CyberOps Associate Versión 1: Módulo 1 – El Peligro

Última actualización: abril 1, 2022

1.0. Introducción

1.0.1. Primera vez en este curso

CyberOps Associate v1.0 abarca las destrezas y los conocimientos necesarios para asumir con éxito las tareas, los deberes y las responsabilidades de los analistas en ciberseguridad de nivel del asociado que trabajan en los centros de operaciones de seguridad (SOC).

Cuando los estudiantes finalicen CyberOps Associate v1.0, serán capaces de realizar las siguientes tareas:

• Instalar máquinas virtuales para crear un entorno seguro para la implementación y el análisis de los eventos de amenazas de ciberseguridad.
• Explicar el rol del analista de operaciones de ciberseguridad en la empresa.
• Explicar las funciones y las características del sistema operativo Windows necesarias para el análisis de ciberseguridad.
• Explicar las funciones y las características del sistema operativo Linux.
• Analizar el funcionamiento de los protocolos y servicios de red.
• Explicar el funcionamiento de la infraestructura de red.
• Clasificar los diversos tipos de ataques a la red.
• Emplear herramientas de monitoreo de redes para identificar ataques a servicios y protocolos de red.
• Explicar cómo evitar el acceso malicioso a las redes informáticas, los hosts y los datos.
• Explicar el impacto de la criptografía en el monitoreo de la seguridad de redes.
• Explicar cómo investigar los ataques y las vulnerabilidades de los terminales.
• Evaluar alertas de seguridad de la red.
• Analizar datos de intrusiones en redes para identificar vulnerabilidades y hosts afectados.
• Aplicar modelos de respuesta ante incidentes para administrar los incidentes relacionados con la seguridad de la red.

1.0.2. Recursos del Estudiante

Hay una serie de herramientas y recursos disponibles para usted que le ayudarán en su viaje a medida que desarrolle sus habilidades de CyberOps y se prepare para oportunidades de trabajo.

Entorno de Laboratorio

En este curso, se utilizan dos máquinas virtuales: CyberOps Workstation y Security Onion. Estas máquinas virtuales proporcionan todas las aplicaciones y las últimas funciones de supervisión de seguridad y análisis de intrusiones de red necesarias para el curso.

El requisito mínimo de memoria RAM para ejecutar máquinas virtuales CyberOps Workstation es de 1 GB. Sin embargo, para la máquina virtual Security Onion, se recomienda 4 GB de RAM. Los requisitos de memoria RAM permiten que los servicios, tales como el monitoreo de seguridad de red (Network Security Monitoring, NSM) en Security Onion, funcionen correctamente.

Los laboratorios de instalación están disponibles en el curso y proporcionan pasos detallados para configurar correctamente las máquinas virtuales y el entorno de laboratorio.

Acerca de Security Onion

Security Onion es desarrollada por Security Onion Solutions. Security Onion está disponible bajo Licencia General Pública. Este curso utiliza una formación básica en el uso de Security Onion para validar los objetivos de este curso. Para obtener más información sobre necesidades de formación, visite el sitio para desarrolladores de Security Onion Solutions

Packet Tracer

Packet Tracer simula el funcionamiento interno de una red y es utilizado en este curso. Descargue e instale la última versión de Packet Tracer aquí: Packet Tracer Resources.

Si es nuevo en Packet Tracer, tome ahora este curso gratuito, corto y en línea: Introducción al Curso de Tracer de Paquetes.

Puede hacer uso de su smartphone, tablet o PC para acceder al curso; sin embargo, para las actividades de Packet Tracer, así como también para otras actividades, pruebas y exámenes, obtendrá una mejor experiencia si usa una PC.

Participe en nuestras comunidades

Conéctese y obtenga ayuda de otros estudiantes de Networking Academy de todo el mundo con nuestra página de Facebook de Cisco Networking Academy.

Conecte con sus pares en nuestra página de LinkedIn de Cisco Networking Academy.

Obtenga un trabajo.

Acceda a Recursos de Carrera los recursos profesionales específicamente diseñados para ayudar a que los estudiantes de NetAcad tengan éxito en el lugar de trabajo.

Busque excelentes oportunidades de trabajo con Cisco y partners de Cisco. Regístrese ahora con Talent Bridge.

Obteniendo un certificado de industria es garantizado para los empleadores que usted tiene las habilidades técnicas para realizar el trabajo. Echa un vistazo a nuestra página Certificaciones y Vales.

Más cursos

Elija un curso, practique lo que aprendió y conviértase en un profesional de TI. Echa un vistazo a nuestro Catálogo de cursos.

1.0.3. Declaración de Hacking ético

El Programa Cisco Networking Academy se enfoca en formar a los encargados de resolver problemas globales que se necesitan para desarrollar, escalar, asegurar y defender las redes que utilizamos en nuestras empresas y vidas diarias. La necesidad de contar con especialistas bien capacitados en ciberseguridad sigue creciendo a un ritmo exponencial. Capacitarse para convertirse en especialista en ciberseguridad requiere comprender profundamente mediante la exposición cómo funcionan los ciberataques, además de saber cómo detectarlos e impedirlos. Estas habilidades naturalmente también incluyen aprender las técnicas que utilizan los actores de amenazas para eludir la seguridad de los datos, la privacidad y la seguridad informática y de redes.

En este curso, los alumnos utilizarán herramientas y técnicas en un entorno de máquinas virtuales de “sandbox”, es decir: un entorno con máquinas virtuales que les permite crear, implementar, monitorear y detectar diversos tipos de ciberataques. La capacitación práctica se realiza en este entorno para que los estudiantes pueden adquirir las habilidades y los conocimientos necesarios para frustrar tanto estos ciberataques como los del futuro. Las brechas de seguridad y las vulnerabilidades que se crean en este curso solo deben emplearse de una manera ética y solamente en este entorno virtual de “sandbox”. Experimentar con estas herramientas, técnicas y recursos fuera del entorno virtual de sandbox provisto queda a criterio exclusivo del instructor y de la institución local. Si el alumno tiene alguna duda sobre los sistemas informáticos y las redes que forman parte del entorno virtual de sandbox, debe ponerse en contacto con su instructor antes de realizar cualquier experimento.

El acceso no autorizado a datos, computadoras y sistemas de redes es un delito en muchas jurisdicciones y, a menudo, está acompañado por graves consecuencias, independientemente de qué motive al delincuente. En su carácter de usuario de este material, la responsabilidad del alumno es conocer y cumplir las leyes de uso de las computadoras.

1.0.4. ¿Por qué debería tomar este módulo?

¿Alguna vez te han robado algo? Tal vez le robaron una billetera o le robaron su casa. ¡No solo necesita proteger su propiedad física, sino que también debe proteger su información! ¿Quién está robando información y por qué lo están haciendo? Tal vez es un individuo sólo viendo si son capaces de hackear la información. A menudo es para obtener ganancias financieras. Hay muchas razones. Siga leyendo este módulo para obtener más información sobre las amenazas y los actores responsables de estos ataques.

1.0.5. Qué aprenderás en este módulo?

Título del módulo: El peligro

Objetivo del módulo: Explicar sobre como las redes son atacadas.

1.0.6. Actividad de clase: Top hacker experto nos muestra cómo se hace

En esta actividad de clase, se ve un video de TED Talk que analiza diversas vulnerabilidades en la seguridad. También se investigará una de las vulnerabilidades mencionadas en el video.

1.1. Historias de guerra

1.1.1. Personas secuestradas

Sarah pasó por su cafetería favorita para tomar su bebida de la tarde. Realizó el pedido, le pagó al empleado y esperó mientras los baristas trabajaban sin descanso para cumplir con los pedidos pendientes. Sarah sacó su teléfono, abrió el cliente inalámbrico y se conectó a lo que ella suponía que era la red inalámbrica libre de la cafetería.

Sin embargo, sentado en un rincón de la tienda, un hacker acababa de configurar una zona de cobertura inalámbrica abierta “falsa” como si fuera la red inalámbrica de la cafetería. Cuando Sarah se conectó al sitio web de su banco, el hacker le usurpó la sesión y obtuvo acceso a las cuentas bancarias. Otro término para los puntos de acceso inalámbricos no fiables es los puntos de acceso «gemelos malvados».

Busque en Internet en «puntos de acceso gemelos malvados» para obtener más información sobre esta amenaza a la seguridad.

1.1.2. Empresas a las que se piden rescates

Rashid, un empleado en el departamento financiero de una empresa importante que cotiza en bolsa, recibe un correo electrónico de su CEO con un PDF adjunto. El PDF es sobre las ganancias del tercer trimestre de la empresa. Rashid no recuerda que su departamento haya creado ese PDF. Esto despierta su curiosidad y decide abrir el archivo adjunto.

La misma situación ocurre en toda la organización, ya que decenas de otros empleados se ven tentados a hacer clic en el archivo adjunto. Cuando se abre el PDF, el ransomware se instala en las computadoras de los empleados y comienza el proceso de recopilación y encriptación de datos corporativos. El objetivo de los atacantes es ganar dinero, ya que piden un rescate por regresarle a la empresa sus datos.

1.1.3. Naciones objetivo

Algunos de los programas de malware actuales son tan sofisticados y costosos de crear que los expertos en seguridad creen que solamente un estado nacional o un grupo de naciones podrían tener la influencia y financiación para crearlo. Este malware puede tener como objetivo atacar la infraestructura vulnerable de una nación, como el sistema de agua o la red eléctrica.

Este fue el propósito del gusano Stuxnet, que infectó unidades USB. Estas unidades fueron transportadas por cinco proveedores iraníes de componentes a una instalación segura a la que apoyaban. Stuxnet fue diseñado para infiltrar sistemas operativos Windows y, luego, atacar el software Step 7. Step 7 fue desarrollado por Siemens para sus controladores lógicos programables (Programmable Logic Controllers, PLC). Stuxnet estaba buscando un modelo específico de los PLC Siemens que controlaran las centrífugadoras en las instalaciones de procesamiento de Uranio. El gusano se transmitió de las unidades USB infectadas a los PLC y, finalmente, dañó muchas de las centrífugas.

Zero Days, una película estrenada en 2016, busca documentar el desarrollo e implementación de los ataques dirigidos mediante el malware Stuxnet. Busque Zero Days para encontrar la película o información sobre la película.

1.1.4. Video: anatomía de un ataque

Mira este vídeo para ver los detalles de un ataque complejo.

1.1.5. Práctica de laboratorio: Instalar las máquinas virtuales

En esta práctica de laboratorio, es necesario instalar VirtualBox en sus computadoras personales. Luego, es necesario descargar e instalar la máquina virtual (VM) de CyberOps Workstation.

1.1.6. Práctica de laboratorio: Casos prácticos de ciberseguridad

En esta práctica de laboratorio, se analizarán los casos y se responderán preguntas al respecto.

1.2. Agentes de amenazas

1.2.1. Agentes de amenazas

Los actores maliciosos incluyen, entre otros, a aficionados, hacktivistas, grupos del crimen organizado, agentes patrocinados por el estado y grupos terroristas. Los actores maliciosos son individuos o un grupo de personas que realizan ciberataques. Los ciberataques son actos intencionales y maliciosos que tienen como objetivo afectar negativamente a otra persona u organización.

1.2.2. ¿Cuán segura es Internet de las cosas?

Internet de las cosas (IoT) se encuentra a nuestro alrededor y se expande con rapidez. Apenas estamos comenzando a aprovechar los beneficios de IoT. Constantemente se están desarrollando nuevas maneras de utilizar elementos conectados. IoT ayuda a los individuos a conectar elementos para mejorar la calidad de vida. Por ejemplo, muchas personas utilizan actualmente dispositivos portátiles conectados para realizar el seguimiento de su actividad física. ¿Cuántos dispositivos poseen actualmente que se conecten a su red doméstica o a Internet?

¿Qué grado de seguridad ofrecen estos dispositivos? Por ejemplo, ¿quién escribió el firmware? ¿Prestó atención el programador a los defectos de seguridad? ¿Es vulnerable a ataques el termostato conectado en sus hogares? ¿Qué hay de su grabadora de video digital (DVR)? Si se encuentran vulnerabilidades de seguridad, ¿es posible aplicar un parche en el firmware del dispositivo para eliminar la vulnerabilidad? Muchos dispositivos en Internet no se actualizan con el firmware más reciente. Algunos dispositivos más antiguos ni siquiera se desarrollaron para actualizarse con parches. Estas dos situaciones crean oportunidades para los actores maliciosos y riesgos de seguridad para los propietarios de estos dispositivos.

En octubre de 2016, un ataque de DDoS contra el proveedor de nombres de dominio Dyn interrumpió el funcionamiento de muchos sitios web populares. El ataque provino de una gran cantidad de cámaras web, DVR, routers y otros dispositivos de IoT afectados por software malicioso. Estos dispositivos formaron una “botnet” que los hackers pudieron controlar. Este botnet se usó para crear un ataque enorme de DDoS que desactivó servicios esenciales de Internet. Dyn publicó una entrada de blog para explicar el ataque y su reacción ante el problema. Busque en «Resumen de análisis de Dyn del ataque del viernes 21 de octubre» para obtener más información sobre este ataque que rompe récord.

Para obtener una explicación de los peligros de no proteger los dispositivos IoT, busque la charla TED de Avi Rubin, «Todos sus dispositivos pueden ser hackeados» or «All your devices can be hacked». El Dr. Rubin es profesor de Ciencias de la Computación en la Universidad Johns Hopkins.

1.2.3. Práctica de laboratorio: Averiguar los detalles de los ataques

En esta práctica de laboratorio, se investigarán y analizarán vulnerabilidades de aplicaciones de IoT.

1.3. Impacto de la amenaza

1.3.1. PII, PHI y PSI

El impacto económico de los ciberataques es difícil de determinar con precisión Sin embargo, se estima que las empresas perderán cerca de $5 trillones anualmente hasta el 2024 por ciberataques.

La información que permite identificar personas (Personally Identifiable Information, PII) es cualquier dato que pueda utilizarse para identificar inequívocamente a una persona. Algunos ejemplos de PII son los siguientes:

• Nombre
• Número de seguridad social
• Fecha de nacimiento
• Números de tarjetas de crédito
• Números de cuentas bancarias
• Identificación emitida por el gobierno
• Información sobre dirección (calle, correo electrónico, números de teléfono)

Uno de los objetivos más lucrativos de los ciberdelincuentes es obtener listas de PII que puedan vender en la web oscura. Solamente es posible tener acceso a la web oscura con software especializado y la utilizan los ciberdelincuentes para proteger sus actividades. Las PII robada puede utilizarse para crear cuentas financieras falsas, como tarjetas de crédito y préstamos a corto plazo.

La Información confidencial sobre la salud (Protected Health Information, PHI) es un subconjunto de la PII. La comunidad médica crea y mantiene registros médicos electrónicos (EMR) que contienen PHI. En los Estados Unidos, la manipulación de la PHI está regulada por la Ley de Transferibilidad y Responsabilidad del Seguro Médico (HIPAA). En la Unión Europea, el Reglamento General de Protección de Datos (RGPD) protege una amplia gama de información personal incluyendo registros médicos.

La información de seguridad personal (Personal Security Information, PSI) es otro tipo de información personal. Esta información incluye nombres de usuario, contraseñas y otra información relacionada con la seguridad que los individuos utilizan para acceder a información o servicios de la red. Según un informe de Verizon de 2019, la segunda forma más común de que los actores de amenazas violaron una red fue mediante el uso de PSI robado.

La mayoría de los ataques a empresas y organizaciones informados en las noticias involucran el robo de PII o PHI. Ejemplos recientes son:

• En 2019, un sitio web de herramientas de diseño gráfico en línea experimentó una violación de datos en la que la PII de aproximadamente 137 millones de usuarios fue vista por piratas informáticos con detalles de usuario de 4 millones de cuentas apareciendo en Internet.
• En 2020, una importante empresa china de medios sociales fue pirateada, lo que provocó el robo de PII, incluidos números de teléfono, a 172 millones de usuarios. El robo no incluyó contraseñas, por lo que los datos estaban disponibles a un precio bajo en Internet.
• En 2019, una empresa que hace juegos que se juegan en Facebook fue pirateada y la PII de 218 millones de usuarios fue robada.

1.3.2. Pérdida de la ventaja competitiva

Las empresas están cada vez más preocupadas por el espionaje corporativo en el ciberespacio. La pérdida de propiedad intelectual de los competidores es motivo de grave preocupación. Una importante preocupación adicional es la pérdida de confianza que surge cuando una empresa es incapaz de proteger los datos personales de sus clientes. La pérdida de la ventaja competitiva puede deberse más a esta falta de confianza que al hecho de que otra empresa o país robe secretos comerciales.

1.3.3. Política y seguridad nacional

No solo las empresas sufren ataques. En febrero de 2016, un hacker publicó los datos personales de 20 000 empleados de la Oficina Federal de Investigaciones (FBI) de EE. UU. y de 9000 empleados del Departamento de Seguridad Nacional (DHS) de EE. UU. Aparentemente, el hacker tuvo motivos políticos.

El gusano Stuxnet se diseñó específicamente para impedir el avance de Irán en el enriquecimiento de uranio que podría usarse en un arma nuclear. Stuxnet es un claro ejemplo de un ataque a la red motivado por asuntos de seguridad nacional. La ciberguerra es una posibilidad concreta. Los hackers guerreros patrocinados por el estado pueden causar interrupciones y destrucciones de servicios y recursos vitales dentro de una nación enemiga. Internet se ha tornado esencial como medio para actividades comerciales y financieras. La interrupción de estas actividades puede devastar la economía de una nación. Los controladores, similares a los atacados por Stuxnet, también se utilizan para controlar el caudal de agua en diques y la alimentación en redes eléctricas. Los ataques contra estos controladores pueden tener graves consecuencias.

1.3.4. Práctica de laboratorio: Visualizar a los Hackers de Sombrero Negro

En esta práctica de laboratorio, se investigarán y analizarán incidentes de ciberseguridad para crear situaciones sobre cómo las organizaciones pueden evitar o mitigar el impacto de un ataque.

1.4. Resumen del peligro

1.4.1. ¿Qué aprendí en este módulo?

Historias de guerra

Los actores de amenazas pueden secuestrar sesiones bancarias y otra información personal mediante el uso de puntos de acceso «gemelos malvados». Los actores de amenazas pueden dirigirse a las empresas, como en el ejemplo donde abrir un pdf en el equipo de la empresa puede instalar ransomware. Las naciones enteras pueden ser atacadas. Esto ocurrió en el ataque de malware Stuxnet.

Agentes de amenazas

Los actores maliciosos incluyen, entre otros, a aficionados, hacktivistas, grupos del crimen organizado, agentes patrocinados por el estado y grupos terroristas. El aficionado puede tener poca o ninguna habilidad y a menudo utiliza la información que se encuentra en Internet para lanzar ataques. Los hacktivistas son hackers que protestan contra una variedad de ideas políticas y sociales. Gran parte de la actividad de los hackers es en busca de beneficios financieros. Los estados de una nación también están interesados en utilizar el ciberespacio para espionaje industrial. El robo de la propiedad intelectual puede otorgar una ventaja significativa a un país en el comercio internacional. A medida que el Internet de las cosas (Internet of Things, IoT) se expande, las cámaras web, los routers y otros dispositivos en nuestros hogares también están bajo ataque.

Impacto de la amenaza

Se estima que los negocios perderán cerca de $5 trillones anualmente hasta el 2024 por ciberataques La información de identificación personal (Personal Identificable Information, PII), la información de salud protegida (Personald Health Information, PHI) y la información de seguridad personal (Personal Security Information, PSI) son formas de información protegida que a menudo se roban. Una empresa puede perder su ventaja competitiva cuando se roba esta información, incluidos los secretos comerciales. Además, los clientes pierden la confianza en la capacidad de la empresa para proteger sus datos. Los gobiernos también han sido víctimas de hackeos.