Hablemos de seguridad en la red

¿DNS Spoofing?

El servicio DNS sirve para traducir los nombres de dominio en direcciones IP y normalmente se ejecuta en el puerto 53 UDP. Veamos un ejemplo simple para entender todos los roles implicados en la comunicación jerárquica DNS:

Queremos conectarnos a www.google.com. Como esta dirección no está almacenada en nuestra Caché DNS, le preguntamos al Resolver, que es un servidor DNS de nuestro Internet Service Provider (ISP).

El Resolver comprueba si tiene www.google.com en su caché. No lo tiene, por lo que pregunta al Root Server. Los Root Server son 13 y están en la raíz del sistema jerárquico DNS:

El Root Server ve que la petición es a un dominio .COM, por lo que redirige la petición a un TLD Server.

Un TLD Server almacena la información de dominios de nivel superior como .COM, .NET, .ORG, etc, y redirige la petición al Authority Name Server que conoce la información sobre el dominio google.com

Finalmente, el Authority Name Server de google.com recibe la petición y devuelve la dirección IP perteneciente al subdominio www.google.com

Tanto nuestra caché DNS como la del servidor DNS del ISP se actualizan, de forma que la próxima vez que queramos acceder a www.google.com no hará falta pedir la IP (mientras dure en caché).

¿Qué es el DNS Spoofing?

Dado que los servidores de nombres de dominio conectan a los usuarios con la IP de la página que buscan, el envenenamiento de DNS o DNS spoofing consiste en modificar las direcciones IP en los servidores DNS de la víctima. De este modo, los delincuentes pueden redirigir el tráfico de la víctima hacia sitios web falsos. Allí, al ser engañados, los usuarios podrían proporcionar datos confidenciales o instalar un software malicioso en el sistema.

Un ataque de envenenamiento DNS puede dirigirse a diferentes tipos de servidores. Finalmente, lo importante para el atacante es poder indicarle a dicho servidor que dirija a la víctima a una IP falsa cuando ingrese determinado nombre de dominio en el navegador. Por eso, el DNS spoofing se relaciona generalmente con ataques de pharming (tipo de ciberataque en el que un cibercriminal clona una página web con el fin de que sus víctimas ingresen en ella y proporcionen datos confidenciales. El pharming se concentra en recolectar datos financieros y credenciales de usuarios).

Tipos de DNS Spoofing

Existen cuatro formas de ejecutar este ataque:

1. DNS spoofing local. Un cibercriminal podría instalar un malware o modificar manualmente el servidor DNS local de la víctima. Este servidor se encuentra directamente en el equipo del usuario.

2. DNS spoofing en el router. Los hackers maliciosos también pueden explotar vulnerabilidades de los servidores DNS del router de internet de una víctima.

3. Man In The Middle. Los atacantes interceptan la comunicación entre el usuario y el servidor DNS, modificando las IP que recibe el ordenador de la víctima.

4. DNS spoofing del servidor. En este caso, los delincuentes identifican fallos de seguridad en servidores DNS y los hackean, modificando las bases de datos de direcciones IP y redirigiendo a las víctimas a sus sitios web falsos.

Defensa 

Han surgido protocolos que hacen que el DNS spoofing sea cada vez más inviable para hacer ataques de pharming.

HTTP Strict Transport Security

El HTTP Strict Transport Security (HSTS) es una política de seguridad que establece que sólo puede accederse a un sitio web mediante comunicación cifrada por el usuario. Este protocolo ha quedado escrito en el código fuente de muchos dominios web, lo cual hace imposible no acceder a uno si no es con comunicación HTTPS.

Cabe aclarar que todavía faltan algunos dominios por incluir esta política en sus sistemas y eso los hace más vulnerables a un ataque DNS spoofing. 

Evita redes wifi desconocidas

Los servidores DNS pueden ser interferidos desde varios puntos y el router de red es uno de ellos. Por lo tanto, al conectarte a una red wifi pública, te expones a que alguien esté modificando los servidores DNS y redirigiendo el tráfico maliciosamente. De este modo, podrías convertirte en víctima de un ataque de pharming.

¿ARP Spoofing?

ARP viene de Address Resolution Protocol y lo podemos traducir como protocolo de resolución de direcciones. Se trata de un protocolo muy importante en la red que tiene como misión encontrar la dirección MAC que corresponde a una dirección IP de un equipo. Para conseguir esto se envía una solicitud ARP (ARP request), esperando la MAC del dispositivo que responda con el ARP reply.

Hay que tener en cuenta que, para navegar por la red, y poder enviar paquetes de datos a través de TCP/IP, el dispositivo va a necesitar conocer algunos datos clave como la máscara de subred, la dirección IP y la dirección MAC.

Cada dispositivo recibe tanto la máscara de subred como la dirección IP de manera automática al establecer la conexión. Posteriormente se vincula la dirección MAC o dirección de hardware con una dirección IP a través de lo que conocemos como ARP.

Podemos decir por tanto que el protocolo ARP es imprescindible para transmitir datos en redes Ethernet, ya que las tramas de datos únicamente pueden enviarse con la ayuda de una dirección MAC. Además, el protocolo IPv4 no puede almacenar las direcciones físicas (MAC) de los dispositivos, por lo que resulta fundamental este protocolo para nuestras conexiones.

El problema es que este protocolo en ocasiones presenta vulnerabilidades. Es por ello que puede haber suplantación de ARP o también conocido como ARP Spoofing.

¿ARP Spoofing?

Básicamente es el envenenamiento de las tablas ARP y es una técnica que utilizan los piratas informáticos para lograr entrar en una red con el fin de robar los paquetes de datos que pasan por la red local. De esta forma podría controlar el tráfico y también incluso detenerlo.

Los ciberdelincuentes pueden enviar mensajes falsificados ARP a una LAN, teniendo primero que vincular su dirección MAC con la dirección IP de un servidor, es decir, suplantan a nivel de red al servidor para que los ARP Request que vayan con destino la IP del servidor terminen en el dispositivo del atacante, que responderá con su MAC suplantando así al servidor, ya que desde ese instante el dispositivo que envió la solicitud ARP guarda en su tabla ARP la MAC del cibercriminal. Por lo que, la próxima vez que quiera enviar un paquete a la IP del servidor, consultará su tabla ARP y verá a qué MAC debe enviarlo, sin embargo, se encontrará una MAC no deseada.

Esto supone un problema muy importante para empresas y usuarios particulares. Ya sabemos que hoy en día en Internet hay muchos tipos de ataques, muchas amenazas que de una u otra forma buscan robar información y comprometer la privacidad. Con el ARP Spoofing un atacante puede llegar a robar datos sensibles de una empresa o usuario que pueden incluir nombres de usuario, contraseñas, conversaciones, cookies… En definitiva, información que pueden comprometer a una organización o a cualquier usuario particular.

Tipos de ARP Spoofing o Poisoning

Hay dos formas generales en las que puede ocurrir un ataque de envenenamiento de ARP: el atacante puede esperar a ver las solicitudes de ARP para un objetivo en particular y emitir una respuesta, o enviar un mensaje de difusión no solicitado conocido como ARP gratuito. El primer enfoque es menos perceptible en la red, pero potencialmente de menor alcance en sus impactos. Un ARP gratuito puede ser más inmediato e impactar a un mayor número de víctimas, pero tiene la desventaja de generar mucho tráfico en la red.

Ataque Man-in-the-Middle (MiTM)

Los ataques MiTM son probablemente el objetivo más común y potencialmente más peligroso del envenenamiento por ARP. El atacante envía respuestas ARP falsificadas para una dirección IP dada, generalmente la puerta de enlace predeterminada para una subred en particular. Esto hace que las máquinas de las víctimas llenen su caché ARP con la dirección MAC de la máquina del atacante, en lugar de la dirección MAC del router local. Las máquinas de las víctimas enviarán incorrectamente el tráfico de red al atacante. Herramientas como Ettercap permiten al atacante actuar como un proxy, viendo o modificando información antes de enviar el tráfico a su destino previsto. Para la víctima, todo puede parecer normal.

Combinar el envenenamiento ARP con el envenenamiento DNS puede aumentar drásticamente la efectividad de un ataque MiTM. En este escenario, un usuario víctima podría ingresar en un sitio legítimo como google.com y recibir la dirección IP de la máquina del atacante, en lugar de la dirección correcta.

Ataque de denegación de servicio (DoS)

Un ataque DoS tiene como objetivo negar a una o más víctimas el acceso a los recursos de la red. En el caso de ARP, un atacante podría enviar mensajes de respuesta ARP que asignan falsamente cientos o incluso miles de direcciones IP a una sola dirección MAC, lo que podría sobrecargar la máquina de destino. Este tipo de ataque, a veces conocido como inundación ARP, también se puede utilizar para apuntar a los conmutadores, lo que podría afectar el rendimiento de toda la red.

Secuestro de sesión

Los ataques de secuestro de sesión son de naturaleza similar a Man-in-the-Middle, excepto que el atacante no reenviará el tráfico directamente desde la máquina de la víctima a su destino previsto, sino que el atacante capturará un número de secuencia TCP genuino o una cookie web de la víctima y lo usará para asumir la identidad de la víctima. Esto podría usarse, por ejemplo, para acceder a la cuenta de redes sociales de un usuario objetivo si está conectado.

Los ataques cibernéticos más frecuentes que ponen en riesgo a las compañías son:

1. Phishing: es un tipo de estafa donde los cibercriminales intentan obtener acceso a una red por medio de spam en el correo electrónico u otros métodos de ingeniería social. La víctima proporciona datos e información confidencial y así obtienen acceso a la red. Por ejemplo, un ciberdelincuente puede conseguir “que haga clic” en un enlace y descargar algo malicioso para introducirlo en la red, o ese enlace puede llevarlo a un sitio falso donde le solicitan ingresar información específica sobre usted y la empresa para la que trabaja.
2. DDoS (Denegación de servicio distribuida): es un ataque en el que múltiples fuentes se dirigen a un servidor web, sitio web u otro dispositivo de red. Lo llenan con una avalancha de mensajes, paquetes y solicitudes de conexión hasta lograr que el objetivo sea “bloqueado”, con ello los datos y el sistema en general no están disponibles para los usuarios.
3. Malware: es un término abreviado que significa “software malicioso”. Es un software diseñado específicamente para obtener acceso o dañar una computadora sin el conocimiento del propietario. Hay varios tipos de malware que incluyen spyware, keyloggers, virus, gusanos o cualquier tipo de código malicioso que se infiltra en una computadora con el objetivo de bloquear o robar información.
4. Ataques de contraseña: también conocidos como ataques de fuerza bruta, a menudo utilizan algún tipo de sistema automatizado para realizar el ataque empleando diferentes combinaciones de contraseña (como una lista de diccionario) para intentar ingresar. La mejor manera de evitar que este tipo de ataque sea exitoso, es implementar prácticas donde las contraseñas para usuarios, cuentas de servicio y credenciales cambien en un cronograma consistente; es decir, mensual, trimestral, etc, y limitar el número de intentos fallidos.
5. Ransomware: es el ataque que mantiene despiertos a la mayoría de los ingenieros de seguridad, administradores, CSO y otro personal de TI durante la noche. Es un tipo de malware que bloquea y encripta los dispositivos en una red para evitar que alguien los use a menos que se pague un rescate. Una vez realizado el pago, el cifrado se desbloqueará y eliminará, o en algunos casos los cibercriminales no desbloquearán los dispositivos, haciendo que la empresa afectada incurra en otros gastos para recuperarse. Normalmente suelen usar phishing para propagarlo.

Protegiendo el entorno

Paso 1: Segmentación de redes

La segmentación de redes es una técnica utilizada para dividir una red en varias subredes o segmentos, con el objetivo de mejorar la seguridad, el rendimiento y la administración de la red. Se lleva a cabo mediante el uso de dispositivos de red como routers, firewalls o switches, que permiten controlar y restringir el tráfico entre diferentes segmentos de la red. Se usa normalmente para separar la red de servidores de los equipos de oficina por ejemplo, de tal forma que si vulneran ésta última, los servidores a priori seguirán intactos.

Existen varios métodos para implementar la segmentación de redes, entre los cuales se incluyen:

•VLAN (Virtual LAN): esta técnica permite crear redes lógicas independientes dentro de una misma infraestructura física, mediante la configuración de etiquetas o identificadores únicos para cada VLAN. Esto permite a los administradores restringir el tráfico entre diferentes segmentos de red, y mejorar la seguridad al evitar la propagación de ataques entre diferentes redes lógicas.

•Enrutamiento: mediante el uso de routers se pueden segmentar las redes de forma lógica, permitiendo controlar y restringir el tráfico entre diferentes redes.

•Firewalls: estos dispositivos permiten controlar y restringir el tráfico entrante y saliente de una red, ayudando a protegerla contra ataques externos.

•VPN (Red Privada Virtual): esta técnica permite conectar dispositivos remotos a una red de forma segura y privada, mediante el uso de túneles cifrados.

La segmentación de redes es esencial para mejorar la seguridad de la red, ya que permite restringir y controlar el tráfico entre diferentes segmentos de la red, evitando la propagación de ataques y limitando el acceso no autorizado a los dispositivos y servicios de la red.

Además de mejorar la seguridad, la segmentación de redes también ayuda a mejorar el rendimiento y la administración de la red, al permitir una mejor organización de los dispositivos y servicios, y una mayor flexibilidad en la configuración y el mantenimiento de la red.

En resumen, la segmentación de redes es una técnica esencial para mejorar la seguridad, el rendimiento y la administración de las redes, permitiendo un mejor control y restricción del tráfico entre diferentes segmentos de la red, evitando la propagación de ataques y limitando el acceso no autorizado.

Paso 2: Buena configuración

A pesar de que es casi imposible evitar un ataque cibernético, existen muchas recomendaciones de seguridad para reducir el riesgo. La mayoría de ellas están relacionadas con el factor humano, por lo que es muy importante la concienciación sobre la seguridad de la información entre otras como:

• Mantener a los sistemas actualizados.
• Tener implantado una cultura de ciberseguridad en la organización (ISO 27001, ENS, NIST etc).
• Tener instalado sistemas de protección o dispositivos de seguridad.
• Hacer uso de canales de comunicación segura como VPNs.
• Gestión de los móviles de los empleados.
• Gestión de contraseñas seguras.
• etc.

Se ha mencionado tener instalados sistemas de protección, pero ¿cuáles son los dispositivos de seguridad o sistemas de protección más relevantes o que están más implantados en las organizaciones? Pues son:

• Firewalls: es un software, hardware o una combinación de ambos que permite separar redes filtrando el tráfico, tanto el tráfico de entrada como de salida. Por ejemplo, si se quiere conseguir que el tráfico de internet no sea capaz de alcanzar nuestra red interna o que sólo se pueda dejar salir hacia el exterior un cierto tráfico de la red interna, pues eso se consigue haciendo uso de un FireWall.

• DMZ: zona desmilitarizada o red perimetral, es una red aislada intermedia entre Internet y la red de la organización. En la DMZ se ponen los sistemas expuestos a internet -sistemas donde los usuarios externos pueden acceder- para que el tráfico de internet llegue a la DMZ pero no a la red interna y el tráfico de la DMZ tampoco alcance a la red interna, es decir, es una forma de segmentar las redes para que la red interna sea capaz de alcanzar la DMZ e internet pero el tráfico de internet o la DMZ no sea capaz de alcanzar la red interna. Se consigue haciendo uso de Firewalls y con el objetivo de que si un sistema de la DMZ se ve comprometido por un ataque, esto no afecte a la red interna de la organización. Además, la DMZ sólo es accesible a través de los puertos de los sistemas expuestos, por lo que el firewall que hay entre la DMZ e internet tiene que tener habilitados única y exclusivamente esos puertos. Se puede apreciar en la siguiente imagen el comportamiento del tráfico una vez implantado la DMZ:

• HoneyPot: viene de tarro de miel y representan los sistemas que explícitamente desplegados emulan servicios especialmente atractivos que buscarían atacantes que accedieran a la red. El objetivo principal es atraer a atacantes y retenerlos durante un tiempo con el fin de identificarlos, identificar qué técnicas usa, que motivación tiene etc. Entre las acciones que puede realizar se encuentra: emular servicios con distinto nivel de realismo, mantener logs tanto locales como remotos de cualquier interacción realizada etc. Hay muchos tipos de Honeypots pero podemos destacar: los de baja interacción que emula servicios pero sólo abriendo puertos y los de alta interacción que emula servicios completamente. Por otro lado, el honeypot puede estar en varios sitios ubicados tal y como se observa en la siguiente captura:

• IDS: o sistema de detección de intrusos, es un software o hardware encargado de detectar accesos no autorizados o comportamientos potencialmente maliciosos en un sistema o red. Estos sistemas suelen tener sensores o sondas de red, encargadas de recopilar el tráfico de red y enviarlo al sistema central para que lo analice y detecte posibles amenazas.

Paso 3: Limitar los servicios expuestos

Hay organizaciones que cuentan con una cantidad a considerar de escritorios remotos expuestos a internet que dan acceso a los servidores corporativos. Cada escritorio remoto es un punto de acceso para el cibercriminal hacia la red, y más aún si las credenciales son débiles o no se tienen implantadas políticas de bloqueo por intentos fallidos. La recomendación es usar VPNs y limitar a ser posible a 0 el uso de escritorios remotos débiles que den acceso a la red de los servidores.

Paso 4: Formación y Concienciación en Ciberseguridad

Por mucha tecnología que se use, el factor más débil y el por el cual los cibercriminales consiguen acceso es el factor humano. Por tanto, es esencial formar al personal para que sean capaces de detectar y responder antes ataques de tipo phishing y ransomware, y para que sigan buenas prácticas, reduciendo la probabilidad de caer en cualquier tipo de estafa, introducir credenciales usando redes públicas, etc.

Wireshark

Introducción

A finales del año 1997 Gerald Combs inició un proyecto como una forma de resolver problemas de red y avanzar en su carrera. Durante el desarrollo, varias personas se unieron al proyecto, contribuyendo con parches, informes de errores y otros componentes. En el año 2006, el proyecto cambió de nombre a Wireshark.

La versión 1.0 de la herramienta fue lanzada en 2008 después de años de desarrollo,  y en 2015 lanzó su versión 2.0 con una nueva interfaz de usuario.

Actualmente se encuentra en la versión 4.0.3 donde se corrigen bugs y vulnerabilidades y se actualiza el soporte a algunos protocolos. Esta versión está disponible y soportada para equipos con arquitectura x64. La última versión soportada para equipos Windows x32 es la 3.6.

Wireshark es ampliamente utilizado por administradores de red y analistas de red, así como por profesionales de la seguridad de la información.

Funcionalidad

Wireshark es un software de análisis de red que ayuda a los administradores de sistemas y de red a detectar y solucionar problemas en su red. Algunas de las funcionalidades o uso que se le puede dar a la herramienta son:

• Identificar paquetes caídos.
• Identificar problemas de latencia.
• Identificar actividad maliciosa en la red.
• Identificar mala configuración de los equipos.
• Enseñar y verificar el funcionamiento de los protocolos (funcionalidad didáctica).

Por otro lado, ofrece herramientas y comandos para filtrar y analizar con más detalle el tráfico de red, permitiendo llegar a la causa raíz del problema. Es por tanto, una herramienta poderosa que requiere un conocimiento sólido de los conceptos de redes, incluyendo protocolos y servicios, la pila TCP/IP, encabezados de paquetes, enrutamiento y reenvío de puertos, y DHCP.

Uso del cibercriminal

Como vemos es una herramienta muy útil que puede ayudar, sin embargo, la tecnología no es buena ni mala sino que depende del uso que le dé la persona. Es decir, existen personas y grupo de personas que le dan otro uso: un uso malicioso. Los cibercriminales usan esta herramienta para capturar el tráfico de la red intentando conseguir información confidencial como usuarios o contraseñas, o incluso muchas veces, para grabar llamadas o conversaciones telefónicas. La técnica habitual es situarse en WiFis gratuitas para capturar todo el tráfico esperando que un usuario introduzca usuario, contraseña , datos bancarios, etc , en servicios donde la información viaje sin cifrar, como por ejemplo en sitios que ejecuten HTTP. ¿Entiendes ahora por qué se intenta no usar ya este servicio y la importancia de no acceder a sitios sensibles si estás usando una red gratuita pública?

Para grabar las llamadas telefónicas, el ciberdelincuente tiene que tener acceso a la red empresarial y sniffar (capturar) el tráfico SIP, RDP, etc. WireShark ofrece una funcionalidad específica que permite hacer eso de modo automático.

Filtros

Los filtros de Wireshark sirven para simplificar la búsqueda de paquetes. Es decir, si quieres ver sólo el tráfico TCP o los paquetes de una dirección IP concreta, tienes que aplicar los filtros adecuados en la barra de filtros.

Wireshark contempla dos tipos de Filtros: filtros de captura y filtros de visualización. El primero de ellos, se aplica antes de la operación de captura, sin poder modificarse después. La función es que se visualicen sólo los paquetes que cumplen los requisitos del filtro. Por otro lado, el segundo ellos, se utilizan después del inicio de la operación de captura y sirve para mostrar un criterio sobre los paquetes capturados, la captura se almacena realmente en un búfer de rastreo. A diferencia del primero se puede cancelar y cambiar posteriormente.

Sintaxis de los filtros y ejemplos de filtros de captura

Podemos combinar las primitivas de los filtros de la siguiente forma:

• Negación: ! ó not
• Unión o Concatenación: && ó and
• Alternancia: || ó or

Filtros generales

Sintaxis	Significado
host host	Filtrar por host
src host host	Capturar por host origen
dst host host	Capturar por host destino

Ejemplos
host 197.163.1.50	Captura todos los paquetes con origen y destino 197.163.1.50
src host 197.163.1.50	Captura todos los paquetes con origen en host 197.163.1.50
dst host 197.163.1.50	Captura todos los paquetes con destino en host 197.163.1.50
dst host SERVER-1	Captura todos los paquetes con destino en host SERVER-1
host http://www.hackrocks.com	Captura todos los paquetes con origen y destino http://www.hackrocks.com

Filtros basados en puertos

Sintaxis	Significado
port port	Captura todos los paquetes con puerto origen y destino port
src port port	Captura todos los paquetes con puerto origen port
dst port port	Captura todos los paquetes con puerto destino port
not port port	Captura todos los paquetes excepto origen y destino puerto port
not port port and not port port1	Captura todos los paquetes excepto origen y destino puertos port y port1

Ejemplos
port 23	Captura todos los paquetes con puerto origen y destino 23
src port 24	Captura todos los paquetes con puerto origen 24
not port 25 and not port 80	Captura todos los paquetes excepto origen y destino de los puertos 25 y 80
portrange 1-1024	Captura todos los paquetes con puerto origen y destino en un rango de puertos 1 a 1024
dst portrange 1-1024	Captura todos los paquetes con puerto destino en un rango de puertos 1 a 1024

Filtros basados en protocolo Ethernet / IP

Ejemplos
ip	Captura todo el tráfico IP
ip proto \tcp	Captura todos los segmentos TCP
ether proto \ip	Captura todo el tráfico IP
ip proto \arp	Captura todo el tráfico ARP

Filtros basados en red

Sintaxis	Significado
net net	Captura todo el tráfico con origen y destino red net
dst net net	Captura todo el tráfico con destino red net
src net net	Captura todo el tráfico con origen red net

Ejemplos
net 192.168.1.0	Captura todo el tráfico con origen y destino subred 1.0
net 192.168.1.0/24	Captura todo el tráfico para la subred 1.0 mascara 255.0
dst net 192.168.2.0	Captura todo el tráfico con destino para la subred 2.0
net 192.168.2.0 and port 21	Captura todo el tráfico origen y destino puerto 21 en subred 2.0
broadcast	Captura solo el tráfico broadcast
not broadcast and not multicast	Captura todo el tráfico excepto el broadcast y el multicast

Filtros de Visualización (Display Filter)

Los filtros de visualización establecen un criterio de filtro sobre las paquetes que estamos capturando y qué estamos visualizando en la pantalla principal de Wireshark. Al aplicar el filtro en la pantalla principal de Wireshark aparecerá solo el tráfico filtrado a través del filtro de visualización.

Comparando Filtros.

§  Igual a: eq ó ==

§  No igual: ne ó !=

§  Mayor que:gt ó >

§  Menor que: lt ó <

§  Mayor o igual: ge ó >=

§  Menor o igual: le ó <=

Combinando Filtros.

§  Negación: ! ó not

§  Unión o Concatenación: && ó and

§  Alternancia:|| ó or

Otros operadores.

§  Contains: Realizamos una búsqueda por la cadena contains

Ejemplos de filtro

Sintaxis	Significado
ip.addr == 194.164.1.40	Visualizar tráfico por host 194.164.1.40
ip.addr != 196.164.1.25	Visualizar todo el tráfico excepto host 196.164.1.25
ip.dst == 197.165.1.50	Visualizar por host destino197.165.1.50
ip.src == 197.165.1.50	Visualizar por host origen 197.165.1.50
ip	Visualiza todo el tráfico IP
tcp.port ==143	Visualiza todo el tráfico origen y destino puerto 143
ip.addr == 197.165.1.50 and tcp.port == 143	Visualiza todo el tráfico origen y destino puerto 143 relativo al host 197.165.1.50
http contains «http://www.hackrocks.com «	Visualiza el tráfico origen y destino http://www.hackrocks.com
frame contains «@micurso.es»	Visualizamos todos los correos con origen y destino al dominio micurso.es, incluyendo usuarios, etc
icmp[0:1] == 08	Filtro avanzado con el que visualizamos todo el tráfico icmp de tipo echo request
ip.ttl == 1	Visualiza todos los paquetes IP cuyo campo TTL sea igual a 1
tcp.windows_size != 0	Visualizar todos los paquetes cuyo campo Tamaño de Ventana del segmento TCP sea distinto de 0
ip.tos == x	Visualiza todos los paquetes IP cuyo campo TOS sea igual a x
ip.flags.df == x	Visualiza todos los paquetes IP cuyo campo DF sea igual a x
udp.port == 53	Visualiza todo el tráfico UDP puerto 53
tcp contains «terra.com»	Visualizamos segmentos TCP conteniendo la cadena terra.com

Analizando tráfico

Una prueba de concepto simple para entender cómo funciona un poco WireShark, es abrir la herramienta, seleccionar la interfaz de red que corresponda (en mi caso Ethernet porque estoy conectado por cable) y empezar a capturar tráfico.

En esta ocasión, tengo varias ventanas abiertas en el navegador y de forma adicional he lanzado un ping al dominio de google y he entrado en la web de comunio.

El objetivo será filtrar toda la cantidad de paquetes que salen para conseguir sólo los del ping y los relacionados con comunio.

El escenario de salida es el siguiente:

Primero, intentemos obtener los paquetes del ping. Para ello, lo podemos buscar por la IP destino que la propia herramienta nos devuelve, o podemos usar el filtro de icmp buscando los echo request (Tipo 8, código 0) o los echo reply (Tipo 0, Código 0), por ejemplo.

Al aplicar cualquiera de los filtros, encontramos los paquetes que vamos buscando. Ahora, pasemos a fijarnos bien, porque Wireshark no sólo nos muestra el tipo de mensaje, sino que despliega en el menú inferior las distintas capas del modelo TCP/IP con sus distintos campos y cabeceras.

En la captura anterior, hemos clicado sobre uno de los echo request lanzados por nuestro PC hacia google. Podemos ver las distintas capas con el origen y destino, así como las distintas cabeceras de los distintos protocolos. El protocolo ICMP es específico del ping, y va encapsulado sobre el protocolo IP, pero en esta ocasión se despliega aparte para una mejor visualización de sus campos.

Ahora, probemos a obtener el tráfico capturado hacia la web de comunio. Para ello podemos hacer un ping al dominio de comunio.es para averiguar la IP destino e incluirla en nuestro filtro. Al encontrarlo, podemos observar que el dominio usa HTTPS con el protocolo TLSv1.2 (comunicación cifrada).

En esta ocasión, podemos ver como aparecen la capa de transporte TCP y la de aplicación (según el modelo de capas de internet) TLS. En este último, podemos ver como la información va cifrada.

Fundamentos de Internet (protocolos)

Torre de protocolos

Es un conjunto de protocolos implementados en un sistema ordenados según su posición en el modelo y permite definir las entidades que se comunican y el nivel al que lo hacen.

Una torre de protocolos es un despliegue de los distintos protocolos en la capa correspondiente para ver qué es lo que se está ejecutando en la comunicación de cada equipo y cómo se comunican esos equipos.

En la siguiente imagen se pueden apreciar los distintos dispositivos que nos podríamos encontrar en una red y a la capa que son capaces de llegar. Podemos ver que:

– El  repetidor (o HUB) tan sólo es capaz de llegar a la capa 1, ya que sólo se encarga de reenviar los 0s y 1s que recibe (lo que le entra por un lado lo saca por el otro).

– El puente OSI (o switch) es capaz de llegar hasta la capa de enlace. Se usan para conectar equipos a las redes.

– El encaminador (o router) que capaz de alcanzar la capa de red. Recordemos que es el encargado de encaminar y reenviar los paquetes entre distintas redes.

– El sistema final que llega hasta la capa de aplicación. Recordemos que son en los equipos finales donde se ejecutan los procesos de las aplicaciones distribuidas.

Además, en la imagen anterior podemos apreciar que el equipo final origen tiene que encapsular su mensaje para que pueda atravesar los distintos equipos intermedios, los cuales desencapsularán los mensajes hasta la capa que puedan llegar (exceptuando el repetidor que no desencapsula nada ya que solo copia en la salida los 0s y 1s que recibe en la entrada).

Por último vamos a proceder a ver un ejemplo completo de torre de protocolos siguiendo el modelo que se sigue en internet.

En la imagen anterior se puede apreciar que en un host final se está ejecutando un navegador web chrome y al otro lado otro host está ejecutando un servidor apache. La torre de protocolos del host final, tendría http si es una navegación no segura, en la capa de transporte estaríamos ejecutando tcp, en la de red estaría IP, en la capa de enlace estaríamos ejecutando la 802.11 ya que estaríamos utilizando enlace WIFI y en la física está la 802.11ax que la d es uno de los protocolos WiFI que ha salido recientemente.

En el primer encaminador (mirando de izquierda a derecha) se estaría ejecutando en el enlace físico el 802.11ax para que sea una entidad par con el emisor, y como es un Router, tan solo llega hasta el nivel 3. En la otra pata que se comunica con otro router a través de un enlace punto a punto, la capa IP se mantiene pero la de enlace pasa a ser PPP, y después ya tendría alguno físico correspondiente al enlace dado.

En el segundo encaminador, la primera pata coincide con la entidad par del otro router y la otra pata que está conectada conectada a un servidor apache, como es un enlace ethernet estaría ejecutando en red IP, en enlace la 802.3 que es donde se define ethernet y en físico estaría por ejemplo la que observamos en la imagen, la 802.3ab.

El equipo final donde se ejecuta el servidor apache tendría lo mismo que el router hasta la capa de red para que sea entidad par, añadiendo TCP como transporte y HTTP como aplicación, para que sean entidades pares con las del equipo final donde se ejecuta el navegador web.

Como conclusión, vemos cómo hay una comunicación entre entidades pares, entre hosts finales que los dos llegan hasta aplicación y con el mismo protocolo, en transporte y red igual y lo que va cambiando o alternándose son los distintos protocolos de enlace y físico porque en esa comunicación va variando esas capas en los distintos equipos intermedios, pasando de wifi a ppp y de ahí a ethernet.

Comunicación App-Transporte. Sockets

Hemos hablado de que las capas de entidades pares se comunican y que para hacerlo necesitan hacer uso o prestar un servicio a las otras capas. Si una aplicación quiere enviar un mensaje, debe usar el servicio de la capa de transporte y para ello se crean lo que se conocen como sockets.

Los sockets son como APIs ofrecidas por el S.O para usar la red y que ayuda al flujo de datos entre procesos. Además:

– Es lo que permite que un proceso de App acceda a los servicios de transporte. Es como establecer un destino para que la aplicación pueda comunicarse con esa capa de transporte.

– El socket creado es identificado de forma única localmente usando el par IP:puerto.

– En un host puede haber múltiples aplicaciones y cada aplicación puede crear múltiples sockets. La forma que tiene el S.O de diferenciarlos es a partir del par IP:puerto.

– Para que la aplicación solicite el servicio de transporte, necesita usar Primitivas de Acceso al servicio. Por ejemplo, es como alguien que quiera viajar de España a Francia quiera solicitar el transporte de un avión, pues antes necesita comprar el billete. Haciendo la analogía, una aplicación para poder enviar un mensaje del emisor al destino necesita solicitar el servicio de transporte necesario y para ello utiliza los sockets.

Por último, existen librerías con dichas primitivas para el uso de sockets. En el lenguaje C -> #include <socket.h>; En Python -> import socket

La capa de transporte

Tras entender qué es una aplicación distribuida, el modelo de capas, cómo se comunican entre ellas y entre entidades pares,  vamos a explicar un poco más en detalle la capa de transporte.

La capa de transporte ofrece una comunicación lógica entre procesos de aplicación de equipos distintos.

El funcionamiento básico sería el siguiente:

– El emisor recibe mensajes de aplicación y genera segmentos (T-PDU). En la cabecera de segmento se identifican los procesos de aplicación destino y origen con puerto destino y origen.

– El receptor recibe segmentos, lee la cabecera (T-PCI) y avisa al proceso app destino.

Se ha hablado de puerto origen y destino pero, ¿qué es un puerto? 

Un puerto es un entero de 16 bits ( 2^16 valores posibles -> 0-65535). Los posibles valores que toman son:

– < 1024 (well-known ports): puertos reservados para aplicaciones generales registradas en IANA.

– 1024-49151( puertos registrados ): se usan para aplicaciones no tan generales

– > 49151: puertos dinámicos o efímeros

Capas

Modelo de capas

Previamente hemos comentado que los procesos de las aplicaciones distribuidas necesitan comunicarse para cooperar y ofrecer un servicio. Dicha comunicación requiere resolver múltiples problemas, y el modelo de capas da una solución modular que requiere descomponer varios servicios interdependientes donde:- El servicio pertenecerá a un nivel o capa según las tareas que realice, y dependerá del servicio de nivel inferior (usa al nivel inferior).
– Cada servicio tendrá su forma propia de solicitarlo y un protocolo que permita la colaboración de entidades pares.

En la siguiente imagen podemos observar una aplicación distribuida de multiplicación donde en cada equipo se ejecuta un proceso y  la capa de aplicación necesita apoyarse sobre la capa de red y transporte para lograr comunicarse con el otro extremo. La idea es observar como un servicio que ofrecen las aplicaciones distribuidas se puede descomponer en varios niveles o capa, donde en cada uno se realiza una tarea distinta. Por ejemplo,  en el de aplicación  es donde se realizaría las tareas en sí de la aplicación pero ese servicio requieren utilizar la capa de red para poder comunicarse con el proceso remoto (en otra red o en la misma) que ocurre en otro equipo informático que a su vez necesita de la capa de enlace para establecer un medio físico por donde viajarán los 0s y 1s correspondientes del mensaje.

Modelo OSI

Es un estándar de referencia para el intercambio de datos entre procesos de aplicación (Standard ISO/IEC 7498/ITU-X.200), desarrollado por la Organización Internacional de Normalización ISO en 1984, cuya arquitectura  se basa en 7 capas/niveles donde:

• Cada capa ofrece un servicio a la capa superior y usa los servicios del nivel inferior.
• Las entidades pares de cada capa cooperan para ofrecer un servicio.

En las siguiente imágenes se describen los funciones y objetivos de cada nivel.

Como ya hemos comentado,  las entidades pares deben colaborar entre ellas y para eso deben intercambiar mensajes y dar así el servicio. Los mensajes intercambiados entre entidades de un mismo nivel se conoce como PDU (unidad de datos del protocolo), y por tanto cada capa tiene una N-PDU (donde N es el nivel o capa).

Una N-PDU está compuesta por:

• N-PCI o información de control del protocolo: información intercambiada entre entidades N para coordinar su operación conjunta.
• N-SDU o unidad de datos del servicio: son los datos que le ha pasado la entidad superior (N+1) a la N.

Además, una N-PDU suele encapsular la PDU de nivel superior tal y como se muestra en la siguiente imagen:

De tal forma que la 2-PDU se podría expresar como: 2-PCI+3-PCI+4-PCI+5-PCI+6-PCI+7-PCI+7-SDU o 2-PCI+3-PCI+3-SDU, etc.

Por último, al igual que una capa superior usa una inferior, también hemos dicho que una inferior puede solicitar un servicio de la superior, pero ¿cómo? Pues existe un Interfaz de Uso del servicio que define cómo solicitar los servicios de una entidad de una capa:

En la imagen anterior además, se pueden observar dos términos importantes a la hora de comprender esa solicitud del servicio. El primer término es SAP, que son los puntos de acceso al servicio e identifica a la entidad que ofrece el servicio. El otro término es primitiva, que es el protocolo de interacción, es como la función que permite solicitar ese servicio. Por otro lado se habla de encapsular y desencapsular. Cada vez que el mensaje baja una capa se dice que se encapsula ya que añade la cabecera y el mensaje encapsulándolo en la SDU de nivel inferior. Cuando el procedimiento es al contario, es decir, cuando es el servicio inferior el que usa al superior (se sube en una capa) se desencapsula el mensaje ya que se desmenuza la SDU de nivel inferior, descubriendo la PCI y SDU de nivel superior.

Modelo TCP/IP

Modelo creado por Vinton Cerf y Robert Khan en 1970. Es el que hay en internet actualmente y fue implantando en la red ARPANET ( primera red de área amplia o WAN), también conocido como modelo DoD o DARPA ya que fue desarrollado por encargo de DARPA ( Departamento de Defensa de los Estados Unidos).

Este modelo describe un conjunto de guías generales de operaciones para permitir que un equipo se pueda comunicar en una red, especificando cómo los datos deberían ser formateados, direccionados, transmitidos, enrutados y recibidos. El mismo se divide en 4 capas.

Si lo comparamos con el modelo OSI, éste no es un modelo de capas independientes, más bien es un conjunto de protocolos interrelacionados que pueden ser clasificados como pertenecientes a una capa OSI en función del servicio que prestan. Tal y como se ve en la siguiente imagen , la capa de aplicación del modelo TCP/IP englobaría las capas de Aplicación, Presentación y Sesión del modelo OSI. Así mismo las de Host del modelo TCP/IP englobaría a la capa de Enlace y Físico del modelo OSI.

Por último, según en qué capa analicemos el mensaje, el mismo adquiere distinta terminología:

– El mensaje que se genere en la capa de aplicación se conoce como mensaje.

– Una vez que estemos hablando del mensaje en la capa 4 del modelo OSI o de la capa 3 del modelo de internet, pasaría a conocerse como segmento, es decir, la cabecera de transporte más el mensaje (en el modelo TCP/IP) es lo que conoce como un segmento.

– Si estuviéramos en el nivel 3 se conoce como datagrama. Cuando hablamos de datagrama nos estamos refiriendo a la cabecera de red, más la cabecera de transporte más todos los datos que van encapsulados de las capa de aplicación.

– Cuando estamos a nivel de enlace se denomina trama: que sería la cabecera de enlace,  más cabecera de red, más cabecera de transporte, más el mensaje de la aplicación. La trama es lo que se envía al medio físico.

Fundamentos de Internet

Formas de Interconexión

Tras ver ya los lenguajes que entienden los ordenadores, así como algunas definiciones relevantes, vamos a profundizar en las formas de conexión existentes entre los equipos.

Las formas de interconexión a grandes escalas son dos: directa e indirecta. En la directa se usa un enlace para comunicar a dos o más equipos de la misma red, mientras que en la indirecta se hace uso de conmutadores de paquetes.

Dentro de las conexiones directas existen dos subtipos:

1. Punto a punto: un cable une a dos equipos a nivel de enlace.

2. Acceso múltiple: existen muchos equipos conectados entre sí a través de un mismo cable conocido como BUS.

Dentro las conexiones indirectas, existen dos subtipos:

1. Redes conmutadas (LAN): donde se usan switches y es una red de área local.

2. Conjunto de redes conmutadas (internet): son necesarios el uso de los routers o encaminadores.

Estructura de Internet

Internet hemos visto que es el conjunto de equipos y redes que se comunican entre sí. La forma estructural de internet se podría dividir de la siguiente forma:

1. Borde de la Inter-red: es donde residen los hosts o nodos ( equipos finales ejecutando Apps).

2. Redes de acceso: son las que le proporcionan a los hosts finales la conexión con el resto de internet.

3. Redes de núcleo: es el conjunto de redes interconectadas a través del mundo . En ellas están los ISP’s o proveedores de Internet. Los ISPs tienen una jerarquía donde los de menor tamaño se comunican a través de los de mayor tamaño y la interconexión directa entre ISP’s se da mediante puntos de intercambio de tráfico (IXP).

Por último, los enlaces comparten su régimen binario entre todos los usuarios de internet.

Núcleo de la red. Compartición de recursos

Nosotros como usuario final en el entorno local, solo generamos tráfico y sólo dependemos del régimen binario de nuestra tarjeta de red. Sin embargo, cuando se hace una consulta a través de internet, esos paquetes viajan atravesando el núcleo de la red (los distintos routers conectados a través de enlaces), es decir de los distintos equipos que hay en el mundo, reenviando el paquete hasta llegar al destino. Por tanto, si escalamos el mismo escenario a muchos usuarios llegamos a la conclusión de que todos compartimos esos recursos/enlaces obligando a buscar una forma de compartir los recursos. En otras palabras, el uso de enlaces compartidos entre los usuarios obliga a fijar una forma de “repartir” el uso de la capacidad de conmutación de los conmutadores de paquetes y del régimen binario de sus enlaces. Existen dos forma:

1. Conmutación de circuitos: se usa por ejemplo en la red telefónica y se dedica un circuito (se reserva parte del régimen binario de cada enlace en el camino para la comunicación) para cada comunicación durante toda su duración. Es lo que se conoce como multiplexión por división en el tiempo.

Como podemos ver en la siguiente imagen,  hay un equipo que está ejecutando Discord que se quiere conectar a otro equipo que también lo está ejecutando. En esa llamada telefónica se podría reservar un (camino rojo), con parte del régimen binario de los enlaces,  para que cuando surja otra llamada (camino azul) , se le pueda llegar a dar otro circuito (otro trozo de régimen binario) y la llamada se pueda cursar en caso de coincidencia de enlaces. 

2. Conmutación de paquetes: los datos se envían a la red en paquetes o bloques sin dedicación de recursos exclusiva, es decir, cada paquete usa toda la capacidad del canal (todo el régimen binario) cuando le toca ser servido. Esto hace que sea necesario un búfer (un almacén para los paquetes hasta que se puedan procesar y enviar)  y se reduzca la probabilidad de pérdidas. Es lo que se conoce como multiplexión estadística.

Aplicaciones distribuidas

Una aplicación distribuida no es más que un servicio que se le ofrece a un usuario y para el cual cooperan procesos distintos equipos informáticos. Pueden ir desde un buscador web como google hasta la redes de bitcoin.

En las aplicaciones distribuidas cada proceso necesita usar primitivas del servicio de transporte de mensajes entre procesos para enviar o recibir mensajes y se necesita establecer una organización de esos procesos. Para indicar la organización de la aplicación entre varios procesos, es decir, como los diferentes procesos que componen la aplicación se comunican entre sí se usa lo que se conoce como una Arquitectura. Se distinguen tres tipos de arquitecturas:

1. Cliente-Servidor: un cliente inicia la comunicación con el servidor. Éste último siempre está activo, tiene una dirección IP permanente conocida por los clientes y está en escucha de peticiones de muchos clientes. No existen comunicación entre clientes. Ej: Buscador web

2. Peer to peer (P2P): es un cliente + servidor pero con características de sólo clientes, por lo que sólo hay comunicación entre clientes. Ej: Bitcoin, BitTorrent, Freenet, Ares, GNutella, etc.

3. Mixta: los peers consultan servidores para saber con qué peers deben comunicarse y obtener lo que buscan. Ej: Skype, utorrent, etc.

Cada aplicación elige el nivel de transporte que más se adecúe a sus necesidades. Por ejemplo, una aplicación web tradicional usa el protocolo de aplicación HTTP (no seguro ya que no cifra) y el servicio de transporte que usa es TCP. Por otro lado un servicio de streaming multimedia puede usar HTTP o RTP (RFC 1889) como protocolo de aplicación y  TCP o UDP como protocolo de transporte.

Internet

Definiciones

En este paso veremos algunas definiciones y conceptos básicos. Veremos también cómo se generan, envían y reciben 0s y 1s, es decir, cómo funciona el lenguaje de los ordenadores, cómo están interconectados entre ellos para conseguir lo que se conoce como internet, cuál es la estructura o jerarquía que existe en internet y por último veremos la compartición de recurso dentro de los núcleos de la red de internet.

Tras esta breve introducción pasamos a las definiciones anteriormente comentadas.

¿Qué es una red de ordenadores?

No es más que un conjunto de equipos informáticos conectados entre sí de forma indirecta o directa (cable).

Siguiendo la definición anterior, para que un equipo que esté en una red A consiga conectarse a otro que está en otra red B, se necesita un encaminador (router), es decir, un dispositivo que se encarga de reenviar el paquete entre una red (sistema de interconexión que posibilita la comunicación entre aplicaciones) y otra.

Además, al conjunto de estas dos redes se le llama Inter-red (conjunto de redes). Si nos fijamos, Internet es una Inter-red, pero con extensión mundial.

Para que dos equipos se logren comunicar (ya sea en la misma red o en otra), tienen que transmitir (escribir), recibir e interpretar (leer) 0s y 1s. Para eso, cuentan con NICs o tarjetas de red, que son las encargadas de conectar los dispositivos a nivel de enlace. Esas NICs, leen y escriben 0s y 1s, y a la velocidad a la que lo hacen, es lo que se conoce como régimen binario.

¿Qué es un servicio?

Es una tarea que se realiza por un usuario, que puede ser un ente físico o un proceso (o procesos) entre dos entidades que colaboran para dar el servicio.

Para que el servicio se pueda llegar a dar, los procesos entre dos entidades pares se tienen que comunicar. Para lograr esa comunicación, dichos mensajes deben tener un formato, orden y se deben realizar una serie de acciones para que el mensaje sea recibido, y esto es lo que se conoce como protocolo. Es decir, el protocolo es el que define el formato y el orden de los mensajes enviados y recibidos, así como de las acciones que se tienen que llegar a hacer para que ese mensaje sea recibido.

Antes, se comentó el uso de encaminadores para que un mensaje viajase desde una red A hacia otra B. Los paquetes que viajan entre las redes pueden llegar a dar más de un salto (pasan por más de un encaminador) hasta llegar a la red destino. Los encaminadores usan el encaminamiento y el reenvío para lograr que el paquete origen llegue al destino deseado. ¿Pero a qué hacen referencia estos dos términos?

• El encaminamiento es la determinación global del mejor camino entre un origen y un destino siguiendo un criterio.
• El reenvío es la determinación del siguiente salto de un paquete en cada nodo.

Los sistemas binarios (digitales) se usan porque presentan una serie de características como son la inmunidad frente al ruido, bajo consumo, diseño simple, tamaño mínimo, precisión, respuesta dinámica y Fan In/ Fan Out.

Se ha hablado del uso de 0s y 1s, pero ¿cómo conseguimos esos 0s y 1s a nivel físico? La tecnología que hay detrás, son los denominados transistores.

En los circuitos se suelen implementar lo que se conocen como puertas lógicas, los cuales están compuestos de transistores. La placa de un PC está compuesta de millones de estos transistores.

En la siguiente imagen, se puede apreciar un circuito simple con un transistor BJT (existen otros que se llaman Mosfet), el cual tiene una resistencia en base y otra en el colector. Si aumentamos la tensión de entrada (Vi) que está conectada a la base del transistor, la tensión de salida (Vo) se va a ir a un mínimo rozando el 0, considerándose un 0 lógico. Por otro lado, si disminuyéramos Vi, aumentaría la tensión de salida (Vo) consiguiendo un 1 lógico. Por tanto, los 0s y 1s no son más que representaciones de valores de tensión. Esos valores de tensión que se consideran 0s o 1s dependerán de la implementación de cada puerta y del tipo de transistor usado:

Para entender mejor lo mencionado, veamos la siguiente imagen:

Se puede apreciar una puerta lógica donde en la entrada se considera un 1 lógico si recibe valores de tensión entre 3.5 y 5 V (Voltios), y un 0 lógico si recibe valores de tensión entre 0 y 1.5 V. Además, la misma sacará un 0 o un 1 dependiendo de si los valores de tensión que tiene en la salida están comprendidos entre 4.4 y 5 V (siendo en ese caso un 1 lógico) o comprendidos entre 0 y 0.33 V (siendo en ese caso un 0 lógico). Es otras palabras, será un 0 o 1 dependiendo de las características técnicas de los componentes utilizados.

Marcos Legales en Ciberseguridad

Introducción a los marcos legales y normativos

Los marcos legales y normativos en ciberseguridad establecen las bases para proteger la información y los sistemas frente a amenazas y ataques.

Estos marcos varían según el país, pero comparten objetivos comunes como la protección de datos personales, la seguridad en infraestructuras críticas y la prevención del cibercrimen.

Es importante distinguir entre varios conceptos:

• Ley: Norma jurídica dictada por una autoridad competente que debe cumplirse obligatoriamente.

• Regulación: Conjunto de reglas específicas que desarrolla y complementa una ley, detallando cómo debe aplicarse en situaciones concretas.
• Directiva: Mandato emitido por una entidad supranacional, como la Unión Europea, que debe ser transpuesto a las legislaciones nacionales de los Estados miembros.
• Normativa: Término general que engloba leyes, regulaciones y directivas que rigen un área específica, como la ciberseguridad.

Ejemplos:

• GDPR (Reglamento General de Protección de Datos) (Regulación): Protege los datos personales de los ciudadanos de la UE.
• Ley de Infraestructuras Críticas en Estados Unidos (Ley): Obliga a sectores clave a implementar medidas de seguridad.
• NIS2 (Directiva): Directiva de la Unión Europea que establece requisitos más estrictos para la seguridad de redes y sistemas en sectores críticos, aplicable a todos los Estados miembros.

Reglamentos internacionales y regionales

Las regulaciones internacionales y regionales buscan armonizar las medidas de seguridad entre países y regiones. Estos marcos establecen una base común para las organizaciones, garantizando la coherencia en cómo se aborda e implementa la ciberseguridad.

Proporcionan metodologías estructuradas para gestionar riesgos, implementar controles efectivos y garantizar el cumplimiento de los estándares de seguridad.

Al promover la uniformidad en las prácticas de seguridad, estas regulaciones mejoran la confianza y la cooperación entre organizaciones que operan en distintas partes del mundo. También ayudan a abordar amenazas emergentes fomentando un enfoque proactivo y estandarizado en ciberseguridad, lo que permite a las organizaciones mantener su resiliencia y proteger datos sensibles de manera efectiva.

Estas regulaciones son fundamentales para garantizar que todas las entidades, independientemente de su ubicación geográfica, cumplan con un nivel de seguridad consistente, reduciendo así la exposición a vulnerabilidades y mejorando la estabilidad general del entorno digital.

Por ejemplo, el ISO/IEC 27001 permite que empresas de diferentes países implementen controles de seguridad estándar, facilitando la colaboración en proyectos internacionales y aumentando la confianza en la protección de datos compartidos.

Ejemplos:

• ISO/IEC 27001: Estándar internacional para sistemas de gestión de seguridad de la información.
• PCI DSS: Normativa para la protección de datos en transacciones con tarjetas de crédito.

Normas específicas para sectores críticos

En sectores como la salud, banca y energía, existen normas específicas debido a la sensibilidad de sus datos. Estas normas no sólo buscan proteger información crítica, sino también garantizar la continuidad operativa y la confianza de los usuarios.

En el sector salud, por ejemplo, la privacidad de los pacientes es prioritaria, por lo que normativas como HIPAA exigen estrictos controles sobre la información médica.

En el sector financiero, regulaciones como la SOX aseguran la precisión y transparencia en los informes financieros, reduciendo el riesgo de fraude.

Por último, en el sector energético, las guías de ENISA promueven la ciberresiliencia, asegurando la estabilidad de infraestructuras esenciales frente a ciberataques.

• HIPAA (Health Insurance Portability and Accountability Act): Regula la privacidad de la información médica en EE. UU.
• SOX (Sarbanes-Oxley Act): Obliga a empresas públicas a garantizar la precisión de su información financiera.
• Regulaciones de la Agencia Europea de Ciberseguridad (ENISA): Guía para sectores energéticos y telecomunicaciones.

Estas normativas suelen ser revisadas y actualizadas con el fin de responder a amenazas emergentes y  avances tecnológicos. Por ejemplo, la Agencia Europea de Ciberseguridad (ENISA) ofrece recomendaciones adaptadas a nuevas vulnerabilidades y metodologías de ataque, garantizando que las medidas de seguridad evolucionen junto con el panorama de riesgos.

Este enfoque proactivo asegura que las empresas puedan mantener la continuidad operativa y proteger tanto sus activos digitales como la confianza del público.

Evaluación de cumplimiento y auditorías

Para garantizar el cumplimiento, las empresas deben realizar evaluaciones y auditorías periódicas.

Se recomienda que las evaluaciones de riesgo se lleven a cabo al menos una vez al año, mientras que las auditorías internas pueden realizarse semestralmente y las externas de manera anual o según la complejidad/modificaciones de los sistemas.

Estas revisiones identifican vulnerabilidades y aseguran que las políticas de seguridad se aplican correctamente. Es recomendable cambiar periódiamente de proveedor de auditorías externas para obtener diferentes perspectivas sobre la seguridad de la organización y mejorar los controles existentes.

Dato interesante: Diferencia entre auditoría y test de intrusión

1. Auditoría: Evaluación metódica y procedimentada de los controles y procesos de seguridad con el fin de verificar su eficacia y cumplimiento con normativas.
2. Test de intrusión: Simulación controlada de un ataque con el fin de identificar vulnerabilidades específicas en sistemas o redes.

Escenarios de gestión del riesgo.

Escenario 1:

---

Este es Ismael, jefe de proyecto de un equipo de desarrollo compuesto por un consultor, dos analistas senior, 2 analistas junior , 6 desarrolladores y un DBA. El proyecto consiste en el desarrollo de una aplicación web para la gestión de recursos humanos de una empresa.Por diversos motivos, uno de los principales riesgos que Ismael ha identificado es la alta rotación del personal senior.¿Qué medidas (o pasos de gestión) pondrá en marcha para mitigar la incidencia de dicho riesgo en el proyecto antes y durante la ejecución del mismo?

Piensa cuál podría ser la solución.

---

Antes del comienzo :

• Formar al equipo de desarrollo antes de que comience el proyecto en los procedimientos de trabajo de la empresa, técnicas, métodos y herramientas que se utilizarán.
• Utilizar técnicas, metodologías y herramientas conocidas para la mayoría de los miembros del equipo de desarrollo.
• Negociar la firma de cláusulas de permanencia del personal senior durante el tiempo de ejecución del proyecto.

Durante la ejecución :

• Mantener reuniones periódicas con el equipo completo para propiciar que todos los miembros tengan una visión actualizada del proyecto y de su marcha.
• Asignar en cada tarea crítica un responsable. Agrupar las tareas críticas y asignar un responsable diferente.

Conclusiones

Antes mencionamos la herramienta Pilar, pero no queríamos hacer mención a esta herramienta hasta que se entendieran todos los conceptos.

Si bien un análisis de riesgo puede hacerse con un Excel, y en Internet hay varios modelos para descargar, la herramienta Pilar, tiene un modelo de amenazas muy completo y se adapta perfectamente al Esquema Nacional de Seguridad.

---

La herramienta se puede descargar desde el siguiente enlace: https://www.ar-tools.com/

También se puede descargar un completo manual aquí: https://www.ar-tools.com/doc/help_basic_es_e_20212.pdf

---

Lo que es importante entender, es que si nos enfrentamos a la herramienta sin los conceptos claros, no entenderemos cómo reflejarlo y qué se esta haciendo.

La descarga es gratuita aunque se necesitará una licencia para poder imprimir informes.

La herramienta viene con un ejemplo basado en sanidad, que se puede utilizar para ver la forma en que se han dado de alta los activos. Y cómo se realiza el análisis de riesgo.

Por ejemplo, en el siguiente ejemplo se puede ver todas las opciones que tenemos para un activo sobre todo identificar el activo como esencial.

Aquí se pueden observar la lista de salvaguardas y los niveles de madures en L0 A L5.

Para finalizar:

El análisis de riesgo es fundamental para cualquier sistema de gestión, como departamentos o empresas enteras. Si bien es un modelo que no cubre al 100% todas las posibilidades de riesgos, nos pone en la ruta correcta para una buena gestión de los sistemas de seguridad de la información.

Son muchos los marcos (frameworks) que se basan en el modelo de riesgo. Identifica activos de tu organización bajo un contexto (alcance) y luego se establecen un cuadro de amenazas en función de probabilidad de que alguna de esas amenazas se pueda llegar a consolidar.

Recomendamos instalar entonces la herramienta Pilar y empezar a conocer su funcionamiento con el sistema que viene de ejemplo. 

Y ya para finalizar, proponemos una actividad.

Actividad

Actividad para realizar: “Análisis de riesgo de mi departamento”

Tiempo estimado: 60 minutos

1. Descarga Pilar.
2. Ahora realiza en lápiz y papel un listado de activos de tu departamento. Esto incluye, personas, dependencias de otros departamentos, programas con los que se trabaja, base de datos, ficheros, servidores, servicios.
3. Prepara ese listado de activos identificados en una hoja de cálculo.
4. Ahora debes poner un nivel de criticidad por dimensión, para hacerlo sencillo pondremos 3 filas en función de criticidad. Mira este ejemplo:Como se puede ver, en esta hoja de cálculo se le dio un valor a cada dimensión de 1 a 5, pero podemos utilizar de 1 a 10. Luego nos quedamos con el valor del riesgo más alto para la resultante.Los activos pueden agruparse, por ejemplo, los equipos de trabajo pueden tener todos las mismas características por lo que al poner uno se puede extender a todos. En tal caso se habla del grupo de equipos de trabajo de la oficina.
5. Con esta lista, ya podemos ir a Pilar y rellenar los activos, nos quedaremos con aquellos activos más significativos para analizar el riesgo sobre el servicio o sistema que queremos calcular. Por ejemplo si la oficina da un servicio de atención al cliente mediante línea telefónica, dicha línea y todo lo que esté relacionada con su funcionamiento es crítico. Por lo que en ese caso, la existencia o no de una papelera o un armario para archivar no es crítico, ya que el servicio se podrá seguir dando sin o con papelera.
6. Ahora que tienes todos los activos, debes establecer su nivel de criticidad según las dimensiones que quieras poner (esto en Pilar se puede seleccionar, en 3 dimensiones CID, o las 5 del ENS). Ya que Pilar también permite hacer Gestión del riesgo para la norma ISO 27001.
7. Ahora procede a calcular el riesgo.
8. Una vez tengas el análisis, debes de definir donde pondrá tu umbral de riesgo. El umbral implica que después de un valor de riesgo, debes de tratarlo, ya que se puede considerar crítico. Por ejemplo en un umbral de riesgo 5, todo lo que sale por debajo de 5, no se suele tratar, automáticamente la organización lo asume, y tendrá que tratar todo lo que sea igual o superior a 5.

Buen trabajo si has hecho estos pasos, ya tienes tu análisis de riesgo finalizado. Esperemos que no tengas que hacer tratamiento del riesgo.

Octave

Si tenemos que hablar de riesgo, entonces tendremos que hablar de metodologías. Por lo que, se debe definir inicialmente qué es el riesgo, el cual se define como una probabilidad que ocurra un evento, puede ser previsto y evitado, las amenazas y las vulnerabilidades por separadas no llegan a presentar un daño de grandes magnitudes, en cambio, si se mezclan la probabilidad de daño es mucho más grande. De tal manera, el llamado riesgo informático se desarrolla a la par de la tecnología y cada día son mucho más las vulnerabilidades y amenazas que acechan la información.

Una buena gestión de riesgo en la seguridad de la información de una organización requiere una buena inversión de tiempo, esfuerzo y dedicación. Por lo general, una organización que entienda el valor sustancial de sus activos y desea realizar una inversión para gestionar sus vulnerabilidades, se debe inclinar hacia un sistema de gestión basado en políticas, procesos, recursos, documentación y estructura organizacional; todos estos elementos mezclados, permiten de alguna u otra manera, planificar, desarrollar, controlar y tomar acción.

Además, suele acogerse a las normas de la familia ISO 27005. Se debe tener en cuenta que el hecho de plantear una gestión para el riesgo no es solo para proteger sus activos de información, sino procurar que la empresa u organización logre cumplir su misión, por lo que al hablar de gestión se define como un ciclo reiterativo, que identifica, evalúa y ejecuta. El proceso para la gestión de riesgo, se encuentra conformado por 5 procesos, los cuáles se describen a continuación:

1. Establecimiento del Contexto: Este proceso contextualiza el entorno, en este caso de la empresa, recibiendo toda la información relevante de la misma.
2. Evaluación de Riesgos: Este proceso trae consigo 3 subprocesos; la identificación, la revisión y el control de riesgos. Identifica de forma cuantitativa y cualitativa los riegos y le da una cierta prioridad a los criterios de evaluación que dependen o están muy alineados a los objetivos de la organización.  De esta manera, se puede controlar y determinar lo que podría generar una pérdida de gran magnitud y el lugar donde puede presentarse. Y por último el proceso de evaluación se encarga de comparar los niveles de criterios de riesgos y los de aceptación, su resultado genera un listado de vulnerabilidades y/o amenazadas pero priorizadas. Para esta evaluación de riesgo se finaliza con un interpretación del mismo, dando uso a la llamada Matriz de análisis, en ella, se puede determinar la probabilidad de riesgo versus la magnitud de daño, tomando valores respectivamente desde el 1 hasta el 4, o en otros casos la clasificación del riesgo sería en bajo, moderado, importante y crítico versus las consecuencias. Se debe tener en cuenta que para este proceso se plantean las llamadas metodologías de evaluación.
3. Tratamiento de los Riesgos: Este proceso está encaminado a plantear las posibles medidas de seguridad para reducir o evitar los riesgos y generar contingencias.
4. Consulta de Riesgos: Este proceso informa de los riesgos existentes a todas las partes interesadas de la organización.
5. Monitorización de Riesgos: Este proceso supervisa todas aquellas medidas de seguridad planteadas para contrarrestar los riesgos, con el objetivo de determinar si están funcionando correctamente o están ejecutando la acción para la cual fueron planteadas. Luego de esta implementación se ejecutan las llamadas auditorías internas, documentando todo el proceso y señalando su eficacia.

De esta manera, y con el trascurrir de los años la tecnología ha ido evolucionando, así como los métodos para vulnerar todos los sistemas de información, es así como las normas y los modelos para la gestión de riesgo han ido evolucionando, implementando las conocidas metodologías, se tienen muchas pero las que se analizarán son: OCTAVE y MAGERIT.

Metodología Octave

Es una técnica de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) en Estados Unidos. Es reconocida a nivel mundial y ha tenido excelente adaptación. Las fases que la componen la catalogan un poco más complicada que las demás metodologías.

La misma está enfocada en el riesgo y no en la tecnología como las demás, cuando se usa este tipo de metodología personal de varios departamentos como el operativo, el de tecnología, entre otros; trabajan en conjunto proyectados a la necesidad de seguridad, apoyados por un especialista. Es necesario considerar, que esta metodología fue desarrollada para ser implementada en organizaciones de más de 300 empleados y se encuentra dividido en tres etapas como se puede observar en la siguiente figura.

Fase 1: Build Asset-Based Threat Profiles: desarrolla perfiles de amenazas basados en los activos, en la cual se identifican los bienes, las amenazas, prácticas actuales, vulnerabilidades y los recursos de seguridad de la compañía.

Fase 2: Identify Infrastructure Vulnerabilities: identificar las vulnerabilidades de la infraestructura, se basa en los componentes clave y sus correspondientes vulnerabilidades técnicas.

Fase 3:  Develop Security Strategy and Plans: desarrollar estrategias y planes de seguridad, con base a los riesgos, la estrategia de protección y los planes de mitigación.

Buid asset-based threat profiles – Generar perfiles de activos basados en la amenaza

En esta fase se realiza un análisis para identificar los activos más importantes para la organización y que se está realizando para su protección en la actualidad. Comprende los siguientes cuatro procesos:

1. Identify enterprise knowledge – Identificar el conocimiento de la empresa

El objetivo de este proceso es identificar la perspectiva que tienen los directivos. Identificar el conocimiento de la empresa ilustra las entradas que se necesitan para obtener las salidas. Como entradas se puede observar el cuestionario de activos, perfil genérico de las amenazas, catálogo de amenazas (cuestionario de la estrategia de protección de la organización), catálogo de prácticas de la organización, técnicas y de entrenamiento, datos organizacionales (organigrama, políticas, procedimientos), por último, las leyes y las regulaciones que la compañía se encuentre obligada a cumplir. Para conseguir la lista priorizada de activos con sus valores relativos, perfil de la amenaza empresarial, la estrategia de protección actual, los indicadores de riesgo, y las áreas operacionales a evaluar. Todo con respecto al conocimiento del área gerencial de la compañía.

Este proceso está compuesto por cinco actividades que se describen a continuación y en las cuáles se explica con mayor detalle las entradas y salidas que le corresponden.

1. Characterize key enterprise assets – Identificar los activos clave de la empresa:
   Responde a la pregunta: “¿Qué está intentando proteger?”.Dependiendo del conocimiento que la alta gerencia tenga de la empresa y del cuestionario que se les realice. Se obtendrá la lista de los activos que identifican como importantes, con sus respectivos valores relativos para la dirección de la compañía.
2. Describe threats to assets – Describir las amenazas de los activos:
   “¿De qué está intentando proteger sus activos?”, es la cuestión en esta actividad. Aquí también es importante el conocimiento que la directiva tiene sobre las amenazas que afectan los activos. Se adquiere el perfil de la amenaza empresarial desde el enfoque directivo.
3. Describe current and planned strategy to protect assets – Describir la estrategia actual y planificada para proteger los activos:
   La dirección que conocimiento tiene al respecto de prácticas y políticas que se encuentran actualmente o en planificación para la protección de los bienes.
   La pregunta aquí es: “¿Qué está haciendo actualmente para proteger sus activos?”. Como resultado se encuentra la estrategia de protección empresarial actual, desde la perspectiva de la alta gerencia.
4. Identify risk indicators – Identificar los indicadores de riesgo:
   La salida de esta actividad son los indicadores de riego empresarial, es decir, las preocupaciones de la alta gerencia, dependiendo del cuestionario basado en buenas prácticas técnicas y de capacitaciones en las organizaciones, documentación de políticas y procedimientos, también las leyes y regulaciones que la empresa debe cumplir. El interrogante a esta actividad es: “¿Qué brechas en su estrategia de protección actual están poniendo sus activos en riesgo?”.
5. Select operational areas to evaluate – Seleccionar áreas operativas para evaluar:
   Esta actividad responde a dos interpelaciones: “¿Qué áreas operativas o funciones de soporte están involucradas con los activos clave que usted identifico?” y “¿Quiénes son los gerentes clave de esas áreas operativas o funciones de apoyo?”. De esta forma se obtiene las áreas que son prioridad para evaluar.

2. Identify operational area knowledge – Identificar el conocimiento del área operativa

De acuerdo al conocimiento actual de los gerentes del área operacional, un cuestionario de activos, perfil genérico de amenazas, cuestionario de la estrategia de protección (catálogo de la organización, técnicas y de entrenamiento), datos organizacionales (organigrama, políticas y procedimientos), leyes y regulaciones que se deban cumplir y la lista despreciando las prioridades de los activos de la empresa con sus respectivos valores relativos, que los jefes de área operativa proporcionen, corresponden a las entradas de esta parte de la metodología.

Para tener como salidas una lista priorizada de activos del área operativa, un mapa en el cual se cruce los activos empresariales identificados por el área gerencial y los activos identificados por el área operativa, un perfil de amenazas, la estrategia actual de protección, los indicadores de riesgo, todo esto correspondiente al área operativa y el personal que se considera debe ser evaluado. Las actividades que corresponden a esta parte de la metodología se describen a continuación.

1. Characterize key operational área assets – Caracterizar los activos clave del área operativa:
   Los gerentes de área responden: “¿Qué está intentando proteger?”. Depende del conocimiento que se tenga sobre los activos concernientes para obtener la lista de estos.
2. Characterize assets in relation to enterprise assets – Caracterizar los activos en relación con los activos de la empresa:
   Es la relación con la lista de los activos identificados en el proceso 1, cuestionando: “¿Cuál es la relación o relaciones entre los activos que ha identificado con los activos que ha identificado la alta gerencia?”. Como resultado la o las relaciones documentadas.
3. Describe threats to assets – Describir las amenazas a los activos:
   “¿De qué está tratando proteger sus activos?”, es el interrogante de esta actividad. En base al conocimiento de los gerentes de área operacional sobre las amenazas a sus activos y con un perfil genérico de estas, la respuesta será el perfil de las amenazas de los activos del área operacional desde su respectivo punto de vista.
4. Describe current and planned strategy to protect assets – Describir la estrategía actual y planificada para proteger los activos:
   De acuerdo al conocimiento que los gerentes de área, se da a conocer las buenas prácticas técnicas y de formación, políticas, procedimientos de la empresa y las leyes que esta debe cumplir, responden al interrogante: “¿Qué está haciendo para proteger sus activos?”. De esta forma se obtiene la estrategia de protección del área operativa.
5. Identify risk indicators – Identificar indicadores de riesgo:
   Teniendo en cuenta un entrenamiento adecuado en seguridad, programa de concientización para el personal y la documentación de políticas y procedimientos para la protección de los activos, se responde la siguiente pregunta: “¿Qué brechas en su estrategia de protección actual están poniendo sus activos en riesgo?”.  Arroja los indicadores de riesgo correspondiente al área operacional, dando resultado la expresión de las inquietudes de los riesgos a los que están expuestos sus activos.
6. Select staff to evaluate – Seleccionar personal para evaluar:
   En esta actividad se necesita la información recolectada en las anteriores, para escoger líderes o miembros clave de equipo que deban ser evaluados. La indagación es: “¿Quiénes son los miembros clave?”.

3. Identify staff knowledge – Identificar el conocimiento del personal

Detalla las entradas y las salidas que pertenecen a esta parte.

En las entradas se tiene el conocimiento actual del personal, cuestionario de activos, perfil genérico de amenazas, cuestionario de la estrategia de protección actual, catálogo de las prácticas de la organización, técnicas y de capacitación, datos organizacionales (organigrama, políticas y procedimientos), leyes y regulaciones que la compañía está obligada a cumplir, lista priorizada de activos, lista de activos del área operacional y el mapa de cruce de activos. Y se obtiene la lista de activos que el personal identifica, mapa de los activos de la empresa comparado con los activos del área operacional y los del personal, perfil de amenazas, la estrategia actual de protección y los indicadores de riesgo correspondientes a esta área.

A continuación, se describen las actividades que aquí se contemplan:

1. Characterize key staff assets – Caracterizar los activos clave del personal:
   “¿Qué está tratando de proteger?” es lo que debe responder el personal en esta actividad, la respuesta dependerá de su conocimiento con respecto a los activos, por medio de un cuestionario. Y de esta forma se consigue la lista priorizada de los activos importantes para el personal.
2. Characterize assets in relation to operational area and enterprise assets – Caracterizar los activos en relación con el área operacional y los activos de la empresa:
   Se plantean y relacionan los activos que anteriormente se identificaron como importantes con los que el personal establece con prioridad. La pregunta que hace referencia en esta actividad es: “¿Cuáles son las relaciones entre los activos que ha identificado el personal, con los del área operacional y los pertenecientes a la alta gerencia?”. Para obtener la documentación de estas conexiones.
3. Describe threats to assets – Describir las amenazas de los activos:
   La cuestión es: “¿De qué está tratando de proteger sus activos?”. Que responderán de acuerdo al perfil genérico de amenazas y del conocimiento que posean. Así se obtiene el perfil de amenaza.
4. Describe current and planned strategy to protect assets – Describe la estrategia y planificación para proteger los activos:
   La pregunta es “¿Toca aquella estrategia planteada, ser implementada y monitoreada para su efectividad?”.
5. Create Threat Profile – Creación de Perfiles de Amenazas:
   Este proceso integra toda la información contenida en los procesos anteriores, y procede a crear un conjunto de perfiles de amenazas para los activos en estado crítico, por lo general, este tipo de procedimiento suele gestionarse por el equipo de análisis.

4. Identify Technological Vulnerabilities – Identificar vulnerabilidades tecnológicas

Para esta fase se contemplan los siguientes procesos:

1. Identificación de los componentes clave: Este proceso se encarga de elegir que partes u componentes específicos serán analizados en busca de vulnerabilidades tecnológicas, identifica los principales sistemas de tecnología y asimismo los activos críticos.
2. Evaluación de componentes: En esta parte y con los componentes seleccionados se evalúan las vulnerabilidades y con el equipo de los análisis se procede a ejecutar las herramientas de evaluación para posteriormente analizar el resultado. La correcta ejecución de este proceso puede mitigar el impacto de la amenaza en la organización.

5. Develop Security Strategy and Plans

Fase caracterizada por el manejo de los procesos de análisis de riesgo y el desarrollo de una estrategia de contingencia.

1. Análisis de Riesgo: Proceso encargado de estudiar el impacto de las amenazas a los activos críticos, luego evalúa y crea los criterios para la evaluación de los riesgos.
2. Desarrollo de una estrategia de protección: Finalmente, el equipo de análisis crea una estrategia para la protección de los activos, esto con el objetivo de contrarrestar o evitar el impacto de la amenaza, este proceso se basa en el análisis de la información recolectada anteriormente.

Se debe tener en consideración, que en vista de las necesidades de cada organización y dependiendo del tamaño de la misma, se diseñaron 3 métodos OCTAVE para suplir esas solicitudes.

Está compuesto por una serie de talleres y/o programas que son llevados a cabo por la propia organización, aprovechando de esta manera los conocimientos propios de los niveles de la misma. Este grupo se centra únicamente en establecer los puntos críticos y las posibles amenazas, asimismo las vulnerabilidades tantos físicas como lógicas que atente a la organización y plantear la estrategia a utilizar.

Las fases en las que trabaja esta metodología son:

Fase de análisis de Riesgo

Esta fase permite determinar 3 variables: [9]

1. ¿Cuál es?
2. ¿Cuánto vale?
3. ¿Cómo se protege?

MÉTODO OCTAVE-S:

Operationally Critical Threat, Asset and Vulnerability Evaluation for Small Organization, fue desarrollado para ser implementado en organizaciones pequeñas de 100 personas o menos utilizando un proceso un poco más reducido que el OCTAVE, pero con los mismos resultados. Las dos principales diferencias de este método con el original son:

1. Requiere un grupo de 3 a 5 personas que conozcan a plenitud el desarrollo de la empresa.
2. Solo realiza un barrido de manera superficial a la infraestructura informática.

MÉTODO OCTAVE-ALLEGRO

Es una simplificación del método original y está enfocado solo en los activos de la organización, es perfecta cuando se desea gestionar una evaluación de riesgo, pero sin mucha participación del personal de la empresa, está conformado por 8 pasos organizados en 4 fases. [5][6] Estas son las siguientes:

Fase 1: Evaluación de los participantes desarrollando criterios de medición de riesgo.

Fase 2: Creación de los participantes un perfil de activos críticos.

Fase 3: Los participantes identifican las amenazas a cada uno de los activos.

Fase 4: Los participantes identifican y analizan las amenazas y desarrollan planes de contingencia.

Conclusión

El principal objetivo de la metodología OCTAVE se orienta hacia los aspectos de riesgos operativos y prácticas de seguridad. Esto significa que para que las empresas y las organizaciones puedan tomar las decisiones pertinentes en lo relativo a la protección de la información con base en riesgos tales como la confidencialidad, la integridad o la disponibilidad de los bienes afines a la información crítica, la tecnología será sometida a examen en proporción a las diferentes prácticas de seguridad.La metodología OCTAVE se desarrolló en la Universidad Carnegie Mellon de Pensilvania, en los Estados Unidos. Esto se hizo en el Centro de Coordinación del Instituto de Ingeniería de Software. OCTAVE está compuesta por tres fases diferenciadas de desarrollo.