Seminario sobre ciberseguridad

1ramirocid.com
1er Seminario sobre Ciberseguridad
Fuente de todas las imágenes: pixabay.com

2ramirocid.com
Ramiro Cid
 Region Europe South IT Security Officer en Linde.
 Licenciado en Sistemas de Información. Universidad de Buenos Aires, Argentina.
 Postgrado de Dirección de Empresa. UPF Barcelona School of Management.
 Certificaciones: CISM®, CGEIT®, ISO 27001:2013 LA , ISO 22301:2012 LA, ITIL®(f).
 Miembro del Consejo Consultivo de INIDES. Formación en ciberseguridad.
 Profesor de la UPC (Universitat Politècnica de Catalunya). Master Cybersecurity Management.
 Profesor de la APEP (Asociación Profesional Española de Privacidad). Curso Auditoría de Protección de Datos.
 Ponente habitual en eventos en el ICAB (Ilustre Colegio de Abogados de Barcelona) y en organizaciones
internacionales como ISACA, itSMF, etc.
 Profesional con 20 años de trayectoria profesional en sistemas de información (los últimos 11 en
seguridad IT) en diferentes sectores: Industria química, laboratorio, banca, gobierno, consultoría de
sistemas, etc., en diferentes empresas trabajando en Argentina, España y Andorra.

3ramirocid.com
3
Índice
1. Introducción a la ciberseguridad Slide 4
2. Seguridad en el mundo físico y lógico Slide 9
3. Seguridad en el ámbito profesional y personal Slide 11
4. Evolución de las amenazas. Amenaza digital Slide 13
5. Orígenes de los ataques a nuestra red y activos objetivos de los ataques Slide 22
6. Ingeniería social, suplantación de identidad y otros delitos informáticos Slide 32
7. Posibles soluciones (técnicas) Slide 57
8. Posibles soluciones (no técnicas) Slide 60
9. Buenas prácticas de seguridad en el uso del email, Internet y dispositivos
móviles
Slide 62
10. Controles sobre la confidencialidad de la información impresa y el puesto
de trabajo
Slide 72
11. Gestión de contraseñas y supervisión de filtrado de las mismas Slide 76

4ramirocid.com
1. Introducción a la
ciberseguridad

5ramirocid.com
Introducción a la ciberseguridad
La Ciberseguridad, también conocida como "seguridad informática" o "seguridad
cibernética", es la seguridad de la información aplicada a dispositivos informáticos
como servidores, ordenadores y dispositivos móviles (como Smart phones, tablets,
etc.), así como redes informáticas privadas y públicas, incluido todo Internet.

6ramirocid.com
El concepto de ciberseguridad cubre todos los procesos y mecanismos por los cuales
los equipos informáticos, información y servicios están protegidos del acceso, cambio
o destrucción no intencional o no autorizada, y es de creciente importancia en línea
con la creciente dependencia de los sistemas informáticos de la mayoría de las
sociedades en todo el mundo.
Los 3 principios de Información:
Confidencialidad, integridad y disponibilidad están protegidos por la Ciberseguridad.

7ramirocid.com
Un estado de "seguridad" es un concepto ideal, conceptual que está conformado
por el uso de los tres procesos:
1) La prevención de amenazas
2) La detección
3) La respuesta
La clave actualmente está en potenciar la última.
¿Dónde está el nuevo perímetro? -> Posiblemente en los datos.

8ramirocid.com
¿Cuál la nueva filosofía de seguridad?
Pasamos de repeler ataques a tener resiliencia organizacional(*), entendiendo que NO
es posible detener todas las amenazas, por lo que la organización tiene poder
sobreponerse a los impactos para poder sobrevivir.
(*) Capacidad de una organización para anticipar, prepararse y responder y adaptarse al cambio incremental
y las interrupciones repentinas con el fin de sobrevivir y prosperar.

9ramirocid.com
2. Seguridad en el mundo
físico y lógico

10ramirocid.com
El límite ente el mundo FÍSICO (“real”) y el LÓGICO (“virtual”) es cada vez más difuso.
Tecnologías disruptivas como IoT (Internet of Things), AI (Inteligencia Artificial),
machine learning, robótica, ciborgs (implantes), bots, sensores, PLCs, etc. provocan
que muchas veces lo virtual afecte a lo real (y viceversa).
Seguridad en el mundo físico y lógico

11ramirocid.com
3. Seguridad en el ámbito
profesional y personal

12ramirocid.com
Seguridad en el ámbito profesional y personal
Actualmente el límite entre el ámbito profesional y el personal es muy difuso y casi no
existe por lo que se deben extremar los controles.
Buenas prácticas:
1) No utilizar las mismas contraseñas para nuestro ámbito personal y el profesional.
2) No mezclar el uso de los dispositivos móviles (personal y de trabajo).
3) Un gran número de controles y buenas prácticas en ciberseguridad en la
organización se puede aplicar a la vida personal.

13ramirocid.com
4. Evolución de las amenazas.
Amenaza digital

14ramirocid.com
Evolución de las amenazas. Amenaza digital
Si formamos parte de un equipo de ciberseguridad, nos resulta muy familiar el reto
que supone proteger nuestros activos TI frente a las crecientes amenazas y ataques.
Una vez que alguna aplicación maliciosa entra en nuestras redes, puede desplazarse
rápidamente con el tráfico y causar estragos en toda la red.
Estos ataques pueden ser devastadores.

15ramirocid.com
2017: (el año de los ataques de ransomware: WannaCry, Petya y Bad Rabbit)
 Los aspectos de ciberseguridad son los que más preocupan a las organizaciones.
La ciberseguridad es uno de los 5 mayores riesgos a los que se enfrentan actualmente las
empresas. (*)
 En 2017 el coste a nivel mundial ha sido de 500.000 millones de dólares y se estima que
en 2021 el coste global de la ciberseguridad alcanzará los 6 billones de dólares (**)
 El coste de los ciberataques se ha incrementado un 27,4% en el último año
(62% en los últimos 5 años). En EEUU el coste medio por empresa se establece en 11.7
millones de dólares (***)
(*) Fuente: Informe ‘20th Global Information Security Survey 2017–18’ de Ernst & Young (URL: http://www.ey.com/Publication/vwLUAssets/ey-cybersecurity-regained-
preparing-to-face-cyber-attacks/$FILE/ey-cybersecurity-regained-preparing-to-face-cyber-attacks.pdf)
(**) Fuente: Cybersecurity Ventures (URL: https://cybersecurityventures.com/2015-wp/wp-content/uploads/2017/10/2017-Cybercrime-Report.pdf) Las cifras están
expresadas en la escala numérica larga, es decir en la utilizada en Europa, Latinoamérica.
(***) Fuente: ‘2017 Cost of Cyber Crime Study’ de Accenture (URL: https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-
CostCyberCrimeStudy.pdf)

16ramirocid.com
2017: (a nivel local)
 Durante 2017, las empresas españolas perdieron más de 1,3 millones de euros
anuales como consecuencia de ciberataques o incidentes de seguridad (menos que
la media global que son 2,16 millones de euros (*) Los principales incidentes causantes
de estas pérdidas fueron el robo de información estratégica, como los planes
estratégicos, documentos relacionados con fusiones o adquisiciones y los de carácter
financiero, seguidos por la captura de emails.
 Si a esto le añadimos la llegada de nueva regulación en materia de seguridad de
cumplimiento obligatorio (RGPD), es lógico pensar que la inversión en este capítulo sea
una de las mayores en cualquier organización. De hecho, según los datos de Gartner, el
gasto en soluciones y servicios de seguridad es ya continuo y alcanzó los 90.000
millones un 7,6% más con respecto a 2016 y se espera que en 2020 se superen los
100.000 millones de inversión en ciberseguridad.
(*) Fuente: Según datos de un último informe de PriceWaterhouseCoopers (URL: https://www.pwc.es/es/digital/encuesta-mundial-estado-seguridad-informacion-
2017.html).

17ramirocid.com
Malware pre instalado encontrado en Smart phones
Ha sido encontrado en 5 millones de modelos populares de Android malware pre instalado.
Los investigadores de seguridad han descubierto una campaña masiva de malware en continuo crecimiento que ya ha
infectado a casi 5 millones de dispositivos móviles en todo el mundo. (*)
El malware que se disfraza como una aplicación de ‘Sistema Wifi-Service' viene preinstalado en millones de teléfonos
inteligentes nuevos fabricados por las marcas móviles más reconocidas, que se agregan en algún punto de la cadena de
suministro.
¿Cómo detectar y eliminar Android Malware?
Para verificar si su dispositivo está infectado con este malware, vaya a la configuración del sistema de Android ->
Administrador de aplicaciones, y luego busque el siguiente nombre de paquete de malware posible:
com.android.yellowcalendarz (每日黄历)
com.changmi.launcher (畅米桌面)
com.android.services.securewifi (系统WIFI服务)
com.system.service.zdsgt
(*) Fuente: The Hacker News https://thehackernews.com/2018/03/android-botnet-malware.html

18ramirocid.com
Data Breach/Data leak: Fuga de datos en múltiples formas (automáticas o no). Puede tener
muchos medios para producirse, desde malware hasta acceso físico de intrusos.
DDoS: Denial-of-service attack. Ataque de denegación de servicio. Ataque de uso masivo
concurrente generando procesos, intentos de acceso o uso de ancho de banda de una red,
servidor o sistema de información que causa que un servicio o recurso sea inaccesible a los
usuarios legítimos.
Actualmente se utilizan muchos equipos domésticos de la IoT para crear botnets de ataque.

19ramirocid.com
APT: Amenaza persistente avanzada. No se trata de un malware. Es una amenaza sofisticada
normalmente relacionada con el ciberespionaje en las que muchas veces se trata de un exploit
‘Zero-day’ (no detectados por antivirus basados en firmas). Conjunto de procesos informáticos
sigilosos y continuos en el tiempo como robo de información, dirigidos a penetrar la seguridad
informática de una entidad específica.
Puertas traseras: También llamadas backdoors. Una puerta trasera en un sistema informático,
un sistema de cifrado o un algoritmo, es un método para evitar la autenticación normal,
garantizando así el acceso remoto mientras se pasa desapercibido de los controles de acceso.

20ramirocid.com
Ataques de “Man-in-the-middle”: Con capacidad de leer, insertar y modificar a voluntad los
mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido
violado.
Exploits: Un exploit es un elemento de software, fragmento de datos, o secuencia de comandos
que se aprovechan de un "error" o "fallo" (vulnerabilidad) de una aplicación con el fin de
provocar un comportamiento no deseado o imprevisto. Una amenaza aprovecha siempre las
vulnerabilidades de los sistemas para realizar un exploit y con ello provocar un impacto.
12 de junio de 2011 – El Mundo

21ramirocid.com
Programa malicioso: Virus, troyano, ransomware, etc. con impactos muy diversos.
Ingeniería social: Fraude bancario, “Fraude del CEO”, etc.
Espionaje: Es el acto de escuchar a escondidas una conversación privada, típicamente entre
hosts en una red (ej. “Man-in-the-middle”, Amenaza persistente avanzada).

22ramirocid.com
Ataques de acceso directo: Alguien que ha tenido acceso a un ordenador instalando diferentes
tipos de dispositivos (pendrives sniffers, hardware keyloggers, etc.) para comprometer la
seguridad, incluyendo en este tipo de ataque a las modificaciones del sistema operativo de
software, gusanos, keyloggers, y dispositivos de escucha encubiertas. El atacante también puede
descargar fácilmente grandes cantidades de datos.
Ataques indirectos: Es un ataque lanzado por un equipo de terceros mediante el uso de un
ordenador de otra persona para lanzar un ataque (PCs zombies), se hace mucho más difícil de
localizar al atacante real.

23ramirocid.com
5. Orígenes de los ataques a
nuestra red y activos objetivos
de los ataques

24ramirocid.com
Orígenes de los ataques a nuestra red y activos
objetivos de los ataques
Aplicaciones de Cloud corporativo: Interfaces y APIs poco seguras, fuga de información,
secuestros de sesión.
Aplicaciones de Cloud no corporativo (Dropbox, Google Drive, iCloud, etc).
Amenazas provenientes del IoT: Cualquier dispositivo susceptible de ser conectado a nuestra
red corporativa posee un riesgo inherente por vulnerabilidades en su OS (cámaras IP,
televisores, dispositivos wearables, etc.) ya que debido a la escasa autonomía de sus baterías y
de la capacidad del procesador, los fabricantes priman la operatividad sobre la seguridad.

25ramirocid.com
Webs infectadas/comprometidas, cookies maliciosos, códigos inyectados en webs legítimas, etc.
Pendrives infectados: Pueden contener troyanos autoejecutables al momento de ser
conectados a un puerto USB.

26ramirocid.com
Móviles o tablets corporativos o no (BYOD o no) infectados (por tener jailbreak o similar y/o
aplicaciones maliciosas, etc.) que se conectan a nuestra Wifi interna y sí la red está mal
segmentada (o no posee ninguna segmentación) el impacto puede ser muy grande.
Dispositivos (HW) maliciosos: Permiten capturar paquetes de datos de la red que permite
monitorizar todo el tráfico, abriendo puertos, etc. que pasan a través del adaptador de red del
ordenador al cual se contacta el pendrive (ej. Pendrives sniffers). Sin instalar un controlador de
captura o instalar ninguna aplicación (un visitante podría capturar tramas “en claro” en la red
local.
Fuente: ”Riesgos y amenazas en Cloud Computing” INTECO-CERT
https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf

27ramirocid.com
¿Dónde están nuestros endpoints?
 PC’s y portátiles
 Smartphones y tablets
 Discos externos, pendrives
 Cabinas de discos, NAS
 Servidores
 IoT devices
 Personas

28ramirocid.com
Señales que pueden indicar que nuestro dispositivo
fue hackeado
 Comportamientos inusuales: Aplicaciones que dejan de funcionar, archivos con contenido
cambiado, fluctuaciones repentinas en la conexión de internet o errores al acceder a un
servicio con tu contraseña.
 Barras de herramientas adicionales en tu navegador (posible software malicioso).
 Ventanas de publicidad de manera frecuente cuando navegas por internet.
 El programa antivirus o antimalware deja de funcionar o parece estar deshabilitado.
 Alguno de tus contactos recibe correos electrónicos falsos o con publicidad desde tu cuenta.
 Aumenta el consumo de datos en tu factura del teléfono móvil (posible malware en tu móvil).
Fuente: Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE), Madrid, España

29ramirocid.com
Síntomas que pueden indicar que nuestro
ordenador hace parte de una botnet (PC Zombie)
1. Tu PC nunca se apaga adecuadamente o tarda más de la cuenta. Esto perfectamente puede
deberse más a un fallo de hardware, del propio sistema operativo o de un virus común. Aún
así, puede ser un indicativo de que hay ciertos procesos funcionando que impidan que se apague correctamente, por lo
que siempre es un síntoma a tener en cuenta.
2. Tus contactos reciben correos que nunca enviaste. Una de las finalidades clásicas por la que
algunos agentes utilizan botnets es la de difundir spam, virus, software espía y fraude.
Por eso, si algún amigo o familiar dice que ha recibido correo tuyo que no has enviado cabe la posibilidad de que estés
en mano de alguna de estas redes.
3. Empieza a salirte spam por todas partes. Aunque por lo general este es un síntoma de que
has sido infectado por uno de los tipos de malware más comunes de la red, también puede
ser que hayas sido captado por una botnet y que de paso su responsable esté enviándote
todo tipo de spam.

30ramirocid.com
4. Los ventiladores trabajan más cuando el PC está en reposo. Uno de los métodos mediante el
que las botnets evitan ser detectadas es activándose cuando no estamos utilizando el
ordenador. Por eso, el que de repente los ventiladores empiecen a funcionar más de la
cuenta cuando está en reposo puede sugerir que hay procesos funcionando en segundo
plano. También puede ser que Windows esté haciendo actualizaciones o que haya mucho
polvo en ellos, o sea que primero descartemos estas dos opciones.
5. Tu disco duro empieza a trabajar intensamente sin razón. Si ni estás utilizando el PC ni
Windows no está haciendo ninguna actualización y de repente el disco duro empieza a
funcionar a toda velocidad quizá deberías preocuparte.
6. Ni Windows ni tu antivirus se actualizan correctamente. Si ni Windows Update ni las
actualizaciones de tu antivirus o programa de ordenador funcionan es síntoma de que algo
no va bien. Sea un malware convencional o una botnet lo que lo esté causando, desde luego
es algo que tenemos que investigar.

31ramirocid.com
7. Programas con nombres sospechosos en el administrador de tareas. Si pulsas Ctrl + Alt +
Suprimir para lanzar el administrador de tareas, y en él se ve que hay programas con
nombres muy extraños consumiéndote recursos puede ser indicativo de que hay algo que
has instalado sin querer, y podría ser peligroso. Es especialmente alarmante si su presencia
hace que otros programas no funcionen correctamente o vayan más lentos de lo que
deberían.
8. Internet funciona inusualmente lento. Si tienes una buena conexión pero de repente todo
empieza a ir lento es porque algo está utilizando la conexión de tu ordenador. Puede ser por
una actualización de sistema o por un programa de descarga, pero si no hay nada de ello
activo y al hacer un test de velocidad ves que todo parece ir bien, posiblemente alguien se
esté aprovechando de tu equipo.
9. Internet tiene picos inexplicables de actividad. Si al analizar el uso de red de tu equipo (en la
pestaña de rendimiento del administrador de tareas puedes mirarlo) y estás preocupado por
el punto anterior al ver que hay picos sospechosos en periodos en los que no estás
realizando subidas ni descargas también tendrías que investigar más a fondo.
Fuente: genbeta.com

32ramirocid.com
Si ha detectado algunos de los síntomas de la lista, o si simplemente tienes curiosidad y quiere
quitarte la preocupación de la cabeza, tienes a tu disposición varias herramientas que te
ayudarán a saber si formas parte de una botnet.
La Oficina de Seguridad del Internauta (OSI) guarda un registro de todas las IPs españolas que
se haya detectado que formaron parte de algún incidente de seguridad relacionado con botnets
Gracias a este registro han creado el servicio AntiBotnet, una web en la que, desde tu propio
ordenador y dándole sólo a un botón, podrás saber si tu IP se ha visto afectada:
https://www.osi.es/es/servicio-antibotnet

33ramirocid.com
6. Ingeniería social, suplantación
de identidad y otros delitos
informáticos

34ramirocid.com
Definiciones
 Ciberseguridad: Seguridad de la información aplicada a dispositivos informáticos como
servidores, redes informáticas y dispositivos móviles (como teléfonos inteligentes, tabletas,
etc.), así como a redes informáticas como privadas y públicas. redes, incluida toda Internet.
 Ingeniería social: En el contexto de la seguridad de la información, se refiere a la
manipulación psicológica de las personas para realizar acciones o divulgar información
confidencial. Un tipo de truco de confianza para fines de recopilación de información, fraude
o acceso al sistema, difiere de una "estafa" tradicional en que a menudo es uno de los
muchos pasos en un esquema de fraude más complejo.

35ramirocid.com
Definiciones
 Cibercrimen: También se conoce como crimen informático,. Consiste en un acto de una de las
partes, sea exitoso o no, que busca privar a la otra de algo (bienes, servicios, dinero, etc.)
mediante engaño. Es cualquier delito que involucra un ordenador y/o una red. El ordenador
puede haber sido utilizado en la comisión de un delito, o puede ser el objetivo. Netcrime es
una explotación criminal de Internet, intrínsecamente un cibercrimen.
El fraude también ocurre cuando los actos deshonestos se cometen sin beneficio personal,
pero están destinados a crear una pérdida o riesgo de pérdida para otra persona o entidad.
Delitos cometidos contra individuos o grupos de individuos con un motivo criminal para robar
datos, dañar intencionalmente la reputación de la víctima o causar daño físico o mental, o
pérdida, a la víctima directa o indirectamente, utilizando redes de telecomunicaciones como
Internet (ej. Social media, correos electrónicos, tablones de anuncios, grupos de chat, etc.).

36ramirocid.com
¿Por qué deberías preocuparte?
Actualmente, el mercado tiene una amplia gama de sistemas, productos y servicios enfocados
en servicios de seguridad informática: Antivirus, Antispyware, Firewalls, IPS, sistema SIEM, etc.
Todas estas medidas son indispensables y se han convertido en una prioridad para cualquier
empresa u organización para asegurar sus activos, pero la ingeniería social juega con la ventaja
de que puede usar técnicas que violan sus propias vulnerabilidades inherentes a los seres
humanos y, como es bien sabido, para esto no hay parche o actualización que brinde protección
efectiva contra tales ataques.
La gente es normalmente "el eslabón débil de la cadena".

37ramirocid.com
¿Por qué deberías preocuparte?
Según Digital Guardian (*), el 97% de los ataques informáticos no aprovechan una falla en el
software, sino que usan técnicas de ingeniería social para conseguir las credenciales necesarias
para vulnerar la seguridad informática.
Por eso, a veces poco importan las medidas de seguridad tecnológicas implementadas si las
personas están mandando su clave por correo electrónico.
Como parte de la estrategia de seguridad de tu compañía, tienes que hacer un gigantesco
esfuerzo para evitar que los criminales informáticos implementen técnicas de ingeniería social
para entrar a tus sistemas.
(*) Fuente: “Social Engineering Attacks: Common techniques & how to prevent an attack” Digital Guardian
https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack

38ramirocid.com
Conociendo al enemigo
Su enemigo es un ingeniero social, un atacante que se enfoca en atacar a personas en
lugar de ordenadores y usa trucos psicológicos y manipulación para tener éxito.
Debe ser consciente de ello.
¿Qué hace un atacante para engañar a las personas?
Aprovechan las características bien conocidas de la toma de decisiones humanas, por
ejemplo:
 Sensación de urgencia a menudo junto con avaricia o miedo
 Respeto por las autoridades (pretendiendo ser uno)
 Curiosidad (ofreciendo algo intrigante)
 Nuestra disposición a ayudar a los demás
 Más…

39ramirocid.com
¿Qué métodos utilizan los “ingenieros sociales” para los
ataques de suplantación de identidad (y otros ataques)?
 Email (conocido como ‘Phishing’)
 Teléfono (conocido como ‘Vishing’)
 SMS (conocido como ‘Smishing’)
 Suplantación física: Para obtener acceso físico
 Pendrives USB: Colocados deliberadamente en áreas estratégicas de la organización para ser
encontrados y utilizados (parkings, lavabos, salas de reuniones)
 Internet freebies: Con código malicioso embebido
 Buscando en las cestas de basura: Para obtener información

40ramirocid.com
¿Qué quieren los atacantes (hackers)?
El objetivo del atacante es provocar que realices una acción o divulgues información para que
pueda:
1) Cometer fraude desviando fondos.
2) Obtener información que se considere valiosa para ellos.
3) Obtenga acceso a los ordenadores para extraer datos valiosos o infectarlos y mantenerlos
como rehenes para obtener un rescate o usarlos para organizar ataques contra otros.
¿Cómo puedes defenderte de los ataques?
La forma más efectiva de protegerse contra la ingeniería social es mantenerse informado y estar
atento. Edúquese y sepa reconocer estos ataques para no ser un rehén de ellos.
Tenga cuidado, sepa qué evitar y de qué ser precavido.

41ramirocid.com
Email (ataque de ‘phishing’): Suplantación de Identidad
Por mucho es el medio más común de ataques de ingeniería social y de
suplantación de identidad.
Es relativamente fácil enviar un correo falso a un gran número de
destinatarios y un atacante no tiene que entrar en contacto
directo con sus objetivos.
Ejemplos:
1) Un correo electrónico que pretende ser de nuestro superior pidiendo a un destinatario que realice una
tarea, por ejemplo, desviar fondos. Un atacante sabe que es poco probable que la mayoría de los
empleados cuestionen la solicitud de un superior y, por lo tanto, cumplirían con una autoridad superior, en
lugar de cuestionar la solicitud según las sospechas que puedan tener.
2) Un correo electrónico que prometa un premio si actúa rápidamente y hace clic en un enlace, abre un
archivo adjunto o completa algunos datos personales en un sitio web en poco tiempo o entre los primeros
en responder, combina la urgencia y la codicia.

42ramirocid.com
Email (ataque de ‘phishing’): Suplantación de Identidad
Buenas prácticas:
Verifique la dirección de correo electrónico del remitente
colocando el cursor sobre el remitente o viendo el origen del mail.
Verifique todos los enlaces incrustados colocando el cursor sobre el enlace.
No abra archivos adjuntos y enlaces sospechosos y no realice acciones solicitadas si no
estamos seguros la legitimidad del email (ej. Entrar a nuestro banco utilizando la URL del
mail).
No responda a correos electrónicos sospechosos.
Si tiene dudas, informe del correo electrónico sospechoso al soporte informático.

43ramirocid.com
Teléfono (ataque de ‘Vishing’): Suplantación de Identidad
Usar un teléfono es otra técnica popular de ingeniería social.
Debido a que consume más tiempo, se usa en menor escala
que el correo electrónico.
Tiene una ventaja de comunicación en tiempo real con el objetivo, aunque esto también hace
que sea más difícil para un atacante que debe ser capaz de reaccionar rápidamente a las
diferentes respuestas del objetivo.
Es fácil para un atacante pretender que está llamando o enviando mensajes de texto desde una
fuente oficial.
Existen aplicaciones de teléfonos inteligentes que permiten a un atacante ingresar cualquier ID
de llamada que a su vez aparece en la pantalla del dispositivo del destinatario.

44ramirocid.com
Buenas prácticas:
1. Sospeche de llamadas no solicitadas que buscan información organizativa o personal interna.
2. No proporcione información confidencial por teléfono.
3. Verificar quién está llamando: nombre, área o nombre de una empresa externa.
4. No confíe por completo en el identificador de llamadas (caller ID) ni de la información del
remitente, ya que pueden ser falseadas

45ramirocid.com
Buenas prácticas:
5. Si no está seguro, pida a la persona que llama que envíe su solicitud por escrito (al menos
correo electrónico) y ofrezca devolver la llamada. Esto le da tiempo para analizar la
situación. Busque la información de contacto usted mismo y llame al empleado o a una
compañía externa directamente.
6. Siempre verifique que la persona en el otro lado es la persona que dice ser antes de
divulgar la información.

46ramirocid.com
Buenas prácticas:
7. Haga preguntas durante la llamada telefónica para probar la identidad de la persona que
llama.
8. Si no está seguro, ofrezca colgar y volver a llamar.
9. No sucumbir a la presión.

47ramirocid.com
Buenas prácticas:
10. Haga una búsqueda rápida y llame a un número que este seguro/a que es legítimo de la
persona o empresa que supuestamente lo/a llamó (use la lista de empleados, búsqueda de
contactos de Skype (o similar), búsqueda en Internet, la página web de la empresa ...).
11. Sí tiene dudas, repórtelo como un incidente de seguridad al soporte técnico (es
especialmente importante si accidentalmente ha cumplido con la petición de los
defraudadores).

48ramirocid.com
SMS (ataque de ‘Smishing’): Suplantación de Identidad
Smishing, o SMiShing, se refiere al envío de mensajes de texto (SMS)
provenientes de teléfonos móviles maliciosos.
Al igual que con las llamadas telefónicas, los atacantes pueden
suplantar el número del remitente.
Como si esto no fuera suficiente, sí utilizan un número que haya almacenado en su teléfono, no
verá el número del remitente, si no que el nombre que ha asignado al mismo en los contactos
del teléfono.
Por lo que un atacante puede enviar un SMS y hacer que parezca en su teléfono como si se
tratara de su banco, su cónyuge o su jefe.

49ramirocid.com
La mayoría de SMS falsos en estos días pretenden ser de su banco.
Las razones son el uso generalizado de los teléfonos inteligentes y el aumento del uso y la
conveniencia de confiar en los teléfonos para realizar actividades bancarias.
Mucha gente no lo pensará dos veces antes de responder a un SMS que creen que es de su
banco.

50ramirocid.com
Buenas Prácticas
Verificar que la persona en el otro lado es la persona que dice ser
Averigüe si su requerimiento es legítimo
Tenga cuidado con los enlaces de los mensajes SMS y no haga clic en enlaces acortados.
Ellos pueden redirigirlo a cualquier web, y es imposible saber lo que sucederá una vez que
haga clic en él
En caso de duda, informe de un SMS sospechoso al soporte técnico (es especialmente
importante si accidentalmente ha cumplido con la petición de los defraudadores)
No llame a un número desconocido de mensajes SMS
Si se utiliza la autenticación de 2 factores, no comparta el código de verificación y tenga
cuidado donde se introduce.

51ramirocid.com
Impersonalización física: Suplantación de Identidad
Siempre es cortés mantener la puerta abierta para alguien
que está corriendo detrás de usted y un atacante lo sabe y,
a menudo ora por nuestra buena naturaleza para abrir la puerta
trasera, para obtener acceso no autorizado.
Del mismo modo, un atacante puede estar esperando cerca de una puerta fingiendo estar
hablando por teléfono, terminando la llamada y siguiendo rápidamente a una persona
autorizada a través de una puerta de seguridad.

52ramirocid.com
Los imitadores son astutos y creativos y pueden afirmar que
vienen a hacer tareas de mantenimiento, verificar alarmas
o detectores de humo, documentar los riesgos de incendio,
pueden llevar una caja fingiendo que están entregando
algo (en lugar de robar), entregando alimentos.
Un truco común es hacerle creer que tienen una reunión con alguien que trabaja para la misma
empresa y, como llegaron tarde, han llamado para avisarles que han llegado para engañarlo y
hacerle pensar que no es necesario verificar la identidad de esta persona.
Las posibilidades solo se limitan a la creatividad del atacante.

53ramirocid.com
Buenas prácticas:
Verificar la identidad y el razonamiento de un extraño antes de otorgar acceso.
Acompañar a los visitantes en las instalaciones de la empresa en todo momento.
Si ve a un extraño no acompañado en el lugar, ofrézcales su ayuda
y acompañe a la persona a la recepción o a los guardias de seguridad.

54ramirocid.com
Pendrive (ataques)
Este tipo de ataque combina la curiosidad y la codicia.
Nos gustan los regalos y tenemos una naturaleza curiosa, por lo que encontrar una memoria
USB presuntamente perdida puede tentarnos a profundizar y descubrir qué hay en ella.
Los atacantes cuidadosamente plantan memorias USB baratas donde los usuarios específicos
pueden encontrarlas, por ejemplo, cocina, baños, salas de reuniones, estacionamiento, lavabo,
puerta de entrada, recepción, etc.

55ramirocid.com
Pendrive (ataques)
Estas memorias USB están cargadas con software malicioso (por ejemplo, virus, keyloggers,
troyanos, ransomware).
Una vez que se toma el cebo, el atacante puede obtener el control de su ordenador, infectarlo o
encriptarlo y retener sus datos como rescate y, por supuesto, en caso de el ordenador esté
conectado a la red, haga lo mismo con otros ordenadores y servidores (por ejemplo,
ransomware como Cryptolocker podría cifrar todos los archivos en un servidor de archivos
porque el usuario ha mapeado carpetas compartidas de él).

56ramirocid.com
Pendrive (ataques)
Buenas practicas:
Si encuentra un dispositivo USB trátelo con la mayor sospecha.
No lo conecte a su ordenador y no ejecute su contenido.
Informe este caso como un incidente de seguridad a su soporte técnico.

57ramirocid.com
Freebies en Internet
Esto también utiliza la codicia y la curiosidad como el controlador
y, a menudo, se encuentra en los sitios Peer-to-Peer (P2P) y
sitios web que ofrecen contenido ilegal, por ejemplo, películas,
música, software.
El atacante ofrece algo que el usuario quiere e incluye código
malicioso en la oferta y luego espera a que los usuarios descarguen y ejecuten este código.
Buenas practicas:
No utilice aplicaciones de intercambio de archivos punto a punto (eMule, BitTorrent, Ares,
etc.).
No utilice sitios web que ofrezcan contenido ilegal, como películas, música, software, libros,
etc.
No descargue ni ejecute software ilegal.

58ramirocid.com
7. Posibles soluciones
(técnicas)

59ramirocid.com
Posibles soluciones (técnicas)
 Soft token/hard token: Para accesos desde fuera de nuestra red corporativa vía VPN.
 FW + IPS en la red interna (puede ser implementado en el propio FW).
 Segmentación de red (subneting, definiendo distintas VLANs para distintos usos y
con un firewall que gestione los accesos): Ejemplo: botnets para nuestras visitas,
proveedores, etc.
 Antivirus endpoints + servers de firma + consola web.
 Ante ataque de DDoS: Honey pots, etc.
 Criptografía.
 Certificados de autentificación a la wifi instalados en los portátiles.

60ramirocid.com
Posibles soluciones (técnicas)
 Reportes de IT Compliance (mensuales, etc.): Antivirus, fixes, encryptación
 Monitorización de equipos de red (NAGIOS, etc.)
 Monitorización del tráfico de la red: Sniffer
 Correlación de eventos, monitorización y gestión de logs y alertas
 Soluciones combinadas (incidencias de seguridad y eventos): SIEM
 Monitorización de permisos en los shares departamentales
 Monitorización de DLP (Data Loss Prevension): Distintas soluciones de distintos
fabricantes para prevenir el Data Leak

61ramirocid.com
8. Posibles soluciones
(no técnicas)

62ramirocid.com
Posibles soluciones (no técnicas)
 Formación interna de concientización: Los usuarios deben estar al corriente de las
amenazas actuales y como proceder ante ellas (plan de formación + newsletters +
simulacros de phishing, etc.), es decir “Security awareness”.
 Sentido común.
 Buenas prácticas en seguridad TI (políticas internas, etc.).
 Normas relacionadas: COBIT 5, ISO/IEC 27001:2013, etc.
 División de funciones: Diferentes personas para gestión de TI y para seguridad TI (no
siempre posible por falta de recursos o cultura organizacional).
 Aplicación de metodologías de GRC(*), herramientas y facilitadores en las diferentes
industrias como Archer, BWise, Metric Stream, BPS, Chase Cooper, Paisley.
(*) GRC significa: Governance, Risk & Compliance.

63ramirocid.com
9. Buenas prácticas de seguridad
en el uso del email, Internet y
dispositivos móviles

64ramirocid.com
¿Cómo securizar nuestra Wifi?
1. SSID Oculto
2. Cambiar el nombre SSID predeterminado (recomendable poner un nombre como ‘Virus’).
3. Protocolo de encriptación: WPA2-PSK AES (si no WAP-PSK TKIP. NUNCA WEP o ninguna).
4. Filtrado MAC Address: Activar el filtrado y poner nuestros dispositivos autorizados
5. WPS: Desactivado (muy importante)
6. DHCP: Desactivado

65ramirocid.com
¿Cómo securizar nuestra Wifi?
7. Limitar el número de dispositivos conectados en forma concurrente
(al máx. que tengamos).
8. Desactivar protocolos que no se usen (ej. FTP, UPnP, etc.).
9. Activar alertas (ej. Conexión de nuevo equipo en la LAN).
10. Passwords de Wifi y del Admin del router: MUY robustas (ej. 36 caracteres con 4 grupos de caracteres
[minúsculas, mayúsculas, números y caracteres especiales y sin palabras de diccionario]).
11. Cambiar el usuario administrador del router o renombrarlo (de existir la opción).

66ramirocid.com
Buenas prácticas de uso del email
1. NO abrir emails sospechosos (sobre todo no pinchar en enlaces, abrir o guardar adjuntos).
2. Eliminar todos los newsletters no necesarios (así estaremos más atentos en caso de recibir
emails no deseados).
3. No responder a emails que parecen ser fraudes (rey nigeriano, etc.).
4. NUNCA entrar a nuestro banco al servicio de banca online desde un email. Hacerlo SIEMPRE
desde Favoritos.
5. No facilitar usuarios y contraseñas ni datos personales (salvo que estemos seguros de nuestro
interlocutor).

67ramirocid.com
Buenas prácticas de uso del email
1º Verificar el dominio del email
2º Solamente si verificamos la veracidad el email

68ramirocid.com
Buenas prácticas de uso de Internet
1. SIEMPRE entrar a nuestro banco, al servicio de Banca Online a través de favoritos.
2. No entrar en webs de dudosa confidencialidad (hackers, pornografía, software pirata, etc.) es
mucho más probable que haya código malicioso inyectado en dichas webs.
3. Instalar una/varias applets compatibles con nuestro navegador web para una navegación
segura (ej. Adblock, Adblock de YouTube, Antivirus Online Scanner, etc.).
4. Siempre que sea posible activar la opción de “Verificación de 2 pasos”.

69ramirocid.com
Buenas prácticas de uso de Internet
4. SIEMPRE al realizar compras online hacerlo en webs seguras. Si no se conoce la web, mirar en
el navegador los detalles del certificado (por que organización fue generada, sí está al día, si
la conexión es segura,…).
5. No publicar información personal/confidencial en la web (blogs, medios de comunicación,
social media, etc.).
6. Mantener actualizado siempre nuestro navegador.
7. No abra enlaces y ficheros adjuntos de mensajes sospechosos. Piense antes de compartir
información confidencial.

70ramirocid.com
Buenas prácticas de uso dispositivos móviles
1. Mismas recomendaciones que slide “Buenas prácticas de uso de Internet”.
2. Mantener actualizado nuestro dispositivo con la última versión del OS (IOS, Android, etc.) y
de las APPS. Configurare el smartphone para que se actualice automáticamente de una
forma ‘establecer parámetros y olvidarse del tema’.
3. Instalar un antivirus.
4. No realizar Jailbreak, root o similar (Esto normalmente elimina la protección de seguridad
incorporada, lo que hace que su dispositivo sea más vulnerable a ataques y aplicaciones
malintencionadas).
5. Establezca la contraseña, PIN, patrón o huella digital para asegurar el acceso a su dispositivo
y active el bloqueo automático después de un breve tiempo de inactividad (ej. 1 minuto).

71ramirocid.com
6. Cifrar el dispositivo (algunos modelos tienen incorporada esta opción).
7. Activar el posicionamiento del dispositivo para ser encontrado en caso de pérdida/robo y
activando el posicionamiento al menor número de aplicaciones posibles (las realmente
necesarias) y activar la limpieza remota si está opción está disponible
8. Instalar Safe365Alpify o similar para nuestra integridad física y de nuestros seres queridos.
9. Activar la privacidad personalizando los accesos a todas las aplicaciones (cámara, contactos,
etc.) con la regla de “lo mínimo necesario”.
10. Proteger el dispositivo con protector de pantalla plástica y funda anti-impacto.

72ramirocid.com
11. No dejar el dispositivo fuera de nuestro alcance/supervisión en lugares
públicos/semipúblicos.
12. Adquiera aplicaciones de tiendas de aplicaciones de buena reputación y busque una
aplicación antes de descargarla, por ejemplo, revisar las revisiones, el sitio web del
desarrollador.
13. Si una aplicación solicita permisos aparentemente excesivos, cancele la instalación.
14. Desactive la Wi-Fi, el Bluetooth y NFC (Near Field Communication) cuando no estén en uso.

73ramirocid.com
10. Controles sobre la
confidencialidad de la información
impresa y el escritorio

74ramirocid.com
Buscando en la basura
• La basura de un hombre es el tesoro de otro: Los cestos de basura están llenos de información
útil que otros pueden usar de manera maliciosa.
A menudo contienen información financiera, personal, médica, borradores de contratos,
presentaciones de PowerPoint impresas con datos internos, notas con nombres, contraseñas,
estructura organizativa, etc.
• A veces incluso CD’s/DVD’s viejos, tarjetas de memoria de cámaras, discos duros o unidades
flash USB. La información impresa o electrónica es una valiosa fuente de datos para un
ingeniero social que puede monetizar la información encontrada o utilizarla para preparar
mejor escenarios futuros de ataque: conozca más detalles y genere más confianza y confianza.

75ramirocid.com
Buscando en la basura
Buenas prácticas:
Triture todos los papeles de forma predeterminada al desecharlos y considere solo
las excepciones que no tienen que triturarse (existen distintos niveles de seguridad
en las trituradoras: tiras, partículas).
Triture CD, DVD y tarjetas de plástico (por ejemplo, ID, tarjetas de cajero automático,
tarjetas de acceso) antes de deshacerse de ellos.
Destruya de forma segura los datos electrónicos en discos duros, tarjetas de
memoria o unidades flash USB al descartarlos.

76ramirocid.com
Política de mesas limpias y PC
• No dejar papeles de trabajo en el puesto de trabajo al retirarse cada día.
• No dejar impresiones en las fotocopiadoras/impresoras.
• De no estar disponible por la red, activar el salva pantallas con contraseña luego de 5 minutos
de inactividad en nuestro ordenador.
• Utilizar filtro de privacidad (si aplica).

77ramirocid.com
11. Gestión de contraseñas y
supervisión de filtrado de las mismas

78ramirocid.com
¿Cómo comprobar si mis contraseñas son robustas?
Algunas cifras sobre filtrado masivos de contraseñas en los últimos años:
 Yahoo 1.000 millones passwords (sucedió en 2013 pero se hizo público en 2016)
 Gmail 272 millones passwords
 MySpace 164 millones passwords (en 2016)
 eBay 145 millones passwords
 LinkedIn 164 millones passwords
 Dropbox 68 millones passwords (sucedió en 2012 pero se hizo público en 2016)
 Evernote 50 millones password (en 2013)
 Twitter 33 millones passwords (en 2016)
Fuente: informationisbeautiful.net http://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

79ramirocid.com
¿Cómo comprobar si mis contraseñas son robustas?
¿Dónde?
-> Una respuesta fácil es howsecureismypassword.net un servicio gratuito.
¿Cómo?
No poner las contraseñas exactas que utilizamos (es mejor prevenir por sí las contraseñas
introducidas son almacenadas).

80ramirocid.com
¿Cómo comprobar si sus datos de cuenta alguna vez
se han filtrado?
¿Dónde?
-> Una respuesta fácil es HaveIbeenPwned.com un servicio gratuito que debe ser
considerado un “deber-tener” (must) como parte de su higiene online, para comprobar
si sus cuentas están a salvo.
¿Cómo?
La página web recoge datos filtrados y tiene información sobre más
de mil millones de cuentas filtradas de distintos sitios web.
Para averiguar si sus datos de cuentas se han filtrado, introduzca
su direcciones de correo electrónico.
Sí su direcciones de correo electrónico aparecen en sus registros,
debe cambiar su contraseña en las cuentas afectadas inmediatamente.

81ramirocid.com
¿Cómo comprobar si sus datos de cuenta alguna vez
se han filtrado?
¿Dónde?
-> En la misma web HaveIbeenPwned.com o puede probar servicios similares en
leakedsource.com o hacked-db.com
¿Cómo?
Puede suscribirse para recibir notificaciones en caso de que sus datos de cuenta se
filtraron en el futuro (se pueden introducir todas las cuentas que queramos tener
activada la alerta de aviso de filtrado).

82ramirocid.com
¿Cómo ser avisado si alguna de mis cuentas se filtra?
Puede suscribirse para recibir notificaciones en caso de que sus datos de cuenta se
filtraron en el futuro en HaveIbeenPwned.com o puede probar servicios similares en
leakedsource.com o hacked-db.com

83ramirocid.com
Buenas prácticas en el uso de contraseñas
Los servicios web son pirateados y las credenciales de usuario son robadas, vendidas y mal utilizadas.
Con el aumento en el número de servicios web, hay una mayor probabilidad de que algunos de ellos sean
inseguros y finalmente sean hackeados.
Nadie puede controlar cómo un sitio web protege sus credenciales de inicio de sesión en sus servidores,
pero hay cosas inteligentes que podemos hacer para protegernos y minimizar el daño en caso de que ocurra
una violación:
Use una contraseña segura y única para cada cuenta
Compruebe si la información de su cuenta de correo electrónico se ha filtrado y cambie su contraseña en
los sitios web afectados inmediatamente (si utilizó la misma contraseña en varios sitios, lo que no es
recomendable, cambie su contraseña en esos sitios también)
Utilice la autenticación de 2 pasos siempre que esté disponible
Suscríbase a las notificaciones en caso de que se filtren los detalles de su cuenta en el futuro
Utilizar un gestor de contraseñas para almacenarlas en forma segura: (ej. KeePass)

84ramirocid.com
Referencias
Documentación para ampliar conocimientos:
Ingeniería social:
 “Aprendiendo a identificar los 10 phishing más utilizados por ciberdelincuentes” | OSI – Oficina de Seguridad del Internauta
URL: www.osi.es/es/actualidad/blog/2014/04/11/aprendiendo-identificar-los-10-phishing-mas-utilizados-por-ciberdelincuen
 Definición de “Phishing” | Wikipedia
URL: es.wikipedia.org/wiki/Phishing
 “Hacking with Social Engineering. Techniques for Human Hack. Hacker World” | AU: Antonio Ramos u otros.
URL: www.ra-ma.es/libros/HACKING-CON-INGENIERIA-SOCIAL-TECNICAS-PARA-HACKEAR-HUMANOS-MUNDO-HACKER/89345/978-84-
9964-539-1
 “Stop, Thief! Best Practices in Fighting Payment Fraud” | Citibank | AU: Cheryl Gurz
URL: http://www.citibank.com/transactionservices/home/about_us/articles/docs/fraud_best_practices.pdf

85ramirocid.com
Referencias
Passwords leak:
 World's Biggest Data Breaches | information is beautiful.net
URL: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
 List of data breaches | Wikipedia.org
URL: https://en.wikipedia.org/wiki/List_of_data_breaches
 The Worst Data Breaches of All Time | tom’s guide.com
URL: http://www.tomsguide.com/us/pictures-story/872-worst-data-breaches.html
 The History of Data Breaches | Digital guardian
URL: https://digitalguardian.com/blog/history-data-breaches/

86ramirocid.com
Referencias
Ciberseguridad:
 ¿Cuánto cuesta un ciberataque a las empresas? | Opendatasecurity
URL: https://opendatasecurity.io/es/cuanto-cuesta-un-ciberataque-a-las-empresas/
 ‘20th Global Information Security Survey 2017–18’ | Ernst & Young
URL: http://www.ey.com/Publication/vwLUAssets/ey-cybersecurity-regained-preparing-to-face-cyber-attacks/$FILE/ey-cybersecurity-regained-
preparing-to-face-cyber-attacks.pdf
 ‘2017 Cybercrime Report’ | Cybersecurity Ventures
URL: https://cybersecurityventures.com/2015-wp/wp-content/uploads/2017/10/2017-Cybercrime-Report.pdf
 ‘2017 Cost of Cyber Crime Study’ | Accenture
URL: https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf

87ramirocid.com
¿Preguntas?
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
¡Muchas gracias!
ramiro@ramirocid.com
@ramirocid
www.linkedin.com/in/ramirocid
ramirocid.com es.slideshare.net/ramirocid
www.youtube.com/user/cidramiro

Seminario sobre ciberseguridad

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Seminario sobre ciberseguridad

Similaire à Seminario sobre ciberseguridad (20)

Plus de Ramiro Cid

Plus de Ramiro Cid (20)

Dernier

Dernier (13)

Seminario sobre ciberseguridad