La presente publicación ofrece una opción de consulta para iniciativas relacionadas con Ciberseguridad
El lector será capaz de:
-Identificar los principales sectores donde la ciberseguridad es necesaria
-Ubicar los principios internacionalmente aceptados para con la ciberseguridad
-Proporcionar guía para gobernar la arquitectura de ciberseguridad en
1-El individuo
2-Las Instituciones
-Apreciar en una demostración práctica un escenario de Ciberseguridad, Explotación de Vulnerabilidades en el Ciberespacio (solo en modo de exposición presencial)
Para reflexionar:
-Paz y Defensa
-Tipos de Paz, Tipos de Seguridad
-Ciberdefensa Personal
-Ciberdefensa Institucional
-El abuso de uso de la palabra Cyber (Ciber)
-El Quinto Dominio (El Ciberespacio)
-Estrategias y Programas de Ciberseguridad y Ciberdefensa
-Consideraciones finales
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
Taller de Ciberseguridad ALAPSI AC en la Universidad Iberoamericana México 05Jul2014
1. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 1
Taller de Ciberseguridad
5 Julio 2014
Universidad Iberoamericana
Ciberseguridad
Contexto de la Práctica - Gonzalo Espinosa
Práctica del Contexto – Edgar Chillón
2. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 2
Ponentes
CIBERSEGURIDAD, CONTEXTO DE LA PRÁCTICA
Gonzalo Espinosa
(mx.linkedin.com/in/gonzaloespinosasp/)
Comisión de Gobernabilidad
Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
CIBERSEGURIDAD, PRÁCTICA DEL CONTEXTO
Edgar Chillón
(mx.linkedin.com/pub/edgar-chillón-escárcega/b/b96/998/en)
Integrante de la Comisión de Respuesta a Incidentes CSIRT
Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
Agenda
• 9:00 a 10:45 Ciberseguridad, Contexto de la Práctica - Gonzalo Espinosa
• 10:45 a 11:00 Descanso
• 11:00 a 13:00 Ciberseguridad, Práctica del Contexto – Edgar Chillón
3. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 3
Objetivos
• Ofrecer una opción de consulta para iniciativas relacionadas con
Ciberseguridad
• Al término de la sesión, el asistente será capaz de
– Identificar los principales sectores donde la ciberseguridad es necesaria
– Ubicar los principios internacionalmente aceptados para con la ciberseguridad
– Proporcionar guía para gobernar la arquitectura de ciberseguridad en
• El individuo
• Las Instituciones
– Apreciar en una demostración práctica un escenario de Ciberseguridad
• Explotación de Vulnerabilidades en el Ciberespacio
CONTEXTO DE LA PRÁCTICA
GONZALO ESPINOSA
Ciberseguridad
4. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 4
Tópicos
• Para reflexionar: Paz y Defensa
• Tipos de Paz, Tipos de Seguridad
• Ciberdefensa Personal
• Ciberdefensa Institucional
• El abuso de uso de la palabra Cyber (Ciber)
• El Quinto Dominio (El Ciberespacio)
• Estrategias y Programas de Ciberseguridad y Ciberdefensa
• Consideraciones finales
Cibernética
• Arte de gobernar una nave
• Estudio de las analogías entre los sistemas de control y comunicación
– De los seres vivos y los de las máquinas;
• En particular, el estudio de las aplicaciones
– De los mecanismos de regulación biológica a la tecnología.
• 1. adj. Perteneciente o relativo a la cibernética.
• 2. adj. Dicho de una persona: Que cultiva la cibernética.
5. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 5
Cibernética-Ejemplo
Analogías entre los sistemas de control y comunicación
de los seres vivos y los de las máquinas
Entrada Proceso Salida
Ser Vivo
Máquina
Ciberespacio
• Dimensión donde interactúan
los sistemas de control y de
comunicación
– De los seres vivos y los de las
máquinas
• Incluye las aplicaciones de los
mecanismos
– De regulación biológica a la
tecnología.
• Diferenciador
– La alta velocidad de
interacción
• E.g. Router de
Comunicaciones
6. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 6
Ciberseguridad
• Seguridad para el Ciberespacio
• Seguridad para garantizar la
continuidad de las operaciones
– De los sistemas de control y
comunicación
– De los seres vivos y los de las
máquinas
• Incluye la seguridad antes, durante
y después
– De las aplicaciones de los
mecanismos de regulación
biológica a la tecnología.
• E.g. Automóvil con sensores
Ciberseguridad
• Seguridad para el Ciberespacio
• Seguridad para garantizar la
continuidad de las operaciones
– De los sistemas de control y
comunicación
– De los seres vivos y los de las
máquinas
• Incluye la seguridad antes, durante
y después
– De las aplicaciones de los
mecanismos de regulación
biológica a la tecnología.
• E.g. Automóvil con sensores
7. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 7
Ciberseguridad – Premisas
• La Seguridad es un estatus
trabajado y obtenido por el
individuo, las organizaciones y las
naciones.
– ¿Merece ser Defendida?
• La Ciberseguridad es un estatus
trabajado y obtenido por el
individuo, las organizaciones y las
naciones.
– ¿Merece ser Defendida?
Para reflexionar:
¿“Si quieres estar en Paz (CiberSeguridad), prepárate
para la defensa (Hackeo/Ciberdefensa)”?
• Ciberseguridad
– Para el individuo / Personal
– Para Instituciones Gubernamentales
– Para la Prensa
– Para la Iniciativa Privada
– Para las Organizaciones No
Gubernamentales (ONGs) y Público en
General
– Para la Academia
STAKEHOLDERS EXTERNOS
(*) En texto resaltado, son los temas a revisar
8. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 8
Para reflexionar:
“Si quieres estar en Paz (CiberSeguridad), prepárate para
la defensa (Hackeo/Ciberdefensa)”
• ¿Quién de los asistentes … ha tomado clases de defensa física personal?
– ¿Cuándo aplicó lo aprendido? ¿Cómo le fue?
– ¿Perfeccionaría con la práctica diaria lo aprendido?
– Ya perfeccionada la práctica,
• ¿Daría clases en una Escuela de Defensa Física Personal?
– ¿Cómo garantiza el ejercicio ético de los conocimientos adquiridos?
Para reflexionar:
“Si quieres estar en Paz (CiberSeguridad), prepárate para
la defensa (Hackeo/Ciberdefensa)”
• ¿Quién de los asistentes … En caso de que no haya tomado clases de defensa
física personal
– ¿Tomaría hoy clases de defensa física personal?
– ¿De que dependería la decisión?
• Tiempo?
• Dinero?
• Emociones?
• Energía?
• Otr@?
9. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 9
Para reflexionar:
“Si quieres estar en Paz (CiberSeguridad), prepárate para
la defensa (Hackeo/Ciberdefensa)”
• ¿Quién de los asistentes … Como padre/madre de familia
– ¿Mandarías a clases de Defensa Personal a tu hij@?
– De que dependería la decisión de enviar o no a tu hij@?
• Tiempo?
• Dinero?
• Emociones?
• Energía?
• Otr@?
– Padre / Madre,
• ¿Cómo garantizarías en tu hij@ el ejercicio ético de los conocimientos adquiridos?
Defensa/Seguridad
• ¿Qué se percibe con la palabra
“Defensa”?
– Solo Defender
– Defender MÁS Ofender (en
“legítima” Defensa)
• Ambos reconocen un tiempo,
reglas y un arbitro
– Defender, MÁS Ofender, MÁS
dejar fuera de operación al
Ofensor (en “legítima” Defensa)
• Ausencia de tiempo, reglas y de
arbitro
• Fuera de Operación al Ofensor
– Sus Individuos
– Sus Procesos
– Sus Infraestructura
– O los tres
• Ofensor
– Vivo – para aplicación de Justicia
– Muerto – ?
10. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 10
Tipos de Paz
Tipos de Defensa/Seguridad
• Persona (Usuario de Tecnología):
– “Si quieres estar en status de Paz Personal (status de CiberSeguridad Personal),
prepárate en temas de defensa personal (Hackeo de Defensa
Personal/Ciberdefensa Personal)”
• Institución Gubernamental (Usuario Institucional de Tecnología):
– “Si quieres estar en status de Paz Institucional (status de CiberSeguridad
Institucional), prepárate en temas de defensa Institucional (Hackeo de Defensa
Institucional /Ciberdefensa Institucional)”
Tipos de Paz – Tipos de Seguridad
• Manual / Curso de Ciber-Defensa, Personal
– Para Personas
• Manual / Curso de Ciber-Defensa, Institucional de Gobierno
– Para Instituciones de Gobierno
• Manual / Curso de Ciber-Defensa, Iniciativa Privada
– Para Empresas Privadas
• Manual / Curso de Ciber-Defensa, ONGs y Sociedad en General
– Para Organizaciones No Gubernamentales, Padres de familia e hijos
• Manual / Curso de Ciber-Defensa, Prensa
– Para Reporteros y Periodistas
• Manual / Curso de Ciber-Defensa, Academia
– Para Universidades, Preparatorias, Secundarias
11. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 11
• Manual / Curso de Ciber-Defensa, Personal
– Para Personas
Persona (Usuario de Tecnología): “Si quieres estar en status de Paz Personal (status
de CiberSeguridad Personal), prepárate en temas de defensa personal (Hackeo de
Defensa Personal/Ciberdefensa Personal)”
“Si quieres estar en status de Paz Institucional (status de CiberSeguridad
Institucional), prepárate en temas de defensa Institucional (Hackeo de
Defensa Institucional /Ciberdefensa Institucional)”
• Documento / Curso de Ciber-Defensa, Institucional de Gobierno
– Para Instituciones de Gobierno, en primera instancia
12. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 12
“Si quieres estar en status de Paz Institucional (status de CiberSeguridad
Institucional), prepárate en temas de defensa Institucional (Hackeo de
Defensa Institucional /Ciberdefensa Institucional)”
• Documento / Curso de Ciber-Defensa, Institucional de Gobierno
– Para Instituciones de Gobierno, en primera instancia
CIBERDEFENSA INSTITUCIONAL
Ciberseguridad
13. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 13
“Si quieres estar en status de Paz Institucional (status de CiberSeguridad
Institucional), prepárate en temas de defensa Institucional (Hackeo de
Defensa Institucional /Ciberdefensa Institucional)”
• Documento / Curso de Ciber-Defensa, Institucional de Gobierno
– Para Instituciones de Gobierno, en primera instancia
SOCIEDAD CON INSTITUCIONES
INSTITUCIONES CON MIEMBROS DE LA SOCIEDAD
Ciberdefensa Institucional
14. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 14
Ciberdefensa Institucional
Ciberseguridad y otros dominios de seguridad
Ciberdefensa Institucional
La quinta dimensión para la Seguridad
15. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 15
Ciberdefensa Institucional
¿“Si quieres estar en Paz (CiberSeguridad), prepárate para la
defensa (Hackeo/Ciberdefensa)”?
CIIP: Critical Information Infrastructure Protection
Ciberdefensa Institucional
¿“Si quieres estar en Paz (CiberSeguridad), prepárate para
la defensa (Hackeo/Ciberdefensa)”?
• Mundo Físico - Personal
16. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 16
Ciberdefensa Institucional
¿“Si quieres estar en Paz (CiberSeguridad), prepárate para la
defensa (Hackeo/Ciberdefensa)”?
• Mundo Ciber - Institucional
Ciberdefensa Institucional
¿“Si quieres estar en Paz (CiberSeguridad), prepárate para la
defensa (Hackeo/Ciberdefensa)”?
• Mundo Ciber - Institucional
17. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 17
Conclusiones Ciberseguridad – Ciberdefensa
¿“Si quieres estar en Paz (CiberSeguridad), prepárate para la defensa (Hackeo/Ciberdefensa)”?
STAKEHOLDERS
EXTERNOS
Ciberseguridad
• Para el individuo / Personal
• Para Instituciones
Gubernamentales
• Para la Prensa
• Para la Iniciativa Privada
• Para las Organizaciones No
Gubernamentales (ONGs) y
Público en General
• Para la Academia
Referencias
• Cybersecurity Tree
– http://image.slidesharecdn.com/cybers
ecurityslowhangingfruit-
140701152018-phpapp01/95/slide-1-
638.jpg?cb=1404246037
• Cybersecurity Strategy of the European
Union
• OECD-Directrices Seguridad de Sistemas
y Redes de Información
• Principios de la Sociedad de la
Información Ginebra 2003-Tunez 2005
• Plan Nacional de Desarrollo 2013-2018.
México
• Guía del Taller Prevención contra el
Delito Cibernético. México
• Manual Secretaria Nacional de Gestión
de Riesgos 2012. Guayaquil. Ecuador
• Asociación Latinoamericana de
Profesionales en Seguridad Informática
A.C.
– www.alapsi.org
• ISACA Latin CACS
– Information Security and Risk
Management Conference, Ciberguerra
101. Sesión 133. 30 Sept 2013. Ronald
Fabian Garzón
• Nuevas dimensiones del cuerpo
humano
– http://revista.escaner.cl/taxonomy/ter
m/14
18. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 18
CONTEXTO DE LA PRÁCTICA
GONZALO ESPINOSA
Ciberseguridad
Taller de Ciberseguridad
5 Julio 2014
Universidad Iberoamericana
Ciberseguridad
Contexto de la Práctica - Gonzalo Espinosa
Práctica del Contexto – Edgar Chillón
19. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 19
Ponentes
CIBERSEGURIDAD, CONTEXTO DE LA PRÁCTICA
Gonzalo Espinosa
(mx.linkedin.com/in/gonzaloespinosasp/)
Comisión de Gobernabilidad
Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
CIBERSEGURIDAD, PRÁCTICA DEL CONTEXTO
Edgar Chillón
(mx.linkedin.com/pub/edgar-chillón-escárcega/b/b96/998/en)
Integrante de la Comisión de Respuesta a Incidentes CSIRT
Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
Agenda
• 9:00 a 10:45 Ciberseguridad, Contexto de la Práctica - Gonzalo Espinosa
• 10:45 a 11:00 Descanso
• 11:00 a 13:00 Ciberseguridad, Práctica del Contexto – Edgar Chillón
20. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 20
Objetivos
• Ofrecer una opción de consulta para iniciativas relacionadas con
Ciberseguridad
• Al término de la sesión, el asistente será capaz de
– Identificar los principales sectores donde la ciberseguridad es necesaria
– Ubicar los principios internacionalmente aceptados para con la ciberseguridad
– Proporcionar guía para gobernar la arquitectura de ciberseguridad en
• El individuo
• Las Instituciones
– Apreciar en una demostración práctica un escenario de Ciberseguridad
• Explotación de Vulnerabilidades en el Ciberespacio
CIBERSEGURIDAD. PRÁCTICA DEL CONTEXTO
EDGAR CHILLÓN
Explotación de Vulnerabilidades en el Ciberespacio. Taller Práctico.
21. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 21
Agenda
• Objetivos
– Mostrar a la audiencia la forma en la que se lleva a cabo un ataque
digital a través de ejemplos prácticos como SQL Injection, con el fin
de mostrar el potencial de vulnerabilidades de alto riesgo.
– Ampliar el conocimiento técnico práctico en materia de seguridad y
de hackeo para instituciones privadas, públicas y la academia.
– Despertar la cultura de seguridad en las personas encargadas de
administrar procesos organizacionales a través de elementos
tecnológicos.
SQL INJECTION
Ataque #1 OWASP
22. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 22
SQL Injection
SQL Injection
23. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 23
SQL Injection
SQL Injection
¿Cómo lo haremos?
24. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 24
SQL Injection
Instalación
SQL Injection
Verificación BackEnd (Base de Datos)
25. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 25
SQL Injection
Verificación FrontEnd (Aplicativo – Manual)
SQL Injection
26. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 26
SQL Injection
Verificación FrontEnd (Aplicativo - Semiautomático)
“¿todos con sus GNU/Linux listos?”
COMENCEMOS …
27. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 27
Ponentes
CIBERSEGURIDAD, CONTEXTO DE LA PRÁCTICA
Gonzalo Espinosa
(mx.linkedin.com/in/gonzaloespinosasp/)
Comisión de Gobernabilidad
Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
CIBERSEGURIDAD, PRÁCTICA DEL CONTEXTO
Edgar Chillón
(mx.linkedin.com/pub/edgar-chillón-escárcega/b/b96/998/en)
Integrante de la Comisión de Respuesta a Incidentes CSIRT
Asociación Latinoamericana de Profesionales en Seguridad
Informática, A.C.
Taller de Ciberseguridad
5 Julio 2014
Universidad Iberoamericana
Ciberseguridad
Contexto de la Práctica - Gonzalo Espinosa
Práctica del Contexto – Edgar Chillón
28. Taller de Ciberseguridad ALAPSI AC - IBERO
5Jul2014
Asociación Latinoamericana de Profesionales
en Seguridad Informática A.C.
ALAPSI A.C. Verano 2014 www.alapsi.org 28