2.

Seguridad informática
Experto web y multimedia para e-commerce II
Índice
de la unidad

Riesgos en los negocios y seguridad

informática.
Las soluciones del back-up y antivirus.
Encriptación de las transmisiones.
Política de seguridad en las
organizaciones.
Protección de datos. Prevención del
acceso a información crítica.
Almacenamiento. Recuperación.
Borrado seguro
Riesgos en los negocios y
seguridad informática
La ciberseguridad es la protección de activos de información, a través del
tratamiento de amenazas que suponen un riesgo para la información que es
procesada, almacenada y transportada por los sistemas de información que se
encuentran interconectados.
Los activos de la información son los conocimientos o datos que tienen valor
para una organización.
En definitiva, es la capacidad para minimizar el nivel de riesgo al que está expuesta la información ante
amenazas, desastres o incidentes de naturaleza cibernética. La ciberseguridad tiene como principal
objetivo la protección de la información digital.
La ciberseguridad es un concepto primordial para las empresas. En los siguientes 10 se
contemplan los Conceptos Básicos de Ciberseguridad que todas las organizaciones o
particulares (Pymes, Startups, grandes empresas, autónomos…) deben tener en cuenta a
la hora de ejecutar sus planes de seguridad:
1. Vulnerabilidad: fallos de seguridad detectados en los sistemas de la empresa que
pueden suponer una entrada para los ataques cibernéticos.
2. Fuga de datos: la salida (voluntaria o no) de información, incluyendo la que puede
ser vulnerable o confidencial, fuera de la empresa.
3. Cifrado: este proceso garantiza la confidencialidad de la información sensible de la
empresa. Cuando los datos se codifican, solamente se puede acceder a ellos mediante
una clave.
4. Ingeniería social: tácticas utilizadas por los ciberdelincuentes para conseguir
información a través de engaños a los trabajadores de la empresa.
5. Phishing: estafa a través de un correo electrónico, web, sms o llamada mediante la que
se suplanta a una persona o empresa para obtener los datos privados del usuario.
6. Ransomware: malware que secuestra archivos cifrándolos y pide un rescate
económico al usuario para volver a utilizarlos.
7. Plan de concienciación: plan que establece las medidas mínimas que deben
llevarse a cabo en la empresa en caso de un posible incidente, para recuperar la
información de la forma más rápida y eficaz.
8. Actuación de seguridad: modificación y corrección de vulnerabilidades de los
sistemas y programas de la empresa.
9. Auditoría: analizar los sistemas y programas de la empresa para identificar los fallos
y llevar a cabo actuaciones de seguridad.
10. Concienciación: informar y formar al empleado para que realice buenas prácticas
en la empresa acorde a la conciencia de ciberseguridad en la empresa.
 Ciberseguridad para la empresa

https://youtu.be/EHjmxujXIaQ
“Los datos son el petróleo del siglo
XXI”: una frase tan repetida como cierta.
La enorme y creciente cantidad de dispositivos conectados, los millones
de datos generados cada segundo y, sobre todo, la capacidad de
analizar y aprovechar esta información de múltiples formas ha
convertido a los datos en la materia más valiosa del momento.
Un botín más que apetitoso para la proliferación
de los hackers y el cibercrimen.
En este contexto, la seguridad cibernética se ha convertido en uno de
los desafíos más importantes a los que hoy se enfrentan las empresas
y la sociedad. La gran expansión tecnológica ha masificado la accesibilidad
a internet y a los servicios web digitales. Por ende, también se han
multiplicado los posibles canales de ciberataques, así como el impacto que
estos pueden tener sobre organizaciones y empresas.
Antes solo nos enterábamos de hackeos de información por noticias o
eventos concretos, limitado a asuntos de espionaje gubernamentales (por
ejemplo, las sonadas filtraciones del estadounidense Edward Snowden).
Actualmente esto se ha transformado en una amenaza real , no tan
limitada, que nos toca muy de cerca.

“WannaCry” consiste en un virus de tipo ransomware

(cibersecuestro) que ha infectado a cientos de miles de
ordenadores alrededor del mundo y generado pérdidas
millonarias, así como pagos de rescate por cifras
desmesuradas. WannaCry ha tenido más víctimas de las
declaradas, según publica El País. Las aseguradoras de
riesgos estiman el costo potencial del ataque en 4.000
millones de dólares.

https://www.economiadigital.es/tecnologia-y-tendencias/el-virus- Haz clic sobre la imagen para ver el

wannacry-sigue-al-acecho-en-internet_588881_102.html artículo sobre la actualidad del WannaCry.
Actualmente un ataque cibernético es una amenaza real que puede suponer
un duro golpe en el centro de las organizaciones.
Las consecuencias para las empresas que no implementan medidas firmes y
concretas de seguridad y que no capacitan y conciencian a su personal sobre
los cuidados a tener pueden ser muy graves: desde peligrosas interrupciones
operacionales hasta la destrucción irreversible de un negocio.
Por otro lado, las empresas dependen de los sistemas de tecnología informática en
sus procesos productivos, lo cual hace esta situación más crítica. Los atacantes
más adentrados en el mundo cibernético siempre van a estar por delante de
los proveedores de servicios de seguridad y del departamento de informática de
una empresa, por lo que las empresas deben estar prevenidas y preparadas ante un
posible ataque cibernético.
Por ello, es aconsejable asumir que la empresa puede sufrir un
ataque cibernético en algún momento.
Las consecuencias que este tenga dependerán en gran medida de si se está
preparado para ello o no. La inversión en seguridad de la información y
protección de datos no debe considerarse como un parche para
postergar otras áreas estratégicas. En realidad es la base necesaria para el
desarrollo sostenido de ellas.
Existe una confusión generalizada, principalmente en los medios
de comunicación masivos en cuanto al uso del término hacker.
La palabra “Hacker” en la cultura popular está asociada a la figura de
delincuente. Pero esto está lejos de la realidad.

Un hacker es simplemente una persona con altos

conocimientos informáticos que utiliza sus
capacidades y habilidades para descubrir
vulnerabilidades en las redes y sistemas informáticos.
La motivación primordial de un hacker es la búsqueda del
conocimiento para sí y para la comunidad hacker.
Penetrar en los sistemas y redes de información buscando
información vulnerable es toda una profesión en sí. En la
industria de la seguridad informática a esta actividad se
le denomina hacking ético.
Todas las grandes empresas del mundo, necesitan los servicios de
expertos informáticos que puedan validar la seguridad de sus sistemas
y redes computacionales.
Estos trabajos obviamente son ejecutados por hackers previa
autorización bajo un acuerdo contractual de los servicios, ya que estos
son los que conocen los entresijos y el verdadero funcionamiento de
las últimas técnicas de penetración y asalto de información.
Ahora bien, un ciberdelicuente es un individuo que se aprovecha de las
vulnerabilidades de las redes y sistemas de información para llevar a
cabo actos considerados criminales por ley: robo de información,
destrucción información, extorsión, divulgación de información confidencial,
distribución de pornografía infantil, envío de correo basura, terrorismo,
fraudes, robo de identidad, falsificación de información, piratería, etc.
En los círculos y en las comunidades de seguridad informática a los
primeros Hackers éticos se les denomina White Hat
Hackers (Hackers de sombrero blanco) y a los ciberdelincuentes
Black Hat Hackers (Hackers de sombrero negro).
La ciberseguridad y la privacidad no deben afrontarse como un acto
aislado o puntual, sino como una parte continua e intrínseca de
cualquier actividad relacionada con la gestión de la información y el
uso de tecnologías. No debe afrontarse como una parte
independiente del desarrollo de un proyecto o actividad, sino que
debe formar parte del propio diseño de este proyecto o actividad.
Las soluciones de back-up
y antivirus
Un back-up (del inglés reserva o apoyo)
consiste en una copia de seguridad o
respaldo.
Es una copia de los datos originales realizada con el fin
de poder recuperarlos en caso de pérdida. Las copias
de seguridad son útiles ante distintas situaciones:
recuperar nuestros datos de una catástrofe o ataque
informático, natural o ataque; pudiendo restaurar una
pequeña cantidad de archivos que pueden haber
sido eliminados o infectados por un virus informático.
De esta forma, una solución back-up nos permite
guardar información de forma más económica que los
discos duros y, además, permitiendo el traslado a
ubicaciones distintas de la de los datos originales.
Los distintos tipos de backups:
De forma general, existen 4 tipos de backups. Es importante
conocerlos para saber cuál se adapta mejor a nuestras
necesidades:

◉ Backup completo: el respaldo abarca el 100%

de los datos, por lo que suele ser el que lleva
más tiempo en realizarse si disponemos de una
gran cantidad de carpetas y archivos.
◉ Backup diferencial: Solamente se incluirán los
archivos que han sido modificados o que se han
incluido desde el último backup.
◉ Backup incremental: se trata del método más
rápido si hablamos de realizar respaldos.
Consiste en un respaldo de los archivos que
han sido modificados desde el último backup.

◉ Backup espejo: se realiza una copia de todos

los archivos, sin embargo, los archivos no son
comprimidos y no pueden ser protegidos usando
una contraseña.
Los antivirus
Se crean en 1980 con el objetivo de
detectar y eliminar virus. La aparición de
sistemas operativos más avanzados ha
impulsado la evolución de los antivirus hacia
programas más avanzados que bloquean
infecciones que pueden dañar los propios
sistemas. Además, son capaces de
reconocer otros tipos de malware (código
malicioso: son archivos dañinos que, al
infectar el ordenador, realizan diversas
acciones, como el robo de información, el
control del sistema o la captura de
contraseñas).
Funcionamiento de
Los antivirus
El objetivo principal de los antivirus es
detectar amenazas informáticas que
puedan dañar el ordenador, para bloquearlas
y eliminarlas. El funcionamiento varía de uno a
otro dentro de los diferentes tipos.
Normalmente cuentan con una lista de virus
conocidos que pueden dañar los archivos y
disponen de formas para reconocerlos.
Actualmente, muchos antivirus han
incorporado funciones proactivas, mediante
las cuales analizan el comportamiento de los
archivos para detectar cuáles son dañinos para
el ordenador. Técnicas como Heurística o
HIPS son las más conocidas.
Encriptación de las
transmisiones. Política de
seguridad en las organizaciones.
Protección de datos. Prevención
del acceso a información crítica.
Encriptación de las
transmisiones: cómo definir
una estrategia de backup
Es preciso que las empresas que manejan grandes
cantidades de datos aseguren la disponibilidad y una alta
encriptación de sus transmisiones de datos. Esto se
consigue realizando copias de seguridad e implantando
un centro de recuperación de desastres.
Si definimos una estrategia de Backup que se ajuste a
nuestras necesidades, estaremos contribuyendo a la
óptima seguridad de nuestros datos:

◉ Agilizando el imparable crecimiento de la información.

◉ Beneficiándonos de nuevos escenarios, como por ejemplo, Cloud Computing.
◉ Cumpliendo con el Nuevo Reglamento Europeo de datos.
◉ Defendiéndonos ante ciberataques.
El compromiso con la seguridad se debe establecer definiendo, documentando y difundiendo una política
de seguridad que defina cómo se va a abordar la seguridad. Contribuiremos a este proceso
desarrollando normativas y procedimientos que recojan las obligaciones a las que están sujetos los
usuarios en lo que respecta al tratamiento y seguridad de la información.
Cada empresa es diferente y con características especiales: número de empleados, dependencia
tecnológica, área de actividad, internacionalización, etc. Por ello, para concretar la política en hechos lo
haremos mediante un Plan Director de ciberseguridad.
Para ello tendremos que:
Determinar el punto de partida de la empresa en materia de ciberseguridad,
identificando los procesos críticos o vulnerables de nuestra organización, los
empleados, equipos o activos esenciales para el buen funcionamiento de nuestra
empresa.
Determinar el nivel de seguridad que queremos conseguir en función de las
características de la empresa, el sector, los objetivos estratégicos y de negocio, los
requisitos que define el mercado, etc.
Tras este proceso habremos detectado los riesgos que afectan o pueden afectar a corto o medio plazo a
nuestro negocio. Conociendo los riesgos podremos realizar planes de acción personalizados,
adecuados a la naturaleza de la empresa, mediante medidas de seguridad pertinentes.
La ciberseguridad es un proceso y como tal los planes para abordarla deben revisarse de forma
continua, ya que las amenazas evolucionan a pasos de gigante.
Como resultado de nuestro Plan Director de Ciberseguridad definiremos los proyectos de ciberseguridad
necesarios para nuestra empresa. Estos proyectos no solo conllevarán la instalación de productos o la
contratación de servicios, también es necesario modificar los procesos. Por ello, del plan se derivan una
serie de normativas de uso interno y unos procedimientos para verificar su cumplimiento.
Normativa interna
La normativa interna va a plasmar la forma en la que abordamos nuestro
compromiso con la ciberseguridad. Desde el momento de la contratación de los
empleados y durante todo el tiempo que estos permanezcan en la empresa se
debe concienciar y formar mediante sesiones dinámicas y periódicas.
Cuando se contratan empleados, al menos una vez al año, debemos recordarles
cómo han de proteger los recursos de la empresa, entre ellos la información, los
sistemas y equipos informáticos, las bases de datos, los móviles o portátiles de
empresa, los pendrives, los servicios en la nube, la página web, las redes sociales,
etc.
El líder tiene que informar al empleado de los usos aceptables a través de estas
políticas, normativas y buenas prácticas:
⚛Política de seguridad en el puesto de trabajo.
⚛Normativa de uso de software legal o política de aplicaciones permitidas.
⚛Política de uso de dispositivos personales (BYOD).
⚛Política de uso de portátiles.
⚛Política de uso de wifis externas o de conexiones ajenas.
⚛Políticas de almacenamiento (local, red corporativa, dispositivos externos y en la
nube) y copias de seguridad.
⚛Clasificación de la información corporativa.
⚛Política de gestión de soportes, borrado seguro y de destrucción de la información.
⚛Política de uso del correo electrónico.
⚛Política de contraseñas.
⚛Política de actualizaciones.
⚛Checklist para detectar fraude en pedidos online.
⚛Buenas prácticas para teletrabajar.
Es necesario que esta información esté a disposición de los empleados. Debemos
revisarla para que se adapte a nuestras necesidades específicas, pues cambia con
frecuencia. También es preciso establecer un procedimiento para dar a conocer esta
información y refrescársela a los empleados, cada vez que haya un cambio y al
menos una vez a año. No podremos exigirle que las cumpla si no las conoce.
Son también habituales los acuerdos de confidencialidad firmados entre
empleados y colaboradores, a la vez que se firma el contrato laboral, de acuerdo con
la sensibilidad de los datos que va a tratar.
Además de esta normativa, existen una serie de procedimientos que deben seguir
aquellas personas encargadas de los procesos tecnológicos:

El control de accesos lógicos, es decir, qué medidas de seguridad se

toman al dar de alta/baja a usuarios en los sistemas, introducirles en nuestra base
de datos, en el correo electrónico, etc.
El control y mantenimiento del software y del hardware instalado,
desde su adquisición llevando un control de las licencias; durante su vida útil
actualizando o realizando los cambios necesarios; y destruyendo de forma segura
los dispositivos y soportes obsoletos.
Las copias de seguridad, detallando como dónde, cuándo y cómo han de
realizarse y con qué finalidad.
La gestión de incidentes o cómo actuar en caso de que ocurra alguno.
Cumplimiento legal
La ciberseguridad de nuestras empresas no se limita a la protección frente a las
posibles amenazas que pongan en riesgo nuestros sistemas informáticos o la
información confidencial que tratemos con ellos.
A la hora de proteger nuestras empresas, hay otro tipo de seguridad que
debemos tener en cuenta: la seguridad legal. Debemos garantizar el
cumplimiento de todas las normativas y leyes que afectan a nuestros
sistemas de información a través procesos tecnológicos. Más allá de posibles
sanciones económicas, pérdida de clientes o el daño de nuestra reputación, es
importante cumplir legalmente con la ciberseguridad de la empresa, porque nos
servirá como medida generadora de confianza.
Con la ciberseguridad, hacemos referencia a:
01. Las normativas legales que todas las empresas deben cumplir.
Leyes aplicables a toda empresa que opera a nivel nacional, relacionadas con la
gestión y protección de la información de sus usuarios y clientes, así como los
sistemas informáticos que la tratan. Las principales leyes son:
Ley Orgánica de Protección de Datos (LOPD). Afecta a la gran mayoría
de empresas y vela por la seguridad de los datos y ficheros de datos de
carácter personal que gestionan las empresas. Esta ley obliga a implantar
diferentes medidas de seguridad según la sensibilidad y la vulnerabilidad de
la información.
Ley de Servicios de la Sociedad de la Información y de Comercio
Electrónico (LSSI). Esta ley afecta a las empresas cuyas funciones se
orientan a actividades lucrativas o económicas, y que permitan la
contratación online de servicios, ofrezcan información de productos a través
de páginas web o se dediquen al e-commerce. Esta ley requiere que estas
empresas incluyan cierta información en su página web referente a nuestro
negocio y los servicios o productos que ofrece.

Ley de Propiedad Intelectual (LPI). Esta ley protege los proyectos, obras o
desarrollos que son fruto de la actividad empresarial.
02. Seguridad con terceros.
Si contratamos servicios externos, tenemos que acordar con los proveedores los niveles del
servicio (en inglés Service Level Agreement o SLA) que nos prestan. Es preciso hacerlo
mediante contratos firmados por escrito donde se establecen los niveles de calidad del servicio
contratado, estableciendo penalizaciones en caso de incumplimiento. Se tendrán en cuenta
aspectos como el tiempo de respuesta, disponibilidad horaria, documentación disponible,
personal asignado al servicio, etc. De cara a la seguridad, en estos acuerdos de nivel de servicio
se deben contemplar:
◉ La seguridad de los activos que vigilará el proveedor y los activos cuya seguridad
vigilaremos nosotros.
◉ Las tareas de seguridad ( como parcheado o actualización) que realizará el
proveedor y las que realizaremos nosotros.
◉ Una clasificación de incidentes con sus objetivos de recuperación; las obligaciones
contractuales, por ejemplo, compensaciones financieras por pérdidas de activos o
información, etc.
03. Seguridad interna con los empleados.
En nuestra relación con empleados y colaboradores también tenemos que garantizar la
confidencialidad de la información de nuestros proyectos y los datos personales de
nuestros clientes. El no hacerlo puede suponer un incumplimiento desde el punto de vista
legal sujeto a sanciones económicas. Para ello, elaboraremos unos acuerdos de
confidencialidad con los que regularemos los aspectos relativos a la prestación del
servicio, incluyendo las sanciones en caso de incumplimiento. Para comenzar a trabajar en
el proyecto, los empleados aceptarán y firmarán por escrito estos acuerdos, que tendrán
en cuenta aspectos como los siguientes:

◉ ¿Quién interviene y a qué servicio va asociado el acuerdo de confidencialidad?

◉ ¿Qué información se considera confidencial?
◉ ¿A qué obligaciones se comprometen las partes que intervienen en el acuerdo?
◉ Auditoría y legislación aplicable.
Definiciones,
relaciones y diferencias
Estos tres temimos están muy relacionados
entre sí, y habitualmente suelen confundirse,
sin embargo es muy importante saber
identificarlos de forma correcta:
Amenaza: se trata una acción o acontecimiento que puede causar potenciales efectos
negativos sobre los activos de la organización.
Vulnerabilidades: son las debilidades o errores en los sistemas que pueden ser
utilizados en contra de la propia empresa, para causar un incidente o perjuicio.
Riesgo: la probabilidad de que ocurra un incidente de seguridad.
Tipos de amenazas
Existen varias formas de clasificar las
amenazas, aquí se muestran dos de ellas:
Según su origen
Internas: son aquellas que se originan de forma interna en
la empresa.
Son las más peligrosas ya que son mucho más difíciles de
controlar y mitigar. Pueden proceder de los propios
empleados o de importantes fallos de seguridad.
Externas: son aquellas que se originan de forma externa al
perímetro de la organización. Los atacantes se encuentran
fuera de la empresa e intentarán encontrar los
procedimientos o vulnerabilidades de la misma para acceder
a información privilegiada.
Según propósito
Intencionadas: son las que se producen de forma
intencionada, con el objetivo de causar un perjuicio (robo,
destrucción o manipulación de información son algunos
ejemplos de este tipo de amenazas).
Accidentales: son las que se producen de forma no
premeditada, ya sea por accidente, desconocimiento, error o
descuido, pero que de igual forma ponen en peligro los
activos de la organización (las relacionadas con fenómenos
naturales, la falta de políticas o la incorrecta formación de los
responsables serían algunos de los ejemplos de estos tipos
de amenazas).
Tipos de Vulnerabilidades
Las vulnerabilidades se pueden clasificar de distintas
formas, por ejemplo, su origen. En este caso se
organizarán por:
Diseño
◉ Debilidad en el diseño de las redes informáticas, de
los procesos o de su protección.
◉ Políticas de seguridad incompletas o inexistentes.
Implementación
◉ Errores o fallos de programación.
◉ Sistemas informáticos desactualizados o mal
estructurados.
◉ Errores de fabricante.
◉ Vulnerabilidades de peligro extremo, llamadas de día
cero (aquellas que han sido descubiertas por los
ciberdelincuentes, pero el funcionamiento es
desconocido por los usuarios y fabricantes, de modo que
todavía no se conoce una posible solución). Estas
vulnerabilidades son muy valiosas y demandadas,
llegando los interesados a pagar cantidades
astronómicas por ellas.
Errores de uso
◉ Configuración incorrecta de sistemas informáticos.
◉ Desconocimiento, falta de concienciación o
formación para los trabajadores y responsables.
◉ Uso de aplicaciones no seguras o uso incorrecto
de aplicaciones seguras.
Vulnerabilidades específicas IoT
Es crucial prestar atención a las vulnerabilidades relacionadas
específicamente con los dispositivos IoT (Internet de las cosas),
que recientemente han adquirido una gran relevancia.
En los últimos años han ocurrido importantes incidentes de
seguridad relacionados con dispositivos IoT, como por ejemplo
frigoríficos y cámaras conectadas a Internet que se han utilizado
para realizar ataques controlados a grandes sistemas
informáticos, manipulación no autorizada de vehículos de marcas
muy conocidas o cajeros automáticos que han sido controlados
para que expulsaran dinero en momentos determinados.
En los próximos años se incrementará exponencialmente el
número de dispositivos de uso diario y cotidiano que estarán
conectados a Internet y que dispondrán de posibles
vulnerabilidades que permitan a ciberdelincuentes utilizarlos para
realizar un ataque o acceder a las redes corporativas.
Prácticamente cualquier dispositivo conectado a Internet puede
ser usado como puerta de entrada para acceder a la red de una
empresa. Si se aplican las medidas necesarias para prevenir los
riesgos de ciberseguridad, estaremos evitando posibles
amenazas.
Ingeniería Social
Se refiere a la habilidad de manipular o influir en
las acciones o actuaciones de las personas, con
el fin de que el manipulador pueda conseguir
alcanzar un cierto objetivo (la ingeniería social es
ampliamente usada en otros ámbitos como las
ciencias políticas y la inteligencia).
Kevin Mitnick, uno de los hackers más importantes y buscados en la
década de los 90, afirmó que la ingeniería social se basa en 4
principios fundamentales:
◉ “A todos nos gusta que nos alaben”
◉ “El primer movimiento es siempre de confianza hacia el otro”
◉ “No nos gusta decir no, solo decir sí”
◉ “Todos queremos ayudar”
Los ciberdelincuentes suelen tener estos principios claros y
asumidos y los utilizan para conseguir obtener lo que desean de
las víctimas, teniendo conciencia de que el eslabón más débil de
la seguridad siempre es el propio usuario.
Técnicas
Las técnicas usadas en la ingeniería social suelen clasificarse
en función de la interacción que el ciberdelincuente tiene con
la víctima:

Pasivas: se basan en la observación del

comportamiento de la víctima, con el objetivo de
establecer un perfil psicológico, sus hábitos, sus
gustos, aficiones, etc.
No presenciales: son aquellas que se basan en solicitudes
de información, a través de llamadas, e-mails, suplantación de
identidad digita como phishing, etc. De esta manera tratan de
obtener información de la víctima. Esta es la técnica de ingeniería
social más extendida.

Presenciales no agresivas: consisten en el

seguimiento de la víctima. Incluye la vigilancia de
domicilios y la búsqueda y análisis de información real en
su entorno (oficina, apuntes o notas personales,
compañeros o amistades, basura, etc.).

Agresivas: se cimentan en la presión psicológica y

suplantación de identidad ya sea de la propia víctima,
familiares o amigos, o técnicos de compañías de servicios.
Phishing
También llamado suplantación de identidad, se basa en una de
las técnicas de ingeniería social más utilizada, la no presencial.
El método más habitual consiste en que el ciberdelincuente envía
uno o varios correos electrónicos a la víctima, haciéndose
pasar por una empresa o por un contacto de confianza (familiar o
amigo) y le pide que se descargue un archivo infectado por
malware o que haga clic en un enlace malicioso.
Un ataque de phishing típico se puede dividir en cuatro fases
básicas, véase el siguiente ejemplo:
En la primera fase
El ciberdelincuente busca y recoge información sobre las
víctimas. De forma frecuente, realiza la compra de datos
personales a redes especializadas en el tráfico ilegal de
datos.

En la segunda fase
Se comete el phishing propiamente dicho. El
ciberdelincuente envía correos electrónicos de forma masiva
a posibles víctimas, suplantando la identidad de compañías
bancarias o empresas que cuentan con datos financieros del
usuario, junto con web falsas duplicadas, que solicitan las
claves de acceso a dichas cuentas.
En la tercera fase
El ciberdelincuente realiza retiradas de dinero de las cuentas
de las víctimas y se transfieren a cuentas de intermediarios,
normalmente gente sin recursos y el escalón más bajo de la
organización, también llamados “muleros”.

En la cuarta fase
Los intermediarios retiran efectivo de sus cuentas y lo ingresan
en las cuentas de los ciberdelincuentes, quedándose para ellos
la parte pactada.

Para protegerse ante los ataques de phishing, las

reglas de oro son la lógica y sentido común.
En el capítulo de buenas prácticas se mostrarán
algunas medidas específicas.
Amenazas APT
Las amenazas APT son de extrema peligrosidad, por ello es esencial hacer una mención aparte
para conocerlas.
Los procesos APT son procesos dirigidos específicamente a conseguir un objetivo concreto.
Normalmente tratan de robar información a corporaciones o empresas, aunque pueden dirigirse a
una persona o colectivo determinado.
Estos procesos requieren un largo periodo de preparación por parte del atacante, puede llevar
incluso años conseguir esa alta capacitación, requiere una gran motivación y una importante
inversión económica para poder ejecutarse. Sin embargo, los beneficios que proporcionan estos
ataques a los ciberdelincuentes son exponencialmente proporcionales al tiempo e inversión
que realizan.
El ciclo de vida de un proceso APT consta de varias fases:
Recolección de información: en la primera fase se realiza una amplia recolección de
información de todas las fuentes posibles que puedan ayudar a conseguir el objetivo definido, se
aplican diversas técnicas de ingeniería social.

Intrusión en la Red: la finalidad de esta fase es acceder a los sistemas que van a
proporcionar una información valiosa, por lo que se emplearán todo tipo de técnicas (incluidas
vulnerabilidades de día cero) para conseguirlo.

Establecimiento de conexión de salida: en el momento en el que el ciberdelincuente

accede a los sistemas o redes, establecerá métodos de conexión de salida lo más seguros
posible, para poder trasferir los datos al exterior sin ser detectado y evitar poner en alerta a la
víctima.
Propagación: en esta fase se propaga el ataque a todos los sistemas, equipos y servicios que
estén en la red, con el objetivo de conseguir la mayor cantidad de información posible.

Extracción de información: el atacante extrae la información, de forma estratégica y en

pequeñas dosis para no levantar sospechas. Sin embargo, la información puede ser filtrada en enormes
cantidades, ya que se trata de ataques persistentes, en los que se obtiene información durante largos
periodos de tiempo.

Eliminación de huellas: esta fase, es en realidad un proceso continuo que se realiza durante
todas las fases, una vez se ha conseguido el acceso a los sistemas, el atacante debe evitar levantar
sospechas o ser localizado.

Es muy difícil protegerse de este tipo de ataques, será necesario desplegar

medidas de “Defensa en profundidad” combinadas con estrategias de
defensa temprana y políticas eficaces de seguridad.
La gestión de riesgo
La gestión de riesgo permite establecer, analizar, evaluar y clasificar el riesgo para, de este modo,
poder implementar las medidas necesarias para mitigarlo o eliminarlo.
La gestión del riesgo se divide en distintas fases dependiendo de los procesos y la metodología que se
utilice. Las fases más comunes, tal como muestra INCIBE (el Instituto Nacional de Ciberseguridad de
España, SA) son:

◉ Definir el alcance: se establece el alcance del análisis: qué departamentos de la

empresa, qué procesos, sistemas o instalaciones pueden verse afectados.

◉ Identificar los activos: es necesario

identificar y clasificar todos los activos que
debemos tener en cuenta (información, bases de
datos, documentos, servidores, routers,
terminales, etc.).
◉ Identificar las amenazas: en esta fase se deben encontrar todas las amenazas que
puedan afectar o estén afectando a cada uno de los activos seleccionados en la fase anterior.

◉ Identificar vulnerabilidades y salvaguardas: identificar las vulnerabilidades que

podemos encontrar en los activos, analizando las posibles medidas de seguridad que ya deben estar
implementadas para salvaguardar dichos activos.
◉ Evaluar el riesgo: tras recabar la información en las fases anteriores, se puede realizar el
análisis del riesgo. En esta fase es necesario realizar una valoración de la probabilidad de que
suceda una amenaza para un activo determinado y el impacto que esto tendría de manera particular
y global.
◉ Tratar el riesgo: en último lugar, será necesario tratar los riesgos, e identificar aquellos que
superen el umbral de seguridad establecido. La empresa debe establecer la necesidad de realizar
un tratamiento de aquellos riesgos que superen un cierto valor o nivel.
Al gestionar el riesgo hay que tomar decisiones y estas se
resumen en:
Transferir: derivar el riesgo a terceros. Un caso habitual es la contratación de seguros.
Eliminar: destruir el activo o proceso implicado en el riesgo, por ejemplo, suspender la
conexión a internet. Sin embargo, en la mayoría de casos, eliminar un activo o proceso no suele ser
la opción más adecuada.
Asumir: en algunas situaciones, aunque deben
ser muy estudiadas y fundadas, se puede tomar la
decisión de asumir el riesgo y no llevar a cabo ningún
tratamiento. Esto puede ocurrir cuando el coste de
realizar otro tipo de acción no es factible. Es crucial
valorar adecuadamente el impacto del riesgo si
llegase a materializarse.

Mitigar: esta debería ser la decisión más común.

Por ejemplo, si implementamos una correcta política
de cifrado de datos, en caso de que no exista,
estaremos contribuyendo a mitigar el riesgo.
La gestión del riesgo debe incluir obligatoriamente un plan de revisión habitual.
Los riesgos en la ciberseguridad son elementos vivos y cambiantes, por tanto, continuamente
aparecen nuevas vulnerabilidades. Los activos rotan y se actualizan constantemente. Por otro
lado, debemos tener en cuenta que la obsolescencia de los equipos y sistemas es elevada.
Almacenamiento.
Recuperación. Borrado seguro
Almacenamiento de
datos o data storage
Esta función se refiere al conjunto de especificaciones
que sirven para definir qué información y cómo se
almacena, dentro de una empresa o para un
particular. Busca implementar buenas prácticas y
políticas para cumplir con los objetivos planteados. El
orden lógico es importante cuando se trata de un gran
volumen de información.
El Almacenamiento Conectado en Red o NAS
(del inglés, Network Attached Storage) es un dispositivo
que se conecta a la red y provee un almacén de datos
que permite acceder a varios usuarios al mismo lugar
en el mismo momento, a través de una red IP.

Entre los principales beneficios de NAS se destaca la

facilidad de comunicación entre un ordenador y el
sistema de almacenamiento.
La recuperación y borrado
mediante una sola fuente de almacenamiento genera
menos errores, menos trabajo a la hora de realizar
copias de seguridad y mayor agilidad en el intercambio
de datos y las búsquedas de información. De forma que
se gestiona y se optimiza la entrada y salida de datos.
Estos sistemas son más seguros porque distribuyen las
copias de datos en lugar de ubicarlas en un solo disco
duro. Por otro lado, como desventaja encontramos que
NAS no puede ser integrado cuando no está
configurado, se limita a los equipos y dispositivos
conectados.
¡Lo conseguiste!
Has llegado al final de la unidad