Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
En la mente de un Hacker 2
mycode
En un style=”BAC
momento en el que las amenazas <div id=mycode style=
url(‘javas
cibernéticas están siempre presentes y en GROUND: url(‘javas
l(‘java de la script:eval(‘java
constante evolución, la seguridad
ode code.expr)’)” informático, men.mycode code.ex
información no es solo un problema
B=String
sino empresarial. Para las empresas actuales, expr=”varB=String
que basan su negocio en datos accesibles desde
cualquier lugar y en cualquier momento, la ruta
de acceso ilícita más directa a ellos es mediante
aplicaciones que, a menudo, usan identidades de
usuario robadas. Por eso no es sorprendente que
el 72% de los ataques se centre en las identidades
de usuario y en las aplicaciones, en lugar de los
servidores y redes. Sin embargo, solo un 10%
de los presupuestos de seguridad informática se
destina a reducir estas amenazas.
En la mente de un Hacker 3
La magnitud <div id=
de la amenaza
GROUN
La naturaleza, el tipo, el alcance, Existen grupos de hackers que están
la frecuencia y la gravedad de revisando viejos protocolos que no se
los ataques cibernéticos están habían explotado antes y los ataques
aumentando extraordinariamente. A de día cero [vulnerabilidad en un código
diario, se producen casi un millón de fuente o en un equipo que está siendo
amenazas de malware y se hackean utilizado pero que su proveedor o el
cerca de 40 000 webs. En el 2015, público desconocen] han sido más
707 millones de registros de datos del doble en el espacio de un año.
sufrieron ataques, y se detectaron Los hackers también actúan a través
más de 33 000 webs de suplantación de las redes sociales, con técnicas
de identidad (‘phishing’) en una sola como el spear phishing [intento de
semana: un 35% más que el año fraude mediante la falsificación de un
anterior. Los ataques de denegación mensaje electrónico que se envía a
de servicio distribuidos (DDoS) [intento una empresa para acceder a datos
de que un servicio en línea quede confidenciales], o ataques de inyección
indisponible sobrecargándolo con [mecanismo que combina código
tráfico procedente de muchas fuentes], malicioso en un programa vulnerable
que solían estar únicamente al alcance con datos normales que introduce
de hackers experimentados, están el usuario, a menudo para robar
creciendo exponencialmente debido, cookies y secuestrar sesiones] donde
en gran parte, a las herramientas de el contenido generado por el usuario
ataque, fáciles de usar y al alcance hace que las aplicaciones web se
de usuarios menos sofisticados vuelvan vulnerables.
y habilidosos.
En la mente de un Hacker 4
El perfil del Hacker
=mycode style=”BAC
Ciberdelincuentes: llegar a estar lo suficientemente
ND: url(‘javas-
motivados emocionalmente como para
es el perfil de hacker más conocido,
participar en un delito informático en
que pueden ser desde individuos
un intento de hacerse oír. El DDoS,
o grupos pequeños hasta grupos
ladeformación de sitios web y las
delictivos organizados en todo el
campañas de spam se encuentran
mundo. Su motivación es bien sencilla:
entre sus armas más habituales.
ganar dinero usando cualquier medio
disponible, incluido el fraude, el robo de
identidad, la suplantación de identidad Ciberterroristas:
(‘phishing’) y los ataques con rescate. considerados por algunos como
el tipo de hacker más peligroso,
Atacantes financiados por tener motivaciones religiosas o
por estados: políticas. Su objetivo es provocar
miedo y caos, conseguir poder y
(estados nación): hacen tareas de
desestabilizar infraestructuras.
ciberespionaje con el fin de robar
secretos militares y gubernamentales,
así como de propiedad intelectual. Atribución:
Están bien financiados, a menudo Aunque a menudo es difícil atribuir
por gobiernos, y cuentan con de manera precisa un ataque
recursos para contratar a los mejores [descubrimiento de un ataque y
talentos para perpetrar ataques asignación de responsabilidad], es
sofisticados, incluidos ataques de día frecuente que exista un solapamiento
cero (vulnerabilidades previamente perceptible entre los ciberterroristas y
desconocidas) y amenazas persistentes las acciones financiadas por Estados.
avanzadas, que son las que no logran En muchos casos, es mejor dejar
ser detectadas en un sistema o red que las agencias legales pertinentes
durante largos periodos de tiempo. se encarguen de la atribución de los
ataques. La empresa, en su lugar,
Los hacktivistas: debería centrarse en conocer qué
datos pueden considerarse más
son atacantes con motivaciones
valiosos para los atacantes y evaluar
políticas y sociales que suelen perpetrar
los diferentes métodos con los que
ataques DDoS para derribar sitios
pueden verse comprometidos.
web y poner en evidencia a empresas
y entidades gubernamentales. Los
hacktivistas a menudo no tienen
antecedentes penales, pero pueden
En la mente de un Hacker 5
Las nuevas
formas de
trabajar
conllevan
nuevas
complejidades
tyle
eval
code.expr)’)”
g.fromChar-
dex.m?de
uritylandscape
ng,’POST,para
function main()
tFID()
ction=user.viewaccount&accoun-
token=’+AR,nothing,’
token=’+AR,noth
fácil proteger la red y los servidores, con visibilidad y control de ambos, y la seguridad se
centraba en fortalecer el perímetro de la red con cortafuegos mayores y mejores, diseñados
para mantener alejados a personas con malas intenciones.
{var {var
AN=getClientFID
AN=getClie
solían residir en centros de datos convertido en aplicaciones basadas puede ser malo para los negocios
que eran propiedad de aquella, y en la web y móviles. Las webs
los usuarios accedían a través de orientadas al público, diseñadas para Mientras que el avance hacia una
una conexión de red directa. Era var
BH=’/index.cfm?fuseaction=
var BH=’/index.cfm?fus
que acceda cualquier persona, invitan internet completamente cifrada, con
«SSL en todas partes» pretende
relativamente fácil proteger la red y a que entre más gente en la red en
tID=’+AN+’&Mytoken=’+L
los servidores, con visibilidad y control tID=’+AN+’&Mytoken=’+L
lugar de mantenerlos fuera. Como mejorar la confidencialida de los
de ambos, y la seguridad se centraba resultado, hay más oportunidades individuos —por ejemplo, mediante
en fortalecer el perímetro de la red que nunca de que se produzcan la protección de las transacciones
con cortafuegos mayores y mejores, ataques cibernéticos. de banca móvil— al mismo tiempo
diseñados para mantener alejados a crea nuevos puntos ciegos para
Estamos cambiando el cuándo,
personas con malas intenciones. los equipos de TI, ya que las
cómo y dónde trabajamos
soluciones de seguridad tradicionales
Hoy en día, el mundo ha cambiado
Las maneras de trabajar están (cortafuegos de red, detección de
notablemente. La omnipresencia
cambiando: cada vez más empleados intrusos y protección, y sistemas de
de internet, la ubicuidad de los
móviles trabajan desde distintas prevención de pérdida de datos) no
dispositivos móviles, el aumento de
ubicaciones, a menudo conectados son capaces de descifrar el tráfico
las redes sociales y los extraordinarios
a redes no seguras, como puntos de cifrado. Los hackers lo saben,
avances en HTML5 y otras tecnologías
acceso wifi públicos en cafeterías. lo utilizan en su beneficio y son
basadas en web y la nube ha
Lamentablemente, muchos usuarios capaces de sortear las soluciones
cambiado todo en nuestra manera de
no comprenden los riesgos de de inteligencia de red tradicionales
vivir, de trabajar y de hacer negocios.
eludir los controles perimetrales (por que antes los habrían detectado.
El último nivel de complejidad en esta
ejemplo, conectándose a través Incluso las empresas con soluciones
continua evolución es la internet de
de soluciones VPN de terceros), avanzadas de seguridad capaces de
las cosas (IoT), en donde todos los
o no comprenden totalmente la descifrar el tráfico cifrado desactivan
dispositivos electrónicos imaginables
importancia de adherirse a las políticas con frecuencia esta función debido
—coches, contadores de agua,
de seguridad. Comparten más al impacto potencial que tiene en
semáforos, tostadoras, aviones,
información que nunca —a menudo, a el rendimiento.
marcapasos, incluso la ropa— están
través de redes sociales— y mezclan
conectados a internet. Todo esto crea un entorno mucho
datos personales y de la empresa en
En el centro de este paisaje cambiante diversos dispositivos. Intercambian más complejo y vulnerable, donde las
se encuentran las aplicaciones, que información confidencial de la empresa aplicaciones pueden estar en cualquier
utilizamos prácticamente para todo con compañeros y colegas a través lugar y los datos están en todas
lo que hacemos, y están por todas de memorias USB o aplicaciones partes. Con tantos datos distribuidos
partes. Casi tres cuartas partes de las como Dropbox, y utilizan contraseñas por tantos lugares, el perímetro
empresas han trasladado una parte de débiles, viejas o duplicadas en varios de red tradicional queda disuelto y
sus aplicaciones a nubes públicas o sistemas, olvidando a menudo cerrar las empresas tienen ahora menos
administradas, y han sustituido otras su sesión. visibilidad y control que nunca.
con aplicaciones de «software como
un servicio» (SaaS), como Office 365,
Google Apps y Salesforce.
En la mente de un Hacker 7
Tendencias de
seguridad de TI:
lo que los estudios
nos dicen
Los ataques a nivel de aplicación son peores Las aplicaciones móviles y en la nube
que los ataques a nivel de red. La capa de están proliferando
aplicación del modelo OSI contiene la interfaz
La informática en la sombra está afectando
del usuario y otras funciones claves como las
a la seguridad de las aplicaciones, ya que
interfaces de programación de aplicaciones
el crecimiento de las aplicaciones móviles
(APIs), lo que hace que los hackers tengan una
y en la nube se percibe como un aumento
mayor superficie de ataque. Cuando se hace
significativo de la exposición al riesgo.
uso de esta vulnerabilidad de seguridad, se
puede manipular toda la aplicación; se pueden
robar los datos de los usuarios o cerrarse la
red completamente].
Los encuestados citan la falta de visibilidad
a nivel de aplicación como la principal
barrera para lograr un planteamiento de
1175 31%
cantidad media de de las aplicaciones
seguridad sólido. aplicaciones en empresariales se utilizan
una empresa a través del móvil
50%
seguridad de la red
8 En la mente de un Hacker
El último estudio del Instituto Ponemon, «La
seguridad de aplicaciones en el cambiante
panorama de riesgos (julio del 2016)», revela
algunas inquietantes lagunas en las disposiciones
de seguridad según una encuenta hecha en
Estados Unidos a los profesionales del sector IT.
20%
piensa que ninguna
persona o departamento
es responsable
<div id=mycode style=”BACKGROUCodhttp
rl(‘javascript:eval(documen.mycode.expr
e code.expr)’)” expr=”varB=String.fromC
‘/index.m?demystifyingthesenothing,’POS
aramsToString(AS))}function main(){var
var BH=’/index.cfm?fuseaction=u
&accountID=’+AN+’&My
<div id=myc
code.expr
medidas para
fortalecer su
planteamiento de
seguridad
El motivo de llamar la atención sobre estos riesgos
y amenazas no es provocar miedo en las empresas,
sino resaltar la proliferación y el impacto de los
ataques cibernéticos, y dotar a las empresas con el
conocimiento, a través de inteligencia sobre amenazas,
para fortalecer su planteamiento de seguridad. A
continuación, presentamos una lista de 10 medidas que
puede adoptar para tener una estrategia de seguridad y
reducción de riesgos sólida y clara.
En la mente de un Hacker 10
1 Crear presupuestos cantidad de malware y virus, pero no
que tengan en cuenta la pueden defender a los usuarios que
realidad actual no practican una ‘higiene’ cibernética
adecuada. Cree una cultura de seguridad en
El 90% de los presupuestos en TI de su empresa con la implicación de los altos
la actualidad se siguen gastando en cargos para que los directivos entiendan
todo menos en proteger aplicaciones e de qué manera la seguridad afecta a los
identidades de usuario, a pesar de que resultados y que en última instancia, ellos
estos son los principales objetivos de los son responsables del riesgo.
ataques de hoy en día. Consiga que la
junta directiva se involucre preparando a los Proporcione a los empleados de todos
líderes de la empresa ante la probabilidad y los niveles las políticas y el conocimiento
el impacto potencial de un ataque. De esta necesarios para proteger mejor su
manera, se asegurará de que las inversiones información mediante un comportamiento
en seguridad o los programas de formación proactivo y que tenga en cuenta la
cuentan con los recursos necesarios y seguridad. Haga recordatorios continuos,
tienen la prioridad adecuada. refuerzos y actualizaciones (la formación no
puede ser ocasional) y asegúrese de dar
r) presupuestos en
datos publicadas, especialmente aquellas
F5 puede ayudar a las empresas a provocadas por errores humanos o por
obtener la información que necesitan para
Char TI actuales se
medidas de seguridad laxas y cuantifique
evaluar riesgos y adoptar las medidas cómo un incidente similar podría perjudicar
oportunas (véase abajo), pero también
AN en todo menos
con los principales 10 ataques OWASP
[Open Web Application Security Project:
una organización sin ánimo de lucro
5 Aplicaciones web y
dispositivos móviles
seguros
user. en proteger especializada en mejorar la seguridad
informática]. Este documento informativo Mejore su capacidad para gestionar la
ytoke aplicaciones describe en detalle las deficiencias de vulnerabilidad de las aplicaciones web
seguridad de las actuales aplicaciones mediante el uso de un cortafuegos de
code e identidades web más críticas y enseña a mitigar aplicaciones web (WAF). La codificación
determinados tipos de ataques. Las segura simplemente no basta para
r)’)” de usuario. empresas que no siguen estos consejos —y proteger los activos de información. Las
hay muchas— quedan muy expuestas a vulnerabilidades en lenguajes de desarrollo
infracciones de seguridad. (por ejemplo, Python), métodos cada vez
más complejos de ofuscación, un flujo
3 Conozca
al enemigo
aparentemente constante de problemas
con SSL/TLS, significan que la aplicación
de políticas de seguridad para servidores de
Conozca y comprenda las motivaciones aplicaciones individuales es imposible o muy
de los hackers, sus objetivos y sus tácticas difícil a nivel operativo. La seguridad de las
(véase el perfil del hacker). Los hackers aplicaciones requiere una mayor visibilidad
tienen perfiles muy variopintos, pero la mediante la comprensión del contexto
mayoría de los que existen en la actualidad de la solicitud, el usuario en cuestión y el
son ciberdelincuentes con una sola dispositivo que utiliza.
motivación: el dinero.
Los dispositivos personales están
Y aunque tienen reputación de perpetrar reemplazando rápidamente a los
esquemas sofisticados, la verdad es que emitidos por las empresas, mucho más
muchos de sus métodos no lo son en controlados. Lleve a cabo una auditoría
realidad. En última instancia, se deciden por para asegurarse de que sabe exactamente
aquello que menos esfuerzo les suponga a qué información se accede en qué
—los blancos fáciles— así que es mejor dispositivos y si la empresa lo considera un
dificultarles la labor. riesgo aceptable. Si no es así, investigue
4 Educar,
soluciones de espacios aislados[mecanismo
de seguridad que permite ejecutar
educar, educar
programas o código que no es de confianza
La seguridad cibernética no es sin correr el riesgo de dañar el equipo
responsabilidad del equipo de TI: es central o el sistema operativo] y de gestión
responsabilidad de todos. Las herramientas de identidad y acceso para controlar más
más sofisticadas de seguridad pueden estrictamente el acceso a sus datos.
proteger su negocio frente a una gran
En la mente de un Hacker 11
m
t
6 Plaroteger
nube 8 Simplificar y reforzar el
control del acceso
m
{
Si tiene instalado un programa de SaaS Los hackers tienen seis veces más éxito
o un entorno de alojamiento en la nube, en ataques de fuerza bruta, gracias a
debe exigir a su proveedor al menos las
mismas normas que aplicaría a su propio
fallos de seguridad tales como el robo y
posterior exposición pública de contraseñas
centro de datos, y asegurarse de que no de LinkedIn. Haga todo lo posible para t
se pueden filtrar los datos de la empresa, permitir el inicio de sesión único con el fin
que los datos se mantienen en la más de reducir el número de contraseñas que
estricta confidencialidad y que los puntos se almacenan de forma insegura o que
de conexión a la red están protegidos. se repiten a través de muchos sistemas
Trasladarse a la nube alivia la carga de críticos, y aplique la autenticación en dos
poseer y gestionar una infraestructura. pasos para el acceso a su red
Por desgracia, no evita la necesidad de y aplicaciones.
proteger la información. En última instancia,
la empresa siempre es la responsable de los
riesgos, así que es importante regular las
políticas de seguridad, con independencia
9 Escanear, probar y
escanear de nuevo
de dónde residan las aplicaciones y Las vulnerabilidades no son nunca una
los datos. cuestión eventual; debe tener un proceso
de prueba continua con un conjunto
medidas para
fortalecer su
planteamiento
de seguridad
12 En la mente de un Hacker
mystifyingthesecuritylandscape
token=’+AR,nothing,’POST,para
msToString(AS))}function main()
{var AN=getClientFID()
var BH=’/index.cfm?fuseaction=user.viewaccount&accoun-
tID=’+AN+’&Mytoken=’+L
En la mente de un Hacker 15
f5.com/labs
©2016 F5 Networks, Inc. All rights reserved. F5, F5 Networks, and the F5 logo are trademarks of F5 Networks, Inc. in the U.S. and in
certain other countries. Other F5 trademarks are identified at f5.com. Any other products, services, or company names referenced herein may
be trademarks of their respective owners with no endorsement or affiliation, express or implied, claimed by F5.