Tema: Gobernanza de seguridad de la información

Capitulo 14 - Introducción a la gobernanza de seguridad de la información

Principios y marcos normativos

Principios: seguridad organizacional; enfoque por riesgos; alineación de inversiones al negocio; conformidad; cultura de seguridad; medición por desempeño.

Marcos: ISO/IEC 27014 (supervisión de seguridad); NIST CSF ID.GV (gobernanza cibernética); COBIT 2019 (evaluar, dirigir, monitorear); ISO/IEC 38500 (gobernanza TI)

Estructura organizativa y roles

Gobierno: órgano de gobierno y alta dirección

Seguridad: CISO y comité; CSIRT

Protección de datos: DPO

Apoyo: propietarios de activos, función de riesgos, “security champions” y auditoría interna.

Políticas, estándares y procedimientos

Jerarquía documental: políticas estratégicas → estándares técnicos → procedimientos operativos.

Ciclo de vida: elaboración, aprobación, revisión, retiro y control de versiones.

Gestión de riesgos y terceros

Riesgos: identificación, evaluación, tratamiento, monitoreo; apetito y tolerancia.

Terceros: due diligence, cláusulas contractuales, auditorías continuas.

Cumplimiento legal y regulatorio

Normas generales: GDPR (arts. 32, 83), HIPAA, PCI DSS, SOX, LOPD.

Sectoriales: NERC CIP.

Actividades: análisis de brechas, auditorías, notificaciones y sanciones.

Gestión de accesos e identidades (IAM)

Ciclo de vida de identidades.

Autenticación y autorización (RBAC/ABAC).

Accesos privilegiados, SSO/federación, revisiones y supervisión.

Capacitación y cultura

Programas con contenidos actualizados, simulaciones de phishing y campañas.

Métricas de eficacia (tasas de clic, resultados de simulacros).

Liderazgo activo para fomentar cultura de seguridad.

Respuesta a incidentes y continuidad

Fases: preparación, detección, contención, erradicación, recuperación.

BIA, BCP y DRP, pruebas periódicas, auditorías y lecciones aprendidas.

Métricas y desempeño

KPI/KRI: incidentes, vulnerabilidades, madurez de procesos.

Dashboards ejecutivos, benchmarking y ciclo PDCA (Plan‑Do‑Check‑Act).

Tendencias emergentes

DevSecOps, Cloud governance (ISO/IEC 27017), Zero Trust (NIST SP 800‑207).

Criptografía post‑cuántica (FIPS 203‑205), IA governance (ISO/IEC SC 42).

SASE, SCRM (SP 800‑161), IoT governance (ISO/IEC 30141), “policy-as-code” y SOAR.

Implementación en 4 pasos

Estrategia: definir objetivos, apetito de riesgo y requisitos de cumplimiento.

Construcción: diseñar estructura organizativa y marco normativo‑tecnológico.

Prueba e implementación: validación funcional y despliegue progresivo.

Monitoreo y mejora: seguimiento continuo y ajustes basados en resultados.

Beneficios clave

Integridad y calidad de datos

Reducción de riesgos y seguridad reforzada

Cumplimiento normativo

Eficiencia operativa y reducción de costes

Decisiones basadas en datos

Colaboración fluida y reputación fortalecida

Base para transformación digital

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 13 - Marcos de seguridad de la información | Alternativos

El Capitulo 13 se centra en una visión comparativa de diversos marcos y estándares utilizados en la gestión y seguridad de la información. A continuación, se presenta un resumen de los aspectos más importantes:

• Cobit 2019:

- Enfocado en la gobernanza y gestión de TI, asegurando la alineación entre la tecnología y los objetivos empresariales.

- Introduce nuevos factores de diseño y modelos de evaluación de madurez para identificar brechas y optimizar procesos.

• COSO Internal Control–Integrated Framework:

- Diseñado originalmente para fortalecer el control interno en entornos financieros, pero extendido a la gestión de riesgos operativos y estratégicos.

- Se estructura en 17 componentes que abarcan desde el ambiente de control hasta la supervisión, mejorando la transparencia y la integridad de la información.

• PCI DSS Versión 4.0:

- Orientado a proteger los datos de tarjetas de pago mediante requisitos técnicos y de procesos, reduciendo así riesgos de fraude y brechas de seguridad.

- Establece 12 requisitos básicos que incluyen desde la protección de redes hasta políticas internas de seguridad.

• HITRUST CSF Versión 10.x:

- Unifica múltiples normativas y estándares, especialmente en sectores tan sensibles como el salud.

- Facilita la integración de controles de seguridad y gestión de riesgos, reduciendo esfuerzos duplicados en auditorías y cumplimiento normativo.

• CIS Controls Versión 8:

- Basado en prácticas reconocidas por la comunidad, ofrece medidas prácticas y priorizadas para disminuir riesgos cibernéticos.

- Aborda desde el inventario y control de activos hasta la gestión de incidentes, poniendo especial énfasis en la reducción de la superficie de ataque.

• FAIR Versión 3:

- Proporciona un enfoque cuantitativo para el análisis de riesgo, permitiendo traducir las amenazas a valores financieros.

- Facilita la toma de decisiones y la justificación de inversiones en seguridad mediante métricas económicas.

• ITIL 4:

- Se centra en la gestión de servicios de TI, integrando prácticas ágiles, DevOps y enfoques holísticos en la creación de valor.

- Incluye políticas y procesos para la seguridad de la información, alineando la prestación de servicios con las necesidades del negocio.

• O-ISM3 (Information Security Management Maturity Model):

- Un modelo de madurez que permite evaluar y mejorar los procesos de gestión de seguridad en la organización.

- Proporciona una guía estructurada para identificar brechas y planificar mejoras a nivel estratégico y operativo.

• OCTAVE:

- Propuesto por el SEI de Carnegie Mellon, este método permite a las organizaciones autoevaluar sus riesgos.

- Se basa en la identificación de activos críticos, evaluación de vulnerabilidades y desarrollo de estrategias de mitigación, involucrando a todo el personal.

Finalmente, se destaca que la integración de estos marcos de seguridad se presenta como una estrategia clave para transformar riesgos en oportunidades, fortaleciendo la resiliencia y fomentando la innovación en las organizaciones.

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 12 - Marcos de seguridad de la información | Familia NIST

Introducción a NIST y su Rol en la Seguridad de la Información:

Se explica que el National Institute of Standards and Technology (NIST) es una agencia del Departamento de Comercio de EE. UU. que desarrolla estándares, guías y mejores prácticas para la seguridad de la información. Originalmente enfocados en agencias gubernamentales, estos marcos se han extendido a múltiples sectores y organizaciones privadas.

Estructura de los Marcos de Seguridad de NIST:

El documento detalla dos grandes grupos:

NIST Cybersecurity Framework (CSF):

Presenta las cinco funciones fundamentales: Identificar, Proteger, Detectar, Responder y Recuperar, que guían a las organizaciones en la evaluación y mejora de su postura de seguridad. Se ofrecen ejemplos prácticos para cada función, como la realización de inventarios de activos y la implementación de sistemas de respuesta a incidentes.

Serie NIST SP 800:

Se destacan varias publicaciones clave, entre las cuales se incluyen:

SP 800-53: Un catálogo extenso de controles de seguridad y privacidad organizados en familias (por ejemplo, control de acceso, gestión de incidentes, etc.).

SP 800-171: Directrices específicas para proteger la Información No Clasificada Controlada (CUI) en sistemas no federales.

SP 800-37: Una guía para aplicar el Risk Management Framework (RMF), detallando pasos desde la categorización hasta el monitoreo continuo.

SP 800-63: Normas para la gestión de identidad digital, abarcando desde la verificación de identidad hasta la autenticación de usuarios.

SP 800-82: Recomendaciones para asegurar sistemas de control industrial (ICS), incluyendo sistemas SCADA, con el objetivo de proteger procesos críticos.

Aplicación Práctica y Certificación:

El documento también discute cómo estos marcos se utilizan para estructurar programas de seguridad en las organizaciones, destacando que NIST no certifica directamente, pero sus guías son la base para auditorías internas y externas, y se integran con certificaciones como FedRAMP, CMMC o ISO/IEC 27001.

Metodologías de Aprendizaje y Mejora Continua:

Se recomiendan métodos como cursos en línea, talleres, simuladores y el uso de herramientas prácticas (por ejemplo, CSET) para aprender y aplicar estos marcos de forma efectiva, enfatizando la importancia de la formación continua en el campo de la ciberseguridad.

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Investigación Profunda de Grupos de Ransomware

Investigación 3 - Ransomware Akira

1. Identificación y Origen

Akira es un ransomware operado bajo el modelo Ransomware-as-a-Service (RaaS) y utiliza doble extorsión: roba y cifra datos, amenazando con publicarlos si no se paga el rescate. Su origen se sospecha en Rusia o países exsoviéticos, pero ataca principalmente en EE.UU., Reino Unido y Canadá.

2. Perfil y Evolución

Activo desde marzo de 2023, ha atacado cientos de organizaciones en Norteamérica, Europa y Australia. Comenzó en Windows y luego se expandió a Linux y VMware ESXi. Algunas variantes incluyen Akira_v2 y Megazord, con código heredado de Conti.

3. Metodología de Ataque

• Acceso inicial: Explota vulnerabilidades en Cisco y Fortinet, phishing y credenciales robadas.
• Persistencia: Crea cuentas y usa herramientas como Mimikatz para volcar credenciales.
• Evasión: Desactiva antivirus/EDR y usa la red Tor para la exfiltración de datos.
• Cifrado: Utiliza ChaCha20 y RSA, además de eliminar copias de seguridad (VSS).
• 
  

4. Modelo Financiero

Akira opera en un modelo de afiliados (RaaS), con comisiones del 20-30%. Se han negociado rescates por $4.8 millones en Bitcoin.

5. Victimología

Ha afectado a diversos sectores, especialmente en Francia y Norteamérica. En 2025, registró 222 víctimas, con un pico de 73 ataques en noviembre de 2024. Fue responsable del 21% de los ataques de ransomware en el primer trimestre de 2024.

6. Recomendaciones

• Respaldos segmentados y seguros.
• Autenticación multifactor y actualizaciones constantes.
• Segmentación de red y monitoreo de tráfico.
• Auditoría de cuentas administrativas y restricción de accesos.
• 
  

7. Incidente Destacado

El 05/03/2025, Akira usó una cámara web vulnerable para eludir un EDR, demostrando la necesidad de supervisar dispositivos IoT. También se detallan comandos utilizados para persistencia, robo de credenciales y eliminación de respaldos.

Fuente: 

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a 

https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/grupo-de-ransomware-akira-elude-edr-por-medio-de-una-camara-web 

https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware/ 

https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira 

https://www.ciberseguridad.eus/sites/default/files/2023-08/BCSC-Malware-Akira-TLPClear_v2.pdf 

https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry 

https://www.europapress.es/portaltic/ciberseguridad/noticia-rompe-cifrado-ransomware-akira-10-horas-usando-16-gpu-nube-20250320113728.html

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 11 - Marcos de seguridad de la información | Familia ISO 27000

Link de noticia:

https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants 

Link revisión de dominio afectado:

https://exposure.cloudsek.com/oracle

Link de iso:

https://www.iso.org/standards.html

Introducción:

Se plantea la importancia de contar con un marco de seguridad robusto que unifique la terminología y los procesos, resaltando la necesidad de un compromiso de toda la organización, especialmente de la alta dirección.

Principales Normas ISO/IEC

ISO/IEC 27000: Define términos y conceptos básicos que sientan las bases para el SGSI.

ISO/IEC 27001: Establece los requisitos para diseñar, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI), basado en el ciclo PHVA.

ISO/IEC 27002: Ofrece un código de buenas prácticas para la selección e implementación de controles de seguridad, organizados en 14 dominios.

ISO/IEC 27003: Proporciona una guía práctica para la implementación de la norma ISO 27001.

ISO/IEC 27004: Se orienta a la medición y evaluación de la eficacia del SGSI mediante indicadores y métricas.

ISO/IEC 27005: Enfoca la identificación, evaluación y tratamiento de riesgos en la seguridad de la información.

Normas Complementarias y Especializadas

El documento también describe otros estándares que amplían y complementan el SGSI, como:

ISO/IEC 27006: Requisitos para organismos de certificación.

ISO/IEC 27007 y 27008: Directrices para auditorías y evaluaciones de controles de seguridad.

Normas específicas para sectores (por ejemplo, ISO/IEC 27011 en telecomunicaciones, 27017 en servicios en la nube, 27019 en el sector energético, entre otras).

Normas sobre gestión de incidentes, continuidad del negocio, ciberseguridad, seguridad en redes, aplicaciones y almacenamiento, que ofrecen marcos y recomendaciones para cada ámbito particular.

Elementos Recurrentes

Compromiso de la alta dirección y liderazgo: Fundamental para garantizar que el SGSI esté alineado con los objetivos estratégicos de la organización.

Planificación y evaluación de riesgos: Identificación de amenazas y vulnerabilidades, seguida de la implementación de controles y la mejora continua.

Auditorías y monitoreo: Se subraya la importancia de realizar revisiones periódicas, auditorías internas y externas para validar la eficacia del SGSI.

Mejora continua: El SGSI debe adaptarse a nuevas amenazas y tecnologías, garantizando que se tomen medidas correctivas de forma oportuna.

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 10 - Cómo crear un SOC de alto rendimiento

El capítulo describe un plan integral para establecer un Centro de Operaciones de Seguridad (SOC) de alto nivel basado en cinco pilares clave:

Gestión de Ingestas en el SIEM:

Incorporación Estratégica: Identificar y mapear fuentes críticas (activos, aplicaciones y dispositivos) que generan logs, priorizando aquellos con mayor impacto en la seguridad.

Mantenimiento y Monitoreo: Realizar auditorías periódicas de las ingestas existentes, configurar alertas y monitoreo automatizado.

Optimización y Protección: Eliminar datos redundantes, ajustar dashboards y asegurar la transmisión de logs mediante cifrado y controles de acceso.

Redundancia: Implementar arquitectura redundante y realizar pruebas de fallover para garantizar continuidad.

Administración y Optimización de Herramientas de Seguridad:

Gestión Integral: Mantener un inventario actualizado de todas las herramientas del SOC y evaluar su desempeño mediante auditorías regulares.

Validación de Configuraciones: Comparar configuraciones con estándares de la industria y revisar políticas de seguridad.

Nuevas Funcionalidades: Realizar pruebas piloto de innovaciones que mejoren la detección y respuesta.

Gestión de Licencias y Actualizaciones: Controlar licencias y programar actualizaciones regulares y parches.

Conocimiento Integral de la Infraestructura y Activos:

Mapeo y Documentación: Utilizar herramientas de descubrimiento para identificar y documentar todos los dispositivos, aplicaciones y servicios, manteniendo actualizado un inventario centralizado.

Clasificación de Activos: Registrar y clasificar activos críticos según su valor y riesgo para priorizar su protección.

Estrategia de Respuesta y Comunicación en Incidentes:

Plan de Respuesta a Incidentes: Definir roles, procedimientos y realizar simulacros para garantizar una respuesta rápida y coordinada.

Optimización del Tiempo de Respuesta: Establecer SLAs, automatizar alertas y definir criterios de notificación y escalamiento.

Comunicación Efectiva: Crear protocolos de comunicación claros para informar a la alta dirección, otras áreas y clientes durante incidentes críticos.

Integración de Inteligencia y Proactividad en Seguridad:

Inteligencia de Amenazas: Incorporar fuentes OSINT y colaboraciones estratégicas para anticipar riesgos.

Seguridad en el Ciclo de Vida: Implementar “security by design”, auditar la seguridad de nuevos activos y usar imágenes preconfiguradas seguras.

Gestión de Vulnerabilidades y Threat Hunting: Detectar vulnerabilidades zero-day y realizar caza de amenazas usando herramientas avanzadas, sandboxes y técnicas de machine learning.

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 9 - Cómo implementar un equipo de Blueteam en tu organización

El Capítulo 9, ofrece una guía completa para establecer un equipo de defensa proactiva en el ámbito de la ciberseguridad. A continuación, se resumen los puntos clave:

Definir objetivos y alcance:

Realizar un análisis de brechas y evaluación de riesgos.

Elaborar un inventario de activos (digitales y físicos) y clasificarlos según su criticidad (por ejemplo, Crítico, Alto, Medio, Bajo).

Utilizar metodologías como ISO 27001, NIST SP 800‑30 e ISO 31000 para identificar amenazas y vulnerabilidades, y calcular el riesgo mediante la fórmula básica (Riesgo = Probabilidad × Impacto).

Estructura organizativa y roles:

Establecer roles estratégicos y operativos, como CISO, Blue Team Manager, Compliance & Risk Manager y equipos de respuesta a incidentes (SOC Analysts, Threat Intelligence, Vulnerability Management, Forensics, SIEM Specialist, Threat Hunter, Network y Cloud Security Engineers, Endpoint Protection Specialist).

Definir jerarquías y procesos de comunicación y escalamiento para asegurar una respuesta coordinada ante incidentes.

Selección e implementación de herramientas:

Implementar soluciones de detección y prevención basadas en NIST SP 800‑53, incluyendo IDS/IPS, SIEM y EDR.

Aplicar controles tecnológicos como cifrado, autenticación multifactor y segmentación de redes para proteger endpoints, redes y sistemas críticos.

Desarrollo de políticas y procesos:

Elaborar manuales, procedimientos y planes de respuesta alineados a los controles del Anexo A de ISO 27001 y las recomendaciones de NIST.

Desarrollar políticas generales (ej. Política General de Seguridad de la Información, Gestión de Riesgos, Cumplimiento) y específicas (ej. Control de Acceso, Clasificación de la Información, Criptografía, Gestión de Incidentes, Copias de Seguridad, Uso Aceptable de Activos, Gestión de Vulnerabilidades, entre otras).

Cultura de seguridad y colaboración:

Establecer programas de formación continua, concienciación y comunicación interna para que todo el personal comprenda sus responsabilidades.

Fomentar la colaboración interdepartamental y la integración del SGSI en todos los niveles de la organización.

Mejora continua:

Implementar un ciclo PDCA (Planificar, Hacer, Verificar, Actuar) para monitorizar, revisar y actualizar tanto el SGSI como los controles implementados.

Realizar auditorías internas y ejercicios de simulación para validar la eficacia de las medidas y adaptar los procesos ante nuevos riesgos.

Este capítulo proporciona un marco estratégico y operativo para que las organizaciones establezcan un equipo Blue Team robusto, capaz de proteger sus activos críticos y responder de manera efectiva a incidentes de seguridad.

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Investigación Profunda de Grupos de Ransomware

Investigación 2 - Ransomware Ransomhub

1. Identificación y Perfil del Grupo

Nombre y Filosofía: RansomHub es un grupo de ransomware con miembros internacionales, enfocado en obtener ganancias en dólares.

Normas Operativas: No atacan a ciertos países (como la CEI, Cuba, Corea del Norte y China) y evitan repetir ataques contra víctimas que ya hayan pagado. Además, se comprometen a proporcionar descifradores en ciertos casos.

Origen y Aparición: Se sitúan en un entorno pro-ruso y se cree que surgieron a partir de un ransomware anterior llamado Knight, aunque algunos informes remontan sus primeras acciones a finales de 2018.

2. Tácticas, Técnicas y Procedimientos (TTPs)

Acceso Inicial: Utilizan métodos como phishing, explotación de vulnerabilidades (aprovechando CVEs conocidos) y rociado de contraseñas.

Movimiento Lateral y Escalada de Privilegios: Emplean herramientas como Mimikatz, RDP, PsExec y otros métodos para desplazarse dentro de la red y obtener accesos privilegiados.

Encriptación y Exfiltración: Cifran archivos utilizando algoritmos robustos (como Curve 25519, AES256 y otros) y practican la doble extorsión, amenazando con publicar los datos extraídos si no se realiza el pago.

Evasión de la Detección: Renombran sus ejecutables, borran registros y utilizan técnicas para desactivar antivirus y herramientas de detección.

3. Flujo de Ataque y Características Técnicas

El proceso de ataque se divide en fases:

Acceso Inicial: Mediante spear-phishing, explotación de vulnerabilidades y credenciales comprometidas.

Ejecución y Persistencia: Uso de herramientas legítimas y creación de cuentas para asegurar el acceso prolongado.

Movimiento Lateral y Exfiltración: Reconocimiento de la red para comprometer otros sistemas y extracción de datos mediante diversas herramientas.

Cifrado y Extorsión: Implementación de un cifrado intermitente en archivos y uso de notas de rescate que informan a las víctimas sobre el contacto vía direcciones .onion.

4. Operaciones Financieras y Modelo de Negocio

Distribución de Ganancias: Los afiliados reciben el 90% de los pagos, mientras que el grupo principal retiene el 10%.

Métodos de Pago: Se priorizan criptomonedas como Bitcoin y Monero, haciendo uso de mixers para dificultar el rastreo.

5. Victimología

Sectores y Ejemplos de Ataques: Entre las víctimas se encuentran organizaciones de diversos sectores, incluyendo al Gobierno de México (CJEF) y el Departamento de Salud de Florida, entre otros.

6. Contramedidas y Detección

Recomendaciones de Seguridad: Se proponen medidas de respuesta a incidentes, mitigaciones basadas en las directrices de CISA y NIST, y prácticas de recuperación de datos.

Implementación de Controles: Se destacan la importancia de mantener sistemas actualizados, segmentar redes, aplicar autenticación multifactor y realizar auditorías de seguridad.

Enlace de investigación de CISA - Ransomhub

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 8 - Carrera en ciberseguridad roles y certificaciones

https://www.cybrary.it/

Popularidad de certificaciones:

Certificaciones | Demanda en puestos ciberseguridad

CompTIA Security+  | 11,664

GIAC Security Essentials (GSEC)  | 2,786

Offensive Security Certified Professional (OSCP)     | 2,784

Certified Ethical Hacker (CEH)   | 426

CompTIA Advanced Security Practitioner (CASP+)     | 378

Certified Information Security Manager (CISM)     | 245

Systems Security Certified Practitioner (SSCP)     | 180

Certified Information Systems Security Professional (CISSP)   | 174

Certified Information Systems Auditor (CISA)     | 117

GIAC Certified Incident Handler (GCIH)     | 19

Certificaciones:

Se describen en detalle las 10 certificaciones más demandadas en ciberseguridad, como CISSP, CISA, CompTIA Security+, CEH, CISM, GSEC, SSCP, CASP+, GCIH y OSCP. Para cada certificación se explica:

Se habla de qué conocimientos y habilidades se adquieren.

Los requisitos previos y la experiencia mínima recomendada.

Los roles profesionales a los que suelen conducir (por ejemplo, CISSP orienta hacia posiciones ejecutivas como CISO).

El tiempo aproximado de estudio (dedicando 5 horas a la semana, varía entre 2 y 6 meses según la certificación).

Fuentes oficiales y recursos gratuitos para prepararse.

Características del examen, incluyendo duración, costo, intentos y puntajes mínimos.

La vigencia de la certificación (por lo general, 3 o 4 años, excepto OSCP, que es vitalicia) y los requisitos de renovación (acumulación de créditos de educación profesional continua y pago de tarifas de mantenimiento).

Roles en Ciberseguridad:

Se analizan los puestos más relevantes en el sector para 2025, tales como:

Chief Information Security Officer (CISO): Encargado de definir la estrategia de seguridad, con un rango salarial de USD 150,000 a USD 300,000 anuales y una experiencia superior a 10 años.

Security Architect: Responsable del diseño e implementación de arquitecturas de seguridad, con salarios entre USD 120,000 y USD 200,000 anuales.

Security Engineer / Cloud Security Engineer: Implementa y mantiene herramientas de seguridad, con rangos entre USD 100,000 y USD 170,000 anuales.

Penetration Tester / Ethical Hacker: Realiza pruebas de vulnerabilidades y simulación de ataques, con salarios que oscilan entre USD 70,000 y USD 120,000 anuales.

Security Analyst / SOC Analyst / Incident Responder: Monitorea y responde a incidentes de seguridad, con remuneraciones de USD 60,000 a USD 90,000 anuales.

Otros roles destacados incluyen Threat Intelligence Analyst, Security Consultant y Compliance / Risk Analyst, cada uno con sus propias responsabilidades y requisitos de formación y experiencia.

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.

Tema: Introducción y contexto

Capitulo 7 - Hackeos históricos 1 - Hackeo masivo a eBay

Resumen Ejecutivo:

El ataque ocurrió en 2014, comprometiendo información sensible de aproximadamente 145 millones de usuarios. Se sustrajeron datos como nombres, direcciones de correo, teléfonos y fechas de nacimiento (sin afectar información financiera). El incidente tuvo un impacto significativo en la reputación y finanzas de eBay, generando pérdidas netas reportadas de 41 millones de dólares y llevando a la empresa a reestructurar su plantilla (se anunciaron despidos masivos).

Análisis Técnico:

El documento detalla los vectores de ataque, destacando que los atacantes se infiltraron en la red de eBay mediante la obtención de credenciales de empleados (a través de técnicas de ingeniería social y phishing). Una vez dentro, la falta de controles adicionales (como la autenticación multifactor) y la ausencia de una segmentación adecuada en la red permitieron el movimiento lateral hacia sistemas críticos, facilitando la exfiltración de datos sensibles desde una base de datos central. Se mencionan, además, deficiencias en el monitoreo de la actividad interna (logs insuficientes y auditorías esporádicas) que retrasaron la detección de la intrusión.

Medidas de Contención y Respuesta:

eBay notificó a sus usuarios y les solicitó cambiar sus contraseñas de forma urgente. La respuesta incluyó la revocación de accesos comprometidos, la mejora de la autenticación (posteriormente adoptando MFA), el refuerzo del cifrado y la reconfiguración de la infraestructura de red. Además, se establecieron auditorías de seguridad y un monitoreo en tiempo real para prevenir futuras vulnerabilidades.

Impacto y Repercusiones:

El incidente generó costos significativos en términos de respuesta y remediación, afectó la confianza de los usuarios y obligó a eBay a revisar y fortalecer sus políticas de ciberseguridad. Las repercusiones económicas se reflejaron en las pérdidas netas del ejercicio 2014, sumado a gastos adicionales no desglosados públicamente.

Conclusión:

El caso de eBay de 2014 es un claro ejemplo de cómo fallas en la gestión de credenciales, la segmentación de la red y el monitoreo interno pueden derivar en un acceso no autorizado a gran escala. Las lecciones aprendidas resaltan la importancia de adoptar un enfoque de seguridad en capas (incluyendo autenticación multifactor, cifrado robusto y monitoreo continuo) y de fomentar una cultura de seguridad que permita responder de forma rápida y eficaz ante incidentes.

Redes Sociales:

[email protected]

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.