021.1 Lección 1

La seguridad de las tecnologías de la información (TI) es esencial para proteger los datos del acceso, uso y distribución no autorizados. Garantiza que la información confidencial (ya sea personal, financiera o de propiedad exclusiva) permanezca confidencial y segura mientras se almacena, utiliza y comparte entre usuarios legítimos. El objetivo principal de la seguridad de TI es proteger a las personas y entidades que representan esta información, evitando daños que podrían resultar de la divulgación o el uso indebido no autorizados.

La seguridad informática protege una amplia gama de datos, desde información pública como mapas y manuales hasta registros altamente sensibles como detalles de salud privados y documentos financieros confidenciales. Si bien el acceso no autorizado a datos públicos puede no representar una amenaza directa, la vulneración de información sensible puede tener consecuencias graves, como robo de identidad, pérdidas financieras y daño a la reputación. Por lo tanto, las medidas de seguridad informática son una prioridad para proteger estos datos críticos.

Además, a medida que las tecnologías de Internet se han expandido, también lo han hecho las oportunidades de ciberataques, lo que hace que la seguridad informática sea cada vez más vital. Internet conecta millones de dispositivos en todo el mundo, lo que aumenta el alcance de los posibles daños derivados de las violaciones de seguridad. Como resultado, se necesitan prácticas de seguridad informática sólidas para protegerse contra estas amenazas, garantizando la seguridad e integridad de los datos a gran escala. De este modo, la seguridad informática protege no solo la tecnología y los sistemas existentes, sino también a las personas y los datos asociados a ellas, de posibles daños y explotación.

La gama de objetivos de seguridad de la información es tan variada y diversa como las personas y entidades responsables de los datos que se protegen. En las secciones siguientes se abordarán en detalle muchos objetivos y metodologías específicas. Para sentar una base sólida, es prudente comenzar con los conceptos básicos aceptados por muchos profesionales de la seguridad de la información. Para lograr esta comprensión, abordaremos tres objetivos fundamentales de la seguridad de la tecnología de la información.

Contrariamente a la creencia popular, no todos los roles y responsabilidades asociados con la seguridad de la información son puramente tecnológicos. En esta sección se examinarán brevemente cuatro de los roles más populares asociados con la seguridad de la información: el director de información, el director de seguridad de la información, el arquitecto empresarial y el administrador de red o de sistema.

El director de sistemas informáticos (CIO) se encuentra en la “C-Suite” (oficinas ejecutivas) de la organización y es responsable de todos los aspectos tecnológicos de la organización. En empresas más pequeñas, este rol también puede incluir responsabilidades administrativas y de seguridad física. Esta persona es responsable de la elaboración de presupuestos, la solicitud y la implementación de cualquier activo bajo su control que cumpla una función tecnológica.

El director de seguridad de la información (CISO) es un ejecutivo de alto nivel responsable de la estrategia general de seguridad de la información de la organización. Esta función incluye el desarrollo de políticas y procedimientos, la garantía del cumplimiento de las normas y la dirección de los esfuerzos de la organización para protegerse contra las amenazas cibernéticas. El CISO desempeña un papel fundamental en la alineación de las iniciativas de seguridad con los objetivos empresariales y en la comunicación de la importancia de la seguridad a la junta ejecutiva y a las partes interesadas. El puesto de CISO está formado por personas con una sólida base de conocimientos tanto en el negocio de la empresa como en el sector tecnológico. Dominan los lenguajes de los negocios y la tecnología, y se espera que sean un “puente” entre el escalón superior de la dirección corporativa y los líderes de las iniciativas tecnológicas. El puesto es relativamente nuevo y ha tenido un éxito limitado. Solo el tiempo dirá si este puesto se mantiene dentro del organigrama.

El Arquitecto Empresarial generalmente responde directamente al CIO y tiene la responsabilidad sobre el sistema de tecnología de la información físico y lógico de la entidad. Esta persona suele tener una gran cantidad de experiencia técnica (especialmente en administración de redes) y diseña la red de la entidad para proporcionar los requisitos de seguridad necesarios.

Los administradores de sistemas de red diseñan, implementan y mantienen los controles de seguridad técnica que protegen la infraestructura de TI de una organización. Son responsables de implementar cortafuegos, sistemas de detección de intrusiones (IDS) y protocolos de cifrado. También desarrollan scripts de automatización para optimizar los procesos de seguridad y garantizar que los sistemas sean resistentes a los ataques.

En paralelo a los muchos roles que existen dentro de las filas legítimas de los profesionales de la tecnología, hay muchos roles y títulos asumidos por aquellos con intenciones ilegítimas. En conjunto, se los conoce en todo el mundo como hackers. Sin embargo, este término general incluye numerosos subgrupos de hackers que operan con una amplia gama de habilidades e intenciones.

Los hackers son personas con conocimientos avanzados de sistemas y redes informáticas. Si bien la percepción pública de los hackers suele ser negativa, no todos tienen intenciones maliciosas. Existen distintos tipos de hackers, que se dividen principalmente en hackers de sombrero negro y de sombrero blanco.

Los hackers de sombrero negro utilizan sus habilidades técnicas para explotar vulnerabilidades con fines maliciosos, como robar datos, interrumpir servicios o dañar sistemas. Operan fuera de los límites de la ley, motivados por el lucro, objetivos políticos o satisfacción personal. Las técnicas que utilizan los hackers de sombrero negro incluyen la implementación de malware, el phishing y la ingeniería social para manipular a las personas para que revelen información confidencial.

Por el contrario, los hackers de sombrero blanco, también conocidos como hackers éticos, emplean sus habilidades para ayudar a las organizaciones a identificar y solucionar vulnerabilidades de seguridad. Los hackers de sombrero blanco suelen ser empleados por empresas o trabajan como consultores independientes para realizar pruebas de penetración y evaluaciones de vulnerabilidad. A diferencia de los hackers de sombrero negro, los hackers de sombrero blanco se adhieren a un estricto código de ética y trabajan dentro de marcos legales para fortalecer la postura de seguridad de una organización y defenderse contra amenazas potenciales.

Por otro lado, los crackers son individuos que se dedican a actividades ilegales, como entrar en sistemas, eludir contraseñas y licencias de software, con la intención de causar daño, robar información o interrumpir servicios. Se considera que los crackers son más maliciosos que los hackers éticos, ya que sus acciones están motivadas únicamente por la intención de explotar sistemas y causar daños sin tener en cuenta la legalidad ni la ética.

Los script kiddies representan una categoría diferente dentro de la comunidad de hackers, que se caracteriza por su falta de experiencia y su dependencia de scripts y herramientas preescritos para llevar a cabo ataques cibernéticos. A diferencia de los hackers expertos, los script kiddies no comprenden del todo las herramientas que utilizan ni suelen tener la capacidad técnica para desarrollar las suyas propias. En cambio, emplean scripts que se encuentran fácilmente disponibles y a menudo obsoletos en Internet para atacar sistemas menos seguros. Su motivación suele surgir del deseo de causar trastornos o ganar notoriedad en lugar de ganancias económicas u objetivos políticos. A pesar de su falta de habilidad, los script kiddies pueden representar una amenaza importante para la seguridad de la información, ya que el uso de herramientas automatizadas puede provocar daños considerables, especialmente cuando atacan sistemas poco seguros.

A medida que los dispositivos informáticos se vuelven parte integral de la sociedad, las tácticas y los motivos de los atacantes cibernéticos evolucionan junto con los avances tecnológicos. Cada nuevo dispositivo o tecnología que se adopta de forma generalizada se convierte en un objetivo potencial de explotación, ya que los actores maliciosos buscan hacer un uso indebido de estas herramientas contra usuarios legítimos. La sofisticación de estos ataques puede variar enormemente, desde operaciones técnicas muy avanzadas que requieren habilidades especializadas hasta esquemas más sencillos que dependen de conocimientos informáticos básicos y la colaboración con otros actores maliciosos.

Un objetivo común de los ciberatacantes es acceder, manipular o eliminar datos. El acceso no autorizado permite a los atacantes robar información confidencial, como propiedad intelectual, registros financieros o datos personales. Estos datos pueden luego usarse para obtener ganancias financieras, chantajear o venderse a la competencia. La manipulación de datos implica alterar la información para interrumpir las operaciones, socavar la confianza o manipular los resultados en sectores críticos como los mercados financieros o las elecciones. Eliminar datos importantes puede perjudicar significativamente las operaciones de una organización, lo que provoca pérdidas financieras y tiempo de inactividad operativa. Un claro ejemplo es el ciberataque de 2014 a Sony Pictures, donde los atacantes accedieron y publicaron datos confidenciales, manipularon registros de empleados y eliminaron información valiosa para crear caos y exigir un rescate.

Otro objetivo principal de los ciberatacantes es interrumpir los servicios y exigir rescates. Esto se puede lograr mediante métodos como los ataques de denegación de servicio distribuido (DDoS), que inundan la red de un objetivo con un tráfico excesivo, lo que hace que los servicios no estén disponibles para los usuarios legítimos. Estos ataques se utilizan a menudo para extorsionar un rescate o causar daños a la reputación de la víctima. Los ataques de ransomware implican el cifrado de datos o sistemas críticos y la exigencia de un pago para restablecer el acceso, extorsionando directamente a las víctimas que no pueden permitirse un tiempo de inactividad prolongado. El ataque de ransomware WannaCry de 2017 es un ejemplo notable, que interrumpió los servicios de numerosas organizaciones en todo el mundo mediante el cifrado de datos y la exigencia de pagos de rescate.

El espionaje industrial es otro objetivo importante de los ciberatacantes, en particular de aquellos que buscan robar secretos comerciales valiosos o información confidencial de las empresas. Estos ataques suelen ser perpetrados por competidores o estados-nación que buscan ventajas económicas. Los objetivos del espionaje industrial incluyen robar secretos comerciales para replicar el éxito de un competidor, socavar la posición de mercado de una empresa mediante el acceso a información confidencial y sabotear operaciones, cadenas de suministro o procesos de fabricación para causar pérdidas financieras y dañar la reputación. Un ejemplo destacado de espionaje industrial es la Operación Aurora de 2010, en la que los atacantes atacaron a grandes empresas como Google y Adobe para robar propiedad intelectual e información confidencial.

El concepto de atribución es esencial en los entornos digitales y es una responsabilidad clave para los profesionales de la seguridad de la información. En términos simples, la atribución implica identificar y asignar responsabilidad a las personas por sus acciones en el espacio virtual. Esta lección presenta el concepto brevemente, porque se explorará en varios contextos a lo largo del curso. La aplicación y la importancia de la atribución pueden diferir según el área específica, como la protección de datos, el cifrado, el hardware de red o la gestión de bases de datos, y estas variaciones se analizarán en detalle más adelante.

Comprender quién es responsable de cualquier acción que se realice dentro de una red (ya sea que implique modificar documentos o eliminar registros almacenados) es fundamental para mantener una postura de seguridad sólida. La atribución no solo fortalece las medidas de seguridad, sino que también hace cumplir la rendición de cuentas. Resulta complicado para un usuario negar sus acciones en un entorno tecnológico cuando existen múltiples sistemas de registro, software especializado y protocolos de Internet que rastrean y registran claramente estas actividades.

La atribución establece un marco de rendición de cuentas, pero no se centra únicamente en identificar conductas indebidas. También se utiliza para reconocer y verificar acciones positivas dentro del espacio digital.

En el mundo físico, el principio de atribución es algo que experimentamos con regularidad, tanto los usuarios técnicos como los no técnicos. Por ejemplo, cuando se reconoce a un autor la redacción de un libro o un artículo, se le reconoce su mérito. De manera similar, cuando se nombra a personas como ganadoras de premios, se les reconoce su mérito por sus logros. Incluso cuando un autor menciona una cita, se aplica la atribución. Piense en la atribución como una “huella de responsabilidad”, un aspecto fundamental de la seguridad de la información que se repetirá a lo largo de su carrera en el ámbito de la seguridad.

Sin embargo, en el ámbito digital, lograr una atribución precisa es una tarea compleja que plantea numerosos desafíos para los profesionales de la seguridad. La tecnología permite a los actores maliciosos disfrazar sus identidades, ocultar sus ubicaciones físicas y ocultar sus verdaderas intenciones. A pesar de estos desafíos, existen soluciones de software y hardware diseñadas para ayudar a los equipos de seguridad a determinar la atribución en entornos digitales, de manera muy similar a las herramientas que utilizan las fuerzas del orden para identificar e investigar la falsificación de moneda. A pesar del conocimiento, la experiencia y las herramientas disponibles para atribuir delitos a sus perpetradores, los delincuentes hábiles a menudo encuentran formas de tener éxito. Las mismas complejidades y desafíos de la atribución en el mundo físico también se aplican al panorama digital.