Presentación Ciberseguridad

CIBERSEGURIDAD I:
Concienciación y buenas
prácticas para proteger tu
negocio
Mikroenpresa Digitala
GLOBAL RISK REPORT 2022
CIBERATAQUES
CIBERSEGURIDAD: Concienciación y buenas prácticas

GLOBAL RISK REPORT 2022
El ransomware se incrementó un 435% en el año 2020
Se necesitan 3 millones de profesionales de ciberseguridad
El 95% de los incidentes se deben a un error humano

3

DEPENDENCIA TECNOLÓGICA
DEPENDENCIA ALTA
❑ TIC: Es tu negocio (B2B, B2C…)
❑ Productos y servicios on line
❑ Intercambio electrónico de
procesos (contratación,
DEPENDENCIA MODERADA facturación)
❑ TIC: Comunicaciones, lanzar nuevos ❑ Dispones de Intranet para
productos y servicios empleados y proveedores….
❑ Herramientas colaborativas en red para la

gestión del negocio (RRHH, clientes,
procesos…)
❑ Internet: Mailings, e-Administración
DEPENDENCIA BAJA
❑ Red de área local para compartir recursos con
❑ TIC: trabajo, comunicaciones
servidores propios
❑ Aplicaciones en local
❑ Servidores de correo (que se administran
❑ Hojas de cálculo
localmente o se subcontrata el servicio)
❑ Internet: Fuente de información
❑ Web: Cambio de contenidos, formularios
❑ Web alojada externamente
❑ Dispositivos portátiles para acceso remoto a la
❑ Red de área local o wifi para
web corporativa
compartir recursos (impresoras…) 4

LO QUE QUEREMOS PROTEGER
INFORMACIÓN ¿DÓNDE?
FONDO DE COMERCIO
MÓVILES
TARIFAS
PORTÁTILES
CONOCIMIENTO COMERCIAL
MEMORIAS USB
PROPIEDAD INTELECTUAL
DISCOS
REPUTACIÓN
CLOUD
INNOVACIÓN EN PROCESOS
IT
SERVIDORES
DATOS PERSONALES
REDES
SECRETOS COMERCIALES
SOFTWARE
APLICACIONES CORPORATIVAS
INTERNET, WEB
¿DE QUIÉN? TIENDA ON LINE
EMPRESA BASES DE DATOS
PROVEEDORES DOCUMENTOS
CLIENTES CONTRATOS DE TRABAJO
EMPLEADOS CONTRATOS DE SUMINISTRO
ASOCIADOS…. 5

LO QUE QUEREMOS PROTEGER
La ciberseguridad se ocupa de la protección de los activos

de información: acceso, uso, divulgación, interrupción o
destrucción no autorizada con independencia de su formato.
DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD AUTENTICIDAD

ACTITUD ANTE LA CIBERSEGURIDAD
¿Y QUÉ PUEDO HACER?

➢ ¿Qué medidas de seguridad tenemos implantadas?
➢ La ciberseguridad no es sólo responsabilidad de un

Departamento en la empresa.
➢ La ciberseguridad es más dependiente de las personas que

de la tecnología.
7

ACTITUD ANTE LA CIBERSEGURIDAD
Y además, algunas premisas…

Seguridad: Exención de todo peligro, daño o riesgo
➢ El dilema de la seguridad: La gestión de la seguridad

➢ La seguridad total y completa es imposible.
➢ Seguridad frente a usabilidad.

¿QUÉ MEDIDAS DE SEGURIDAD TIENES
IMPLANTADAS EN TU EMPRESA?
Bai/Sí Ez/No
1. Contraseñas seguras para autenticación  
2. Actualización de software y S.O  
3. Identificación de usuarios por métodos biométricos  
4. Cifrado de datos, documentos y correos electrónicos  
5. Backups externos (nube)  
6. Control de acceso a la red  
7. Red Privada Virtual  
8. Disponibilidad de seguro contra incidentes de seguridad  

9

MEDIDAS DE SEGURIDAD
2020 2021 10

¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN?
- Información personal
- Páginas que visitamos
- Aplicaciones a las que accedemos
- Frecuencia
- Geolocalización
https://tosdr.org/ 11

¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN?
QUÉ HACEN LOS CIBERDELINCUENTES CON LOS DATOS ROBADOS:
▪ Credenciales y contraseñas / Usurpación de identidad

▪ Tarjetas de crédito con su PIN
▪ Direcciones de correo electrónico / SPAM/ Malware
▪ Perfiles de usuario
▪ Información confidencial /APT
▪ Recursos del sistema
▪ Motivaciones diversas
www.muyseguridad.net
12

GESTIÓN PROACTIVA DE LA CIBERSEGURIDAD
RESPONSABILIDAD PENAL DE LAS EMPRESAS (Art. 31 bis CP)
- Apoderarse de datos personales o información

- Interceptar mails y telecomunicaciones
- Estafas y fraudes informáticos
- Fabricación de programas destinados a cometer delitos
- Plagio de Delitos informáticos
- Descubrimiento y revelación de secretos y allanamiento
informático
- Delitos contra la propiedad intelectual e industrial
Photo by Wesley Tingey on Unsplash
13

GESTIÓN PROACTIVA DE LA CIBERSEGURIDAD
COMPLIANCE PENAL
Eximente de responsabilidad para toda persona jurídica que tenga un
modelo de gestión y organización de prevención de delitos (Art. 31.5 C.Penal)
• Identificar las actividades en cuyo ámbito puedan cometerse delitos.
• Establecer los protocolos o procedimientos que concreten el proceso de formación de

la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las
mismas con relación a aquéllos.
• Disponer de modelos de gestión adecuados para impedir la comisión de los delitos que
deben ser prevenidos.
• Informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el

funcionamiento y observancia del modelo de prevención.
• Establecer un sistema disciplinario que sancione por el incumplimiento de las

medidas que establezca el modelo.
• Realizarán una verificación periódica del modelo. 14

ALGUNOS DATOS EN EUSKADI
Nº de Delitos Informáticos en Euskadi
16.935
14.311
12.785
8.989
7.772
6.932
5.217
4.274
2013 2014 2015 2016 2017 2018 2019 2020
Fuente: Unidad de Delitos Informáticos de la Ertzaintza

Memoria Delincuencial de la CAE 2020
Suplantación de identidad 15
Ransomware

DELITOS INFORMÁTICOS
Infracciones penales conocidas por la Ertzaintza
• Acoso laboral
• Acoso Sexual
• Acceso ilegal informático
• Estafa
• Daños informáticos
• Contra propiedad intelectual
• Acceso ilegal a servicios de
radiodifusión
• Falsificación de documentos
• Hacer uso de documentos falsos
• Falsificación y tráficos de tarjetas
de crédito
Fuente: Memoria Delincuencial de la CAE 2020
16
DELITOS INFORMÁTICOS
Infracciones penales conocidas por la Ertzaintza
Fuente: Memoria Delincuencial de la CAE 2020
17
PROTAGONISTAS
18

ACTORES: “LOS MALOS”
▪ CIBERVÁNDALOS O SCRIPT KIDDIES
▪ CIBERACTIVISTAS O HACKTIVISTAS
▪ ACTORES INTERNOS (INSIDERS)
▪ ORGANIZACIONES PRIVADAS
▪ CIBERTERRORISTAS, CIBERCRIMINALES
▪ ESTADOS? Stuxnet 2010
19

CARACTERÍSTICAS DE LA CIBERDELINCUENCIA
▪ Mayor impunidad (95%)

▪ Son delitos que evolucionan rápidamente
▪ Delincuente a distancia, sin exposición física
▪ Menor riesgo de identificación
▪ Sin límites espaciales: ubicuidad
▪ Aleatorio vs. Ataques concretos
20
Mapa de ataques reales:
https://cybermap.kaspersky.com/es
CARACTERÍSTICAS DE LA CIBERDELINCUENCIA
Personas inculpadas por delitos informáticos en Euskadi
Fuente: Unidad de Delitos Informáticos de la Ertzaintza

Memoria Delincuencial de la CAE 2020
21
ACTORES: “LOS BUENOS”
▪ AGENTES DEL ORDEN
▪ CIBERINVESTIGADORES
▪ HACKERS ÉTICOS
▪ INSTITUCIONES…
▪ EC3 European Cybercrime Centre
▪ ENISA Agencia de Seguridad de las

Redes y de la Información de la UE
22
23
https://www.gdt.guardiacivil.es/
24
https://www.ertzaintza.eus/
delitosinformaticos@ertzaintza.eus
https://www.ertzaintza.eus/ 25
delitosinformaticos@ertzaintza.eus
26
https://www.incibe.es/
27
https://www.incibe-cert.es/
28
https://www.osi.es/es
29
http://www.ontsi.red.es/ontsi/
30
https://www.basquecybersecurity.eus/es/
RIESGOS,
VULNERABILIDADES,
AMENAZAS
31

VULNERABILIDADES
“Debilidades que presentan los activos de información por la

ausencia o ineficacia de controles o medidas que los protejan”
TIPOS DE VULNERABILIDADES:
▪ Defectos técnicos en software o hardware

o Error en la gestión de recursos
o Error de configuración
o Validación de entrada
o Salto de directorio
▪ Falta o deficiencia de procedimientos: Fallos en
permisos, privilegios y/o control de acceso
▪ Negligencias (Factor humano)
32
Photo by Sigmund on Unsplash

RIESGOS
RIESGOS IMPACTOS
Estar expuesto a ciberdelincuentes

Exponer datos e información confidencial
Intrusiones a mis sistemas y acceso a Interrupción del servicio
información sensible y confidencial Incumplimiento normativo o contractual
AMENAZAS
Ataques de denegación de servicio

Robo o fuga de información o
Pérdidas económicas
credenciales
Pérdidas de clientes
Ataques a la marca Pérdida de ventaja competitiva
Impacto reputacional
No ser capaces de restaurar la
información tras un incidente
33

RIESGOS, AMENAZAS Y VULNERABILIDADES
Las amenazas se aprovechan de las vulnerabilidades
AMENAZAS VULNERABILIDADES
Ambos aumentan los riesgos
RIESGOS
disminuimos
Se convierte en real
INCIDENTE
CIBERSEGURIDAD ACTIVOS
PROTECCIÓN
34

Actividades de formación y concienciación:
https://www.incibe.es/protege-tu-empresa/kit-concienciacion
35

PRINCIPALES AMENAZAS
36

MALWARE: VIRUS
Código de software
que puede replicarse y
propagarse de un
ordenador a otro.
https://www.osi.es/es/actualidad/blog/2014/07/18/fauna-y-flora-del-mundo-de-los-virus 37

MALWARE: TROYANOS
Obtienen acceso a
un sistema
escondiéndose
dentro de una
aplicación real.
38

MALWARE: GUSANOS
Virus auto-replicante,
diseñado para
propagarse a través
de redes informáticas
39

MALWARE: SPYWARE
Programa espía que

recopila información
para transmitirla a
una entidad externa
sin el conocimiento
del propietario.
40

MALWARE: ROGUEWARE
Falso antivirus que

dice haber detectado
un virus en tu PC
41

MALWARE: KEYLOGGER
Software que se
encarga de registrar
las pulsaciones que
se realizan en el
teclado, para
posteriormente
memorizarlas en un
fichero o enviarlas a
través de internet.
42

MALWARE: RANSOMWARE
Vías de contagio:
- Anuncios
- Dispositivos infectados
- Web fraudulentas
- P2P
- Software “gratuito”
43

RANSOMWARE WANNACRY
44
12 DE MAYO DE 2017
RANSOMWARE RYUK
- Se paraliza la actividad del SEPE

- 710 oficinas presenciales
- 52 sedes telemáticas
- Retraso en la gestión de miles de citas
https://www.businessinsider.es/ryuk-ransomware-detras-ataque-sepe-ha-fallado-826459
45
9 DE MARZO DE 2021
RANSOMWARE WANNACRY
46

RANSOMWARE
47

RANSOMWARE: QUÉ HACER
▪ No pagar nunca el rescate

▪ Aplicar nuestro procedimiento de respuesta ante incidentes
▪ Restaurar copia de seguridad
▪ www.nomoreransom.org
▪ Contactar con Centro de Respuesta ante incidentes
▪ Aislar los equipos desconectándolos de la red
▪ Clonar discos duros de los equipos infectados (Evidencia en caso de
denuncia)
▪ Denuncia el incidente
▪ Cambio de contraseñas de cuenta de red y cuentas on line
▪ Desinfectar equipos y recuperar archivos cifrados (si fuera posible)
48

MALWARE: BOTNET
Red de equipos informáticos infectados con software

malicioso que permite su control remoto para:
- Obligarles a enviar SPAM,

- Propagar virus
- Realizar ataques DDOS
- …
Fuente: https://www.kaspersky.es/blog/que-es-un-botnet/755/
TODO ELLO SIN QUE EL USUARIO LEGÍTIMO LO SEPA

49

MALWARE: BOTNET
50
https://www.osi.es/es/servicio-antibotnet
MALWARE: EXPLOIT
Un hacker escribe un pequeño trozo de código (en cualquier

lenguaje) que sirva para explotar las vulnerabilidades y/o
errores específicos dentro de un sistema... para lograr acceder a
él de forma ilegítima o causar otro tipo de problemas.
www.securityfocus.com
www.packetstormsecurity.org
51

MALWARE: DOS
DOS: Denegación de servicio.

Conjunto de técnicas cuyo objetivo es inutilizar un servidor (por
ejemplo, la web de la empresa).
DDOS: Ataque de Denegación de servicio distribuido.

Es más sofisticado y permite enviar peticiones coordinadas
entre distintos equipos a un mismo servidor para
inutilizarlo o tirarlo.
52

INGENIERÍA SOCIAL
53

AMENAZAS INTERNAS
▪ Los usuarios internos “engañados” por terceros

▪ Los usuarios internos malintencionados
▪ Los usuarios internos descuidados
Factores de riesgo Consejo
Dotar a los empleados de formación y

procedimientos para prevenir y detectar problemas
Falta de conocimiento y formación. de seguridad y para actuar en caso de incidente, es
esencial para la supervivencia de la empresa en el
mundo digital.
Los privilegios de acceso total a sistemas,

Administración ineficaz de usuarios aplicaciones e información clave estarán reservados
con privilegios. para ciertos usuarios que los necesiten por su cargo
o por su función.
54

INGENIERÍA SOCIAL
“Hola, buenas tardes,
Te llamo del departamento de informática. Estamos

haciendo unos cambios en la configuración del servidor
del dominio y vamos a cambiar el sistema de
autenticación por otro que va a utilizar tarjeta de
acceso y huella digital.
Hemos escogido a un grupo de usuarios para probar el

sistema y tú eres uno de los elegidos. Ya tenemos las
tarjetas preparadas, sólo necesito que me confirmes
tus apellidos completos y que me des la contraseña de
acceso al dominio.”
55

ESTAFAS VARIAS
56

CON LOS BOLETINES, ¡SIEMPRE INFORMADO!
57
Fuente: Avisos de seguridad del OSI

58

59

PHISHING: TPV ON LINE
60

PHISHING: COMPRAS
61

PHISHING: SOPORTE TÉCNICO
62

PHISHING: CLOUD
63

PHISHING: SERVICIOS DE MENSAJERÍA
64

¿QUÉ HACER EN CASO DE PHISHING?
¿Cómo puedes protegerte del phishing?
• Usa los filtros antispam que facilitan los clientes de correo

electrónico. También puedes ayudarte de herramientas específicas
que bloquean el correo no deseado.
• Configura la opción antiphishing que incorporan los navegadores:

o El Filtro SmartScreen de Internet Explorer ayuda a identificar sitios web
notificados como de suplantación de identidad (phishing) o de malware
o Protección contra el Malware y el Phishing en Firefox
o Protección contra phishing y software malicioso en Google Chrome
o Evitar la suplantación de identidad (phishing) en Safari
• Verifica la legitimidad del sitio web. Fíjate siempre en la URL para

asegurarte que estás en la página web oficial en la que querías estar y no
se trata de una web que la está suplantando.
65

ESCENARIOS DE
CIBERSEGURIDAD
TU PUESTO DE TRABAJO COMUNICACIONES CLOUD COMPUTING
TU EMPRESA DISPOSITIVOS MÓVILES TU WEB
66

ESCENARIOS DE
CIBERSEGURIDAD
67

TU PUESTO DE TRABA JO
USO DE SOFTWARE LEGAL
Todos los empleados deben conocer que sólo han de utilizar

software autorizado y legal en el ámbito de la organización.
Ejemplo de cláusula para empleados

(Para proteger la propiedad intelectual)
“Los usuarios para el desarrollo de sus funciones, únicamente

utilizarán material autorizado por la empresa, y, en especial,
programas informáticos con la correspondiente licencia.
Queda prohibido el uso, reproducción, cesión o transformación o
comunicación pública de cualquier tipo de obra o invención protegida
por la propiedad intelectual sin la debida autorización por escrito.
En el desarrollo del servicio, toda creación proveniente del intelecto del
trabajador, pasará a ser propiedad de la empresa” 68

USO DEL CORREO ELECTRÓNICO

• El correo es para uso profesional
exclusivamente.
• Está prohibida la difusión de contenidos

contrarios a las leyes o que vulneren los
derechos de terceros.
• No se deben enviar correos tipo spam.
• Está prohibido facilitar el acceso a tu cuenta a

otra persona.
• No abrir correos o ficheros adjuntos

sospechosos.
69

USO DEL CORREO ELECTRÓNICO
Ejemplo de cláusula para empleados (para proteger uso del

correo corporativo)
“El uso del correo electrónico debe realizarse en el ámbito

profesional.
Queda prohibido el uso del correo electrónico con contenidos
inadecuados, ofensivos o no acordes con la Ley. La información
que se envíe a otros destinatarios fuera de la empresa o proveedor
debe estar autorizada.
Las credenciales de acceso al correo y cuenta no deben
compartirse.
Se ha de poner a los destinatarios en copia oculta para preservar la
privacidad de su email”
70

NAVEGACIÓN SEGURA
▪ Verificar HTTPS y candado

▪ Comprobar si la empresa posee sede física y número de teléfono.
▪ Leer la política de privacidad del sitio web e informarse de las
condiciones de la contratación de la página.
▪ Conservar toda la información relativa a la transacción hasta que
termine el periodo de garantía del producto.
▪ Sellos de confianza.
71

CONTROL DE CONTRASEÑAS
- Contraseña personal e intransferible

- Al menos 8/12 caracteres alfanuméricos
- No apuntar la contraseña en ningún lugar
- No compartir la contraseña con los compañeros
- Cambiar la contraseña con periodicidad
https://www.youtube.com/watch?v=kvbYbsGoofo&fea
ture=youtu.be
72

BLOQUEO DE TU ORDENADOR
¿Equipo sin custodia desbloqueado?
Equipo desbloqueado= Equipo sin contraseña
73

POLÍTICA DE MESAS LIMPIAS
▪ No dejar documentación con información sensible desatendida
▪ Guarda todo bajo llave tras tu jornada laboral
▪ Atención a la documentación que has enviado a la impresora
▪ Contratos de confidencialidad con proveedores externos
74

¿CÓDIGO DE CONDUCTA PARA EMPLEADOS?
https://bit.ly/Clausulas1
75

ESCENARIOS DE
CIBERSEGURIDAD
76

TU EMPRESA
USO DE ANTIVIRUS
Un antivirus es un programa informático que permite detectar
o eliminar virus informáticos, impidiendo que infecten nuestro
ordenador.
- Mantener actualizado el antivirus

- No inhabilitarlo
• INCIBE
o Protege tu empresa > Herramientas > Catálogo de Ciberseguridad
• OSI
o Recursos > Herramientas gratuitas

77

TU EMPRESA
CIFRADO DE DATOS
El cifrado de la información es un método que permite aumentar la
seguridad mediante la codificación del contenido, de manera que
sólo pueda leerlo la persona que cuente con la clave de cifrado
adecuada para descodificarlo.
Se pueden dar los siguientes casos:

- Correo electrónico, dispositivos de almacenamiento o la
nube: si se va a intercambiar información confidencial, es
importante cifrarla.
- Proveedores que presten servicio fuera de las instalaciones
de la empresa o en caso de teletrabajo: Existen soluciones de
comunicación segura como el uso de la Red Privada Virtual (VPN
Virtual Private Network) que permite conectar tu ordenador a una
red cifrando la información que se comunica.
78
https://www.axcrypt.net/es/download/

TU EMPRESA
COPIAS DE SEGURIDAD
La copia de seguridad de los datos es una de las

mejores prácticas para evitar pérdidas de
información por cualquier motivo, ya sea un virus,
un borrado accidental o un archivo que se corrompe
y al cual ya no se puede acceder, etc.
Y tan importante como salvaguardar nuestra

información, es comprobar que podemos
recuperarla fácil y rápidamente.
79

TU EMPRESA
FIREWALL
Sistema que mediante reglas previamente establecidas, bloquea el
acceso no autorizado a nuestra red y permite la salida autorizada de
información de nuestros sistemas.
Parametrizable: Quién puede conectarse, qué datos pueden entrar

y salir, dónde pueden conectarse los usuarios…
Análisis: Todo el tráfico de red que intenta entrar o salir de nuestra
red y siguiendo las reglas de seguridad establecidas, permitir que
ese tráfico pase o no.
Hay dos tipos de políticas de cortafuegos:

▪ Restrictiva: Por defecto se impide todo el tráfico de datos,
siendo necesario autorizar expresamente cada una de las
acciones permitidas (tráfico web, correo electrónico…).
▪ Permisiva: Por defecto se permite todo el tráfico de datos, no
siendo necesario autorizar cada una de las acciones permitidas
pero si prohibir las no autorizadas (por destino o por tipo de
80
tráfico, por ejemplo)

ESCENARIOS DE
CIBERSEGURIDAD
81

LAS COMUNICACIONES
VPN
Las VPN nos garantizan que toda la información que transmitamos
va a estar segura.
▪ Seguridad: El cifrado se aplica a la conexión y a la información
▪ Control: Se conoce quién ha accedido, cuándo, desde dónde y las
acciones que ha realizado
▪ Dispositivos autorizados: La información sólo se transmite
desde ellos.
▪ Confidencialidad: En caso de que fuese interceptada durante la
transmisión, no podría ser decodificada
▪ Integridad: La información viaja cifrada, por lo que no pueden
ser modificada o alterada durante la transmisión.
82

LAS COMUNICACIONES
WIFIS PÚBLICAS
POSIBLES AMENAZAS AL CONECTARSE A WIFIS PÚBLICAS
• Robo de información o sniffing

• Vulnerabilidades o agujeros de seguridad
(Routers, el tipo de cifrado, WPS, contraseñas
débiles)
• Creación de redes espejo: Un atacante crea
una red inalámbrica con de nombre de una red
en la que el dispositivo confía para que este se
conecte.
83

LAS COMUNICACIONES
WIFIS PÚBLICAS
MEDIDAS DE SEGURIDAD WIFIS PÚBLICAS
➢ No acceder a información sensible.

▪ Si es imprescindible, hacerlo siempre mediante conexiones
https.
➢ Evitar usar servicios que requieran introducir

contraseñas.
▪ Si es necesario, impedir que otros vean la contraseña
introducida.
▪ Renovar con mayor frecuencia las contraseñas.
➢ Prestar especial atención a la aplicación de las medidas de

seguridad para dispositivos móviles. 84

LAS COMUNICACIONES
CONFIGURACIÓN WIFI
MEDIDAS DE SEGURIDAD PARA CONFIGURAR TU WIFI
▪ Cambiar la contraseña de acceso a la página de administración

del router.
▪ Cambiar la contraseña por defecto para acceder a tu WIFI desde
tus dispositivos móviles
▪ Utilizar protocolo de cifrado WPA2
▪ Cambiar el nombre de la WIFI o SSID
▪ Verificar periódicamente quién se conecta a tu red WIFI
▪ Actualizar firmware del router
▪ Desactivar WPS
85

ESCENARIOS DE
CIBERSEGURIDAD
86

DISPOSITIVOS MÓVILES
TIPOS DE CIBERATAQUES
▪ Infección por Malware del dispositivo

▪ Ataques de phishing a través de mensajes o web
▪ Aprovechamiento de vulnerabilidades de nuestro
dispositivo
▪ Acceso a un falso punto de acceso WIFI (RogueAP)
al que nos atrae un atacante para robarnos la
información
▪ Abuso de permisos de aplicaciones
87

DISPOSITIVOS MÓVILES
• Bloqueo automático del dispositivo pasado cierto tiempo de
inactividad.
• Contraseña para bloquear el acceso al dispositivo.
• Cifrado de información
• Antivirus: para prevenir la infección del malware
• Actualización del software instalado
• Copias de seguridad de la información
• Instalación de aplicaciones sólo de fuentes fiables
• Evitar el uso de las WIFI públicas
CASO DE PÉRDIDA O ROBO

• Denuncia
• Contacta con tu operador y solicita el bloqueo de la tarjeta SIM y
del teléfono.
• Servicio o aplicación de borrado remoto de la información.
88

ESCENARIOS DE
CIBERSEGURIDAD
89

CLOUD COMPUTING
POSIBLES AMENAZAS
▪ ACCESO NO AUTORIZADO
Controlar los accesos de los empleados a la información de la
organización, (robo de datos, inyección de código
malicioso…etc.
▪ AMENAZAS INTERNAS
Cuando los trabajadores salen de la organización (fin de
contrato o despido) se debe notificar al proveedor de servicios
cloud su baja.
▪ FUGA DE INFORMACIÓN
Si nuestra organización lleva a cabo muchas operaciones con
cliente al cabo del día y éstas no están cifradas.
▪ SUPLANTACIÓN DE IDENTIDAD
▪ DESCONOCIMIENTO DEL ENTORNO
▪ ATAQUES DE HACKING
90

CLOUD COMPUTING
LO QUE TENER EN CUENTA EN LOS CONTRATOS
▪ Cómo gestiona el proveedor los riesgos de seguridad de la

información
▪ Qué tareas de seguridad hace el proveedor
▪ Cómo maneja el proveedor los desastres que afectan a los centros
de datos o a las conexiones
▪ De qué datos se hace backup y dónde
▪ Cómo se tramitan las disputas administrativas y aspectos legales
▪ Cómo asegura que su personal trabaja con medidas de seguridad
▪ Cómo se protegen nuestro datos de los accesos lógicos y físicos no
autorizados
▪ Cómo asegura la seguridad del software
▪ Cómo podemos monitorizar el servicio
▪ Portabilidad
91

ESCENARIOS DE
CIBERSEGURIDAD
92

TU PÁGINA WEB
¿POR QUÉ NOS QUERRÁN ATACAR?

▪ Robo de datos: de clientes, sus contraseñas, datos de
pago, correos electrónicos…
▪ Robo de nuestras contraseñas de acceso a otros
sistemas: (spam, distribución de malware, lanzar ataques
de denegación de servicio…)
▪ Utilizar nuestro servidor web
▪ Para simular ser otro negocio fraudulento
▪ Instalar publicidad engañosa.
▪ Reivindicar ideas políticas, sociales…
▪ Dejar fuera de servicio nuestra web para desprestigiarnos
93

TU PÁGINA WEB
POSIBLES ATAQUES
ATAQUE DE PHISHING
▪ Cambian nuestra web en nuestro servidor por una web
fraudulenta para capturar datos de clientes de un banco.
▪ Nuestra web entra en una lista negra de phishing porque

algún afectado lo ha denunciado al ver el mensaje de
advertencia.
94

TU PÁGINA WEB
POSIBLES ATAQUES
INYECCIÓN SQL
▪ Se aprovechan de fallos en la programación de las consultas a
la BD de nuestra web, como formularios o acceso de usuarios
▪ Averiguan contraseñas
▪ Acceden a zonas privadas sin permisos
▪ Robar o alterar información almacenada en la BD
95

TU PÁGINA WEB
POSIBLES ATAQUES
CROSS SITE SCRIPTING (XSS)
Este ataque se aprovecha de que los navegadores de los
visitantes de nuestra web comparten datos entre aplicaciones
y con el servidor, esto permite:
▪ Robo de cookies de sesión de carrito de la compra

▪ Ejecutar código malicioso
▪ Dirigir al usuario hacia páginas fraudulentas para robar las
credenciales de acceso al banco o TPV
96

TU PÁGINA WEB
POSIBLES ATAQUES
DEFACEMENT
Cibervándalos dañan
nuestra imagen a costa
de su reivindicación
97

TU PÁGINA WEB
POSIBLES ATAQUES
ATAQUE A NUESTRA IDENTIDAD Y REPUTACIÓN ON LINE
En estos casos utilizan nuestra marca

para engañar a los usuarios para que
se suscriban a servicios Premium,
etc…
▪ Cuidado con las falsas promociones

de marcas en Instagram.
▪ La estafa de los cupones descuento
inunda Whatsapp: Ikea, H&M,
McDonald´s, Mercadona…
98

TU PÁGINA WEB
AL CONTRATAR TU ALOJAMIENTO…
AL CONTRATAR EL ALOJAMIENTO COMPRUEBA:
• Aspectos relativos a la confidencialidad de los datos.
• Copias de respaldo
• Actualizaciones de software
• Interfaces y comunicaciones seguras para el administrador
• Auditorías externas para verificar la seguridad de la web
¿QUÉ TENDRÍAS QUE PREGUNTARLES?

▪ Portabilidad: ¿Y si quiero migrar a otro proveedor?
▪ ¿Cómo es el backend? ¿cómo protegen los accesos lógicos?
▪ Hacen Backups, instalan las actualizaciones, certificados,
antivirus, ¿cómo lo verifico?
▪ ¿Cómo podemos monitorizar el servicio (logs)?
▪ Y el servicio técnico, ¿Es telefónico o por email?
▪ ¿En que país se alojará mi tienda on line?
99

TU PÁGINA WEB
AL CONTRATAR EL DESARROLLO…
AL CONTRATAR EL DESARROLLO COMPRUEBA:
▪ Que se tienen en cuenta los requisitos de seguridad desde el principio
▪ Que utilizan metodologías de desarrollo seguro (OWASP y SAMM)
▪ Si auditan el código
▪ Que desarrollan en sistemas actualizados
▪ Que separan entornos de producción y desarrollo
▪ Que cumplen con la LPI
¿Qué tipos de módulos de seguridad puedo incluir?
Antifraude Actualizaciones
Captcha Bloqueo por IP, País
Protección de contenido Autenticación doble factor para el backoffice
Actividad Backoffice Aviso legal
Backup Cookies 100

TU PÁGINA WEB
MEDIDAS DE SEGURIDAD PARA EL SERVIDOR

▪ Actualizar el software y realizar backups
▪ Instalar certificados SSL
▪ Eliminar usuarios por defecto
▪ Ocultar información sobre el sistema
▪ Instalar el servidor en una DMZ (zona desmilitarizada)
▪ Deshabilitar los servicios y puertos que no se utilicen
▪ Protegerlo con un cortafuegos, IDS/IPS y contra el malware
▪ Establecer límites a privilegios de los usuarios.
▪ Limitar el número de peticiones concurrentes (evitar ataques
DoS) que se le puedan realizar
▪ Monitorizar el uso de los recursos y guardar los registros (logs)
101

TU PÁGINA WEB
MEDIDAS DE SEGURIDAD PARA EL CMS
▪ Actualizar el software del CMS y sus complementos

▪ Realizar backups y comprobarlos
▪ Realizar auditorías externas
▪ Deshabilitar los módulos que no se utilicen
▪ Contraseñas fuertes y cambios frecuentes de contraseña, doble
factor de autenticación)
▪ Utilizar comunicaciones seguras para administradores y usuarios
▪ Cambiar el nombre del usuario “admin”
▪ Utilizar CAPTCHAS en los formularios (evitar spam)
▪ Eliminar metadatos de los documentos e imágenes
▪ Vigilar los cambios en los contenidos y los accesos al backend 102

GESTIÓN DE INCIDENTES
DE SEGURIDAD
103

¿QUÉ HACER EN CASO DE MALWARE?
✓ Descubrir los síntomas
✓ Determinar el alcance
✓ Mantener la continuidad del negocio
✓ Contener las acciones maliciosas
✓ Medidas de protección
✓ Recuperar la normalidad de las operaciones
✓ Aprendizaje y mejora continua
104

GESTIÓN DE LOS INCIDENTES DE SEGURIDAD
1. Preparación
▪ Personal que va a realizar la gestión de incidentes.
▪ Documentación de los sistemas y redes que se usan en la empresa
▪ Registrar los contactos de terceras partes. Por ejemplo, si tenemos una
web que la mantiene un proveedor, en caso de incidencia hay que tener
identificado el responsable en el proveedor.
▪ Centros de respuesta ante incidentes de organismos externos en los
que apoyarnos para la gestión de incidentes: CERT/CSIRT.
También hay que establecer procedimientos de gestión:

- Definir un procedimiento a seguir en la gestión de incidentes.
- Monitorización o catálogo de las incidencias que tengan mayor
probabilidad de ocurrir o mayor impacto previsible en la empresa, de
forma que podamos predefinir pautas de actuación en caso de
materializarse.
105

2. Detección y análisis
Los signos de un incidente pueden ser de dos tipos:
▪ Signos indicadores: Son aquellos que ponen de manifiesto que un

incidente ha ocurrido o puede estar ocurriendo, por ejemplo:
o Alertas de sensores de un servidor.
o Una alerta del antivirus
o La caída de un servidor o sistema
o Accesos lentos
▪ Signos precursores: son los que nos pueden indicar que un incidente
tiene posibilidades de ocurrir en el futuro, por ejemplo:
o La detección de un escáner de puertos
o El resultado del análisis de vulnerabilidades
o Las amenazas de ataque por parte de hackers
106

3. Notificación
▪ Notificar el incidente al Responsable
▪ Si afecta a datos personales:
NOTIFICACIÓN DE BRECHAS DE SEGURIDAD A LA AEPD
Los incidentes de seguridad pueden ser constitutivos de delito.
▪ Casos de robo o fugas de información de mi negocio relacionada con mis clientes, proveedores (LOPD)
▪ Casos de suplantación de identidad
▪ Uso de herramientas o aplicaciones sin las oportunas licencias (software pirata)
107

4. Registrar incidente
Identificar Clasificar
• Tipo de amenaza • 0-day (vulnerabilidad no conocida)
• Origen de la amenaza • APT (Ataque dirigido)
• Información afectada • DDOS (Denegación del servicio)
• Usuarios afectados • Acceso a cuentas privilegiadas
• Impacto del incidente • Código malicioso
• Requerimientos legales o contractuales • Robo o filtración de datos
• Vector de ataque o método • Defament

• Ingeniería social
Priorizar
108

5. Contención y resolución
Actividades de resolución:
▪ Instalación de parches de seguridad
▪ Cambios en el cortafuegos
▪ Cambios en las listas de acceso
Actividades de recuperación:
▪ Restaurar información desde las copias de seguridad (backups)
▪ Reemplazar componentes afectados con otros limpios de infección
▪ Instalar actualizaciones de software
▪ Cambiar contraseñas
▪ Reforzar la seguridad actualizando reglas de cortafuegos.
▪ Valorar contratar un análisis forense digital experto 109

6. Acciones tras el cierre
▪ Mantener un registro de incidentes sufridos en tu negocio.

▪ Hacer un seguimiento de las acciones realizadas y las personas
que hayan intervenido en la gestión del incidente.
▪ Mantener un registro de los documentos que sirvan como
evidencia de las acciones realizadas para solucionar o cerrar el
incidente de seguridad.
▪ Mantener esta información como inventario de incidentes de
seguridad sufridos por mi negocio para intentar mejorar la
gestión sobre mis activos implementando medidas que
contribuyan a impedir que los incidentes de seguridad se repitan. 110

ANEXO: NOTIFICACIÓN AEPD
111

112

113

114

115

116

117

118
ESKERRIK ASKO
Contacto Mikroenpresa Digitala:
mikrodigitala@spri.eus
Tel. 690 92 27 52
120
www.spri.eus/euskadinnova/es/portada-euskadiinnova/soluciones-para-micropymes/inscripciones-inplantalariak/589.aspx

Presentación Ciberseguridad

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Presentación Ciberseguridad

Uploaded by

Copyright:

Available Formats

CIBERSEGURIDAD I:

CIBERSEGURIDAD: Concienciación y buenas prácticas

El ransomware se incrementó un 435% en el año 2020

Se necesitan 3 millones de profesionales de ciberseguridad

El 95% de los incidentes se deben a un error humano

CIBERSEGURIDAD: Concienciación y buenas prácticas

❑ TIC: Comunicaciones, lanzar nuevos ❑ Dispones de Intranet para

productos y servicios empleados y proveedores….

❑ Herramientas colaborativas en red para la

CIBERSEGURIDAD: Concienciación y buenas prácticas

CIBERSEGURIDAD: Concienciación y buenas prácticas

La ciberseguridad se ocupa de la protección de los activos

DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD AUTENTICIDAD

CIBERSEGURIDAD: Concienciación y buenas prácticas

¿Y QUÉ PUEDO HACER?

➢ La ciberseguridad no es sólo responsabilidad de un

➢ La ciberseguridad es más dependiente de las personas que

CIBERSEGURIDAD: Concienciación y buenas prácticas

Y además, algunas premisas…

➢ El dilema de la seguridad: La gestión de la seguridad

CIBERSEGURIDAD: Concienciación y buenas prácticas

2. Actualización de software y S.O  

3. Identificación de usuarios por métodos biométricos  

4. Cifrado de datos, documentos y correos electrónicos  

5. Backups externos (nube)  

6. Control de acceso a la red  

7. Red Privada Virtual  

8. Disponibilidad de seguro contra incidentes de seguridad  

CIBERSEGURIDAD: Concienciación y buenas prácticas

CIBERSEGURIDAD: Concienciación y buenas prácticas

CIBERSEGURIDAD: Concienciación y buenas prácticas

QUÉ HACEN LOS CIBERDELINCUENTES CON LOS DATOS ROBADOS:

▪ Credenciales y contraseñas / Usurpación de identidad

CIBERSEGURIDAD: Concienciación y buenas prácticas

RESPONSABILIDAD PENAL DE LAS EMPRESAS (Art. 31 bis CP)

- Apoderarse de datos personales o información

CIBERSEGURIDAD: Concienciación y buenas prácticas

• Identificar las actividades en cuyo ámbito puedan cometerse delitos.

• Establecer los protocolos o procedimientos que concreten el proceso de formación de

• Informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el

• Establecer un sistema disciplinario que sancione por el incumplimiento de las

• Realizarán una verificación periódica del modelo. 14

CIBERSEGURIDAD: Concienciación y buenas prácticas

Nº de Delitos Informáticos en Euskadi

2013 2014 2015 2016 2017 2018 2019 2020

Fuente: Unidad de Delitos Informáticos de la Ertzaintza

CIBERSEGURIDAD: Concienciación y buenas prácticas

Fuente: Memoria Delincuencial de la CAE 2020

Fuente: Memoria Delincuencial de la CAE 2020

CIBERSEGURIDAD: Concienciación y buenas prácticas

▪ CIBERVÁNDALOS O SCRIPT KIDDIES

▪ ACTORES INTERNOS (INSIDERS)

▪ ESTADOS? Stuxnet 2010

CIBERSEGURIDAD: Concienciación y buenas prácticas

▪ Mayor impunidad (95%)

Fuente: Unidad de Delitos Informáticos de la Ertzaintza

▪ AGENTES DEL ORDEN

▪ EC3 European Cybercrime Centre

▪ ENISA Agencia de Seguridad de las

CIBERSEGURIDAD: Concienciación y buenas prácticas

“Debilidades que presentan los activos de información por la

▪ Defectos técnicos en software o hardware

CIBERSEGURIDAD: Concienciación y buenas prácticas

Estar expuesto a ciberdelincuentes