Cisco Curso de Ciberseguridad

La ciberseguridad es la acción para proteger todos los bienes digitales y tecnológicos de

atacantes cibernéticos.

Esto se aplica a nivel personal, organizacional y gubernamental.

A nivel personal se debe a la protección de nuestros propios datos y dispositivos

informáticos.

A nivel organizacional se prioriza la protección al colectivo, es decir a grupo de personas

qué alojen sus datos en la web y con ellos sus dispositivos informáticos, esto aplica también
para las empresas y toda su distribución digital.

A nivel gubernamental se protege todos los activos e información a disposición del gobierno,
sean bases de datos, y demás datos sensibles.

Identidad en la web

Una persona qué haya navegado por la web sí o sí genera un perfil, el cuál puede partir de
lo más mínimo como: historial de búsqueda, ip, proxy, etc. O cuentas en redes sociales, se
debe limitar el tipo de información que se expone en estas plataformas sociales.

Una recomendación es elegir nombres de usuario qué no revelen alguna información

sensible como dirección, contraseña, teléfono, edad, etc. Tampoco caer en nombres muy
extraños y repetitivos; pueden ser rastreables.

Nuestros datos pueden partir desde información clínica, académica, monetaria y demás
tipos de datos. Saber donde se comparten esos datos es muy importante

El recorrido de mis datos

Cuando comparto una información sea una foto, un texto, etc. Este no solo se limita a mis
dispositivos si no qué al destinatario y queda a su disposición. La información pasa por
distintos puntos diferente al inicial, generando todo un recorrido.

¿Cómo actúan los hackers?

Estos se aprovechan de cualquier información que no se encuentre bien asegurada y sea
vulnerable a sus ataques. Algunos en su modus operandi crean identidades falsas para
diversos propósitos, sea robar un seguro médico o pedir un préstamo a mi nombre.

Otras entidades qué ocupan nuestros datos

Además de los hackers, hay otras compañías que podrían estar usando nuestros datos,
tales como nuestro proveedor de internet, anunciantes, motores de búsqueda y las cookies
de las páginas web.
Tipos de datos en la organización

Datos tradicionales

Estos datos son manejados por grandes, medianas y pequeñas empresas para el manejo
de su diverso campo de operaciones.

Datos transaccionales: Son los qué registran toda operación y movimiento dentro de la
organización, sea una compra y venta, registros de producción y demás.

Propiedad intelectual: Estos son todos los bienes digitales alojados por la empresa, sea
algún servicio nuevo por ofrecer o una marca registrada, etc.

Datos financieros: Estos son los datos monetarios, los cuales podrían ser saldos de caja,
nóminas, balances, ingresos, etc.

El cubo de John McCumber

Este fue creado en 1991 cómo un marco de trabajo expuesto a las organizaciones para
manejar y proteger de una manera más responsable sus datos.

Consta de 3 pilares fundamentales:

1.​ Proteger la información bajos los principios fundamentales (confidencialidad,

integridad y disponibilidad)
2.​ Proteger la información en cada uno de sus estados posibles (Procesamiento,
almacenamiento y transferencia)
3.​ Medidas para proteger los datos (capacitación, tecnología y políticas)

En el primer pilar se enfoca en aplicar estos principios, tales como:

La confidencialidad la cual es necesaria para evitar a personas no autorizadas a unos datos
específicos, esto se puede lograr mediante control de acceso, autenticación y el cifrado de
datos. La integridad consta en proteger los datos y blindarse frente a actualizaciones u
operaciones no autorizadas, se puede usar un hash o suma de comprobación. Por último la
disponibilidad, se refiere a mantener los datos siempre a la mano de las personas
autorizadas qué lo requieran, por lo tal, se recomienda tener actualizado los equipos, el SO,
etc.

El segundo pilar hace enfoque en proteger los datos en cada estado qué se hayen en el
momento sea mientras se hace una actualización de la base de datos (datos en proceso);
mientras se almacenan en alguna unidad de almacenamiento sea física o en la nube (datos
en reposo) y finalmente datos qué se están transfiriendo a otro sistema de información.

El tercer pilar básicamente hace referencia a toda la educación que debe recibir el personal
sobre el manejo de los datos corporativos, el uso de firewalls y políticas anti ataques.
Clúster es un servicio que usan las empresas para disponer de almacenamientos de datos,
equipos, bases de datos, etc, en la nube. (Iaas) Infraestructura cómo servicio.

¿Dónde se equivocan las organizaciones?

Las empresas debido al crecimiento de público y clientela, proporcionalmente directo a los
datos, optan por comodidad, gastos, disponibilidad alojar datos en nubes, las cuales
algunas no están correctamente protegidas o son de carácter público.

Tipos de ciberdelincuentes

Existen tres tipos:

Hackers aficionados o script kiddies, los cuales usan herramientas básicas por diversión o
algún reto personal, sin embargo, pueden ser peligrosos.

Hackers: Estos se dividen según sus objetivos.

Sombrero blanco: Estos buscan las vulnerabilidades qué pueda presentar una organización
e informar de dicho hallazgo para posteriormente corregir dicho error, estos están
previamente autorizados.

Sombrero Gris: Este grupo de personas buscan vulnerar la información de una empresa
para informar solo sí se llega a un acuerdo previo o está dentro de sus objetivos, también
con la misma información robada la pueden dejar a la merced en la web para futuros
atacantes.

Sombreros negros: Estos vulneran la información para un beneficio personal, financiero, o

político ilegal.

Organizaciones de Hackers: Los cuales incluyen hacktivistas, ciberdelincuentes, terroristas

informáticos, los cuales suelen organizarse e inclusive prestar su servicio. Algunas de estas
organizaciones pueden estar financiadas por el Gobierno para intereses de los mismos.

Amenazas internas o externas

Una amenaza interna nace dentro de la organización, la cual puede ser por un mal
procedimiento del manejo de datos, alguna práctica indebida o ser víctima de phishing.

Una amenaza externa data más de un ciberdelincuente, el cuál aprovecha alguna

vulnerabilidad en la estructura informática de la empresa.

Stuxnet fue un virus informático patrocinado por el estado contra una planta de
enriquecimiento de Irán, el cual secuestró computadoras objetivo, e inclusive de manera
física.

Este ataque tuvo algunos momentos importantes tales como: La información no trivial, la
cual es la que pasa por USB, y no necesitan de internet para funcionar, esto da paso a la
creación de exploits. Otro fue lo sofisticado, que se centró en usar certificados robados pero
legítimos para la instalación de controladores maliciosos.
La guerra cibernética
Está generalmente escala a nivel gubernamental donde organizaciones de atacantes son
patrocinados por el gobierno para sacar ventaja sobre algún otro gobierno, sea atacar su
infraestructura, chantaje, generar caos, investigación, etc.

Malware y sus tipos

Un malware es un código malicioso con el propósito de robar datos, eludir controles de
seguridad y dañar equipos electrónicos.

Spyware: Su objetivo principal es espiar al usuario final, seguir su actividad en internet o en

su propio dispositivo, como registrar las teclas qué se presionan, las aplicaciones a las qué
accede, etc. Son perjudiciales para robar información y estudiar a la víctima de este
malware.
Adware: Es un tipo de malware muy común, más que todo, en páginas con muchas
ventanas emergentes. Puede llegar a ser molesto debido a la gran cantidad de publicidad
qué muestra. Generalmente viene con un spyware.
Backdoor(Puerta Trasera):Es utilizado por los atacantes para acceder a un sistema de
manera no autorizada, eludiendo todos los controles y medidas de seguridad. Esto con el fin
de robar información, investigar, etc. Con esto también pueden enviar comandos desde un
sistema externo. Funcionan en segundo plano y son difíciles de detectar.
Ransomware: Es un tipo de malware qué cifra los datos de la víctima y piden un pago a
cambio de liberar dichos datos del usuario. Generalmente se aloja en correos electrónicos
infectados (physhing)
Scareware: Es un tipo de malware donde su objetivo es asustar a la víctima, emitiendo
mensajes como: “su computador se encuentra infectado, por favor descargue este
programa”.
Rootkit: Es un tipo de malware muy peligroso, debido a qué, se usa para crear Backdoors,
y acceder de manera remota a un equipo, donde se puede obtener privilegios a documentos
no autorizados (escala de privilegios). Este tipo de malware es capaz de modificar los
monitoreos y análisis forenses de seguridad, por lo que lo hace muy complicado de detectar.
Sí se halla en un equipo es necesario formatearlo y reinstalar el sistema.
Virus: Este usa un programa padre o principal para ejecutarse e insertar su propio código,
generalmente ejecutado por el usuario final”. Esto se replica en los archivos del sistema,
algunos pueden mostrar imágenes inofensivas, pero otros sí pueden ser muy perjudiciales.
Troyano: Este tipo de malware se hace pasar por un archivo legítimo, sin embargo, puede
contener código malicioso (carga útil), generalmente se esconde dentro de carpetas de
media, y juegos. Cuelan software malicioso.
Gusanos: A diferencia de los virus, estos no necesitan un programa para replicarse. Estos
son autónomos y pueden replicarse a otros sistemas de información. Además para evitar las
detecciones y los monitoreos del sistema.

Síntomas de una infección

Algunos pueden ser:
La CPU puede llegar a ralentizarse debido a sus picos altos de ejecución.
Archivos o documentos modificados, o desconocidos.
Los programas se reconfiguran solos o se cierran
Se nota qué el dispositivo sufre bloqueos o congelamientos, se nota también una
disminución en la navegación web.

Ingeniería social

Es el trabajo o acciones qué utilizan los ciberdelincuentes para manipular a una persona
mediante la persuasión, el contexto, la urgencia. Aprovechándose de la situación y
vulnerabilidades de la víctima. Esto con el objetivo de acceder a información confidencial,
permisos y privilegios dentro del sistema, etc.

Hay algunos tipos como el pretexto, donde el atacante se hace pasar por algún empleado
de la misma empresa e intenta mediante la persuasión obtener datos privados o privilegios.
La infiltración o tailgating es donde el atacante sigue a una persona autorizada a un lugar
seguro. El quid pro quo es donde el atacante invita a intercambiar datos personales por algo
“gratis”.

DoS (Ataque de denegación de servicio)

Es un tipo de ataque de red donde se interrumpen sistemas, redes, dispositivos, etc. Para
generar pérdidas de dinero, tiempo, reputación, etc.

Hay un tipo donde se sobrecarga el procesamiento qué puede manejar el sistema, donde se
envían una cantidad abrumante de solicitudes qué al final no pueden ser manejadas en su
totalidad causando qué, el sistema se ralentice o se bloquee. El otro tipo es enviar paquetes
erróneos o mal formateados. Sabemos qué un paquete contiene una serie de información y
datos (tabla) qué son enviados de un dispositivo emisor a un receptor, por lo qué sí se
envían muchos paquetes erróneos, el sistema destino puede generar bloqueos o
ralentizarse ya que no los identifica.

DDoS distribuido.

Cumple con la misma función de un ataque de red DoS, en diferencia de qué, el ataque es
coordinado desde distintas fuentes.

Estas fuentes se le conoce cómo BOTNET, y son host infectados “zombies” controlados por
sistema de manejo. Estas computadoras zombies generalmente van investigando de otros
host los cuales puedan ser susceptibles a caer en la botnet.

La BOTNET es una red de host infectados o zombies, donde son aprovechados por
individuos u organizaciones de ciberdelincuentes. Estos pueden ser de unos cuantos, a
cientos, y miles. El paciente 0 puede ser simplemente por abrir una página web con carga
útil o un correo electrónico con un link malicioso.

Esta red de bots se utiliza para lanzar ataques DDoS, realizar spam en correos, ejecutar
ataques de contraseña por fuerza bruta.
Ataques en el camino

Este tipo de ataque en la red se usa para interrumpir la comunicación entre dos dispositivos
o sistemas, sea un navegador web con un servidor web, donde se puede también hacer
pasar por uno de ellos.

A estos ataques se les conoce cómo “hombre en el medio”. El primero MitM el atacante
toma el control del dispositivo de la víctima sin que este lo sepa para robar información,
filtrar, antes de qué se envíe a sus destinatarios. El segundo una variante MitMo el atacante
accede al dispositivo móvil de la persona para qué este mediante instrucciones envíe o filtre
información confidencial como por ejemplo: los SMS con códigos.

Envenenamiento SEO

Las empresas generalmente buscan optimizar los motores de búsqueda para que su sitio
web se posicione de una manera más relevante (autoridad) y pueda generar más visitas.

Los atacantes se aprovechan de esto, ya que, pueden posicionar de manera ilegítima sitios
webs infectados a posiciones relevantes.

Ataques a redes wifi y tipos de ataque a contraseñas

Para obtener acceso a una red privada se puede empezar aplicando la ingeniería social.
Los atacantes usan las botnet para llevar a cabo ataques de fuerza bruta, o escuchar y
capturar paquetes qué contengan la contraseña sin ser cifrada.

Pulverización de contraseña

Los atacantes usan las contraseñas más comunes (password123, qwart) con múltiples
nombres de usuario para evitar el bloqueo de sistemas o levantar alarmas.

Ataques de diccionario: El atacante de manera sistemática prueba de todas las palabras

qué hayan o una lista de las mismas para ingresar a una cuenta protegida.

Ataques por fuerza bruta: Usan una botnet para intentar todas las posibles combinaciones
de la misma, hasta dar con la qué sea. Esto puede generar un tiempo abismal para
encontrar la contraseña.

Ataqué de arcoiris: Las contraseñas cifradas tienen un hash, el cual es un algoritmo de

cifrado de contraseñas, donde le da un valor alfanumérico. Los atacantes usan tablas arco
iris con hash preestablecidos y si se encuentra una coincidencia con el hash de la
contraseña se procede a descifrar.

Intercepción de tráfico: Los atacantes pueden interceptar y capturar paquetes donde la

contraseña no esté cifrada y sea un texto simple.

Algunas herramientas para descifrado son Ophcrack, L0phtCrack, THC Hydra,

RainbowCrack o Medusa.
Amenazas persistentes avanzadas (APT)

Son utilizadas por los atacantes para infiltrarse a un sistema de manera sigilosa, persistente
y qué consta de múltiples fases. Generalmente son de un alto nivel de complejidad y
tiempo, ya qué se enfocan a largo plazo contra un objetivo en específico. Implementan
malware malicioso en el equipo y están allí sin ser detectado.

Las vulnerabilidades en los sistemas

Los atacantes suelen aprovecharse de los defectos físicos o de software de un sistema para
vulnerar el sistema, esto se hace mediante un programa escrito (exploit) qué se aprovecha
de esta vulnerabilidad y llevar a cabo el robo de información, bloqueo, malware, etc.

Vulnerabilidad en el hardware (RAM Y CPU)

Un defecto en la construcción de un componente físico puede generar una vulnerabilidad

qué puede ser aprovechada mediante un exploit. La memoria RAM dispone de unos
condensadores los cuales están muy cerca uno de los otros y los cuales pueden contener
una carga eléctrica. Rowhammer es un exploit diseñado para aprovechar esta
vulnerabilidad, ya que, accede de manera repetida a una única fila de memoria en la tabla,
lo qué, a manera física desencadena una interferencia eléctrica en el condensador qué
puede afectar sus vecinas, generando una corrupción en los datos almacenados dentro de
la RAM.

Meltdown y Spectre
Fueron descubiertas por Google en unidades de procesamiento central (CPU) en modelos
de 1995 en computadores, teléfonos, servidores, servicios en la nube.

Los atacantes pueden leer toda la memoria del sistema (meltdown) y la información o datos
qué manejan otra aplicación (Spectre). Se denomina ataques de canal lateral, ya que, la
información se obtiene con la implementación de otro sistema informático. Esta
vulnerabilidad puede atacar una gran cantidad de datos, ya que, se puede enviar
repetidamente ataques sin qué el sistema se bloquee o de error.

Con Spectre los atacantes engañan al procesador para ejecutar comandos fuera de sus
límites para así acceder a datos confidenciales guardados en la memoria de las
aplicaciones.

Con meltdown los atacantes derriban las barreras qué hay entre las aplicaciones y S.O,
para qué puedan acceder a los datos qué se están procesando en la CPU.

Vulnerabilidad en el software

Los atacantes se pueden aprovechar de defectos en el sistema operativo tanto cómo algún
error de código de alguna aplicación.
Un ejemplo es la vulnerabilidad SynFul Knock qué mediante una instalación alterada de una
IOS de los routers, pudieron acceder a los mismo e infectar a los otros dispositivos alojados
en la red, pudiendo monitorear las comunicaciones.

Categorización de las vulnerabilidades de software

Desbordamiento de búfer: Un búfer es un espacio de la memoria qué se le concede a una

aplicación. El atacante puede hacer qué la aplicación escriba los datos fuera de los límites
concedidos, y la aplicación por lo mismo puede acceder al búfer de otros procesos,
vulnerando la información alojada en la memoria, o bloqueos o proporcionar una escala de
privilegios.

Entrada no válida: Es cuando el atacante se aprovecha de la capacidad límite de las

entradas de datos de una aplicación. Sí envía un archivo malicioso fuera de lo que pueda
manejar la aplicación, esta puede tener problemas con su búfer.

Condiciones de carrera: Algunas aplicaciones usan eventos los cuales se cumplen de

manera ordenada. El atacante puede aprovecharse de esto ya qué, si interrumpe con el
orden de los mismos, puede generar problemas con la aplicación.

Debilidad en las prácticas de seguridad: Los desarrolladores cuando no implementan las

suficientes bibliotecas, y medidas de seguridad suficientes para proteger la aplicación.

Control de acceso: El control de acceso permite establecer quién y qué debe hacer con
algún archivo o datos. Sí no se implementa bien esta medida, el hacker puede buscar las
formas para evadir estos tipos de controles.

Project Zero es una página para encontrar vulnerabilidades en el software.

Criptomonedas

Es dinero digital qué sirve para comprar bienes o servicios. Se usan técnicas de cifrado para
las transacciones qué se hacen en línea. Los propietarios alojan este dinero digital en
billeteras virtuales encriptadas. Cuando se hace una transacción entre dos propietarios de
billeteras digitales, el registro se hace en un registro electrónico descentralizado o en una
cadena de bloques (blockchain), las cuales tienen un cierto grado de anonimato y qué se
autogestiona (no rastreable).

Computadoras de alta gama toman estas transacciones y las vuelven en acertijos

matemáticos para mantener el anonimato. Estas transacciones se verifican a través de un
proceso técnico y complejo conocido como “Minería”, los cuales resuelven estos acertijos
matemáticos y autentican transacciones.

Por último, una vez verificado, el libro mayor se actualiza, se copia y distribuye a cualquier
persona qué esté dentro de la red blockchain.

Criptojacking
Es cuando los atacantes ocupan sistemas externos para minar criptomonedas, sea
computadores, servidores, celulares.

Medidas para configurar un nuevo dispositivo

Activar el firewall, tener un antivirus y un antiespía activados, actualizar los navegadores de

internet con sus parches de seguridad y colocarle una contraseña.

Shodan es un escáner de dispositivos IdC (transfieren datos) vulnerables en la red.

Los dispositivos qué cuentan con un adaptador wifi, se conectan a la red mediante un
identificador de red o SSID (identificador de conjunto de servicios), el cuál puede ser
configurado para qué no se comparta en el enrutador inalámbrico.

Una buena práctica de seguridad es cambiar el SSID y la contraseña qué vienen por
defecto, ya que, los hackers según el modelo vienen unas contraseñas preestablecidas.
Otra medida es activar el encriptado WPA2, y la seguridad inalámbrica.

En 2017 se encontró una vulnerabilidad mediante un ataque de reinstalación de clave (

KCRACK, Key Reinstallation attack). El cual interrumpe el cifrado entre un router
inalámbrico y un dispositivo inalámbrico. Dando acceso a los atacantes a los datos de la
red.

Al usar una red wifi pública se recomienda usar VPN y no compartir información sensible.

El cifrado de datos

Para restringir el acceso a datos sensibles se recomienda encriptarlos con una contraseña,
para evitar qué el atacante pueda acceder a esta información. Ya con la contraseña los
datos se descifran.
En windows existe una herramienta para cifrar los archivos, y es mediante el sistema de
encriptación de archivos (EFS). Se debe seleccionar una carpeta, propiedades, avanzado,
encriptación, y aceptar. Los archivos cifrados aparecen resaltados de verde.

Copias de seguridad

Se recomienda hacer copias de datos qué se quieran mantener, sea de manera local (en el
mismo dispositivo, en algún directorio, la otra es almacenarlos en un dispositivo de
almacenamiento conectado a la red local (NAS) (disco duros, servidor propio) o un
almacenamiento externo (USB, Discos) y por último en la nube sea en AWS (servicio de
almacenamiento de amazon).

¿Cómo se deben eliminar nuestros datos?

Los atacantes pueden recuperar archivos si se borran desde la papelera por su rastro
magnético del disco duro.
Una forma es cambiar por 1 y 0 la información del archivo de manera repetida. En Microsoft
se usa la herramienta de Sdelete, Shred en Linux y Secure empty trash en Mac Os. La otra
forma es destruir físicamente el disco.

Términos y condiciones.

Cuando se vaya a usar un servicio de almacenamiento o qué maneje nuestros datos, se

debe leer los términos y políticas establecidas en el contrato legal, observando qué el
proveedor sea claro qué hace con nuestros datos, etc. Una recomendación es cuestionar la
libertad qué se le otorga al proveedor con nuestros datos, cambiar los perfiles de seguridad
preestablecidos, cambiar la contraseña periódicamente y limitar el acceso.

Autenticación de dos factores (2FA)

Es una medida de seguridad qué se usa para proteger aún más el acceso a la cuenta,
debido a que, se necesita un segundo token además de la credencial de acceso y la
contraseña. Sin embargo, los atacantes pueden usar malwares como phishing, suplantación
de identidad, e ingeniería social.
Algunos casos de ataques podrían ser que el atacante se haga pasar por usted para
cambiar el número de celular de la cuenta, donde se contactan con los proveedores para
qué les envíen una nueva tarjeta SIM. Por lo tanto, tendrán acceso a los códigos de 2FA por
Sim.

Autorización abierta (Oauth)

Es un protocolo de estándar abierto donde no se necesita crear una credencial ni
contraseña para acceder a un sitio, si no qué, se usa una cuenta externa sea de google,
facebook, etc.

Cómo evitar generar cookies e historial de navegación.

Activando el modo incógnito del navegador, ya que, esto no genera un registro de los sitios
web visitados, sin embargo, el router puede guardar dicha información.

Dispositivos de seguridad en la red

Son todos los dispositivos independientes como routers o softwares de seguridad qué
aportan en proteger la red y sus dispositivos. Se divide en 6 categorías:

Routers: Es un dispositivo el cual sirve para conectar varios segmentos entre sí. Estos
vienen con un filtrado de tráfico para qué los equipos de un segmento se conecten
únicamente a un segmento determinado. Cisco proporciona un enrutador de servicios
integrados (ISR 4000), el cuál puede hacer la función de enrutamiento, usar sistemas de
prevención de intrusiones, cifrado y una VPN.
Firewalls: Este mecanismo de seguridad analiza de manera más exhaustiva la red y puede
bloquear las actividades sospechosas o en su defecto maliciosas. Cisco proporciona la serie
Firepower 4100, el cuál es como un enrutador de servicios integrados (ISR) más
herramientas de análisis de red para ver los ataques antes de qué sucedan.
IPS(Sistema de prevención de intrusiones): Usan un conjunto de firmas de tráfico que
coinciden, analizan y bloquean el tráfico y los ataques maliciosos.
Redes privadas virtuales(VPN): Sirve para crear un túnel cifrado para qué se pueda
acceder a un contenido de manera segura.
Antivirus: Sirven para escanear amenazas y eliminarlas.
Otros sistemas: Estos pueden ser cómo sistemas de control de acceso, herramientas de
cifrado, sistemas de gestión de seguridad.

Firewall
Es un mecanismo de seguridad qué permite gestionar las conexiones autorizadas para una
red o un dispositivo, sean de manera interna o externa. Hay varios tipos de firewalls:
Firewall basado en la capa red: Este analiza la IP de origen y destino, y con base a eso filtra
las comunicaciones.
Firewall en la capa de transporte: Este filtra las comunicaciones según los puertos de datos
de origen y destino, y los estados de conexión.
Firewall en la capa de aplicación: Este filtra las comunicaciones según la aplicación,
programa y servicio.
Firewall sensible al contexto: Este filtra las comunicaciones según la persona, los
dispositivos, el perfil de la amenaza.
Servidor Proxy: Filtra las solicitudes según el contenido Web, URL, dominios.
Servidor Proxy inverso: Este oculta, protege y descargan el acceso a los servidores web.
Firewall de traducción de direcciones (NAT): Esté oculta o enmascara todas las direcciones
privadas de los host de la red.
Firewall basado en el host: Este filtra según los puertos y llamadas de servicio del sistema
operativo.

Análisis de puertos
Cuando una aplicación o servicio se ejecuta se le asigna un número de puerto, el cual se
usa en ambos extremos de la transmisión, con el objetivo de verificar qué los datos estén
llegando de manera correcta. El escaneo de puertos sirve para comprobar los puertos
abiertos de una computadora, servidor y host de red. Los atacantes pueden hacer esto
para saber el sistema operativo, y los servicios qué se estén ejecutando.

Zenmap es una herramienta de escaneo de puertos, la cuál nos permite identificar tres tipo
de puertos:
Abiertos: Esto significa que otros dispositivos de la red pueden acceder al puerto o al
servicio qué lo ejecuta.
Cerrados: Dice qué el puerto o servicio no se está ejecutando por el equipo, y por lo tanto,
no se puede explotar.
Filtrado: El acceso a este puerto está bloqueado por el firewall.

Para hacer el escaneo es necesario saber nuestra ip y máscara de subred, y el rango de las
mismas (n dispositivos qué se conectan a la red) se calcula con los datos mencionados
anteriormente o una calculadora de CIDR.
Con ese escaneo sea intensivo o rápido podremos saber los puertos abiertos de ese
dispositivo diferente al que estemos usando. (Se usa ping para conocer los dispositivos en
línea introduciendo el rango de ips), después de ahí (desde nuestro pc) se usa telnet o
nmap + ip + puerto para intentar acceder a ese puerto.

Sistemas de detección y prevención de intrusiones

Los sistemas de detección de intrusiones (IDS) sirven para únicamente detectar ataques o
anomalías comparando dichos elementos con firmas de ataques o bases de datos de
reglas. Y los sistemas de prevención de intrusiones (IPS) sirven para bloquear el tráfico
según una coincidencia en una norma. Snort es una herramienta de Cisco para el mismo
propósito.

Protección contra amenazas

Para una organización es vital estar escaneando constantemente el tráfico usando sistemas
como (ISD O IPS), usar un firewall, además de contar con un sistema de red contra
malware avanzada (AMP) de Cisco, para prevenir un ataque de Ataques persistentes
avanzadas (APT) o ataques día cero.

El AMP es un software cliente/servidor qué se implementa en los puntos finales del host, o
en algún dispositivo de seguridad en la red. Este sw analiza millones de archivos en busca
de algún malware.

SANS institute brinda capacitaciones y certificaciones para empresas.

Seguridad basada en el comportamiento

Es necesario analizar toda anomalía o cambio dentro de la comunicación entre un usuario
de la red local y su destino remoto. Esto se puede hacer mediante una herramienta llamada
Honeypot o Cisco Cyber Threat Defense, las cuales analizan las acciones del atacante con
el objetivo de preparar una defensa.

Netflow
Es una herramienta qué viene incluida en routers, conmutadores y firewalls, para registrar
todo el movimiento de datos qué fluyen a través de la red. Sean sus dispositivos, usuarios,
etc. Puede arrojar datos como su ip de origen y destino, etc.
Pruebas de penetración
Es una evaluación qué se le hace a un sistema informático o una red, en busca de
vulnerabilidades de seguridad. Esta información sirve para mejorar dichas defensas y
proveer de una manera más eficiente un posible ataque.
Hace el proceso de recopilación del sistema a evaluar (prueba a lápiz interno), sus posibles
vulnerabilidades, etc. Se escanea los puertos de acceso potenciales en un sistema de
destino, vulnerabilidades a explotar, etc. Después arroja exploits con carga útil en dichas
vulnerabilidades,sea de sw o hw, del sitio web, ingeniería social, después se reúne toda la
información sin que sea detectado (troyano, rootkit) y después se hace un informe para
mejorar las defensas del sistema o la red.

Gestión de riesgos
Para reducir el impacto contra ataques, es necesario gestionar los riesgos según las
amenazas qué aumentan el riesgo sea posibles fallos, interrupciones de los servicios, etc.
Después se hace una evaluación sí la amenaza puede ser muy alta o de moderada,
dependiendo del impacto qué pueda afectar en la empresa, por lo qué es necesario un plan
para mitigar, reducir o eliminar el mismo. Siempre se debe supervisar las amenazas qué no
se pueden eliminar.

CSIRT de Cisco
Es un equipo de respuesta a incidentes informáticos de cisco, el cuál ayuda a preparar
respuestas contra amenazas, diseñar planes contra ataques, evaluar las amenazas o
vulnerabilidades de la organización, revisión de la arquitectura de seguridad.

Algunas organizaciones de este carácter son nacionales y públicas como la división CERT
de la universidad de Carnegie Mellon qué ayudan a las organizaciones en desarrollar,
evaluar y operar para mejorar sus capacidades en la gestión de incidentes.

Un libro de estrategias de seguridad sirve para recopilar informes y acciones para un

incidente. Debe contener algo como: Medidas a tomar sí se identifica un equipo infectado
con malware; medidas a riesgos comunes, información sobre el tráfico de entrada y salida,
tener acceso rápido a métricas y estadísticas, correlacionar eventos en todas las fuentes.

Herramientas para la prevención de incidentes

El SIEM es un sistema de gestión de eventos y seguridad de información, el cuál recopila y
analiza alertas de seguridad, datos históricos de seguridad, registros en tiempo real para
detectar más fácil un ataque cibernético.
Un sistema de prevención de pérdida de datos (DLP) sirve para evitar qué los datos sean
robados de una red. Esto protege los datos en sus tres estados (recordar el cubo) datos en
reposo, tráfico y datos en uso.
Cuestiones legales y éticas
En el campo de la ciberseguridad hay unos límites legales, los cuales se deben respetar. En
caso omiso, podría traer consecuencias legales. Los hacks utilizados por los
ciberdelincuentes pueden dejar una huella la cuál puede ser rastreada hacia el atacante.

La cuestión ética es saber qué lo realizado sea de carácter profesional y sea la mejor opción
de beneficio para ambas partes. En Cisco hay un árbol de decisiones qué indica sí una
acción podría ser o no legal.

Motores de empleo recomendados de CISCO

Indeed, Linkedin, Monster, y careerBuilder.

Algunas certificaciones profesionales

Técnico de soporte de certificado de Cisco (CCST) de ciberseguridad
CompTIA Security+ Es una certificación de seguridad nivel principiante para una persona
qué quiera trabajar con el estado federal de USA.
EC Council Certified Ethical Hacker (CEH) Esta certificación pone a prueba los
conocimientos y habilidades para encontrar vulnerabilidades en un sistema de destino,
usando los mismos conocimientos y acciones qué un hacker tomaría de manera ilegal.
Certificado profesional en los sistemas de seguridad: Hay que tener 5 años para poder
avalar este certificado.
Cisco Certified CyberOps Associate: Valida las habilidades requeridas por los análistas de
seguridad de nivel asociado dentro de los centros de operaciones.

Cyberseek: Es una plataforma qué muestra el camino o las diferentes ramas qué hay en la
ciberseguridad.