CompTIA Security+ (Notas de estudio)
• Descripción general de la seguridad
o Seguridad de la información
- Acto de proteger datos e información contra acceso no autorizado, modificación ilegal, interrupción, divulgación, corrupción y destrucción.
o Seguridad de los sistemas de información
- Acto de proteger los sistemas que contienen y procesan datos críticos.
o Fundamentos de la Tríada CIA:
- Confidencialidad - la información no ha sido revelada a personas no autorizadas
- Integridad - la información no ha sido modificada ni alterada sin la debida autorización.
- Disponibilidad: la información se puede almacenar, acceder y proteger en todo momento.
• AAA de Seguridad
o Autenticación: establecer la identidad de una persona con prueba
- Algo que sabes
- Algo que eres
- Algo que tienes
- Algo que haces
- En algún lugar estás
o Autorización: otorgar acceso a datos o áreas según la autenticación.
o Contabilidad: seguimiento de datos, uso de la computadora y recursos de red.
- No repudio: prueba de que se tomaron medidas
• Amenazas de seguridad comunes
o Malware - software malicioso
o Acceso no autorizado: acceder a recursos sin consentimiento
o Falla del sistema: fallas o bloqueos de aplicaciones
o Ingeniería social: manipulación de los usuarios para que revelen información confidencial o realicen acciones perjudiciales.
• Mitigación de amenazas
o Controles físicos: alarmas, cerraduras, cámaras, tarjetas de identificación, guardias
o Controles técnicos: tarjetas inteligentes, cifrado, ACL, IDS, autenticación de red
o Controles administrativos: políticas, procedimientos, capacitación de concientización, planificación de contingencias
- La formación de los usuarios es la forma más rentable de control de seguridad.
• Tipos de hackers
o White Hats: hackers éticos que prueban la seguridad con permiso
o Black Hats: piratas informáticos maliciosos que ingresan sin autorización
o Sombreros grises: piratas informáticos no afiliados que pueden violar la ley
o Sombreros azules: forasteros que piratean con permiso de la empresa
o Élite: piratas informáticos que encuentran y explotan vulnerabilidades antes que nadie (1 de cada 10 000)
o Script Kiddies: piratas informáticos no cualificados que solo ejecutan exploits y herramientas de otros.
• Actores de amenazas
o Script Kiddies: poca habilidad, solo use herramientas escritas por otros
o Hacktivistas: motivados por causas como el cambio social, la política, el terrorismo.
o Crimen organizado: grupos criminales sofisticados y bien financiados
o Amenazas persistentes avanzadas: grupos altamente capacitados (a menudo estados-nación) con amplias capacidades de inteligencia
Inteligencia y fuentes de amenazas
• Propiedades de las fuentes de inteligencia
o Oportunidad - información actualizada
o Relevancia: coincide con los casos de uso previstos
o Precisión: produce resultados efectivos
o Niveles de confianza: declaraciones calificadas sobre confiabilidad
• Tipos de inteligencia de amenazas
o Propietario: proporcionado comercialmente a través de una suscripción paga
o Fuente cerrada: investigación propia del proveedor y datos de clientes
o Código abierto: disponible gratuitamente sin suscripción
- US-CERT, NCSC del Reino Unido, AT&T Security, MISP, VirusTotal, Spamhaus
o Inteligencia de fuentes abiertas (OSINT): información recopilada de fuentes públicas
Caza de amenazas
• Técnicas
o Establece hipótesis basadas en eventos probables
o Perfila a los actores y actividades de las amenazas
o Se basa en herramientas de monitorización de seguridad y respuesta a incidentes
- Analizar el tráfico de red, los procesos y los hosts infectados.
- Identificar métodos de ejecución
• Beneficios
o Mejora la detección
o Integra inteligencia
o Reduce la superficie de ataque
o Bloquea vectores de ataque
o Identifica activos críticos
• Requiere muchos recursos pero produce beneficios sustanciales
Marcos de ataque
• Cadena de muerte cibernética
o Reconocimiento, Armamentización, Entrega, Explotación, Instalación, Comando y Control, Acciones sobre Objetivos
o Analizar la cadena de muerte para identificar cursos de acción defensivos.
• ATAQUE DE MITRE
o Base de conocimientos sobre tácticas, técnicas y procedimientos del adversario.
o Pre-ATT&CK se alinea con las fases iniciales de la cadena de eliminación
• Modelo de diamante
o Analiza incidentes en función de cuatro características: adversario, capacidad, infraestructura y víctima.
o Explora las relaciones entre las características
Software malicioso
• Tipos de software malicioso
o Virus: infectan la computadora cuando se ejecutan y requieren la acción del usuario para propagarse.
- Sector de arranque, macro, programa, multipartito, cifrado, polimórfico, metamórfico, oculto, blindado
o Gusanos: se autorreplican y se propagan sin el consentimiento o la acción del usuario.
o Troyanos: se disfrazan de software legítimo pero realizan funciones maliciosas.
- Los troyanos de acceso remoto (RAT) proporcionan control remoto a los atacantes
o Ransomware: restringe el acceso hasta que se pague el rescate
- Puede cifrar archivos
o Spyware: recopila información del usuario de forma secreta y sin consentimiento
- El adware muestra anuncios basados en espionaje.
- El grayware se comporta de forma incorrecta pero sin consecuencias graves
o Rootkits: obtenga control administrativo sin ser detectado
- Utilice la inyección de DLL para mantener el control
- Activar antes de iniciar el sistema operativo, difícil de detectar.
o Spam: abuso de la mensajería electrónica, generalmente a través del correo electrónico.
- La Ley CAN-SPAM regula el correo electrónico comercial
Infecciones de malware
• Vector de amenaza: método utilizado por el atacante para acceder a la máquina víctima
• Vector de ataque: método para infectar la máquina con malware
• Entrega común
o Software, mensajería, medios
o Watering Holes: malware colocado en sitios a los que accederán las víctimas
• Botnets y zombis
o Botnet: grupo de computadoras comprometidas controladas por un nodo maestro
- Se puede utilizar para actividades que requieren un uso intensivo del procesador.
• Intercepción activa
o Interceptar y modificar el tráfico entre el remitente y el receptor
• Escalada de privilegios
o Aprovechar fallas o errores para obtener acceso no autorizado a los recursos
• Puertas traseras y bombas lógicas
o Las puertas traseras eluden la seguridad normal para mantener el acceso.
- RAT colocada por el atacante para persistencia
o Bomba lógica: código malicioso que se ejecuta cuando se cumplen las condiciones
o Huevo de Pascua: código interno no malicioso (bromas, mensajes, funciones)
- No debe utilizarse en codificación segura.
• Síntomas de infección
o Problemas de acceso, ruidos extraños, errores, problemas de visualización, problemas de impresión
o Archivos y carpetas nuevos/modificados/faltantes sospechosos
o Restaurar sistema no funciona
• Eliminación de malware
1. Identificar los síntomas
2. Poner en cuarentena los sistemas infectados
3. Desactivar Restaurar sistema
4. Remediar el sistema
5. Programa actualizaciones y análisis
6. Habilite Restaurar sistema, cree un punto de restauración
7. Proporcionar capacitación en seguridad para el usuario final
8. Para detectar virus en el sector de arranque, escanee desde una unidad externa
• Prevención de malware
o Actualice el anti-malware automáticamente y escanee periódicamente
o Actualice el sistema operativo y las aplicaciones con frecuencia
o Educar a los usuarios sobre prácticas seguras
- Verificar que los servidores de correo electrónico bloqueen los relés abiertos
- Eliminar direcciones de correo electrónico de sitios web
- Utilizar listas blancas y listas negras
Explotación de malware
• Técnicas de explotación
o Permitir que el malware infecte los objetivos mientras evita ser detectado
o Utilizado por APT en un proceso de múltiples etapas:
1. Dropper o descargador
2. Mantener el acceso
3. Fortalecer el acceso
4. Acciones sobre objetivos
5. Ocultación
• Dropper: instala/ejecuta otros tipos de malware
• Descargador: recupera más herramientas después de la infección inicial
• Shellcode: código de explotación ligero en cualquier lenguaje
• Inyección de código: ejecuta código malicioso bajo un ID de proceso legítimo
o Enmascaramiento, inyección de DLL, carga lateral de DLL, vaciado de procesos
o Antiforense utilizado para evitar la detección y el análisis
• Living Off the Land: utiliza herramientas de sistema estándar para intrusiones
o Más difícil de detectar cuando se ejecuta dentro de herramientas y procesos estándar
Aplicaciones y dispositivos de seguridad
• Cortafuegos de software
o Los firewalls personales protegen una sola computadora del tráfico no deseado
- Basado en host
- Integrado en el sistema operativo (Firewall de Windows, PF, IPFW, iptables)
o A menudo forma parte de suites anti-malware
• Sistemas de detección de intrusiones (IDS)
o Monitorear el sistema/red, analizar datos para identificar incidentes
- Basado en host (HIDS), basado en red (NIDS)
o Métodos de detección:
- Basado en firma: cadenas de bytes específicas activan alertas
- Basado en políticas: se basa en una política de seguridad definida
- Basado en anomalías: las desviaciones de la línea base activan la alerta
o Tipos de alertas:
- Verdadero positivo: actividad maliciosa identificada correctamente
- Falso positivo: actividad legítima identificada como ataque
- Verdadero negativo: tráfico legítimo identificado correctamente
- Falso negativo: actividad maliciosa identificada como legítima
o IPS puede detener la actividad maliciosa, IDS solo alerta y registra
o Los registros de HIDS recrean los detalles del ataque
• Bloqueadores de ventanas emergentes
o Función del navegador para bloquear ventanas emergentes de JavaScript
o Es posible que sea necesario permitir la funcionalidad del sitio.
o Los atacantes podrían abusar de las ventanas emergentes en anuncios maliciosos
o Los filtros de contenido bloquean JavaScript, imágenes y páginas externas
o Mantenga el navegador y las extensiones actualizados
• Prevención de pérdida de datos (DLP)
o Monitorea datos en reposo, en tránsito y en uso.
o Detecta intentos de robo de datos
o Soluciones de software o hardware
- Endpoint DLP: software cliente que puede detener transferencias de archivos o alertar al administrador
- DLP de red: solución perimetral para detectar datos en tránsito
- DLP de almacenamiento: el software del servidor inspecciona los datos en reposo
• Protección del BIOS/UEFI
o Firmware que proporciona instrucciones de arranque
o Interfaz de firmware extensible unificada (UEFI)
o Proteger el BIOS/UEFI:
1. Actualizar el firmware
2. Establezca una contraseña
3. Configurar el orden de arranque
4. Deshabilitar puertos externos
5. Habilitar arranque seguro
• Protección de dispositivos de almacenamiento
o Cifrar medios extraíbles
o Aplicar controles de medios extraíbles:
- Limitaciones técnicas en dispositivos USB y extraíbles
- Políticas administrativas
o Almacenamiento conectado a red (NAS): dispositivos de almacenamiento en red
- A menudo se utiliza RAID para lograr alta disponibilidad
o Red de área de almacenamiento (SAN): red de almacenamiento dedicada
1. Cifrar datos
2. Utilice una autenticación adecuada
3. Acceso al registro
• Cifrado de disco
o Convierte los datos en datos ilegibles
o Las unidades de autocifrado (SED) utilizan hardware integrado
o El cifrado de software es común
- FileVault, BitLocker
o Módulo de plataforma confiable (TPM): chip de la placa base que contiene la clave de cifrado
- La unidad USB puede ser una clave de respaldo
o Estándar de cifrado avanzado: cifrado de clave simétrica de 128/256 bits
o El cifrado agrega seguridad pero reduce el rendimiento
o Módulos de seguridad de hardware (HSM): dispositivos que actúan como criptoprocesadores seguros
• Análisis de puntos finales
o Antivirus (AV): detecta y elimina malware
o Host IDS/IPS: supervisa el punto final para detectar cambios de comportamiento
o Endpoint Protection Platform (EPP): agente que realiza múltiples tareas de seguridad
- AV, HIDS/HIPS, cortafuegos, DLP, cifrado
o Detección y respuesta de puntos finales (EDR): agente que recopila datos para monitoreo
o Análisis del comportamiento de entidades de usuario (UEBA): utiliza IA/ML para identificar actividad sospechosa
- Las combinaciones EPP, EDR y UEBA se comercializan como ATP, AEP y NGAV
Seguridad de dispositivos móviles
• Protección de dispositivos inalámbricos
o Utilice WPA2 para una seguridad inalámbrica más fuerte
- Cifrado AES
o El emparejamiento Bluetooth crea un enlace cifrado
o El cableado suele ser más seguro que el inalámbrico
• Malware móvil
o Mantenga actualizados el sistema operativo móvil y las aplicaciones
o Instalar únicamente desde tiendas de aplicaciones oficiales
o No haga jailbreak ni rootee el dispositivo
o No utilice firmware/ROM personalizados
• Defensa contra:
o Clonación de SIM: permite el acceso a los datos del dispositivo
- Utilice tarjetas SIM v2, tenga cuidado al compartir el número
o Ataques de Bluetooth
- Bluejacking (envío de mensajes no solicitados)
- Bluesnarfing (robo de datos a través de Bluetooth)
• Robo
o Garantizar copias de seguridad periódicas
o No intente recuperarlo solo si le roban
o Funciones de bloqueo y borrado remoto
• Protección de aplicaciones móviles
o Instalar únicamente desde tiendas oficiales
o Utilice SSL/TLS para conexiones seguras
o Desactivar los servicios de ubicación para mayor privacidad
o Las etiquetas de geoetiquetado tienen una ubicación que se debe tener en cuenta en las políticas
• Preocupaciones sobre BYOD
o Introduce muchos problemas de seguridad.
o La segmentación del almacenamiento separa los datos laborales y personales
o Utilice MDM para configurar, administrar y proteger
o CYOD como alternativa
• Fortalecimiento de los dispositivos móviles
1. Actualice a la última versión del sistema operativo
2. Instalar antivirus
3. Capacitar a los usuarios sobre el uso adecuado
4. Instala únicamente aplicaciones oficiales
5. No rootee ni haga jailbreak
6. Utilice tarjetas SIM v2
7. Desactivar funciones innecesarias
8. Habilite el cifrado de voz y datos
9. Utilice contraseñas seguras y datos biométricos
10. Evitar o controlar el BYOD
Endurecimiento
• Endurecimiento: configuración segura de un sistema operativo mediante:
o Actualización
o Creación de reglas y políticas
o Eliminar aplicaciones y servicios innecesarios
o Minimiza el riesgo al reducir las vulnerabilidades
• Eliminar aplicaciones innecesarias
o Mínima funcionalidad: solo proporciona aplicaciones y servicios esenciales
o Las PC acumulan programas innecesarios con el tiempo
o Utilice una imagen de referencia segura para los nuevos sistemas
o System Center Configuration Manager (SCCM) ayuda a administrar
• Restricción de aplicaciones
o Lista blanca: permite que solo se ejecuten aplicaciones aprobadas
o Lista negra: bloquea la ejecución de aplicaciones específicas
o Puede gestionarse de forma centralizada
• Deshabilitar servicios innecesarios
o Desactivar cualquier servicio del sistema operativo que no sea esencial
• Sistemas operativos confiables
o Cumplir con los requisitos de seguridad del gobierno, utilizar seguridad multinivel
- Windows 7+, OS X 10.6+, FreeBSD, RHEL
o Identificar la versión y compilación antes de actualizar
• Actualizaciones y parches
o Parche: corrige un problema específico
o Hotfix: solución única (los términos suelen usarse indistintamente)
o Actualizar categorías:
- Seguridad: corrige vulnerabilidad específica
- Crítico: soluciona errores no relacionados con la seguridad.
- Service Pack: correcciones y actualizaciones acumulativas
- General: agrega correcciones o funciones menores
- Controlador - actualiza el soporte de hardware
o Windows 10 usa Windows Update (wuapp.exe)
• Proceso de gestión de parches
1. Plan
2. Prueba
3. Implement
4. Auditoría
o Pruebe antes de implementar
o Implementar manualmente o automáticamente
o Utilice un servidor de actualización central
o Auditar el estado del cliente después de la implementación
o Linux y macOS también tienen parches integrados
• Uso de la política de grupo
o Política de grupo: reglas que se aplican a usuarios o equipos
o Abra gpedit para acceder al Editor de políticas de grupo
o Útil para: complejidad de contraseñas, bloqueo de cuentas, restricciones de software
o Los controladores de dominio tienen una gestión avanzada de políticas de grupo
o Las plantillas de seguridad simplifican la implementación
o Los GPO ayudan a fortalecer el sistema operativo
o Las medidas de referencia cambian para establecer un comportamiento normal
• Sistemas de archivos y discos duros
o Seguridad afectada por el sistema de archivos
- NTFS, FAT32, ext4, HFS+, APFS
o Windows utiliza principalmente NTFS o FAT32
- NTFS es más seguro (registro, cifrado, compatibilidad con particiones grandes)
o Linux debería usar ext4, macOS APFS
o Los discos duros eventualmente fallan, así que:
1. Eliminar archivos temporales (Liberador de espacio en disco)
2. Verifique periódicamente los archivos del sistema
3. Desfragmentar las unidades
4. Realizar una copia de seguridad de los datos
5. Practica técnicas de restauración
Evaluación de la cadena de suministro
• Mitigar los riesgos de la cadena de suministro es clave para la seguridad en entornos no seguros.
• Garantizar un hardware y un software confiables y a prueba de manipulaciones es fundamental.
o Debida diligencia: uso de las mejores prácticas y cuidado razonable
- Programa de ciberseguridad con los recursos adecuados
- Procesos de gestión de riesgos
- Soporte durante el ciclo de vida del producto
- Controles de seguridad para datos confidenciales
- Asistencia en respuesta a incidentes
- Antecedentes de la empresa
o Trusted Foundry: fabricante de microprocesadores seguros validados (a menudo, del gobierno)
o Autenticidad de la fuente del hardware: adquisición de hardware de proveedores confiables
- Riesgo de falsificaciones de fuentes no originales
• Raíz de la confianza
o Raíz de confianza de hardware: módulo criptográfico seguro para un arranque confiable y certificado
o Módulo de plataforma confiable (TPM): almacenamiento de claves de hardware
o Módulo de seguridad de hardware (HSM): dispositivo de clave criptográfica resistente a la manipulación
o Mecanismos antimanipulación:
- FPGA, PUF
• Firmware confiable
o Las vulnerabilidades permiten al atacante ejecutar código con altos privilegios
o Protecciones:
- UEFI: interfaz de firmware actualizada y más segura
- Arranque seguro: evita códigos no deseados durante el arranque
- Arranque medido: recopila métricas seguras
- Certificación - validación firmada del proceso de arranque
- eFUSE - Fusión de chips controlada por software/firmware
- Actualizaciones de firmware confiables y firmadas
- Unidades con cifrado automático
• Procesamiento seguro
Las extensiones de seguridad de la CPU permiten:
- Ejecución confiable que garantiza un sistema operativo y una máquina virtual seguros
- Enclaves de memoria encriptados para datos confidenciales
- Ejecución atómica de operaciones individuales
- Cifrado de bus para dispositivos confiables
o AMD - PYME, SEV
Intel - TXT, SGX
Virtualización
• Virtualización: creación de una versión virtual de un recurso.
o Las máquinas virtuales emulan una computadora completa que ejecuta un sistema operativo
• Tipos de máquinas virtuales
o VM del sistema: reemplaza la computadora física y ejecuta el sistema operativo completo
o Process VM: ejecuta una sola aplicación o proceso
• Hipervisores
o Gestiona la asignación de recursos del host
A continuación se muestra la continuación de las notas de estudio reescritas de CompTIA Security+ en inglés:
o Tipos de hipervisores:
- Tipo I (Bare Metal): se ejecuta directamente en el hardware, más eficiente
- Tipo II (alojado): se ejecuta como una capa de software en un sistema operativo
o Contenerización
- Comparte el kernel entre máquinas virtuales pero proporciona espacios de usuario separados
- Permite una implementación rápida y eficiente de aplicaciones distribuidas.
- Por ejemplo: Docker, Parallels Virtuozzo, OpenVZ
• Amenazas de máquinas virtuales
o Máquinas virtuales aisladas de forma predeterminada pero aún vulnerables:
- VM Escape: sale de la VM para interactuar con el hipervisor
o La elasticidad permite escalar para satisfacer la demanda
o Restos de datos: datos de máquinas virtuales eliminados que permanecen en servidores en la nube
o Elevación de privilegios: el usuario se otorga mayores privilegios.
o Migración en vivo: mover una máquina virtual en ejecución a otro servidor
• Protección de máquinas virtuales
o Medidas de seguridad similares a las de los servidores físicos:
- Limitar la conectividad del host de la máquina virtual
- Eliminar hardware virtual innecesario
- Utilice una gestión de parches adecuada
o Explosión de virtualización: creación e implementación descontrolada de máquinas virtuales
Seguridad de la aplicación
• Seguridad del navegador web
o Manténgase actualizado pero no adopte nuevas versiones inmediatamente
o No existe una única opción "más segura"
o Prácticas generales:
1. Implementar políticas (administrativas o técnicas)
2. Capacitar a los usuarios
3. Utilice un proxy y un filtro de contenido
4. Prevenir códigos maliciosos (deshabilitar ActiveX, Java, Flash)
o Preocupaciones adicionales:
- Las cookies y las cookies Flash (LSO) rastrean los datos del usuario
- Los complementos amplían la funcionalidad pero introducen riesgos
- Opciones avanzadas para SSL/TLS, caché, historial
• Protección de aplicaciones
o Proteger con contraseña los documentos confidenciales
o Seguridad del correo electrónico mediante firmas digitales y certificados
o El Control de cuentas de usuario evita cambios accidentales
Desarrollo de software seguro
• Ciclo de vida del desarrollo de software (SDLC)
o Fases: Planificación, Análisis, Diseño, Desarrollo, Pruebas, Integración, Mantenimiento
o Metodologías:
- Cascada, Agile, DevOps
• Principios de seguridad del SDLC
o Confidencialidad, Integridad, Disponibilidad (CIA)
o El modelado de amenazas prioriza la aplicación de parches
o Acceso con privilegios mínimos
o Defensa en profundidad
o Nunca confíes en la entrada del usuario
o Minimizar la superficie de ataque
o Valores predeterminados y configuraciones seguras
o Firma de código para autenticidad e integridad
o Manejo seguro de errores
o Corrección oportuna de vulnerabilidades
o Utilice SDK confiables
• Métodos de prueba
o Caja negra: el probador no tiene conocimiento del sistema
o Caja blanca: se proporcionan todos los detalles al evaluador
o Manejo estructurado de excepciones para errores de tiempo de ejecución
o Validación de entrada para sanear los datos del usuario
• Vulnerabilidades del software
o Puertas traseras: evitan la autenticación normal
o Travesía de directorios: acceso a directorios no autorizados
o Ejecución de código arbitrario/remoto
o Día cero: desconocido para el proveedor
• Desbordamientos de búfer
o Se produce cuando los datos exceden la memoria asignada
o Puede habilitar la inyección de código
o Prevenido por:
- Comprobación de límites
- Validación de entrada
- Aleatorización del diseño del espacio de direcciones
• Ataques de inyección
o Insertar código adicional mediante la entrada del usuario
- Secuencias de comandos entre sitios (XSS), inyección SQL, inyección LDAP
o Prevenido mediante validación de entradas y desinfección.
• Condiciones de carrera
o Defectos de tiempo que pueden ser explotados
o Difícil de detectar y mitigar
o Afecta el procesamiento multiproceso, los sistemas de archivos y las bases de datos.
o Ataques de tiempo de verificación a tiempo de uso (TOCTTOU)
o Prevención:
- Evitar el procesamiento secuencial
- Utilice bloqueo para garantizar el acceso exclusivo
• Otras vulnerabilidades
o Componentes inseguros, registro insuficiente, configuraciones débiles
o Mitigar mediante:
- Componentes de inventario
- Análisis de los requisitos de registro
- Endurecimiento
- Mínimo privilegio
- Permisos de archivos/directorios
- Configuraciones y líneas base seguras
Diseño de red
• Revisión del modelo OSI
Por favor, no tires la pizza con salchichas
o Capas: Física, Enlace de datos, Red, Transporte, Sesión, Presentación, Aplicación
• Interruptores
o Evolucionó a partir de centros y puentes
o Vulnerable a:
- Inundación de MAC (desbordamiento de la tabla CAM)
- Suplantación de MAC
- Manipulación física
o Mitigaciones: seguridad del puerto, inspección ARP, filtrado de direcciones MAC
• Enrutadores
o Conectar redes en la capa 3 (IP)
o Utilice listas de control de acceso (ACL) para permitir o denegar el tráfico
o Vulnerable a la suplantación de IP
• Segmentación de red
o Cortafuegos, DMZ, extranets, intranets, VLAN
o Jumpbox: punto de acceso reforzado para la gestión de DMZ
• Control de acceso a la red (NAC)
o Comprobaciones previas a la admisión antes de la conexión a la red
o Basado en agente o sin agente
o Hardware o software
o 802.1X para control de acceso basado en puertos
• VLAN
o Beneficios: segmentación, reducción de colisiones, mejora de la organización y el rendimiento.
o Ataques de suplantación de identidad y doble etiquetado
o Prevenir moviendo puertos y utilizando VLAN privadas
• Subredes
o Divide las redes para lograr eficiencia y seguridad
o Reducción del dominio de difusión
o Las políticas de subred facilitan la supervisión de la seguridad
• Traducción de direcciones de red (NAT)
o Oculta las IP internas detrás de una IP externa
o La traducción de direcciones de puerto (PAT) asigna puertos
o Utiliza rangos de IP privados
• Telefonía
o PBX tradicional y VoIP moderno
o Riesgos de escuchas ilegales y fraude telefónico
o Cifrar VoIP con TLS
Seguridad perimetral
• Cortafuegos: filtran el tráfico entre redes
o Sin estado: filtrado de paquetes
o Con estado: rastrea las conexiones
o Inspección profunda de paquetes para reconocimiento de aplicaciones
o Los firewalls de aplicaciones web protegen los servidores
• Servidores proxy
o Intermediarios entre clientes y servidores
o Almacenamiento en caché para mayor eficiencia
o Filtrado de contenido y escaneo de malware
o Pasarelas de seguridad web (proxies web seguros)
• Honeypots y Honeynets (ollas de miel)
o Sistemas de señuelo para atraer y atrapar a los atacantes
o Honeypot - sistema único
o Honeynet - red completa
• Prevención de pérdida de datos (DLP)
o Monitorea los datos para evitar la exfiltración
o Punto final, red y basado en la nube
• IPS de red
o Previene ataques en línea (frente a la detección de IDS)
o Debería fallar cerrado
o También puede proporcionar análisis de protocolo.
• Gestión unificada de amenazas (UTM) / Firewall de última generación
o Consolida firewall, IPS, filtro de contenido, anti-malware, DLP, VPN
Seguridad en la nube
• Modelos de servicio:
o IaaS: el proveedor administra la virtualización, los servidores, el almacenamiento y la red.
o PaaS: también incluye sistema operativo, middleware y tiempo de ejecución.
o SaaS: el proveedor administra todo, el cliente usa la aplicación
• Modelos de implementación:
o Público: alojado por el proveedor, multiinquilino
o Privado: organización única, local o alojada
o Comunidad: compartida por organizaciones con necesidades comunes.
o Híbrido: mezcla de los anteriores
• Amenazas:
o API inseguras, gestión de claves inadecuada, registro insuficiente, almacenamiento sin protección
o Abordado por autenticación, encriptación, monitoreo, permisos.
• Seguridad de virtualización: igual que la física.
• Agente de seguridad de acceso a la nube (CASB)
o Visibilidad y control para servicios en la nube
o Opciones de implementación:
- Agente en el dispositivo
- Proxy inverso
- Integración API
• Microservicios y sin servidor
o Microservicios: componentes pequeños de un solo propósito
o Sin servidor: el proveedor administra dinámicamente la ejecución del código
- Sin parches ni administración
- Depende de una orquestación robusta
• Protección de servidores
o Servidores de archivos, correo electrónico, web, FTP, controladores de dominio
o DMZ para web y FTP
o Fortalecer todos los servidores
o DLP puede ayudar a prevenir amenazas internas
Flujo de trabajo y orquestación
• Orquestación
o Automatización de implementaciones
o Orquestación de recursos, carga de trabajo y servicios
o Las herramientas de terceros (Chef, Puppet, Ansible, etc.) evitan el bloqueo
• Canalización de CI/CD
o Integración continua: confirmaciones de código frecuentes y compilaciones automatizadas
o Entrega continua: automatiza la liberación a producción
o Implementación continua: automatiza completamente la implementación en producción
• DevSecOps
o Integra la seguridad en el proceso DevOps
o Enfoque de desplazamiento a la izquierda:
- Integración de seguridad temprana
- Pruebas automatizadas y cumplimiento
• Infraestructura como código (IaC)
o Gestión de infraestructura a través de archivos de definición
o Permite la automatización y orquestación.
o Utilice plantillas para garantizar configuraciones seguras y consistentes
• Aprendizaje automático
o Inteligencia artificial: máquinas que pueden aprender y adaptarse
o Aprendizaje automático: aprender de los datos para realizar una tarea.
o Deep Learning: algoritmos complejos y en capas
o Usos comunes: autenticación adaptativa, búsqueda de amenazas
Ataques de red
• Puertos y protocolos
o 1024 puertos conocidos
o 49152 puertos efímeros
o Memorizar puertos clave para el examen
• Denegación de servicio (DoS)
o Interrumpir la disponibilidad y el acceso
o Inundación, Ping de la muerte, lágrima, bomba de horquilla
o Ataques de amplificación de Smurf y Fraggle
Las inundaciones SYN explotan el protocolo de enlace TCP
o El DoS permanente puede dañar el firmware
• Ataques de denegación de servicio distribuidos (DDoS)
o Muchas fuentes apuntan a una sola víctima
o Botnets comunes en DDoS
o Tácticas de amplificación de DNS y NTP
o Mitigación: IPS, servicios especiales de depuración
• Ataques de secuestro y suplantación de identidad
o Secuestro: tomar el control de una conexión activa
- Robo de sesión, clickjacking, intermediario
o Suplantación de identidad: hacerse pasar por un usuario o sistema legítimo
o Utilice siempre una autenticación fuerte
• Ataques transitivos
o No hay ataque directo, pero se sacrifica la seguridad por la eficiencia
• Ataques DNS
o Envenenamiento de caché, transferencias de zona no autorizadas, cambios en archivos HOSTS
o Pharming y kiting/sniping de nombres de dominio
• Envenenamiento por ARP
o Explota el mapeo de IP a MAC para robar datos
o Mitigado por VLAN y vigilancia DHCP
Protección de dispositivos de red
• Conmutadores, enrutadores, firewalls, etc.
o Cambiar contraseñas predeterminadas
o Utilice políticas de contraseñas seguras
o Esté atento a la escalada de privilegios y puertas traseras
o Mantenga el firmware actualizado
o Utilizar IPS, firewalls, segmentación
• Medios de red seguros
o Cobre, fibra, coaxial
o Interferencia electromagnética (EMI): utilice cables blindados
o Interferencia de radiofrecuencia (RFI): afecta las comunicaciones inalámbricas
o Diafonía: interferencia de señal entre cables
o Emanación de datos: utilice blindaje y jaulas de Faraday
• Asegurar Wi-Fi
o Cambiar los SSID y contraseñas predeterminados
o Deshabilitar la transmisión SSID
o Parchear APs y clientes
o Utilice encriptación fuerte (WPA2/WPA3)
o Peligros: APs rebeldes, gemelos malvados
• Ataques Wi-Fi
o Wardriving/warwalking: búsqueda de puntos de acceso abiertos
o Ataques IV: rompiendo WEP
o Ataques de desautenticación: interrupción de conexiones
o Cracking por fuerza bruta de claves precompartidas
• Mejoras de WPA3
o Claves más largas, secreto de reenvío, autenticación simultánea
• Ataques de Bluetooth
o Bluejacking: envío de mensajes no solicitados
o Bluesnarfing: robo de datos a través de Bluetooth
• NFC y RFID
o Comunicación inalámbrica de corto alcance
NFC 4 cm, RFID 10 cm - 200 m
Controles de seguridad física
• Vigilancia
o cámaras de videovigilancia
o Pan-tilt-zoom y termografía
• Cerraduras y barreras
o Cerraduras tradicionales para entrada sin llave y trampas para personas
• Biometría
o Huella dactilar, iris, facial, etc.
o Tasas de aceptación/rechazo falso
o La tasa de error de cruce mide la precisión del sistema
• Iluminación, Señalización, Protecciones, Alarmas
• Jaulas de Faraday y blindaje TEMPEST
Seguridad de las instalaciones
• Supresión de incendios
o Extintores portátiles - ABCDK
o Rociadores - tubería húmeda, tubería seca, preacción
o Agentes limpios y CO2
• Climatización
o Control de humedad y temperatura
o Presión positiva
o Filtrado de partículas
o Sistemas dedicados
o Puede conectarse a redes ICS/SCADA
• Blindaje
o Papel pintado laminado, películas, mallas para ventanas
o Las jaulas de Faraday bloquean todas las interferencias electromagnéticas
o TEMPEST - estándar de protección del gobierno
• Cableado protegido
o Bandejas y conductos para cables
o Claramente etiquetado
o Servicios de operador reforzados (MPLS y DWDM)
• Vulnerabilidades vehiculares
o Red de área del controlador (bus CAN)
o Puerto de diagnóstico a bordo (OBD-II)
o Ataques:
- Acceso directo
- Explotación de red celular
- Actualizaciones maliciosas
• Drones y robots
o Drones aéreos para vigilancia y entrega de carga útil
o Debilidades del robot:
- Sin seguridad inherente
- Puertos y conectores expuestos
- Fácil acceso físico
- Comunicaciones sin cifrar
• Internet de las cosas (IoT)
o Sistemas operativos Linux/Android integrados
o Los dispositivos inteligentes deben estar protegidos y actualizados
o Soluciones de seguridad especializadas para IoT
• Sistemas integrados
o Realizar funciones específicas dedicadas
o Difícil de actualizar y proteger
o Variaciones:
- PLC, SoC, RTOS, FPGA
• Sistemas de control industrial (ICS)
o Gestionar la automatización y los procesos físicos
o Utilizar protocolo Fieldbus y PLC
o Incluir HMI para configuración
o Componentes: historiador de datos, servidor de E/S
• Sistema de control de acceso (SCADA)
o Monitoreo y control remoto
o Combina software y PLC
o Protocolos - Modbus, DNP3
o Stuxnet atacó SCADA a través de USB
• Mitigación de vulnerabilidades de ICS/SCADA
o Gestión robusta del cambio
o Segmentación de red
o Autenticación fuerte
o Gestión de parches
o Auditorías de seguridad
• Automatización de edificios
o HVAC, iluminación, seguridad, protección
o Gestionado por software BAS
o Riesgos del acceso remoto
o Dispositivos y protocolos vulnerables
o Sin parches y mal configurado
• Control de acceso físico
o Cerraduras electrónicas de puertas y registro
o Gestión de visitantes
o Puede integrarse con BAS y CCTV
o Gestionado por software PACS
o Riesgos de ingeniería social
Autenticación de usuario
• Algo que sabes
o Contraseñas y PIN
o Preguntas de seguridad
• Algo que tienes
o Tarjetas inteligentes y tokens
o Certificados digitales
o OTP y aplicaciones móviles
• Algo que eres
o Huellas dactilares, iris, voz, cara.
• En algún lugar donde estés
o Geolocalización y geofencing
• Algo que haces
o Análisis de firma y mecanografía
o Gestos
• Autenticación multifactor
o Combina 2 o más factores
o Aumenta enormemente la seguridad
o Puede ser necesario para el cumplimiento
• Protocolos de autenticación
o LDAP - servicios de directorio
o Kerberos: sistema basado en tickets
o RADIUS - gestión centralizada
o TACACS+: separa la autenticación, la autorización y la contabilidad.
o 802.1X - control de acceso basado en puertos
• Identidades federadas
o Autenticación por parte de un proveedor de identidad de terceros
o Estándares SAML y OAuth
o Gestión de usuarios reducida para proveedores de servicios
o Riesgos: dependencia de la seguridad del IdP
• Nube vs. local
o Nube: escalable pero requiere confianza en el proveedor
o Local: control total pero mayor costo y complejidad
o Considere la localización de datos y la dependencia del proveedor
• Acceso remoto
o VPN para conexión remota cifrada
-IPSec, SSL, PPTP, L2TP
o RDP para control remoto gráfico
- La autenticación a nivel de red aumenta la seguridad
o SSH para acceso seguro a la línea de comandos
Control de acceso
• Identificación, autenticación, autorización, rendición de cuentas
• Conceptos de autorización
o Mínimo privilegio
o Separación de funciones
o Vacaciones obligatorias
o Rotación de puestos
o Aumento de privilegios
o Restricciones horarias
• Modelos de control de acceso
o Control de acceso discrecional (DAC): el propietario determina los permisos
o Control de acceso obligatorio (MAC): el sistema determina el acceso según la clasificación
o Control de acceso basado en roles (RBAC): permisos basados en la función laboral
o Control de acceso basado en reglas: reglas y parámetros dinámicos
o Control de acceso basado en atributos (ABAC): lógica booleana para autorización
• Mejores prácticas
o Deshabilitar cuentas predeterminadas
o Deshabilitar los inicios de sesión root
o Deshabilitar cuentas de invitados
o Utilice contraseñas seguras
o Cambiar el nombre de las cuentas de administrador
o Restringir permisos de usuario
• Gestión de cuentas de usuario
o Provisión, revisión, desaprovisionamiento
o Bajas, traslados, terminaciones
o Recertificación periódica de permisos
• Monitoreo continuo
o Observar y responder a las amenazas en tiempo real
o Complementa las evaluaciones periódicas
o Pruebas y alertas automatizadas
• Registro y auditoría
o Registrar eventos y analizarlos en busca de anomalías.
o Investigar incidentes
o Cumplir con los requisitos reglamentarios
• Controlar el acceso a los archivos
o Permisos NTFS (Windows)
o `chmod` (Unix/Linux)
o Principio del mínimo privilegio
o Separación de funciones
Evaluación de riesgos
• Activos, vulnerabilidades, amenazas
o Activo: lo que necesita protección
o Vulnerabilidad - debilidad
o Amenaza - peligro potencial
• Cálculo de riesgos
Respuesta a incidentes y análisis forense
• Proceso de respuesta a incidentes
o Preparación, Identificación, Contención, Erradicación, Recuperación, Lecciones Aprendidas
o El objetivo es minimizar los daños y prevenir incidentes futuros.
• Creación de un equipo de respuesta a incidentes
o Gerente de respuesta a incidentes
o Analistas de seguridad, redes y sistemas
o Investigador de amenazas
o Analista forense
o Legal, RRHH, RRPP
• Manejo de evidencia
o Identificar, Recopilar, Analizar, Informar
o Cadena de custodia
o Integridad de los datos
o Políticas de retención
• Investigación forense
o Sistema, Red, Software, Almacenamiento
o Herramientas - dd, FTK, Memdump, Autopsy
• Marcos de ataque
o Cadena de muerte cibernética
o Modelo Diamante
o MITRE ATAQUE
Planificación de recuperación ante desastres
• Análisis del impacto empresarial
o Identificar sistemas y procesos críticos
o Determinar el objetivo de tiempo de recuperación (RTO)
o Determinar el objetivo del punto de recuperación (RPO)
• Plan de recuperación ante desastres
o Procedimientos de respuesta a emergencias
o Estrategias de backup
o Sitios de procesamiento alternativos
o Revisión posterior al incidente
• Métodos de copia de seguridad
o Completo, incremental, diferencial, instantánea
o Esquemas de rotación de respaldo
o Almacenamiento externo
o Replicación en sitios calientes/templados/fríos
• Pruebas de recuperación ante desastres
o Pruebas en papel, tutorial, simulación
o Pruebas paralelas y de transición
• Continuidad de las operaciones
o Planificación de la sucesión
o Personal suplente
o Teletrabajo
Criptografía
• Cifrado simétrico
o Una clave para cifrado y descifrado
o Intercambio de claves rápido pero difícil
o Algoritmos: AES, 3DES, Blowfish
• Cifrado asimétrico
o Par de claves pública y privada
o Intercambio de claves lento pero más fácil
o Algoritmos: RSA, ECC
o Longitudes de clave de 1024 a 4096 bits
• Hash
o Función unidireccional
o Verifica la integridad
o Algoritmos: MD5, SHA-1, SHA-2, SHA-3
• Firmas digitales
o Cifrado con clave privada del remitente
o Prueba autenticidad y no repudio
o Requiere PKI y certificados digitales
• Gestión de claves
o Generación, intercambio, almacenamiento, destrucción.
o Recuperación y depósito en garantía
• Esteganografía
o Ocultar mensajes en otros datos
o Se utiliza para ofuscación, no para cifrado.
• Impacto de la computación cuántica
El algoritmo de Shor rompe RSA y ECC
o Los tamaños de clave más grandes son solo una solución temporal
o Investigación en criptografía post-cuántica
Exploits y ataques
• Malware
o Virus, gusanos, troyanos, ransomware
o Spyware, adware, rootkits, keyloggers
• Ataques de contraseña
o Fuerza bruta, diccionario, tablas arcoiris
o Pulverización de contraseñas, robo de credenciales
• Ataques a aplicaciones web
o Inyección - SQL, XSS, LDAP
o Autenticación rota y gestión de sesiones
o Exposición de datos sensibles
o XXE y deserialización insegura
• Ataques inalámbricos
o Conducción de guerra
o Puntos de acceso no autorizados
o Vulnerabilidades de WPS y WPA2
• Ataques móviles
o Aplicaciones maliciosas
o Jailbreak y rooteo
o phishing por SMS
o Interceptación y seguimiento de señales
• Ataques criptográficos
o Ataque de cumpleaños
o Ataques de colisión
o Ataques de degradación
o dulce32
• Ingeniería social
o Phishing, vishing, smishing
o Suplantación de identidad
o Buceo en contenedores de basura
o Espionaje por encima del hombro
o Seguir de cerca y llevar a cuestas
• Ataques a la cadena de suministro
o Hardware o software comprometido
o Productos falsificados
o Personas malintencionadas dentro de los proveedores
Inteligencia de amenazas
• Fuentes de datos
o Código abierto
- OSINT, redes sociales
o Código cerrado
- Conferencias, dark web
o Técnico
- Sandboxes, honeypots, captura de paquetes
o humano
- PYMES, grupos de confianza
• Intercambio automático de indicadores
o Normas STIX y TAXII
o Plataformas MISP y OpenCTI
• Ciclo de inteligencia
o Dirección, Recolección, Procesamiento, Análisis, Difusión
o Retroalimentación para la mejora continua
• Actores de amenazas
o Ciberdelincuentes, APT, amenazas internas
o Hacktivistas y ciberterroristas
o niños del script
Pruebas de penetración
• Planificación y alcance
o Reglas de enfrentamiento
o Basado en objetivos, basado en el cumplimiento
o Caja blanca, caja gris, caja negra
• Reconocimiento
o Pasivo - OSINT, redes sociales
o Activo: escaneo de puertos, escaneo de vulnerabilidades
• Ejecución
o Acceso inicial, movimiento lateral
o Escalada de privilegios
o Exfiltración y destrucción de datos
• Informes
o Hallazgos y remediación
o Recomendaciones estratégicas
• Operaciones del Equipo Rojo
o Simulación de ataques multicapa basada en objetivos
o El equipo azul y morado
o Realizado por especialistas altamente calificados
Legal y cumplimiento
• Tipos de Leyes
o Penal, civil, administrativo
o Jurisdicción y extradición
• Propiedad intelectual
o Patentes, derechos de autor, marcas
o Secretos comerciales
o Gestión de derechos digitales (DRM)
• Licencias
o Comercial
o Código abierto
o Acuerdo de licencia de usuario final (EULA)
• Privacidad
o Información de identificación personal (PII)
o Información de salud protegida (PHI)
o Soberanía y localización de datos
• Marcos de cumplimiento
o RGPD, HIPAA, PCI-DSS, SOX, GLBA
o NIST CSF y 800-53
o ISO 27001 y 27002
o COBIT e ITIL
• Investigaciones
o Administrativo, penal, civil
o Órdenes de allanamiento
o Debido proceso y cadena de custodia
Ética
• Código de Ética (ISC)2
o Proteger la sociedad, el bien común, la confianza pública necesaria y la infraestructura.
o Actuar con honor, honestidad, justicia, responsabilidad y legalidad.
o Brindar un servicio diligente y competente a los directores.
o Promover y proteger la profesión.
• Ética organizacional
o Códigos de conducta
o Políticas de uso aceptable
o Informe obligatorio
o Denuncia de irregularidades
• Mal uso de la tecnología
o Hackeo, doxing, swatting
o Hacktivismo y ciberterrorismo
o Robo de propiedad intelectual
o Invasión de la privacidad
• Desarrollo profesional
o Mantenerse actualizado en el campo
o Involucrarse en la comunidad
o Mentoría e intercambio de conocimientos
Queridos amigos,
Le deseamos todo lo mejor en sus estudios y en la preparación de los exámenes para la certificación CompTIA Security+. Se trata de una certificación importante y valiosa en el campo de la ciberseguridad, y aprobar el examen le abrirá muchas oportunidades profesionales interesantes.
Para garantizar que esté bien preparado, le recomendamos que aproveche los productos de aprendizaje de alta calidad de CertMaster, que incluyen:
- CertMaster Learn: Un curso interactivo en línea que te ayuda a dominar los conocimientos teóricos necesarios para el examen.
- CertMaster Labs: un entorno de práctica en línea con escenarios de ciberseguridad del mundo real, que le permitirá perfeccionar sus habilidades prácticas.
- CertMaster Practice: un rico banco de preguntas con cientos de preguntas de práctica y exámenes simulados.
- CertMaster Exam-Sims: un examen de práctica que simula con precisión la estructura y la dificultad del examen real, ayudándole a familiarizarse y ganar confianza.
Al utilizar estos productos de calidad, no solo recibirá el máximo apoyo en su recorrido de aprendizaje, sino que también apoyará nuestros esfuerzos en el desarrollo de programas de capacitación y el fomento del talento en ciberseguridad.
Una vez más, le deseamos un aprendizaje eficaz, la confianza para superar el examen y la rápida obtención de la certificación CompTIA Security+ que desea. ¡Cree en usted mismo y persevere hasta el final!
Muchas gracias por su atención y apoyo. ¡Le deseamos mucho éxito!
Certificación CompTIA Security+: puerta de entrada a carreras en ciberseguridad bien remuneradas