Introducción a la seguridad TI

Los conceptos fundamentales de la seguridad de las tecnologías de la información (TI) son esenciales para proteger los sistemas y los datos contra amenazas, ataques y vulnerabilidades, además de intentar minimizar los riesgos. A continuación, vamos a detallar los principales conceptos, así como sus características:

Confidencialidad

Garantiza que solo las personas o sistemas autorizados puedan acceder a la información sensible (confidencial). Se busca prevenir el acceso no autorizado mediante métodos como el cifrado y los controles de acceso.

Integridad

Se basa en que los datos no sean alterados de forma no autorizada o accidental. Diferentes mecanismos como hashing y firmas digitales permiten detectar si la información ha sido modificada.

Disponibilidad

Asegura que los sistemas y datos estén accesibles para los usuarios autorizados cuando lo necesiten. Las capacidades de redundancia de los sistemas, tolerancia a fallos y copias de seguridad son básicas para garantizar la disponibilidad.

Autenticación

Proceso mediante el cual se verifica la identidad de los usuarios o sistemas que intentan acceder a los recursos. Métodos comunes incluyen contraseñas, biometría o tokens. Se deben tener en cuenta conceptos como MFA / 2FA. Zero Trust es un enfoque de seguridad en el que se asume que no se puede confiar en ningún usuario o sistema, ya sea dentro o fuera de la red corporativa, sin verificar primero su identidad y contexto

Autorización

Define los privilegios o permisos que un usuario o sistema tiene sobre ciertos recursos, controlando lo que pueden hacer una vez autenticados. La tendencia actual, basada en Zero Trust, es facilitar un acceso con el menor privilegio posible, es decir, se otorgan solo los permisos mínimos necesarios para que el usuario o dispositivo realice sus tareas.

Auditoría y registro (accounting/logging)

Implica la monitorización y registro de las actividades de los sistemas para detectar comportamientos inusuales, ataques o intentos de acceso no autorizados. Todos estos registros, en la medida de lo posible, deben ser centralizados en un SIEM (Security Information and Event Management), solución de seguridad cuyo objetivo es recopilar, analizar y correlacionar grandes volúmenes de datos de eventos y registros.

No repudio

Garantiza que una acción o transacción no pueda ser negada por las partes involucradas. Las firmas digitales y registros de auditoría son métodos que soportan este principio.

Gestión de riesgos

Proceso para identificar, analizar o evaluar, y mitigar riesgos asociados con las amenazas de seguridad. Requiere análisis continuos para desarrollar estrategias y minimizar vulnerabilidades.

Hace años se solían indicar los tres primeros como los tres pilares fundamentales de la seguridad, no obstante, con el paso del tiempo y la abrumadora transformación digital que se está viviendo, se ha ido ampliando esta lista de pilares o conceptos.

Confidencialidad

La confidencialidad se refiere a la protección de la información para que solo las personas, sistemas o procesos autorizados puedan acceder a ella. Este pilar es fundamental para evitar el acceso no autorizado a datos sensibles o privados. Para garantizar la confidencialidad, se utilizan mecanismos como:

Control de acceso: Implementación de tecnologías y políticas que regulan quién o qué puede acceder a la información, basándose en roles, permisos o autenticación de usuarios.
Cifrado: Proceso de codificación de la información para que solo pueda ser leída por quienes tengan la clave adecuada.
Autenticación: Verificación de la identidad de los usuarios a través de contraseñas, tokens, autenticación multifactor (MFA), etc.

Tanto el control de acceso como el cifrado y la autenticación han evolucionado notablemente, de ahí que hablemos más adelante de manera específica.

Integridad

La integridad se refiere a la precisión, consistencia y veracidad de la información durante todo su ciclo de vida. El objetivo es asegurar que los datos no sean alterados de manera no autorizada o accidentalmente. Algunas de las técnicas que se utilizan para mantener la integridad de los datos son:

Hashing: Generación de un resumen o huella digital de los datos para detectar cambios no autorizados.
Firmas digitales: Método que utiliza criptografía para verificar la autenticidad y la integridad de un mensaje o documento.
Controles de acceso y auditoría: Registro de quién accede a la información y qué acciones realiza.

Disponibilidad

La disponibilidad se asegura de que la información y los sistemas de TI estén accesibles y operativos cuando los usuarios autorizados los necesiten. Las amenazas a la disponibilidad pueden incluir ataques de denegación de servicio (DoS), desastres naturales, fallas de hardware o errores de software. Algunas medidas para garantizar la disponibilidad son:

Redundancia: Uso de sistemas y componentes duplicados para evitar puntos únicos de fallos.
Backup (copias de seguridad): Creación de copias de datos para recuperación en caso de pérdida o daño.
Planes de recuperación ante desastres (DRP): Estrategias para restaurar sistemas y servicios críticos después de un evento adverso.
Balanceo de carga: Distribución de la carga de trabajo entre varios servidores para asegurar la eficiencia y la disponibilidad continua.

Autenticación

Aunque se haya mencionado como mecanismo dentro de la confidencialidad, a día de hoy, tiene suficiente entidad para hablar de manera específica. La autenticación es el proceso de verificar la identidad de un usuario, dispositivo o sistema. Su propósito es garantizar que solo las entidades autorizadas puedan acceder a ciertos recursos. Algunos métodos de autenticación comunes son:

Contraseñas y PINs: Métodos tradicionales de verificación de identidad.
Autenticación multifactor (MFA): Combina dos o más factores de autenticación, como algo que el usuario sabe (contraseña), algo que tiene (token o dispositivo móvil), y algo que es (huella digital o reconocimiento facial).
Certificados digitales: Archivos que autentican la identidad de un usuario o dispositivo, emitidos por una autoridad certificadora (CA).

Algo que se sabe

Algo que una persona sabe se suele conocer como autenticación por conocimiento. Algunos de estos ejemplos son:

Contraseña
pin
Respuestas secretas (nombre de la mascota, primer colegio, apellido de familiar, etc.)

Autenticar a una persona por algo que sabe se logra fácilmente y es probablemente el método de autenticación menos costoso. Hoy por hoy es recomendable utilizar 2FA o MFA, ya que únicamente la autenticación por pin o contraseña no proporciona los métodos más seguros para garantizar que la identidad autenticada sea quien dice ser. En una época en la que las filtraciones de datos son comunes, junto con personas que usan contraseñas compartidas, además de ataques masivos de fuerza bruta o diccionario, se requiere una mejor forma de autenticación.

Algo que se tiene

Algo que una persona tiene se conoce como autenticación por propiedad. Algunos ejemplos son:

Tarjetas de coordenadas
Tarjetas físicas
Llaves físicas
Dispositivos generadores de llaves lógicas

El ejemplo más común de algo que una persona tiene es una tarjeta física o una llave, todos usamos llaves en nuestro día a día para entrar al coche o a nuestra casa. Por otro lado, hay unos dispositivos que generan llaves o tokens únicos que utilizan datos como la hora actual y otras referencias como un ID aleatorio o números de una fuente central. Estos tokens son únicos para la persona que lo requiere en ese momento en particular.

Al igual que el caso anterior, utilizado solo, este método de autenticación no garantizará que la persona tenga acceso legítimo, ya que es posible que no sea el propietario real de estos elementos de autenticación, bien por robo o extravío.

Algo que es

Algo a lo que normalmente se hace referenciar a una persona como autenticación por característica. Se suele referenciar o conocer como accesos biométricos. La característica suele ser, por tanto, física y única para la persona. Suelen ser:

Exploración de retina
Huellas dactilares
Identificación facial

Las huellas dactilares, los escaneos de retina para la identificación facial pueden ser únicos para todas las personas, por lo que al usarlos, se podría verificar la identidad de la persona. Muchos sistemas de acceso en estos días utilizan el acceso mediante huellas dactilares, y es conocido que las huellas dactilares y los escaneos de retina son más difíciles de suplantar, no obstante, realizar la verificación puede ser costoso ya que la tecnología involucrada no es económica, por lo tanto, queda acotada a un tipo de organización en concreto.

Autorización

La autorización es el proceso de permitir el acceso a recursos o información después de haber autenticado a un usuario o entidad, es decir, asignar unos permisos acordes tras la autenticación. Se basa en políticas de control de acceso:

Listas de control de acceso (ACLs): Definen qué usuarios o grupos tienen permisos específicos sobre un recurso.
Modelos de control de acceso: Como el control de acceso basado en roles (RBAC), donde los permisos se otorgan en función del rol del usuario en la organización.

Auditoría y registro

Consiste en la recopilación, registro y análisis de eventos relacionados con la seguridad para detectar y responder a incidentes de seguridad. Incluye:

Registros de eventos (logs): Capturan información sobre accesos, cambios y acciones ejecutadas en los sistemas.
Sistemas de detección de intrusos (IDS): Monitorizan la red o el sistema en busca de actividades maliciosas o violaciones de políticas.
Análisis de comportamiento: Detecta anomalías basadas en patrones de uso.

Otros conceptos relacionados que veremos más adelante son IPS y SIEM.

Gestión de riesgos

La gestión de riesgos es el proceso de identificar, evaluar y priorizar los riesgos para los sistemas de información. Esto se traslada de la siguiente manera:

Identificación de activos: Determinar qué activos necesitan protección (datos, sistemas, infraestructura). Importante disponer de una CMDB con todos los activos de la organización.
Análisis de amenazas: Identificar posibles amenazas y vulnerabilidades.
Valoración del impacto: Evaluar las consecuencias potenciales de una brecha de seguridad.
Planes de mitigación: Desarrollar estrategias para reducir o gestionar los riesgos.

Respuesta ante incidentes y otras amenazas

Es el enfoque sistemático para gestionar y mitigar los efectos de un incidente de seguridad. Estos planes deben incluir:

Detección y análisis: Identificación temprana del incidente y evaluación de su naturaleza y alcance.
Contención: Medidas para limitar el impacto del incidente.
Erradicación: Eliminación de la causa del incidente.
Recuperación: Restauración de sistemas y servicios afectados.
Revisión posterior: Análisis del incidente para mejorar la respuesta futura. Lecciones aprendidas, informes post-mortem.

Ciberseguridad y amenazas comunes

Este concepto abarca todas las prácticas, tecnologías y procesos diseñados para proteger las redes, dispositivos, programas y datos de ataques, daños o acceso no autorizado. Aunque veremos en apartados posteriores detalle sobre las amenazas, adelantar que algunas comunes incluyen:

Malware: Software malicioso como virus, gusanos, troyanos y ransomware.
Phishing: Técnicas de ingeniería social para engañar a los usuarios y obtener información confidencial.
Ataques de denegación de servicio (DoS/DDoS): Inundar un sistema o red con tráfico para hacer que los recursos sean inaccesibles.
Ataques de día cero: Vulnerabilidades explotadas antes de que se publique un parche.

Políticas de seguridad de la información

Las políticas son directrices y reglas definidas por una organización para proteger sus activos de información. Está demostrado que las buenas prácticas no son suficientes y hay que definir una serie de políticas que, al menos, deben incluir:

Política de contraseñas: Reglas sobre la complejidad, longitud y frecuencia de cambio de las contraseñas.
Política de uso aceptable: Define el uso adecuado de los recursos de TI por parte de los empleados.
Política de copia de seguridad: Procedimientos para realizar y almacenar copias de seguridad de los datos.