Unidad 5 - Seguridad y auditoría en sistemas operativos
Estudio avanzado sobre ciberseguridad, protección de sistemas operativos, gestión de incidentes, SIEM, SOC, normativas internacionales, auditoría de eventos y defensa moderna frente a amenazas reales.
5.1 Tríada CIA
La tríada CIA representa los tres pilares fundamentales de la seguridad informática: Confidencialidad, Integridad y Disponibilidad.
| Pilar | Objetivo |
|---|---|
| Confidencialidad | Evitar accesos no autorizados |
| Integridad | Evitar modificaciones indebidas |
| Disponibilidad | Garantizar acceso cuando se necesite |
Controles habituales
- MFA y RBAC → confidencialidad
- Hashes y FIM → integridad
- Backups y HA → disponibilidad
Mini-Test
1. ¿Qué pilar protege frente a modificaciones no autorizadas?
5.2 ISO/IEC 27001
ISO/IEC 27001 es el estándar internacional para implantar un Sistema de Gestión de Seguridad de la Información (SGSI).
Objetivos
- Gestionar riesgos
- Aplicar controles
- Mejorar continuamente
- Garantizar trazabilidad
Ciclo PDCA
| Fase | Función |
|---|---|
| Plan | Planificar controles |
| Do | Implementar |
| Check | Auditar |
| Act | Mejorar |
Elementos clave
- Análisis de riesgos
- Política de seguridad
- Auditorías internas
- Gestión de incidentes
- Continuidad del negocio
Mini-Test
1. ¿Qué significa SGSI?
5.3 RGPD
El Reglamento General de Protección de Datos (RGPD) regula el tratamiento de datos personales en la Unión Europea.
Principios importantes
- Minimización de datos
- Privacidad desde el diseño
- Retención limitada
- Notificación de brechas ≤72h
Derechos de los usuarios
| Derecho | Descripción |
|---|---|
| Acceso | Consultar datos almacenados |
| Rectificación | Corregir errores |
| Supresión | Derecho al olvido |
| Portabilidad | Transferencia de datos |
Mini-Test
1. ¿Cuánto tiempo hay para notificar una brecha grave?
5.4 Incidente: Ransomware WannaCry (2017)
WannaCry fue uno de los ataques ransomware más destructivos de la historia moderna.
Cómo funcionaba
- Explotaba SMBv1 en Windows
- Se propagaba automáticamente
- Cifraba archivos
- Exigía rescate económico
Impacto CIA
| Pilar | Impacto |
|---|---|
| Disponibilidad | Sistemas inutilizados |
| Integridad | Archivos alterados |
| Confidencialidad | Posible exfiltración |
Lecciones aprendidas
- Importancia del parcheo
- Segmentación de red
- Backups verificados
- Monitorización continua
Mini-Test
1. ¿Qué protocolo vulnerable explotaba WannaCry?
5.5 Herramientas y consejos de seguridad
Herramientas esenciales
| Herramienta | Uso |
|---|---|
| BitLocker | Cifrado Windows |
| LUKS | Cifrado Linux |
| Wazuh | FIM y SIEM |
| Get-FileHash | Verificación hashes |
Buenas prácticas
- MFA obligatorio
- Principio de mínimo privilegio
- Rotación de claves
- Backups 3-2-1
- Segmentación VLAN
Mini-Test
1. ¿Qué herramienta cifra discos en Linux?
5.6 Estrategia de defensa en profundidad
La defensa en profundidad consiste en aplicar múltiples capas de seguridad.
Capas principales
| Capa | Protección |
|---|---|
| Perímetro | Firewall, VPN |
| Endpoint | EDR, antivirus |
| Red | VLAN, IDS/IPS |
| Usuarios | Formación |
| Monitorización | SOC y SIEM |
Mini-Test
1. ¿Qué modelo usa múltiples capas defensivas?
5.7 Identify - Protect - Detect - Respond - Recover
El marco NIST CSF resume la seguridad moderna en cinco funciones clave.
| Fase | Objetivo |
|---|---|
| Identify | Conocer riesgos y activos |
| Protect | Aplicar controles |
| Detect | Detectar amenazas |
| Respond | Actuar rápidamente |
| Recover | Restaurar operaciones |
Aplicación práctica
- Inventario de activos
- Monitorización SIEM
- Planes de respuesta
- Backups y DRP
Mini-Test
1. ¿Qué fase restaura servicios tras un incidente?
5.8 Spear Phishing a empresa: cómo defenderse
El spear phishing es un phishing dirigido y altamente personalizado.
Técnicas habituales
- Suplantación de directivos
- Dominios falsos similares
- Ingeniería social
- Uso de LinkedIn y RRSS
Defensas efectivas
| Medida | Objetivo |
|---|---|
| MFA | Reducir accesos ilegítimos |
| DMARC/SPF/DKIM | Evitar spoofing |
| Simulaciones | Entrenar empleados |
| Verificación telefónica | Validar pagos |
Mini-Test
1. ¿Qué protege frente a suplantación de correo?
5.9 Ciberseguridad avanzada: incidentes
La ciberseguridad avanzada se centra en detectar, contener y responder rápidamente a incidentes.
Qué es un incidente
- Acceso no autorizado
- Malware
- DDoS
- Exfiltración de datos
- Errores de configuración
Fases ISO 27035
| Fase | Objetivo |
|---|---|
| Preparación | Definir procedimientos |
| Identificación | Detectar incidentes |
| Contención | Reducir impacto |
| Erradicación | Eliminar causa raíz |
| Lecciones aprendidas | Mejora continua |
Mini-Test
1. ¿Qué fase elimina la causa raíz?
5.10 El modelo NIST CSF
El NIST Cybersecurity Framework estructura la seguridad como un proceso continuo y medible.
Ventajas
- Enfoque estratégico
- Basado en riesgos
- Escalable
- Compatible con ISO 27001
Herramientas relacionadas
| Función | Tecnologías |
|---|---|
| Detect | SIEM, IDS, EDR |
| Respond | SOAR |
| Recover | Backups y DRP |
Mini-Test
1. ¿Qué framework usa Identify-Protect-Detect?
5.11 Ciberinteligencia y detección proactiva
La ciberinteligencia recopila y analiza información sobre amenazas para anticiparse a ataques.
Fuentes importantes
- MITRE ATT&CK
- VirusTotal
- AlienVault OTX
- MISP
Tecnologías útiles
| Tecnología | Uso |
|---|---|
| Honeypots | Atraer atacantes |
| Sandboxes | Analizar malware |
| Threat Feeds | Indicadores de compromiso |
Mini-Test
1. ¿Qué framework documenta tácticas de atacantes?
5.12 Herramientas, auditoría, SIEM y continuidad
Logs importantes
Qué hace un SIEM
- Centraliza logs
- Correlaciona eventos
- Genera alertas
- Facilita auditorías
Herramientas SIEM
| Herramienta | Tipo |
|---|---|
| Splunk | Enterprise |
| Wazuh | Open Source |
| Elastic Security | ELK Stack |
| Microsoft Sentinel | Cloud SIEM |
BCP vs DRP
| Plan | Objetivo |
|---|---|
| BCP | Continuidad global |
| DRP | Recuperación TI |
Mini-Test Final
1. ¿Qué herramienta centraliza logs y correlaciona eventos?
2. ¿Qué plan mantiene operativa toda la empresa?
3. ¿Qué tecnología automatiza respuestas?