Este documento trata sobre amenazas y ataques comunes en seguridad informática. Explica las principales amenazas cibernéticas en Ecuador como software malicioso y correo no deseado. También describe recomendaciones para el teletrabajo durante la pandemia como capacitar a empleados sobre phishing y ransomware, usar contraseñas seguras y mantener sistemas actualizados. Además, resalta la importancia de migrar a la nube de forma segura y desarrollar canales digitales.

1. Competencias Digitales en
Seguridad Informática 1
Tema: 3. Amenazas y ataques comunes
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec

2. Nuestra mayor gloria no es no caer nunca, sino
levantarnos cada vez que caemos.

3. Objetivo
• Conocer y utilizar las
políticas y medidas de
seguridad
● 3.1 . Inteligencia de amenazas
● 3.2. Comprensión de la defensa
Contenido

4. ODS
● 4.7: De aquí a 2030, asegurar que todos los alumnos
adquieran los conocimientos teóricos y prácticos
necesarios para promover el desarrollo sostenible, entre
otras cosas mediante la educación para el desarrollo
sostenible y los estilos de vida sostenibles, los derechos
humanos, la igualdad de género, la promoción de una
cultura de paz y no violencia, la ciudadanía mundial y la
valoración de la diversidad cultural y la contribución de la
cultura al desarrollo sostenible
Metas

5. 3.1 . Inteligencia de amenazas

6. Es el conjunto de actividades dirigidas a
proteger el ciberespacio contra el uso indebido
del mismo, defendiendo su infraestructura
tecnológica, los servicios que prestan y la
información que manejan.
Ciberseguridad
¿Cómo estamos?
Contexto general de ciberseguridad
Ecuador ocupa el puesto 80
de 128 países en el ranking global de ciberseguridad
Fuente: https://ncsi.ega.ee/country/ec/ - (Nov 2018)
Ecuador
Perú
Colombia
Chile
80
56
51
38
Ranking regional en ciberseguridad

7. Abonados con internet fijo
Internet fijo 1.8 MM
Ecuatorianos
17 292 715
Abonados con internet móvil al 2019
Internet móvil 8,6 MM
De hogares tienen acceso a internet
al 2017
Hogares internet 39%
Uso de internet en Ecuador
Fuente: Arcotel
Conexión al 2017
Velocidad promedio 6.2Mbps
Cobertura móvil 92%
Comercio electrónico aporta 0,7% al PIB
Fuente: Índice mundial de comercio electrónico

8. Delitos Informáticos
Fuente: Sistema Integrado de Actuación Fiscal – SIAF, 2018.
30
49 38
21
54
6
24
78
55
80
142
9
24
76 83
108
145
12 22
88
64
160
221
Oferta de servicios
sexuales con
menores de
dieciocho años por
medios electrónico
Revelación ilegal de
base de datos
Ataque a la
integridad de
sistemas informáticos
Interceptación ilegal
de datos
Contacto con
finalidad sexual con
menores de
dieciocho años por
medios electrónicos
Acceso no consentido
a un sistema
informático,
telemático o de
telecomunicaciones
Delitos Informáticos
2014 2015 2016 2017

9. Principales ciberamenazas en Ecuador
Fuente: NRD Cyber Security – Panorama de ciberamenazas en Ecuador
*Agencia Europea de Seguridad de las Redes y de la Información
Principales Ciberamenazas en Ecuador
Desviación de la clasificación
con respecto a las tendencias
internacionales
Principales Ciberamenazas 2018 de la *ENISA
1. Suplantación de identidad ↑ 1. Software malicioso
2. Correo no deseado ↑ 2. Ataques basados ​​en la web
3. Software malicioso ↓ 3. Ataques de aplicaciones web
4. Fuga de información ↑ 4. Suplantación de identidad
5. Amenaza interna ↑ 5. Negación de Servicio
6. Manipulación física/daño/robo/pérdida ↑ 6. Correo no deseado
7. Robo de identidad ↑ 7. Redes de bots
8. Ataques de aplicaciones web ↓ 8. Violación de datos
9. Programa de secuestro de datos ↑ 9. Amenaza Interna
10. Negación de servicio ↓ 10. Manipulación física/daño/robo/pérdida
11. Ataques basados ​​en la web ↓ 11. Fuga de información
12. Violación de datos ↓ 12. Robo de identidad
13. Redes de bots ↓ 13. Minería de criptomonedas maliciosa
14. Minería de criptomonedas maliciosa ↓ 14. Programa de secuestro de datos
15. Espionaje cibernético → 15. Espionaje cibernético

10. Fiscalía General del Estado

11. Fiscalía General del Estado

12. La situación
Mantenernos vivos
Mientras aumentamos nuestras capacidades
de pruebas del COVID-19, necesitamos
mantener un distanciamiento físico.
¿Cómo aumentar el distanciamiento
físico sin aumentar el distanciamiento
social?

13. Mantener la operación y
generar ingresos
Migrar a la nube y al teletrabajo
Desarrollar canales digitales de venta
y fortalecer presencia en la Web
Reducir dependencia a un
sector específico
Fortalecer relación con aliados y
distribuidores internacionales
Medir y decidir
continuamente

14. Las compañías públicas y grandes no se
quiebran por incidentes en ciberseguridad.
➔https://s2erc.georgetown.edu/sites/s2erc/files/docu
ments/breachwriteup_pdf_final.pdf
➔https://fluidattacks.com/web/blog/smbs-bankruptcy
Los incidentes son una realidad
Las pequeñas y medianas empresas sí
pueden quebrarse por un incidente de
ciberseguridad.
➔https://www.fbi.gov/coronavirus
➔https://www.cdc.gov/media/phishing.html
➔https://arstechnica.com/information-
technology/2020/03/the-internet-is-drowning-in-
covid-19-related-malware-and-phishing-scams/
Incidentes durante el COVID-19

15. Migrar a la nube
Ir a la nube, desmitificarla y adoptarla de forma masiva, aprovechando
su flexibilidad y economía.
● ¿Qué debemos tener en cuenta en la migración a la nube?
○ Proveedores confiables y certificados AWS, G+, Azure.
○ Entender las responsabilidades adquiridas y tener seguridad en el
despliegue.
○ Passphrases en vez de passwords para evitar hackeo de sistemas en
las consolas de administración.
○ Estrategias de backup continuas.
➔ https://fluidattacks.com/web/blog/remote-work/

16. Riesgos del teletrabajo
● El perímetro en ciberseguridad se difumina
cuando los colaboradores trabajan de forma
remota. La configuración de la
infraestructura debe ser entonces probada
para evitar vulnerabilidades que faciliten
ataques.
● Los empleados están en casa, con mayor
interacción en el correo electrónico, y sin
tener cerca a sus pares para confirmar si los
correos que reciben son de fuentes
confiables.
● Curiosidad en temas relacionados al COVID-
19 y falta de entrenamiento para identificar
correos fraudulentos, convierten a los
empleados en potenciales víctimas y
facilitadores de ataques a las compañías.
● Infraestructura insegura.
➔ https://fluidattacks.com/web/blog/phishing/
➔ https://fluidattacks.com/web/blog/ransomware/

17. Recomendaciones durante teletrabajo
Implementar medidas, en cuanto a ciberseguridad y
privacidad entre los colaboradores:
Capacitar a los colaboradores en phishing y
ransomware, y en cómo evitar ser víctimas o
facilitadores.
○Uso de passphrases en vez de passwords.
○Antivirus y Actualizaciones de los sistemas.
○Definición de usuarios privilegiados.
○Gestión de identidad y autenticación centralizada.
■OKTA, OneLogin.
○Directorio activo central como servicio.
■Jump Cloud, Azure.
○Proveedores seguros de intercambios de archivos.
■Box, Sharefile.
○VPNs.

18. ● Tenga un enfoque proactivo y no reactivo a la seguridad.
● Realice pruebas de seguridad sobre la tecnología desde
las etapas iniciales de desarrollo.
● Pruebe integralmente la tecnología: código fuente,
ambientes dinámicos y pruebas de composición de
software.
● Cierre las vulnerabilidades para ofrecer tecnologías
seguras a clientes y usuarios.
● La seguridad en tecnología es tan importante como la
funcionalidad.
Adopte los canales digitales
➔Cómo desarrollar productos a alta
velocidad sin sacrificar la seguridad.

19. ¿Qué llevarse?
➔Migre hacia la nube de manera proactiva y no reactiva en
cuanto a ciberseguridad.
➔Pruebe integralmente su tecnología como parte de su
proceso de desarrollo.
➔Implemente controles, en cuanto a ciberseguridad y
privacidad en sus sistemas.
➔Sensibilice a los colaboradores en temas de fraudes
electrónicos, pero tenga controles tecnológicos que obligan
a mantener comportamientos seguros.

20. ¿Qué es un centro de operaciones de
seguridad (SOC)?
SIEM
INCIDENT RESPONSE

21. SOC
Personas
Tecnología Procesos
Monitorear Detectar
Investigar

22. NIVEL 2
Gestionar las
Incidencias de
seguridad
derivados de
los equipos
NIVEL 1
Gestionar y
monitorizar
equipos
clientes
¿Cómo funciona un SOC?
SOC

23. ¿Cómo funciona un SOC?
Gestionar las Incidencias de seguridad
derivados de los equipos
Prevención
Hacking ético
Vigilancia digital
Analisis de
Vulnerabilidades
Detección
Monitorización
Amenazas
Correlacion de
eventos
Respuesta de
incidentes
Corrección.
Hardening
Consultoría
Capacitación

24. ¿Que metodología usa un SOC?

25. ¿Que es un SIEM?
Security Information and Event Managenment
SIM + SEM = SIEM
SIM: Sistema Inteligente de Monitoreo
SEM: Sistema de Eventos de Monitoreo

26. INPUTS
Datos de eventos Datos de contexto
Sistema Operativo
Aplicaciones
BDD
Dispositivos
Escaner Vulnerabilidades
Información de usuarios
Información activos
Feeds Inteligencia
SIEM
OUTPUTS
Análisis
Informes
Monitorización
Esquema lógico de un SIEM.

27. Capas lógicas de un SIEM.
Recolección
Correlación
Almacenamiento
Agente:
• Parseo
• Normalización
• Categorización
• Filtrado
Funciones:
• Recepción y almacenamiento de los
eventos
• Análisis de eventos
• Busqueda y notificación de alertas
Almacenamiento de logs:
• Tiempos almacenamiento
• Centralizado
• Logs consultables (Busqueda
/Reportes)
• Integridad

28. Capa física de SIEM.

29. ¿Qué más tiene el SIEM?
SIEM
Control de usuarios.
27001.
Reporte centralizado.
Cuadros de mando.

30. Implementación de un SIEM.
1. Definir el
alcance.
2.Cumplimiento
3. Fuentes de
datos
4. Recursos
criticos.
5. Viabilidad
financiera.

31. Implementación de un SIEM.
1. Definir el alcance.
Actividad económica
¡¿para qué necesitan el SIEM?
Conocimiento real del
funcionamiento de la empresa
2. Cumplimiento.
¿Qué normativa debe cumplir?
¿Solución SIEM más adecuada?
Buena práctica, documentación
especifica.
3. Fuentes de datos
Listados de activos
Compatibilidad fuente SIEM
¿Solución SIEM mas adecuada?
4. Recursos criticos.
Necesidades de protección
estricta
Datos confidenciales
Ej: Legacy, sistemas SWITF
5. Viabilidad financiera.
Costes del Software
Costes del Hardware
Costes de ancho de banda

32. Fabricantes de SIEM.

33. Fabricantes de SIEM.

34. Arquitectura Financiera de un SIEM.

35. SOC
Personas
Tecnología Procesos
Monitorear Detectar
Investigar
Threat
Intelligence

36. Threat Intelligence

37. Threat Intelligence
Collection
Role: Data Engineer
Input: Data Sensors
Output: Events
Detection
Role: Detection Engineer
Input: Events
Output: Alerts
Triage
Role: SOC Analyst (Tier 1 or 2)
Input: Alerts
Output: Leads
Investigation
Role: SOC Analyst (Tier 2 or 3)
or Forensic Analyst.
Input: Leads
Output: Incidents
Remediation
Role: Incident Responder
Input: Incident
Output: N/A

38. Casos de uso con método Sigma
Informes de
amenazas
con reglas sigma
junto con IOCs y
reglas de yara
Las reglas de Sigma
simplifican una migración
SIEM, requisitos de
documentación y control de
versiones.
Reglas sigma permite
especificar condiciones
críticas que deberían activar
alertas
Reglas Sigma permite
compartir reglas con
comunidades de intercambio
de amenazas MISSP
SIGMA hacer que la
supervisión de seguridad
sea excelente

39. Casos de uso con método Sigma
Categorías:
Ataques internos
/externos
DoS
DLPs
Tecnologías:
IPS/ IDS/ FW
AD/ WAF /DBF
VPN / Correlación
Afectación
Confiabilidad
Integridad
Disponibilidad

40. Threats intelligence data feeds
• Malware Reputation feed.
• Botnet C&C URL Feed.
• Malicious Hash Feed .
• IP Reputation Data Feed
• Domains Reputation Feed.
• Anti-phishing Reputation Feed.
• Web clasification Feed.
• Apps Mobile Reputation Data Feed.
• Mobile Botnet Data Feed.

41. Conclusiones.
• La defensa efectiva de ciberseguridad es un deporte de equipo. La confianza entre los
equipos de analistas y la administración es esencial.
• Cuida a tu personal. El agotamiento se debe en gran medida a la sobrecarga, pero
también al aburrimiento a través de tareas repetitivas.
• El personal del centro de operaciones de seguridad se encuentran entre los activos más
importantes de la lucha contra las ciberamenazas.
• Se tiene que proporcionar a los usuarios las habilidades para hacer frente a las
amenazas y el conocimiento de que un acto simple puede ser una protección efectiva.
• Inviertir en capacitación y crecimiento personal para concientizar frente al entorno de la
ciberseguridad.
• Tenemos que trabajar para crear “marca en Ecuador” en temas de ciberseguridad»

42. Gracias
Responsabilidad con pensamiento positivo