Conceptos Clave de Ciberseguridad: Protección de Sistemas y Datos

Ingeniería informática, , , , , , ,

¿Cómo definirías la Seguridad Informática? ¿En qué consiste?

Es el conjunto de mecanismos y servicios que aseguran la integridad y privacidad de la información que los sistemas manejan.

¿Qué tres aspectos debe garantizar la Seguridad Informática?

  • Integridad
  • Disponibilidad
  • Confidencialidad

¿Qué siete dominios deben tenerse en cuenta para afrontar la protección de un entorno informático?

  • Dominio de Usuario (User Domain)
  • Dominio de Estación de Trabajo (Workstation Domain)
  • Dominio de LAN (LAN Domain)
  • Dominio de LAN a WAN (LAN-to-WAN Domain)
  • Dominio de WAN (WAN Domain)
  • Dominio de Servicio/Aplicación (Service/Application Domain)
  • Dominio de Acceso Remoto (Remote Access Domain)

¿Para qué sirven las políticas y procedimientos de seguridad? ¿Cuáles son las diferencias entre ellos?

Sirven para garantizar el cumplimiento de las normativas y legislaciones relativas a la Seguridad Informática. Los procedimientos son instrucciones concretas de cómo cumplir las políticas a través de estándares.

¿Qué legislación tiene que ver en nuestro país con la seguridad informática y con los delitos informáticos?

Código Penal, Ley de Servicios de la Sociedad de la Información, Ley de Protección de Datos, Ley de la Propiedad Intelectual, Ley de Firma Electrónica, Ley General de Telecomunicaciones.

¿Cuáles son las diferencias entre los conceptos de riesgo, amenaza y vulnerabilidad?

  • Riesgo: es la probabilidad de que ocurra algún incidente de seguridad.
  • Amenaza: es una acción que podría tener un potencial efecto negativo sobre algún activo.
  • Vulnerabilidad: es una debilidad o fallo del cual se aprovechan las amenazas para poder materializarse.

¿Cuáles son las típicas causas de una vulnerabilidad?

  • De diseño: Fabricante, Comunidad, Desarrollador
  • De arquitectura y configuración: Hardware, Software, Comunicaciones
  • De procedimientos: Usuario, Administrador

¿Qué es el CVE-ID de una vulnerabilidad?

Es el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), un identificador que se asigna a los boletines de seguridad y cuyo fin es facilitar el intercambio de información entre diferentes bases de datos y herramientas.

¿Qué proceso se sigue desde que una vulnerabilidad se descubre hasta que se resuelve?

  1. Detección y descripción de la vulnerabilidad con su CVE-ID.
  2. Implementación de la explotación de la vulnerabilidad del sistema (desarrollo de exploits).
  3. Solución al problema.
  4. Generación del parche de actualización o de nueva versión del código.

¿En qué consiste un ataque de Zero-Day?

Se denomina Zero-Day al día en el que una vulnerabilidad se hace pública. Un ataque Zero-Day, por consiguiente, será aquel que se realice ese primer día, aprovechando así que no se han solventado las debilidades.

¿Qué es un exploit?

Es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo.

¿Qué es el CVSS?

El CVSS (Common Vulnerability Scoring System) es un sistema de valoración de vulnerabilidades creado como un método estándar para determinar la criticidad de las vulnerabilidades desde diferentes puntos de vista y poder clasificarlas.

¿Cuál es el objetivo de un proceso de evaluación del riesgo y qué fases sigue?

Es determinar el impacto económico de un incidente de seguridad en los activos de un sistema, teniendo en cuenta la probabilidad de que sucedan y sus consecuencias. Tiene 3 fases:

  1. Establecimiento de objetivos.
  2. Evaluación del riesgo.
  3. Selección de contramedidas.

¿Cómo se priorizan las contramedidas tras un proceso de evaluación del riesgo?

Se priorizan por el nivel de riesgo que tengan, el cual viene determinando por el impacto de una amenaza y su grado de vulnerabilidad (impacto * grado de vulnerabilidad). A la hora de invertir en una contramedida habrá que tener en cuenta el nivel medio de vida de esta.

¿Qué tipos de análisis de vulnerabilidades pueden realizarse?

Pueden realizarse de tres tipos, siendo estos de caja negra, gris o blanca. El de caja negra se hace sin el conocimiento del objetivo, mientras que el de blanca con el conocimiento. La caja gris combina los beneficios de los anteriores.

¿Qué es un CSIRT y cuáles son sus principales tareas?

CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informática).

Se encarga de:

  • Estar al día de las nuevas vulnerabilidades y estrategias de ataque empleadas por los atacantes.
  • Realizar/posibilitar auditorías de sistemas y redes.
  • Analizar y desarrollar nuevas tecnologías y soluciones para minimizar vulnerabilidades.
  • Revisar, perfeccionar y actualizar continuamente los estándares, procedimientos y guías.
  • Ser punto central de comunicación.
  • Documentar y catalogar los incidentes de seguridad producidos.
  • Obtener lecciones aprendidas.

Términos Relevantes en Ciberseguridad

  • Watering Hole Attack (Ataque de abrevadero): Intentar atacar una web que se sabe que utiliza mucha gente, o investigar un grupo de personas para ver qué webs visitan usualmente. Se aprovechan las vulnerabilidades Zero-Day.
  • Ransomware: Malware que secuestra parte de tu sistema, como datos, y te pide un rescate.
  • Scam: Fraude, estafa, timo.
  • Spear Phishing: Phishing a un determinado grupo de personas.
  • Creepware: Acceso al hardware, normalmente a la webcam, aunque también a las comunicaciones, por ejemplo. Orientado a personas individuales.

Conclusiones acerca de la evolución en el último año de las vulnerabilidades analizadas

En 2013 se incrementaron en gran número las brechas de seguridad, comprometiendo la seguridad de más de 500 millones de personas. Los ataques se han movido del email a las redes sociales, y se empiezan a atacar dispositivos del Internet de las Cosas (IoT), como Smart TVs y pequeños dispositivos conectados. Cada vez más los ataques son dirigidos. Mega Breach. El eslabón más débil es el factor humano. Brechas en grandes compañías. Tema de scams, redes móviles, dispositivos conectados. Dispositivos que nunca han sido comprometidos ahora tienen vulnerabilidades, como los coches conectados, los electrodomésticos inteligentes…

¿En qué cuatro categorías pueden clasificarse los ataques maliciosos a un sistema desde el punto de vista de la acción que llevan a cabo?

  • Intercepción: Espionaje y/o redirección de comunicaciones para tener acceso a datos a los que no está autorizado acceder.
  • Fabricación: Creación de un activo falso para engañar a un usuario.
  • Interrupción: Bloqueo del normal funcionamiento de un activo o una comunicación.
  • Modificación: Alteración no autorizada de un activo.

¿Cuáles son los principales tipos de atacantes que suelen distinguirse hoy en día? ¿Qué diferencias hay entre sus objetivos?

  • Black Hat Hackers: Atacantes que aprovechan las vulnerabilidades de los sistemas con diferentes objetivos (incluso demostrar su destreza). Tienen altos conocimientos y no revelan los agujeros descubiertos a los administradores.
  • White Hat Hackers (hackers éticos): Atacantes que informan siempre de sus vulnerabilidades descubiertas e incluso ayudan a subsanarlas.
  • Script Kiddies: Atacantes aficionados sin nivel suficiente de conocimientos técnicos que utilizan herramientas automáticas y recetas cuyo funcionamiento y consecuencias desconocen.
  • Crackers: Atacantes que se centran en romper los sistemas criptográficos con altos conocimientos en matemáticas y algoritmia.

¿Qué fases o etapas son habituales en un ataque hacker?

Recogida de información, construcción, repetición y obtención de resultados.

¿Qué técnicas y herramientas son más comunes en la fase de recogida de información?

  • Footprinting: Se pretende obtener la huella identificativa o footprint (toda la información posible) de la red, sistema o usuario objetivo del ataque.
  • Fingerprinting: Se trata de una recogida de datos más específicos que permiten recopilar información sobre toda la pila TCP/IP de una red o sistema concreto.
  • Ingeniería Social: Se basa en la buena/mala fe de las personas para obtener información valiosa para realizar ataques.
  • Phishing: Jugar con la probabilidad de obtener información (normalmente usuario/contraseña) enviando a las víctimas comunicación confiable y legítima solicitando información (email normalmente).
  • Sniffing: Técnica que permite capturar todos los datos que circulan por una red de área local (Wireshark).
  • Scanning/Mapping: Trata de analizar a través de diferentes herramientas el estado de una determinada red y de los dispositivos ubicados en ellas. Se puede escanear puertos o vulnerabilidades (Nmap).

Cita al menos tres precauciones básicas que deben adoptarse para dificultar esta fase a un potencial atacante

  • Implantar planes de concienciación y comunicación acerca de la importancia de la seguridad.
  • Definir y mantener actualizadas políticas de seguridad adecuadas al entorno de operación de la organización.
  • Limitar la información de público acceso y destruir la que se quede obsoleta o fuera de uso.
  • Utilizar mecanismos adecuados de autenticación y control de acceso.

¿Cuáles son las formas más habituales de conseguir el anonimato para perpetrar un ataque hacker?

  • Anonimato físico: Se consigue proteger la identidad del atacante porque se accede desde lugares públicos como puede ser un cibercafé.
  • Anonimato bouncer: Toma el control de una máquina y lo utiliza como «puerta» de entrada para su conexión (se ve siempre como el origen de los ataques).
  • Anonimato proxy: Máquina que mediante NAT realiza funciones de intermediación ocultando el origen de las comunicaciones viendo así la víctima al proxy y no al atacante.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.