Fundamentos de Ciberseguridad - Clase 3

Séptimo Ciclo
FUNDAMENTOS DE
CIBERSEGURIDAD
CLASE 3 – “AMENAZAS, VULNERABILIDADES Y RIESGO”
Martes y Jueves: 19:35 - 22:00
VALERIA VILLALOBOS M
- CURSO DE 4 SESIONES INTRODUCTORIAS PARA CIBERSEGURIDAD Y SUS CARACTERISTICAS
- INICIO DE CLASES: 15 DE FEBRERO 2022
- TERMINO DE CLASES: 24 DE FEBRERO 2022
- 4 CLASES + 1 PRUEBA - 20 HORAS
- HORARIO: MARTES Y JUEVES DE 19:30 A 22:00 HORAS Y UN BREAK DE 20 MINUTOS.
CARACTERISTICAS GENERALES
FUNDAMENTOS DE NOMBRE DE
RECUERDE UTILIZAR LOS FOROS DE CADA MODULO
Docente:
- m.villalobos.valeria@gmail.com
Ayudante Académico:
- marco.azua@usach.cl
FUNDAMENTOS DE NOMBRE DE
RESUMEN CLASE 2
▪ ARQUITECTURA DE RED
▪ MODELO OSI
▪ EJEMPLO MODELO OSI – CARTERO
▪ TRIADA Y IMPULSORES
▪ CIBER ESPACIO VS INTERNET
▪ GESTION DE CIBERSEGURIDAD
▪ CONCEPTOS DE RIESGO
▪ CYBER KILL CHAIN – CADENA DE MUERTE CIBER
▪ HERRAMIENTAS EN EL KILL CHAIN
CLASE 3: ““AMENAZAS, VULNERABILIDADES Y RIESGO”
Actividades y Objetivos de la Clase
MARTES 22 DE FEBRERO
CONCEPTOS
AMENAZA
VULNERABILIDAD
RIESGO
CONCEPTOS
AMENAZA
Las amenazas se manifiestan por actores de amenazas,
que son individuos o grupos con diversos antecedentes y
motivaciones. Comprender las amenazas es fundamental
para crear mitigaciones efectivas y ayuda a tomar las
decisiones correctas en ciberseguridad
AMENAZA: Es cualquier tipo de peligro, que puede dañar o

robar datos, crear una interrupción o causar un daño en
general. Existen tres tipos:
1. Intencionales
2. No intencionales
3. Natural
AMENAZA - CONCEPTOS
▪ “Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una
organización” (ISO 27000:2019)
▪ “Toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de
información” (INCIBE, 2019)
▪ Pueden ser desde un simple malware hasta sofisticados ciberataques, eventos naturales, la
competencia empresarial, un empleado desvinculado, entre otros.
▪ Desde el punto de vista organizacional pueden ser tanto internas como externas.
AMENAZA – AMENAZAS MAS RECONOCIDAS
Software malicioso diseñado para infiltrarse o dañar un
sistema informático, sin el consentimiento del
propietario. Las formas comunes de malware incluyen
virus informáticos, gusanos, troyanos, spyware y adware.
Software malicioso diseñado para infiltrarse o
dañar un sistema informático, sin el
consentimiento del propietario. Las formas
comunes de malware incluyen virus informáticos,
gusanos, troyanos, spyware y adware.
Un intento de un tercero de solicitar información confidencial de

un individuo, grupo u organización imitando o falsificando, una
marca específica, generalmente bien conocida, generalmente para
obtener ganancias financieras. Los phishers intentan engañar a los
usuarios para que divulguen datos personales, como números de
tarjetas de crédito, credenciales de banca en línea y otra
información confidencial, que luego pueden usar para cometer
actos fraudulentos.
Software malicioso diseñado para infiltrarse o
dañar un sistema informático, sin el
consentimiento del propietario. Las formas
comunes de malware incluyen virus informáticos,
gusanos, troyanos, spyware y adware.

actos fraudulentos.
Con la contraseña correcta, un atacante cibernético

tiene acceso a una gran cantidad de información. La
ingeniería social es un tipo de ataque de contraseña
que se define como "una estrategia que los ciber
atacantes utilizan que se basa en gran medida en la
interacción humana y, a menudo, implica engañar a
las personas para que rompan las prácticas de
seguridad estándar".
Otros tipos de ataques de contraseñas incluyen

acceder a una base de datos de contraseñas o
adivinar directamente.

actos fraudulentos.

que se define como "una estrategia que los
ciberatacantes utilizan que se basa en gran medida en
la interacción humana y, a menudo, implica engañar a

adivinar directamente. Tipo de ataque cibernético que inunda
una computadora o red para que no
pueda responder a las solicitudes. Un
DoS distribuido (DDoS) hace lo mismo,
pero el ataque se origina en una red
informática.

actos fraudulentos.

ciberatacantes utilizan que se basa en gran medida en
la interacción humana y, a menudo, implica engañar a

adivinar directamente. Tipo de ataque cibernético que inunda Tipo de malware que engaña a los usuarios para
una computadora o red para que no que compren una solución antimalware o un
pueda responder a las solicitudes. Un servicio de eliminación.
informática. En lugar de un producto legítimo, el usuario
termina descargando más malware o algo peor.

actos fraudulentos.

ciberatacantes utilizan que se basa en gran medida en Publicidad maliciosa donde los anuncios en línea
la interacción humana y, a menudo, implica engañar a distribuyen malware.


La descarga involuntaria de código malicioso a
su computadora o dispositivo móvil que lo
deja abierto a un ciberataque.
actos fraudulentos.


sistema informático, sin el consentimiento del Ocurre cuando los hackers se insertan en una transacción de dos
propietario. Las formas comunes de malware incluyen partes. Después de interrumpir el tráfico, pueden filtrar y robar
virus informáticos, gusanos, troyanos, spyware y adware. datos

La descarga involuntaria de código malicioso a
su computadora o dispositivo móvil que lo
deja abierto a un ciberataque.
actos fraudulentos.


AMENAZA – ACTORES DE AMENAZA
Según la corporación MITRE, MITRE ATT&CK® es una base de conocimiento accesible a nivel mundial de tácticas y técnicas adversas basadas en
observaciones del mundo real. La base de conocimiento ATT&CK se utiliza como base para el desarrollo de modelos y metodologías de amenazas
específicas en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciber seguridad.
El marco proporciona cuatro matrices:
➢ PRE-ATAQUE
➢ EMPRESA
➢ MÓVIL
➢ ICS (Sistemas de control industrial)
https://attack.mitre.org/matrices/enterprise/
MITRE ATT&CK
• Tácticas: Objetivo técnico del adversario, representa el "por que" de una
técnica o sub-tecnica. Por ejemplo: Adversario quiere obtener credenciales
de acceso.
• Técnicas: Representan el como, detalles de como se logra el objetivo, por

ejemplo un adversario podría descargar credenciales para poder tener
acceso.
• Sub-Técnicas: Representan a un gran nivel de detalle el comportamiento

del adversario para poder lograr el objetivo. Por ejemplo el adversario pudo
obtener credenciales accediendo a LSA secretos.
• Procedimientos: La implementación especifica que utiliza el adversario para

lograr las técnicas y sub técnicas. Por ejemplo un procedimiento puede ser
la utilización de powershell para inyectar data a un proceso legitimo para
que entregue credenciales.
MITRE ATT&CK – TTP en acción
La combinación de tácticas, técnicas y procedimientos puede ser muy variada. Por tanto, los ejemplos son
numerosos. Estos son dos casos en los que se han empleado distintas TTP.
1.- Ataque a plataformas de juego online (2018)
➢ Táctica: implementar una táctica de impacto para tumbar los sistemas informáticos de
plataformas como Steam, EA, Riot Games o la infraestructura de la Xbox de Microsoft.
➢ Técnica: ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés).
➢ Procedimientos: saturar el host o la red objetivo con tráfico excesivo hasta que no pueda
responder o colapse.
2.- WannaCry (2017)
➢ Táctica: combinación de evasión de defensas, impacto y movimientos laterales, entre otros.

➢ Técnicas: modificación de permisos de archivos, cifrado de archivos de los usuarios exigiendo una
recompensa para descifrar dichos archivos, enumeración de sesiones de escritorio remoto para intentar
ejecutar el malware en cada sesión.
➢ Procedimientos: uno de los procedimientos sería utilizar attrib +h y icacls . /grant Everyone:F /T /C /Q
para ocultar algunos archivos y garantizar a todos los usuarios controles de acceso completo.
VULNERABILIDADES
Una vulnerabilidad es una debilidad en hardware, software, personal o
procedimientos, que puede ser explotada por actores de amenazas para lograr sus
objetivos.
Las vulnerabilidades pueden ser físicas, como un dispositivo de red expuesto

públicamente, basadas en software, como una vulnerabilidad de desbordamiento
de búfer en un navegador, o incluso humanas, que incluyen a un empleado
susceptible a ataques de phishing.
El proceso de descubrir, informar y corregir vulnerabilidades se denomina gestión

de vulnerabilidades. Una vulnerabilidad, cuya solución aún no está disponible, se
denomina vulnerabilidad de día cero.
VULNERABILIDADES - CONCEPTOS
▪ “Debilidad de un activo o de un control que puede ser explotada por una o más amenazas” (ISO
27000:2019)
▪ “Es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información
pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de
la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible. ” (INCIBE, 2019)
▪ “Debilidad de un activo o de un control que puede ser explotada por una o más amenazas”
VULNERABILIDADES – MOTIVO (OBJETIVO) + METODO (VULN)
Ataques - Motivo (Objetivo) + Método + Vulnerabilidad
❑ Un motivo se origina en la noción de que el sistema de destino almacena o procesa algo valioso, y
esto conduce a la amenaza de un ataque al sistema.
❑ Los atacantes prueban varias herramientas y técnicas de ataque para explotar vulnerabilidades en
un sistema informático o su política de seguridad y controles con el fin de cumplir con sus motivos.
Motivos detrás de los ataques a la seguridad de la información y Ciberseguridad

✓ Interrumpir la continuidad del negocio ✓ Propagar creencias religiosas o políticas
✓ Robar información y manipular datos ✓ Lograr los objetivos militares de un estado
✓ Crear miedo y caos al interrumpir las ✓ Dañar la reputación del objetivo
infraestructuras críticas ✓ Tomar venganza
✓ Causar pérdidas financieras al objetivo ✓ Exigir rescate
VULNERABILIDADES – MOTIVO (OBJETIVO) + METODO (VULN)
La evaluación de la vulnerabilidad es un examen en profundidad de la capacidad de un sistema o aplicación, incluidos los procedimientos y
controles de seguridad actuales, para resistir la explotación.
Reconoce, mide y clasifica las vulnerabilidades de seguridad de un sistema informático, de la red y de los canales de comunicación.
Una evaluación de la vulnerabilidad puede utilizarse para:

➢ Identificar los puntos débiles que podrían ser explotados.
➢ Predecir la eficacia de las medidas de seguridad adicionales para proteger los recursos de información de los ataques.
La información obtenida del escáner de vulnerabilidad incluye:
➢ Vulnerabilidades de la red.
➢ Puertos abiertos y servicios en ejecución.
➢ Vulnerabilidades de aplicaciones y servicios .
➢ Errores de configuración de aplicaciones y servicios.
VULNERABILIDADES – PUNTAJES
❑ CVSS proporciona un marco abierto para comunicar las características e impactos de las vulnerabilidades de TI.
❑ Su modelo cuantitativo garantiza una medición precisa repetible, al tiempo que permite a los usuarios ver las
características de vulnerabilidad subyacentes utilizadas para generar las puntuaciones.
VULNERABILIDADES – BASES DE DATOS DE VULN
Un repositorio del gobierno de EE. UU. de

datos de administración de vulnerabilidades
basados en estándares representados
mediante el Protocolo de automatización de
contenido de seguridad. (SCAP)
Estos datos permiten la automatización de la

gestión de vulnerabilidades, la medición de la
seguridad y el cumplimiento.
El NVD incluye bases de datos de referencias

de listas de comprobación de seguridad,
defectos de software relacionados con la
seguridad, configuraciones incorrectas,
nombres de productos y métricas de impacto.
VULNERABILIDADES – BASES DE DATOS DE VULN
Un sistema de categorías para vulnerabilidades y

debilidades de software.
Está patrocinado por la FFRDC Nacional de

Ciberseguridad, que es propiedad de The MITRE
Corporation, con el apoyo de US-CERT y la División
Nacional de Seguridad Cibernética del Departamento
de Seguridad Nacional de los Estados Unidos.
Cuenta con más de 600 categorías de debilidades, que

permiten a CWE ser empleada eficazmente por la
comunidad como base para los esfuerzos de
identificación, mitigación y prevención de debilidades.
VULNERABILIDADES – CALCULADORA
Esta página muestra los componentes del puntaje CVSS , por ejemplo, y le permite refinar el puntaje base CVSS. Lea la guía de estándares de CVSS
para comprender completamente cómo calificar las vulnerabilidades de CVSS e interpretar los puntajes de CVSS. Los puntajes se calculan en
secuencia, de modo que el puntaje base se usa para calcular el puntaje temporal y el puntaje temporal se usa para calcular el puntaje ambiental.
VULNERABILIDADES – CLASIFICACIONES
RIESGOS
Es una consecuencia potencial de la pérdida o daño de activos o datos
causados por una amenaza cibernética. El riesgo nunca se puede eliminar
por completo, pero se puede administrar a un nivel que satisfaga la Risk = Threat + Vulnerability.
tolerancia al riesgo de una organización. Por lo tanto, nuestro objetivo no es
tener un sistema libre de riesgos, sino mantener el riesgo lo más bajo
posible.
Los riesgos cibernéticos generalmente se determinan examinando el actor

de amenazas y el tipo de vulnerabilidades que tiene el sistema.
Existen dos tipos:
1. Externos: Riesgos provenientes desde fuera de la organización.
2. Internos: Provenientes de internos (“Insiders”). Estos Insiders podrían
tener malas intenciones o no fueron totalmente entrenados.
RIESGOS
RIESGOS – Diferencias entre Amenaza, Vulnerabilidad y Riesgo
AMENAZA VULNERABILIDAD RIESGO
1. Aprovecha las vulnerabilidades en el sistema y Conocida como la debilidad en el hardware, el El potencial de pérdida o destrucción de datos es
tenga el potencial de robar y dañar datos. software o los diseños, que podría permitir que causado por amenazas cibernéticas.
ocurran amenazas cibernéticas.
2. Generalmente, no pueden ser controladas. Pueden ser controladas. Puede ser controlado.
3. Pueden o no ser intencionales. Generalmente, son involuntarios. Siempre voluntario e intencional.
4. Pueden ser bloqueadas gestionando las La gestión de vulnerabilidades es un proceso de Reducir las transferencias de datos, descargar
vulnerabilidades. identificación de los problemas, luego categorizarlos, archivos de fuentes confiables, actualizar el software
priorizarlos y resolver las vulnerabilidades en ese regularmente, contratar a un equipo profesional de
orden. ciberseguridad para monitorear los datos, desarrollar
un plan de gestión de incidentes, etc. ayudan a
reducir la posibilidad de riesgos cibernéticos.
5. Podria ser detectado por herramientas de Puede ser detectado por pruebas de penetración y Se puede detectar identificando correos electrónicos
detección de amenazas. evaluaciones de vulnerabilidad automatizadas o no. misteriosos, ventanas emergentes sospechosas,
observando actividades de contraseña inusuales,
una red más lenta de lo normal, etc.
GESTION RIESGOS - IMPORTANCIA
La importancia del estudio de amenazas y vulnerabilidades
“Es un sistema que determina que requiere protegerse, y por qué, de que debe ser
protegido y como protegerlo.” (Albert, 2003)
▪ Los procesos de negocio

¿Que requiere protegerse? ▪ La información y TIC habilitantes
Son los
▪ El valor que tienen para el negocio
¿por qué protegerlos?
▪ Para preservar la CID requerida elementos de
los que debo
▪ Amenazas proteger a los
¿De que protegerlos?
▪ Vulnerabilidades activos
▪ Con prácticas de gestión de riesgo

¿Cómo protegerlos? ▪ Implementando controles
Las amenazas se estudian desde los activos de información
Activo de Información Amenaza Tipo Fuente de la Amenaza

Espionaje Remoto (MitM) D Criminales
Robo de información por
D Empleados
PC Mesa de Ayuda parte del usuario
Saturación del ancho de
A Usuarios
banda
Las vulnerabilidades se estudian desde los activos de información
Activo de Información Amenaza Tipo Fuente de la Amenaza Vulnerabilidad Tecnica

Falta de protocolo
Espionaje Remoto (MitM) D Criminales de cifrado de Si
extremo a extremo
Falla en la definición
de los protocolos de Si
Robo de información por
PC Mesa de Ayuda D Empleados filtrado de datos
parte del usuario
Falta de controles
Si
sobre dispositivos
Inexistencia de un
Saturación del ancho de
A Usuarios mecanismo de Si
banda
balanceo de tráfico
Audience Q&A Session
ⓘ Start presenting to display the audience questions on this slide.

Séptimo Ciclo
FUNDAMENTOS DE
CIBERSEGURIDAD
CLASE 1 – “INTRODUCCION A LA CIBERSEGURIDAD”
Martes y Jueves: 19:35 - 22:00

Fundamentos de Ciberseguridad - Clase 3

Cargado por

Copyright:

Formatos disponibles

Fundamentos de Ciberseguridad - Clase 3

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fundamentos de Ciberseguridad - Clase 3

Cargado por

Copyright:

Formatos disponibles

Séptimo Ciclo

- INICIO DE CLASES: 15 DE FEBRERO 2022

- TERMINO DE CLASES: 24 DE FEBRERO 2022

- 4 CLASES + 1 PRUEBA - 20 HORAS

- HORARIO: MARTES Y JUEVES DE 19:30 A 22:00 HORAS Y UN BREAK DE 20 MINUTOS.

Actividades y Objetivos de la Clase

AMENAZA: Es cualquier tipo de peligro, que puede dañar o

Un intento de un tercero de solicitar información confidencial de

Un intento de un tercero de solicitar información confidencial de

Con la contraseña correcta, un atacante cibernético

Otros tipos de ataques de contraseñas incluyen

Un intento de un tercero de solicitar información confidencial de

Con la contraseña correcta, un atacante cibernético

Otros tipos de ataques de contraseñas incluyen

Un intento de un tercero de solicitar información confidencial de

Con la contraseña correcta, un atacante cibernético

Otros tipos de ataques de contraseñas incluyen

Un intento de un tercero de solicitar información confidencial de

Con la contraseña correcta, un atacante cibernético

Otros tipos de ataques de contraseñas incluyen

Un intento de un tercero de solicitar información confidencial de

Con la contraseña correcta, un atacante cibernético

Otros tipos de ataques de contraseñas incluyen

Un intento de un tercero de solicitar información confidencial de

Con la contraseña correcta, un atacante cibernético

Otros tipos de ataques de contraseñas incluyen

El marco proporciona cuatro matrices:

• Técnicas: Representan el como, detalles de como se logra el objetivo, por

• Sub-Técnicas: Representan a un gran nivel de detalle el comportamiento

• Procedimientos: La implementación especifica que utiliza el adversario para

1.- Ataque a plataformas de juego online (2018)

2.- WannaCry (2017)

➢ Táctica: combinación de evasión de defensas, impacto y movimientos laterales, entre otros.

Las vulnerabilidades pueden ser físicas, como un dispositivo de red expuesto

El proceso de descubrir, informar y corregir vulnerabilidades se denomina gestión

Motivos detrás de los ataques a la seguridad de la información y Ciberseguridad

Una evaluación de la vulnerabilidad puede utilizarse para:

La información obtenida del escáner de vulnerabilidad incluye:

Un repositorio del gobierno de EE. UU. de

Estos datos permiten la automatización de la

El NVD incluye bases de datos de referencias

Un sistema de categorías para vulnerabilidades y

Está patrocinado por la FFRDC Nacional de

Cuenta con más de 600 categorías de debilidades, que

Los riesgos cibernéticos generalmente se determinan examinando el actor

3. Pueden o no ser intencionales. Generalmente, son involuntarios. Siempre voluntario e intencional.

▪ Los procesos de negocio

▪ Con prácticas de gestión de riesgo

Activo de Información Amenaza Tipo Fuente de la Amenaza

Activo de Información Amenaza Tipo Fuente de la Amenaza Vulnerabilidad Tecnica

ⓘ Start presenting to display the audience questions on this slide.

También podría gustarte