Escuela Jesuïtes Sarrià – Sant Ignasi

C/ Carrasco i Formiguera, 32

Fecha: 17/01/2026 | Hora: 13:30 h. | Curso: FP.350 (P) Bastionado de redes y sistemas, Aula 142

Resumen para Examen: Planes de Securización (ISO/IEC 27001 y Redes)

Parte 1: Sistema de Gestión de Seguridad de la Información (SGSI) y ISO/IEC 27001

🔹 Sistema de Gestión de Seguridad de la Información (SGSI)

Es un conjunto de políticas, procesos y controles que protegen la información para asegurar su:

• Confidencialidad (solo accede quien debe).
• Integridad (no se altera sin autorización).
• Disponibilidad (está accesible cuando se necesita).

Ejemplo: políticas de contraseñas, backups y control de accesos en una empresa.

📘 Cláusulas obligatorias de la ISO/IEC 27001

🔹 Cláusula 4 – Contexto de la organización

La organización debe:

• Analizar su entorno interno y externo.
• Identificar partes interesadas.
• Definir el alcance del SGSI.

Ejemplo: una empresa financiera identifica como partes interesadas a clientes y reguladores.

🔹 Cláusula 5 – Liderazgo

La alta dirección debe:

• Comprometerse con la seguridad.
• Definir una política de seguridad.
• Asignar responsabilidades.

Ejemplo: el director aprueba la política de seguridad y nombra un responsable del SGSI.

🔹 Cláusula 6 – Planificación

Incluye:

• Identificación y evaluación de riesgos.
• Definición de objetivos de seguridad.
• Planificación del tratamiento del riesgo.

Ejemplo: detectar el riesgo de hackeo y planear instalar un firewall.

🔹 Cláusula 7 – Soporte

Se asegura que existan:

• Recursos adecuados.
• Personal capacitado.
• Documentación controlada.

Ejemplo: capacitar empleados para reconocer correos de phishing.

🔹 Cláusula 8 – Operación

Se centra en:

• Implementar controles de seguridad.
• Ejecutar el tratamiento del riesgo.
• Controlar cambios.

Ejemplo: aplicar copias de seguridad automáticas y monitorear su correcto funcionamiento.

🔹 Cláusula 9 – Evaluación del desempeño

Incluye:

• Medición del desempeño del SGSI.
• Auditorías internas.
• Revisión por la dirección.

Ejemplo: auditoría interna para verificar si se cumplen las políticas de seguridad.

🔹 Cláusula 10 – Mejora

Busca:

• Corregir errores.
• Aplicar acciones correctivas.
• Mejorar continuamente el SGSI.

Ejemplo: cambiar políticas tras detectar un incidente de seguridad.

⚠️ Tratamiento del Riesgo (con ejemplos)

• Evitar: eliminar la actividad riesgosa. Ejemplo: no permitir acceso remoto.
• Reducir (mitigar): aplicar controles. Ejemplo: usar antivirus y firewalls.
• Transferir: pasar el riesgo a terceros. Ejemplo: contratar un seguro informático.
• Aceptar: asumir el riesgo. Ejemplo: aceptar caídas menores del sistema.
• Compartir: dividir el riesgo. Ejemplo: alianza entre empresas tecnológicas.

🏢 Importancia de la Seguridad Física

La seguridad física protege los sistemas digitales porque:

• Evita robos de equipos.
• Impide accesos físicos no autorizados.
• Previene daños por incendios o inundaciones.
• Refuerza la seguridad lógica.

Ejemplo: controlar el acceso al centro de datos con tarjetas o biometría.

📝 Posibles Preguntas de Examen (ISO 27001)

1. ¿Qué es un SGSI?
   Respuesta: Es un sistema que gestiona la seguridad de la información mediante políticas, procesos y controles.
2. ¿Cuál es el objetivo de la ISO/IEC 27001?
   Respuesta: Proteger la información gestionando los riesgos de seguridad.
3. ¿Por qué es importante la Cláusula 4?
   Respuesta: Porque define el contexto, las partes interesadas y el alcance del SGSI.
4. ¿Qué papel tiene la alta dirección?
   Respuesta: Liderar, aprobar políticas y asignar recursos para la seguridad.
5. ¿Qué es el tratamiento del riesgo?
   Respuesta: Es la decisión sobre cómo manejar un riesgo identificado.
6. Menciona y explica dos tipos de tratamiento del riesgo.
   Respuesta:
   • Reducir: aplicar controles de seguridad.
   • Transferir: pasar el riesgo a un tercero.
7. ¿Por qué es importante la capacitación del personal?
   Respuesta: Porque el error humano puede causar incidentes de seguridad.
8. ¿Qué se hace en la evaluación del desempeño?
   Respuesta: Se miden resultados, se realizan auditorías y revisiones.
9. ¿Qué es la mejora continua?
   Respuesta: El proceso de corregir fallos y adaptar el SGSI a nuevos riesgos.
10. ¿Por qué la seguridad física es importante?
    Respuesta: Porque sin ella los sistemas digitales pueden ser vulnerados fácilmente.

✅ Frase clave para memorizar

👉 La seguridad de la información es gestión, prevención y mejora continua, apoyada por la seguridad física.

¿Qué harías para evitar, reducir, aceptar y transferir el riesgo?

🔹 Evitar el riesgo

Qué haría: Eliminar la actividad que genera el riesgo.

Ejemplo: No permitir el acceso remoto a los sistemas si no se puede asegurar adecuadamente, evitando posibles ataques externos.

🔹 Reducir (mitigar) el riesgo

Qué haría: Aplicar controles de seguridad para disminuir la probabilidad o el impacto del riesgo.

Ejemplo: Instalar firewalls, antivirus, autenticación multifactor y capacitar al personal para evitar ataques de phishing.

🔹 Aceptar el riesgo

Qué haría: Reconocer el riesgo y decidir no aplicar controles adicionales porque el impacto es bajo o el costo es alto.

Ejemplo: Aceptar caídas ocasionales del sistema en horarios no críticos.

Parte 2: Mecanismos de Autenticación y Control de Acceso

1️⃣ Mecanismos de Autenticación

🔐 ¿Qué es la autenticación?

Es el proceso mediante el cual un sistema verifica la identidad de un usuario antes de permitir el acceso a recursos o información. Se basa en tres factores principales:

🔑 1. Autenticación por contraseña (Algo que sabes)

El usuario ingresa un usuario y contraseña.

• Ventajas: Fácil de implementar, bajo costo, compatible con casi todos los sistemas.
• Desventajas: Vulnerable a phishing, fuerza bruta y robo de credenciales; los usuarios usan contraseñas débiles o repetidas.

Ejemplo: Iniciar sesión en un correo electrónico usando solo email y contraseña.

📱 2. Autenticación por token o dispositivo (Algo que tienes)

Se basa en un dispositivo físico o virtual que genera códigos temporales (OTP).

• Ejemplos: Google Authenticator, Llaves USB de seguridad, Tarjetas inteligentes.
• Ventajas: Mayor seguridad, códigos temporales que expiran, protege contra robo de contraseñas.
• Desventajas: Pérdida del dispositivo, costos adicionales, riesgos en SMS (SIM swapping).

Ejemplo: Ingresar a una cuenta bancaria usando contraseña + código del móvil.

🧬 3. Autenticación biométrica (Algo que eres)

Utiliza características físicas o de comportamiento del usuario.

• Ejemplos: Huella digital, reconocimiento facial, iris o voz.
• Ventajas: Muy cómoda, difícil de falsificar, no se puede compartir.
• Desventajas: Riesgos de privacidad, errores de reconocimiento, requiere hardware especializado.

Ejemplo: Desbloquear el celular con huella dactilar.

⭐ Autenticación Multifactor (MFA) – La más segura

Combina dos o más factores de autenticación.

• Ejemplos: Contraseña + código OTP; Huella + token USB.
• ¿Por qué es la más segura? Porque aunque un atacante obtenga un factor, no puede acceder sin los otros.

2️⃣ Buenas prácticas para la gestión de cuentas privilegiadas

Las cuentas privilegiadas tienen acceso total o crítico al sistema.

✅ 1. Principio de privilegio mínimo

Cada usuario debe tener solo los permisos necesarios.

Ejemplo: Un usuario de soporte no debe tener permisos de administrador total.

✅ 2. Gestión segura de contraseñas

• Contraseñas fuertes y únicas.
• Uso de gestores de contraseñas (Password Vault).
• Cambio periódico.
• Implementar MFA.

Ejemplo: Uso de Microsoft LAPS para administrar contraseñas de administradores.

✅ 3. Monitoreo y auditoría constante

• Registrar todas las acciones.
• Detectar comportamientos sospechosos.
• Uso de SIEM o PAM.

Ejemplo: Registrar quién accede al servidor y qué comandos ejecuta.

3️⃣ Ventajas del Control de Acceso a la Red (NAC)

El NAC controla quién y qué dispositivo puede acceder a la red.

🟢 Ventajas principales

1. Control detallado de acceso: Permite reglas según usuario, rol o dispositivo.
2. Verificación de seguridad del equipo: Comprueba antivirus, parches y actualizaciones.
3. Aislamiento automático: Dispositivos inseguros pasan a cuarentena.
4. Visibilidad total de la red: Registro de todos los dispositivos conectados.
5. Integración con otras herramientas: Se conecta con firewalls, SIEM, EDR/XDR.

Ejemplo: Un equipo sin antivirus no puede acceder a la red corporativa.

4️⃣ Diferencias entre RADIUS, TACACS+ y Kerberos

📡 RADIUS

• Usa UDP.
• Cifra solo la contraseña.
• Autenticación, autorización y contabilidad (AAA) juntas.
• Ideal para Wi-Fi y VPN.

Ejemplo: Autenticación de usuarios en una red Wi-Fi empresarial.

🖧 TACACS+

• Usa TCP.
• Cifra todo el paquete.
• Separación completa de AAA.
• Ideal para administradores de red.

Ejemplo: Control de acceso a routers y switches.

🎟️ Kerberos

• Usa tickets cifrados.
• No envía contraseñas por la red.
• Usa un KDC (AS + TGS).
• Muy usado en Active Directory.

Ejemplo: Inicio de sesión en un dominio Windows. Porque utiliza tickets cifrados y no transmite contraseñas por la red.

5️⃣ Configuraciones para acceso seguro a un servidor Linux

🔧 Medidas principales

1. Creación de grupos: Facilita la gestión de permisos por roles.
2. Asignación de usuarios a grupos: Evita cuentas compartidas y permisos excesivos.
3. Gestión correcta de permisos: Uso de comandos:
   • chmod
   • su
4. Permisos en modo absoluto: Control preciso de lectura, escritura y ejecución.
5. Privacidad en directorios home: Desde Ubuntu 22.04: drwxr-x---. Evita que otros usuarios accedan a carpetas ajenas.

📝 Posibles Preguntas de Examen (Control de Acceso)

• ¿Cuál es el método de autenticación más seguro y por qué?
  Respuesta: La autenticación multifactor (MFA), porque combina varios factores y reduce drásticamente el riesgo de acceso no autorizado.
• Menciona tres buenas prácticas para cuentas privilegiadas.
  Respuesta: Principio de privilegio mínimo, contraseñas seguras con gestores y monitoreo constante.
• ¿Para qué sirve el NAC?
  Respuesta: Para controlar el acceso a la red según usuario, dispositivo y cumplimiento de políticas de seguridad.
• Diferencia principal entre RADIUS y TACACS+.
  Respuesta: RADIUS cifra solo la contraseña y usa UDP; TACACS+ cifra todo el paquete y usa TCP.
• ¿Por qué Kerberos es más seguro que la autenticación tradicional?
  Respuesta: Porque utiliza tickets cifrados y no transmite contraseñas por la red.

Detallo sus calificación:

1. (2 PUNTOS) Mecanismos de autenticación: Describes claramente 3 mecanismos de autenticación y establecen cual es la más segura. Sugiero investiguen sobre passwordless o tokenización, eso les dará una perspectiva diferente sobre una autenticación más segura.
2. (2 PUNTOS) Las prácticas descritas son las mínimas indispensables para cuando se trata de una gestión de cuentas privilegiadas. Es importante evaluar la necesidad de acuerdo al rol que solicitan antes de asignar los permisos. Les propongo investigar sobre bóvedas virtuales para PAM (gestión de cuentas privilegiadas), es la forma más segura que existe al momento para almacenar, utilizar, cambiar su contraseña, monitorear el uso y conocer cuales no se usan para analizar la necesidad y darlos de baja.
3. (2 PUNTOS) El control de acceso a la red (NAC) es una capa muy importante en la estrategia por capas y brinda un sin número de ventajas como las que lograron describir. En mi opinión la más importante es la segmentación y/o microsegmentación pero requiere de una gestión de la red más granular.

Parte 3: Redes de Computadoras Seguras

1️⃣ Cálculo de direccionamiento IP (Subnetting)

🔹 Conceptos clave

• IP: Identifica un dispositivo en la red.
• Máscara de subred: Indica qué parte es red y qué parte es host.
• Dirección de red: Primera dirección de la subred (no asignable).
• Broadcast: Última dirección de la subred (no asignable).
• Hosts: Direcciones utilizables entre red y broadcast.

🔹 Ejemplo práctico: IP 192.168.138.187/21

• Máscara de subred: /21 → 255.255.248.0
• Dirección de red: 192.168.136.0
• Rango de hosts: Primer host: 192.168.136.1 | Último host: 192.168.143.254
• Broadcast: 192.168.143.255
• Siguiente subred: 192.168.144.0/21

🔹 Resumen rápido (ideal para memorizar)

2️⃣ IPS, IDS, WAF y AntiDDoS

🔹 IDS (Intrusion Detection System)

• Solo detecta y alerta.
• Es pasivo.

📌 Ejemplo: Envía una alerta cuando alguien intenta entrar varias veces con contraseña incorrecta.

🔹 IPS (Intrusion Prevention System)

• Detecta y bloquea ataques.
• Analiza tráfico en tiempo real.
• Actúa automáticamente.

📌 Ejemplo: Bloquea un ataque antes de que llegue al servidor.

🔹 WAF (Web Application Firewall)

• Protege aplicaciones web.
• Funciona en capa 7 (HTTP/HTTPS).
• Bloquea ataques como SQL Injection o XSS.

📌 Ejemplo: Evita que inyecten código malicioso en un formulario web.

🔹 AntiDDoS

• Protege contra ataques de saturación.
• Filtra tráfico masivo malicioso.
• Mantiene la disponibilidad del servicio.

📌 Ejemplo: Absorbe millones de peticiones falsas para que el sitio no caiga.

🔹 Comparación rápida

3️⃣ VLANs vs IPSec

🔹 VLANs (Virtual LANs)

• Segmentan la red lógicamente.
• Funcionan en capa 2.
• Mejoran organización y seguridad interna.
• ❌ No cifran datos.

📌 Ejemplo: Separar la red de ventas y administración.

🔹 IPSec

• Cifra y autentica datos.
• Funciona en capa 3.
• Se usa para VPNs.
• Protege datos en redes inseguras.

📌 Ejemplo: Conexión segura entre una sucursal y la oficina central.

🔹 Comparación directa

📝 Posibles Preguntas de Examen (Redes Seguras)

• ¿Qué indica una máscara /21?
  ✅ Que los primeros 21 bits son de red.
• ¿Cuál es la diferencia principal entre IDS e IPS?
  ✅ IDS solo detecta, IPS detecta y bloquea.
• ¿Qué tipo de ataques bloquea un WAF?
  ✅ Ataques web como SQL Injection y XSS.
• ¿Para qué se utilizan las VLANs?
  ✅ Para segmentar y organizar una red internamente.
• ¿IPSec cifra los datos?
  ✅ Sí, garantiza confidencialidad e integridad.
• ¿Cuál tecnología se enfoca en evitar que un servicio se caiga?
  ✅ AntiDDoS.

Parte 4: Seguridad Informática y Nube

1. Soluciones para prevenir malware

Ejemplo práctico:

• El antimalware protege tu PC de un virus descargado.
• El EDR detecta si el virus se intenta mover lateralmente en la red corporativa.
• El CASB asegura que los archivos en Google Drive de la empresa no se compartan con usuarios externos.

2. DLP (Data Loss Prevention)

• Qué es: Conjunto de políticas y controles que evitan la fuga de datos sensibles (PII, nóminas, contratos).
• Caso de uso: Objetivo: RR.HH. solo envía datos a cuentas internas y bloquea correos a externos.
• Implementación: Clasificar datos sensibles; Aplicar políticas en Exchange, OneDrive, SharePoint, Teams; Bloquear envíos externos, alertar y registrar incidentes.
• Ejemplo: Si un empleado de RR.HH. intenta enviar una nómina a Gmail, el correo se bloquea y se genera un aviso de seguridad.

3. Precauciones en sistemas Windows y Linux (Medidas físicas y BIOS/UEFI)

1. Aislamiento físico: Ubicación controlada y acceso restringido (Rack cerrado, candado en portátiles).
2. Contraseña BIOS/UEFI: Impide modificar arranque sin autorización.
3. Bloqueo de arranque externo: Solo arrancar desde disco interno. Activar Secure Boot.
4. Cifrado de disco: Windows → BitLocker; Linux → LUKS.

4. Hardening en Linux

Qué es: Reducir la superficie de ataque eliminando servicios, puertos y configuraciones innecesarias.

Pasos clave:

1. Listar servicios activos: systemctl list-unit-files --type=service
2. Eliminar servicios inseguros:
   • Telnet: sudo systemctl stop telnet.socket && sudo apt remove telnet telnetd -y
   • TFTP: sudo systemctl stop tftpd-hpa && sudo apt remove tftpd-hpa tftp -y
3. Desactivar ICMP para limitar ping/escaneo:
   • sudo nano /etc/sysctl.conf → net.ipv4.icmp_echo_ignore_all = 1
   • Aplicar cambios: sudo sysctl -p
4. Verificar: which telnet, which tftp, ss -tuln

Beneficio: Menos servicios y puertos abiertos = menos vulnerabilidades.

5. Estrategia 3-2-1 para copias de seguridad

1. 3 copias: 1 original + 2 backups.
2. 2 tipos de almacenamiento: Ej.: disco interno + nube.
3. 1 copia off-site: Ej.: copia en nube o disco en otra localización.

Ejemplo: Archivo en PC → copia en disco externo → copia en OneDrive.

6. Shadow IT

• Definición: Uso de apps o servicios sin autorización del área de TI.
• Riesgos: Fugas de información (subir datos a Dropbox personal), falta de control y visibilidad, mayor exposición a ciberataques, incumplimiento normativo (RGPD).

Preguntas de examen posibles (Seguridad y Nube)

1. ¿Qué diferencia hay entre antimalware y EDR?
   Respuesta: Antimalware detecta y elimina malware conocido, mientras que EDR monitorea continuamente los endpoints y detecta amenazas avanzadas en tiempo real, incluso ataques desconocidos o persistentes.
2. Menciona un ejemplo de política DLP para RR.HH.
   Respuesta: Bloquear correos que contengan nóminas, NIF/NIE o contratos enviados a direcciones externas al dominio corporativo, mostrando un aviso al usuario y registrando el incidente.
3. ¿Qué medidas físicas puedes tomar para proteger un servidor?
   Respuesta: Ubicación en sala cerrada con llave, rack cerrado, candados físicos, desconexión de puertos USB innecesarios y cámaras de vigilancia.
4. Enumera 3 pasos de hardening en Linux.
   Respuesta:
   1. Eliminar servicios inseguros (Telnet, TFTP).
   2. Desactivar protocolos de red no esenciales (ICMP).
   3. Limitar puertos abiertos y usar firewall (UFW).
5. Explica la estrategia 3-2-1 de backups con un ejemplo.
   Respuesta: Tener 3 copias de los datos: la original en el PC, una copia en un disco externo y otra en la nube (off-site).
6. ¿Qué es Shadow IT y por qué es un riesgo?
   Respuesta: Uso de apps o servicios sin autorización de TI, riesgo de fuga de información, incumplimiento normativo y mayor exposición a ciberataques.
7. ¿Qué es un CASB y para qué se usa?
   Respuesta: Cloud Access Security Broker, protege datos y controla accesos en servicios cloud (SaaS, IaaS, PaaS), evitando fugas y cumpliendo normas de seguridad.

Parte 5: Monitorización de Eventos de Seguridad

1️⃣ Introducción

• Objetivo: Detectar y prevenir amenazas, fortalecer la seguridad de la infraestructura y asegurar la integridad de la información.
• Herramientas usadas: Wireshark, Visor de Eventos de Windows / logs de Linux.
• Prácticas: Ping a un sitio web, tráfico TCP, HTTP y análisis de intentos de acceso fallidos.

2️⃣ Monitoreo de tráfico con Wireshark

2.1. Ping a google.com

• Comando: ping google.com
• Filtro en Wireshark: icmp

Concepto clave: El ping usa ICMP para verificar conectividad entre dispositivos.

2.2. Tramas TCP ACK

• Significado: Confirma que se recibió correctamente un paquete TCP.
• Filtro Wireshark: tcp.flags.ack == 1 && !tcp.flags.syn && !tcp.flags.fin
• Ejemplo: Al abrir google.com, se reciben tramas ACK indicando que el navegador y el servidor se comunican correctamente.

2.3. Respuesta HTTP 200 OK

• Significado: El servidor respondió correctamente a la solicitud de la página.
• Ejemplo: Al cargar google.com, la respuesta HTTP 200 OK confirma que la página se mostró correctamente.

3️⃣ Análisis de eventos de seguridad en sistemas

3.1. Intento fallido de acceso

• Ubuntu: sudo grep 'Failed password' /var/log/auth.log. Detecta intentos de autenticación fallidos.
• Windows:
  • Evento 4625
  • Origen: Microsoft-Windows-Security-Auditing
  • Razón: Usuario o contraseña incorrecta
  • Fecha y hora: registro del intento fallido

Concepto clave: Un intento fallido de login indica un posible ataque o error de usuario.

3.2. SubjectLogonId 0x3e7

• Significado: Acción ejecutada por el sistema (SYSTEM), no por un usuario externo.
• Ejemplo de eventos donde aparece: 4624 (Inicio de sesión tipo sistema), 4672 (Privilegios especiales asignados), 4688 (Creación de procesos).
• Interpretación: Normal, no indica amenaza por sí solo. Solo se investiga si hay procesos desconocidos o actividad anómala.

Resumen rápido de conceptos clave (Monitorización)

Preguntas y respuestas tipo examen (Monitorización)

1. Pregunta: ¿Qué significa un paquete ICMP Echo Request?
   Respuesta: Es una solicitud de ping enviada desde un equipo para verificar conectividad con otro dispositivo.
2. Pregunta: ¿Cuál es la función de la trama TCP ACK?
   Respuesta: Confirmar la recepción correcta de un paquete TCP, garantizando la fiabilidad de la conexión.
3. Pregunta: ¿Qué indica una respuesta HTTP 200 OK?
   Respuesta: Que el servidor procesó correctamente la solicitud HTTP y envió la página solicitada.
4. Pregunta: ¿Qué información nos da el evento 4625 en Windows?
   Respuesta: Un intento fallido de inicio de sesión, normalmente por nombre de usuario o contraseña incorrectos.
5. Pregunta: ¿Qué representa el SubjectLogonId 0x3e7?
   Respuesta: Que la acción fue realizada por el sistema operativo (NT AUTHORITY\SYSTEM) y no por un usuario externo; es normal y no indica un ataque.
6. Pregunta: En Wireshark, ¿cómo filtras los paquetes que solo tienen el bit ACK activado?
   Respuesta: Usando el filtro: tcp.flags.ack == 1 && !tcp.flags.syn && !tcp.flags.fin
7. Pregunta: ¿Es peligroso un evento con SubjectLogonId 0x3e7?
   Respuesta: No, es normal. Solo se investiga si ocurre junto a procesos desconocidos o actividad anómala.