Introducción a la Ciberseguridad

cisco
Tipos de malware

Malware, acrónimo para el inglés “Malicious Software” (Software malicioso), es cualquier código que
pueda utilizarse para robar datos, evitar los controles de acceso, ocasionar daños o comprometer un
sistema. A continuación, se encuentran algunos tipos comunes de malware:

Spyware: este malware está diseñado para rastrear y espiar al usuario. El spyware a menudo incluye
rastreadores de actividades, recopilación de pulsaciones de teclas y captura de datos. En el intento por
superar las medidas de seguridad, el spyware a menudo modifica las configuraciones de seguridad. El
spyware con frecuencia se agrupa con el software legítimo o con caballos troyanos.

Adware: el software de publicidad está diseñado para brindar anuncios automáticamente. El adware a
veces se instala con algunas versiones de software. Algunos adware están diseñados para brindar
solamente anuncios, pero también es común que el adware incluya spyware.

Bot: de la palabra robot, un bot es un malware diseñado para realizar acciones automáticamente,
generalmente en línea. Si bien la mayoría de los bots son inofensivos, un uso cada vez más frecuente de
bots maliciosos es el de los botnets. Varias computadoras pueden infectarse con bots programados para
esperar silenciosamente los comandos provistos por el atacante.

Ransomware: este malware está diseñado para mantener captivo un sistema de computación o los datos
que contiene hasta que se realice un pago. El ransomware trabaja generalmente encriptando los datos de
la computadora con una clave desconocida para el usuario. Algunas otras versiones de ransomware
pueden aprovechar vulnerabilidades específicas del sistema para bloquearlo. El ransomware se esparce
por un archivo descargado o alguna vulnerabilidad de software.

Scareware: este tipo de malware está diseñado para persuadir al usuario de realizar acciones específicas
en función del temor. El scareware falsifica ventanas emergentes que se asemejan a las ventanas de
diálogo del sistema operativo. Estas ventanas muestran mensajes falsificados que indican que el sistema
está en riesgo o necesita la ejecución de un programa específico para volver al funcionamiento normal.
En realidad, no se evaluó ni detectó ningún problema y, si el usuario acepta y autoriza la ejecución del
programa mencionado, el sistema se infecta con malware.

Rootkit: este malware está diseñado para modificar el sistema operativo a fin de crear una puerta trasera.
Los atacantes luego utilizan la puerta trasera para acceder a la computadora de forma remota. La mayoría
de los rootkits aprovecha las vulnerabilidades de software para realizar el escalamiento de privilegios y
modificar los archivos del sistema. También es común que los rootkits modifiquen las herramientas
forenses de supervisión del sistema, por lo que es muy difícil detectarlos. A menudo, una computadora
infectada por un rootkit debe limpiarse y reinstalarse.

Virus: un virus es un código ejecutable malintencionado que se adjunta a otros archivos ejecutables,
generalmente programas legítimos. La mayoría de los virus requiere la activación del usuario final y puede
activarse en una fecha o un momento específico. Los virus pueden ser inofensivos y simplemente mostrar
una imagen o pueden ser destructivos, como los que modifican o borran datos. Los virus también pueden
programarse para mutar a fin de evitar la detección. La mayoría de los virus ahora se esparcen por
unidades USB, discos ópticos, recursos de red compartidos o correo electrónico.

Troyano: un troyano es malware que ejecuta operaciones maliciosas bajo la apariencia de una operación
deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan. A menudo, los troyanos
se encuentran en archivos de imagen, archivos de audio o juegos. Un troyano se diferencia de un virus en
que se adjunta a archivos no ejecutables.

Gusanos: los gusanos son códigos maliciosos que se replican mediante la explotación independiente de
las vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan las redes. Mientras que un virus
requiere la ejecución de un programa del host, los gusanos pueden ejecutarse por sí mismos. A
excepción de la infección inicial, ya no requieren la participación del usuario. Una vez infectado el host, el
gusano puede propagarse rápidamente por la red. Los gusanos comparten patrones similares. Todos
tienen una vulnerabilidad de activación, una manera de propagarse y contienen una carga útil.

Los gusanos son responsables de algunos de los ataques más devastadores en Internet. Como se
muestra en la Figura 1, en 2001 el gusano Código Rojo infectó 658 servidores. En el plazo de 19 horas, el
gusano infectó más de 300 000 servidores, como se muestra en la Figura 2.

Hombre en el medio (MitM): el MitM permite que el atacante tome el control de un dispositivo sin el
conocimiento del usuario. Con ese nivel de acceso, el atacante puede interceptar y capturar información
sobre el usuario antes de retransmitirla a su destino. Los ataques MitM se usan ampliamente para robar
información financiera. Existen muchas técnicas y malware para proporcionar capacidades de MitM a los
atacantes.

Hombre en el móvil (MitMo): una variación del hombre en el medio, el MitMo es un tipo de ataque
utilizado para tomar el control de un dispositivo móvil. Cuando está infectado, puede ordenarse al
dispositivo móvil que exfiltre información confidencial del usuario y la envíe a los atacantes. ZeuS, un
ejemplo de ataque con capacidades de MitMo, permite que los atacantes capturen silenciosamente SMS
de verificación de 2 pasos enviados a los usuarios.

Síntomas de malware

Independientemente del tipo de malware con el que se ha infectado un sistema, estos son síntomas
frecuentes de malware:

 Aumento del uso de la CPU.

 Disminución de la velocidad de la computadora.

 La computadora se congela o falla con frecuencia.

 Hay una disminución en la velocidad de navegación web.

 Existen problemas inexplicables con las conexiones de red.

 Se modifican los archivos.

 Se eliminan archivos.

 Hay una presencia de archivos, programas e iconos de escritorio desconocidos.

 Se ejecutan procesos desconocidos.

 Los programas se cierran o reconfiguran solos.

 Se envían correos electrónicos sin el conocimiento o el consentimiento del usuario.

Ingeniería social
La ingeniería social es un ataque de acceso que intenta manipular a las personas para que realicen
acciones o divulguen información confidencial. Los ingenieros sociales con frecuencia dependen de la
disposición de las personas para ayudar, pero también se aprovechan de sus vulnerabilidades. Por
ejemplo, un atacante puede llamar a un empleado autorizado con un problema urgente que requiere
acceso inmediato a la red. El atacante puede atraer la vanidad o la codicia del empleado o invocar la
autoridad mediante técnicas de nombres.

Estos son algunos tipos de ataques de ingeniería social:

 Pretexto: esto es cuando un atacante llama a una persona y miente en el intento de obtener

acceso a datos privilegiados. Un ejemplo implica a un atacante que pretende necesitar datos
personales o financieros para confirmar la identidad del objetivo.

 Seguimiento: esto es cuando un atacante persigue rápidamente a una persona autorizada a un

lugar seguro.

 Algo por algo (quid pro quo): esto es cuando un atacante solicita información personal de una
parte a cambio de algo, por ejemplo, un obsequio.

Decodificación de contraseñas Wi-Fi

La decodificación de contraseñas Wi-Fi es el proceso de detección de la contraseña utilizada para

proteger la red inalámbrica. Estas son algunas técnicas utilizadas en la decodificación de contraseñas:

Ingeniería social: el atacante manipula a una persona que conoce la contraseña para que se la
proporcione.

Ataques por fuerza bruta: el atacante prueba diversas contraseñas posibles en el intento de adivinar la
contraseña. Si la contraseña es un número de 4 dígitos, por ejemplo, el atacante deberá probar cada una
de las 10 000 combinaciones. Los ataques por fuerza bruta normalmente involucran un archivo de lista de
palabras. Este es un archivo de texto que contiene una lista de palabras tomadas del diccionario. Un
programa luego prueba cada palabra y las combinaciones comunes. Debido a que los ataques por fuerza
bruta llevan tiempo, las contraseñas complejas llevan mucho más tiempo para descifrar. Algunas
herramientas para forzar las contraseñas incluyen Ophcrack, L0phtCrack, THC Hydra, RainbowCrack y
Medusa.

Monitoreo de la red: mediante la escucha y la captura de paquetes enviados por la red, un atacante

puede descubrir la contraseña, si la contraseña se envía sin cifrar (en texto plano). Si la contraseña está
cifrada, el atacante aún puede revelarla mediante una herramienta de decodificación de contraseñas.

DoS
Los ataques de denegación de servicio (DoS) son un tipo de ataque a la red. Un ataque DoS da como
resultado cierto tipo de interrupción del servicio de red a los usuarios, los dispositivos o las aplicaciones.
Existen dos tipos principales de ataques DoS:

Cantidad abrumadora de tráfico: esto ocurre cuando se envía una gran cantidad de datos a una red, a
un host o a una aplicación a una velocidad que no pueden administrar. Esto ocasiona una disminución de
la velocidad de transmisión o respuesta o una falla en un dispositivo o servicio.

Paquetes maliciosos formateados: esto sucede cuando se envía un paquete malicioso formateado a un

host o una aplicación y el receptor no puede manejarlo. Por ejemplo, un atacante envía paquetes que
contienen errores que las aplicaciones no pueden identificar o reenvía paquetes incorrectamente
formateados. Esto hace que el dispositivo receptor se ejecute muy lentamente o se detenga.

Los ataques de DoS se consideran un riesgo importante porque pueden interrumpir fácilmente la
comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques son relativamente
simples de llevar a cabo, incluso por un atacante inexperto.

Envenenamiento SEO

Los motores de búsqueda, como Google, funcionan clasificando páginas y presentando resultados
relevantes conforme a las consultas de búsqueda de los usuarios. Según la importancia del contenido del
sitio web, puede aparecer más arriba o más abajo en la lista de resultados de la búsqueda. La
optimización de motores de búsqueda (SEO, por sus siglas en inglés) es un conjunto de técnicas
utilizadas para mejorar la clasificación de un sitio web por un motor de búsqueda. Aunque muchas
empresas legítimas se especializan en la optimización de sitios web para mejorar su posición, un usuario
malintencionado puede utilizar la SEO para hacer que un sitio web malicioso aparezca más arriba en los
resultados de la búsqueda. Esta técnica se denomina envenenamiento SEO.

El objetivo más común del envenenamiento SEO es aumentar el tráfico a sitios maliciosos que puedan
alojar malware o ejercer la ingeniería social. Para forzar un sitio malicioso para que califique más alto en
los resultados de la búsqueda, los atacantes se aprovechan de los términos de búsqueda populares.

Qué es un ataque combinado?

Los ataques combinados son ataques que usan diversas técnicas para comprometer un objetivo.
Mediante el uso de varias técnicas de ataque simultáneas, los atacantes tienen malware que combina
gusanos, troyanos, spyware, registradores de pulsaciones, spam y esquemas de suplantación de
identidad. Esta tendencia de ataques combinados revela malware más complejo y pone los datos de los
usuarios en gran riesgo.

Los tipos más comunes de ataque combinado utilizan mensajes de correo electrónico no deseado,
mensajes instantáneos o sitios web legítimos para distribuir enlaces donde se descarga malware o
spyware secretamente en la computadora. Otro ataque combinado común utiliza DDoS combinado con
correos electrónicos de suplantación de identidad (phishing). Primero, el ataque DDoS se utiliza para
suspender un sitio web popular de un banco y enviar correos electrónicos a sus clientes disculpándose
por la inconveniencia. El correo electrónico además redirecciona a los usuarios a un sitio de emergencia
falso donde la información real de inicio de sesión puede ser robada.

Muchos de los gusanos más perjudiciales de las computadoras, como Nimbda, CodeRed, BugBear, Klez
y Slammer, se categorizan mejor como ataques combinados, como se muestra a continuación:
  Algunas variantes de Nimbda utilizan archivos adjuntos de correo electrónico, descargas de
archivos de un servidor web comprometido y uso compartido de archivos de Microsoft (intercambios
anónimos) como métodos de propagación.

 Otras variantes de Nimbda pueden modificar las cuentas de invitado del sistema para
proporcionar al atacante o código malicioso los privilegios administrativos.

Los gusanos recientes Conficker y ZeuS/LICAT también son ataques combinados. Conficker utiliza todos
los métodos de distribución tradicionales.

Qué es la reducción del impacto?

Si bien la mayoría de las empresas exitosas de hoy en día son conscientes de los problemas de
seguridad comunes y ponen gran esfuerzo en su prevención, no hay ningún conjunto de prácticas de
seguridad 100 % eficiente. Dado que es probable que ocurra una violación a la seguridad si el premio es
grande, las empresas y organizaciones también deben estar preparadas para contener el daño.

Es importante comprender que el impacto de la violación de seguridad no solo está relacionado con el
aspecto técnico, los datos robados, las bases de datos dañadas o los daños a la propiedad intelectual; los
daños también se extienden a la reputación de la empresa. Responder ante una infracción de datos es un
proceso muy dinámico.

A continuación, hay algunas medidas importantes que una empresa debe adoptar cuando identifica una
violación de seguridad, según muchos expertos en seguridad:

 Comunicar el problema. Informar internamente a los empleados del problema y llamarlos a la

acción. Informar externamente a los clientes a través de comunicación directa y anuncios oficiales.
La comunicación genera transparencia, que es crucial para este tipo de situación.

 Ser sincero y responsable en caso de que la empresa tenga la culpa.

 Proporcionar detalles. Explicar por qué ocurrió la situación y qué se vio afectado. También se
espera que la empresa se haga cargo de los costos de los servicios de protección contra el robo de
identidad para los clientes afectados.

 Comprender qué causó y facilitó la violación de seguridad. De ser necesario, contrate expertos
en informática forense para investigar y conocer los detalles.

 Aplicar lo aprendido de la investigación de informática forense para garantizar que no se

produzcan violaciones de seguridad similares en el futuro.

 Asegurarse de que todos los sistemas estén limpios, que no se hayan instalado puertas traseras
y que no haya nada más comprometido. Los atacantes con frecuencia probarán dejar una puerta
trasera para facilitar las infracciones futuras. Asegúrese de que esto no suceda.

 Capacitar a los empleados, los partners y los clientes acerca de cómo prevenir las violaciones
futuras.

Para borrar datos de modo que no sean recuperables, los datos deben sobrescribirse con unos y ceros
varias veces. Para evitar la recuperación de los archivos eliminados, es posible que deba utilizar
herramientas diseñadas específicamente para hacerlo. El programa SDelete de Microsoft (para Vista y
versiones posteriores) reclama tener la capacidad de eliminar los archivos confidenciales por completo.
Shred para Linux y Secure Empty Trash para Mac OSX son algunas herramientas que aseguran
proporcionar un servicio similar.

Tipos de firewall

Un firewall (cortafuegos) es un muro o partición diseñada para evitar que el fuego se propague de una
parte a otra de un edificio. En las redes de computadoras, un firewall está diseñado para controlar o filtrar
la entrada o salida de comunicaciones de un dispositivo o una red, como se muestra en la figura. Un
firewall puede instalarse en una única computadora con el propósito de proteger dicha computadora
(firewall ejecutado en un host) o puede ser un dispositivo de red independiente que protege toda una red
de computadoras y todos los dispositivos host en dicha red (firewall basado en la red).

Durante años, dado que los ataques a la computadora y la red se han vuelto más sofisticados, se han
desarrollado nuevos tipos de firewalls que atienden diferentes fines en la protección de la red. Esta es una
lista de los tipos de firewall comunes:

 Firewall de capa de red: filtrado basado en las direcciones IP de origen y destino.

 Firewall de capa de transporte: filtrado basado en puertos de origen y datos de destino y

filtrado basado en los estados de conexión.

 Firewall de capa de aplicación: filtrado basado en la aplicación, el programa o el servicio.

 Firewall de aplicación consciente del contexto: filtrado basada en el usuario, el dispositivo, la

función, el tipo de aplicación y el perfil de amenazas.

 Servidor proxy: filtrado de solicitudes de contenido web, como URL, dominio, medios, etcétera.

 Servidor de proxy inverso: ubicados frente a los servidores web, los servidores de proxy
inversos protegen, ocultan, descargan y distribuyen el acceso a los servidores web.

 Firewall de traducción de direcciones de red (NAT): ocultan o enmascaran las direcciones

privadas de los hosts de red.

 Firewall basado en host: filtrado de puertos y llamadas de servicio del sistema en el sistema

operativo de una computadora.
Escaneo de puertos

El escaneo de puertos es un proceso de comprobación de una computadora, un servidor u otro host de

red para conocer los puertos abiertos. En redes, a cada aplicación que se ejecuta en un dispositivo se le
asigna un identificador llamado número de puerto. Este número de puerto se utiliza en ambos extremos
de la transmisión para asegurar que los datos estén llegando a la aplicación correcta. El escaneo de
puertos se puede utilizar con fines maliciosos como una herramienta de reconocimiento, para identificar el
sistema operativo y los servicios que se ejecutan en una computadora o un host, o se puede utilizar
inofensivamente por parte de un administrador de red para verificar las políticas de seguridad en la red.

Con el propósito de evaluar el firewall de la red de computadoras y la seguridad de los puertos, puede
utilizar una herramienta de escaneo de puertos, como Nmap, para encontrar todos los puertos abiertos en
su red. El escaneo de puertos se puede considerar como precursor para un ataque a la red y, por lo tanto,
no debe realizarse en servidores públicos en Internet o en la red de una empresa sin permiso.

Para ejecutar el escaneo de puertos Nmap de una computadora en la red doméstica local, descargue y
ejecute un programa como Zenmap, proporcione la dirección IP de destino de la computadora que desea
analizar, elija un perfil de escaneo predeterminado y presione Escanear. El escaneo de Nmap reportará
cualquier servicio que se esté ejecutando (como servicios web, servicios de correo, etc.) y los números de
puerto. El escaneo de puertos generalmente provoca alguna de estas tres respuestas:

 Abierto o aceptado: el host respondió e indicó que hay un servicio activo en el puerto.

 Cerrado, denegado o no escucha: el host respondió e indicó que se denegarán las conexiones
en el puerto.

 Filtrado, caído o bloqueado: no hubo respuesta del host.

Para ejecutar escaneo del puerto desde fuera de la red, deberá iniciar el escaneo desde fuera de la red.
Esto implicará la ejecución de un escaneo de puertos de Nmap con la dirección IP pública del firewall o
router. Para obtener su dirección IP pública, utilice un motor de búsqueda, como Google, con la consulta
“cuál es mi dirección IP”. El motor de búsqueda le devolverá su dirección IP pública.

Para ejecutar un escaneo de los seis puertos más comunes de un router o firewall doméstico, vaya al
escáner de puertos en línea de Nmap en https://hackertarget.com/nmap-online-port-scanner/ e ingrese su
dirección IP pública en el cuadro del formulario: dirección IP para escanear… y presione Escaneo rápido
de Nmap. Si la respuesta es Abierta para cualquiera de los puertos: 21, 22, 25, 80, 443 o 3389, lo más
probable es que esté habilitado el reenvío de puertos en el router o firewall y que ejecute servidores en su
red privada, como se muestra en la figura.

Buenas prácticas de seguridad

Muchas organizaciones nacionales y profesionales han publicado listas de buenas prácticas de seguridad.
La siguiente es una lista de algunas de las buenas prácticas de seguridad:

 Realizar una evaluación de riesgos: conocer el valor de lo que protege ayuda a justificar los
gastos de seguridad.

 Crear una política de seguridad: cree una política que delinee claramente las reglas de la
empresa, las tareas y las expectativas.

 Medidas de seguridad física: restringen el acceso a los centros de datos, a las ubicaciones de

servidores y a los extintores.
  Medidas de seguridad de recursos humanos: los empleados deben ser correctamente
investigados con comprobaciones de antecedentes.

 Efectuar y probar las copias de respaldo: realice copias de respaldo periódicas y pruebe los
datos recuperados de las copias de respaldo.

 Mantener parches y actualizaciones de seguridad: actualice periódicamente los servidores,

computadoras, los programas y sistemas operativos de los dispositivos de red.

 Implementar controles de acceso: configure los roles de usuario y los niveles de privilegio, así
como una autenticación de usuario sólida.

 Revisar periódicamente la respuesta ante incidentes: utilice un equipo de respuesta ante

incidentes y pruebe los escenarios de respuesta ante emergencias.

 Implementar una herramienta de administración, análisis y supervisión de red: seleccione

una solución de monitoreo de seguridad que se integre con otras tecnologías.

 Implementar dispositivos de seguridad de la red: utilice routers de nueva generación,

firewalls y otros dispositivos de seguridad.

 Implementar una solución de seguridad integral para terminales: utilice software antivirus y

antimalware de nivel empresarial.

 Informar a los usuarios: educar a los usuarios y a los empleados sobre los procedimientos
seguros.

 Cifrar los datos: cifrar todos los datos confidenciales de la empresa, incluido el correo
electrónico.

Algunas de las pautas más útiles se encuentran en los depósitos organizacionales, como el Centro de
Recursos de Seguridad Informática del Instituto Nacional de Normas y Tecnología (NIST, por sus siglas
en inglés), según se muestra en la figura.

Una de las organizaciones más conocidas y respetadas para la capacitación en ciberseguridad es el

SANS Institute. Haga clic aquí para obtener más información sobre SANS y los tipos de capacitación y
certificaciones que ofrece.

Botnet

Un botnet es un grupo de bots conectados a través de Internet con la capacidad de ser controlados por un
individuo o grupo malicioso. Una computadora bot se infecta generalmente por visitar un sitio web, abrir
un elemento adjunto de correo electrónico o abrir un archivo de medios infectado.

Un botnet puede tener decenas de miles o incluso cientos de miles de bots. Estos bots se pueden activar
para distribuir malware, lanzar ataques DDoS, distribuir correo electrónico no deseado o ejecutar ataques
de contraseña por fuerza bruta. Los botnets por lo general se controlan a través de un servidor de
comando y control.
Los delincuentes cibernéticos alquilan a menudo los botnets, por un monto, a otros proveedores para
fines infames.

La figura muestra cómo un filtro de tráfico de botnet se utiliza para informar a la comunidad de seguridad
mundial las ubicaciones de los botnets.

Cadena de eliminación o proceso de ataque (Kill Chain) en la

ciberdefensa

En la ciberseguridad, la cadena de eliminación o proceso de ataque (Kill Chain) representa las etapas de
un ataque a los sistemas de información. Desarrollada por Lockheed Martin como marco de seguridad
para la respuesta y la detección de incidentes, la cadena de eliminación consta de los siguientes pasos:

Etapa 1. Reconocimiento: el atacante recopila información sobre el objetivo.

Etapa 2. Armamentización: el atacante crea un ataque y contenido malicioso para enviar al objetivo.

Etapa 3. Entrega: el atacante envía el ataque y la carga maliciosa al objetivo por correo electrónico u
otros métodos.

Etapa 4. Explotación: se ejecuta el ataque.

Etapa 5. Instalación: el malware y las puertas traseras se instalan en el objetivo.

Etapa 6. Mando y control: se obtiene el control remoto del objetivo mediante un servidor o canal de
comando y control.

Etapa 7. Acción: el atacante realiza acciones maliciosas, como el robo de información, o ejecuta ataques
adicionales en otros dispositivos desde dentro de la red a través de las etapas de la cadena de
eliminación nuevamente.

Para defendernos de la cadena de eliminación, existen acciones de seguridad diseñadas en torno a las
etapas de la cadena de eliminación. Estas son algunas preguntas sobre las defensas de seguridad de una
empresa en función de la cadena de eliminación:

• ¿Cuáles son los indicadores de ataque en cada etapa de la cadena de eliminación?

• ¿Qué herramientas de seguridad son necesarias para detectar los indicadores de ataque en cada una
de las etapas?

• ¿Hay brechas en la capacidad de la empresa para detectar un ataque?

Según Lockheed Martin, comprender las etapas de la cadena de eliminación permite poner obstáculos
defensivos, demorar el ataque y, finalmente, evitar la pérdida de datos. La figura muestra cómo cada
etapa de la cadena de eliminación equivale a un aumento en la cantidad de esfuerzo y costos para
impedir y corregir ataques.

Herramientas para prevención y detección de incidentes

Estas son algunas de las herramientas utilizadas para detectar y evitar incidentes de seguridad:
  SIEM: un sistema de administración de información y eventos de seguridad (SIEM) es un
software que recopila y analiza las alertas de seguridad, los registros y otros datos históricos y en
tiempo real de los dispositivos de seguridad de la red.

 DLP: el software Data Loss Prevention (DLP) es un sistema de hardware o software diseñado
para evitar el robo o la fuga de datos confidenciales de la red. El sistema DLP puede concentrarse
en la autorización de acceso a los archivos, el intercambio de datos, la copia de datos, la
supervisión de la actividad del usuario y más. Los sistemas DLP están diseñados para supervisar y
proteger los datos en tres diferentes estados: datos en uso, datos en movimiento y datos
almacenados. Los datos en uso se centran en el cliente, los datos en movimiento se refieren a los
datos mientras viajan a través de la red y los datos almacenados se refieren al almacenamiento de
datos.

 Cisco ISE y TrustSec: Cisco Identity Services Engine (Cisco ISE) y Cisco TrustSec aplican el
acceso a los recursos de red mediante la creación de políticas de control de acceso basado en roles
que segmenta el acceso a la red (usuarios temporales, usuarios móviles, empleados) sin
complejidad agregada. La clasificación del tráfico se basa en la identidad del usuario o el
dispositivo. Haga clic en Reproducir en la figura para obtener más información sobre el ISE.

IDS e IPS

Un sistema de detección de intrusiones (IDS), que se muestra en la figura, es un dispositivo de red

exclusivo, o una de varias herramientas en un servidor o firewall que analiza los datos de una base de
datos de reglas o firmas de ataque, que busca tráfico malicioso. Si se detecta una coincidencia, el IDS
registrará la detección y creará una alerta para el administrador de la red. El sistema de detección de
intrusiones no adopta medidas cuando se detecta una coincidencia, por lo que no evita que se produzcan
los ataques. El trabajo del IDS es simplemente detectar, registrar y generar informes.

El análisis que realiza el IDS ralentiza la red (esto se denomina latencia). Para evitar el retraso de la red,
el IDS generalmente se configura sin conexión, separado del tráfico de red común. Los datos se copian o
duplican mediante un switch y luego se reenvían a los IDS para la detección sin conexión. También
existen herramientas del IDS que pueden instalarse sobre un sistema operativo de la computadora host,
como Linux o Windows.

Un sistema de prevención de intrusiones (IPS) tiene la capacidad de bloquear o denegar el tráfico en

función de las coincidencias positivas de la regla o la firma. Uno de los IPS/IDS más reconocidos es
Snort. La versión comercial de Snort es Sourcefire de Cisco. Sourcefire tiene la capacidad de realizar el
análisis de tráfico y puerto en tiempo real, registrar, buscar y comparar contenido; puede detectar sondas,
ataques y escaneos de puertos. También se combina con otras herramientas de terceros para informar y
analizar el rendimiento y los registros.

Asuntos legales personales

Ni siquiera tiene que ser un empleado para estar sujetos a las leyes de la ciberseguridad. En su vida
privada, puede tener la oportunidad y las habilidades de hackear la computadora o la red de otra persona.
Hay un antiguo dicho, "Solo porque puede no significa que deba
hacerlo". Tenga en cuenta esto. La mayoría de los hackers dejan huellas, lo sepan o no, y estas
huellas pueden rastrearse hasta el hacker.
Los profesionales de la ciberseguridad desarrollan muchas habilidades que se pueden utilizar para bien o
mal. Los que utilizan sus habilidades dentro del sistema legal, para proteger la infraestructura, las redes y
la privacidad siempre tienen alta demanda

¿Qué dos herramientas utilizadas para la detección de incidentes se pueden

utilizar para detectar comportamientos anómalos, tráfico de comando y
control, así como hosts infectados? (Elija dos opciones).

 Nmap
 NetFlow
 Trampa (honeypot)
 Sistema de detección de intrusiones
 Un servidor proxy invertido

 Barra de navegación

¿Qué herramienta se usa para atraer a un atacante para que un administrador

pueda capturar, registrar y analizar el comportamiento del ataque?
 Nmap
 NetFlow
 Trampa (honeypot)
 IDS
4. Al describir malware, ¿cuál es la diferencia entre un virus y
un gusano?

Introduction to Cybersecurity v2.1 Examen final p4

Un virus puede utilizarse para ofrecer anuncios sin el consentimiento del usuario,
mientras que el gusano no puede.
Un virus se replica adjuntándose a otro archivo, mientras que un gusano
puede replicarse independientemente.*
Un virus puede utilizarse para iniciar un ataque de DoS (pero no de DDoS),
mientras que un gusano puede utilizarse para iniciar ataques de DoS y DDoS.
Un virus se centra en obtener acceso privilegiado a un dispositivo, mientras que
un gusano no.