Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación Tabla de contenido INTRODUCCIÓN AL CURSO ............................................................................ 5 MÓDULO DE FORMACIÓN 1 ........................................................................... 6 INTRODUCCIÓN A LA CIBERSEGURIDAD..................................................... 6 UNIDAD 1: CONOCIMIENTO DE LOS FUNDAMENTOS DE CIBERSEGURIDAD ........................................................................................... 8 1.1. Modelos Organizativos ....................................................................... 8 1.1.1. Gobernanza en Ciberseguridad: ................................................. 8 1.1.2. Importancia de la Gobernanza en entornos OT y TI: ................. 8 1.1.3. Diferencias clave entre Ciberseguridad en OT y TI: ..................... 9 1.1.4. Modelos organizativos de Ciberseguridad: ................................... 9 1.1.5. Modelo de madurez organizacional en Ciberseguridad: ............ 10 1.2. Conceptos básicos y tecnológicos ................................................. 11 1.2.1. Terminología fundamental en Ciberseguridad: ....................... 11 1.2.2. Principios de la Seguridad de la Información: ......................... 12 1.2.3. Tecnologías de seguridad comunes: ........................................ 12 1.2.4. Tendencias actuales en Ciberseguridad: ................................. 13 1.3. Roles de las Personas en Ciberseguridad ...................................... 13 1.3.1 Concienciación y cultura de seguridad: ....................................... 14 1.3.2 Roles y responsabilidades en Ciberseguridad: ........................... 14 UNIDAD 2: IDENTIFICACIÓN DE AMENAZAS, ATAQUES Y VULNERABILIDADES DE LOS SISTEMAS ................................................... 16 2.1. Tipo de amenazas y actores relevantes en el cibercrimen ............ 16 2.1.1. Tipos de amenazas más comunes en tecnologías de la operación: ................................................................................................ 16 2.1.2. Actores relevantes en el cibercrimen: ......................................... 22 UNIDAD 3: REALIZACIÓN DE UNA EVALUACIÓN DE SEGURIDAD Y GESTIÓN DE RIESGOS .................................................................................. 25 3.1. Metodología de gestión riesgos ......................................................... 25 3.1.1. Introducción y principios de la gestión de riesgos: ................... 25 3.1.2. Fases de la Metodología de Gestión de Riesgos (Ciclo Deming): ................................................................................................................... 26 3.1.3. Aplicación de los Principios en la Gestión de Activos: ............. 26 3.1.4. Principios fundamentales de la Gestión de Riesgos: ................. 27 3.2 Alcance, Activos Críticos, Identificación y Valoración de Riesgos de Negocio ........................................................................................................ 27 2|Página Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 3.2.1 Definir el alcance de la Evaluación de Riesgos ........................... 28 3.2.2 Identificación de Activos Críticos ................................................. 28 3.2.3 Identificación y Valoración de los Riesgos de Negocio .............. 28 3.3 Amenazas y Salvaguardas ................................................................... 29 3.3.1 Identificación de amenazas: .......................................................... 29 3.3.2 Salvaguardas para mitigar amenazas: .......................................... 29 3.4 Continuidad del Negocio ...................................................................... 30 3.4.1 Planes de Continuidad del Negocio (BCP) ................................... 30 3.5 Ciclo de Gestión de Riesgos ................................................................ 31 3.6 Modelos de Gobernanza y Clasificación de Información .................. 33 3.6.1 Gobernanza de la Ciberseguridad en Entornos OT ..................... 33 3.6.2 Clasificación de Información ......................................................... 33 3.7. Estándares y regulación: .................................................................... 34 3.8 Gestión de Incidentes ........................................................................... 37 3.8.1 Fases de la Gestión de Incidentes: ............................................... 37 3.8.2 Elementos clave en la Gestión de Incidentes .............................. 38 UNIDAD 4: CONOCIMIENTO DE LA SEGURIDAD DE LOS SISTEMAS ...... 39 4.1. Hardening: software, hardware y redes ............................................. 39 4.1.1. Hardening de software: ................................................................. 40 4.1.2. Hardening de hardware: ................................................................ 41 4.1.3. Hardening de redes: ...................................................................... 43 UNIDAD 5: APROXIMACIÓN A LOS COMPONENTES DE LA SEGURIDAD EN REDES ....................................................................................................... 45 5.1. Niveles OSI (Open System Interconnection Model) .......................... 45 5.1.1. Capas del modelo OSI: .................................................................. 45 5.1.2. Seguridad en cada capa del Modelo OSI: .................................... 47 5.2. Modelo TCP/IP: protocolos DNS, FTP, IMAP, TCP, IPv4, IPv6, HTTP ...................................................................................................................... 48 5.2.1. Arquitectura del modelo TCP/IP: .................................................. 48 5.2.2. Protocolos de la capa de aplicación: ........................................... 48 5.2.3. Protocolos de la capa de transporte: ........................................... 49 5.2.4. Protocolos de la capa de internet: ............................................... 49 5.2.5. Protocolos de la capa de acceso a red: ....................................... 50 5.3. Encapsulado ......................................................................................... 50 5.3.1. Proceso de encapsulado en el modelo TCP/IP: .......................... 50 5.3.2. Ejemplos de encapsulado en protocolos comunes: .................. 51 3|Página Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 5.3.3. Beneficios y desafíos del encapsulado: ...................................... 51 5.4. Componentes de seguridad en redes ................................................ 52 5.4.1 Firewall: ........................................................................................... 52 5.4.2 Sistemas de detección de intrusos (IDS): .................................... 53 5.4.3 Sistema de prevención de intrusiones (IPS) ................................ 53 5.4.4 Sistema de detección y prevención de intrusiones wireless (WIDPS)..................................................................................................... 54 5.4.5 Gestión de Amenazas Unificada (UTM): ....................................... 55 UNIDAD 6: CONOCIMIENTO Y UTILIZACIÓN DE MEDIDAS DE SEGURIDAD Y DEFENSA EN PROFUNDIDAD ................................................................... 56 6.1 Tipologías de Seguridad....................................................................... 56 6.1.1 Seguridad Física: ............................................................................ 56 6.1.2 Seguridad Lógica:........................................................................... 56 6.2. Seguridad física: riesgos y medidas .................................................. 58 6.3. Seguridad lógica: defensa en profundidad........................................ 60 6.3.1 Control de Accesos: Gestión de Identidad y Autenticación ....... 60 6.3.2 Protección de la Infraestructura: ................................................... 60 6.3.3 Firewalls: ......................................................................................... 61 6.3.4 Protección de dispositivos: ........................................................... 61 6.3.5 Inteligencia de Seguridad: ............................................................. 61 6.3.6 Monitorización: ............................................................................... 62 UNIDAD 7: Implementación de herramientas de hacking ético ................. 63 7.1. Introducción al Hacking .......................................................................... 63 7.1.1. Conceptos básicos del hacking ................................................... 63 7.1.2. Herramientas comunes de hacking ético: ................................... 65 7.1.3. Beneficios del hacking ético ......................................................... 66 4|Página Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación INTRODUCCIÓN AL CURSO Bienvenidos/as al curso de "Ciberseguridad avanzada en entornos de las tecnologías de la operación", diseñado para introducirte en el dinámico mundo de la ciberseguridad industrial. Este curso está estructurado para brindar un conocimiento aplicable sobre la seguridad en sistemas de control industrial (ICS) y en infraestructuras críticas, esenciales para la continuidad y seguridad operativa en entornos industriales. El curso consta de tres módulos principales, cada uno enfocado en aspectos clave de la ciberseguridad en tecnologías de la operación (OT): Módulo 1: Introducción a la ciberseguridad. En este módulo, se abordarán los fundamentos de la ciberseguridad, cubriendo conceptos básicos, modelos organizativos y roles de las personas en el ámbito de la ciberseguridad. Se analizarán amenazas, ataques y vulnerabilidades en los sistemas, proporcionando una base sólida para la gestión de riesgos. También se incluirá una evaluación de seguridad y gestión de riesgos, basada en metodologías y estándares internacionales como ISO y NIST. Módulo 2: Fundamentos industriales de las tecnologías de la operación. Este módulo explora los aspectos esenciales de la industria, como sistemas comunes de fabricación, revoluciones industriales y digitalización en la Industria 4.0. Se estudiarán los fundamentos de sistemas de control e instrumentación industrial y comunicaciones, necesarios para comprender la operación y seguridad de los sistemas industriales modernos. Módulo 3: Ciberseguridad industrial avanzada. Aquí se analizarán los sistemas ICS/SCADA y las diferencias entre ciberseguridad en IT y OT. Se explorarán arquitecturas y protocolos de redes industriales, así como amenazas y vulnerabilidades específicas. También se estudiarán estándares y mejores prácticas en ciberseguridad industrial, como los de NIST e IEC, y se aprenderá a implementar estrategias de defensa en infraestructuras críticas. Este curso no solo ofrece conocimientos técnicos sobre ciberseguridad industrial, sino que también prepara para enfrentar y resolver desafíos prácticos en la gestión de estas tecnologías. ¡Comencemos esta aventura juntos! 5|Página Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación MÓDULO DE FORMACIÓN 1 INTRODUCCIÓN A LA CIBERSEGURIDAD La ciberseguridad es fundamental para proteger la información, sistemas, dispositivos, redes y comunicaciones en entornos empresariales, industriales, tecnológicos y digitales. Este módulo inicial busca proporcionar una base sólida en conceptos y prácticas básicas de ciberseguridad para aplicaciones prácticas y estudios avanzados. En una era de revolución tecnológica, la automatización y el uso de sistemas digitales avanzados han transformado los procesos de producción industrial, logrando niveles de eficiencia antes inalcanzables. La integración de tecnologías TI y OT ha impulsado una nueva era digital. Sin embargo, estos avances han traído consigo riesgos como la creciente exposición a ciberataques. La ciberseguridad OT se ha vuelto esencial para el correcto funcionamiento y protección de infraestructuras críticas. A diferencia del pasado, los sistemas industriales actuales están interconectados, lo que aumenta su vulnerabilidad a ciberataques que pueden impactar tanto en la producción como en la seguridad de las personas. Esta "hiperconectividad" presenta desafíos, ya que los sistemas OT no se diseñaron inicialmente con ciberseguridad. Muchos componentes industriales carecen de protección adecuada, y un ataque puede afectar tanto la producción como la seguridad física. La transformación digital ha ampliado las redes industriales, conectando cada vez más sistemas a la nube. Esto ofrece beneficios en optimización y análisis, pero también amplía la superficie de ataque. Un ciberincidente puede afectar no solo la producción, sino también la seguridad y la privacidad de los datos. La ciberseguridad industrial no solo implica implementar tecnología, sino adoptar medidas organizativas y procedimentales para reforzar la seguridad desde dentro. Proteger redes, asegurar dispositivos, mitigar vulnerabilidades, establecer controles de acceso y capacitar a empleados son claves para garantizar la seguridad en entornos OT. En resumen, la ciberseguridad industrial es esencial en un entorno de digitalización y conectividad. Proteger sistemas críticos asegura la continuidad operativa y salvaguarda a personas, activos y reputación ante un panorama de amenazas creciente. Unidades del módulo Unidad 1: Conocimiento de los fundamentos de ciberseguridad En esta unidad, se explorarán los principios básicos de la ciberseguridad, incluyendo los modelos organizativos y los conceptos tecnológicos esenciales. 6|Página Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación También se discutirán los roles y responsabilidades de las personas en la protección de los sistemas de información. Unidad 2: Identificación de amenazas, ataques y vulnerabilidades Se aprenderá a identificar las principales amenazas y tipos de ataques cibernéticos, así como a reconocer las vulnerabilidades que pueden ser explotadas. Esta unidad proporciona una visión clara de los riesgos a los que se enfrentan los sistemas de información. Unidad 3: Realización de una evaluación de seguridad y gestión de riesgos Esta unidad introduce las metodologías para evaluar la seguridad y gestionar los riesgos. Los temas incluyen la identificación y valoración de riesgos, la implementación de salvaguardas, y la planificación para la continuidad del negocio. Unidad 4: Conocimiento de la seguridad de los sistemas Se abordarán las mejores prácticas para asegurar el software, hardware y redes, conocidas como "hardening". Los participantes aprenderán sobre la protección de sistemas operativos, aplicaciones, servidores, dispositivos móviles, bases de datos y dispositivos de red. Unidad 5: Aproximación a los componentes de la seguridad en redes Esta unidad explorará los componentes de seguridad en redes, cubriendo modelos como OSI y TCP/IP, y protocolos esenciales. Se discutirá el uso de firewalls y sistemas de detección y prevención de intrusiones. Unidad 6: Conocimiento y utilización de medidas de seguridad y defensa en profundidad Los participantes aprenderán sobre diversas medidas de seguridad y estrategias de defensa en profundidad. Los temas incluyen la seguridad física y lógica, control de accesos, protección de dispositivos, y técnicas de monitorización. Unidad 7: Implementación de herramientas de hacking ético En esta última unidad, se introducirá a los participantes en el hacking ético, proporcionando una comprensión de las herramientas y técnicas utilizadas para probar y fortalecer la seguridad de los sistemas. En este módulo, sentaremos las bases para que te sientas preparado/a al enfrentarte a los desafíos de la ciberseguridad y proteger los sistemas de información en el ámbito de la ciberseguridad industrial y con tecnologías de las operaciones. Juntos exploraremos cómo defendernos de las crecientes amenazas que surgen en este contexto. 7|Página Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación UNIDAD 1: CONOCIMIENTO DE LOS FUNDAMENTOS DE CIBERSEGURIDAD Introducción Esta unidad explora los conceptos clave de ciberseguridad en entornos de Tecnologías de la Operación (OT), donde las amenazas cibernéticas presentan riesgos que impactan directamente en procesos industriales y servicios esenciales. La protección de estos entornos no solo garantiza la continuidad operativa, sino que mitiga posibles daños a personas y a la infraestructura. Abordaremos modelos organizativos, conceptos tecnológicos y roles en ciberseguridad, estableciendo los fundamentos necesarios para comprender estrategias avanzadas de protección en el curso. 1.1. Modelos Organizativos 1.1.1. Gobernanza en Ciberseguridad: La gobernanza en ciberseguridad es el marco estructural que dirige la gestión de seguridad en una organización, asegurando que cada persona conoce sus responsabilidades y las decisiones se alinean con los objetivos corporativos. Esta gobernanza proporciona las bases para una estrategia robusta y coherente, permitiendo a las organizaciones responder ante ciberamenazas de manera estructurada. Ejemplo: En una planta de producción, la gobernanza actúa como un conjunto de pautas operativas, donde cada empleado comprende su papel en la prevención y respuesta a incidentes. 1.1.2. Importancia de la Gobernanza en entornos OT y TI: Los enfoques de ciberseguridad en OT y TI presentan diferencias significativas debido a las características únicas de cada entorno: o Impacto en el mundo real: OT controla procesos físicos, donde un ataque puede causar daños reales, como paradas de producción o accidentes. En cambio, TI gestiona datos, y su afectación impacta en la confidencialidad o disponibilidad de información. Ejemplo: Un ataque en OT que interrumpe una planta de tratamiento de agua afecta directamente el suministro, mientras que en TI podría comprometer la información del sistema de gestión de clientes. o Prioridades de seguridad: OT prioriza la disponibilidad de los sistemas para evitar interrupciones en la producción, mientras que TI se centra en la confidencialidad y protección de los datos. 8|Página Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación En entornos industriales, la seguridad física es fundamental para garantizar la integridad de los procesos. o Actualizaciones y mantenimiento: OT, con dispositivos antiguos y de ciclos de vida largos, necesita paradas de mantenimiento poco frecuentes y complejas; en TI, las actualizaciones son frecuentes y esenciales para cerrar vulnerabilidades. 1.1.3. Diferencias clave entre Ciberseguridad en OT y TI: Las diferencias clave entre OT y TI influyen en cómo se abordan las prácticas de ciberseguridad en cada caso: o Arquitectura de sistemas: OT opera con sistemas en tiempo real y protocolos específicos que requieren respuestas inmediatas. TI utiliza estándares abiertos y puede tolerar demoras mínimas en sus procesos. En OT, la precisión y continuidad operativa son vitales, especialmente en sectores como el farmacéutico o la energía. o Ciclo de vida de los equipos: Los equipos en OT suelen durar entre 20 y 30 años, mientras que, en TI, los dispositivos y sistemas se renuevan cada 3 a 5 años. Este ciclo largo en OT implica mayores desafíos de actualización y compatibilidad. o Conectividad y accesibilidad: Tradicionalmente, OT funcionaba en redes aisladas; sin embargo, el avance del IIoT ha incrementado la exposición de estos sistemas a Internet, aumentando los riesgos de ciberataques. La integración de OT y TI requiere una planificación cuidadosa para asegurar una conectividad segura. 1.1.4. Modelos organizativos de Ciberseguridad: En la ciberseguridad de una organización, los modelos organizativos proporcionan la estructura para gestionar personas, tecnologías y procesos. La elección del modelo adecuado ayuda a optimizar los recursos y gestionar de manera efectiva las amenazas. ❖ Tipos de modelos organizativos: o Centralizado: En este modelo, un único departamento central gestiona la ciberseguridad de toda la organización. Esto facilita la estandarización de políticas, permitiendo una respuesta rápida y coherente a incidentes. Sin embargo, esta estructura puede carecer de flexibilidad para adaptarse a necesidades específicas de distintos departamentos o plantas. o Descentralizado: Cada unidad de negocio gestiona su seguridad de manera autónoma, adaptándose mejor a sus características y riesgos. Esta estructura fomenta la responsabilidad local, pero también puede causar inconsistencias en la aplicación de políticas y duplicación de esfuerzos. 9|Página Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación o Híbrido: Combina ambos enfoques, estableciendo políticas generales a nivel central y permitiendo adaptaciones locales según necesidades específicas. Este modelo es ideal para grandes organizaciones con múltiples plantas o unidades de negocio, equilibrando flexibilidad y consistencia. Ejemplo: Una empresa de manufactura internacional puede adoptar un modelo híbrido, donde el departamento central define las políticas de ciberseguridad y cada planta adapta estas políticas a su infraestructura, permitiendo una respuesta más ágil y personalizada. ➢ Plan Director de Seguridad Un Plan Director de Seguridad (PDS) es una herramienta estratégica que establece las políticas, objetivos y planes de acción en ciberseguridad de una organización, alineando la estrategia global con las necesidades de cada área operativa. El PDS es particularmente valioso en un modelo híbrido, permitiendo la coordinación entre el departamento central y los equipos locales de cada unidad de negocio. Para saber más… Plan Director de Seguridad 1.1.5. Modelo de madurez organizacional en Ciberseguridad: El modelo de madurez organizacional evalúa la capacidad de una organización para gestionar ciberseguridad a través de un proceso de mejora continua. Este modelo permite a las organizaciones identificar su nivel de madurez y establecer un plan para progresar hacia un enfoque de ciberseguridad más robusto y proactivo. ❖ Modelo C2M2 (Cybersecurity Capability Maturity Model) Creado por el Departamento de Energía de EE. UU., el modelo C2M2 ayuda a las organizaciones a medir y mejorar sus capacidades de ciberseguridad. Basado en 10 dominios esenciales (como gestión de riesgos, detección de amenazas, respuesta a incidentes), se aplica tanto a entornos OT como TI, permitiendo que las organizaciones gestionen recursos de forma eficiente y respondan a amenazas emergentes. ❖ Niveles de madurez El modelo C2M2 clasifica la madurez de una organización en varios niveles: o Inicial (Ad-hoc): Gestión reactiva, con procesos informales y respuestas a incidentes no coordinadas. o Repetible: Los procesos de ciberseguridad están documentados y aplicados en algunos departamentos. 10 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación o Definido: La ciberseguridad está implementada y comunicada en toda la organización, con formación regular. o Gestionado: Se miden y controlan las capacidades de ciberseguridad usando métricas, con un enfoque en la mejora continua. o Optimizado: La ciberseguridad es parte integral de las operaciones, y la organización se adapta proactivamente a nuevas amenazas. ❖ Beneficios del modelo de madurez Implementar un modelo de madurez ofrece múltiples beneficios: o Mejora la evaluación continua del estado de ciberseguridad. o Facilita la toma de decisiones en inversiones de ciberseguridad. o Aumenta la resiliencia ante incidentes y mejora la adaptación a nuevas amenazas. En resumen, la adopción de modelos organizativos y de madurez en ciberseguridad permite a las organizaciones desarrollar una estructura sólida y adaptable, capaz de enfrentar los desafíos de seguridad actuales y futuros. 1.2. Conceptos básicos y tecnológicos La comprensión de los conceptos y tecnologías fundamentales de ciberseguridad en entornos OT es esencial para proteger los sistemas operativos frente a amenazas constantes. A continuación, abordaremos los términos clave y las tecnologías críticas para mitigar riesgos y asegurar operaciones seguras. 1.2.1. Terminología fundamental en Ciberseguridad: o Segmentación de redes: Técnica que divide la red en segmentos para limitar la superficie de ataque, importante en OT para evitar que una intrusión en IT afecte sistemas operativos. o Defensa en profundidad: Estrategia con múltiples capas de seguridad (física, técnica, administrativa) que actúan como barreras adicionales en caso de fallo de una capa. o Monitorización continua: Supervisión constante para identificar actividad inusual y responder a incidentes rápidamente, minimizando el impacto. o Acceso remoto seguro: Controlado mediante autenticación multifactor, VPN, y RBAC para proteger accesos externos a sistemas OT. o Gestión de parches: Evaluación y aplicación de actualizaciones de software de manera cuidadosa en OT, evitando interrupciones en la operación. o Seguridad física: Controles físicos, como vigilancia y acceso restringido, para proteger los activos críticos de OT. o Perímetro de seguridad: Delimita los sistemas OT con firewalls y puertas de enlace para separar las redes IT y OT. 11 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación o Convergencia IT/OT: La integración de redes IT y OT plantea riesgos adicionales, requiriendo estrategias específicas para la protección de sistemas operativos. o Tiempo real: Característica esencial en OT para asegurar respuestas inmediatas en sistemas de control como SCADA. o Ciberresiliencia: Capacidad para resistir y recuperarse de incidentes sin afectar la seguridad operativa. 1.2.2. Principios de la Seguridad de la Información: Los principios de Confidencialidad, Integridad y Disponibilidad (CIA) son esenciales en ciberseguridad. Cada uno aporta un aspecto crítico para la protección de la información y se aplican de la siguiente forma: o Confidencialidad: Protege el acceso no autorizado a la información mediante cifrado y control de acceso. o Integridad: Garantiza la precisión de los datos con controles de acceso y auditorías regulares. o Disponibilidad: Asegura que los sistemas y datos estén accesibles a usuarios autorizados a través de redundancias y planes de recuperación. ❖ Aplicación en OT e IT En IT, la confidencialidad es prioritaria para proteger datos sensibles, mientras que, en OT, la disponibilidad es crítica para mantener la continuidad de los procesos industriales, donde cualquier interrupción puede generar impactos graves. ❖ Otros conceptos clave Además de CIA, conceptos como Autenticidad, No Repudio y Trazabilidad son esenciales para asegurar que las transacciones sean legítimas y rastreables, facilitando auditorías y detección de incidentes. 1.2.3. Tecnologías de seguridad comunes: En la ciberseguridad, diversas tecnologías ayudan a proteger los sistemas. Algunas de las más utilizadas incluyen: o Antivirus: Detecta y elimina malware en sistemas OT. o Firewalls: Controlan el acceso a la red OT mediante reglas de seguridad. o Cifrado: Protege la información en tránsito y en reposo, asegurando que solo usuarios autorizados accedan a los datos. o Autenticación de dos factores (2FA): Aumenta la seguridad en el inicio de sesión mediante una segunda verificación. o Gestión de vulnerabilidades: Identifica y mitiga vulnerabilidades mediante actualizaciones regulares. 12 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación o VPN: Crea conexiones seguras y cifradas, ideal para accesos remotos en OT. o IDS/IPS: Monitorizan y bloquean actividades sospechosas en la red. o SIEM: Centraliza y analiza eventos de seguridad para detectar amenazas en tiempo real. 1.2.4. Tendencias actuales en Ciberseguridad: ❖ Amenazas emergentes Las amenazas evolucionan constantemente, destacando el aumento en: o Phishing y ransomware: Utilizan IA para crear ataques sofisticados y accesibles mediante Ransomware como Servicio (RaaS). o Vulnerabilidades en IoT: La proliferación de dispositivos IoT aumenta la exposición en OT. o Ataques a infraestructuras críticas: La energía y transporte son objetivos prioritarios. Para saber más… Ciberseguridad: amenanzas principales y emergentes ❖ Tecnologías emergentes en Ciberseguridad: o Inteligencia Artificial (IA) y Aprendizaje Automático (ML): Automatizan la detección de amenazas mediante el análisis de grandes volúmenes de datos. o Blockchain: Aporta integridad y transparencia en la gestión de datos sensibles. o Modelo Zero Trust: Limita el acceso a quienes lo necesitan, evitando accesos no autorizados. o Seguridad en IoT: Fortalece la protección de dispositivos con cifrado y autenticación robusta. ❖ Desafíos y oportunidades: Las organizaciones enfrentan desafíos significativos, como la migración segura a la nube y la adaptación a nuevas regulaciones. No obstante, la adopción de IA, Zero Trust y blockchain permite mejorar las defensas y proteger mejor los activos en entornos industriales. 1.3. Roles de las Personas en Ciberseguridad El papel de las personas es esencial en la ciberseguridad. La protección eficaz contra amenazas requiere no solo de tecnología, sino de una cultura de seguridad sólida y el compromiso de toda la organización. A continuación, exploramos los roles clave y su importancia en la creación de un entorno seguro. 13 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 1.3.1 Concienciación y cultura de seguridad: La formación y concienciación de todos los empleados es fundamental para minimizar el riesgo de amenazas internas y errores humanos, considerados el eslabón más débil en la ciberseguridad. ❖ Desarrollo de una cultura de seguridad: Para fomentar una cultura de seguridad efectiva, es esencial: o Compromiso desde la “Alta Dirección”: Los líderes deben involucrarse activamente y dar ejemplo en prácticas de ciberseguridad. o Educación continua: Capacitaciones periódicas en amenazas actuales y mejores prácticas. o Responsabilidad compartida: Todos los empleados, no solo el personal de TI, deben entender que la seguridad es responsabilidad de todos. ❖ Beneficios de la concienciación: Invertir en concienciación disminuye incidentes, mejora la respuesta a incidentes y ayuda a cumplir con regulaciones de seguridad. 1.3.2 Roles y responsabilidades en Ciberseguridad: Cada rol en la organización contribuye a proteger los activos digitales, desde la alta dirección hasta el personal técnico y de soporte. ❖ Roles clave: o CEO: Lidera la cultura de ciberseguridad y asegura recursos para proteger los activos digitales. o CSO (Chief Security Officer): Responsable de la seguridad global, integrando protección física y cibernética. o CISO (Chief Information Security Officer): Define y gestiona la estrategia de ciberseguridad, asegurando el cumplimiento normativo. o CIO (Chief Information Officer): Supervisa la tecnología de la información y colabora con el CISO en la seguridad de TI. o CTO (Chief Technology Officer): Implementa tecnologías innovadoras con un enfoque en la seguridad. o CDO (Chief Data Officer): Protege los datos y asegura el cumplimiento de las normativas de privacidad. ❖ Otros roles importantes: o Hacker ético: Realiza pruebas para detectar vulnerabilidades y fortalecer defensas. o Desarrolladores y administradores de sistemas: Aseguran el desarrollo seguro y configuran controles de acceso. 14 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación o Personal de soporte IT: Primera línea de defensa, aplicando medidas de seguridad básicas y resolviendo problemas técnicos. ❖ Colaboración para una seguridad integral: Cada uno de estos roles contribuye a una postura de seguridad robusta. Los líderes establecen las políticas, el personal técnico protege la infraestructura y los empleados cumplen con las medidas de seguridad y reportan actividades sospechosas, asegurando una defensa efectiva contra amenazas. Recuerda… La ciberseguridad es una responsabilidad compartida en la que cada rol en una organización ayuda a proteger sistemas e información. Desde los altos ejecutivos hasta los empleados, todos tienen un papel esencial en la creación de un entorno seguro. Líderes como el CEO, CSO y CISO establecen la estrategia de ciberseguridad y asignan recursos. El CISO implementa políticas y gestiona riesgos, asegurando el cumplimiento normativo. Roles técnicos, como el CIO, CTO, CDO y Desarrolladores, protegen la infraestructura tecnológica y aplican prácticas para mantener la seguridad de los datos. El Hacker Ético y el equipo de soporte IT realizan pruebas y ayudan a detectar vulnerabilidades. Todos los empleados son clave en la defensa diaria, cumpliendo políticas y reportando actividades sospechosas para prevenir incidentes. En resumen… La colaboración de todos estos roles es imprescindible para lograr una postura sólida en ciberseguridad. Una organización segura es aquella que reconoce la importancia de cada uno de estos perfiles y fomenta un entorno de trabajo donde la protección de los activos digitales es una prioridad compartida por todos. Para saber más… Roles en ciberseguridad: desde el CEO a los usuarios finales 15 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación UNIDAD 2: IDENTIFICACIÓN DE AMENAZAS, ATAQUES Y VULNERABILIDADES DE LOS SISTEMAS Bienvenido/a a la segunda unidad del curso de Ciberseguridad Avanzada en Entornos de Tecnologías de la Operación. Esta unidad ofrece un conocimiento profundo sobre las amenazas, ataques y vulnerabilidades que afectan los sistemas de información. En un entorno de ciberataques cada vez más sofisticados, es esencial comprender estos riesgos para mitigarlos. Examinaremos los tipos de amenazas y actores relevantes en el cibercrimen, introduciendo tácticas, técnicas y procedimientos de los atacantes. Se discutirán las amenazas internas y externas, permitiendo a los profesionales anticiparse y responder proactivamente a los intentos de intrusión. También explicaremos vulnerabilidades comunes en sistemas de información y cómo pueden ser explotadas. Se analizarán estudios de caso de incidentes significativos para mostrar las consecuencias de vulnerabilidades no gestionadas y se abordarán estrategias para identificar y corregir vulnerabilidades, estableciendo las bases para una gestión de riesgos eficaz en entornos de tecnología de la operación. 2.1. Tipo de amenazas y actores relevantes en el cibercrimen En ciberseguridad, donde las amenazas son constantes y las consecuencias graves, es fundamental entender los tipos de amenazas y los actores en el cibercrimen. Este apartado analiza estas amenazas y los actores relevantes, ofreciendo una descripción y comparativa que identifica las amenazas más comunes y peligrosas en distintos entornos operativos. Comprender amenazas y actores como hackers, grupos organizados y amenazas internas es esencial para mitigar riesgos. Revisaremos las principales categorías de amenazas y sus actores, evaluando su capacidad de daño, motivaciones, técnicas y objetivos. Este conocimiento permite a los profesionales anticipar y enfrentar riesgos con mayor eficacia. Las estrategias de mitigación se evaluarán mediante estudios de caso y análisis de incidentes previos, proporcionando una visión realista de las tácticas cibercriminales para que los profesionales adapten mejores prácticas y mejoren sus estrategias de defensa. 2.1.1. Tipos de amenazas más comunes en tecnologías de la operación: El cibercrimen es una de las mayores amenazas del mundo digital actual. La capacidad de identificar y comprender las diferentes amenazas y los actores implicados es fundamental para la protección de sistemas de información. 16 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación Las amenazas pueden manifestarse de diferentes formas, cada una con características particulares y diferentes niveles de impacto sobre la seguridad de una organización. A continuación, se describen los tipos más comunes de ciberamenazas: ❖ Malware: Es un término general que significa "software malicioso” y que representa a cualquier software, programa o código diseñado para infiltrarse y dañar un sistema sin el consentimiento del usuario. Existen varios tipos de malware, entre los que destacan: ➢ Virus: Programas que infectan archivos legítimos y se propagan a otros sistemas cuando estos archivos se ejecutan. Pueden destruir datos, corromper sistemas operativos y desactivar medidas de seguridad. ➢ Gusanos: A diferencia de los virus, los gusanos no necesitan un programa anfitrión para replicarse. Se propagan por sí mismos a otros ordenadores a través de redes. Además, pueden consumir grandes cantidades de recursos de red, lo que lleva a una disminución del rendimiento o incluso a la caída de la red. ➢ Troyanos: Parecen software legítimo, pero permiten el acceso no autorizado a los sistemas. ➢ Ransomware: cifra los archivos de la víctima, bloqueando el acceso a ellos, y exige un pago (rescate) para desbloquearlos. Los ataques de ransomware pueden dirigirse a individuos o a organizaciones y suelen propagarse a través de descargas maliciosas o enlaces en correos electrónicos de phishing. ➢ Spyware: recopila información de un dispositivo o red sin el conocimiento o consentimiento del usuario. Esta información puede incluir detalles sobre la actividad en internet, credenciales de acceso y datos personales. El spyware a menudo se instala mediante la descarga de software gratuito, a través de enlaces maliciosos o como parte de otro malware. ➢ Adware: muestra anuncios no deseados al usuario, a menudo en forma de ventanas emergentes o anuncios intrusivos en páginas web. Aunque no siempre es malicioso, el adware puede ralentizar dispositivos y a veces sirve como vehículo para malware más dañino. Ejemplo práctico: Un ataque de ransomware puede cifrar los archivos de una empresa y exigir un pago en criptomonedas a cambio de la clave para descifrarlos. 17 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Ataques de denegación de servicio (DoS/DDoS): Un ataque de denegación de servicio (DoS) busca hacer que un sistema o servicio sea inaccesible al sobrecargarlo con un flujo masivo de tráfico o peticiones. En un DDoS (Distributed Denial of Service), el ataque proviene de múltiples fuentes, haciendo que sea más difícil de mitigar. Estos ataques pueden dirigirse a servidores web, aplicaciones o infraestructuras críticas, causando interrupciones en el funcionamiento de una organización. Sus características son: 1. Los atacantes utilizan una red de ordenadores comprometidos, conocidos como botnets, para enviar grandes volúmenes de tráfico al objetivo. 2. Estos ataques pueden causar interrupciones significativas y pérdidas económicas, afectando la disponibilidad de servicios en línea y la experiencia del usuario. Ejemplo: Un ataque DDoS puede colapsar el servidor de una tienda en línea, impidiendo que los clientes accedan a sus servicios. ❖ Ataque de Phishing: El phishing es una técnica de ingeniería social en la que un atacante intenta obtener información confidencial (como credenciales de usuario o datos financieros) haciéndose pasar por una entidad confiable. Se realiza a través de correos electrónicos fraudulentos, sitios web falsos o mensajes engañosos. El phishing se dirige tanto a individuos como a organizaciones, y puede ser el primer paso de un ataque mayor, como la instalación de malware o el robo de identidad. A continuación, se describen los métodos más comunes: ● Correo electrónico: mensajes falsificados que parecen legítimos, como de bancos o servicios en línea, donde los usuarios pueden revelar contraseñas y datos de tarjetas de crédito. ● SMS (Smishing): mensajes de texto con enlaces maliciosos o solicitudes de información confidencial, similares al phishing por correo electrónico, que buscan acceder a datos personales y financieros. ● Redes sociales: mensajes engañosos en plataformas como Facebook o X, que intentan que los usuarios hagan clic en enlaces maliciosos o proporcionen información, lo que puede resultar en el robo de cuentas y difusión de malware. Ejemplo: Un empleado recibe un correo electrónico que aparenta ser de su banco, solicitando que ingrese su nombre de usuario y contraseña en un sitio web clonado. 18 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Ataques de ingeniería social: Estos ataques manipulan psicológicamente a las personas para que revelen información confidencial o realicen acciones inseguras. A continuación, se presentan algunos ejemplos: ● Vishing: tipo de phishing por llamadas telefónicas, en el que los atacantes se hacen pasar por entidades legítimas, convenciendo a los usuarios de dar información sensible o hacer transferencias de dinero. ● Baiting: los ciberdelincuentes ofrecen incentivos falsos, como descargas gratuitas, para que la víctima instale software malicioso, comprometiendo la seguridad del sistema. ● Pretexting: consiste en un pretexto falso para obtener información privada, como hacerse pasar por soporte técnico, lo que puede llevar al robo de información confidencial y acceso no autorizado. ❖ Ataques de fuerza bruta: En un ataque de fuerza bruta, los atacantes intentan adivinar credenciales (como contraseñas) probando múltiples combinaciones hasta encontrar la correcta. Este tipo de ataque es particularmente peligroso en sistemas que no utilizan medidas de seguridad como bloqueos de cuenta después de varios intentos fallidos. Ejemplo: Un atacante utiliza software automatizado para probar diferentes combinaciones de contraseñas hasta obtener acceso a un sistema protegido. ❖ Exploits y vulnerabilidades Las vulnerabilidades en los sistemas de software pueden ser explotadas por atacantes para comprometer la seguridad. A continuación, se describen los tipos más comunes: ● Vulnerabilidades no corregidas (zero-day): Las vulnerabilidades de día cero son fallos en software que son explotados por los atacantes antes de que el fabricante o la comunidad de seguridad haya tenido oportunidad de desarrollar un parche o solución. Estos ataques son particularmente difíciles de prevenir, ya que explotan fallos que son desconocidos para los defensores en el momento del ataque. Ejemplo: Un atacante explota una vulnerabilidad en un software antes de que el proveedor publique un parche para corregirla, accediendo de forma no autorizada a los sistemas de la empresa. ● Vulnerabilidades conocidas (CVEs): vulnerabilidades con identificadores públicos que han sido documentadas y, a menudo, parcheadas. Como consecuencia, aunque existen parches, los sistemas no actualizados siguen siendo vulnerables. 19 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación Para saber más… ¿Qué es una vulnerabilidad Zero Day? ❖ Intrusión en redes: Una intrusión en redes ocurre cuando un atacante obtiene acceso no autorizado a una red o sistema, comprometiendo la seguridad del mismo. Esto puede lograrse mediante la explotación de vulnerabilidades o el uso de técnicas de hacking avanzadas. Las intrusiones en redes pueden pasar desapercibidas durante largos periodos de tiempo, permitiendo que los atacantes recopilen datos o instalen puertas traseras para accesos futuros. Ejemplo: Un atacante explota una vulnerabilidad en un servidor y mantiene acceso persistente a la red de la organización, extrayendo datos sensibles sin ser detectado. ❖ Suplantación de identidad (Spoofing): La suplantación de identidad ocurre cuando un atacante falsifica la identidad de una entidad confiable para engañar a otros usuarios o sistemas. Esto puede incluir la falsificación de direcciones IP, correos electrónicos o servidores DNS para redirigir el tráfico de usuarios hacia sitios maliciosos. Ejemplo: Un atacante falsifica la dirección IP de un servidor para redirigir el tráfico a un sitio web falso, donde las credenciales de los usuarios son robadas. ❖ Amenazas internas: Las amenazas internas provienen de empleados actuales o antiguos que tienen acceso a sistemas sensibles. A continuación, se explica sus características: 1. Los insiders pueden actuar de forma malintencionada o cometer errores que comprometen la seguridad. 2. Pueden causar filtraciones de datos, sabotaje y pérdida de confianza en la organización. ❖ Exfiltración de datos o brechas de datos: Ocurre cuando un atacante accede y extrae datos confidenciales sin autorización, incluyendo información personal, credenciales, propiedad intelectual o datos financieros. Las brechas de datos pueden tener consecuencias legales y financieras importantes, especialmente bajo regulaciones como el RGPD. Estas brechas pueden ser causadas por errores internos o ataques dirigidos. Ejemplo: Un atacante obtiene acceso a una base de datos de clientes y extrae información personal, como direcciones y números de identificación. 20 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Ataques a aplicaciones web: Las aplicaciones web, debido a su accesibilidad a través de Internet, son un objetivo frecuente de ciberataques. Estos ataques pueden tener consecuencias graves, desde la exposición de datos sensibles hasta la manipulación de los sistemas. A continuación, se describen algunos de los ataques más comunes a las aplicaciones web y sus impactos. • SQL Injection (Inyección SQL): La inyección SQL es una técnica en la cual un atacante inserta código SQL malicioso en una consulta que la aplicación web envía a la base de datos. Los atacantes aprovechan las vulnerabilidades en los formularios de entrada de datos (como campos de búsqueda o formularios de inicio de sesión) para insertar comandos SQL adicionales. Impacto: ▪ ▪ ▪ • Acceso no autorizado: puede permitir a los atacantes acceder a datos sensibles, como información personal de los usuarios, credenciales de inicio de sesión y otros datos confidenciales. Alteración de datos: los atacantes pueden modificar, eliminar o insertar datos en la base de datos, lo que puede comprometer la integridad de la información. Robo de información: la exfiltración de datos puede llevar a violaciones de privacidad y pérdidas económicas significativas. Cross-Site Scripting (XSS): XSS es una vulnerabilidad que permite a los atacantes inyectar scripts maliciosos en las páginas web que son vistas por otros usuarios. Los scripts maliciosos pueden ser insertados a través de entradas de usuario no sanitizadas, como comentarios, foros o formularios. Impacto: ▪ ▪ ▪ Robo de datos de usuario: los scripts inyectados pueden capturar información sensible del usuario, como cookies, credenciales de inicio de sesión y datos personales. Control de sesión del navegador: los atacantes pueden tomar el control de la sesión del navegador del usuario, permitiéndoles realizar acciones en nombre del usuario sin su consentimiento. Distribución de malware: los scripts maliciosos pueden redirigir a los usuarios a sitios web fraudulentos o descargar malware en sus dispositivos. 21 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación • Cross-Site Request Forgery (CSRF): Es una técnica en la que un atacante manipula a un usuario autenticado para que realice acciones no deseadas en una aplicación web. Los atacantes envían enlaces maliciosos o formularios ocultos que, al ser ejecutados por el usuario autenticado, realizan acciones en su nombre. Impacto: ▪ ▪ ▪ Ejecución de transacciones no autorizadas: los atacantes pueden hacer que el usuario realice transacciones no deseadas, como transferencias bancarias o compras en línea. Cambios en la configuración del usuario: los atacantes pueden alterar la configuración del perfil del usuario, incluyendo contraseñas y direcciones de correo electrónico. Compromiso de cuentas: la explotación de CSRF puede llevar a la toma de control de cuentas de usuario y la realización de acciones maliciosas en el sitio web afectado. ❖ Ataques a infraestructuras críticas: Las infraestructuras críticas, como energía, agua y transporte, son esenciales para la sociedad. Los sistemas SCADA y otros sistemas industriales gestionan estos servicios, permitiendo control y supervisión remota para una operación segura. Sin embargo, su conexión a redes empresariales y el uso de tecnologías obsoletas los hace vulnerables a ciberataques. La ciberseguridad en infraestructuras críticas protege estos sistemas para asegurar continuidad y resiliencia. Los ataques a infraestructuras críticas pueden tener efectos devastadores, como apagones y fallos en servicios esenciales, afectando la seguridad pública y la economía. Un ataque a la red eléctrica, por ejemplo, puede dejar sin electricidad a una región, afectando hospitales y transporte. La interrupción de estos servicios puede desencadenar efectos en otros sectores. Proteger estas infraestructuras es fundamental para la estabilidad y seguridad de la sociedad. PARA SABER MÁS… Taxonomía de Referencia para la clasificación de Incidentes de Seguridad 2.1.2. Actores relevantes en el cibercrimen: El cibercrimen es un fenómeno dinámico y complejo, que involucra a una variedad de actores con diferentes motivaciones y grados de sofisticación. Entender quiénes son estos actores es esencial para diseñar estrategias de defensa y mitigación efectivas. Entre los principales se encuentran los hackers de "sombrero negro", hacktivistas, grupos de ciberdelincuentes organizados, actores respaldados por estados, insiders, script kiddies y ciberterroristas. 22 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación Cada uno utiliza métodos específicos y persigue objetivos distintos, que van desde el beneficio económico y la alteración del orden social, hasta el espionaje o los conflictos cibernéticos. ❖ Hackers de sombrero negro: Los hackers de sombrero negro, o "black hat hackers," son individuos o grupos que explotan sistemas informáticos con fines maliciosos o beneficios personales, operando fuera de la legalidad. Buscan vulnerabilidades en sistemas, redes y aplicaciones para explotarlas, usando su conocimiento técnico avanzado. Emplean herramientas y técnicas como malware, exploits de día cero y métodos de ingeniería social para infiltrarse sin autorización. Su objetivo es robar información confidencial (datos personales, financieros o corporativos) para venderla en el mercado negro, extorsionar o cometer fraudes financieros. ❖ Hacktivistas: Los hacktivistas son individuos o grupos que usan habilidades de hacking para promover causas políticas o sociales. Sus acciones buscan llamar la atención sobre problemáticas, influir en la opinión pública o impulsar cambios en políticas. Emplean tácticas como el defacement (modificación de sitios web), la exfiltración de datos (doxing) y ataques DDoS. Un ejemplo es el grupo Anonymous, conocido por sus campañas contra gobiernos y corporaciones consideradas opresivas, con operaciones como #OpISIS y #OpKKK, que han impactado la percepción pública. ❖ Cibercriminales organizados: El cibercrimen organizado involucra redes de delincuentes que operan de forma estructurada, con jerarquía, especialización y objetivos de lucro. Se dedican a actividades ilícitas como la venta de servicios de hacking, creación de malware, robo de datos y extorsión con ransomware. Estos grupos operan en la darknet, donde comercian bienes y servicios ilegales. Su sofisticación les permite realizar ataques a gran escala, como la banda Carbanak, que robó más de mil millones de dólares de bancos mediante ataques coordinados y sofisticados. Para saber más… La banda delictiva cibernética Carbanak roba mil millones de dólares de 100 instituciones financieras en todo el mundo ❖ Actores estatales (Nation-state actors): Los actores estatales operan bajo el patrocinio de gobiernos para realizar ciberespionaje y ataques contra infraestructuras críticas de otros países, buscando inteligencia, influir en políticas y sabotear capacidades estratégicas. 23 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación Sus operaciones van desde el robo de propiedad intelectual hasta ataques a infraestructuras críticas, como redes eléctricas. Un ejemplo destacado es el ataque a la red eléctrica de Ucrania en 2015, atribuido al grupo ruso Sandworm, que causó un apagón significativo y mostró el poder destructivo de los ciberataques estatales. Para saber más… Sandworm: así es el grupo de ciberdelincuentes vinculado a Rusia que lleva desde 2014 atacando Ucrania ❖ Script kiddies: Los script kiddies son individuos con poca experiencia técnica que utilizan herramientas desarrolladas por otros para realizar ciberataques. Aunque carecen de habilidades avanzadas, pueden causar daños significativos usando herramientas potentes y accesibles en línea. Su motivación suele ser la notoriedad y el entretenimiento, no el lucro o activismo. A pesar de su falta de sofisticación, representan una amenaza constante debido al bajo umbral de entrada y la disponibilidad de herramientas automatizadas. ❖ Ciberterroristas: El ciberterrorismo involucra el uso de tecnología digital para llevar a cabo ataques con el objetivo de causar miedo, disrupción significativa y, a menudo, destrucción física. Estos actores buscan utilizar la tecnología para amplificar el impacto de sus acciones terroristas, apuntando a infraestructuras críticas, sistemas de transporte, comunicaciones, etc. Los ciberterroristas pueden emplear tácticas como la propagación de malware destructivo, ataques DDoS a gran escala y la manipulación de sistemas industriales para causar daños físicos. Un caso de ciberterrorismo fue el ataque de Stuxnet, que, aunque no fue perpetrado por terroristas sino por actores estatales, demostró el potencial de los ciberataques para causar daños físicos significativos al sabotear instalaciones nucleares iraníes. Para saber más… Stuxnet: ¿Qué es y cómo funciona? Recuerda… La ciberseguridad es una batalla constante contra una amplia gama de amenazas perpetradas por diversos actores. Comprender los diferentes tipos de amenazas y los actores que las impulsan es fundamental para desarrollar estrategias de defensa efectivas. 24 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación UNIDAD 3: REALIZACIÓN DE UNA EVALUACIÓN DE SEGURIDAD Y GESTIÓN DE RIESGOS Bienvenido/a a la tercera unidad del curso "Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación". Esta unidad profundiza en la evaluación de seguridad y gestión de riesgos en ciberseguridad para entornos OT, abordando una metodología completa para identificar y valorar riesgos, desde el establecimiento del alcance hasta la clasificación de activos críticos. Exploraremos cómo aplicar modelos de gobernanza y clasificar la información según su sensibilidad, permitiendo una asignación de recursos adecuada. A lo largo de esta unidad, examinaremos amenazas comunes en OT y las salvaguardas que ayudan a mitigarlas, asegurando la continuidad del negocio mediante planes detallados y una gestión de incidentes estructurada para responder y recuperarse de eventos de seguridad. Cada sección ofrece enfoques prácticos y recomendaciones que permitirán a los profesionales desarrollar una gestión de riesgos adaptativa y resiliente frente a amenazas actuales y emergentes. 3.1. Metodología de gestión riesgos La metodología de gestión de riesgos es un proceso sistemático y continuo cuyo objetivo es identificar, evaluar y mitigar riesgos que puedan afectar los activos críticos y la continuidad operativa de una organización. En entornos OT, este proceso es vital debido a la interconexión y criticidad de los sistemas industriales. 3.1.1. Introducción y principios de la gestión de riesgos: La gestión de riesgos es un proceso continuo y sistemático para identificar, analizar y mitigar riesgos que afectan a una organización. En ciberseguridad, es fundamental para proteger activos críticos y asegurar la continuidad operativa. Este apartado establecerá una base sólida sobre la gestión de riesgos, incluyendo conceptos y principios clave. ❖ Conceptos clave: ● ● ● ● ● ● Activo: cualquier recurso valioso para una organización, como información, infraestructura, personas o sistemas, que necesita ser protegido para mantener su funcionamiento y valor. Amenaza: cualquier circunstancia o evento con el potencial de causar daño. Vulnerabilidad: debilidad que puede ser explotada por una amenaza. Probabilidad: es la medida de la posibilidad de que ocurra un evento específico que pueda afectar a los activos de una organización Impacto: la consecuencia de que un riesgo se materialice. Riesgo: la posibilidad de que una amenaza explote una vulnerabilidad en un activo, provocando un impacto negativo en la organización. 25 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación La gestión de riesgos establece un marco para tomar decisiones informadas y proteger la organización mediante la identificación de los recursos más valiosos, el análisis de amenazas y la implementación de controles de seguridad adecuados. 3.1.2. Fases de la Metodología de Gestión de Riesgos (Ciclo Deming): El ciclo de Deming o modelo Planificar-Hacer-Verificar-Actuar (PDCA) organiza la gestión de riesgos en cuatro fases: • • • • Planificar: En esta fase se establecen los objetivos y procedimientos para gestionar riesgos. Se evalúa el contexto organizacional y se determina el alcance de la gestión, identificando políticas y regulaciones aplicables. Hacer: Consiste en implementar los controles y procedimientos definidos, asegurando que se tomen las acciones para mitigar los riesgos identificados. Verificar: Implica medir el rendimiento de los controles implementados, comparando los resultados con los objetivos de seguridad y reportando al comité de gestión de riesgos. Actuar: Con los resultados de la verificación, se realizan ajustes y se establecen planes de mejora para reducir riesgos residuales, evaluando la madurez del sistema de gestión y su eficacia. 3.1.3. Aplicación de los Principios en la Gestión de Activos: La clasificación de activos en tangibles e intangibles permite priorizar medidas de protección. En entornos OT, los activos críticos suelen incluir: • Infraestructura física: sistemas de control industrial, servidores y dispositivos de red. 26 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación • • Datos sensibles: información de procesos y configuración de sistemas críticos. Recursos humanos: personal técnico y de seguridad, fundamental para las operaciones seguras. Cada tipo de activo debe evaluarse en función de su criticidad, orientando los recursos hacia aquellos que, en caso de un incidente, impacten de manera significativa en la organización. 3.1.4. Principios fundamentales de la Gestión de Riesgos: • • • Creación y protección de valor: La gestión de riesgos debe contribuir a la seguridad y protección de los activos organizacionales. Integración y personalización: La gestión de riesgos debe estar integrada en las operaciones y adaptarse a las necesidades de la organización. Mejora continua: La gestión de riesgos debe evaluarse y ajustarse periódicamente para adaptarse a cambios internos y externos. El uso de estos principios asegura que el proceso de gestión de riesgos sea efectivo y sostenible, alineado con los objetivos estratégicos de la organización y las necesidades específicas del entorno OT. En resumen… La metodología de gestión de riesgos en entornos OT es un proceso integral que ayuda a las organizaciones a identificar y mitigar amenazas de manera eficaz. Aplicando el ciclo PDCA y clasificaciones de activos, la organización puede proteger recursos críticos y mejorar continuamente su postura de seguridad. Para saber más… Cada metodología ofrece enfoques específicos. La ISO/IEC 31000 se centra en la flexibilidad del proceso de gestión, mientras que MAGERIT proporciona herramientas concretas para análisis detallados y respuesta a incidentes: ISO 31000 MAGERIT versión 3 (versión español): Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información 3.2 Alcance, Activos Críticos, Identificación y Valoración de Riesgos de Negocio Para gestionar riesgos eficazmente, el primer paso es definir el alcance de la evaluación y los activos críticos de la organización, así como identificar y valorar los riesgos que puedan impactar la operación. 27 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 3.2.1 Definir el alcance de la Evaluación de Riesgos El alcance delimita las áreas y activos a proteger, permitiendo un análisis enfocado y optimización de recursos. En entornos OT, el alcance incluye: • • • Sistemas físicos: sensores, actuadores y otros dispositivos de campo. Sistemas de Control: SCADA, PLCs y redes OT, esenciales para la supervisión en tiempo real. Interdependencias IT-OT: riesgos que pueden propagarse de IT a OT. Definir el alcance asegura que los activos críticos y procesos esenciales se identifiquen, asignando responsabilidades específicas en caso de incidentes. Los elementos clave del alcance incluyen la ubicación de activos, procesos críticos, redes de comunicación y políticas de acceso. Ejemplo: En una planta de manufactura de componentes, el alcance incluiría sistemas SCADA y PLC, redes OT y el personal de mantenimiento. 3.2.2 Identificación de Activos Críticos Los activos críticos son aquellos cuya pérdida afectaría gravemente la seguridad y operación. En OT, estos incluyen sistemas de control y componentes clave de infraestructura. Herramientas como el Análisis de Impacto en el Negocio (BIA) ayudan a evaluar la criticidad de cada activo. Ejemplo: En una empresa de distribución de agua, los activos críticos serían sensores de calidad, bombas controladas por PLC y el sistema SCADA. Para saber más… La ISO/IEC 62443 sugiere una clasificación de activos en función de su criticidad, permitiendo priorizar aquellos que tienen un impacto mayor en la operación y la seguridad. 3.2.3 Identificación y Valoración de los Riesgos de Negocio • • Identificación de Riesgos: Tras definir los activos críticos, se evalúan amenazas y vulnerabilidades. En OT, es importante considerar riesgos físicos y cibernéticos, ya que un ataque a sistemas de control puede tener consecuencias graves. Valoración de Riesgos: Cada riesgo se valora según su impacto y probabilidad de ocurrencia. La matriz de riesgos y metodologías como MAGERIT ayudan a asignar prioridades de mitigación basadas en el impacto en la continuidad operativa y seguridad. Ejemplo: En una planta química, el riesgo de un ataque a los PLC de control de temperatura sería alto, debido al riesgo de reacciones peligrosas. 28 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 3.3 Amenazas y Salvaguardas La identificación de amenazas y la implementación de salvaguardas son fundamentales en ciberseguridad OT para proteger los activos críticos frente a riesgos físicos y cibernéticos. 3.3.1 Identificación de amenazas: Las amenazas en entornos OT pueden ser de naturaleza cibernética, física o humana, e incluyen: ❖ Ciberamenazas: • • • • Malware: virus y ransomware que afectan el control de sistemas OT. Phishing: correos fraudulentos para obtener credenciales. Ataques DoS: saturan redes OT, interrumpiendo operaciones. Exploits de Vulnerabilidades: ataques que explotan fallos en dispositivos como PLCs o SCADA. ❖ Amenazas Físicas: • • • Accesos No Autorizados: intrusos que manipulan sistemas OT. Desastres naturales: inundaciones, terremotos o incendios que dañan sistemas. Cortes eléctricos: afectan la disponibilidad de sistemas críticos. ❖ Amenazas Humanas Internas: • • Errores humanos: configuraciones incorrectas o mal uso de equipos. Amenazas internas (Insider Threats): personal con intención de causar daño. 3.3.2 Salvaguardas para mitigar amenazas: Las salvaguardas reducen la probabilidad e impacto de amenazas mediante controles lógicos, físicos y administrativos: ❖ Salvaguardas Lógicas: • • • • Segmentación de redes OT/IT: limita el movimiento de atacantes. IDS/IPS: detecta y bloquea amenazas en tráfico de red. Control de acceso y autenticación multifactor: restringe accesos no autorizados. Aplicación de parches: corrige vulnerabilidades en dispositivos OT. ❖ Salvaguardas Físicas: • • Control de acceso: cerraduras y vigilancia en áreas críticas. SAI/UPS: asegura energía temporal durante cortes eléctricos. 29 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación • Protección ante desastres naturales: barreras y detección de incendios. ❖ Salvaguardas Administrativas: • • • Políticas y procedimientos: establecen responsabilidades de seguridad. Formación y concienciación: capacita al personal en protocolos de seguridad. Planes de respuesta a incidentes: define pasos de contención y recuperación. Ejemplo: En una planta de tratamiento de agua, las salvaguardas incluyen un IDS para monitorizar el sistema SCADA, autenticación multifactor para accesos remotos, control de acceso físico y un plan de respuesta a incidentes para mitigar riesgos específicos del entorno OT. Recuerda… Las salvaguardas deben revisarse y actualizarse periódicamente para asegurar su efectividad en la protección contra amenazas en evolución. Para saber más… La ISO/IEC 27002 es una norma que proporciona recomendaciones de salvaguardas y controles de seguridad, adaptables tanto a entornos IT como OT. Esta norma es una referencia útil para estructurar un conjunto de salvaguardas eficaz. 3.4 Continuidad del Negocio La continuidad del negocio permite que las operaciones críticas se mantengan o se restablezcan rápidamente tras un incidente, minimizando el impacto de interrupciones y garantizando la resiliencia organizacional. 3.4.1 Planes de Continuidad del Negocio (BCP) Un Plan de Continuidad del Negocio (BCP) define estrategias y procedimientos para asegurar que las funciones esenciales continúen durante y después de una interrupción. Sus fases clave son: ❖ Análisis del Negocio y Evaluación de Riesgos: • • Análisis de Impacto: identifica funciones y áreas críticas que necesitan recuperación rápida. Análisis de Riesgos: evalúa riesgos que pueden afectar la continuidad operativa. ❖ Estrategia de respaldo: • Selección de estrategia: define métodos como redundancia de sistemas, uso de ubicaciones alternativas o almacenamiento en la nube. 30 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación • Identificación de recursos y personal clave: determina los recursos y el personal necesario para ejecutar la estrategia de continuidad. ❖ Desarrollo del Plan de Continuidad: • • Organización de equipos e infraestructura: asigna roles y responsabilidades para asegurar la continuidad. Desarrollo de procedimientos: establece instrucciones detalladas para responder a distintos tipos de interrupciones y su recuperación. ❖ Pruebas y mantenimiento: • • • Pruebas: realiza ejercicios de recuperación y simulaciones para verificar la efectividad del plan. Tipos de pruebas: pruebas completas, parciales o simulaciones, según la criticidad del negocio. Mantenimiento del BCP: actualiza el plan regularmente para adaptarlo a cambios en el negocio, tecnología o nuevas amenazas. Un BCP efectivo y actualizado asegura que la organización esté preparada para mantener sus operaciones esenciales y responder eficazmente ante cualquier interrupción. Para saber más… Accede al dossier sobre Plan de Continuidad de Negocio (PCN) del INCIBE 3.5 Ciclo de Gestión de Riesgos El ciclo de gestión de riesgos en entornos OT es un proceso iterativo y continuo que permite a las organizaciones adaptarse a las amenazas emergentes y mejorar su protección. Los componentes clave de este ciclo son: 31 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Monitorización continua: La monitorización continua ayuda a detectar cambios en el entorno y evaluar la eficacia de los controles. En OT, es fundamental para anticipar posibles fallos y reaccionar a tiempo ante incidentes de seguridad. ❖ Revisión y actualización del Análisis de Riesgos: Las revisiones periódicas aseguran que los controles se adapten a cambios en la infraestructura, como nuevos dispositivos o interconexiones IT-OT, y permiten incorporar amenazas emergentes. ❖ Aprendizaje continuo y mejora: Cada incidente y prueba del plan de continuidad aporta lecciones que fortalecen el ciclo de gestión de riesgos. Esto permite ajustar salvaguardas y mejorar procedimientos, asegurando que el sistema se mantenga actualizado y efectivo. ❖ Comunicación y retroalimentación constante: La colaboración entre equipos es esencial en la gestión de riesgos OT. Informes y reuniones regulares permiten tomar decisiones colectivas y mantener a todos los involucrados alineados con el estado de riesgos y medidas de mitigación. ❖ Mantenimiento de documentación y auditorías: Documentar cada revisión y ajuste del ciclo asegura la trazabilidad y cumplimiento de estándares. Las auditorías periódicas proporcionan una visión objetiva, identificando áreas de mejora y asegurando que se cumplan las políticas en todos los niveles. Importante: La documentación y auditoría no solo son esenciales para el cumplimiento normativo, sino también para la toma de decisiones informada. Asegura que los ajustes y mejoras se basen en datos verificables. En resumen… El ciclo de gestión de riesgos en OT se basa en monitorización, revisión, aprendizaje, comunicación y documentación continua. Este enfoque garantiza que la organización pueda responder rápidamente a cambios en el panorama de amenazas y asegurar la resiliencia de sus activos críticos. Para saber más… Según la ISO/IEC 31000, la revisión periódica de riesgos es fundamental para asegurar que los controles siguen siendo efectivos y están alineados con el contexto actual de la organización. Guía para implementar la gestión de riesgos según ISO 31000 32 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 3.6 Modelos de Gobernanza y Clasificación de Información La gobernanza de ciberseguridad y la clasificación de la información son fundamentales en entornos OT, donde la seguridad de los datos y la responsabilidad en su gestión son clave. 3.6.1 Gobernanza de la Ciberseguridad en Entornos OT La gobernanza en OT define políticas, roles y responsabilidades para proteger los sistemas. Incluye: ❖ Políticas, Normativas, Procedimientos y Guías: • • • • Políticas: marcan las directrices generales de seguridad. Normativas: requisitos específicos para cumplir regulaciones internas o externas. Procedimientos: pasos detallados para aplicar las políticas. Guías: buenas prácticas para facilitar la implementación de las políticas. ❖ Roles y responsabilidades: Define claramente quién es responsable de cada aspecto de seguridad, incluyendo roles como Responsable de Seguridad OT y de Respuesta a Incidentes. • Comité de Seguridad: grupo multidisciplinar que supervisa la implementación de políticas y revisa estrategias de seguridad. ❖ Mejores prácticas de Gobernanza: • • • Alineación con los objetivos del negocio: asegurar que las políticas de seguridad respalden los objetivos comerciales. Revisión y actualización regular: adaptar las políticas a los cambios tecnológicos y de amenazas. Cultura de seguridad: promover la seguridad mediante formación y concienciación. Para saber más… Gobernanza – Políticas y Procedimientos de Seguridad OT bajo el NIST: Un enfoque práctico 3.6.2 Clasificación de Información La clasificación de la información permite proteger datos según su sensibilidad y criticidad. Los niveles comunes son: • • • Pública: información sin restricciones. Privada/Interna: información de uso interno. Confidencial: información sensible que requiere protección. 33 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación • Secreta: información altamente sensible que necesita las medidas más estrictas. ❖ Proceso de Clasificación: • • • • Identificación de datos: catalogar la información manejada. Evaluación de sensibilidad: determinar la criticidad de cada tipo de información. Asignación de clasificación: categorizar la información. Implementación de controles: aplicar medidas de seguridad como cifrado y control de acceso según la clasificación. Para saber más… Traffic Light Protocol (TLP) es un esquema creado para fomentar un mejor intercambio de información sensible (pero no clasificada) en el ámbito de la seguridad de la información. En resumen… La gobernanza y clasificación de la información son esenciales en OT para gestionar riesgos de forma estructurada y proteger los datos según su nivel de criticidad. Una buena gobernanza alineada con los objetivos organizacionales y una clasificación precisa garantizan una seguridad efectiva en los entornos industriales. 3.7. Estándares y regulación: Los estándares y regulaciones de ciberseguridad proporcionan una base sólida para proteger la información y gestionar riesgos. A continuación, se detallan los principales estándares y marcos de regulación utilizados en ciberseguridad, abarcando gestión de seguridad, evaluación de riesgos, controles de seguridad y normativas específicas. ❖ Information Security Management: ISO 27000, 27001, 27002, 27005 • • • • ISO 27000: Esta norma proporciona una visión general de los conceptos y términos clave en la gestión de la seguridad de la información, sirviendo como base para las normas específicas de la serie ISO 27000. ISO 27001: Estándar principal para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Define los requisitos para proteger los datos dentro de una organización. ISO 27002: Ofrece directrices y recomendaciones para implementar controles de seguridad de la información, cubriendo desde la política de seguridad hasta la gestión de accesos y la continuidad de negocio. ISO 27005: Se centra en la gestión de riesgos de la información, proporcionando un enfoque estructurado para identificar, analizar y tratar los riesgos de seguridad de la información en el contexto de un SGSI. 34 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Risk Management: ISO 31000, 31010, COBIT 5, NIST 800-39 • • • • ISO 31000: Estándar internacional que proporciona principios y directrices para gestionar riesgos de manera efectiva en cualquier organización, facilitando la toma de decisiones y el logro de objetivos. ISO 31010: Complementa a ISO 31000 al centrarse en las técnicas de evaluación de riesgos, ofreciendo herramientas para identificar y analizar los riesgos en profundidad. COBIT 5: Marco de gobernanza y gestión de TI desarrollado por ISACA, que ayuda a las organizaciones a optimizar el valor de sus sistemas de TI y alinear sus objetivos de ciberseguridad con los objetivos de negocio. NIST 800-39: Guía del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) para la gestión integrada de riesgos de seguridad en las organizaciones, abarcando la identificación, evaluación y respuesta a los riesgos. ❖ Risk Assessment: NIST 800-30 • NIST 800-30: Documento clave que proporciona directrices para la evaluación de riesgos de ciberseguridad. Define el proceso de identificación de amenazas y vulnerabilidades, así como la estimación del impacto y probabilidad de ocurrencia, ofreciendo un marco para analizar el riesgo en sistemas de información. ❖ Security Controls: NIST 800-53 • NIST 800-53: Proporciona un catálogo de controles de seguridad y privacidad para la protección de sistemas de información federales en los EE. UU. Este marco es ampliamente utilizado en diversos sectores y ofrece un conjunto de controles que cubren aspectos técnicos, administrativos y físicos, ajustándose a los diferentes niveles de criticidad de los sistemas. ❖ Normativas Específicas: GDPR, OWASP, PCI-DSS • • • GDPR (General Data Protection Regulation): Reglamento europeo sobre la protección de datos personales. Exige a las organizaciones implementar medidas de seguridad adecuadas y contar con procesos para proteger los datos personales de los ciudadanos de la UE. OWASP (Open Web Application Security Project): Conjunto de directrices y herramientas de seguridad para aplicaciones web. OWASP publica periódicamente su lista de las diez principales amenazas a la seguridad de aplicaciones web, conocida como OWASP Top 10. PCI-DSS (Payment Card Industry Data Security Standard): Estándar de seguridad para proteger los datos de pago de los clientes en sistemas de pago con tarjeta de crédito. Obliga a las organizaciones a implementar controles de seguridad para reducir el riesgo de fraudes y proteger los datos de los titulares de tarjetas. 35 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Risk Framework: NIST Framework • NIST Cybersecurity Framework: Un marco de trabajo ampliamente utilizado para gestionar riesgos de ciberseguridad. Está compuesto por cinco funciones (Identificar, Proteger, Detectar, Responder y Recuperar) que ayudan a las organizaciones a abordar de manera integral la protección de sus activos y la gestión de amenazas y vulnerabilidades. ❖ Threats of ICS: NIST 800-82 • NIST 800-82: Este estándar ofrece guías específicas para la protección de los sistemas de control industrial (ICS). Aborda las amenazas y riesgos específicos que enfrentan estos sistemas en sectores críticos como la industria, la energía y el transporte, proporcionando buenas prácticas para mitigar los riesgos en los ICS y garantizar la disponibilidad y seguridad de estos sistemas esenciales. ❖ IACS Standards: ISA/IEC-62443 • ISA/IEC-62443: Conjunto de estándares específicos para la ciberseguridad de sistemas de automatización y control industrial (IACS). Proporciona pautas para la evaluación de riesgos, implementación de controles de seguridad y gestión de acceso en entornos industriales. Estos estándares son importantes para proteger los sistemas de automatización y control en sectores críticos, incluyendo el transporte y la manufactura. Importante: Aunque estos marcos no están específicamente diseñados para OT, sus principios pueden ser aplicados en sistemas de control industrial para mejorar la seguridad general y la gestión de riesgos. La implementación de estándares y regulaciones adecuadas es fundamental para proteger entornos OT de una manera integral y conforme a las normativas. Al cumplir con estos estándares, las organizaciones no solo aseguran la protección de sus sistemas críticos, sino que también garantizan el cumplimiento legal y reducen riesgos asociados a posibles sanciones. Para saber más… Guía de seguridad de las Tic (ccn-stic-480) -Seguridad en sistemas SCADA Todo sobre NIST SP 800-53: Guía Esencial de Ciberseguridad 36 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 3.8 Gestión de Incidentes La gestión de incidentes es esencial para preservar la integridad, confidencialidad y disponibilidad de los sistemas, minimizando el impacto de los eventos de seguridad y evitando su recurrencia. 3.8.1 Fases de la Gestión de Incidentes: ❖ Preparación: • • • Políticas y procedimientos: definir el plan de respuesta a incidentes (IRP). Equipo de respuesta: formar un equipo con roles definidos. Herramientas: implementar soluciones de monitorización y detección. ❖ Identificación: • • Monitorización continua: uso de IDS/IPS y análisis de registros. Alertas: mecanismos de alerta temprana para detección oportuna. ❖ Contención: • • Contención inmediata: acciones rápidas, como el aislamiento de sistemas. Contención a largo plazo: asegurar el entorno antes de la erradicación. ❖ Erradicación: • • Eliminar la causa: remediar la causa raíz y cerrar vulnerabilidades. Validación: asegurar limpieza completa antes de la recuperación. ❖ Recuperación: • • • Restauración de sistemas: retorno seguro a las operaciones normales. Pruebas de verificación: garantizar que los sistemas estén seguros. Monitorización post-incidente: vigilancia continua para prevenir recurrencias. ❖ Lecciones Aprendidas: • • • Análisis post-incidente: evaluar lo que funcionó y las áreas de mejora. Informe de incidente: documentar el incidente y las acciones. Actualización de procedimientos: incorporar aprendizajes en el IRP. 37 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 3.8.2 Elementos clave en la Gestión de Incidentes • Comunicación eficaz: informar a todo el equipo y alta dirección durante todas las fases; establecer comunicación transparente con clientes, socios y autoridades. • Coordinación y colaboración: garantizar una cooperación fluida entre equipos internos y colaboración con terceros como proveedores de seguridad y fuerzas del orden. • Documentación: mantener un registro detallado de cada incidente, incluyendo fechas, acciones y resultados; elaborar informes formales de resumen. En resumen… La gestión de incidentes es un proceso estructurado que permite a la organización responder eficazmente a amenazas y mejorar continuamente sus capacidades de seguridad. 38 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación UNIDAD 4: CONOCIMIENTO DE LA SEGURIDAD DE LOS SISTEMAS Bienvenidos a la cuarta unidad del curso sobre Ciberseguridad Avanzada en Entornos de Tecnologías de la Operación. En esta unidad, profundizaremos en la seguridad de sistemas, explorando técnicas y metodologías para proteger los componentes críticos de una infraestructura tecnológica. La seguridad de sistemas es clave para defenderse de ciberataques, abarcando la protección de software, hardware, redes y dispositivos. Primero, veremos el "hardening" de sistemas, que asegura software, hardware y redes, revisando prácticas para fortalecer sistemas operativos, aplicaciones, servidores, estaciones de trabajo, dispositivos móviles, bases de datos y dispositivos de red. Este proceso minimiza vulnerabilidades y protege cada componente. También analizaremos técnicas específicas para distintos entornos, como sistemas operativos, aplicaciones y dispositivos de red industriales. Discutiremos cómo implementar controles de seguridad y cómo integrarlos en la infraestructura existente. A través de ejemplos prácticos, los profesionales obtendrán una comprensión aplicable sobre cómo proteger sus sistemas de forma efectiva. 4.1. Hardening: software, hardware y redes El "hardening" es el proceso de fortalecer la seguridad de un sistema reduciendo sus superficies de ataque. Este enfoque es clave en ciberseguridad, ya que reduce las vulnerabilidades explotables. Aquí exploraremos técnicas para asegurar software, hardware y redes de comunicación. Primero, abordaremos el hardening de sistemas operativos y aplicaciones, cubriendo configuraciones de seguridad, actualizaciones y prácticas para mitigar riesgos asociados con vulnerabilidades del software. También veremos el hardening de servidores, estaciones de trabajo y dispositivos móviles, incluyendo políticas de seguridad, autenticación robusta y software de protección. Además, se discutirá la importancia de mantener una red segura mediante dispositivos y configuraciones específicas para entornos industriales. Este apartado ofrecerá una visión integral del hardening, capacitando a los estudiantes para aplicar estas técnicas y proteger sus entornos operativos, asegurando un nivel alto de seguridad en sus infraestructuras. Para saber más… ¿Qué es el Hardening en Ciberseguridad? 39 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 4.1.1. Hardening de software: El hardening de software se refiere al proceso de reforzar la seguridad de las aplicaciones y sistemas operativos para minimizar su vulnerabilidad a ataques. Dado que el software es la base sobre la cual se ejecutan la mayoría de las funciones de TI, asegurar que esté debidamente protegido es fundamental para la ciberseguridad en cualquier entorno, especialmente en los sistemas de tecnologías de la operación (OT). ❖ Sistemas operativos: Los sistemas operativos son el núcleo de la infraestructura de TI, y su seguridad es vital para proteger los datos y operaciones críticas. A continuación, se describen algunas prácticas esenciales para el hardening de sistemas operativos: • Actualización y parches: mantener el sistema actualizado con parches de seguridad protege contra vulnerabilidades conocidas. Establecer un procedimiento automatizado para la gestión de parches es ideal. • Desactivación de servicios innecesarios: identificar y desactivar servicios no esenciales reduce la superficie de ataque. Herramientas de análisis de red ayudan a detectar servicios innecesarios. • Configuración de políticas de seguridad: establecer políticas de contraseñas fuertes, autenticación multifactor y restricciones de acceso basadas en roles mejora la seguridad. • Monitorización y auditoría: utilizar herramientas de monitorización y auditoría para detectar actividades sospechosas. IDS/IPS y auditorías periódicas ayudan a corregir debilidades en la configuración de seguridad. ❖ Aplicaciones: Las aplicaciones, al igual que los sistemas operativos, deben ser endurecidas para protegerlas contra una variedad de amenazas. A continuación, describiremos algunas prácticas de hardening para aplicaciones: • Control de versiones: mantener las aplicaciones actualizadas reduce vulnerabilidades. Un sistema de gestión de versiones facilita la actualización automática y el registro de versiones ayuda en la gestión de incidencias. • Configuración segura: ajustar configuraciones predeterminadas para maximizar la seguridad, deshabilitando funciones innecesarias y aplicando configuraciones recomendadas por los desarrolladores. 40 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación • Validación de entradas: implementar mecanismos de validación y sanitización para prevenir inyecciones SQL y ataques similares, asegurando que solo datos seguros sean procesados. • Cifrado de datos: utilizar cifrado para proteger datos en reposo y en tránsito, aplicando algoritmos robustos y políticas de gestión de claves para mantener la confidencialidad e integridad. Para saber más… ¿Qué es el endurecimiento de aplicaciones? Ejemplo práctico: En el contexto de ciberseguridad en entornos de tecnología de la operación (OT), un ejemplo de hardening de software podría aplicarse a un sistema SCADA que controla una planta de tratamiento de agua. Para proteger este software, el equipo de ciberseguridad desactiva todos los servicios y funciones no esenciales, tales como protocolos de red no utilizados y aplicaciones de acceso remoto que vienen habilitadas por defecto. Además, configuran permisos mínimos para los usuarios, restringiendo su acceso únicamente a las funciones necesarias, y aplican parches de seguridad de forma regular para corregir vulnerabilidades conocidas. Este proceso de hardening reduce la superficie de ataque, incrementando la seguridad y resiliencia del sistema frente a posibles amenazas. En resumen… El hardening de software es un componente esencial de cualquier estrategia de ciberseguridad. Al aplicar prácticas de hardening a sistemas operativos y aplicaciones, se puede reducir significativamente la superficie de ataque y mejorar la resistencia del sistema frente a amenazas. La implementación de estas prácticas debe ser continua y adaptativa, ajustándose a las nuevas amenazas y desafíos en el panorama de la ciberseguridad. 4.1.2. Hardening de hardware: El hardening de hardware se enfoca en fortalecer la seguridad física y lógica de los componentes físicos de una infraestructura de TI. A diferencia del software, el hardware representa el soporte físico que alberga y ejecuta todas las aplicaciones y servicios, por lo que su protección es fundamental para garantizar la integridad, disponibilidad y confidencialidad de los sistemas y datos. ❖ Servidores: Los servidores, el núcleo de la infraestructura de TI, requieren protección integral desde la configuración inicial hasta la seguridad física. • Configuración de BIOS/UEFI: proteger el BIOS/UEFI con contraseñas y desactivar puertos no usados evita accesos no autorizados y ataques a nivel de firmware. 41 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación • Acceso físico: restringir el acceso físico mediante cerraduras, cámaras y controles biométricos protege el hardware y datos. Realizar auditorías regulares y mantener registros de acceso. • Redundancia y respaldo: garantizar disponibilidad y recuperación mediante redundancia (RAID, failover) y copias de seguridad almacenadas en lugares seguros para recuperar datos ante pérdidas. Para saber más… ¿Qué es hardening de servidores y cuál es su importancia? ❖ Puestos de trabajo y dispositivos móviles: La seguridad de los puestos de trabajo y dispositivos móviles es igualmente importante, ya que estos dispositivos a menudo son la puerta de entrada a la red y pueden ser objetivos de ataques. • Configuración inicial segura: configurar los dispositivos con políticas de seguridad desde el inicio, desactivar servicios innecesarios, implementar contraseñas fuertes, habilitar cifrado de disco, configurar firewalls y activar actualizaciones automáticas. • Gestión de dispositivos: usar software de gestión para aplicar políticas de seguridad y monitorizar continuamente. Soluciones MDM permiten aplicar políticas, monitorizar y realizar acciones remotas como borrado de datos en caso de pérdida o robo. Las herramientas de gestión de parches aseguran protección contra vulnerabilidades. Para saber más… Seguridad de los dispositivos móviles: ¿Cómo protegerlos? • Protección contra malware: instalar y actualizar antivirus y antimalware es esencial para proteger dispositivos contra amenazas como virus, troyanos, spyware y ransomware. Realizar análisis regulares del sistema y educar a los usuarios en buenas prácticas (evitar descargas de fuentes no confiables y no hacer clic en enlaces sospechosos) es clave para prevenir infecciones. ❖ Bases de datos: Las bases de datos pueden contener información crítica y sensible, por lo que su protección es vital para asegurar la integridad y confidencialidad de los datos. • Control de acceso: implementar controles de acceso basados en el mínimo privilegio y realizar auditorías de actividades. Registrar y auditar todas las actividades en la base de datos para detectar accesos no autorizados. 42 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación • Seguridad de configuración: ajustar configuraciones para reducir la superficie de ataque, deshabilitando funciones innecesarias, aplicando parches, configurando cifrado y limitando el acceso con firewalls y ACL. Revisar y ajustar regularmente en función de nuevas amenazas. • Cifrado: utilizar cifrado en comunicaciones y datos almacenados asegura la confidencialidad e integridad de la información. El cifrado de comunicaciones impide que los datos entre la base de datos y los clientes sean interceptados, mientras que el cifrado de datos en reposo protege contra accesos no autorizados, incluso si se obtiene acceso físico. Emplear algoritmos de cifrado fuertes y políticas de gestión de claves adecuadas es fundamental. Ejemplo práctico: En un entorno OT, el hardening de hardware podría aplicarse a los PLCs en una planta de producción. El equipo de ciberseguridad deshabilita puertos y conexiones físicas innecesarias, como USB o puertos series, para minimizar vías de acceso no autorizadas. También configuran autenticación multifactor para asegurar que solo el personal autorizado tenga acceso. Este proceso refuerza la protección de los PLCs contra manipulaciones y accesos no autorizados, mejorando la seguridad de la infraestructura operativa. Para saber más… Hardening de bases de datos 4.1.3. Hardening de redes: El hardening de redes es clave para asegurar la infraestructura de comunicación de una organización. Incluye la configuración segura de dispositivos de red, segmentación del tráfico y monitorización continua para detectar y prevenir actividades maliciosas. En sistemas industriales, es importante usar protocolos seguros, realizar mantenimiento y capacitar al personal. ❖ Dispositivos de red: Los routers, switches y firewalls son críticos para la seguridad de la red. • Configuración segura: configurar dispositivos siguiendo las mejores prácticas, como cambiar contraseñas predeterminadas, desactivar servicios no usados, aplicar actualizaciones de firmware y configurar ACL para restringir el tráfico. Usar SSH en lugar de Telnet para administración remota. • Segmentación de redes: utilizar VLANs y segmentación para aislar tráfico y limitar ataques. Colocar sistemas críticos en una VLAN separada reduce el riesgo de que un atacante acceda a ellos desde otras redes. 43 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación • Monitorización de tráfico: implementar IDS/IPS para detectar y bloquear amenazas en el tráfico de red. Utilizar herramientas de monitorización para supervisar el rendimiento y la integridad de la red, resolviendo problemas antes de su explotación. ❖ Sistemas Industriales: En entornos OT, como manufactura e infraestructura crítica, asegurar redes y sistemas industriales es esencial para la continuidad y seguridad operativa. • Protocolos seguros: utilizar protocolos como HTTPS, SSH y VPN para cifrar comunicaciones y autenticar participantes, previniendo la interceptación y manipulación de datos. Asegurar que todos los sistemas industriales soporten estos protocolos de manera uniforme. • Mantenimiento regular: realizar mantenimiento y auditorías de seguridad para detectar y corregir vulnerabilidades. Esto incluye parches, actualización de firmware, revisión de configuraciones y pruebas de penetración realizadas por profesionales capacitados. • Capacitación y concienciación: capacitar al personal en prácticas seguras y actualizarlo sobre amenazas emergentes. Fomentar una cultura de seguridad donde todos comprendan su rol en proteger los activos críticos. Ejemplo práctico: En un entorno OT, como una refinería, el hardening de redes incluye segmentar la infraestructura con VLANs, separando la red de control industrial de la red IT y el acceso externo. También se configuran firewalls industriales y sistemas IDS para monitorizar y bloquear accesos no autorizados. Estas medidas refuerzan la red contra amenazas, limitando el movimiento lateral de atacantes y protegiendo los sistemas críticos de control. En resumen… Hardening es clave en ciberseguridad para fortalecer sistemas mediante la reducción de su superficie de ataque. Aplicar técnicas de hardening a software, hardware y redes incrementa la seguridad y resiliencia, especialmente en entornos OT. Su implementación debe ser continua y adaptarse a nuevas amenazas en el panorama de la ciberseguridad. 44 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación UNIDAD 5: APROXIMACIÓN A LOS COMPONENTES DE LA SEGURIDAD EN REDES Bienvenidos a la quinta unidad del curso sobre Ciberseguridad Avanzada en Entornos OT. En esta unidad se explicarán los componentes de la seguridad en redes, enfocándonos en los modelos OSI y TCP/IP, y en protocolos y técnicas de encapsulados críticos para proteger la infraestructura de red. Se comenzará con los niveles OSI, que permiten entender la interacción entre protocolos y la identificación de vulnerabilidades en cada capa. Luego, se profundizará en el modelo TCP/IP, revisando protocolos clave como DNS, FTP, TCP, IPv4, IPv6 y HTTP, explicando su rol en la seguridad de red. Después, se abordarán componentes de seguridad específicos, como firewalls, IDS/IPS, y WIDPS, además de la gestión de amenazas unificada (UTM), que integra varias funciones en una solución. Mediante ejemplos prácticos y estudios de caso, los profesionales podrán adquirir un conocimiento aplicable para proteger sus redes de forma efectiva. 5.1. Niveles OSI (Open System Interconnection Model) El Modelo OSI es un marco desarrollado por la ISO que estandariza la comunicación en redes, dividiéndola en siete capas: física, enlace de datos, red, transporte, sesión, presentación y aplicación. Este modelo facilita la interoperabilidad y compatibilidad entre diferentes sistemas, permitiendo a los desarrolladores enfocarse en aspectos específicos de la comunicación sin preocuparse por otras capas. Comprender el modelo OSI es fundamental para la ciberseguridad, ya que permite identificar y abordar vulnerabilidades en cada capa. Al aplicar medidas de seguridad en cada nivel, se puede crear una defensa en profundidad que proteja la integridad, confidencialidad y disponibilidad de los datos en toda la red. Esta unidad detallará cada capa del modelo OSI, sus funciones y medidas de seguridad aplicables. Para saber más… ¿Qué es el Modelo OSI? 5.1.1. Capas del modelo OSI: El modelo OSI se compone de siete capas, cada una con funciones específicas que interactúan de manera jerárquica. Estas capas son: Física, enlace de datos, Red, Transporte, Sesión, Presentación y Aplicación. 45 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Capa física: La capa física es la primera en el Modelo OSI y gestiona la transmisión y recepción de datos en señales eléctricas, ópticas o de radio a través de medios físicos como cables y fibras ópticas. Define la conexión física, niveles de voltaje, sincronización de bits, y el cableado. La seguridad en esta capa implica proteger contra interferencias electromagnéticas y manipulaciones físicas. ❖ Capa de enlace de datos: La capa de enlace de datos, segunda en el modelo, asegura la transferencia de datos sin errores entre nodos adyacentes. Maneja la detección y corrección de errores, sincronización de tramas y control de acceso al medio. Protocolos comunes incluyen Ethernet, MAC, LLC y WIFI. La seguridad en esta capa puede incluir controles de acceso al medio y cifrado para proteger los datos en tránsito. ❖ Capa de red: La capa de red, tercera en el modelo OSI, se encarga de determinar la ruta de los datos desde el origen al destino. Gestiona el direccionamiento lógico y el encaminamiento mediante protocolos como IP. La seguridad en esta capa se basa en proteger el encaminamiento y controlar el acceso mediante listas de control de acceso (ACL) y firewalls. ❖ Capa de transporte: La cuarta capa, enfocada en la transferencia confiable de datos entre extremos, gestiona el control de flujo, segmentación y reensamblaje. Protocolos como TCP y UDP operan aquí. La seguridad en esta capa incluye cifrado de extremo a extremo y protocolos seguros como SSL/TLS para asegurar la integridad y confidencialidad de los datos. ❖ Capa de sesión: La quinta capa administra las conexiones entre aplicaciones en comunicación, estableciendo, gestionando y terminando sesiones. Es esencial para la sincronización y recuperación en caso de fallos. Su seguridad incluye autenticación y gestión de sesiones seguras. 46 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Capa de presentación: La sexta capa traduce los datos entre el formato de red y el de aplicación, gestionando codificación, compresión y cifrado. Su seguridad se enfoca en proteger información mediante cifrado y compresión. ❖ Capa de aplicación: La séptima capa ofrece servicios de red para aplicaciones del usuario, como correo electrónico y transferencia de archivos (ej., HTTP, FTP, SMTP). La seguridad aquí se centra en la autenticación de usuarios, autorización y protección de la integridad y confidencialidad de los datos. 5.1.2. Seguridad en cada capa del Modelo OSI: La implementación de medidas de seguridad en cada capa del Modelo OSI es esencial para construir una red robusta y segura. A continuación, se describen brevemente las principales consideraciones de seguridad para cada capa: ● Capa física: protección física del hardware, blindaje de cables, y monitorización de accesos físicos. ● Capa de enlace de datos: cifrado de enlaces, autenticación de dispositivos, y control de acceso al medio. ● Capa de red: configuración de firewalls, uso de VPNs, y aplicación de listas de control de acceso (ACL). ● Capa de transporte: implementación de SSL/TLS, gestión de certificados y cifrado de extremo a extremo. ● Capa de sesión: autenticación de sesiones, establecimiento de túneles seguros y gestión de tiempos de espera. ● Capa de presentación: cifrado de datos sensibles, uso de estándares de codificación y compresión de datos. ● Capa de aplicación: autenticación y autorización de usuarios, protección contra ataques de inyección y cifrado de datos sensibles. En resumen… El Modelo OSI es una herramienta esencial para entender y diseñar redes seguras. La implementación de medidas de seguridad adecuadas en cada capa del modelo no solo mejora la robustez de la red, sino que también facilita la identificación y resolución de problemas de seguridad de manera estructurada y eficiente. 47 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 5.2. Modelo TCP/IP: protocolos DNS, FTP, IMAP, TCP, IPv4, IPv6, HTTP El modelo TCP/IP, creado en los años 70 por la Agencia DARPA de EE. UU., surgió para conectar diferentes redes, inicialmente en el ámbito militar. Su éxito en interconexión lo llevó a extenderse al ámbito académico y comercial, y, con el tiempo, se convirtió en la base de Internet. TCP/IP es fundamental en redes modernas, soportando aplicaciones como la navegación web, correo electrónico y el IoT. Su diseño modular permite integrar nuevas tecnologías, asegurando su relevancia en un entorno tecnológico en constante evolución. 5.2.1. Arquitectura del modelo TCP/IP: El modelo TCP/IP se organiza en cuatro capas principales, cada una con funciones específicas que permiten la transmisión de datos de manera eficiente y segura. ● Capa de aplicación: proporciona servicios de red a las aplicaciones del usuario. Incluye protocolos como HTTP, FTP, DNS, IMAP, y muchos otros que interactúan directamente con las aplicaciones de software. ● Capa de transporte: garantiza la transmisión confiable de datos entre dos dispositivos finales. Los principales protocolos de esta capa son TCP y UDP. ● Capa de internet: se encarga de la transferencia de paquetes a través de múltiples redes interconectadas. El protocolo IP (Internet Protocol) es el más importante en esta capa. ● Capa de acceso a red: gestiona la comunicación directa entre los dispositivos en la misma red local. Incluye las tecnologías de red físicas y los protocolos necesarios para la transmisión de datos en un enlace de red. 5.2.2. Protocolos de la capa de aplicación: ❖ DNS (Domain Name System): DNS convierte nombres de dominio en direcciones IP, facilitando el acceso a recursos en red sin recordar números complejos. • Resolución de nombres: al ingresar un dominio, la solicitud se envía a un servidor DNS, que busca la dirección IP, pasando la solicitud a otros servidores si es necesario. 48 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ FTP (File Transfer Protocol): FTP transfiere archivos entre sistemas en la red, operando en modos activo y pasivo, este último compatible con cortafuegos y NAT. • Modos de transferencia: en modo activo, el servidor se conecta al cliente; en modo pasivo, el cliente se conecta a un puerto designado por el servidor. ❖ IMAP (Internet Message Access Protocol): IMAP permite acceso y gestión de correos en un servidor, sincronizando en múltiples dispositivos. • Diferencias con POP3: POP3 descarga y elimina correos del servidor; IMAP mantiene los correos en el servidor para acceso múltiple. 5.2.3. Protocolos de la capa de transporte: ❖ TCP (Transmission Control Protocol): TCP es orientado a conexión y asegura entrega confiable mediante control de flujo y secuencia de paquetes. • Establecimiento de conexión: utiliza el "Three-way handshake" para crear una conexión bidireccional (SYN, SYN-ACK, ACK). • Gestión de fiabilidad: TCP utiliza números de secuencia y acuses de recibo para garantizar la entrega sin errores. ❖ UDP (User Datagram Protocol): UDP es sin conexión y rápido, ideal para streaming y juegos en línea, priorizando velocidad sobre fiabilidad. • Comparación con TCP: UDP no realiza control de flujo ni garantiza entrega en orden, pero su baja latencia es ventajosa en aplicaciones en tiempo real. 5.2.4. Protocolos de la capa de internet: ❖ IPv4: IPv4 utiliza direcciones de 32 bits, presentadas como cuatro números decimales separados por puntos (ej., 192.0.2.1), con valores entre 0 y 255. • Subnetting y CIDR: el subnetting permite dividir redes grandes en subredes, optimizando el uso de IPs. CIDR ofrece una asignación de direcciones más flexible y eficiente. 49 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ IPv6: IPv6 aborda la escasez de IPv4 mediante direcciones de 128 bits, con un espacio de direcciones mucho mayor, representadas en ocho grupos de cuatro dígitos hexadecimales. Ej: 2001:0db8:85a3:0000:0000:8a2e:0370:7334 • Características y estructura: IPv6 permite autoconfiguración y mejora la movilidad. • Comparación con IPv4: IPv6 ofrece mayor espacio de direcciones, IPsec obligatorio para seguridad, y un manejo de paquetes más eficiente al eliminar la fragmentación en routers. 5.2.5. Protocolos de la capa de acceso a red: ❖ HTTP (Hypertext Transfer Protocol) y HTTPS: HTTP es el protocolo utilizado para transferir documentos web. Funciona en un modelo de solicitud-respuesta donde el cliente (navegador web) envía una solicitud al servidor, y el servidor responde con el contenido solicitado. HTTPS es la versión segura de HTTP. Utiliza SSL/TLS para cifrar la comunicación entre el cliente y el servidor, protegiendo la privacidad e integridad de los datos transferidos. Importante… Comparación y conexión entre protocolos: los protocolos en el modelo TCP/IP trabajan juntos para proporcionar una comunicación completa y eficiente. Por ejemplo, un usuario que visita un sitio web utiliza DNS para resolver el nombre del dominio, TCP para establecer una conexión confiable, y HTTP para transferir el contenido del sitio web. Para saber más… Comparación de los modelos OSI y TCP/IP Protocolos TCP/IP 5.3. Encapsulado El encapsulado permite la transmisión segura de datos, añadiendo información de control y direccionamiento para asegurar la integridad y entrega de datos en una red compleja. 5.3.1. Proceso de encapsulado en el modelo TCP/IP: El proceso de encapsulado en el modelo TCP/IP se realiza en varias capas, cada una añadiendo su propia información de control antes de que los datos se transmiten físicamente por la red. 50 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación En cada capa, el proceso se realiza de la siguiente manera: ● Capa de aplicación: los datos de la aplicación se encapsulan con un encabezado específico del protocolo, como HTTP o FTP. ● Capa de transporte: los datos reciben un encabezado con información de puertos y, para TCP, control de flujo, creando un segmento o datagrama (para UDP). ● Capa de internet: se añade un encabezado IP con direcciones de origen y destino para enrutar los paquetes. ● Capa de acceso a red: los paquetes IP se encapsulan en una trama para su transmisión física, usando un encabezado y tráiler de la tecnología de red, como Ethernet. 5.3.2. Ejemplos de encapsulado en protocolos comunes: ● HTTP sobre TCP/IP: cuando se solicita una página web, la solicitud HTTP se encapsula en un segmento TCP, luego en un paquete IP, y finalmente en una trama Ethernet para su transmisión. ● FTP sobre TCP/IP: Los comandos y datos FTP se encapsulan en segmentos TCP, que luego se encapsulan en paquetes IP y tramas según la red. 5.3.3. Beneficios y desafíos del encapsulado: El encapsulado facilita la transmisión de datos, con ventajas importantes y algunos desafíos que deben gestionarse. ❖ Ventajas del encapsulado: ● Modularidad: permite mejorar cada capa del modelo TCP/IP sin afectar el sistema. ● Eficiencia: asegura una transmisión optimizada al añadir información específica en cada capa. ● Seguridad: permite aplicar medidas de protección en cada nivel, como encriptación y autenticación. ❖ Problemas y desafíos comunes: ● Overhead: el encapsulado añade bytes adicionales, lo que puede afectar la eficiencia de transmisión. Es importante equilibrar entre seguridad y eficiencia. ● Fragmentación: los paquetes grandes suelen fragmentarse para su envío, complicando el ensamblaje y aumentando el tiempo de transmisión. 51 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ● Compatibilidad: la interoperabilidad entre redes y dispositivos presenta desafíos, ya que cada capa del modelo TCP/IP tiene requisitos específicos. Ejemplo práctico: En las redes de tecnología de operación (OT), el encapsulado se utiliza para transmitir datos de control y monitorización entre dispositivos industriales y sistemas de supervisión. Por ejemplo, en una red SCADA, los datos de sensores y actuadores se encapsulan en tramas Ethernet para su transmisión a través de la red industrial. Importante… Es importante asegurar que cada nivel de encapsulado incluya las medidas de seguridad adecuadas. Implica incluir la encriptación de datos en la capa de aplicación, el uso de protocolos seguros en la capa de transporte (como TLS sobre TCP), y la implementación de controles de acceso y autenticación en la capa de enlace de datos. Para saber más… Encapsulamiento y desencapsulamiento - Fundamentos de Redes 5.4. Componentes de seguridad en redes En la era digital, la seguridad en redes es esencial para proteger las operaciones de una organización. Las redes de datos son fundamentales para la transferencia de información, pero también exponen a las organizaciones a amenazas que pueden afectar la confidencialidad, integridad y disponibilidad de sus datos. Implementar componentes de seguridad en redes es clave para mantener un entorno seguro. Estos componentes incluyen tecnologías como firewalls, sistemas de detección y prevención de intrusos (IDS/IPS), sistemas de intrusión inalámbrica (WIDPS) y soluciones de gestión unificada de amenazas (UTM). Para saber más… ¿Qué es la seguridad de red? 5.4.1 Firewall: Un firewall es un dispositivo de seguridad que controla el tráfico de red, actuando como una barrera entre una red interna y redes externas no confiables. Su función principal es prevenir accesos no autorizados y ataques externos. ❖ Tipos de firewalls: ● Firewalls de red: controlan el tráfico entre redes diferentes, permitiendo o bloqueando paquetes según IP, puertos y protocolos. ● Firewalls de aplicación: filtran tráfico a nivel de aplicación, bloqueando ataques específicos. 52 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ● Firewalls de próxima generación (NGFW): ofrecen funciones avanzadas como inspección profunda, control de aplicaciones y prevención de intrusiones. ❖ Configuración y gestión: Definir políticas de seguridad claras y realizar auditorías regulares para mantener actualizadas las reglas de firewall. Implementar monitorización continua para detectar incidentes y asegurar la eficacia de los firewalls. 5.4.2 Sistemas de detección de intrusos (IDS): Los sistemas de detección de intrusos (IDS) monitorizan el tráfico de red o la actividad del sistema para detectar actividades sospechosas y posibles violaciones de seguridad. Su objetivo es alertar a los administradores sobre eventos que puedan indicar ataques o intrusiones, facilitando una respuesta preventiva o correctiva. ❖ Tipos de IDS: ● IDS basados en red (NIDS): monitorizan el tráfico en puntos clave, como enrutadores y switches, en busca de patrones sospechosos. ● IDS basados en host (HIDS): supervisan la actividad en sistemas individuales, analizando registros y cambios en la configuración. ❖ Implementación y monitorización: Para ser efectivos, los IDS deben ubicarse estratégicamente en la red y contar con monitorización continua. Las alertas configuradas permiten a los administradores responder a las amenazas rápidamente. 5.4.3 Sistema de prevención de intrusiones (IPS) A diferencia de los IDS, los sistemas de prevención de intrusiones (IPS) no solo detectan amenazas, sino que también pueden tomar medidas para prevenir que estas amenazas se materialicen. Los IPS pueden bloquear paquetes sospechosos y cerrar conexiones no autorizadas, proporcionando una capa adicional de protección activa. 53 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Funcionamiento del IPS: Los IPS se sitúan en el flujo de tráfico de red para analizar datos en tiempo real. Utilizan métodos como análisis de firmas, detección de anomalías y heurística para identificar actividades maliciosas. Ante una amenaza, el IPS puede: Bloquear el tráfico malicioso. ● Cerrar las conexiones que se utilizan para el ataque. ● Reconfigurar dispositivos de red para evitar futuros ataques. ● Alertar a los administradores sobre la actividad detectada para una ● investigación adicional. ❖ Tipos de IPS: ● IPS basados en red (NIPS): monitorizan segmentos de red amplios para detectar patrones de ataque. ● IPS basados en host (HIPS): protegen dispositivos individuales de ataques específicos. ● IPS inalámbricos (WIPS): protegen redes inalámbricas contra ataques como suplantación de puntos de acceso y denegación de servicio. 5.4.4 Sistema de detección y prevención de intrusiones wireless (WIDPS) Los WIDPS combinan la detección y prevención de intrusiones en redes inalámbricas. Monitorizan el tráfico inalámbrico usando firmas de ataque, detección de anomalías y análisis de comportamiento para identificar actividades sospechosas. Si detectan una amenaza, pueden: Desconectar dispositivos maliciosos de la red. ● Bloquear accesos de puntos de acceso no autorizados o rogue APs. ● Alertar a los administradores sobre la actividad detectada para una respuesta más detallada. ● ❖ Tipos de amenazas que los WIDPS pueden mitigar: Los WIDPS están especialmente diseñados para hacer frente a una variedad de amenazas específicas de las redes inalámbricas, tales como: ● Ataques de suplantación (Spoofing): suplantación de un punto de acceso legítimo. ● Ataques de desautenticación: desconexión forzada de usuarios legítimos. ● Ataques de denegación de servicio (DoS): sobrecarga de la red para interrumpir el servicio. ● Rogue Access Points (APs): puntos de acceso no autorizados para capturar tráfico o acceder a la red. 54 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación En resumen… Los Sistemas de Detección y Prevención de Intrusiones Wireless son componentes esenciales en la seguridad de redes inalámbricas modernas. Al proporcionar una vigilancia continua y la capacidad de responder automáticamente a las amenazas, los WIDPS juegan un papel crítico en la protección de los activos digitales y la infraestructura de red de las organizaciones contra una amplia gama de ataques inalámbricos. Su implementación, junto con prácticas de seguridad inalámbrica robustas, es fundamental para asegurar la integridad y disponibilidad de las comunicaciones inalámbricas. 5.4.5 Gestión de Amenazas Unificada (UTM): La UTM proporciona una solución integral para la seguridad de red al combinar múltiples funciones en una sola plataforma, lo que simplifica la gestión y refuerza la protección. ❖ Componentes de UTM: ● Antivirus y antispyware: protege la red contra malware y programas espía, asegurando que los dispositivos conectados estén libres de software malicioso. ● VPN (Red Privada Virtual): permite conexiones seguras y cifradas para usuarios remotos, asegurando que los datos transmitidos estén protegidos contra interceptaciones. ● Filtrado de contenido web: bloquea el acceso a sitios web maliciosos o inapropiados, protegiendo a los usuarios y a la red de posibles amenazas basadas en la web. ● Gestión de ancho de banda: para priorizar el tráfico de red y asegurar la disponibilidad de recursos críticos. ● Firewall: para filtrar el tráfico entrante y saliente y proteger contra accesos no autorizados. ● Sistema de prevención de intrusiones: para detectar y prevenir actividades maliciosas en tiempo real. ● Prevención contra la pérdida de datos: para monitorizar y controlar el movimiento de datos sensibles. ❖ Desafíos en la implementación de UTM: A pesar de sus muchas ventajas, la implementación de soluciones UTM no está exenta de desafíos: ● Rendimiento: múltiples funciones en un solo dispositivo pueden afectar la red. ● Falsos positivos: demasiadas alertas pueden sobrecargar los equipos. ● Dependencia de un único proveedor: supone riesgos si el proveedor no sigue el ritmo de nuevas amenazas. 55 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación UNIDAD 6: CONOCIMIENTO Y UTILIZACIÓN MEDIDAS DE SEGURIDAD Y DEFENSA PROFUNDIDAD DE EN Bienvenidos a la sexta unidad del curso "Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación". En esta unidad, nos centraremos en estrategias de defensa en profundidad, explorando cómo la seguridad física y lógica protegen la infraestructura y los sistemas de información mediante múltiples capas. La defensa en profundidad implica que, si una capa de seguridad falla, las demás continúen protegiendo los activos críticos de la organización. 6.1 Tipologías de Seguridad La defensa en profundidad se compone de varias capas de seguridad que permiten una protección integral frente a amenazas físicas y cibernéticas. 6.1.1 Seguridad Física: La seguridad física constituye la primera línea de defensa y se enfoca en proteger los activos mediante medidas que limitan el acceso no autorizado a instalaciones: ● Control de acceso: usa cerraduras, tarjetas y biometría para limitar el acceso solo al personal autorizado. ● Monitorización y vigilancia: cámaras y sistemas de vigilancia ayudan a detectar actividades sospechosas. ● Barreras físicas: puertas reforzadas y vallas dificultan el acceso a áreas críticas. Estas medidas son esenciales, ya que cualquier sistema avanzado puede ser vulnerable si no se protege contra el acceso físico no autorizado. 6.1.2 Seguridad Lógica: La seguridad lógica engloba la protección digital mediante controles y tecnologías que resguardan redes, datos y aplicaciones. ❖ Seguridad de Red: Protege datos en tránsito y dispositivos de red mediante: ● Firewalls: bloquean accesos no autorizados. ● IDS/IPS: sistemas que detectan y previenen ataques. ● Segmentación de red: limita el movimiento de amenazas dentro de la red. 56 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Seguridad de la Información: Protege los datos sensibles mediante: ● Cifrado: transforma datos en información ilegible sin la clave de acceso. ● Control de acceso: limita quién puede acceder a la información. ● Gestión de identidades y accesos (IAM): administra de forma centralizada el acceso a recursos. ❖ Seguridad de Aplicaciones: Minimiza vulnerabilidades en el software mediante: ● Desarrollo seguro: evita vulnerabilidades desde el código. ● Pruebas de seguridad: detectan posibles fallos antes de su implementación. ● Actualizaciones y parches: corrigen vulnerabilidades de software existentes. ❖ Seguridad Operacional: Involucra políticas y procedimientos para proteger las operaciones diarias: ● Concienciación y formación: promueve prácticas de seguridad entre los empleados. ● Gestión de incidentes: establece un protocolo de respuesta a incidentes. ● Auditorías y cumplimiento: asegura el cumplimiento de normas y regulaciones. ❖ Seguridad en la Nube: Protege los datos y servicios alojados en la nube mediante: ● Gestión de accesos y autenticación: controla el acceso a los recursos en la nube. ● Cifrado de datos: asegura que los datos estén protegidos en tránsito y en reposo. ● Monitorización y auditoría: detecta actividades sospechosas y asegura el cumplimiento de políticas. ❖ Seguridad de Punto Final: Asegura la protección de dispositivos individuales como ordenadores y móviles mediante: ● Antivirus y antimalware: detectan y eliminan amenazas de software malicioso. ● Cifrado de dispositivos: protege los datos en caso de pérdida o robo. 57 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ● Gestión de dispositivos móviles (MDM): permite una gestión segura de dispositivos móviles en la red. Para saber más… Seguridad informática: qué es, tipos y características 6.2. Seguridad física: riesgos y medidas La seguridad física es una capa fundamental en la defensa en profundidad de una organización, pues se enfoca en proteger los activos físicos mediante medidas que previenen el acceso no autorizado, el sabotaje, los desastres naturales, robos, amenazas internas y actos de vandalismo. En combinación con la ciberseguridad, estas medidas físicas refuerzan la protección integral, creando un entorno más seguro y resiliente para las operaciones críticas de la organización. ❖ Identificación de riesgos en seguridad física: Un paso esencial en la seguridad física es la identificación de los riesgos específicos que pueden afectar las instalaciones y los activos. Cada organización debe llevar a cabo una evaluación exhaustiva de amenazas potenciales, que considere factores como la ubicación geográfica, el tipo de operación y las posibles vulnerabilidades en la infraestructura. La identificación de riesgos permite que las medidas de seguridad física se diseñen y apliquen de manera personalizada, asegurando que cada punto vulnerable esté cubierto por controles preventivos adecuados. ❖ Medidas clave en seguridad física: Las medidas de seguridad física abarcan una serie de estrategias y tecnologías que, al aplicarse de manera coordinada, protegen las instalaciones de la organización: ● Control de accesos: los sistemas de control de acceso limitan la entrada solo a personal autorizado. Esto incluye el uso de tarjetas de identificación, sistemas de autenticación biométrica (como huellas dactilares o reconocimiento facial), y cerraduras electrónicas. Estos controles impiden que personas no autorizadas accedan a áreas sensibles, como salas de servidores o centros de control. ● Monitorización y vigilancia: los sistemas de vigilancia, como cámaras de seguridad y alarmas, permiten monitorización en tiempo real las actividades dentro y alrededor de las instalaciones. La vigilancia no solo disuade actividades no autorizadas, sino que facilita la detección temprana de incidentes, mejorando la capacidad de respuesta. 58 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ● Barreras físicas: la infraestructura de seguridad, como cercas, puertas reforzadas y portones, crea una barrera inicial que limita el acceso al perímetro de la instalación. Estas barreras ralentizan el acceso no autorizado, proporcionando tiempo para que las medidas de vigilancia o el personal de seguridad respondan. ● Protección contra desastres naturales: la seguridad física también debe considerar riesgos ambientales. Las medidas contra incendios (como detectores de humo y sistemas de rociadores), protección contra inundaciones y refuerzos estructurales para resistir fenómenos como terremotos son esenciales para reducir el impacto de desastres naturales en la infraestructura. ● Gestión de riesgos internos: las amenazas internas, ya sea por negligencia o malintencionadas, pueden comprometer la seguridad. Para minimizar estos riesgos, es importante establecer políticas de control interno y llevar a cabo revisiones regulares. Esto incluye la capacitación de los empleados en prácticas de seguridad, así como la supervisión y la monitorización de áreas críticas. ❖ Mantenimiento regular: Las medidas de seguridad física requieren un mantenimiento constante para asegurar su funcionamiento. Equipos de vigilancia, controles de acceso y barreras deben revisarse periódicamente para detectar y corregir fallos. Un mantenimiento adecuado evita que las brechas en la seguridad se conviertan en vulnerabilidades aprovechables. ❖ La Importancia de la seguridad física en la Ciberseguridad: La ciberseguridad se fortalece cuando las medidas físicas son efectivas, ya que muchos sistemas avanzados pueden ser vulnerables si los dispositivos, servidores o centros de datos quedan expuestos a accesos no autorizados. Por ejemplo, un atacante que obtenga acceso físico a un servidor podría manipular datos o desactivar controles de seguridad digital. Al establecer una defensa física robusta, la organización minimiza estos riesgos, reforzando la ciberseguridad de manera integral. En Resumen… La seguridad física es una base crítica en la defensa en profundidad. Identificar riesgos e implementar medidas sólidas de seguridad física permite prevenir una amplia gama de amenazas, desde accesos no autorizados y sabotaje, hasta robos y desastres naturales. Las principales estrategias incluyen el control de accesos, la vigilancia, barreras físicas, protección ante desastres, la gestión de riesgos internos y el mantenimiento periódico de los sistemas. Estas prácticas no solo protegen los activos físicos, sino que también complementan y refuerzan la ciberseguridad, estableciendo una defensa integral para la organización. 59 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación 6.3. Seguridad lógica: defensa en profundidad La seguridad lógica se centra en proteger los sistemas y la información mediante controles digitales, implementando una estrategia de defensa en profundidad. Este enfoque de múltiples capas asegura que, si una medida falla, otras continúen ofreciendo protección. Estas capas incluyen control de accesos, segmentación de red, protección de dispositivos, inteligencia de seguridad y monitorización continua. 6.3.1 Control de Accesos: Gestión de Identidad y Autenticación La gestión de accesos es clave para proteger los recursos de una organización mediante una administración adecuada de identidades y autenticación. ● Gestión de Identidad: define y administra usuarios y permisos mediante sistemas como IAM (Gestión de Identidades y Accesos), centralizando la creación de perfiles y garantizando el acceso seguro a los recursos críticos. ● Autenticación: Verifica la identidad del usuario mediante métodos como: ● Autenticación de un solo factor (SFA): un único método, generalmente una contraseña. ● Autenticación de dos factores (2FA): combina dos métodos, como contraseña y código temporal. ● Autenticación Multifactor (MFA): incluye múltiples factores, como contraseña, biometría y un token. 6.3.2 Protección de la Infraestructura: La protección de la infraestructura OT implica estrategias específicas que salvaguardan redes y sistemas críticos. ❖ Segmentación de redes y aislamiento de sistemas críticos: ● Segmentación de red: se utilizan VLANs para dividir la red en segmentos lógicos, limitando la propagación de amenazas y permitiendo políticas de seguridad específicas. ● Aislamiento de sistemas críticos: sistemas esenciales se ubican en redes separadas o virtuales, controlando el acceso con rigor. ❖ Protección contra Amenazas Avanzadas Persistentes (APT): ● Detección basada en comportamiento: el uso de IA y aprendizaje automático permite identificar patrones inusuales asociados a APTs. ● Respuesta automatizada: sistemas que reaccionan automáticamente a amenazas para minimizar el impacto inicial. ❖ Estrategias de ciberresiliencia: ● Simulaciones de Ataques (Red Teaming): ejercicios para evaluar y mejorar la capacidad de respuesta ante ciberataques. 60 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ● Planes de continuidad y recuperación: aseguran la operación continua tras un incidente. ❖ Auditorías y evaluaciones de Penetración: ● Auditorías de configuración: verifican el cumplimiento de normativas y regulaciones. ● Pruebas de penetración: expertos simulan ataques para identificar vulnerabilidades. Para saber más… ¿Qué es el Pentesting? 6.3.3 Firewalls: Los firewalls actúan como barreras de seguridad entre redes confiables y no confiables. Tipos de firewalls incluyen: ● Firewalls de Red: filtran el tráfico basándose en IP, puertos y protocolos. ● Firewalls de Aplicación (WAF): protegen aplicaciones web de ataques como SQL injection y XSS. ● Firewalls de Próxima Generación (NGFW): combinan inspección profunda de paquetes, prevención de intrusiones y control de aplicaciones, brindando una protección avanzada y personalizada. 6.3.4 Protección de dispositivos: Los dispositivos individuales requieren medidas de seguridad específicas para prevenir compromisos: ● Antivirus y antimalware: detectan y eliminan amenazas de software malicioso. ● Cifrado de dispositivos: protege los datos en caso de pérdida o robo, asegurando que solo usuarios autorizados puedan acceder a la información. ● Gestión de parches: actualiza el software con parches de seguridad para corregir vulnerabilidades conocidas. 6.3.5 Inteligencia de Seguridad: La inteligencia de seguridad permite recopilar y analizar datos para identificar y responder proactivamente a amenazas. ● Inteligencia de amenazas: recolecta información sobre posibles amenazas para prepararse ante ellas. ● Análisis de seguridad: identifica patrones sospechosos en datos de seguridad para mejorar la detección de amenazas. 61 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ● Automatización y orquestación: herramientas que automatizan respuestas a incidentes, acelerando la contención de amenazas y mejorando la eficiencia. Para saber más… ¿Qué es la Ciberinteligencia? La inteligencia en materia de Ciberseguridad 6.3.6 Monitorización: La monitorización continua es vital para detectar y responder a actividades sospechosas en tiempo real. ❖ Monitorización del perímetro: ● Pasiva: observa y registra tráfico sin intervención directa, útil para análisis posteriores. ● Activa: utiliza sistemas como IPS que interceptan y bloquean tráfico malicioso en tiempo real. Para saber más… Guía sobre seguridad perimetral informática ❖ Monitorización Interna: ● Pasiva: registra actividades internas para análisis de tendencias y riesgos. ● Activa: emplea herramientas como DLP para prevenir la exfiltración de datos sensibles. ● Monitorización de la cadena de suministro: asegura que proveedores y componentes cumplan con los estándares de ciberseguridad, previniendo riesgos externos y asegurando la calidad y conformidad de los servicios. En resumen… La seguridad lógica es fundamental en una estrategia de defensa en profundidad, proporcionando múltiples capas de protección que aseguran los sistemas y la información frente a amenazas. A través de control de accesos, segmentación de redes, ciberresiliencia, firewalls, protección de dispositivos, inteligencia de seguridad y una monitorización continua y completa, las organizaciones pueden construir un entorno seguro. Estos elementos se integran para detectar, responder y adaptarse proactivamente a las amenazas, garantizando la resiliencia y continuidad de las operaciones. 62 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación UNIDAD 7: Implementación de herramientas de hacking ético Bienvenidos a la séptima unidad del curso sobre Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación. En esta unidad, exploraremos la implementación de herramientas de hacking ético, esenciales para identificar y corregir vulnerabilidades en sistemas y redes. El hacking ético, o pruebas de penetración, permite a los profesionales evaluar la seguridad de sus infraestructuras simulando ataques controlados. Esta práctica es clave para identificar debilidades y fortalezas de un sistema. Primero, veremos los fundamentos del hacking ético: sus principios, objetivos y metodologías. Abordaremos cómo los hackers éticos o pentesters identifican vulnerabilidades, evalúan su impacto y proponen soluciones, destacando la importancia de la autorización y el cumplimiento de normas éticas. Luego, nos enfocaremos en herramientas y técnicas comunes, como escáneres de vulnerabilidades y analizadores de redes, y cómo aplicarlas en casos reales. Esta unidad equipará a los profesionales con las habilidades para realizar evaluaciones de seguridad efectivas, fortaleciendo la resiliencia ante posibles ciberataques. 7.1. Introducción al Hacking El hacking, en su sentido más amplio, se refiere al acto de encontrar y explotar debilidades en sistemas informáticos y redes. Sin embargo, es importante diferenciar entre hacking malicioso, que tiene la intención de causar daño o obtener ganancias ilegales, y hacking ético, que busca identificar y corregir vulnerabilidades para mejorar la seguridad. Para saber más… Descubre qué es el hacking ético 7.1.1. Conceptos básicos del hacking ❖ Definición y objetivos: El hacking ético, o pentesting, es una práctica autorizada para simular ataques y descubrir vulnerabilidades en sistemas antes de que sean explotadas. Los objetivos del hacking ético son: ● Identificación de vulnerabilidades: descubrir fallos de seguridad que podrían ser explotados. ● Evaluación de riesgos: determinar el nivel de riesgo asociado con las vulnerabilidades identificadas. 63 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ● Recomendaciones de mitigación: sugerir soluciones para reforzar la seguridad. ● Cumplimiento normativo: asegurar la conformidad con normativas y estándares de seguridad. ❖ Tipos de Hackers: ● White Hat Hackers: Hackers éticos que utilizan sus habilidades para proteger y mejorar la seguridad de los sistemas. Trabajan con el permiso de los propietarios del sistema y siguen un código de ética. ● Black Hat Hackers: Hackers malintencionados que buscan explotar vulnerabilidades para obtener beneficios personales o causar daño. ● Gray Hat Hackers: Hackers que, aunque no tienen intenciones maliciosas, pueden realizar actividades de hacking sin el permiso explícito del propietario del sistema. Para saber más… Tipos de Hackers ❖ Fases del hacking ético: El proceso de hacking ético se puede dividir en varias fases distintas, cada una con su propio conjunto de técnicas y herramientas. Estas fases son: ● Reconocimiento: recolección de información sobre el objetivo para comprender su estructura y posibles puntos de entrada. Se divide en reconocimiento pasivo (sin interactuar directamente con el objetivo) y reconocimiento activo (interactuando directamente con el sistema objetivo). ● Escaneo: identificación de servicios activos y posibles vulnerabilidades utilizando herramientas de escaneo de puertos, escaneo de vulnerabilidades y mapeo de red. ● Enumeración: recopilación de información detallada sobre el objetivo, como nombres de usuarios, información del sistema y configuraciones de red. ● Acceso: intentar explotar las vulnerabilidades identificadas para obtener acceso al sistema. ● Escalación de privilegios: obtener niveles más altos de acceso y control sobre el sistema una vez que se ha obtenido acceso inicial. ● Mantener el acceso: implementar medidas para mantener el acceso al sistema comprometido de manera que el hacker pueda regresar en el futuro. 64 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ● Cubrir huellas: borrar rastros y evidencias de la intrusión para evitar la detección. ● Reporte: documentar las vulnerabilidades encontradas, los métodos utilizados y las recomendaciones para mitigarlas en un informe detallado. Para saber más… Las fases del (Ethical) Hacking 7.1.2. Herramientas comunes de hacking ético: El hacking ético utiliza una variedad de herramientas para cada fase del proceso de pentesting. Algunas de las herramientas más comunes son: ❖ Herramientas de reconocimiento: ● Nmap: una herramienta de mapeo de red y escaneo de puertos que se utiliza para descubrir hosts y servicios en una red. ● Recon-ng: un framework de reconocimiento basado en la web que permite la recolección automatizada de información de fuentes públicas. ● Maltego: una plataforma que facilita el análisis y la visualización de datos relacionados con la inteligencia de amenazas y el reconocimiento. ❖ Herramientas de escaneo: ● Nessus: un escáner de vulnerabilidades ampliamente utilizado que identifica fallos de seguridad en sistemas y aplicaciones. ● OpenVAS: una suite de herramientas para la gestión y el análisis de vulnerabilidades de red. ● Nikto: un escáner de servidores web que identifica vulnerabilidades y configuraciones inseguras. ❖ Herramientas de enumeración: ● Netcat: una herramienta versátil para la lectura y escritura de datos a través de conexiones de red, útil para la enumeración y el análisis de puertos. ● Enum 4 Linux: una herramienta diseñada para enumerar información de sistemas Windows a través del protocolo SMB. ● Nessus: además de escanear, Nessus también puede enumerar detalles sobre la configuración del sistema y servicios activos. ❖ Herramientas de explotación: ● Metasploit: un framework de desarrollo y ejecución de exploits que permite a los hackers éticos lanzar ataques simulados y probar la seguridad de los sistemas. ● SQLmap: una herramienta de pruebas de penetración que automatiza la detección y explotación de vulnerabilidades de inyección SQL. ● BeEF (Browser Exploitation Framework): una herramienta que explota vulnerabilidades en navegadores web para controlar sistemas objetivo. 65 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación ❖ Herramientas para escalada de privilegios: ● John the Ripper: un popular cracker de contraseñas utilizado para descubrir credenciales débiles o vulnerables. ● LinPEAS: una herramienta para la enumeración de Linux, diseñada para detectar posibles vectores de escalación de privilegios. ● PowerSploit: un conjunto de scripts y módulos para la explotación de vulnerabilidades y la escalación de privilegios en sistemas Windows. ❖ Herramientas de mantenimiento del acceso: ● Netcat: además de su uso en la enumeración, Netcat también puede utilizarse para establecer backdoors y mantener el acceso a sistemas comprometidos. ● Meterpreter: un payload avanzado de Metasploit que permite la ejecución de comandos y scripts en sistemas comprometidos. ● Empire: Un framework de post-explotación y administración de agentes en sistemas Windows y Linux. ❖ Herramientas para cubrir huellas: ● Clearev: un módulo de Meterpreter que limpia los logs de eventos de Windows para ocultar la actividad del atacante. ● Auditpol: una herramienta de línea de comandos en Windows que modifica la política de auditoría del sistema, utilizada para deshabilitar el registro de eventos. ● Log Cleaner: herramientas que automatizan la eliminación de rastros en sistemas Unix/Linux, asegurando que los logs no registren la actividad del hacker ético. Para saber más… 10 herramientas de hacking ético que debes conocer 7.1.3. Beneficios del hacking ético El hacking ético brinda importantes beneficios, tales como: ● Detección proactiva de vulnerabilidades: identifica y corrige fallos de seguridad antes de que puedan ser explotados por atacantes maliciosos. ● Mejora de la postura de seguridad: fortalece las defensas con recomendaciones basadas en pentesting. ● Cumplimiento de normativas: asegura conformidad con estándares, evitando sanciones. ● Concienciación y formación: fomenta la cultura de seguridad y capacita al personal en respuesta a incidentes. 66 | P á g i n a Ciberseguridad Avanzada en Entornos de las Tecnologías de la Operación Ejemplo práctico: Una empresa de manufactura contrata un equipo de hacking ético para realizar un pentesting de su infraestructura. Durante las pruebas, los hackers éticos descubren una vulnerabilidad crítica en el sistema de control industrial (ICS) que permite acceso remoto sin autenticación. Gracias a esta detección, el equipo de seguridad corrige el fallo antes de que sea explotado. Además, el informe incluye recomendaciones para mejorar la configuración de firewalls y redes, fortaleciendo la seguridad general. Como resultado, la empresa cumple con las normativas de seguridad y organiza una sesión para concienciar al personal sobre la importancia de la seguridad y cómo identificar amenazas. Para saber más… El hacking ético y sus beneficios en el mundo empresarial En resumen… La introducción al hacking ético establece la base para comprender la importancia de identificar y mitigar vulnerabilidades en los sistemas informáticos y las redes. A través del uso de herramientas avanzadas y técnicas estructuradas, los hackers éticos pueden proporcionar a las organizaciones información valiosa para fortalecer su postura de seguridad y protegerse contra ciberamenazas. Al adoptar una estrategia de defensa en profundidad y realizar pentestings regulares, las organizaciones pueden mejorar significativamente su resiliencia frente a ataques y asegurar la integridad, confidencialidad y disponibilidad de sus activos de información. Conclusión y agradecimiento Al llegar al final del Módulo 1 de nuestro curso sobre "Ciberseguridad avanzada en entornos de las tecnologías de la operación", has adquirido un sólido entendimiento de los fundamentos y principios esenciales de la ciberseguridad. Este módulo ha cubierto una variedad de temas críticos, desde los conceptos básicos y organizativos hasta la identificación y gestión de amenazas, pasando por la implementación de medidas de seguridad y la comprensión de la gobernanza y la regulación. Queremos expresar nuestro más sincero agradecimiento por tu participación activa y comprometida a lo largo de este primer módulo. Completar estas 32 horas de curso es un logro significativo en tu desarrollo profesional y un paso esencial hacia tu crecimiento personal en la capacidad de influir y liderar prácticas de ciberseguridad efectivas en tu entorno de trabajo. Recuerda que tu aprendizaje no se detiene aquí. Cada concepto asimilado y cada competencia adquirida durante el módulo son pilares sobre los cuales puedes seguir construyendo tu futuro profesional. Confiamos en que las herramientas y conocimientos que has obtenido te sean de gran utilidad en tu carrera y en tu esfuerzo por contribuir a un entorno de trabajo más seguro y protegido contra las ciberamenazas. 67 | P á g i n a
