Ciberseguridad¿Qué es la ciberseguridad? Evaluación del riesgo

II.

Evaluación del riesgo

El riesgo es un concepto clave de la ciberseguridad. Algunos definen el riesgo de ciberseguridad como Ac + Am + V = riesgo. En la ecuación anterior, Ac significa activo, Am significa amenaza y V significa vulnerabilidad.

  • Activo: un activo es cualquier cosa que pueda considerarse datos sensibles, o que proporcione acceso a dichos datos. Puede ser tu información privada, un dispositivo o un componente de un sistema que se considera valioso.

  • Amenaza: la amenaza puede consistir en un hacker malintencionado, un delincuente o un miembro de la organización que robe información, pero también puede ser accidental, como un fallo técnico o un error del usuario que pueda poner en peligro los datos (el activo).

  • Vulnerabilidad: una vulnerabilidad es un defecto que puede destruir, dañar o comprometer el activo. En el caso del software, una vulnerabilidad suele ser un defecto en el código del programa (un bug) o en la forma en que el programa revela los datos o permite acceder a ellos.

La serie de normas ISO 27000, que rigen la seguridad de la información, añade a la definición el concepto de impacto. Evaluar el impacto permite determinar la prioridad de cada riesgo. Por ejemplo, un riesgo con una alta probabilidad, pero muy poco impacto, podría situarse más abajo en la lista de riesgos, para que los responsables puedan centrarse en otro riesgo menos probable, pero con un impacto mucho mayor. Al añadir el impacto a la definición y reescribir la ecuación como V × Am × I = riesgo, se tiene en cuenta el hecho de que la evaluación de riesgos es más bien una multiplicación.

La serie de normas ISO 27000 comprende los estándares que más aplican las empresas en Europa. En ellos se proponen prácticas recomendadas para gestionar la seguridad de la información, normalmente en el contexto de un sistema de gestión de la seguridad de la información (SGSI).

La serie ISO 9000 define un conjunto de normas para el control y la gestión de la calidad y proporciona un marco más amplio, que muchas empresas tratan de aplicar.

Ejemplo

Si pensamos en paralelismos con la vida real, un activo sería algo valioso que tienes en casa, como un televisor nuevo; una vulnerabilidad es como una puerta sin cerrar, y una amenaza es un delincuente que se aprovecha de la vulnerabilidad. Todo esto tiene como consecuencia el robo de tu televisor, que sería el impacto.

Un ejemplo de Internet sería utilizar una contraseña débil (vulnerabilidad) para proteger tu cuenta de Facebook (activo) frente a alguien que quiera entrar en ella y robar tu identidad (amenaza). El impacto, en este caso, es la pérdida de tu cuenta y de la información que contiene.

En ambas situaciones, hay un riesgo que existe solamente porque hay un activo, una vulnerabilidad, una amenaza y un impacto.

También es bueno tener en cuenta que las vulnerabilidades no siempre son defectos involuntarios, como una ventana sin cerrar, sino que pueden ser debilidades creadas conscientemente que, en el caso de los ordenadores, se suelen denominar puertas traseras.

Tipos de vulnerabilidades

Hay muchos tipos de vulnerabilidades, que abarcan una amplia variedad de objetivos y métodos. Una vulnerabilidad puede ser, por ejemplo, un control de acceso mal implementado, una gestión insuficiente de los datos introducidos o la explotación de una debilidad conocida de un chip informático. Es difícil clasificar de forma genérica estos tipos de vulnerabilidades. La norma ISO 27005 incluye una clasificación de las vulnerabilidades en función del activo:

  • Hardware

    • Susceptibilidad a la humedad o al polvo

    • Susceptibilidad al almacenamiento no protegido

    • Desgaste por antigüedad que da lugar a fallos

    • Sobrecalentamiento

  • Software

  • Red

  • Personal

  • Instalaciones físicas

    • Zona susceptible a catástrofes naturales (como inundaciones o terremotos)

    • Interrupción del suministro eléctrico

  • Organización

    • Falta de auditorías periódicas

    • Falta de planes de continuidad

    • Falta de seguridad

Es importante tener presente que un número sorprendentemente alto de vulnerabilidades se debe a los seres humanos. A veces, la manera más fácil de acceder a información confidencial o secreta es emplear métodos como la ingeniería social (engañar a alguien para que revele información). En las vulnerabilidades de la clasificación también se observa que no todas ellas se deben a que haya personas que las aprovechen: también pueden tener causas naturales. Los terremotos, las inundaciones y otras catástrofes naturales pueden provocar la pérdida de información, que puede tener consecuencias tan graves como un robo de información confidencial si no se aplican procedimientos de copia de seguridad o si estos no funcionan.

A lo largo de este curso, abordaremos algunos tipos de vulnerabilidades, pero hay tantas categorías específicas que es imposible abarcarlas todas. Para obtener más información sobre los diferentes tipos de vulnerabilidades, consulta este ejemplo.

Imagen de un portátil con una puerta trasera abierta en la cara posterior de la pantalla
Imagen de un portátil con una puerta trasera abierta en la cara posterior de la pantalla

Puertas traseras

Según Microsoft, una backdoor (puerta trasera) es «una entrada oculta a un sistema informático que puede utilizarse para eludir políticas de seguridad».

Es similar a tener un edificio totalmente cerrado con llave, pero dejar una ventana abierta o esconder un juego de llaves en una maceta. Permite sortear el resto de los mecanismos que protegen el objetivo, a menudo sin dejar ningún rastro de haber entrado. Cuando hay una puerta trasera, la seguridad del sistema depende de que no la encuentre ningún usuario no autorizado.

Algunos sistemas y servicios vienen configurados con usuarios predeterminados y contraseñas conocidas, que pueden dejarse activados sin querer, lo que hace que el sistema sea vulnerable a los atacantes. Son diferentes de las cuentas administrativas protegidas correctamente, dado que, con estas últimas, solo conocen la contraseña las personas autorizadas.

Puertas traseras de hardware

No solo las aplicaciones pueden tener puertas traseras: también se pueden encontrar en el hardware, por ejemplo, en la placa base del ordenador.

Además, es posible eludir las medidas de seguridad de los proveedores de tecnología si la cadena de suministro en su conjunto no está bien vigilada. Si la empresa no controla toda la cadena de suministro, alguien puede introducir una puerta trasera en un punto débil de la cadena sin que el fabricante se dé cuenta. Este tipo de puertas traseras se denominan puertas traseras de la cadena de suministro. Y no es solo una teoría: la Agencia de Seguridad Nacional de Estados Unidos ya ha instalado una puerta trasera de esa manera.

En el Informe de defensa digital de Microsoft publicado en septiembre del 2020, Microsoft estima que el 7 % de sus notificaciones de seguridad están relacionadas con ataques a la cadena de suministro.

Ejemplo

Los ataques a la cadena de suministro no afectan solamente al hardware. Hay un método que tal vez sea aún más dañino: consiste en quebrantar los servicios de una empresa y hacer modificaciones en las actualizaciones de software que suministran a sus usuarios. Uno de esos ataques se hizo público en diciembre del 2020, cuando se vulneraron los servicios de SolarWinds (una empresa que ofrece principalmente soluciones para gestionar redes) y su software se modificó para incluir una puerta trasera que permitía al atacante, o a cualquiera que supiera dónde buscar, acceder a todas las empresas que instalaran la actualización. Según SolarWinds, la instalaron «casi 18 000» empresas.

Las más destacadas —y muchos sospechan que esos eran los verdaderos objetivos— fueron la mayoría de las agencias gubernamentales estadounidenses y sus redes. El Departamento de Defensa de Estados Unidos también fue una de las víctimas. Se cree que el ataque provino del grupo de hackers rusos APT, también llamado Cozy Bear, aunque aún no se ha confirmado su autoría.

El problema de las puertas traseras

El principal problema de las puertas traseras es que dependen de que su existencia se mantenga en secreto. Esto se llama seguridad por oscuridad. Si un atacante descubre la puerta trasera, puede utilizarla igual que un usuario autorizado. Actualmente, los Gobiernos y las agencias de inteligencia ejercen mucha presión para que las empresas tecnológicas instalen puertas traseras en sus tecnologías que permitan el acceso de las autoridades para investigar delitos o prevenir ataques terroristas. Sin embargo, si se instalan esas puertas traseras, lo más probable es que también las descubran personas no autorizadas y constituyan un enorme riesgo para la privacidad.

Note

¿Qué puedo hacer con respecto a las puertas traseras?

Si ni siquiera sabes si existe una puerta trasera, es muy difícil defenderla. Sin embargo, puedes asegurarte de cambiar las credenciales predeterminadas en dispositivos como los routers Wi-Fi. También deberías desactivar las cuentas de invitado permitidas en algunos sistemas operativos.

Modelado de amenazas: pensar en los riesgos

Los especialistas en seguridad emplean diversos métodos de evaluación de riesgos para definir y valorar el potencial de un riesgo y la magnitud de su impacto si llegara a producirse. En el ámbito de la ciberseguridad, se suele hablar de modelado de amenazas. Consiste en identificar y ordenar por prioridades las posibles amenazas y medidas de mitigación para proteger algo de valor, un activo, como los datos confidenciales o la propiedad intelectual.

Un marco de modelado de amenazas que se suele usar es STRIDE, desarrollado por Microsoft. STRIDE es un código mnemotécnico que, en inglés, hace referencia a los siguientes términos:

  • Suplantación (Spoofing): hacerse pasar por algo o alguien.

  • Manipulación (Tampering): modificar datos o código.

  • Repudio (Repudiation): afirmar que no se ha realizado una acción.

  • Revelación de información (Information disclosure): exponer información a alguien no autorizado para verla.

  • Denegación de servicio (Denial of service): denegar o degradar el servicio prestado a los usuarios.

  • Elevación de privilegios (Elevation of privilege): obtener derechos sin la debida autorización.

Estas son todas las posibles amenazas incluidas en el modelo, que se evalúan para detectar posibles vectores de ataque. Los vectores de ataque son los diversos procesos, almacenes de datos, interfaces y límites de confianza identificados en un sistema. STRIDE forma parte del modelo de amenazas del Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft. Aquí puedes consultar más información sobre STRIDE.

Part summary

Al finalizar el capítulo 1, deberías ser capaz de:

  • Explicar los conceptos básicos de la ciberseguridad, incluyendo su significado y por qué es importante.

  • Explicar qué es un hacker.

  • Entender lo que significa riesgo en el contexto de la ciberseguridad.

You reached the end of Chapter 1

Correct answers

0%

Exercises completed

0/0

Next Chapter
2. Identidad y privacidad

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Este curso se ha elaborado bajo la iniciativa Digital SkillUp, el nombre comercial de los productos creados en el marco del proyecto European Digital Academy, financiado por la Comisión Europea con el apoyo del Parlamento Europeo. El objetivo de este proyecto es poner a disposición de las pymes y de todos los ciudadanos conocimientos básicos sobre tecnologías emergentes. Aspira a crear un entorno de formación en línea que ofrezca a todo el mundo contenidos y oportunidades de aprendizaje sobre temas como la IA, el blockchain, la robótica, la ciberseguridad y el IoT.

Este proyecto ha recibido financiación de la Unión Europea. 
Esta comunicación refleja únicamente el punto de vista del autor. No representa la opinión de la Comisión Europea y la CE no es responsable de ningún uso que pueda hacerse de la información que contiene.