro de cada categoría, existen varias áreas de especialidad. Las áreas de especialidad luego definen
los tipos comunes de trabajo de ciberseguridad.

La figura muestra cada una de las categorías y una breve descripción de cada uno.
Organizaciones profesionales

Los especialistas en ciberseguridad deben colaborar a menudo con colegas profesionales. Las
organizaciones internacionales de tecnología a menudo patrocinan talleres y conferencias. Estas
organizaciones generalmente mantienen inspirados y motivados a los profesionales de la ciberseguridad.

Haga clic en los logos de la figura para aprender más sobre algunas organizaciones de seguridad
importantes.

Competencias y organizaciones estudiantiles de ciberseguridad

Los especialistas en ciberseguridad deben tener las mismas destrezas que los hackers, especialmente
que los hackers de sombrero negro, para ofrecer protección contra los ataques. ¿Cómo puede una
persona crear y practicar las aptitudes necesarias convertirse en un especialista en ciberseguridad? Las
competencias de habilidades del estudiante son una excelente manera de desarrollar habilidades y
capacidades de conocimiento en ciberseguridad. Existen muchas competencias nacionales de
habilidades en ciberseguridad disponibles para los estudiantes de ciberseguridad.

Haga clic en los logos de la figura para obtener más información sobre las competencias, las
organizaciones y los clubes de ciberseguridad de los estudiantes.

Certificaciones del sector

En un mundo de amenazas a la ciberseguridad, existe una gran necesidad de contar con profesionales
expertos y calificados en seguridad de la información. La industria de TI estableció estándares para que
los especialistas en ciberseguridad obtengan certificaciones profesionales que proporcionan pruebas de
las habilidades y el nivel de conocimiento.

CompTIA Security+

Security+ es un programa de pruebas patrocinado por CompTIA que certifica la competencia de los
administradores de TI en la seguridad de la información. La prueba de Security+ abarca los principios más
importantes para proteger una red y administrar el riesgo, incluidas las inquietudes relacionadas con la
computación en la nube.

Hacker ético certificado por el Consejo Internacional de Consulta de Comercio Electrónico (CEH)

Esta certificación de nivel intermedio afirma que los especialistas en ciberseguridad que cuentan con esta
credencial poseen las habilidades y el conocimiento para varias prácticas de hacking. Estos especialistas
en ciberseguridad utilizan las mismas habilidades y técnicas que utilizan los delincuentes cibernéticos
para identificar las vulnerabilidades y puntos de acceso del sistema en los sistemas.

SANS GIAC Security Essentials (GSEC)

La certificación GSEC es una buena opción como credencial de nivel básico para especialistas en
ciberseguridad que pueden demostrar que comprenden la terminología y los conceptos de seguridad, y
tienen las habilidades y la experiencia necesarias para puestos “prácticos” en seguridad. El programa
SANS GIAC ofrece varias certificaciones adicionales en los campos de administración de la seguridad,
informática forense y auditoría.

(ISC)^2 Profesional certificado en seguridad de los sistemas informáticos (CISSP)

La certificación de CISSP es una certificación neutral para proveedores para los especialistas en
ciberseguridad con mucha experiencia técnica y administrativa. También está aprobada formalmente por
el Departamento de Defensa (DoD) de EE. UU. y es una certificación con reconocimiento global del sector
en el campo de la seguridad.

Certificación para administradores de seguridad informática (CISM) de ISACA

Los héroes cibernéticos responsables de administrar, desarrollar y supervisar los sistemas de seguridad
de la información a nivel empresarial o para aquellos que desarrollan las mejores prácticas de seguridad
puedan obtener la certificación CISM. Los titulares de estas credenciales poseen aptitudes avanzadas en
la administración de riesgos de seguridad.

Certificaciones patrocinadas por la empresa

Otras credenciales importantes para los especialistas en ciberseguridad son las certificaciones
patrocinadas por la empresa. Estas certificaciones miden el conocimiento y la competencia en la
instalación, la configuración y el mantenimiento de los productos de los proveedores. Cisco y Microsoft
son ejemplos de empresas con certificaciones que prueban el conocimiento de sus productos. Haga
clic aquí para explorar la matriz de las certificaciones de Cisco que se muestran en la figura.

Asociado en redes con certificación de Cisco (Seguridad de CCNA)

La certificación de Seguridad de CCNA ratifica que un especialista en ciberseguridad cuenta con el

conocimiento y las habilidades necesarias para proteger las redes de Cisco.

Haga clic aquí para obtener más información sobre la certificación de Seguridad de CCNA.

Cómo convertirse en un héroe cibernético

Para convertirse en un especialista exitoso en ciberseguridad, el candidato potencial debe tener en cuenta
algunos de los requisitos exclusivos. Los héroes deben ser capaces de responder a las amenazas tan
pronto como ocurran. Esto significa que las horas de trabajo pueden ser poco convencionales.

Los héroes cibernéticos también analizan las políticas, las tendencias y la inteligencia para comprender
cómo piensan los delincuentes cibernéticos. Muchas veces, esto pueden incluir una gran cantidad de
trabajo de detección.

Las siguientes recomendaciones ayudarán a los aspirantes a especialistas en ciberseguridad a alcanzar

sus objetivos:

 Estudie: conozca los aspectos básicos al completar los cursos en TI. Sea un estudiante durante
toda su vida. La ciberseguridad es un campo en constante cambio y los especialistas en
ciberseguridad deben mantenerse actualizados.

 Obtenga certificaciones: las certificaciones patrocinadas por la empresa y el sector, de

organizaciones como Microsoft y Cisco demuestran que uno posee los conocimientos necesarios
para buscar empleo como especialista en ciberseguridad.

 Busque pasantías: la búsqueda de una pasantía en seguridad como estudiante puede

traducirse en oportunidades en el futuro.

 Únase a organizaciones profesionales: únase a las organizaciones de seguridad informática,

asista a reuniones y conferencias y participe en foros y blogs para obtener conocimiento de los
expertos.

Capítulo 1: la ciberseguridad, un mundo de paladines, héroes y

delincuentes

En este capítulo se explicó la estructura del mundo en ciberseguridad y el motivo por el que sigue
creciendo con los datos y la información como la divisa más preciada.

Aquí también se analizó el rol de los delincuentes cibernéticos al examinar aquello que los motiva. Se
presentó la propagación del lado oscuro debido a las transformaciones técnicas en constante expansión
que transcurren en todo el mundo.
Finalmente, en el capítulo se explicó cómo convertirse en un especialista en ciberseguridad para ayudar a
vencer a los delincuentes cibernéticos que fortalecen el lado oscuro. También se analizaron los recursos
disponibles para ayudar a crear más héroes. Los héroes cibernéticos deben contar con las mismas
destrezas que los delincuentes cibernéticos.

Si desea continuar explorando los conceptos de este capítulo, consulte la página Recursos y actividades
adicionales en Recursos para el estudiante.

Capítulo 2: El cubo de destrezas de ciberseguridad

El término "hecicero" es una etiqueta que describe a los profesionales en ciberseguridad que protegen el
mundo cibernético. Como los hechiceros del mundo místico, los hechiceros cibernéticos están interesados
en promover el bien y proteger a otros. John McCumber es uno de los primeros hechiceros en
ciberseguridad. Desarrolló un marco de trabajo denominado Cubo de McCumber que los hechiceros de
ciberseguridad utilizan para proteger el mundo cibernético. El cubo de McCumber se parece al Cubo de
Rubik.

La primera dimensión del cubo de destrezas de ciberseguridad incluye los tres principios de seguridad
informática. Los profesionales en ciberseguridad hacen referencia a las tres principios como la Tríada de
CID. La segunda dimensión identifica los tres estados de información o de datos. La tercera dimensión del
cubo identifica los poderes de los hechiceros que proporcionan protección. Estos poderes son las tres
categorías de mecanismos de las medidas de ciberseguridad.

En el capítulo también se analiza el modelo de ciberseguridad de ISO. El modelo representa un marco de

trabajo internacional para estandarizar la administración de los sistemas de información.

Los principios de seguridad

La primera dimensión del cubo de destrezas de ciberseguridad identifica los objetivos para proteger al
mundo cibernético. Los objetivos identificados en la primera dimensión son los principios básicos del
mundo de la ciberseguridad. Estos tres principios son la
 cialidad, integridad y disponibilidad. Los principios proporcionan el enfoque y permiten al hechicero
cibernético priorizar las acciones en la protección del mundo cibernético.

La confidencialidad previene la divulgación de información a las personas los recursos o los procesos no
autorizados. La integridad hace referencia a la precisión, la uniformidad y la confiabilidad de datos. Por
último, la disponibilidad garantiza que los usuarios pueden tener acceso a la información cuando sea
necesario. Utilice el acrónimo CID para recordar estos tres principios.
Estados de los datos

El mundo cibernético es un mundo de datos; por lo tanto, los hechiceros cibernéticos se centran en la
protección de los datos. La segunda dimensión del cubo de destrezas de ciberseguridad se concentra en
los problemas de proteger todos los estados de los datos en el mundo cibernético. Los datos tienen tres
estados posibles:

 Datos en tránsito

 Datos almacenados

 Datos en proceso

La protección del mundo cibernético requiere que los profesionales en ciberseguridad expliquen la
protección de los datos en los tres estados.

Medidas de ciberseguridad

La tercera dimensión del cubo de destrezas de ciberseguridad define los tipos de poderes a los que un
hechicero en ciberseguridad recurre para proteger al mundo cibernético. Los profesionales en
ciberseguridad deben utilizar todos los poderes disponibles a su disposición para proteger los datos del
mundo cibernético.

El cubo de destrezas de ciberseguridad identifica los tres tipos de poderes e intrumentos utilizados para
proporcionar protección. El primer tipo de poder incluye tecnologías, dispositivos y productos disponibles
para proteger los sistemas de información y mantener alejados a los delincuentes cibernéticos. Los
profesionales en ciberseguridad tienen una reputación por dominar las herramientas tecnológicas a su
disposición. Sin embargo, McCumber recuerda que las herramientas tecnológicas no son suficientes para
derrotar a los delincuentes informáticos. Los profesionales en ciberseguridad también deben crear una
defensa sólida al establecer las políticas, los procedimientos y las pautas que permiten a los ciudadanos
del mundo cibernético mantenerse seguros y seguir las prácticas adecuadas. Por último, al igual que el
mundo de los hechiceros, los ciudadanos del mundo cibernético deben esforzarse por obtener más
conocimientos sobre su mundo y los peligros que amenazan su mundo. Deben buscar continuamente un
mayor conocimiento y establecer una cultura de aprendizaje y conciencia.

El principio de confidencialidad

La confidencialidad previene la divulgación de información a las personas los recursos y los procesos no
autorizados. Otro término para la confidencialidad es el de privacidad. Las organizaciones restringen el
acceso para asegurar que solo los operadores autorizados pueden usar los datos u otros recursos de red.
Por ejemplo, un programador no debe tener acceso a la información personal de todos los empleados.

Las organizaciones necesitan capacitar a los empleados sobre las mejores prácticas en la protección de
la información confidencial para protegerse a sí mismos y a la organización de los ataques. Los métodos
utilizados para garantizar la confidencialidad incluyen el cifrado de datos, la autenticación y el control de
acceso.

Protección de la privacidad de los datos

Las organizaciones recopilan grandes cantidades de datos. La mayor parte de estos datos no es
confidencial porque está públicamente disponible, como nombres y números de teléfono. Otros datos
recopilados, sin embargo, son confidenciales. La información confidencial hace referencia a los datos
protegidos contra el acceso no autorizado para proteger a una persona u organización. Existen tres tipos
de información confidencial:

 La información personal en la información de identificación personal (PII) que lleva hacia una
persona. En la Figura 2 se enumera esta categoría de datos.
  La información comercial es la información que incluye todo lo que representa un riesgo para la
organización si el público o la competencia la descubre. En la Figura 3 se enumera esta categoría
de datos.

 La información clasificada es información que pertenece a una entidad gubernamental clasificada

por su nivel de confidencialidad. En la Figura 4 se enumera esta categoría de datos.

Control de acceso

El control de acceso define varios esquemas de protección que evita el acceso no autorizado a una
computadora, red, base de datos o a otros recursos de datos. El concepto de AAA involucra tres servicios
de seguridad: Autenticación, Autorización y Auditoría. Estos servicios proporcionan el marco de trabajo
principal para controlar el acceso.

La primera “A” de AAA representa la autenticación. Autenticación Verifica la identidad de un usuario para

evitar el acceso no autorizado. Los usuarios prueban su identidad con un nombre de usuario o una Id.
Además, los usuarios deben verificar su identidad mediante una de las siguientes maneras, como se
muestra en la figura 1:

 Algo que saben (por ejemplo, una contraseña)

 Algo que tienen (por ejemplo, un token o tarjeta)

 Algo que son (por ejemplo, una huella digital)

Por ejemplo, si va a un ATM a buscar efectivo, necesita su tarjeta de banco (algo que tiene) y necesita
conocer el PIN. Este también es un ejemplo de autenticación de varios factores. La autenticación de
varios factores requiere más de un tipo de autenticación. La forma de autenticación más popular es el uso
de HASHs.

Autorización Los servicios autorización determinan a qué recursos pueden acceder los usuarios, junto
con las operaciones que los usuarios pueden realizar, como se muestra en la Figura 2. Algunos sistemas
logran esto con una lista de control de acceso o ACL. Una ACL determina si un usuario tiene ciertos
privilegios de acceso una vez que el usuario autentica. Solo porque no puede iniciar sesión en la red de la
empresa no significa que tenga permitido utilizar la impresora a color de alta velocidad. La autorización
también puede controlar cuándo un usuario tiene acceso a un recurso específico. Por ejemplo, los
empleados pueden tener acceso a una base de datos de ventas durante el horario de trabajo, pero el
sistema los bloquea después del horario.

Contabilidad Rastrea las actividades de los usuarios, incluidos los sitios a los que tienen acceso, la
cantidad de tiempo que tienen acceso a los recursos y los cambios realizados. Por ejemplo, un banco
hace un seguimiento de cada cuenta del cliente. Una auditoría de ese sistema puede revelar el tiempo y
la cantidad de todas las transacciones y el empleado o el sistema que ejecutaron las transacciones. Los
servicios de auditoría de ciberseguridad trabajan de la misma manera. El sistema realiza un seguimiento
de cada transacción de datos y proporciona resultados de auditoría. Un administrador puede configurar
las políticas de la computadora, como se muestra en la Figura 3, para habilitar la auditoría del sistema.

El concepto de AAA es similar al uso de una tarjeta de crédito, como se indica en la Figura 4. La tarjeta de
crédito identifica quién la usa y cuánto puede gastar el usuario de ésta y explica cuántos elementos o
servicios adquirió el usuario.

La auditoría de la ciberseguridad rastrea y monitorea en tiempo real. Sitios web, como Norse, muestran
los ataques en tiempo real según los datos recopilados como parte de una auditoría o sistema de
seguimiento. Haga clic aquí para visitar el sitio web de seguimiento en tiempo real de Norse.

Leyes y responsabilidades

La confidencialidad y la privacidad parecen intercambiables, pero desde un punto de vista legal, tienen
distintos significados. La mayoría de los datos de privacidad son confidenciales, pero no todos los datos
confidenciales son privados. El acceso a la información confidencial ocurre después de confirmar la
autorización apropiada. Las instituciones financieras, los hospitales, los profesionales médicos, los
estudios jurídicos y las empresas administran la información confidencial. La información confidencial
tiene estado privado. Mantener la confidencialidad es más que un deber ético.

La privacidad es el uso adecuado de los datos. Cuando las organizaciones recopilan información
proporcionada por los clientes o empleados, solo pueden utilizar esos datos para su objetivo previsto. La
mayoría de las organizaciones requieren que un cliente o empleado firme un formulario de autorización
que otorga permiso a la organización para usar los datos.

Todas las leyes enumeradas en la figura incluyen una disposición para abordar la privacidad que
comienza con las leyes de EE. UU. en la Figura 1. La Figura 2 enumera una muestra de los esfuerzos
internacionales. La mayoría de estas leyes son una respuesta al crecimiento masivo de la recopilación de
datos.

El creciente número de estatutos relacionados con la privacidad crea una enorme carga en las
organizaciones que recopilan y analizan datos. Las políticas son la mejor forma de que una organización
cumpla con el número cada vez mayor de leyes relacionadas con la privacidad. Las políticas permiten a
las organizaciones aplicar reglas, procedimientos y procesos específicos al recopilar, almacenar y
compartir datos.

Principio de integridad de los datos

La integridad es la precisión, uniformidad y confiabilidad de los datos durante su ciclo de vida. Otro
término para la integridad es el de calidad. Los datos experimentan varias operaciones como captura,
almacenamiento, recuperación, actualización y transferencia. Las entidades no autorizadas deben
mantener inalteradas los datos durante todas estas operaciones.

Los métodos utilizados para garantizar la integridad de los datos incluyen la función de hash, las
comprobaciones de validación de datos, las comprobaciones de consistencia de los datos y los controles
de acceso. Los sistemas de integridad de datos pueden incluir uno o más de los métodos mencionados
anteriormente.

La necesidad de contar con la integridad de datos

La integridad de datos es un componente fundamental de la seguridad informática. La necesidad de

contar con la integridad de datos varían según cómo una organización utiliza los datos. Por ejemplo,
Facebook no verifica los datos que un usuario publica en un perfil. Un banco u organización financiera
asigna una mayor importancia a la integridad de los datos que Facebook. Las transacciones y las cuentas
de los clientes deben ser precisas. En una organización de servicios de salud, la integridad de datos
puede ser una cuestión de vida o muerte. La información sobre prescripciones debe ser precisa.

Proteger la integridad de los datos es un desafío constante para la mayoría de las organizaciones. La
pérdida de la integridad de los datos puede lograr que todos los recursos de datos sean dudosos o
inutilizables.

Verificaciones de la integridad

Una verificación de integridad es una manera de medir la uniformidad de una recopilación de datos (un
archivo, una imagen, un registro). La verificación de integridad realiza un proceso denominado función de
hash para tomar una instantánea de los datos en un instante de tiempo. La verificación de integridad
utiliza la instantánea para asegurar que los datos permanezcan sin cambios.

Un checksum es un ejemplo de una función de hash. Un checksum verifica la integridad de los archivos o
cadenas de caracteres, antes y después de que ellos transfieran de un dispositivo a otro a través de una
red local o Internet. Los checksums convierten simplemente cada pieza de información a un valor y
suman el total. Para comprobar la integridad de los datos, un sistema receptor simplemente repite el
proceso. Si las dos sumas son iguales, los datos son válidos (Figura 1). Si no son iguales, se produjo un
cambio en alguna parte de la línea (Figura 2).
Las funciones de hash comunes incluyen MD5, SHA-1, SHA-256 y SHA-512. Estas funciones de hash
usan algoritmos matemáticos complejos. El valor de hash está sencillamente allí para la comparación. Por
ejemplo, después de descargar un archivo, el usuario puede verificar la integridad del archivo al comparar
los valores de hash de la fuente con el que genera cualquier calculadora de hash.

Las organizaciones utilizan el control de versiones para evitar cambios accidentales realizados por
usuarios autorizados. Dos usuarios no pueden actualizar el mismo objeto. Los objetos pueden ser
archivos, registros de la base de datos o transacciones. Por ejemplo, el primer usuario en abrir un
documento tiene permiso para cambiar ese documento; la segunda persona tiene una versión de solo
lectura.

Las copias de respaldo precisas permiten mantener la integridad de datos si los datos se dañan. Una
empresa necesita verificar el proceso de copia de respaldo para garantizar la integridad de la copia de
seguridad antes de que se produzca la pérdida de datos.

La autorización determina quién tiene acceso a los recursos de una organización según la necesidad de
información. Por ejemplo, los permisos de archivos y los controles de acceso del usuario garantizan que
solo ciertos usuarios pueden modificar los datos. Un administrador puede configurar permisos de solo
lectura para un archivo. Como resultado, un usuario con acceso a ese archivo no puede realizar ningún
cambio.

El principio de disponibilidad

La disponibilidad de los datos es el principio que se utiliza para describir la necesidad de mantener la
disponibilidad de los sistemas y servicios de información en todo momento. Los ataques cibernéticos y las
fallas en el sistema pueden impedir el acceso a los sistemas y servicios de información. Por ejemplo,
alterar la disponibilidad del sitios web de la competencia al eliminarla puede proporcionar una ventaja a su
rival. Estos ataques de denegación de servicio (DoS) amenazan la disponibilidad del sistema y evitan que
los usuarios legítimos tengan acceso y usen sistemas de información cuando sea necesario.

Los métodos utilizados para garantizar la disponibilidad incluyen la redundancia del sistema, las copias de
seguridad del sistema, mayor recuperabilidad del sistema, mantenimiento del equipo, sistemas operativos
y software actualizados y planes para recuperarse rápidamente de desastres no planificados.

Los cinco nueves

Las personas utilizan distintos sistemas de información en sus vidas cotidianas. Las computadoras y los
sistemas de información controlan las comunicaciones, el transporte y la fabricación de productos. La
disponibilidad continua de los sistemas de información es fundamental para la vida moderna. El término
"alta disponibilidad", describe los sistemas diseñados para evitar el tiempo de inactividad. La alta
disponibilidad asegura un nivel de rendimiento por un período más alto de lo normal. Los sistemas de alta
disponibilidad suelen incluir tres principios de diseño (Figura 1):

 Eliminar puntos sencillos de falla

 Proporcionar una conexión cruzada confiable

 Detecte fallas a medida que se producen

El objetivo es la capacidad para seguir funcionando en condiciones extremas, como durante un ataque.
Una de las prácticas de alta disponibilidad más populares es la práctica de los cinco nueves. Los cinco
nueves hacen referencia al 99,999 %. Esto significa que el tiempo de inactividad es de menos de 5,26
minutos al año. La Figura 2 proporciona tres enfoques a los cinco nueves.

Asegurar la disponibilidad

Las organizaciones pueden garantizar la disponibilidad al implementar lo siguiente:

  Realizar el mantenimiento del equipo

 Realizar actualizaciones del SO y del sistema

 Realizar las pruebas de copia de respaldo

 Realizar una planificación para evitar desastres

 Realizar implementaciones de nuevas tecnologías

 Realizar el monitoreo de actividades inusuales

 Realizar la prueba de disponibilidad

Competencias y organizaciones estudiantiles de ciberseguridad

Los especialistas en ciberseguridad deben tener las mismas destrezas que los hackers, especialmente
que los hackers de sombrero negro, para ofrecer protección contra los ataques. ¿Cómo puede una
persona crear y practicar las aptitudes necesarias convertirse en un especialista en ciberseguridad? Las
competencias de habilidades del estudiante son una excelente manera de desarrollar habilidades y
capacidades de conocimiento en ciberseguridad. Existen muchas competencias nacionales de
habilidades en ciberseguridad disponibles para los estudiantes de ciberseguridad.

Haga clic en los logos de la figura para obtener más información sobre las competencias, las
organizaciones y los clubes de ciberseguridad de los estudiantes.

Tipos de almacenamiento de datos

Los datos almacenados hacen referencia a los datos guardados. Los datos almacenados significan que
un tipo de dispositivo de almacenamiento conserva los datos cuando ningún usuario o proceso los utiliza.
Un dispositivo de almacenamiento puede ser local (en un dispositivo informático) o centralizado (en la
red). Existen varias opciones para almacenar datos.

Almacenamiento de conexión directa (DAS) proporciona almacenamiento conectado a una computadora.

Una unidad de disco duro o una unidad de memoria flash USB son un ejemplo de almacenamiento de
conexión directa. De manera predeterminada, los sistemas no están configurados para compartir el
almacenamiento de conexión directa.

La Matriz redundante de discos independientes (RAID) utiliza varios discos duros en una matriz, que es
un método para combinar varios discos de modo que el sistema operativo los vea como un solo disco.
RAID proporciona un mejor rendimiento y una mejor tolerancia a fallas.

Un dispositivo de almacenamiento conectado a la red (NAS) es un dispositivo de almacenamiento

conectado a una red que permite el almacenamiento y la recuperación de datos desde una ubicación
centralizada por parte de los usuarios autorizados de la red. Los dispositivos de NAS son flexibles y
escalables, lo cual significa que los administradores pueden aumentar la capacidad según sea necesario.

Una arquitectura de red de área de almacenamiento (SAN) es un sistema de almacenamiento con base
en la red. Los sistemas de SAN se conectan a la red mediante las interfaces de alta velocidad que
permiten un mejor rendimiento y la capacidad para conectarse varios servidores a un repositorio
centralizado de almacenamiento en disco.

El almacenamiento en la nube es una opción de almacenamiento remoto que usa el espacio en un

proveedor del centro de datos y es accesible desde cualquier computadora con acceso a Internet. Google
Drive, iCloud y Dropbox son ejemplos de proveedores de almacenamiento en la nube.

Desafíos en la protección de los datos almacenados

Las organizaciones tienen una tarea difícil al intentar protegen los datos almacenados. Para mejorar el
almacenamiento de datos, las empresas pueden automatizar y centralizar las copias de respaldo de
datos.

El almacenamiento de conexión directa puede ser uno de los tipos más difíciles de almacenamiento de
datos en administrar y controlar. El almacenamiento de conexión directa es vulnerable a los ataques
maliciosos en el host local. Los datos almacenados también pueden incluir los datos de copia de respaldo.
Las copias de respaldo pueden ser manuales o automáticas. Las organizaciones deben limitar los tipos de
datos almacenados en el almacenamiento de conexión directa. En particular, una organización no
almacenaría los datos críticos en dispositivos de almacenamiento de conexión directa.

Los sistemas de almacenamiento en red ofrecen una alternativa más segura. Los sistemas de
almacenamiento en red incluidos RAID, SAN y NAS proporcionan mayor rendimiento y redundancia. Sin
embargo, los sistemas de almacenamiento en red son más complicados para configurar y administrar.
También manejan más datos, lo que presenta un mayor riesgo para la organización si falla el dispositivo.
Los desafíos particulares de los sistemas de almacenamiento en red incluyen la configuración, la prueba y
la supervisión del sistema.

Métodos de transmisión de datos

La transmisión de datos implica el envío de la información de un dispositivo a otro. Existen diversos

métodos para transmitir información entre dispositivos, entre los que se incluyen los siguientes:

 Red de transferencia: utiliza medios extraíbles para mover físicamente los datos de una
computadora a otra

 Redes cableadas: utilizan cables para transmitir datos

 Redes inalámbricas: utilizan ondas de radio para transmitir datos

Las organizaciones nunca podrán eliminar el uso de una red de transferencia.

Las redes cableadas incluyen redes de cableado de cobre y fibra óptica. Las redes cableadas pueden
servir a un área geográfica local (red de área local) o pueden abarcar grandes distancias (redes de área
amplia).

Las redes inalámbricas están reemplazando a las redes cableadas. Las redes inalámbricas son cada vez
más rápidas y son capaces de manejar más ancho de banda. Las redes inalámbricas extienden la
cantidad de usuarios invitados con los dispositivos móviles en la oficina pequeña y oficina doméstica
(SOHO) y las redes empresariales.

Las redes cableadas e inalámbricas utilizan paquetes o unidades de datos. El término paquete se refiere
a una unidad de datos que se desplaza entre un origen y un destino de la red. Los protocolos estándar
como el protocolo de Internet (IP) y el Hypertext Transfer Protocol (HTTP) definen la estructura y
formación de paquetes de datos. Estos estándares son de código abierto y están disponibles al público.
La protección de la confidencialidad, integridad y disponibilidad de los datos transmitidos es una de las
responsabilidades más importantes de un profesional de ciberseguridad.

Desafíos en la protección de datos en tránsito

La protección de los datos transmitidos es uno de los trabajos más desafiantes para un profesional de
ciberseguridad. Con el crecimiento de los dispositivos móviles e inalámbricos, los profesionales de
ciberseguridad son responsables de proteger cantidades masivas de datos que cruzan la red a diario. Los
profesionales de ciberseguridad deben afrontar varios desafíos al proteger estos datos:

 Protección de la confidencialidad de los datos: los delincuentes cibernéticos pueden capturar,

guardar y robar datos en tránsito. Los profesionales cibernéticos deben tomar medidas para
contrarrestar estas acciones.
  Protección de la integridad de los datos: los delincuentes cibernéticos pueden interceptar y
alterar los datos en tránsito. Los profesionales de ciberseguridad implementan sistemas de
integridad de los datos que evalúan la integridad y la autenticidad de los datos transmitidos para
responder a estas acciones.

 Protección de la disponibilidad de los datos: los delincuentes informáticos pueden usar

dispositivos falsos o no autorizados para interrumpir la disponibilidad de los datos. Un dispositivo
móvil simple puede presentarse como un punto de acceso inalámbrico local y engañar a los
usuarios desprevenidos al asociarse con el dispositivo falso. Los delincuentes cibernéticos puede
secuestrar una conexión autorizada a un servicio o un dispositivo protegido. Los profesionales de
seguridad de red pueden implementar sistemas de autenticación mutua para responder a estas
acciones. Los sistemas de autenticación mutua requieren que el usuario autentique al servidor y
solicita que el servidor autentique al usuario.

Formas de procesamiento y cómputo de datos

El tercer estado de los datos es el de datos en proceso. Esto se refiere a los datos durante la entrada, la
modificación, el cómputo o el resultado.

La protección de la integridad de los datos comienza con la entrada inicial de datos. Las organizaciones
utilizan varios métodos para recopilar datos, como ingreso manual de datos, formularios de análisis,
cargas de archivos y datos recopilados de los sensores. Cada uno de estos métodos representa
amenazas potenciales a la integridad de los datos. Un ejemplo de daños a los datos durante el proceso
de captación, incluye errores en la entrada de datos o sensores del sistema desconectados, con
funcionamiento incorrecto o inoperables. Otros ejemplos pueden incluir formatos de datos identificación
errónea, incorrectos o no coincidentes.

La modificación de los datos se refiere a cualquier cambio en los datos originales, como la modificación
manual que realizan los usuarios de los datos, el procesamiento de programas y el cambio de datos, y las
fallas en el equipo, lo que provoca la modificación de los datos. Los procesos como la codificación y
decodificación, compresión y descompresión y cifrado y descifrado son ejemplos de la modificación de los
datos. El código malicioso también provoca daños en los datos.

El daño a los datos también ocurre durante el proceso de salida de datos. La salida de datos se refiere a
los datos que salen de impresoras, pantallas electrónicas o directamente a otros dispositivos. La precisión
de los datos de salida es fundamental ya que el resultado proporciona información y afecta la toma de
decisiones. Los ejemplos de daños a los datos incluyen el uso incorrecto de delimitadores de datos,
configuraciones incorrectas de comunicación e impresoras configuradas incorrectamente.

Desafíos en la protección de datos en proceso

La protección contra la modificación de los datos no válidos durante el proceso puede tener un efecto
adverso. Los errores de software son el motivo de muchas desgracias y desastres. Por ejemplo, solo dos
semanas antes de Navidad, algunos de los comercios minoristas terceros de Amazon experimentaron un
cambio en el precio publicado en sus elementos a solo un centavo. El inconveniente duró una hora. El
error provocó que miles de compradores obtuvieran el descuento de sus vidas y la empresa perdió
ingresos. En 2016, el termostato de Nest funcionaba incorrectamente y dejó a los usuarios sin
calefacción. El termostato de Nest es una tecnología inteligente propiedad de Google. Una falla de
software dejó a los usuarios, literalmente, afuera en el frío. Una actualización de software fue el problema
y las baterías del dispositivo se agotaron y le impidió controlar la temperatura. Como resultado, los
clientes no podían calentar sus hogares ni obtener agua caliente en uno de los fines de semana más fríos
del año.

La protección de los datos durante el proceso requiere sistemas bien diseñados. Los profesionales de
ciberseguridad diseñan políticas y procedimientos que requieren pruebas, mantenimientos y actualización
de sistemas para mantenerlos en funcionamiento con la menor cantidad de errores.

Medidas de protección tecnológicas con base en software

Las medidas de protección de software incluyen programas y servicios que protegen los sistemas
operativos, las bases de datos y otros servicios que operan en las estaciones de trabajo, los dispositivos
portátiles y los servidores. Los administradores instalan las contramedidas o las protecciones basadas en
software en los hosts o los servidores individuales. Existen varias tecnologías basadas en software
utilizadas para proteger los activos de la organización:

 Los firewalls del software controlan el acceso remoto a un sistema. Los sistemas operativos
generalmente incluyen un firewall o un usuario puede adquirir o descargar un software de terceros.

 Los escáneres de redes y puertos detectan y supervisan los puertos abiertos en un host o un
servidor.

 Los analizadores de protocolos o los analizadores de firmas, son dispositivos que recopilan y
analizan el tráfico de red. Identifican problemas de rendimiento, detectan configuraciones
incorrectas, identifican aplicaciones que funcionan de manera incorrecta, establecen una línea de
base y patrones de tráfico normal y depuran los problemas de comunicación.

 Los escáneres de vulnerabilidad son programas informáticos diseñados para evaluar las
debilidades en las computadoras o redes.

 Los sistemas de detección de intrusiones (IDS) basados en el host examinan la actividad en los
sistemas host. Un IDS genera archivos de registro y mensajes de alarma cuando detecta actividad
inusual. Un sistema que almacena datos confidenciales o que proporciona servicios críticos es un
candidato para el IDS basado en host.

Medidas de protección tecnológicas con base en hardware

Existen varias tecnologías basadas en hardware utilizadas para proteger los activos de la organización:

 Los dispositivos de firewall bloquean el tráfico no deseado. Los firewalls contienen reglas que
definen el tráfico permitido dentro y fuera de la red.

 Los sistemas de detección de intrusiones (IDS) exclusivos detectan signos de ataques o de

tráfico inusual en una red y envía una alerta.

 Los sistemas de prevención de intrusiones (IPS) detectan signos de ataques o de tráfico inusual
en una red, generan una alerta y toman medidas correctivas.

 Los servicios de filtrado de contenido controlan el acceso y la transmisión de contenido

inaceptable u ofensivo.

Medidas de protección tecnológicas con base en la red

Existen varias tecnologías basadas en red que se utilizan para proteger los activos de la organización:

 La red privada virtual (VPN) es una red virtual segura que utiliza la red pública (es decir,
Internet). La seguridad de una VPN reside en el cifrado del contenido de paquetes entre los
terminales que definen la VPN.

 Control de acceso a la red (NAC) requiere un conjunto de verificaciones antes de permitir que

un dispositivo se conecte a una red. Algunos verificaciones comunes incluyen la instalación de
actualizaciones de software antivirus o de sistema operativo.

 Seguridad de punto de acceso inalámbrico incluye la implementación de la autenticación y

encriptación.
Medidas de protección tecnológicas con base en la nube

Las tecnologías con base en la nube cambian el componente de tecnología de la organización al

proveedor de la nube. Los tres servicios principales de computación en la nube incluyen los siguientes:

 Software como servicio (SaaS) permite que los usuarios tengan acceso al software y las bases
de datos de la aplicación. Los proveedores de la nube administran la infraestructura. Los usuarios
almacenan datos en los servidores del proveedor de la nube.

 Infraestructura como servicio (IaaS) proporciona recursos informáticos virtualizados a través

de Internet. El proveedor es el host del hardware, del software, de los servidores y de los
componentes de almacenamiento.

 Plataforma como servicio (PaaS) proporciona acceso a las herramientas de desarrollo y a los

servicios utilizados para proporcionar las aplicaciones.

Los proveedores de servicios en la nube han ampliado estas opciones para incluir la TI como servicio
(ITaaS), que brinda soporte de TI a los modelos de servicio de IaaS, PaaS y SaaS. En el modelo de
ITaaS, una organización tiene un contrato con el proveedor de la nube para servicios individuales o
agrupados.

Los proveedores de servicios en la nube utilizan dispositivos de seguridad virtual  que se ejecutan en un
entorno virtual con un sistema operativo preempaquetado y reforzado que se ejecuta en un hardware
virtualizado.

Cómo implementar la capacitación y formación en ciberseguridad

Invertir mucho dinero en tecnología no variará si las personas dentro de la organización son el eslabón
más débil en el área de ciberseguridad. Un programa de reconocimiento de seguridad es sumamente
importante para una organización. Un empleado puede no ser malicioso de manera intencionada, pero no
conocer cuáles son los procedimientos adecuados. Existen muchas maneras de implementar un
programa de capacitación formal:

 Hacer de la capacitación en el conocimiento de la seguridad una parte del proceso de

incorporación de los empleados

 Vincular el conocimiento de la seguridad con los requisitos o las evaluaciones de rendimiento

 Realizar sesiones de capacitación en persona

 Completar los cursos en línea

El reconocimiento de la seguridad debe ser un proceso continuo dado que las nuevas amenazas y
técnicas están siempre en el horizonte.

Establecimiento de una cultura de conocimiento de la ciberseguridad

Los miembros de una organización deben tener en cuenta las políticas de seguridad y tener el
conocimiento para hacer de la seguridad una parte de sus actividades diarias.

Un programa de reconocimiento de seguridad depende de:

 El entorno de la organización

 El nivel de amenaza
La creación de una cultura de conocimiento de la ciberseguridad es un esfuerzo continuo que requiere el
liderazgo de la administración superior y el compromiso de todos los usuarios y empleados. La
modificación de la cultura de la ciberseguridad de una organización comienza con el establecimiento de
políticas y procedimientos por parte de la administración. Por ejemplo, muchas organizaciones tienen días
de concientización sobre la ciberseguridad. Las organizaciones también pueden publicar mensajes y
señalizaciones para aumentar el conocimiento general sobre ciberseguridad. La creación de talleres y
seminarios de orientación en ciberseguridad ayudan a aumentar la conciencia.

Políticas

Una política de seguridad es un conjunto de objetivos de seguridad para una empresa que incluye las
reglas de comportamiento de usuarios y administradores y especificar los requisitos del sistema. Estos
objetivos, estas reglas y estos requisitos en conjunto garantizan la seguridad de una red, de los datos y de
los sistemas informáticos de una organización.

Una política de seguridad completa logra varias tareas:

 Demuestra el compromiso de una organización con la seguridad.

 Establece las reglas para el comportamiento esperado.

 Garantiza la uniformidad en las operaciones del sistema, el software y la adquisición y uso de

hardware, y el mantenimiento.

 Define las consecuencias legales de violaciones.

 Brinda al personal de seguridad el respaldo de la administración.

Las políticas de seguridad informan a los usuarios, al personal y a los gerentes los requisitos de una
organización para proteger la tecnología y los activos de información. Una política de seguridad también
especifica los mecanismos necesarios para cumplir con los requisitos de seguridad.

Como se muestra en la figura, una política de seguridad generalmente incluye:

 Políticas de autenticación e identificación: determinan cuáles son las personas autorizadas

que pueden acceder a los recursos de red y describen los procedimientos de verificación.

 Políticas de contraseña: garantizan que las contraseñas cumplan con requisitos mínimos y se

cambien periódicamente.

 Políticas de uso aceptable: identifican los recursos y el uso de red que son aceptables para la
organización. También puede identificar las consecuencias de las violaciones de la política.

 Políticas de acceso remoto: identifican cómo los usuarios remotos pueden obtener acceso a la
red y cuál es accesible de manera remota.

 Políticas de mantenimiento de red: especifican los sistemas operativos de los dispositivos de

la red y los procedimientos de actualización de las aplicaciones de los usuarios finales.

 Políticas de manejo de incidentes: describen cómo se manejan los incidentes de seguridad.

Uno de los componentes más comunes de la política de seguridad es una política de uso aceptable
(AUP). Este componente define qué pueden y no pueden realizar los usuarios en los distintos
componentes del sistema. El AUP debe ser lo más explícito posible para evitar la malainterpretación. Por
ejemplo, un AUP enumera las páginas web, los grupos informativos o las aplicaciones de uso intensivo de
ancho de banda específicos a las que los usuarios no pueden acceder utilizando las computadoras o la
red de la empresa.
Estándares

Los estándares ayudan al personal de TI a mantener la uniformidad en el funcionamiento de la red. Los

documentos sobre estándares proporcionan las tecnologías que los usuarios o los programas específicos
necesitan, además de los requisitos o criterios del programa que una organización debe seguir. Esto
permite al personal de TI mejorar la eficiencia y simplicidad en el diseño, el mantenimiento y la resolución
de problemas.

Uno de los principios de seguridad más importantes es el de uniformidad. Por este motivo, es necesario
que las organizaciones establezcan estándares. Cada organización desarrolla estándares para admitir el
entorno operativo único. Por ejemplo, una organización establece una política de contraseñas. El estándar
es que las contraseñas requieran un mínimo de ocho caracteres alfanuméricos de letras mayúsculas y
minúsculas, con al menos un carácter especial. Un usuario debe cambiar una contraseña cada 30 días y
un historial de contraseñas de 12 contraseñas anteriores garantiza que el usuario cree contraseñas
únicas por un año.

Pautas

Las pautas constan de una lista de sugerencias sobre cómo hacer las cosas de manera más eficaz y
segura. Son similares a los estándares, pero son más flexibles y generalmente no son obligatorias. Las
pautas definen cómo se desarrollan los estándares y garantizan el cumplimiento de las políticas de
seguridad general.

Algunas de las pautas más útiles conforman las mejores prácticas de una organización. Además de las
mejores prácticas que define una organización, las pautas también están disponibles a partir de lo
siguiente:

 Instituto Nacional de Normas y Tecnología (NIST), Centro de recursos de seguridad informática

(Figura 1)

 Departamento de Seguridad Nacional (NSA), Guías para la configuraciones de seguridad (Figura

2)

 El estándar de criterios comunes (Figura 3)

Mediante el ejemplo de políticas de contraseña, una pauta es una sugerencia en l a que el usuario toma
una frase como “I have a dream” y lo convierte en una contraseña segura, Ihv@dr3 @m. El usuario puede
crear otras contraseñas a partir de esta frase al cambiar el número, mover el símbolo o cambiar el signo
de puntuación.

Procedimientos

Los documentos de procedimiento son más detallados que los estándares y las pautas. Los documentos
de procedimiento incluyen detalles de implementación que contienen generalmente instrucciones paso a
paso y gráficos.

La figura muestra un ejemplo del procedimiento que se utilizó para cambiar una contraseña. Las grandes
organizaciones deben usar documentos de procedimientos para mantener la uniformidad de la
implementación que se necesita para un entorno seguro.

Descripción general del modelo

Los profesionales de seguridad necesitan proteger la información de manera completa en la organización.

Esta es una tarea monumental y no es razonable esperar que una persona tenga todo el conocimiento
necesario. La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica
Internacional (IEC) desarrollaron un marco de trabajo global para guiar la administración de la seguridad
de la información. El modelo de ciberseguridad de ISO es para los profesionales de la ciberseguridad lo
que el modelo de red de OSI es para los ingenieros de redes. Ambos proporcionan un marco para
comprender y abordar las tareas complejas.

Dominios de la ciberseguridad

La norma ISO/IEC 27000 es un estándar de seguridad informática publicada en 2005 y revisada en 2013.
ISO publica los estándares ISO 27000. Si bien los estándares no son obligatorios, la mayoría de los
países los utilizan como marco trabajo de facto para implementar la seguridad informática.

Los estándares ISO 27000 describen la implementación de un sistema de administración de seguridad de

la información (ISMS) completo. Un ISMS incluye todos los controles administrativos, técnicos y
operativos para mantener la información segura dentro de una organización. Doce dominios
independientes representan los componentes del estándar ISO 27000. Estos doce dominios sirven para
organizar, en un nivel alto, las vastas áreas de información bajo el término general de seguridad
informática.

La estructura del modelo de ciberseguridad de ISO es diferente del modelo de OSI ya que utiliza dominios
en lugar de capas para describir las categorías de seguridad. El motivo es que el modelo de
ciberseguridad de ISO no es una relación jerárquica. Es un modelo de pares en el que cada dominio tiene
una relación directa con los otros dominios. El modelo de ciberseguridad de ISO 27000 es muy similar al
modelo de OSI en que es fundamental que los hechiceros en ciberseguridad comprendan ambos modelos
para tener éxito.

Haga clic en cada dominio de la figura para ver una descripción breve.

Los doce dominios sirven como base común para desarrollar estándares de seguridad organizativa y
prácticas eficaces de administración de seguridad. También facilitan la comunicación entre
organizaciones.

Objetivos de control

Los doce dominios constan de objetivos de control definidos en la parte 27001 del estándar. Los objetivos
de control definen los requisitos de alto nivel para implementar un ISM completo. El equipo de
administración de una organización utiliza los objetivos de control de ISO 27001 para definir y publicar las
políticas de seguridad de la organización. Los objetivos de control proporcionan una lista de
comprobación para utilizar durante las auditorías de administración de seguridad. Muchas organizaciones
deben aprobar una auditoría de ISMS para obtener una designación de cumplimiento del estándar ISO
27001.

La certificación y el cumplimiento proporcionan confianza para dos organizaciones que deben confiar los
datos y las operaciones confidenciales de cada uno. Las auditorías de cumplimiento y de seguridad
demuestran que las organizaciones aumentan continuamente su sistema de administración de seguridad
informática.

El siguiente es un ejemplo de un objetivo de control:

Controlar el acceso a las redes mediante los mecanismos de autenticación

Controles

El estándar ISO/IEC 27002 define los controles del sistema de administración de seguridad informática.
Los controles son más detallados que los objetivos. Los objetivos de control indican a la organización lo
que debe hacer. Los controles definen cómo alcanzar el objetivo.

Según el objetivo de control, para controlar el acceso a las redes mediante los mecanismos de
autenticación adecuados para los usuarios y los equipos, el control sería el siguiente:

Utilice contraseñas seguras. Una contraseña segura consta de al menos ocho caracteres que son una
combinación de letras, números y símbolos (@, #, $, %, etc.) si están permitidos. Las contraseñas
distinguen entre mayúsculas y minúsculas, de modo que una contraseña segura contiene letras en
mayúsculas y minúsculas.

Los profesionales de ciberseguridad reconocen lo siguiente:

 Los controles no son obligatorios, sino que están ampliamente aceptados y adoptadas.

 Los controles deben mantener la neutralidad del proveedor para evitar la imagen de que
respalda a un producto o a una empresa específica.

 Los controles son como las pautas. Esto significa que puede haber más de una manera de
cumplir con el objetivo.

El modelo de ciberseguridad de ISO y la Tríada de CID

La norma ISO 27000 es un marco de trabajo universal para cada tipo de organización. Para utilizar el
marco de trabajo de manera eficaz, una organización debe restringir los dominios, los objetivos de control
y los controles que aplican a su entorno y sus operaciones.

Los objetivos de control de ISO 27001 funcionan como una lista de verificación. El primer paso que una
organización toma es para determinar si estos objetivos de control se aplican a la organización. La
mayoría de las organizaciones generan un documento llamado Declaración de aplicabilidad (SOA). La
SOA define los objetivos de control que la organización necesita usar.

Las distintas organizaciones dan mayor prioridad a la confidencialidad, integridad y disponibilidad según el
tipo de industria. Por ejemplo, Google otorga el valor más alto a la confidencialidad y disponibilidad de los
datos del usuario y menos a la integridad. Google no verifica los datos del usuario. Amazon pone un gran
énfasis a la disponibilidad. Si el sitio no está disponible, Amazon no realiza la venta. Esto no significa que
Amazon ignora la confidencialidad a favor de la disponibilidad. Amazon solo da mayor prioridad a la
disponibilidad. Por lo tanto, Amazon puede dedicar más recursos y garantizar que haya más servidores
disponibles para manejar las compras de los clientes.

Una organización adapta su uso de los objetivos de control y los controles disponibles para satisfacer de
mejor manera sus prioridades con respecto a la confidencialidad, integridad y disponibilidad.

El modelo de ciberseguridad de ISO y los estados de los datos

Los diferentes grupos de una organización pueden ser responsables de los datos de cada uno de los
distintos estados. Por ejemplo, el grupo de seguridad de la red es responsable de los datos durante la
transmisión. Los programadores y las personas encargadas del ingreso de los datos son responsables de
los datos durante el procesamiento. Los especialistas en soporte de hardware y servidor son
responsables de los datos almacenados. Los controles de ISO abordan específicamente los objetivos de
seguridad de los datos de cada uno de los tres estados.

En este ejemplo, los representantes de cada uno de los tres grupos ayudan a identificar los controles que
son aplicables y la prioridad de cada control en su área. El representante del grupo de seguridad de la red
identifica los controles que garantizan la confidencialidad, integridad y disponibilidad de todos los datos
transmitidos.

El modelo y los mecanismos de protección de la ciberseguridad de

ISO

Los objetivos de control de ISO 27001 se relacionan directamente con las políticas, los procedimientos y
las pautas de ciberseguridad de la organización que la administración superior determina. Los controles
de ISO 27002 proporcionan dirección técnica. Por ejemplo, la administración superior establece una
política que especifica la protección de todos los datos que ingresan o salen de la organización. La
implementación de la tecnología para cumplir con los objetivos de la política no involucraría a la
administración superior. Es responsabilidad de los profesionales de TI implementar y configurar
correctamente el equipo utilizado para satisfacer las directivas de la política establecidas por la
administración superior.

El modelo de ciberseguridad de ISO y los estados de los datos

Los diferentes grupos de una organización pueden ser responsables de los datos de cada uno de los
distintos estados. Por ejemplo, el grupo de seguridad de la red es responsable de los datos durante la
transmisión. Los programadores y las personas encargadas del ingreso de los datos son responsables de
los datos durante el procesamiento. Los especialistas en soporte de hardware y servidor son
responsables de los datos almacenados. Los controles de ISO abordan específicamente los objetivos de
seguridad de los datos de cada uno de los tres estados.

En este ejemplo, los representantes de cada uno de los tres grupos ayudan a identificar los controles que
son aplicables y la prioridad de cada control en su área. El representante del grupo de seguridad de la red
identifica los controles que garantizan la confidencialidad, integridad y disponibilidad de todos los datos
transmitidos.

El modelo y los mecanismos de protección de la ciberseguridad de

ISO

Los objetivos de control de ISO 27001 se relacionan directamente con las políticas, los procedimientos y
las pautas de ciberseguridad de la organización que la administración superior determina. Los controles
de ISO 27002 proporcionan dirección técnica. Por ejemplo, la administración superior establece una
política que especifica la protección de todos los datos que ingresan o salen de la organización. La
implementación de la tecnología para cumplir con los objetivos de la política no involucraría a la
administración superior. Es responsabilidad de los profesionales de TI implementar y configurar
correctamente el equipo utilizado para satisfacer las directivas de la política establecidas por la
administración superior.

Packet Tracer: cómo explorar el cifrado de archivos y datos

En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:

 Ubicar las credenciales de la cuenta FTP para la PC portátil de Mary

 Cargar datos confidenciales mediante FTP

 Ubicar las credenciales de la cuenta FTP para la computadora de Bob

 Descargar datos confidenciales mediante FTP

 Descifrar el contenido del archivo clientinfo.txt

Packet Tracer: cómo usar los controles de integridad de datos y

archivos

En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:

 Descargar los archivos cliente a la computadora de Mike

 Descargar los archivos cliente del servidor de archivo de respaldo a la computadora de Mike

 Verificar la integridad de los archivos cliente mediante un hash

  Verificar la integridad de los archivos imprescindibles mediante HMAC

apítulo 2: El cubo de destrezas de ciberseguridad

En este capítulo se analizaron las tres dimensiones del cubo de destrezas de seguridad. La
responsabilidad central de un hechicero de ciberseguridad es proteger los sistemas y los datos de una
organización. En el capítulo se explicó cómo cada una de las tres dimensiones contribuye a ese esfuerzo.

En el capítulo también se analizó el modelo de ciberseguridad de ISO. El modelo representa un marco de

trabajo internacional para estandarizar la administración de los sistemas de información. En este capítulo
se analizaron los doce dominios. El modelo proporciona objetivos de control que abordan el diseño y la
implementación de alto nivel de un sistema completo de administración de seguridad de la información
(ISMS). En el capítulo también se analizó cómo los profesionales de seguridad utilizan controles para
identificar las tecnologías, los dispositivos y los productos para proteger la organización.

Capítulo 3: amenazas, vulnerabilidades y ataques a la ciberseguridad

Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de
ciberseguridad. Una amenaza a la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como
un ataque.  Una vulnerabilidad es una debilidad que hace que un objetivo sea susceptible a un ataque. Un
ataque es una explotación deliberada de una debilidad detectadas en sistemas de información de la
computadora, ya sea como objetivos específicos o simplemente como objetivos de la oportunidad. Los
delincuentes informáticos pueden tener diferentes motivaciones para seleccionar un objetivo de un
ataque. Los delincuentes cibernéticos tienen éxito al buscar e identificar continuamente los sistemas con
vulnerabilidades evidentes. Las víctimas comunes incluyen sistemas sin parches o sistemas que no
cuentan con detección de virus y de correo no deseado.

En este capítulo se examinan los ataques más comunes a la ciberseguridad. Los hechiceros cibernéticos
deben saber cómo funciona cada ataque, lo que aprovecha y cómo afecta a la víctima. El capítulo
comienza explicando la amenaza de malware y de código malicioso, y luego explica los tipos de trucos
involucrados en la ingeniería social. Un ataque cibernético es un tipo de maniobra ofensiva utilizada por
los delincuentes cibernéticos para atacar a los sistemas de información de la computadora, las redes
informáticas u otros dispositivos de la computadora, mediante un acto malicioso. Los delincuentes
cibernéticos lanzan maniobras ofensivas contra redes cableadas e inalámbricas.

¿Qué es el malware?

El software malicioso, o malware, es un término que se utiliza para describir el software diseñado para
interrumpir las operaciones de la computadora u obtener acceso a los sistemas informáticos, sin el
conocimiento o el permiso del usuario. El malware se ha convertido en un término general que se utiliza
para describir todo el software hostil o intruso. El término malware incluye virus, gusanos, troyanos,
ransomware, spyware, adware, scareware y otros programas maliciosos. El malware puede ser obvio y
simple de identificar o puede ser muy sigiloso y casi imposible de detect

Virus, gusanos y troyanos

Los delincuentes cibernéticos apuntan a los terminales del usuario mediante la instalación de malware.
Haga clic en Reproducir para ver una animación de los tres tipos más comunes de malware.

Virus

Un virus es un código malicioso ejecutable asociado a otro archivo ejecutable, como un programa
legítimo. La mayoría de los virus requieren la inicialización del usuario final y pueden activarse en un
momento o fecha específica. Los virus informáticos generalmente se propagan en una de tres maneras:
desde medios extraíbles; desde descargas de Internet y desde archivos adjuntos de correo electrónico.
Los virus pueden ser inofensivos y simplemente mostrar una imagen o pueden ser destructivos, como los
que modifican o borran datos. Para evitar la detección, un virus se transforma. El simple acto de abrir un
archivo puede activar un virus. Un sector de arranque o un virus del sistema de archivos, infecta las
unidades de memoria flash USB y puede propagarse al disco duro del sistema. La ejecución de un
programa específico puede activar un virus del programa. Una vez que el virus del programa está activo,
infectará generalmente otros programas en la computadora u otras computadoras de la red. El virus
Melissa es un ejemplo de virus que se propaga por correo electrónico. Melissa afectó a decenas de miles
de usuarios y causó daños por una cifra estimada en USD 1,2 mil millones. Haga clic aquí para leer más
sobre los virus.

Gusanos

Los gusanos son códigos maliciosos que se replican al explotar de manera independiente las
vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan las redes. Mientras que un virus
requiere la ejecución de un programa del host, los gusanos pueden ejecutarse por sí mismos. A
excepción de la infección inicial, los gusanos ya no requieren la participación del usuario. Después de que
un gusano afecta a un host, se puede propagar muy rápido en la red. Los gusanos comparten patrones
similares. Todos tienen una vulnerabilidad de activación, una manera de propagarse y contienen una
carga útil.

Los gusanos son responsables de algunos de los ataques más devastadores en Internet. Por ejemplo, en
2001, el gusano Code Red infectó a 658 servidores. En 19 horas, el gusano infectó a más de 300 000
servidores.

Troyano

Un troyano es un malware que ejecuta operaciones maliciosas bajo la apariencia de una operación
deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan. Un troyano se diferencia
de un virus debido a que el troyano está relacionado con los archivos no ejecutables, como archivos de
imagen, de audio o juegos.

Bomba lógica

Una bomba lógica es un programa malicioso que utiliza un activador para reactivar el código malicioso.
Por ejemplo, los activadores pueden ser fechas,horas, otros programas en ejecución o la eliminación de
una cuenta de usuario. La bomba lógica permanece inactiva hasta que se produce el evento activador.
Una vez activada, una bomba lógica implementa un código malicioso que provoca daños en una
computadora. Una bomba lógica puede sabotear los registros de bases de datos, borrar los archivos y
atacar los sistemas operativos o aplicaciones. Los paladines cibernéticos descubrieron recientemente las
bombas lógicas que atacan y destruyen a los componentes de hardware de una estación de trabajo o un
servidor, como ventiladores de refrigeración, CPU, memorias, unidades de disco duro y fuentes de
alimentación. La bomba lógica abruma estos dispositivos hasta que se sobrecalientan o fallan.

Ransomware

El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta que el objetivo
haga un pago. El ransomware trabaja generalmente encriptando los datos de la computadora con una
clave desconocida para el usuario. El usuario debe pagar un rescate a los delincuentes para eliminar la
restricción.

Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para
bloquearlo. El ransomware se propaga como un troyano y es el resultado de un archivo descargado o de
alguna debilidad del software.

El pago a través de un sistema de pago ilocalizable siempre es el objetivo del delincuente. Una vez que la
víctima paga, los delincuentes proporcionan un programa que descifra los archivos o envían un código de
desbloqueo. Haga clic aquí para leer más sobre el ransomware.

Puertas traseras y rootkits

Una puerta trasera o un rootkit se refiere al programa o al código que genera un delincuente que ha
comprometido un sistema. La puerta trasera omite la autenticación normal que se utiliza para tener
acceso a un sistema. Algunos programas comunes de puerta trasera son Netbus y Back Orifice, que
permiten el acceso remoto a los usuarios no autorizados del sistema. El propósito de la puerta trasera es
otorgar a los delincuentes cibernéticos el acceso futuro al sistema, incluso si la organización arregla la
vulnerabilidad original utilizada para atacar al sistema. Por lo general, los delincuentes logran que los
usuarios autorizados ejecuten sin saberlo un programa de troyanos en su máquina para instalar la puerta
trasera.

Un rootkit modifica el sistema operativo para crear una puerta trasera. Los atacantes luego utilizan la
puerta trasera para acceder a la computadora de forma remota. La mayoría de los rootkits aprovecha las
vulnerabilidades de software para realizar el escalamiento de privilegios y modificar los archivos del
sistema. El escalamiento de privilegios aprovecha los errores de programación o las fallas de diseño para
otorgar al delincuente el acceso elevado a los recursos y datos de la red. También es común que los
rootkits modifiquen la informática forense del sistema y las herramientas de supervisión, por lo que es
muy difícil detectarlos. A menudo, el usuario debe limpiar y reinstalar el sistema operativo de una
computadora infectada por un rootkit.

Defensa contra malware

Algunos pasos simples pueden ayudar a brindar protección contra todas las formas de malware.

 Programa antivirus: la mayoría de los conjuntos de antivirus adquieren las formas más
generalizadas de malware. Sin embargo, los delincuentes cibernéticos desarrollan e implementan
nuevas amenazas a diario. Por lo tanto, la clave para una solución antivirus eficaz es mantener
actualizadas las firmas. Una firma es como una huella. Identifica las características de un código
malicioso.

 Software de actualización: muchas formas de malware alcanzan sus objetivos mediante la

explotación de las vulnerabilidades del software, en el sistema operativo y las aplicaciones. Aunque
las vulnerabilidades del sistema operativo eran la fuente principal de los problemas, las
vulnerabilidades actuales a nivel de las aplicaciones representan el riesgo más grande.
Desafortunadamente, aunque los fabricantes de sistemas operativos son cada vez más receptivos a
los parches, la mayoría de los proveedores de aplicaciones no lo son.

Correo electrónico no deseado

El correo electrónico es un servicio universal utilizado por miles de millones de personas en todo el
mundo. Como uno de los servicios más populares, el correo electrónico se ha convertido en una
vulnerabilidad importante para usuarios y organizaciones. El correo no deseado, también conocido como
“correo basura”, es correo electrónico no solicitado. En la mayoría de los casos, el correo no deseado es
un método publicitario. Sin embargo, el correo no deseado se puede utilizar para enviar enlaces nocivos,
malware o contenido engañoso. El objetivo final es obtener información confidencial, como información de
un número de seguro social o de una cuenta bancaria. La mayor parte del correo no deseado proviene de
varias computadoras en redes infectadas por un virus o gusano. Estas computadoras comprometidas
envían la mayor cantidad posible de correo electrónico masivo.

Incluso con la implementación de estas características de seguridad, algunos correos no deseados aún
pueden llegar a la bandeja de entrada. Algunos de los indicadores más comunes de correo no deseado
son los siguientes:

 El correo electrónico no tiene asunto.

 El correo electrónico solicita la actualización de una cuenta.

 El texto del correo electrónico tiene palabras mal escritas o puntuación extraña.
  Los enlaces del correo electrónico son largos o crípticos.

 Un correo electrónico se parece a una correspondencia de una empresa legítima.

 El correo electrónico solicita que el usuario abra un archivo adjunto.

Haga clic aquí para obtener más información sobre el correo no deseado.

Si un usuario recibe un correo electrónico que contiene uno o más de estos indicadores, este no debe
abrir el correo electrónico ni los archivos adjuntos. Es muy común que la política de correo electrónico de
una organización requiera que un usuario que recibe este tipo de correo electrónico lo informe al personal
de seguridad cibernética. Casi todos los proveedores de correo electrónico filtran el correo electrónico no
deseado. Desafortunadamente, el correo electrónico no deseado aún consume ancho de banda y el
servidor del destinatario debe procesar el mensaje de igual manera.

Spyware, adware y scareware

El spyware es un software que permite a un delincuente obtener información sobre las actividades
informáticas de un usuario. El spyware incluye a menudo rastreadores de actividades, recopilación de
pulsaciones de teclas y captura de datos. En el intento por superar las medidas de seguridad, el spyware
a menudo modifica las configuraciones de seguridad. El spyware con frecuencia se agrupa con el
software legítimo o con troyanos. Muchos sitios web de shareware están llenos de spyware.

El adware muestra generalmente los elementos emergentes molestos para generar ingresos para sus
autores. El malware puede analizar los intereses del usuario al realizar el seguimiento de los sitios web
visitados. Luego puede enviar la publicidad emergente en relación con esos sitios. Algunas versiones de
software instalan automáticamente el adware. Algunos adwares solo envían anuncios, pero también es
común que el adware incluya spyware.

El scareware convence al usuario a realizar acciones específicas según el temor. El scareware falsifica
ventanas emergentes que se asemejan a las ventanas de diálogo del sistema operativo. Estas ventanas
transportan los mensajes falsificados que exponen que el sistema está en riesgo o necesita la ejecución
de un programa específico para volver al funcionamiento normal. En realidad, no existen problemas y si el
usuario acepta y permite que el programa mencionado se ejecute, el malware infectará su sistema.

Falsificación de identidad

La suplantación de identidad es una forma de fraude. Los delincuentes cibernéticos utilizan el correo
electrónico, la mensajería instantánea u otros medios sociales para intentar recopilar información como
credenciales de inicio de sesión o información de la cuenta disfrazándose como una entidad o persona de
confianza. La suplantación de identidad ocurre cuando una parte maliciosa envía un correo electrónico
fraudulento disfrazado como fuente legítima y confiable. El objetivo de este mensaje es engañar al
destinatario para que instale malware en su dispositivo o comparta información personal o financiera. Un
ejemplo de suplantación de identidad es un correo electrónico falsificado similar al que provino de un
negocio minorista, que solicita al usuario que haga clic en un enlace para reclamar un premio. El enlace
puede ir a un sitio falso que solicita información personal o puede instalar un virus.

La suplantación de identidad focalizada es un ataque de falsificación de identidad altamente dirigido. Si

bien la suplantación de identidad y la suplantación de identidad focalizada usan correos electrónicos para
llegar a las víctimas, mediante la suplantación de identidad focalizada se envía correos electrónicos
personalizados a una persona específica. El delincuente investiga los intereses del objetivo antes de
enviarle el correo electrónico. Por ejemplo, el delincuente descubre que al objetivo le interesan los
automóviles y que está interesado en la compra de un modelo específico de automóvil. El delincuente se
une al mismo foro de debate sobre automóviles donde el objetivo es miembro, fragua una oferta de venta
del automóvil y envía un correo electrónico al objetivo. El correo electrónico contiene un enlace a
imágenes del automóvil. Cuando el objetivo hace clic en el enlace, instala sin saberlo el malware en la
computadora. Haga clic aquí para obtener más información sobre los fraudes de correo electrónico.

«Vishing», «Smishing», «Pharming» y «Whaling»

El «Vishing» es una práctica de suplantación de identidad mediante el uso de la tecnología de
comunicación de voz. Los delincuentes pueden realizar llamadas de suplantación de fuentes legítimas
mediante la tecnología de voz sobre IP (VoIP). Las víctimas también pueden recibir un mensaje grabado
que parezca legítimo. Los delincuentes desean obtener los números de tarjetas de crédito u otra
información para robar la identidad de la víctima. El «Vishing» aprovecha el hecho de que las personas
dependen de la red telefónica.

El «Smishing» (suplantación del servicio de mensajes cortos) es una suplantación de identidad mediante
la mensajería de texto en los teléfonos móviles. Los delincuentes se hacen pasar por una fuente legítima
en un intento por ganar la confianza de la víctima. Por ejemplo, un ataque de «smishing» puede enviar a
la víctima un enlace de sitio web. Cuando la víctima visita el sitio web, el malware se instala en el teléfono
móvil.

El «Pharming» es la suplantación de un sitio web legítimo en un esfuerzo por engañar a los usuarios al
ingresar sus credenciales. El «Pharming» dirige erróneamente a los usuarios a un sitio web falsas que
parece ser oficial. Las víctimas luego ingresan su información personal pensando que se conectaron a un
sitio legítimo.

El «Whaling» es un ataque de suplantación de identidad que apunta a objetivos de alto nivel dentro de
una organización, como ejecutivos sénior. Los objetivos adicionales incluyen políticos o celebridades.

Haga clic aquí para leer un artículo de RSA sobre la suplantación de identidad y las actividades de
«smishing», «vishing» y «whaling».

Complementos y envenenamiento del navegador

Las infracciones a la seguridad pueden afectar a los navegadores web al mostrar anuncios emergentes,
recopilar información de identificación personal o instalar adware, virus o spyware. Un delincuente puede
hackear el archivo ejecutable de un navegador, los componentes de un navegador o sus complementos.

Complementos

Los complementos de memoria flash y shockwave de Adobe permiten el desarrollo de animaciones

interesantes de gráfico y caricaturas que mejoran considerablemente la apariencia de una página web.
Los complementos muestran el contenido desarrollado mediante el software adecuado.

Hasta hace poco, los complementos tenían un registro notable de seguridad. Si bien el contenido basado
en flash creció y se hizo más popular, los delincuentes examinaron los complementos y el software de
Flash, determinaron las vulnerabilidades y atacaron a Flash Player. El ataque exitoso puede provocar el
colapso de un sistema o permitir que un delincuente tome el control del sistema afectado. Espere el
aumento de las pérdidas de datos a medida que los delincuentes sigan investigando las vulnerabilidades
de los complementos y protocolos más populares.

Envenenamiento SEO

Los motores de búsqueda, como Google, funcionan clasificando páginas y presentando resultados
relevantes conforme a las consultas de búsqueda de los usuarios. Según la importancia del contenido del
sitio web, puede aparecer más arriba o más abajo en la lista de resultados de la búsqueda. La SEO
(optimización de motores de búsqueda) es un conjunto de técnicas utilizadas para mejorar la clasificación
de un sitio web por un motor de búsqueda. Aunque muchas empresas legítimas se especializan en la
optimización de sitios web para mejorar su posición, el envenenamiento SEO utiliza la SEO para hacer
que un sitio web malicioso aparezca más arriba en los resultados de la búsqueda.

El objetivo más común del envenenamiento SEO es aumentar el tráfico a sitios maliciosos que puedan
alojar malware o perpetrar la ingeniería social. Para forzar un sitio malicioso para que califique más alto
en los resultados de la búsqueda, los atacantes se aprovechan de los términos de búsqueda populares.

Secuestrador de navegadores

Un secuestrador de navegadores es el malware que altera la configuración del navegador de una

computadora para redirigir al usuario a sitios web que pagan los clientes de los delincuentes cibernéticos.
Los secuestradores de navegadores instalan sin permiso del usuario y generalmente son parte de una
descarga desapercibida. Una descarga desde una unidad es un programa que se descarga
automáticamente a la computadora cuando un usuario visita un sitio web o ve un mensaje de correo
electrónico HTML. Siempre lea los acuerdos de usuario detalladamente al descargar programas de evitar
este tipo de malware.

Cómo defenderse de los ataques a correos electrónicos y navegadores

Los métodos para tratar con correo no deseado incluyen el filtrado de correo electrónico, la formación del
usuario sobre las precauciones frente a correos electrónicos desconocidos y el uso de filtros de host y del
servidor.

Es difícil detener el correo electrónico no deseado, pero existen maneras de reducir sus efectos. Por
ejemplo, la mayoría de los ISP filtran el correo no deseado antes de que llegue a la bandeja de entrada
del usuario. Muchos antivirus y programas de software de correo electrónico realizan automáticamente el
filtrado de correo electrónico. Esto significa que detectan y eliminan el correo no deseado de la bandeja
de entrada del correo electrónico.

Las organizaciones también advierten a los empleados sobre los peligros de abrir archivos adjuntos de
correo electrónico que pueden contener un virus o un gusano. No suponga que los archivos adjuntos de
correo electrónico son seguros, aun cuando provengan de un contacto de confianza. Un virus puede
intentar propagarse al usar la computadora del emisor. Siempre examine los archivos adjuntos de correo
electrónico antes de abrirlos.

El Grupo de trabajo contra la suplantación de identidad (APWG) es una asociación del sector que se
dedica a eliminar el robo de identidad y el fraude ocasionado por la suplantación de identidad y la
suplantación de correo electrónico.

Si mantiene todo el software actualizado, esto garantiza que el sistema tenga todos los últimos parches
de seguridad aplicados para remover las vulnerabilidades conocidas. Haga clic aquí para obtener más
información sobre cómo evitar ataques al navegador

Ingeniería social

La ingeniería social es un medio completamente no técnico por el que el delincuente reúne información
sobre un objetivo. La ingeniería social es un ataque que intenta manipular a las personas para que
realicen acciones o divulguen información confidencial.

Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ser útiles, pero
también se aprovechan de sus vulnerabilidades. Por ejemplo, un atacante puede llamar a un empleado
autorizado con un problema urgente que requiere acceso inmediato a la red. El atacante puede atraer la
vanidad o la codicia del empleado o invocar la autoridad mediante técnicas de nombres.

Estos son algunos tipos de ataques de ingeniería social:

Pretexto: esto es cuando un atacante llama a una persona y miente en el intento de obtener acceso a
datos privilegiados. Un ejemplo implica a un atacante que pretende necesitar datos personales o
financieros para confirmar la identidad del destinatario.

Algo por algo (quid pro quo): esto es cuando un atacante solicita información personal de una parte a
cambio de algo, por ejemplo, un obsequio.

Tácticas de ingeniería social

Los ingenieros sociales utilizan varias tácticas. Las tácticas de ingeniería social incluyen las siguientes:

 Autoridad: es más probable que las personas cumplan cuando reciben las instrucciones de “una
autoridad”

 Intimidación: los delincuentes hostigan a una víctima para que tome medidas
  Consenso/prueba social: las personas tomarán medidas si sienten que a otras personas les
gusta también

 Escasez: las personas tomarán medidas cuando consideren que existe una cantidad limitada

 Urgencia: las personas tomarán medidas cuando consideren que existe un tiempo limitado

 Familiaridad/agrado: los delincuentes desarrollan una buena relación con la víctima para
establecer una relación y confianza

 Confianza: los delincuentes crean una relación de confianza con una víctima la cual puede tomar
más tiempo en establecerse.

Haga clic en cada táctica de la figura para ver un ejemplo.

Los profesionales en ciberseguridad son responsables de formar a otras personas en la organización con
respecto a las tácticas de los ingenieros sociales. Haga clic aquí para obtener más información sobre las
tácticas de ingeniería social.

«Espiar por encima del hombro» y «hurgar en la basura»

Un delincuente observa, o espía por encima del hombre, para recoger los PIN, los códigos de acceso o
los números de tarjetas de crédito. Un atacante puede estar muy cerca de su víctima o puede utilizar los
prismáticos o las cámaras de circuito cerrado para espiar. Ese es un motivo por el que una persona solo
puede leer una pantalla de ATM en determinados ángulos. Estos tipos de medidas de seguridad hacen la
técnica de espiar por encima del hombro sea mucho más difícil.

«La basura de un hombre es el tesoro de otro hombre». Esta frase puede ser especialmente cierta en la
actividad de «búsqueda en la basura» que es el proceso por el cual se busca en la basura de un objetivo
para ver qué información desecha una organización. Tenga en cuenta proteger el receptáculo de basura.
Cualquier información confidencial debe desecharse correctamente mediante el destrozo o el uso de
bolsas para incineración, un contenedor que conserva los documentos confidenciales para la destrucción
posterior mediante incineración.

Simulación de identidad y engaños

La simulación de identidad es la acción de pretender ser alguien más. Por ejemplo, una reciente estafa
telefónica afectó a los contribuyentes. Un delincuente, que se presentó como empleado del IRS, le dijo a
las víctimas que debían dinero al IRS. Las víctimas deben pagar de inmediato a través de una
transferencia bancaria. El imitador amenazó que si no pagaba, esto generaría un arresto. Los
delincuentes también utilizan la simulación para atacar a otras personas. Pueden poner en riesgo la
credibilidad de las personas al utilizan las publicaciones del sitio web o de los medios sociales.

Un engaño es un acto realizado con la intención de embaucar o engañar. Un engaño cibernético puede
causar tanta interrupción como puede provocar una violación real. Un engaño provoca la reacción de un
usuario. La reacción puede provocar miedo innecesario y comportamiento irracional. Los usuarios
transmiten los engaños a través del correo electrónico y de los medios sociales. Haga clic aquí para visitar
un sitio web que ofrece una lista de los mensajes de engaños.

Piggybacking» y «Tailgating»

El «Piggybacking» es una práctica mediante la cual un delincuente sigue a una persona autorizada a
todas partes para obtener ingreso a una ubicación segura o a un área restringida. Los delincuentes
utilizan varios métodos para efectuar la actividad de «piggyback»:

 Dan la apariencia de estar acompañados por una persona autorizada

 Se unen a una multitud grande y fingen ser miembro

  Apuntan a una víctima que es descuidada con respecto a las reglas de las instalaciones

El «Tailgating» es otro término que describe la misma práctica.

Una trampa evita la práctica de «piggybacking» al usar dos conjuntos de puertas. Una vez que las
personas ingresan a una puerta externa, esa puerta debe cerrarse antes de ingresar a la puerta interna.

Trucos en línea y por correo electrónico

Si en el lugar de trabajo reenvía correos electrónicos engañosos y otras bromas, películas graciosas y
correos electrónicos que no están relacionados con el trabajo, puede violar la política de uso aceptable de
la empresa y esto puede generar medidas disciplinarias. Haga clic aquí para visitar un sitio web que
publica rumores y controla la información

Cómo defenderse contra el uso de trucos

Las organizaciones deben promover el conocimiento de tácticas de ingeniería social y formar

correctamente a los empleados en relación con las medidas de prevención, como las siguientes:

 Nunca proporcione información confidencial o credenciales por correo electrónico, sesiones de

chat, en persona o por teléfono a desconocidos.

 Resista el impulso de hacer clic en correos electrónicos y enlaces de sitio web atractivos.

 Preste atención a las descargas no iniciadas o automáticas.

 Establezca políticas y brinde formación a los empleados sobre esas políticas.

 Cuando se trata de la seguridad, ofrezca a los empleados un sentido de la propiedad.

 No se sienta presionado por personas desconocidas.

Haga clic aquí para obtener más información sobre el conocimiento de ciberseguridad

Denegación de servicio

Los ataques de denegación de servicio (DoS) son un tipo de ataque a la red. Un ataque de DoS da como
resultado cierto tipo de interrupción de los servicios de red a los usuarios, los dispositivos o las
aplicaciones. Existen dos tipos principales de ataques de DoS:

 Cantidad abrumadora de tráfico: el atacante envía una gran cantidad de datos a una velocidad
que la red, el host o la aplicación no puede manejar. Esto ocasiona una disminución de la velocidad
de transmisión o respuesta o una falla en un dispositivo o servicio.

 Paquetes maliciosos formateados: esto sucede cuando se envía un paquete malicioso

formateado a un host o una aplicación y el receptor no puede manejarlo. Por ejemplo, una
aplicación no puede identificar los paquetes que contienen errores o paquetes incorrectamente
formateados, reenviados por el atacante. Esto hace que el dispositivo receptor se ejecute muy
lentamente o se detenga.

Los ataques de DoS son un riesgo importante porque pueden interrumpir fácilmente la comunicación y
causar una pérdida significativa de tiempo y dinero. Estos ataques son relativamente simples de llevar a
cabo, incluso por un atacante inexperto.

El objetivo de un ataque de denegación de servicio es denegar el acceso a usuarios autorizados al hacer

que la red no esté disponible (recuerde los tres principios básicos de seguridad: confidencialidad,
integridad y disponibilidad). Haga clic en Reproducir en la Figura 1 para ver las animaciones de un ataque
de DoS.

Un ataque de DoS distribuida (DDoS) es similar a un ataque de DoS pero proviene de múltiples fuentes
coordinadas. Por ejemplo, un ataque de DDoS podría darse de la siguiente manera:

Un atacante crea una red de hosts infectados, denominada botnet, compuesta por zombis. Los zombis
son hosts infectados. El atacante utiliza sistemas del controlador para controlar a los zombis. Las
computadoras zombis constantemente analizan e infectan más hosts, lo que genera más zombis. Cuando
está listo, el pirata informático proporciona instrucciones a los sistemas manipuladores para que los botnet
de zombis lleven a cabo un ataque de DDoS.

Haga clic en Reproducir en la Figura 2 para ver las animaciones de un ataque de DDoS. Un ataque de
denegación de servicio distribuido (DDoS) utiliza muchos zombis para sobrecargar un objetivo.

Análisis

La técnica de análisis es similar a escuchar a escondidas a alguien. Ocurre cuando los atacantes
examinan todo el tráfico de red a medida que pasa por la NIC, independientemente de si el tráfico está
dirigidos a ellos o no. Los delincuentes logran realizar análisis de la red con una aplicación de software,
dispositivo de hardware o una combinación de ambos. Como se muestra en la figura, la práctica de
análisis consiste en ver todo el tráfico de red o puede dirigirse a un protocolo, un servicio o incluso una
cadena de caracteres específica, como un inicio de sesión o una contraseña. Algunos analizadores de
protocolos de red observan todo el tráfico y modifican todo el tráfico o parte de este.

La práctica de análisis también tiene sus beneficios. Los administradores de red pueden utilizar
analizadores de protocolos para analizar el tráfico de red, identificar problemas de ancho de banda y para
solucionar otros problemas de red.

La seguridad física es importante para evitar la introducción de analizadores de protocolos en la red

interna.

Falsificación de identidad (spoofing)

La falsificación de identidad es un ataque que aprovecha una relación de confianza entre dos sistemas. Si
dos sistemas aceptan la autenticación lograda por cada uno, es posible que una persona registrada en un
sistema no pase nuevamente por un proceso de autenticación para acceder al otro sistema. Un atacante
puede aprovechar esta disposición al enviar un paquete a un sistema que parece provenir de un sistema
confiable. Dado que la relación de confianza existe, el sistema objetivo puede realizar la tarea solicitada
sin autenticación.

Existen varios tipos de ataques de suplantación de identidad.

 La falsificación de direcciones MAC se produce cuando una computadora acepta los paquetes
de datos según la dirección MAC de otra computadora.

 La falsificación de direcciones IP envía paquetes IP de una dirección de origen falsificada para

disfrazarse.

 El Protocolo de resolución de dirección (ARP) es un protocolo que corrige las direcciones IP a

direcciones MAC para transmitir datos. La suplantación de ARP envía mensajes ARP falsos a
través de la LAN para conectar la dirección MAC del delincuente a la dirección IP de un miembro
autorizado de la red.

 El Sistema de nombres de dominio (DNS) asigna nombres de dominios en direcciones IP. La

suplantación de identidad de servidor DNS modifica el servidor DNS para redirigir un nombre de
dominio específico a una dirección IP diferente, controlada por el delincuente.
Ataque man-in-the-middle

Un delincuente realiza un ataque man-in-the-middle (MitM) al interceptar las comunicaciones entre las
computadoras para robar la información que transita por la red. El delincuente también puede elegir
manipular los mensajes y retransmitir información falsa entre los hosts ya que estos desconocen que se
produjo una modificación en los mensajes. El ataque MitM permite que el delincuente tome el control de
un dispositivo sin el conocimiento del usuario.

Haga clic en los pasos de la figura para aprender los conceptos básicos de un ataque MitM.

Man-In-The-Mobile (MitMo) es una variación de man-in-middle. MitMo toma el control de un dispositivo

móvil. El dispositivo móvil infectado envía información confidencial del usuario a los atacantes. ZeuS, un
ejemplo de ataque con capacidades de MitMo, permite que los atacantes capturen silenciosamente SMS
de verificación de 2 pasos enviados a los usuarios. Por ejemplo, cuando un usuario establece una Id. de
Apple, debe proporcionar un número de teléfono que admita SMS para recibir un código de verificación
temporal mediante el mensaje de texto para probar la identidad del usuario. El malware espía en este tipo
de comunicación y transmite la información a los delincuentes.

Un ataque de repetición se produce cuando un atacante captura una porción de una comunicación entre
dos hosts y luego transmite el mensaje capturado más adelante. Los ataques de repetición evitan los
mecanismos de autenticación.

Ataques de día cero

Un ataque de día cero, a veces denominado una amenaza de día cero, es un ataque de la computadora
que intenta explotar las vulnerabilidades del software que son desconocidas o no reveladas por el
proveedor de software. El término hora cero describe el momento en que alguien descubre el ataque.
Durante el tiempo que le toma al proveedor de software desarrollar y lanzar un parche, la red es
vulnerable a estos ataques, como se muestra en la figura. La defensa contra estos rápidos ataques
requiere que los profesionales de seguridad de red adopten una visión más sofisticada de la arquitectura
de red. Ya no es posible contener las intrusiones en algunos puntos de la red.

Registro del teclado

El registro del teclado es un programa de software que registra las teclas de los usuarios del sistema. Los
delincuentes pueden implementar registros de teclas mediante software instalado en un sistema
informático o a través de hardware conectado físicamente a una computadora. El delincuente configura el
software de registro de claves para enviar por correo electrónico el archivo de registro. Las teclas
capturadas en el archivo de registro pueden revelar nombres de usuario, contraseñas, sitios web visitados
y otra información confidencial.

Los registros de teclado pueden ser software comerciales y legítimos. A menudo, los padres adquieren
software de registro de clave para realizar el seguimiento de sitios web y del comportamiento de los niños
que utilizan Internet. Muchas aplicaciones antispyware pueden detectar y eliminar registros de clave no
autorizados. Si bien el software de registro de claves es legal, los delincuentes usan el software para fines
ilegales.

Cómo defenderse de los ataques

Una organización puede realizar varios pasos para defenderse de diversos ataques. Configure firewalls
para descartar cualquier paquete fuera de la red que tenga direcciones que indican que se originaron
dentro de la red. Esta situación no ocurre normalmente, e indica que un delincuente cibernéticos intentó
realizar un ataque de suplantación de identidad.

Para evitar ataques de DoS y DDoS, asegúrese de que los parches y las actualizaciones sean actuales,
distribuya la carga de trabajo en todos los sistemas de servidores y bloquee los paquetes de Prootocolo
de mensajería de control de Internet (ICMP) en la frontera. Los dispositivos de red utilizan paquetes ICMP
para enviar mensajes de error. Por ejemplo, el comando ping utiliza paquetes ICMP para verificar que un
dispositivo pueda comunicarse con otra en la red.

Los sistemas pueden evitar ser víctimas de un ataque de repetición al cifrar el tráfico, proporcionar
autenticación criptográfica e incluir una marca de tiempo con cada parte del mensaje. Haga clic aquí para
obtener más información sobre las maneras de evitar ataques cibernéticos.

Grayware y SMiShing

La técnica de Grayware se está convirtiendo en una área problemática en la seguridad móvil con la
popularidad de los smartphones. La técnica de Grayware incluye aplicaciones que se comportan de
manera molesta o no deseada. La técnica de Grayware puede no tener un malware reconocible, pero aún
puede representar un riesgo para el usuario. Por ejemplo, el grayware puede rastrear la ubicación del
usuario. Los creadores de grayware mantienen generalmente la legitimidad al incluir las capacidades de
una aplicación en la letra chica del contrato de licencia de software. Los usuarios instalan muchas
aplicaciones móviles sin considerar realmente sus capacidades.

El término SMiShing es la abreviatura de suplantación de identidad de SMS. Utiliza el Servicio de

mensajes cortos (SMS) para enviar mensajes de texto falsos. Los delincuentes engañan al usuario al
visitar un sitio web o llamar a un número de teléfono. Las víctimas desprevenidas pueden proporcionar
información confidencial como información de la tarjeta de crédito. Visitar una página web puede provocar
que el usuario descargue sin saberlo el malware que infecta al dispositivo.

Puntos de acceso no autorizados

Un punto de acceso dudoso es un punto de acceso inalámbrico instalado en una red segura sin
autorización explícita. Un punto de acceso dudoso se puede configurar de dos maneras. La primera es
cuando un empleado bienintencionado intenta ser útil al facilitar la conexión de dispositivos móviles. La
segunda manera es cuando un delincuente tiene acceso físico a una organización al escabullirse e
instalar el punto de acceso dudoso. Dado que ambas son maneras no autorizadas, presentan riesgos
para la organización.

Un punto de acceso dudoso también puede referirse al punto de acceso de un delincuente. En este caso,
el delincuente configura el punto de acceso como un dispositivo de MitM para captar información de inicio
de sesión de los usuarios.

Un ataque con AP de red intrusa utiliza el punto de acceso de delictiva gracias a una mayor potencia y
antenas más altas de ganancias de ser una mejor opción de conexión para los usuarios. Una vez que los
usuarios se conectan al punto de acceso no autorizado, los delincuentes pueden analizar el tráfico y
ejecutar ataques de MitM.

Interferencia de RF

Las señales inalámbricas son susceptibles a la interferencia electromagnética (EMI), a la interferencia de

radiofrecuencia (RFI) e incluso pueden ser vulnerables a los rayos o ruidos de luces fluorescentes. Las
señales inalámbricas también son vulnerables a la interferencia deliberada. La interferencia de
radiofrecuencia (RF) interrumpe la transmisión de una estación de radio o satelital para que la señal no
alcance la estación receptora.

La frecuencia, la modulación y el poder del que realiza la interferencia de RF debe ser igual a la del
dispositivo que el delincuente desea discontinuar para interferir correctamente la señal inalámbrica.

«Bluejacking» y «Bluesnarfing»

El Bluetooth es un protocolo de corto alcance y baja energía. El Bluetooth transmite datos en una red de
área personal, o PAN, y puede incluir dispositivos como teléfonos móviles, PC portátiles e impresoras. El
Bluetooth ha pasado por varias versiones nuevas. La configuración sencilla es una característica del
Bluetooth, por lo que no hay necesidad de usar direcciones de red. El Bluetooth utiliza el emparejamiento
para establecer la relación entre los dispositivos. Al establecer el emparejamiento, ambos dispositivos
utilizan la misma clave de acceso.

Las vulnerabilidades del Bluetooth han surgido, pero por el rango limitado de Bluetooth, la víctima y al
atacante deba estar dentro del rango de la otra persona.

 El «Bluejacking» es el término que se utiliza para enviar mensajes no autorizados a otro

dispositivo Bluetooth. Una variación de esto es enviar una imagen impactante a otro dispositivo.

 El «Bluesnarfing» ocurre cuando el atacante copia la información de la víctima de su dispositivo.

Esta información puede incluir correos electrónicos y listas de contactos.

Ataques a los protocolos WEP y WPA

Privacidad equivalente por cable (WEP): es un protocolo de seguridad que intentó proporcionar una red
de área local inalámbrica (WLAN) con el mismo nivel de seguridad que una red LAN cableada. Dado que
las medidas de seguridad física ayudan a proteger una red LAN cableada, el protocolo WEP busca
proporcionar protección similar para los datos transmitidos mediante la WLAN con encriptación.

El protocolo WEP utiliza una clave para la encriptación. No existen disposiciones para la administración
de claves con WEP, por lo que la cantidad de personas que comparten la clave crecerá continuamente.
Dado que todas las personas utilizan la misma clave, el delincuente tiene acceso a una gran cantidad de
tráfico para los ataques analíticos.

El WEP también tiene varios problemas con el vector de inicialización (IV) que es uno de los componentes
del sistema criptográfico:

 Es un campo de 24 bits, lo cual es demasiado pequeño.

 Es un texto no cifrado, lo que significa que es legible.

 Es estático, por lo que los flujos de claves idénticas se repetirán en una red ocupada.

El protocolo de acceso protegido Wi-Fi (WPA) y luego el WPA2 salieron como protocolos mejorados para
reemplazar al protocolo WEP. El protocolo WPA2 no tienen los mismos problemas de encriptación porque
un atacante no puede recuperar la clave al observar el tráfico. El protocolo WPA2 es susceptible a
ataques porque los delincuentes cibernéticos pueden analizar los paquetes que se envían entre el punto
de acceso y un usuario legítimo. Los delincuentes cibernéticos utilizan un analizador de protocolos de
paquetes y luego ejecutan los ataques sin conexión en la contraseña.

Defensa contra los ataques a dispositivos móviles e inalámbricos

Existen varios pasos a seguir para defenderse de los ataques a los dispositivos móviles e inalámbricos.
La mayoría de los productos de WLAN utilizan configuraciones predeterminadas. Aproveche las
características básicas de seguridad inalámbrica como la autenticación y la encriptación al cambiar los
ajustes de configuración predeterminada.

Restrinja la ubicación del punto de acceso con la red al colocar estos dispositivos fuera del firewall o
dentro de una zona perimetral (DMZ) que contenga otros dispositivos no confiables, como correo
electrónico y servidores web.

Las herramientas de WLAN como NetStumbler pueden descubrir puntos de acceso dudosos o estaciones
de trabajo no autorizadas. Desarrolle una política de invitado para abordar la necesidad cuando los
invitados legítimos necesitan conectarse a Internet mientras están de visita. Para los empleados
autorizados, utilice una red privada virtual (VPN) de acceso remoto para el acceso a la WLAN.

Scripting entre sitios

El scripts entre sitios (XSS) es una vulnerabilidad que se encuentra en las aplicaciones Web. El XSS
permite a los delincuentes inyectar scripts en las páginas web que ven los usuarios. Este script puede
contener un código malicioso.

Los scripts entre sitios tienen tres participantes: el delincuente, la víctima y el sitio web. El delincuente
cibernético no apunta a una víctima directamente. El delincuente aprovecha la vulnerabilidad en un sitio
web o una aplicación web. Los delincuentes introducen scripts de cliente en sitios web que ven los
usuarios, las víctimas. El script malicioso se transfiere sin saberlo al navegador del usuario. Un script
malicioso de este tipo puede acceder a cookies, tokens de sesiones u otra información confidencial. Si los
delincuentes obtienen la cookie de sesión de la víctima, pueden suplantar la identidad de ese usuario.

Inyección de códigos

Una manera de almacenar datos en un sitio web es utilizar una base de datos. Existen diferentes tipos de
bases de datos, como una base de datos de Lenguaje de consulta estructurado (SQL) o una base de
datos de Lenguaje de marcado extensible (XML). Los ataques de inyección XML y SQL aprovechan las
debilidades del programa, como no validar las consultas de la base de datos correctamente.

Inyección XML

Cuando se utiliza una base de datos de XML, una inyección XML es un ataque que puede dañar los
datos. Una vez que el usuario proporciona la entrada, el sistema obtiene acceso a los datos necesarios
mediante una consulta. El problema se produce cuando el sistema no inspecciona correctamente la
solicitud de entrada proporcionada por el usuario. Los delincuentes pueden manipular la consulta al
programarla para que se adapte a sus necesidades y puedan tener acceso a la información de la base de
datos.

Todos los datos confidenciales almacenados en la base de datos son accesibles para los delincuentes y
pueden hacer cualquier cantidad de cambios en el sitio web. Un ataque de inyección XML amenaza a la
seguridad del sitio web.

Inyección SQL

El delincuente cibernético ataca a una vulnerabilidad al insertar una declaración maliciosa de SQL en un
campo de entrada. Nuevamente, el sistema no filtra correctamente los caracteres de entrada del usuario
en una declaración de SQL. Los delincuentes utilizan la inyección SQL en sitios web o cualquier base de
datos SQL.

Los delincuentes pueden suplantar la identidad, modificar datos existentes, destruir datos o convertirse en
administradores de servidores de bases de datos.

Desbordamiento del búfer

Un desbordamiento de búfer se produce cuando los datos van más allá de los límites de un búfer. Los
búferes son áreas de memoria asignadas a una aplicación. Al cambiar los datos más allá de los límites de
un búfer, la aplicación accede a la memoria asignada a otros procesos. Esto puede llevar a un bloqueo
del sistema, comprometer los datos u ocasionar el escalamiento de los privilegios.

El CERT/CC de la Universidad de Carnegie Mellon estima que casi la mitad de todos los ataques de
programas informáticos surgen históricamente de alguna forma de desbordamiento del búfer. La
clasificación genérica de desbordamientos del búfer incluye muchas variantes, como rebasamientos de
búfer estático, errores de indexación, errores de cadena de formato, incompatibilidades de tamaño del
búfer ANSI y Unicode, y rebasamiento en pila.

Ejecuciones remotas de códigos

Las vulnerabilidades que permiten que los delincuentes cibernéticos ejecuten códigos maliciosos y tomen
el control de un sistema con los privilegios del usuario que ejecuta la aplicación. La ejecución remota de
códigos permite que un delictiva ejecutar cualquier comando en una máquina de destino.
Considere, por ejemplo, Metasploit. Metasploit es una herramienta para desarrollar y ejecutar el código de
ataque contra un objetivo remoto. Meterpreter es un módulo de ataque dentro de Metasploit que
proporciona características avanzadas. Meterpreter permite a los delincuentes escribir sus propias
extensiones como un objeto compartido. Los delincuentes cargan e introducen estos archivos en un
proceso en ejecución del objetivo. Meterpreter carga y ejecuta todas las extensiones de la memoria, para
que nunca incluyan la unidad de disco duro. Esto también significa que estos archivos se desplazan bajo
el radar de la detección antivirus Meterpreter tiene un módulo para controlar la cámara web de un sistema
remoto. Una vez que el delincuente instala Meterpreter en el sistema de la víctima, este puede ver y
capturar imágenes desde la cámara web de la víctima.

Controles ActiveX y Java

Al explorar la Web, es posible que algunas páginas no funcionen correctamente a menos que el usuario
instale un control ActiveX. Los controles ActiveX y Java proporcionan la funcionalidad de un complemento
a Internet Explorer. Los controles ActiveX son piezas de software instalados por usuarios para
proporcionar funcionalidades extendidas. Los terceros escriben algunos controles ActiveX y estos pueden
ser maliciosos. Pueden monitorear los hábitos de navegación, instalar malware o registrar teclas. Los
controles ActiveX también funcionan en otras aplicaciones de Microsoft.

Java opera a través de un intérprete, la Máquina virtual Java (JVM). La JVM habilita la funcionalidad del
programa de Java. La JVM aísla el código no confiable del resto del sistema operativo. Existen
vulnerabilidades que permiten que el código no confiable sortee las restricciones impuestas por el
sandbox. También existen vulnerabilidades en la biblioteca de clase Java, que una aplicación utiliza para
su seguridad. Java es la segunda vulnerabilidad de seguridad más grande junto al complemento Flash de
Adobe.

Defensa de los ataques a las aplicaciones

La primera línea de defensa contra un ataque a las aplicaciones es escribir un código sólido.
Independientemente del idioma usado o el origen de entrada externa, la práctica de programación
prudente es tratar como hostil las entradas que estén fuera de una función. Valide todas las entradas
como si fueran hostiles.

Mantenga actualizado todo el software, que incluye sistemas operativos y aplicaciones, y no ignore los
indicadores de actualización. No todos los programas se actualizan automáticamente. Como mínimo,
seleccione la opción de actualización manual. Las actualizaciones manuales permiten a los usuarios ver
exactamente qué actualizaciones se realizan.

Capítulo 3: amenazas, vulnerabilidades y ataques a la ciberseguridad

Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de
ciberseguridad. En este capítulo se analizaron diversos ataques de ciberseguridad que los delincuentes
cibernéticos lanzan. En el capítulo se explicó la amenaza de malware y de código malicioso. En el
capítulo se analizaron los tipos de trucos involucrados en la ingeniería social. Las maniobras explicaron
los tipos de ataques que experimentan las redes inalámbricas y cableadas. Finalmente, en el capítulo se
analizaron las vulnerabilidades que presentan los ataques a las aplicaciones.

La comprensión de los tipos de amenazas posibles permite que una organización identifique las
vulnerabilidades que hacen que esta sea un objetivo. La organización luego podrá conocer cómo
defenderse de los trucos y maniobras de ciberseguridad.

Capítulo 4: el arte de proteger los secretos

Los principios de la criptología explican cómo los protocolos y los algoritmos modernos aseguran las
comunicaciones. La criptología es la ciencia de generar y descifrar códigos secretos. La criptografía
consta del desarrollo y el uso de códigos. El criptoanálisis es el estudio y el desciframiento de los códigos.
La sociedad ha utilizado la criptografía durante siglos para proteger los documentos secretos. Por
ejemplo, Julio César utilizó una cifra alfabética simple para cifrar los mensajes a sus generales en el
campo. Sus generales tenían conocimiento de la clave de cifrado requerida para descifrar los mensajes.
Actualmente, los métodos criptográficos modernos garantizan comunicaciones seguras.

El control de acceso es, como su nombre lo indica, una forma de controlar el acceso a un edificio, una
sala, un sistema, una base de datos, un archivo e información. Las organizaciones emplean una variedad
de técnicas de control de acceso para proteger la confidencialidad. Este capítulo analizará los cuatro
pasos del proceso de control de acceso: 1) identificación, 2) autenticación, 3) autorización y 4)
responsabilidad. Además, en el capítulo también se describen los diversos modelos de control de acceso
y los tipos de control de acceso.

El capítulo concluye con el análisis de las diversas maneras en que los usuarios enmascaran los datos.
La ofuscación de datos y la esteganografía son dos técnicas utilizadas para lograr el enmascaramiento de
datos.

¿Qué es la criptografía?

La criptología es la ciencia de generar y descifrar códigos secretos. La criptografía es un método para

almacenar y transmitir datos de modo que el receptor destinado pueda leerlos o procesarlos. La
criptografía moderna utiliza algoritmos seguros a nivel informático para asegurarse de que los
delincuentes cibernéticos no puedan poner en peligro fácilmente la información protegida.

La confidencialidad de los datos garantiza la privacidad de modo que solo el receptor previsto pueda leer
el mensaje. Las partes logran esto mediante la encriptación. La encriptación es el proceso de codificar
datos de modo que una parte no autorizada no puede leerlos fácilmente.

Al activar la encriptación, los datos legibles son textos simples o textos sin cifrar, mientras que la versión
cifrada es texto encriptado o texto cifrado. La encriptación convierte el mensaje legible de texto simple en
texto cifrado, que es el mensaje ilegible, oculto. El descifrado invierte el proceso. La encriptación también
requiere una clave, que desempeña un rol importante en la encriptación y desencriptación de un mensaje.
Las personas que poseen la clave pueden descifrar el texto cifrado a texto simple.

Históricamente, las partes han utilizado diversos algoritmos y métodos de encriptación. Un algoritmo es el
proceso o la fórmula utilizada para resolver un problema. Se dice que Julio César aseguraba los mensajes
al poner dos conjuntos de alfabeto, uno al lado del otro, y luego cambiaba uno de ellos con un número
específico de lugares. El número de lugares en el cambio sirve como la clave. Se convirtió el texto no
cifrado en texto cifrado usando esta clave, y solo sus generales, que también tenían la clave, sabían cómo
descifrar los mensajes. Este método se conoce como el cifrado César. La figura muestra un mensaje
secreto mediante el cifrado de César.

La historia de la criptografía

La historia de la criptografía comenzó en los círculos diplomáticos hace miles de años. Los mensajeros de
la corte del rey llevaban mensajes cifrados a otras cortes. Ocasionalmente, otras cortes no involucradas
en la comunicación, intentaban robar los mensajes enviados a un reino que consideraban un adversario.
Poco después, los comandantes militares comenzaron a utilizar la encriptación para asegurar los
mensajes.

Durante siglos, varios métodos de cifrado, dispositivos físicos y otros recursos de ayuda cifraban y
descifraban el texto:

 Scytale (Figura 1)

 Cifrado César (Figura 2)

 Cifrado de Vigenère (Figura 3)

 Máquina Enigma (Figura 4)

Todos los métodos de cifrado utilizan una clave para cifrar o descifrar un mensaje. La clave es un
componente importante en el algoritmo de encriptación. Un algoritmo de encriptación es tan bueno como
la clave utilizada. Cuanto más complejidad presente, más seguro será el algoritmo. La administración de
claves es una parte importante del proceso.

Creación del texto cifrado

Cada método de encriptación utiliza un algoritmo específico, llamado código, para cifrar y descifrar los
mensajes. Un código consta de una serie de pasos bien definidos utilizados para encriptar y descifrar los
mensajes. Existen varios métodos para crear un texto cifrado:

 Transposición: las letras se cambian (Figura 1)

 Sustitución: las letras se reemplazan (Figura 2)

 Libreta de un solo uso: texto no cifrado combinado con una clave secreta que crea un nuevo
caracter, que luego se combina con el texto simple para producir el texto cifrado (Figura 3)

Los viejos algoritmos de encriptación, como el cifrado César o la máquina Enigma, dependían del secreto
del algoritmo para alcanzar la confidencialidad. Con la tecnología moderna, donde a menudo la ingeniería
inversa es simple, las partes utilizan los algoritmos de dominio público. Con la mayoría de los algoritmos
modernos, el descifrado correcto requiere el conocimiento de las claves criptográficas adecuadas. Esto
significa que la seguridad de la encriptación reside en la privacidad de las claves, no del algoritmo.

Algunos algoritmos de encriptación modernos siguen utilizando la transposición como parte del algoritmo.

La administración de claves es la parte más difícil del diseño de un sistema criptográfico. Muchos
sistemas criptográficos han fallado por errores en la administración de claves y todos los algoritmos
criptográficos modernos requieren procedimientos de administración de claves. En la práctica, la mayoría
de los ataques en sistemas criptográficos implican el ataque del sistema de administración de claves, en
lugar del algoritmo criptográfico en sí mismo.

Dos tipos de encriptación

La encriptación criptográfica puede proporcionar confidencialidad al incorporar diversas herramientas y

protocolos.

Existen dos enfoques para garantizar la seguridad de los datos al utilizar la encriptación. La primera es
proteger el algoritmo. Si la seguridad de un sistema de encriptación depende del secreto del algoritmo, el
aspecto más importante es proteger al algoritmo a toda costa. Cada vez que alguien descubre los detalles
del algoritmo, cada parte involucrada debe cambiar el algoritmo. Este enfoque no suena muy seguro o
razonable. El segundo enfoque es proteger las claves. Con la criptografía moderna, suelen usarse
algoritmos públicos. Las claves criptográficas garantizan la privacidad de los datos. Las claves
criptográficas son contraseñas que forman parte de la información en un algoritmo de encriptación en
conjunto con datos que requieren encriptación.

Existen dos clases de algoritmos de encriptación:

Los algoritmos simétricos: estos algoritmos utilizan la misma clave precompartida, a veces llamada un
par de clave secreta, para cifrar y descifrar datos. El emisor y el receptor conocen la clave precompartida
antes de que comience cualquier comunicación cifrada. Como se muestra en la figura 1, los algoritmos
simétricos usan la misma clave para cifrar y descifrar texto no cifrado. Los algoritmos de encriptación que
utilizan una clave común son más simples y necesitan menos capacidad informática.

Algoritmos asimétricos: los algoritmos de encriptación asimétrica usan una clave para cifrar los datos y
una clave diferente para descifrarlos. Una clave es pública y la otra es privada. En un sistema de cifrado
de clave pública, cualquier persona puede cifrar un mensaje con la clave pública del receptor, y el
receptor es el único que puede descifrarlo mediante su clave privada. Las partes intercambian mensajes
seguros sin necesidad de utilizar una clave precompartida, como se muestra en la Figura 2. Los
algoritmos asimétricos son más complejos. Estos algoritmos requieren muchos recursos y son más lentos
para ejecutar.
Proceso de encriptación simétrica

Los algoritmos simétricos utilizan la misma clave precompartida para cifrar y descifrar datos, un método
también conocido como encriptación de clave privada.

Por ejemplo, Alice y Bob viven en diferentes ubicaciones y desean intercambiar mensajes secretos entre
sí a través del sistema de correo. Alice desea enviar un mensaje secreto a Bob.

El cifrado de clave privada utiliza un algoritmo simétrico. Como se ilustra por las claves en la figura, Alice
y Bob tienen claves idénticas para un único candado. El intercambio de claves sucedió antes de enviar un
mensaje privado. Alice escribe un mensaje privado y lo coloca en una caja pequeña que cierra con el
candado. Le envía la caja a Bob. El mensaje está seguro dentro de la caja mientras esta se abre camino a
través del sistema de oficina postal. Cuando Bob recibe la caja, usa la clave para abrir el candado y
recuperar el mensaje. Bob puede utilizar la misma caja y el mismo candado para enviar una respuesta
secreta a Alice.

Si Bob desea hablar con Carol, necesita una nueva clave precompartida para que esa comunicación sea
secreta para Alice. Con cuantas más personas Bob desee comunicarse de manera segura, más claves
deberá manejar.

Tipos de criptografía

Los tipos más comunes de criptografía son cifrados por bloques y cifrados de flujo. Cada método se
diferencia en la forma de agrupar bits de datos para cifrarlo.

Cifrado por bloques

Los cifrados por bloques transforman un bloque de texto simple, de longitud fija en un bloque común de
texto cifrado de 64 o 128 bits. El tamaño del bloque es la cantidad de datos cifrados en cualquier
momento. Para descifrar este texto cifrado, aplique la transformación inversa al bloque de texto cifrado,
utilizando la misma clave secreta.

Los cifrados por bloques producen generalmente los datos de salida que son mayores que los datos de
entrada, porque el texto cifrado debe ser un múltiplo del tamaño del bloque. Por ejemplo, el Estándar de
cifrado de datos (DES) es un algoritmo simétrico que cifra los bloques en fragmentos de 64 bits mediante
una clave de 56 bits. Para lograr esto, el algoritmo de bloque toma un fragmento de datos por vez, por
ejemplo, 8 bytes por fragmento, hasta que todo el bloque está completo. Si hay menos datos de entrada
que uno bloque completo, el algoritmo agrega datos artificiales o espacios en blanco, hasta que utiliza los
64 bits completos, como se muestra en la Figura 1 para los 64 bits de la izquierda.

Cifrado de flujo

A diferencia de los cifrados por bloque, los cifrados de flujo cifran el texto simple un byte o un bit por vez,
como se muestra en la Figura 2. Piense en los cifrados de flujo como el cifrado de bloques con el tamaño
de bloque de un bit. Con un cifrado de flujo, la transformación de estas unidades más pequeñas de texto
simple varía, según cuándo se las encuentra durante el proceso de encriptación. Los cifrados de flujo
pueden ser mucho más rápidos que los cifrados en bloque, y no aumentan generalmente el tamaño del
mensaje, ya que pueden cifrar un número arbitrario de bits.

El A5 es un cifrado de flujo que proporciona privacidad de voz y cifra las comunicaciones de telefonía
celular. También es posible utilizar el DES en el modo de cifrado de flujo.

Los sistemas criptográficos complejos pueden combinar el bloque y el flujo en el mismo proceso.

Algoritmos de encriptación simétrica

Los numerosos sistemas de encriptación usan la encriptación simétrica. Algunos de los estándares de
encriptación comunes que usan la encriptación simétrica incluyen los siguientes:
3DES (DES triple): el Estándar de encriptación digital (DES) es un cifrado de bloques simétrico con un
tamaño de bloque de 64 bits que utiliza una clave de 56 bits. Se necesita un bloque de texto simple de 64
bits de entrada y genera un bloque de 64 bits de texto cifrado. Opera siempre en bloques de igual tamaño
y utiliza las permutaciones y las sustituciones en el algoritmo. Una permutación es una manera de
organizar todos los elementos de un conjunto.

El DES triple cifra los datos tres veces y utiliza una clave diferente para al menos una de las tres veces,
proporcionando un tamaño de clave acumulativo de 112 a 168 bits. El 3DES es resistente a ataques, pero
es más lento que DES.

El ciclo de encriptación 3DES es el siguiente:

1. Datos cifrados por el primer DES

2. Datos descifrados por el segundo DES

3. Datos vueltos a cifrar por el tercer DES

El proceso inverso descifra el texto cifrado.

IDEA: el Algoritmo internacional de cifrado de datos (IDEA) utiliza bloques de 64 bits y claves de 128 bits.
IDEA realiza ocho rondas de las transformaciones en cada uno de los 16 bloques que se producen al
dividir cada bloque de 64 bits. IDEA fue el reemplazo de DES y ahora la PGP (Pretty Good Privacy) la
utiliza. El PGP es un programa que proporciona privacidad y autenticación para la comunicación de datos.
La protección de privacidad GNU (GPG) es una versión de PGP gratuita y con licencia.

AES: el Estándar de encriptación avanzada (AES) tiene un tamaño de bloque fijo de 128 bits con un
tamaño de clave de 128, 192 o 256 bits. El Instituto Nacional de Normas y Tecnología (NIST) aprobó el
algoritmo AES en diciembre de 2001. El gobierno de los EE. UU. utiliza el AES para proteger la
información clasificada.

El AES es un algoritmo sólido que utiliza claves de mayor longitud. El AES es más rápido que DES y
3DES, lo que brinda una solución para las aplicaciones de software así como también el uso de hardware
en los firewalls y los routers.

Otros cifrados por bloque incluyen Skipjack (desarrollados por la NSA), Blowfish y Twofish.

El proceso de encriptación asimétrica

La encriptación asimétrica, también denominada cifrado de clave pública, utiliza una clave para la
encriptación que es diferente de la clave utilizada para el descifrado. Un delincuente no puede calcular la
clave de descifrado según el conocimiento de la clave de cifrado, y viceversa, en una cantidad de tiempo
razonable.

Si Alice y Bob intercambian un mensaje secreto mediante la encriptación de clave pública, utilizan un
algoritmo asimétrico. Esta vez, Bob y Alice no intercambian claves antes de enviar los mensajes secretos.
En cambio, Bob y Alice poseen un candado separado con las claves correspondientes separadas. Para
que Alice envíe un mensaje privado de Bob, primero debía ponerse en contacto con él y solicitarle que le
envíe su candado abierto. Bob envía el candado pero mantiene la clave. Cuando Alice recibe el candado,
escribe su mensaje secreto y lo coloca en una caja pequeña. También coloca su candado abierto en la
caja pero mantiene la clave. Luego cierra la caja con el candado de Bob. Cuando Alice cierra la caja, ya
no puede ingresar ya que no tiene una clave para ese candado. Le envía la caja a Bob y, como esta viaja
a través del sistema de correo, nadie puede abrirlo. Cuando Bob recibe la caja, puede usar su clave para
abrir la caja y recuperar el mensaje de Alice. Para enviar una respuesta segura, Bob pone su mensaje
secreto en la caja, junto con su candado abierto y cierra la caja con el candado de Alice. Bob envía por
correo la caja asegurada a Alice.

Por ejemplo, en la Figura 1, Alice solicita y obtiene la clave pública de Bob. En la Figura 2, Alice utiliza la
clave pública de Bob para cifrar un mensaje con un algoritmo acordado. Alice envía el mensaje cifrado a
Bob y este luego usa su clave privada para descifrar el mensaje, como se muestra en la Figura 3.
Algoritmo de encriptación asimétrica

Los algoritmos asimétricos utilizan fórmulas que cualquier persona puede buscar. El par de claves no
relacionadas es lo que hace que estos algoritmos sean seguros. Los algoritmos asimétricos incluyen los
siguientes:

RSA (Rivest-Shamir-Adleman): utiliza el producto de dos números primos muy grandes con una longitud
igual de entre 100 y 200 dígitos. Los navegadores utilizan RSA para establecer una conexión segura.

Diffie-Hellman: proporciona un método de intercambio electrónico para compartir la clave secreta. Los
protocolos seguros, como Secure Sockets Layer (SSL), Transport Layer Security (TLS), Shell seguro
(SSH) y Protocolo de seguridad de Internet (IPsec), utilizan Diffie-Hellman.

ElGamal: utiliza el estándar del gobierno de EE. UU. para las firmas digitales. Este algoritmo es gratuito
ya que nadie posee la patente.

Criptografía de curva elíptica (ECC): usa curvas elípticas como parte del algoritmo. En EE. UU., la
Agencia de Seguridad Nacional utiliza la ECC para la generación de firma digital y el intercambio de
claves.

Administración de claves

La administración de claves incluye generación, intercambio, almacenamiento, uso y reemplazo de claves

utilizadas en un algoritmo de encriptación.

La administración de claves es la parte más difícil del diseño de un sistema criptográfico. Muchos
sistemas criptográficos han fallado por errores en los procedimientos de administración de claves. En la
práctica, la mayoría de los ataques a los sistemas criptográficos se realizan en el nivel de administración
de claves, en lugar del algoritmo criptográfico en sí mismo.

Como se muestra en la figura, existen varias características esenciales de administración de claves que
deben considerarse.

Dos términos utilizados para describir las claves son:

 Longitud de las claves: también denominado tamaño de la clave, es la medida en bits.

 Espacio de clave: es la cantidad de intentos que una longitud de clave específica puede
generar.

A medida que aumenta la longitud de la clave, el espacio aumenta de manera exponencial. El espacio de
clave de un algoritmo es el conjunto de todos los valores posibles de la clave. Las claves más largas son
más seguras; sin embargo, también requieren más recursos. Casi todos los algoritmos tienen algunas
claves débiles en su espacio de clave que permiten a un delincuente descifrar las claves a través de un
acceso directo.

Comparación de los tipos de encriptación

Es importante comprender las diferencias entre los métodos de encriptación simétricos y asimétricos. Los
sistemas de encriptación simétrica son más eficientes y pueden manejar más datos. Sin embargo, la
administración de claves con sistemas de encriptación simétrica es más problemática y más difícil de
manejar. La criptografía asimétrica es más eficiente en la protección de la confidencialidad de pequeñas
cantidades de datos y su tamaño y velocidad permiten que sea más segura para tareas como el
intercambio de claves electrónicas que es una pequeña cantidad de datos en lugar de cifrar grandes
bloques de datos.

Mantener la confidencialidad es importante para los datos almacenados y los datos en movimiento. En
ambos casos, la encriptación simétrica resulta favorecida debido a su velocidad y la simplicidad del
algoritmo. Algunos algoritmos asimétricos pueden aumentar considerablemente el tamaño del objeto
cifrado. Por lo tanto, en el caso de los datos en movimiento, use la criptografía de clave pública para
intercambiar la clave secreta y luego la criptografía simétrica para garantizar la confidencialidad de los
datos enviados.

Aplicaciones

Existen numerosas aplicaciones para los algoritmos simétricos y asimétricos.

El token de generación de contraseñas de única vez es un dispositivo de hardware que utiliza la

criptografía para generar una contraseña única. Una contraseña de única vez es una cadena de
caracteres numérica o alfanumérica generada automáticamente que autentica al usuario para una
transacción de solo una sesión. El número cambia cada 30 segundos aproximadamente. La contraseña
de la sesión aparece en una pantalla y el usuario introduce la contraseña.

La industria de pago electrónico utiliza 3DES. Los sistemas operativos utilizan DES para proteger los
archivos de usuarios y los datos del sistema con contraseñas. La mayoría de los sistemas de archivos de
cifrado, como NTFS, utilizan AES.

Cuatro protocolos utilizan algoritmos de clave asimétrica:

 Intercambio de claves por Internet (IKE), que es un componente fundamental de las redes
privadas virtuales (VPN) de IPsec.

 Secure Sockets Layer (SSL), un medio para implementar la criptografía en un navegador web.

 Shell seguro (SSH), un protocolo que proporciona una conexión de acceso remoto segura a un
dispositivo de red.

 Pretty Good Privacy (PGP), un programa informático que proporciona privacidad y autenticación
criptográfica para mejorar la seguridad de las comunicaciones por correo electrónico.

Una VPN es una red privada que utiliza una red pública, generalmente Internet, para crear un canal de
comunicación seguro. Una VPN conecta dos terminales como dos oficinas remotas mediante Internet
para crear la conexión.

Las VPN utilizan IPsec. IPsec es un conjunto de protocolos desarrollado para lograr servicios seguros en
las redes. Los servicios de IPSec permiten la autenticación, la integridad, el control de acceso y la
confidencialidad. Con IPsec, los sitios remotos pueden intercambiar información cifrada y verificada.

Los datos en uso son una preocupación cada vez mayor para muchas organizaciones. Cuando se
encuentran en uso, los datos ya no tienen cualquier protección porque el usuario necesita abrir y cambiar
los datos. La memoria del sistema contiene los datos en uso y puede contener los datos confidenciales
como la clave de cifrado. Si los delincuentes comprometen los datos en uso, tendrán acceso a los datos
almacenados y a los datos en movimiento.

ontroles de acceso físico

Son obstáculos reales implementados para evitar el contacto directo con los sistemas. El objetivo es evitar
que los usuarios no autorizados tengan acceso físico a las instalaciones, el equipo y otros activos de la
organización.

El control de acceso físico determina quién puede ingresar (o salir) y dónde y cuándo puede hacerlo.

Los ejemplos de controles de acceso físico incluyen los siguientes:

 Las protecciones (Figura 1) supervisan las instalaciones

 Las cercas (Figura 2) protegen el perímetro

  Los detectores de movimiento (Figura 3) detectan objetos móviles

 Los bloqueos de las PC portátiles (Figura 4) protegen los equipos portátiles

 Las puertas bloqueadas (Figura 5) evitan el acceso no autorizado

 Las tarjetas de deslizamiento (Figura 6) permiten el acceso a las áreas restringidas

 Los perros guardianes (Figura 7) protegen las instalaciones

 Las videocámaras (Figura 8) supervisan las instalaciones al recopilar y registrar las imágenes

 Las trampas (Figura 9) permiten el acceso al área segura después de que la puerta 1 se cierra

 Las alarmas (Figura 10) detectan intrusiones

Control de acceso lógico

Los controles de acceso lógico son soluciones de hardware y software que se utilizan para administrar el
acceso a recursos y sistemas. Estas soluciones basadas en tecnología incluyen las herramientas y los
protocolos que los sistemas informáticos utilizan para la identificación, autenticación, autorización y
responsabilidad.

Los controles de acceso lógico incluyen los siguientes:

 La encriptación es el proceso de tomar el texto simple y crear el texto cifrado

 Las tarjetas inteligentes tienen un microchip integrado

 Las contraseñas constan de una cadena de caracteres protegida

 La biométrica consta de las características físicas de los usuarios

 Las listas de control de acceso (ACL) definen el tipo de tráfico permitido en una red

 Los protocolos son un conjunto de reglas que rigen el intercambio de datos entre dispositivos

 Los firewalls evitan el tráfico de red no deseado

 Los routers conectan al menos dos redes

 Los sistemas de detección de intrusiones supervisan una red para detectar actividades
sospechosas

 Los niveles de recorte son determinados umbrales permitidos para detectar errores antes de
activar una indicador rojo

Haga clic en cada tipo de control de acceso lógico de la figura para obtener más información.

Controles de acceso administrativo

Los controles de acceso administrativo son las políticas y los procedimientos que definen las
organizaciones para implementar y hacer cumplir todos los aspectos del control de acceso no autorizado.
Los controles administrativos se enfocan en las prácticas de personal y las prácticas empresariales. Los
controles administrativos incluyen los siguientes:
  Las políticas son declaraciones de intenciones

 Los procedimientos son los pasos detallados necesarios para realizar una actividad

 Las prácticas de contratación comprende los pasos que una organización sigue para encontrar
empleados calificados

 Las comprobaciones de antecedentes son un evaluación del empleo que incluye la información
de la última verificación de empleo, historial de crédito y antecedentes penales

 La clasificación de datos califica los datos según su sensibilidad

 La capacitación de seguridad capacita a los empleados sobre las políticas de seguridad en una
organización

 Las revisiones evalúan el rendimiento laboral de un empleado

Control de acceso obligatorio

El control de acceso obligatorio (MAC) restringe las acciones que un sujeto puede realizar en un objeto.
Un sujeto puede ser un usuario o un proceso. Un objeto puede ser un archivo, un puerto o un dispositivo
de entrada/salida. Una regla de autorización se aplica si un sujeto puede acceder al objeto o no.

Las organizaciones utilizan el MAC donde se encuentran diferentes niveles de clasificaciones de

seguridad. Cada objeto tiene una etiqueta y cada sujeto tiene una espacio libre. Un sistema MAC
restringe a un sujeto según la clasificación de seguridad del objeto y la etiqueta anexada al usuario.

Por ejemplo, tome las clasificaciones de seguridad militar denominadas «secreto» y «máxima
confidencialidad». Si un archivo (un objeto) se considera de máxima confidencialidad, es un archivo que
se clasifica (etiqueta) como «máxima confidencialidad». Las únicas personas (sujetos) que pueden ver el
archivo (objeto) son aquellas con un permiso de «maxima confidencialidad». El mecanismo de control de
acceso debe garantizar que una persona (sujeto) con permiso «Secreto» solamente, nunca obtenga
acceso a un archivo catalogado como «de máxima confidencialidad». De manera similar, un usuario
(sujeto) con permiso de acceso «de máxima confidencialidad» no puede cambiar la clasificación de un
archivo (objeto) catalogado como «de máxima confidencialidas» a «secreto». Además, un usuario con
permiso de «máxima confidencialidad» no puede enviar un archivo de máxima confidencialidad a un
usuario que solo tiene permiso para ver información secreta.

Control de acceso obligatorio

El control de acceso obligatorio (MAC) restringe las acciones que un sujeto puede realizar en un objeto.
Un sujeto puede ser un usuario o un proceso. Un objeto puede ser un archivo, un puerto o un dispositivo
de entrada/salida. Una regla de autorización se aplica si un sujeto puede acceder al objeto o no.

Las organizaciones utilizan el MAC donde se encuentran diferentes niveles de clasificaciones de

seguridad. Cada objeto tiene una etiqueta y cada sujeto tiene una espacio libre. Un sistema MAC
restringe a un sujeto según la clasificación de seguridad del objeto y la etiqueta anexada al usuario.

Por ejemplo, tome las clasificaciones de seguridad militar denominadas «secreto» y «máxima
confidencialidad». Si un archivo (un objeto) se considera de máxima confidencialidad, es un archivo que
se clasifica (etiqueta) como «máxima confidencialidad». Las únicas personas (sujetos) que pueden ver el
archivo (objeto) son aquellas con un permiso de «maxima confidencialidad». El mecanismo de control de
acceso debe garantizar que una persona (sujeto) con permiso «Secreto» solamente, nunca obtenga
acceso a un archivo catalogado como «de máxima confidencialidad». De manera similar, un usuario
(sujeto) con permiso de acceso «de máxima confidencialidad» no puede cambiar la clasificación de un
archivo (objeto) catalogado como «de máxima confidencialidas» a «secreto». Además, un usuario con
permiso de «máxima confidencialidad» no puede enviar un archivo de máxima confidencialidad a un
usuario que solo tiene permiso para ver información secreta.
Control de acceso basado en roles

El control de acceso basado en roles (RBAC) depende del rol del sujeto. Los roles son las funciones de
trabajo en una organización. Los roles específicos requieren permisos para realizar determinadas
operaciones. Los usuarios adquieren permisos a través de su función.

El RBAC puede trabajar junto con DAC o MAC al hacer cumplir las políticas de cualquiera de ellos. El
RBAC ayuda a implementar la administración de seguridad en grandes organizaciones con cientos de
usuarios y miles de permisos posibles. Las organizaciones aceptan ampliamente el uso de RBAC para
administrar permisos en un sistema o una aplicación, como una mejor práctica.

Control de acceso basado en reglas

El control de acceso basado en reglas utiliza listas de control de acceso (ACL) para ayudar a determinar
si otorga acceso o no. Una serie de reglas se incluye en la ACL, como se muestra en la figura. Establecer
si se debe otorgar acceso depende de estas reglas. Un ejemplo de esa regla es una que indica que
ningún empleado puede acceder al archivo de nómina después de horario o los fines de semana.

Como ocurre con el MAC, los usuarios no pueden cambiar las reglas de acceso. Las organizaciones
pueden combinar el control de acceso basado en reglas con otras estrategias para implementar las
restricciones de acceso. Por ejemplo, los métodos de MAC pueden utilizar un enfoque basado en reglas
para la implementación.

¿Qué es la identificación?

La identificación aplica las reglas establecidas por la política de autorización: Un sujeto solicita acceso a
un recurso del sistema. Cada vez que el sujeto solicita acceso a un recurso, los controles de acceso
determinan si otorgar o denegar el acceso. Por ejemplo, la política de autorización determina qué
actividades puede realizar un usuario en un recurso.

Un identificador único garantiza la asociación correcta entre las actividades permitidas y los sujetos. Un
nombre de usuario es el método más común utilizado para identificar a un usuario. Un nombre de usuario
puede ser una combinación alfanumérica, un número de identificación personal (PIN), una tarjeta
inteligente o método biométrico, por ejemplo una huella digital, el escaneo de retina o el reconocimiento
de voz.

Un identificador único garantiza que un sistema pueda identificar a cada usuario de manera individual; por
lo tanto, permite que un usuario autorizado realice las acciones adecuadas en un recurso particular.

Controles de identificación

Las políticas de ciberseguridad determinan qué controles de identidad deben utilizarse. La sensibilidad de
la información y los sistemas de información determinan cuán rigurosos son los controles. El aumento de
las violaciones de datos han forzado a muchas organizaciones a fortalecer sus controles de identificación.
Por ejemplo, la industria de la tarjeta de crédito en los Estados Unidos requiere que todos los proveedores
convertir a los sistemas de identificación de la tarjeta inteligente.

Qué es lo que sabe

Contraseñas o PIN son ejemplos de algo que un usuario conoce. Las contraseñas son el método más
popular que se utiliza para la autenticación. Los términos, contraseña, clave de acceso o PIN se conocen
de manera genérica como contraseña. Una contraseña es una cadena de caracteres que se utiliza para
autenticar la identidad de un usuario. Si esta cadena de caracteres se relaciona con un usuario (como un
nombre, una fecha de nacimiento o una dirección), será más fácil para los delincuentes cibernéticos
adivinar la contraseña del usuario.
Varias publicaciones recomiendan que la contraseña tenga al menos ocho caracteres. Los usuarios no
deben crear una contraseña que sea tan larga y por lo tanto sea difícil de memorizar, o a la inversa, que
sea tan corta y que por lo tanto sea fácil de descifrarla. Las contraseñas deben contener una combinación
de letras mayúsculas y minúsculas, números y caracteres especiales. Haga clic aquí para probar las
contraseñas actuales.

Los usuarios necesitan utilizar contraseñas diferentes para los distintos sistemas porque si un delincuente
decodifica la contraseña de usuario una vez, podrá acceder a todas las cuentas de un usuario. El
administrador de contraseñas puede ayudar a un usuario a crear y a recordar las contraseñas seguras.
Haga clic aquí para ver un generador de contraseñas seguras.

Qué es lo que tiene

Las tarjetas inteligentes y los llaveros de seguridad son dos ejemplos de algo que los usuarios tienen en
su poder.

Seguridad de tarjeta inteligente (Figura 1): una tarjeta inteligente es una pequeña tarjeta de plástico,
aproximadamente del tamaño de una tarjeta de crédito, con un pequeño chip incorporado en ella. El chip
es un portador de datos inteligente, capaz de procesar, almacenar, y de proteger los datos. Las tarjetas
inteligentes almacenan información privada, como números de cuenta bancaria, identificación personal,
historias clínicas y firmas digitales. Las tarjetas inteligentes proporcionan autenticación y cifrado para
mantener los datos a salvo.

Llaveros de seguridad (Figura 2): un llavero de seguridad es un dispositivo que es lo suficientemente

pequeño como para llevarlo en un llavero. Utiliza un proceso llamado autenticación de dos factores, que
es más seguro que una combinación de nombre de usuario y contraseña. Primero, el usuario ingresa un
número de identificación personal (PIN). Si está ingresado correctamente, el llavero de seguridad
mostrará un número. Éste es el segundo factor que el usuario debe ingresar para iniciar sesión en el
dispositivo o la red.

Quién es

Una característica física única, como una huella digital, una retina o una voz que identifica a un usuario
específico se denomina biométrica. La seguridad biométrica compara características físicas con perfiles
almacenados para autenticar usuarios. Un perfil es un archivo de datos que contiene características
conocidas de una persona. El sistema otorga acceso de usuario si sus características coinciden con las
configuraciones guardadas. Un lector de huellas digitales es un dispositivo biométrico común.

Existen dos tipos de identificadores biométricos:

 Características fisiológicas: incluyen huellas digitales, ADN, características de rostro, manos,

retina oído

 Características de comportamiento: incluye patrones de comportamiento, como gestos, voz,

ritmo de escritura o la manera de caminar de un usuario

Los datos biométricos son cada vez más popular en sistemas de seguridad pública, productos
electrónicos de consumo y aplicaciones de punto de venta. La implementación de datos biométricos utiliza
un dispositivo de escaneo o lectura, un software que convierte la información escaneada en formato
digital y una base de datos que almacena datos biométricos para su comparación.

Autenticación de varios factores

La autenticación de varios factores utiliza al menos dos métodos de verificación. Un llavero con clave de
seguridad es un buen ejemplo Los dos factores son algo que usted sabe, como una contraseña, y algo
que posee, como un transmisor de seguridad. Avance un paso más al agregar algo que usted es, por
ejemplo el escaneo de huellas digitales.
La autenticación de varios factores pueden reducir la incidencia de robo de identidad en línea porque al
conocer la contraseña no le daría acceso a los delincuentes cibernéticos a la información del usuario. Por
ejemplo, un sitio web de banca en línea puede requerir una contraseña y un PIN que el usuario recibe en
su smartphone. Como se muestra en la figura, el retiro de efectivo de un ATM es otro ejemplo de
autenticación de varios factores. El usuario debe tener la tarjeta de un banco y conocer el PIN antes de
que el ATM dispense dinero.

¿Qué es la autorización?

La autorización controla lo que el usuario puede hacer o no en la red después de una autenticación
satisfactoria: Después de que un usuario prueba su identidad, el sistema verifica a qué recursos de red
puede acceder el usuario y qué pueden hacer los usuarios con los recursos. Como se muestra en la
figura, la autorización responda la pregunta, «¿Qué privilegios de lectura, copia, creación y eliminación
tiene el usuario?»

La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red. El sistema
compara estos atributos a la información contenida en la base de datos de autenticación, determina un
conjunto de restricciones para ese usuario y lo envía al router local donde el usuario está conectado.

La autorización es automática y no requiere que los usuarios tomen medidas adicionales después de la
autenticación. Implemente la autorización inmediatamente después de que el usuario realice la
autenticación.

Uso de la autorización

La definición de reglas de autorización es el primer paso para controlar el acceso. Una política de
autorización establece estas reglas.

Una política de pertenencia a grupos define la autorización según la pertenencia a un grupo determinado.
Por ejemplo, todos los empleados de una organización tienen una tarjeta de deslizamiento, que
proporciona acceso a las instalaciones. Si el trabajo de un empleado no requiere que este tenga acceso a
la sala de servidores, la tarjeta de seguridad no le permitirá ingrese a esa sala.

Una política de autoridad define los permisos de acceso según la posición de un empleado dentro de la
organización. Por ejemplo, solo los empleados de nivel sénior en un departamento de TI pueden tener
acceso a la sala de servidores.

¿Qué es la responsabilidad?

La responsabilidad rastrea una acción hasta una persona o un proceso y realiza el cambio a un sistema,
recopila esta información e informa los datos de uso. La organización puede utilizar estos datos para fines
como auditorías o facturación. Los datos recopilados pueden incluir el tiempo de inicio de sesión de un
usuario, si el inicio de sesión fue un éxito o una falla o los recursos de red a los que el usuario tenía
acceso. Esto permite que una organización localice acciones y errores durante una auditoría o una
investigación.

mplementación de la responsabilidad

La implementación de responsabilidad consta de tecnologías, políticas procedimientos y formación. Los

archivos de registro proporcionan información detallada según los parámetros seleccionados. Por
ejemplo, una organización puede ver el registro de los inicios de sesión fallidos y correctos. Las fallas de
inicio de sesión pueden indicar que un delincuente intentó hackear una cuenta. Los inicios de sesión
exitosos indican a una organización qué usuarios utilizan qué recursos y cuándo. ¿Es normal que un
usuario autorizado tenga acceso a la red de la empresa a las 3:00 a.m.? Las políticas y los
procedimientos de la organización explican qué medidas deben registrarse y cómo se generan, se revisan
y almacenan los archivos de registro.
La retención de datos, la eliminación de medios y los requisitos de cumplimiento proporcionan la
responsabilidad. Muchas leyes requiere la implementación de medidas para proteger diferentes tipos de
datos. Estas leyes guían a una organización de forma correcta para administrar, almacenar y desechar
datos. La educación y el conocimiento de las políticas, los procedimientos y las leyes relacionadas de una
organización también pueden contribuir a la responsabilidad.

Controles preventivos

Prevenir significa evitar que algo suceda. Los controles de acceso preventivo evitan que ocurran
actividades no deseadas o no autorizadas. Para un usuario autorizado, un control de acceso preventivo
significa restricciones. La asignación de privilegios específicos a un usuario en un sistema es un ejemplo
de control preventivo. Aunque un usuario es un usuario autorizado, el sistema establece límites para
evitar que el usuario tenga acceso y realice acciones no autorizadas. Un firewall que bloquea el acceso a
un puerto o servicio que los delincuentes cibernéticos puedan atacar también se considera un tipo de
control preventivo.

Controles disuasivos

Un obstáculo es lo opuesto a una recompensa. Una recompensa alienta a las personas a hacer lo
correcto, mientras que un obstáculo las desalienta a hacer lo incorrecto. Los profesionales y las empresas
de seguridad cibernética utilizan obstáculos para limitar o para mitigar una acción o un comportamiento,
pero los controles disuasivos no los dejan. Los obstáculos del control de acceso desalientan a los
delincuentes cibernéticos a obtener acceso no autorizado a los sistemas de información o a datos
confidenciales. Los obstáculos del control de acceso desalientan los ataques al sistema, el robo de datos
o la propagación de códigos maliciosos. Las organizaciones utilizan obstáculos de control de acceso para
hacer cumplir las políticas de ciberseguridad.

Los obstáculos hacen que los delincuentes cibernéticos potenciales piensen dos veces antes de cometer
un delito. La figura enumera los obstáculos comunes de control de acceso que se utilizan en el mundo de
la ciberseguridad.

Controles de detección

La detección es el acto o proceso de advertir o descubrir algo Las detecciones de control de acceso
identifican diferentes tipos de actividad no autorizada. Los sistemas de detección pueden ser muy
simples, como un detector de movimiento o un guardia de seguridad. También pueden ser más
complejos, como un sistema de detección de intrusiones. Todos los sistemas de detección tienen muchas
cosas en común; buscan la actividad inusual o prohibida. También proporcionan métodos para registrar o
alertar a los operadores del sistema sobre un posible acceso no autorizado. Los controles de detección no
impiden que algo suceda; más bien son medidas que se toman después de que se realiza el hecho.

Controles correctivos

Los controles correctivos contrarrestan algo que no es deseable. Las organizaciones establecen controles
de acceso correctivos después de que un sistema experimenta una amenaza. Los controles correctivos
restauran el sistema a un estado de confidencialidad, integridad y disponibilidad. También pueden
restaurar los sistemas a la normalidad luego de que se produzca una actividad no autorizada.

Controles de recuperación

La recuperación implica volver a un estado normal. Los controles de acceso de recuperación restauran
recursos, funciones y capacidades después de una violación de la política de seguridad. Los controles de
recuperación pueden reparar el daño, además de detener cualquier otro daño. Estos controles tienen
capacidades más avanzadas sobre los controles de acceso correctivos.
Controles compensativos

Implican compensar algo. Los controles de acceso compensativos ofrecen opciones a otros controles
para fomentar el cumplimiento en respaldo de la política de seguridad.

Un control compensativo también puede ser una sustitución utilizada en lugar del control que no es
posible en determinadas circunstancias. Por ejemplo, una organización puede no tener un perro guardián,
entonces implementa un detector de movimiento con un reflector y un sonido de ladridos.

¿Qué es el enmascaramiento de datos?

El enmascaramiento de datos es una tecnología que protege los datos al reemplazar la información
confidencial por una versión no confidencial. La versión no confidencial se parece a la información
original. Esto significa que un proceso comercial puede usar los datos no confidenciales y no es necesario
cambiar las aplicaciones de respaldo o las instalaciones de almacenamiento de datos. En el caso de uso
más común, el enmascaramiento limita la propagación de datos confidenciales dentro de los sistemas de
TI al distribuir los conjuntos de datos sustitutos para la prueba y el análisis. La información puede estar
enmascarada dinámicamente si el sistema o la aplicación determina que una solicitud de información
confidencial del usuario es arriesgada.

Técnicas de enmascaramiento de datos

El enmascaramiento de datos puede reemplazar los datos confidenciales en los entornos no productivos
para proteger la información subyacente.

Existen varias técnicas de enmascaramiento de datos que pueden garantizar que los datos sigan siendo
importantes pero se cambien lo suficiente para protegerlos:

 La sustitución reemplaza los datos por valores que parecen auténticos para aplicar el anonimato
a los registros de datos.

 El desplazamiento deriva un conjunto de sustitución de la misma columna de datos que un

usuario desea enmascarar. Esta técnica funciona bien para la información financiera en una base
de datos de prueba, por ejemplo.

 La anulación aplica un valor nulo a un campo específico, lo cual evita completamente la

visibilidad de los datos.

¿Qué es la esteganografía?

La esteganografía oculta datos (el mensaje) en otro archivo, como un archivo de texto gráfico, de audio u
otro archivo de texto. La ventaja de la esteganografía con respecto a la criptografía es que el mensaje
secreto no atrae ninguna atención especial. Nadie sabría nunca que una imagen contenía realmente un
mensaje secreto al ver el archivo en formato electrónico o impreso.

Existen varios componentes involucrados en el ocultamiento de datos: Primero, existen los datos
integrados, que es el mensaje secreto. El texto cubierto (imagen cubierta o audio cubierto) oculta los
datos integrados y genera un estegotexto (o una estegoimagen o estegoaudio). Una estegoclave controla
el proceso de ocultamiento.

Técnicas de esteganografía

El enfoque utilizado para integrar los datos en una imagen cubierta utiliza los bits menos significativos
(LSB). Este método utiliza bits de cada píxel en la imagen. Un píxel es la unidad básica de color
programable en una imagen de computadora. El color específico de un píxel es una combinación de tres
colores: rojo, verde y azul (RGB). Tres bytes de datos especifican el color de un píxel (un byte para cada
color). Ocho bits conforman un byte. El sistema de colores de 24 bits utiliza los tres bytes. LSB utiliza un
bit de cada uno de los componentes rojo, verde y azul. Cada píxel puede ahorrar 3 bits.

La figura muestra tres píxeles de una imagen de 24 bits. Una de las letras del mensaje secreto es la letra
T y la inserción del caracter T solo cambia dos bits del color. El ojo humano no puede reconocer los
cambios realizados a los bits menos significativos. El resultado es un carácter oculto.

En promedio, menos de la mitad de los bits de una imagen deberá cambiar para ocultar un mensaje
secreto de manera eficaz.

Esteganografía social

La esteganografía social oculta información a plena vista al crear un mensaje que algunos pueden leer de
determinada manera para recibir el mensaje. Otras personas que lo ven de manera normal, no verán el
mensaje. Los adolescente utilizan esta táctica en los medios sociales para comunicarse con sus amigos
más cercanos mientras que otros, como sus padres, desconocen el significado real del mensaje. Por
ejemplo, la frase «vamos al cine» puede significar «vamos a la playa».

Las personas en los países que censuran los medios también utilizan la esteganografía social para
mandar sus mensajes al deletrear las palabras de manera incorrecta a propósito o hacer referencias
imprecisas. En efecto, se comunican con diferentes audiencias de manera simultánea.

Detección

El estegoanálisis es el descubrimiento de que existe información oculta. El objetivo del estegoanálisis es

detectar información oculta.

Los patrones de la estegoimagen generan sospecha. Por ejemplo, un disco puede tener áreas sin utilizar
que ocultan información. Las utilidades de análisis de disco pueden informar sobre la información oculta
en clústeres sin utilizar de dispositivos de almacenamiento. Los filtros pueden capturar los paquetes de
datos que contienen información oculta en los encabezados de paquete. Ambos métodos usan las firmas
de esteganografía.

Al comparar una imagen original con la estegoimagen, un analista puede recoger patrones repetitivos de
manera visual.

Ofuscación

La ofuscación de datos es el uso y la práctica de las técnicas de esteganografía y enmascaramiento de

los datos en el área de ciberseguridad y la profesión de inteligencia cibernética: La ofuscación es el arte
de hacer que el mensaje sea confuso, ambiguo o más difícil comprender. Un sistema puede codificar
mensajes deliberadamente para evitar el acceso no autorizado a la información confidencial.

Aplicaciones

La marca el agua de software protege al software del acceso o la modificación no autorizada. La marca de
agua de software inserta un mensaje secreto en el programa como prueba de propiedad. El mensaje
secreto es la marca de agua del software. Si alguien intenta eliminar la marca de agua, el resultado es un
código no funcional.

La ofuscación de software traduce el software a una versión equivalente a la original, pero a una solución
que es más difícil de analizar para los atacantes. Si se intenta revertir la ingeniería del software esto
puede brindar resultados incomprensibles de un software que todavía funciona.

Capítulo 4: el arte de proteger los secretos

En este capítulo, se analizaron los principios de criptología utilizados para comunicaciones seguras. En el
capítulo se explicaron los algoritmos de encriptación simétrica y asimétrica, se compararon los dos
algoritmos y se proporcionaron ejemplos de su uso.

En el capítulo se explicó cómo el control de acceso evita el acceso no autorizado a un edificio, a una sala,
a un sistema o a un archivo mediante la identificación, autenticación, autorización y responsabilidad.
Además, en el capítulo también se describieron los diversos modelos de control de acceso y los tipos de
control de acceso.

El capítulo concluyó con el análisis de las diversas maneras en que los usuarios enmascaran los datos.
La ofuscación de datos y la esteganografía son dos técnicas utilizadas para lograr el enmascaramiento de
datos.

Capítulo 5: El arte de garantizar la integridad

La integridad garantiza que nada ni nadie modifique los datos y que estos sean confiables durante su ciclo
de vida completo. La integridad de los datos es un componente fundamental para el diseño, la
implementación y el uso de cualquier sistema que almacene, procese o transmita datos. Este capítulo
comienza analizando los tipos de controles de integridad de datos utilizados, por ejemplo los algoritmos
de hash, la técnica de «salting» y el código de autenticación de mensajes de hash con clave (HMAC). El
uso de firmas y certificados digitales incorpora los controles de integridad de datos para proporcionar a los
usuarios una manera de verificar la autenticación de mensajes y documentos. El capítulo finaliza con un
análisis de las aplicaciones de integridad de la base de datos. Tener un sistema de integridad de datos
bien controlado y bien definido permite aumentar la estabilidad, el rendimiento y la capacidad de
mantenimiento de un sistema de base de datos.

¿Qué es el hash?

Los usuarios deben saber que sus datos permanecen sin cambios mientras se encuentran almacenados o
en tránsito. El hash es una herramienta que garantiza la integridad de datos al tomar los datos binarios (el
mensaje) y generar una representación de longitud fija llamada valor hash o compendio del mensaje,
como se muestra en la figura.

La herramienta de hash utiliza una función criptográfica de hash para verificar y proteger la integridad de
los datos. También puede verificar la autenticación. Las funciones de hash reemplazan la contraseña de
texto no cifrado o las claves de encriptación porque las funciones de hash son funciones unidireccionales.
Esto significa, que si se realiza el hash de una contraseña con un algoritmo de hash específico, siempre
dará como resultado la misma compendio de hash. Se le considera unidireccional porque con funciones
de hash, es informáticamente inviable que dos conjuntos diferentes de datos tengan la misma compendio
o el mismo resultado de hash.

Cada vez que se cambian o se modifican los datos, el valor hash también cambia. Debido a esto, los
valores hash criptográficos se conocen a menudos como huellas dactilares digitales. Pueden detectar
archivos de datos duplicados, cambios en las versiones de los archivos y aplicaciones similares. Estos
valores protegen de un cambio accidental o intencional a los datos y el daño de datos accidental. El hash
también es muy eficaz. Un archivo grande o el contenido de toda una unidad de disco genera un valor
hash con el mismo tamaño.

Propiedades de hash

El hash es una función matemática unidireccional que es relativamente fácil de computar, pero es mucho
más difícil de revertir. El café molido es una buena analogía de una función unidireccional. Es fácil moler
los granos de café, pero es casi imposible volver a unir todas las partes minúsculas para reconstruir los
granos originales.

Una función de hash criptográfica tiene las siguientes propiedades:

 La entrada puede ser de cualquier longitud.

  La salida tiene una longitud fija.

 La función de hash es unidireccional y es irreversible.

 Dos valores de entrada distintos casi nunca darán como resultado distintos valores hash.

Algoritmos de hash

Las funciones de hash son útiles para asegurar que un usuario o un error de comunicación modifique los
datos por accidente. Por ejemplo, es posible que un emisor desee asegurarse de que nadie modifique un
mensaje en camino al destinatario. El dispositivo de envío introduce el mensaje en un algoritmo de hash y
computa su compendio o huella digital de longitud fija.

Algoritmo de hash simple (checksum de 8 bits)

El checksum de 8 bits es uno de los primeros algoritmos de hash y es la forma más simple de una función
de hash. Un checksum de 8 bits calcula el hash al convertir el mensaje en números binarios y luego
organizando la cadena de números binarios en fragmentos de 8 bits. El algoritmo añade los valores de 8
bits. El último paso es convertir el resultado mediante un proceso llamado el complemento de 2. El
complemento de 2 convierte un sistema binario al valor opuesto y luego agrega uno. Esto significa que un
cero se convierte en uno y un uno se convierte en un cero. El último paso es agregar 1 lo que genera un
valor hash de 8 bits.

Haga clic aquí para calcular el hash de 8 bits para el mensaje BOB.

1. Convierta BOB al sistema binario con el código ASCII, como se muestra en la Figura 1.

2. Convierta los números binarios a hexadecimales, como se muestra en la Figura 2.

3. Introduzca los números hexadecimales en la calculadora (42 4F 42).

4. Haga clic en el botón Calcular. El resultado es el valor hash 2D.

Pruebe los siguientes ejemplos:

SECRET = “S”=53 “E”=45 “C”=43 “R”=52 “E”=45 “T”=54

VALOR HASH = 3A

MESSAGE = “M”=4D “E”=45 “S”=53 “S”=53 “A”=41 “G”=47 “E”=45

VALOR HASH = FB

Algoritmos de hash modernos

Existen muchos algoritmos de hash modernos que se utilizan ampliamente en la actualidad. Dos de los
más populares son MD5 y SHA.

Algoritmo de compendio del mensaje 5 (MD5)

Ron Rivest desarrolló el algoritmo de hash MD5 y varias aplicaciones de Internet lo utilizan en la
actualidad. MD5 es una función unidireccional que facilita el cálculo de un hash de datos de entrada
dados, pero dificulta el cálculo de los datos de entrada con un solo valor hash.

MD5 produce un valor hash de 128 bits. El malware Flame comprometió la seguridad de MD5 en 2012.
Los creadores del malware Flame utilizaron una colisión MD5 para forjar un certificado de firma de
códigos de Windows. Haga clic aquí para leer una explicación de ataque de colisión del malware Flame.

Algoritmo de hash seguro (SHA)

Instituto Nacional de Normas y Tecnología (NIST) de los Estados Unidos desarrolló SHA, el algoritmo
especificado en el Estándar de hash seguro (SHS). NIST publicó SHA-1 en 1994. SHA-2 reemplazó a
SHA-1 por cuatro funciones de hash adicionales para componer la familia SHA:

 SHA-224 (224 bits)

 SHA-256 (256 bits)

 SHA-384 (384 bits)

 SHA-512 (512 bits)

SHA-2 es un algoritmo más sólido y reemplaza a MD5. SHA-256, SHA-384 y SHA-512 son los algoritmos
de próxima generación.

Archivos y medios digitales de hash

La integridad garantiza que los datos y la información estén completos y sin alteraciones al momento de la
adquisición. Esto es importante para saber cuando un usuario descarga un archivo de Internet o un
examinador forense busca la evidencia en los medios digitales.

Para verificar la integridad de todas las imágenes de IOS, Cisco proporciona checksums de MD5 y SHA
en el sitio web de software de descarga de Cisco. El usuario puede realizar una comparación de esta
compendio de MD5 contra el compendio de MD5 de una imagen de IOS instalada en un dispositivo, como
se muestra en la figura. El usuario puede estar tranquilo ahora de que nadie alteró ni modificó el archivo
de imagen de IOS.

Nota: el comando verify /md5, que se muestra en la figura, excede el alcance de este curso.

El campo de informática forense digital usa el hash para verificar todos los medios digitales que contienen
archivos. Por ejemplo, el examinador crea un hash y una copia de bit por bit de los medios que contienen
archivos para producir un clon digital. El examinador compara el hash de los medios originales con la
copia. Si los dos valores coinciden, las copias son idénticas. El hecho de que un conjunto de bits sea
idéntico al conjunto original de bits establece fijación. La fijación ayuda a responder algunas preguntas:

 ¿El examinador tiene los archivos que espera?

 ¿Los datos están dañados o modificados?

 ¿Puede el examinador probar que los archivos no están dañados?

Ahora el experto en informática forense puede examinar la copia en busca de cualquier evidencia digital
mientras deja el archivo original intacto y sin modificar.

Hash de contraseñas

Los algoritmos de hash convierten cualquier cantidad de datos en una huella digital o hash digital de
longitud fija. Un delincuente no puede invertir un hash digital para descubrir la entrada original. Si la
entrada cambia por completo, puede dar lugar a un hash diferente. Esto funciona para proteger las
contraseñas. Un sistema debe almacenar una contraseña de manera que pueda protegerla y aun así
pueda verificar que la contraseña de un usuario es correcta.

La figura muestra el flujo de trabajo para el registro y la autenticación de cuentas de usuarios mediante un
sistema basado en hash. El sistema nunca escribe la contraseña en la unidad de disco duro, solo
almacena el hash digital.

Aplicaciones
Utilice las funciones de hash criptográficas en las siguientes situaciones:

 Para proporcionar una prueba de autenticidad cuando se utiliza con una clave de autenticación
secreta simétrica, como Seguridad IP (IPsec) o autenticación del protocolo de routing.

 Para proporcionar autenticación al generar respuestas de única vez y unidireccionales a los

desafíos que se presentan en los protocolos de autenticación

 Para proporcionar una prueba de verificación de la integridad del mensaje, como las utilizadas en
los contratos con firma digital y en los certificados de infraestructura de clave pública (PKI), como
aquellos aceptados al acceder a un sitio seguro mediante un navegador

Al elegir un algoritmo de hash, utilice SHA-256 o superior ya que son los más seguros actualmente. Evite
los algoritmos SHA-1 y MD5 debido a la detección de fallas de seguridad. En las redes de producción,
implemente SHA-256 o superior.

Aunque el hash puede detectar cambios accidentales, no puede protegerse de los cambios deliberados.
No existe información de identificación única del emisor en el procedimiento de hash. Esto significa que
cualquier persona puede calcular un hash para los datos, siempre y cuando tengan la función de hash
correcta. Por ejemplo, cuando un mensaje atraviesa la red, un atacante potencial puede interceptar el
mensaje, cambiarlo, recalcular el hash y añadir el hash al mensaje. El dispositivo receptor solo validará el
hash que esté añadido. Por lo tanto, el hash es vulnerable a los ataques man-in-the-middle y no
proporciona seguridad a los datos transmitidos.

Desciframiento de hashes

Para descifrar un hash, un atacante debe adivinar la contraseña. Los dos ataques principales utilizados
para adivinar las contraseñas son los ataques de diccionario y de fuerza bruta.

Un ataque de diccionario utiliza un archivo que contiene palabras, frases y contraseñas comunes. El
archivo contiene los hashes calculados. Un ataque de diccionario compara los hashes del archivo con los
hashes de la contraseña. Si un hash coincide, el atacante conoce un grupo de contraseñas
potencialmente buenas.

Un ataque de fuerza bruta intenta cada combinación posible de caracteres hasta una longitud
determinada. Un ataque de fuerza bruta lleva mucho tiempo del procesador, pero solo es cuestión de
tiempo para que este método descubra la contraseña. Las contraseñas deben ser lo suficientemente
largas para compensar el tiempo que tarda en realizarse un ataque de fuerza bruta demasiado
prolongado para ser provechoso. Las contraseñas de hash permiten que sea más difícil para el
delincuente recuperar esas contraseñas.

¿Qué es el «salting»?

La técnica de «salting» permite que el hash de la contraseña sea más seguro. Si dos usuarios tienen la
misma contraseña, también tendrán los mismos hashes de la contraseña. Un salt, que es una cadena
aleatoria de caracteres, es una entrada adicional a la contraseña antes del hash. Esto crea un resultado
distinto de hash para las dos contraseñas como se muestra en la figura. Una base de datos almacena el
hash y el salt.

En la figura, la misma contraseña genera un hash diferente porque el «salt» en cada instancia es
diferente. El «salt» no tiene que ser secreto ya que es un número aleatorio.

mplementación de la técnica de «salting»

Un generador criptográficamente seguro de números pseudoaleatorios (CSPRNG) es la mejor opción

para generar un salt. CSPRNGs genera un número aleatorio que tiene un alto nivel de aleatoriedad y es
totalmente impredecible, por lo que es criptográficamente seguro.

Para implementar correctamente la técnica de «salting», utilice las siguientes recomendaciones:

  El salt debe ser único para cada contraseña de usuario.

 Nunca reutilice un salt.

 La longitud del salt debe coincidir con la extensión del resultado de la función de hash.

 Siempre realice el hash en el servidor en una aplicación web.

Con una técnica llamada «alargamiento de claves» también podrá protegerse de los ataques. El
alargamiento de claves hace que el hash funcione muy lentamente. Esto impide que el hardware de alto
nivel que puede calcular miles de millones de hashes por segundo sea menos eficaz.

Los pasos que una aplicación de base de datos utiliza para almacenar y validar una contraseña salt se
muestran en la figura.

¿Qué es un HMAC?

El siguiente paso en prevenir que un delincuentes cibernético inicie un ataque de diccionario o un ataque
de fuerza bruta en un hash es agregar una clave secreta al hash. Solo la persona que conoce el hash
puede validar una contraseña. Una manera de lograrlo es incluir la clave secreta en el hash mediante un
algoritmo de hash llamado código de autenticación de mensajes de hash con clave (HMAC o KHMAC).
Los HMAC utilizan una clave secreta adicional como entrada a la función de hash. El uso de HMAC va un
paso más allá de garantizar la integridad al incorporar la autenticación. Un HMAC utiliza un algoritmo
específico que combina una función de hash criptográfica con una clave secreta, como se muestra en la
figura.

Solo el emisor y el receptor conocen la clave secreta y el resultado de la función de hash ahora depende
de los datos de entrada y la clave secreta. Solo las partes que tienen acceso a esa clave secreta pueden
calcular el compendio de una función de HMAC. Esta característica derrota los ataques man-in-the-middle
y proporciona autenticación del origen de los datos.

Funcionamiento del HMAC

Considere un ejemplo en el que un emisor desea asegurarse de que un mensaje permanezca sin cambios
y en tránsito, y desea proporcionar una manera de que el receptor autentique el origen del mensaje.

Como se muestra en la Figura 1, el dispositivo emisor introduce los datos (como el pago de Terry Smith
de $100 y la clave secreta) en el algoritmo de hash y calcula el compendio o huella digital de HMAC de
longitud fija. El receptor obtiene huellas digitales autenticadas anexadas al mensaje.

En la Figura 2, el dispositivo receptor elimina la huella digital del mensaje y utiliza el mensaje de texto
simple con su clave secreta como entrada a la misma función de hash. Si el dispositivo receptor calcula
una huella digital igual a la huella enviada, el mensaje aún se encontrará en su formato original. Además,
el receptor conoce el origen del mensaje porque solo el emisor posee una copia de la clave secreta
compartida. La función de HMAC comprobó la autenticación del mensaje.

Aplicación del uso de HMAC

Los HMAC también pueden autenticar a un usuario web. Muchos servicios web utilizan la autenticación
básica, la cual no cifra el nombre de usuario y la contraseña durante la transmisión. Con el HMAC, el
usuario envía un identificador de clave privada y un HMAC. El servidor busca la clave privada del usuario
y crea un HMAC. El HMAC del usuario debe coincidir con el que calcula el servidor.

Las VPN que utilizan IPsec dependen de las funciones de HMAC para autenticar el origen de cada
paquete y proporcionar verificación de la integridad de los datos.

Como se muestra en la figura, los productos de Cisco utilizan el hash para la autenticación de la entidad,
la integridad de datos y para la autenticidad de datos:
  Los routers de Cisco IOS utilizan el hash con las claves secretas utilizando el HMAC como la
manera de agregar información de autenticación a las actualizaciones de protocolo de routing.

 Los gateways y los clientes de IPsec utilizan algoritmos de hash, como MD5 y SHA-1 en el modo
HMAC, para proporcionar integridad y autenticidad del paquete.

 Las imágenes del software de Cisco en Cisco.com tienen un checksum basado en MD5
disponible para que los clientes puedan verificar la integridad de las imágenes descargadas.

Nota: El término entidad puede referirse a los dispositivos o sistemas dentro de una organización.

¿Qué es una firma digital?

Las firmas manuscritas y los sellos estampados prueban la autoría de los contenidos del documento. Las
firmas digitales pueden proporcionar la misma funcionalidad que las firmas manuscritas.

Los documentos digitales sin protección son muy fáciles de cambiar para cualquier persona. Una firma
digital se utiliza para determinar si alguien edita un documento después de que el usuario lo firma. Una
firma digital es un método matemático utilizado para validar la autenticidad y la integridad de un mensaje,
documento digital o software.

En muchos países, las firmas digitales tienen la misma importancia legal que un documento manualmente
firmado. Las firmas electrónicas son vinculantes para contratos, negociaciones o cualquier otro
documento que requiere una firma manuscrita. Un registro de auditoría sigue el historial de documentos
electrónicos para fines de defensa normativos y legales.

Una firma digital ayuda a establecer la autenticidad, la integridad y la imposibilidad de rechazo. Las firmas
digitales tienen propiedades específicas que permiten la autenticación de la entidad y la integridad de los
datos como se muestra en la figura.

Las firmas digitales son una alternativa a HMAC.

No rechazo

Rechazar significa denegar. La no repudiación es una manera de garantizar que el emisor de un mensaje
o documento no pueda negar el envío del mensaje o del documento y que el destinatario no puede negar
haber recibido el mensaje o documento.

Una firma digital garantiza que el emisor firmó electrónicamente el mensaje o documento. Dado que una
firma digital es única para las personas que la crean, esa persona no puede negar posteriormente que
proporcionó la firma.

Procesos de creación de una firma digital

La criptografía asimétrica es la base de las firmas digitales. Un algoritmo de clave pública como RSA
genera dos claves: Una privada y otra pública. Las claves se relacionan matemáticamente.

Alicia desea enviar a Bob un correo electrónico que contiene información importante para la distribución
de un producto nuevo. Alicia desea asegurarse de que Bob sepa que el mensaje provino de ella y que
este no cambió después de que ella lo envió.

Alicia crea el mensaje junto con un compendio del mensaje. Luego cifra este compendio con su clave
privada como se muestra en la Figura 1. Alicia ata el mensaje, el compendio del mensaje cifrado y su
clave pública para crear el documento firmado. Alicia envía esto a Bob como se muestra en la Figura 2.

Bob recibe el mensaje y lo lee. Para asegurarse de que el mensaje proviene de Alice, él crea un
compendio de mensaje del mensaje. Él toma el compendio del mensaje cifrado recibido de Alicia y lo
descifra con la clave pública de Alicia. Bob compara el compendio del mensaje que recibió de Alicia con el
compendio que él generó. Si coinciden, Bob sabe que puede confiar en que nadie manipuló el mensaje,
como se muestra en la Figura 3.

Haga clic aquí para ver un video que explica el proceso de creación de un certificado digital.

Uso de firmas digitales

La firma de un hash en lugar del documento completo proporciona eficiencia, compatibilidad e integridad.
Es probable que las organizaciones deseen reemplazar los documentos impresos y las firmas de tinta con
una solución que garantice que el documento electrónico cumple con todos los requisitos legales.

Las siguientes dos situaciones proporcionan ejemplos de uso de firmas digitales:

 Firma de código: Se utiliza para verificar la integridad de los archivos ejecutables descargados
del sitio web de un proveedor. La firma de códigos también utiliza certificados digitales firmados
para autenticar y verificar la identidad del sitio (Figura 1).

 Certificados digitales: Se utilizan para verificar la identidad de una organización o de una

persona para autenticar el sitio web de un proveedor y para establecer una conexión cifrada a fin de
intercambiar datos confidenciales (Figura 2).

Comparación de los algoritmos de firma digital

Los tres algoritmos comunes de firma digital son el Algoritmo de firma digital (DSA), Rivest-Shamir-
Adleman (RSA y el Algoritmo de firma digital de curva elíptica (ECDSA). Los tres generan y verifican
firmas digitales. Estos algoritmos dependen de las técnicas de cifrado asimétrico y de clave pública. Las
firmas digitales requieren dos operaciones:

1. Generación de claves

2. Verificación de claves

Ambas operaciones requieren la encriptación y el descifrado de clave.

El DSA utiliza la factorización de números grandes. Los gobiernos utilizan el DSA para las firmas, a fin de
crear firmas digitales. El DSA no se extiende más allá de la firma del mensaje.

El RSA es el algoritmo más común de la criptografía de clave pública en la actualidad. El RSA se

denomina así por las personas que lo crearon en 1977: Ron Rivest, Adi Shamir, Adi Shamir y Leonard
Adleman. El RSA depende del cifrado asimétrico. El RSA cubre la firma y también cifra el contenido del
mensaje.

El DSA es más rápido que el RSA como un servicio de firma de un documento digital. El RSA es el más
adecuado para las aplicaciones que requieren la firma y la verificación de documentos electrónicos y
encriptación de mensaje.

Al igual que la mayoría de las áreas de la criptografía, el algoritmo RSA se basa en dos principios
matemáticos; factorización de módulos y de números primos. Haga clic aquí para obtener más
información sobre cómo RSA utiliza la factorización de módulos y de números primos.

ECDSA es el algoritmo de firma digital más nuevo que está reemplazando gradualmente a RSA. La
ventaja de este nuevo algoritmo es que puede utilizar tamaños de clave mucho más pequeños para la
misma seguridad y requiere menos cómputo que RSA.

¿Qué es un certificado digital?

Un certificado digital es equivalente a un pasaporte electrónico. Permiten a los usuarios, hosts y

organizaciones intercambiar información de manera segura a través de Internet. Específicamente, un
certificado digital autentica y verifica que los usuarios que envían un mensaje sean quienes afirman ser.
Los certificados digitales también pueden proporcionar confidencialidad para el receptor con los medios
para cifrar una respuesta.

Los certificados digitales son similares a los certificados físicos. Por ejemplo, el certificado Asociado en
redes con certificación de Cisco (CCNA-S) en papel, en la Figura 1 identifica a las personas, la autoridad
del certificado (quién autorizó el certificado) y durante cuánto tiempo el certificado es válido. Observe de
qué manera el certificado digital en la Figura 2 también identifica los elementos similares.

Uso de certificados digitales

Para poder comprender cómo usar un certificado digital, consulte la Figura 1. En este escenario, Bob
confirma un pedido con Alicia. El servidor web de Alicia utiliza un certificado digital para garantizar una
transacción segura.

Paso 1: Bob examina el sitio web de Alicia. Un navegador designa una conexión segura al mostrar un
icono de bloqueo en la barra de estado de seguridad.

Paso 2: El servidor web de Alicia envía un certificado digital al navegador de Bob.

Paso 3: El navegador de Bob comprueba el certificado almacenado en los ajustes del navegador. Solo los
certificados confiables permiten que la transacción siga adelante.

Paso 4: El navegador web de Bob crea una clave única de sesión por única vez.

Paso 5: El navegador de Bob utiliza la clave pública del servidor web en su certificado para cifrar la
sesión.

Paso 6: El resultado es que solo el servidor web de Alicia pueda leer las transacciones enviadas desde el
navegador de Bob.

¿Qué es una autoridad de certificación?

En Internet, sería poco práctico intercambiar continuamente la identificación entre todas las partes. Por lo
tanto, las personas acuerdan aceptar la palabra de un tercero neutral. Probablemente, el tercero realiza
una investigación exhaustiva antes de emitir las credenciales. Después de esta investigación exhaustiva,
el tercero emite credenciales que son difíciles de falsificar. Desde ese momento, todas las personas que
confían en el tercero simplemente aceptan las credenciales que emite el tercero.

Por ejemplo, en la figura, Alice solicita una licencia de conducir. En este proceso, presenta evidencia de
su identidad, como partida de nacimiento, identificación con fotografía, etc. a una oficina gubernamental
de otorgamiento de licencias. La oficina valida la identidad de Alice y permite que Alice complete el
examen de conducir. Al completarlo exitosamente, la oficina de otorgamiento de licencias emite una
licencia de conducir a Alice. Posteriormente, Alice debe cobrar un cheque en el banco. Al presentar el
cheque al cajero del banco, el cajero del banco le solicita la Id. El banco, debido a que confía en la oficina
gubernamental de otorgamiento de licencias, verifica su identidad y cobra el cheque.

Una autoridad de certificación (CA) funciona de la misma manera que una oficina de otorgamiento de
licencias. La CA emite certificados digitales que autentican la identidad de las organizaciones y de los
usuarios. Estos certificados también firman mensajes para asegurarse de que nadie los manipuló.

¿Qué contiene un certificado digital?

Siempre y cuando un certificado digital siga una estructura estándar, cualquier entidad podrá leer y
comprenderlo, independientemente del emisor. El X.509 es un estándar de la infraestructura de clave
pública (PKI) para administrar los certificados digitales. La PKI consta de las políticas, las funciones y los
procedimientos necesarios para crear, administrar, distribuir, utilizar, almacenar y revocar los certificados
digitales. El estándar X.509 especifica que los certificados digitales contienen la información estándar que
se muestra en la figura.
El proceso de validación

Los navegadores y las aplicaciones realizan una comprobación de validación antes de confiar en un
certificado para asegurarse de que es válido. Los tres procesos incluyen lo siguiente:

 La detección de certificados valida el trayecto de certificación al marcar cada certificado desde el

comienzo con el certificado de la CA raíz

 La validación del trayecto selecciona un certificado de la CA de emisión para cada certificado de

la cadena

 La revocación determina si el certificado fue revocado y por qué

El trayecto del certificado

Una persona obtiene un certificado para una clave pública de un CA comercial. El certificado pertenece a
una cadena de certificados llamada cadena de confianza. El número de certificados en la cadena
depende de la estructura jerárquica de la CA.

La figura muestra una cadena de certificados para una CA de dos niveles. Existe una CA de raíz sin
conexión y una CA subordinada en línea. El motivo de la estructura de dos niveles es que la firma X.509
permite una recuperación más sencilla en caso de riesgo. Si existe una CA sin conexión, puede firmar el
nuevo certificado de CA en línea. Si no hay ninguna CA sin conexión, el usuario debe instalar un nuevo
certificado de CA de raíz en cada máquina, teléfono o tablet cliente.

Integridad de datos

Las bases de datos proporcionan una forma eficiente de almacenar, recuperar y analizar datos. A medida
que la recopilación de datos aumenta y los datos se vuelven más sensibles, es importante que los
profesionales de la ciberseguridad protejan el creciente número de bases de datos. Piense en una base
de datos como un sistema de llenado electrónico. La integridad de datos se refiere a la precisión, la
uniformidad y la confiabilidad de los datos almacenados en una base de datos. La responsabilidad de la
integridad de los datos depende de los diseñadores de bases de datos, desarrolladores y la
administración de la organización.

Las cuatro reglas o restricciones de integridad de los datos son las siguientes:

 Integridad de la entidad: Todas las filas deben tener un identificador único llamado Clave
principal (Figura 1).

 Integridad de dominio: Todos los datos almacenados en una columna deben seguir el mismo
formato y tener la misma definición (Figura 2).

 Integridad referencial: Las relaciones entre tablas deben permanecer congruentes. Por lo tanto,
un usuario no puede eliminar un registro que se relaciona con otro (Figura 3).

 Integridad definida por el usuario: Un conjunto de reglas definidas por un usuario que no
pertenece a una de las demás categorías. Por ejemplo, un cliente realiza un pedido nuevo, como se
muestra en la Figura 4. El usuario primero verifica si este es un cliente nuevo. Si lo es, el usuario
agrega al cliente nuevo a la tabla de clientes.

Controles del ingreso de los datos

El ingreso de datos implica introducir datos en un sistema. Un conjunto de comandos garantiza que los
usuarios introduzcan los datos correctos.
Despliegue los controles de datos principales

Cuente con una opción desplegable para las tablas principales en lugar de solicitar a las personas que
introduzcan los datos. Un ejemplo de despliegue de controles de datos principales implica el uso de la
lista de ubicaciones del sistema de dirección postal de EE. UU. para estandarizar las direcciones.

Controles de validación del campo de datos

Configure las reglas para las verificaciones básicas, que incluyen:

 Entrada obligatoria que garantiza que un campo obligatorio contenga datos

 Máscaras de entrada que evitan que los usuarios ingresen datos no válidos o ayuden a
garantizar que introducen datos constantemente (como un número de teléfono, por ejemplo)

 Cantidades positivas en dólares

 Los rangos de datos garantizan que un usuario ingrese datos dentro de un rango determinado
(como una fecha de nacimiento introducida como 01-18-1820, por ejemplo)

 Aprobación obligatoria de segundas personas (un cajero del banco recibe una solicitud de
depósito o de retiro superior al valor especificado lo cual requiere una segunda o tercera
aprobación)

 Activador de modificador de registro máximo (si la cantidad de registros modificados supera un

número predeterminado dentro de un período específico bloquea a un usuario hasta que el
administrador identifica si las transacciones eran legítimas o no)

 Indicador de actividad inusual (un sistema se bloquea cuando reconoce actividad inusual)

Reglas de validación

Una regla de validación verifica que los datos se incluyan en los parámetros definidos por el diseñador de
la base de datos. Una regla de validación ayuda a garantizar la integridad, la precisión y la coherencia de
los datos. Los criterios utilizados en una regla de validación incluyen los siguientes:

 Tamaño: Controla la cantidad de caracteres en un elemento de datos

 Formato: Controla que los datos se ajusten a un formato específico

 Coherencia: Controla la coherencia de los códigos en los elementos de datos relacionados

 Rango: Controla que los datos se encuentran dentro de un valor mínimo y un valor máximo

 Dígito de control: Proporciona un cálculo adicional para generar un dígito de control para la
detección de errores.

Haga clic en cada paso de la figura para ver el resultado del cálculo del dígito de control.