Modulo 01. Panorama de amenazas y conceptos base

Objetivo del modulo

Entender el vocabulario basico de ciberseguridad y aprender a usarlo correctamente en conversaciones tecnicas, evaluaciones de riesgo y decisiones operativas.

Resultados esperados

• Distinguir amenaza, vulnerabilidad, exploit, incidente y riesgo sin mezclar conceptos.
• Interpretar CVE, CVSS, kill chain y MITRE ATT&CK en un contexto operativo.
• Explicar por que una misma vulnerabilidad no tiene el mismo riesgo en todos los entornos.

Desarrollo teorico

Hablar de seguridad con precision importa porque muchas malas decisiones empiezan en un diagnostico confuso. Un equipo dice "tenemos un riesgo", cuando en realidad lo que tiene es una vulnerabilidad sin explotar; otro dice "sufrimos un ataque APT" cuando lo observado es un correo de phishing con robo de credenciales; otro pide "parchar todo ya" sin analizar exposicion, criticidad del activo ni posibilidad real de explotacion. El primer fundamento de un profesional de seguridad consiste en poner nombre correcto a cada pieza y relacionarla con el negocio.

Una amenaza es la posibilidad de que un actor, tecnica o evento cause dano. Puede ser humana, tecnica, accidental o ambiental. Un grupo de ransomware, un insider con privilegios, una mala configuracion de almacenamiento publico o un corte electrico son amenazas de naturaleza distinta. La vulnerabilidad es la debilidad que puede ser aprovechada por esa amenaza: un servicio expuesto sin parche, una contraseña reutilizada, una macro maliciosa permitida o una ACL demasiado amplia. El riesgo aparece cuando combinamos amenaza, vulnerabilidad e impacto sobre un activo de valor. Por eso dos sistemas con la misma vulnerabilidad CVE pueden tener riesgos muy distintos: no es lo mismo un servidor internet-facing con datos de clientes que un laboratorio aislado sin datos reales.

Conviene separar tambien activo, exposicion, exploit e incidente. El activo es lo que queremos proteger: identidades, endpoints, servidores, datos, aplicaciones, procesos de negocio o incluso la reputacion. La exposicion describe que tan accesible queda una debilidad para un atacante: un RDP abierto a internet expone mas que un servicio igual confinado tras VPN y MFA. El exploit es la tecnica o codigo que aprovecha la vulnerabilidad. El incidente es el evento confirmado donde ya existe compromiso, impacto o necesidad de respuesta. Esta distincion ayuda a priorizar: no es igual gestionar deuda tecnica que contener un compromiso activo.

En la operacion diaria aparecen categorias de amenazas repetidas. El malware incluye ransomware, troyanos, worms, spyware, loaders y rootkits. El ransomware cifra datos o interrumpe operacion y normalmente combina acceso inicial, elevacion de privilegios, movimiento lateral y exfiltracion previa. El phishing busca engañar al usuario para robar credenciales, sesiones o inducir pagos; puede ser generico, spear phishing, whaling o business email compromise. Las vulnerabilidades de software permiten ejecucion remota, bypass de autenticacion o escalada de privilegios. La ingenieria social aprovecha debilidades humanas mas que tecnicas. Los ataques a cadena de suministro comprometen software, librerias, proveedores o herramientas de gestion con mucha confianza en el entorno.

Dos modelos ayudan mucho a ordenar el pensamiento defensivo. El primero es la kill chain de Lockheed Martin: reconnaissance, weaponization, delivery, exploitation, installation, command and control y actions on objectives. Aunque hoy se use menos como marco exclusivo, sigue siendo util para entender que un ataque no "aparece de golpe", sino como una cadena de pasos donde se puede interrumpir al adversario. Por ejemplo, un correo con adjunto malicioso entra por delivery; si el usuario lo abre y una vulnerabilidad permite ejecutar codigo, estamos en exploitation; si se crea persistencia, pasamos a installation; si el malware se comunica con infraestructura atacante, aparece command and control.

El segundo modelo es MITRE ATT&CK, mucho mas detallado y operativo para blue team y SOC. En vez de hablar solo de fases lineales, ATT&CK organiza el comportamiento del atacante en tacticas como Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Exfiltration y Impact. Cada tactica se compone de tecnicas y subtecnicas observables. Por ejemplo, "Phishing" o "Valid Accounts" pueden aparecer como acceso inicial; "PowerShell" como ejecucion; "LSASS Memory" como robo de credenciales; "Remote Services" como movimiento lateral. Este marco permite mapear detecciones, cobertura de logs y casos de uso del SOC de manera mucho mas rica que una simple lista de amenazas.

En vulnerabilidades es clave conocer CVE y CVSS. Un CVE es un identificador unico para una debilidad conocida, por ejemplo CVE-2024-3400. No todas las exposiciones tienen CVE, pero cuando existe facilita la coordinacion entre fabricantes, scanners, CERTs y equipos defensivos. CVSS puntua severidad en una escala 0-10 considerando vector de ataque, complejidad, privilegios requeridos, interaccion del usuario, alcance e impacto sobre confidencialidad, integridad y disponibilidad. Un AV:N/AC:L/PR:N/UI:N indica un caso especialmente peligroso: explotable por red, baja complejidad, sin privilegios previos y sin accion del usuario. Aun asi, CVSS no es riesgo de negocio. Una vulnerabilidad con CVSS 9.8 en un sistema no expuesto y bien segmentado puede ser menos urgente que otra con 7.5 explotada activamente en un servidor critico.

Por eso muchas organizaciones combinan severidad tecnica con contexto: criticidad del activo, exposicion externa, existencia de exploit publico, presencia en catálogos como KEV de CISA, facilidad de parcheo y controles compensatorios disponibles. Ese paso de severidad a priorizacion operativa es lo que transforma un dato tecnico en una decision de seguridad util.

Un ejemplo completo ayuda a unir todo. Imagina una empresa con 700 empleados que usa Microsoft 365 y VPN SSL. Se publica una vulnerabilidad critica en la pasarela VPN con exploit disponible. La empresa no ha aplicado el parche y el servicio esta expuesto a internet. Aqui la amenaza es un actor externo oportunista o criminal; la vulnerabilidad es la CVE concreta; la exposicion es alta porque el servicio es externo; el riesgo es elevado porque la VPN da acceso a red interna y aplicaciones corporativas. Si un atacante la explota y despliega un web shell, el problema deja de ser un riesgo potencial y pasa a ser un incidente. Las acciones cambian: de priorizar parcheo y mitigacion pasamos a aislar, recolectar evidencias, revisar autenticaciones y buscar indicios de persistencia o movimiento lateral.

Otro ejemplo: un empleado recibe un correo con enlace a una pagina falsa de inicio de sesion. Si la cuenta no tiene MFA, el robo de credenciales puede derivar en acceso a correo, SharePoint, Teams y aplicaciones SaaS. Si ademas el usuario tiene privilegios altos, el impacto se multiplica. Aqui vemos por que seguridad no es solo "parchar"; tambien es identidad, monitoreo y concienciacion. El mismo ataque puede tener desenlaces muy diferentes segun existan MFA, acceso condicional, alertas de viaje imposible, bloqueo de reenvios externos y entrenamiento del usuario.

El objetivo de este modulo no es que memorices listas infinitas, sino que aprendas a traducir el lenguaje de seguridad a decisiones concretas: que activo esta en juego, que debilidad existe, como podria explotarse, que impacto tendria y que control reduce antes el riesgo. Esa disciplina es la base tanto para blue team como para arquitectura, hardening, cumplimiento o soporte.

Contenido ampliado

Puntos clave

• Amenaza, vulnerabilidad y riesgo no son sinonimos.
• CVSS mide severidad tecnica, no riesgo empresarial completo.
• MITRE ATT&CK sirve para deteccion y cobertura operativa, no solo para teoria.
• Un incidente comienza cuando hay compromiso confirmado o impacto real, no solo por tener deuda tecnica.

Checklist operativa

• Identificar activos criticos y servicios expuestos a internet.
• Relacionar vulnerabilidades conocidas con contexto de negocio y exposicion.
• Revisar si existe exploit publico o inclusion en catalogos de explotacion activa.
• Definir que registros y alertas ayudan a detectar las tecnicas mas probables.

Errores frecuentes

• Usar "riesgo" como sinonimo de cualquier problema tecnico.
• Priorizar solo por CVSS sin mirar exposicion, criticidad ni controles compensatorios.
• Pensar que MITRE ATT&CK sustituye un proceso de gestion de incidentes.
• Confundir incidente confirmado con simple sospecha o hallazgo de scanner.

Practica sugerida

Toma tres vulnerabilidades publicas recientes y clasificalas segun activo afectado, exposicion, CVSS, existencia de exploit y impacto potencial. Justifica en que orden las tratarias en una empresa mediana con infraestructura hibrida.

Preguntas de autoevaluacion

• ¿Por que una vulnerabilidad critica no siempre implica el mismo riesgo?
• ¿Que diferencia hay entre una fase de kill chain y una tecnica ATT&CK?
• ¿Que datos adicionales necesitas para convertir severidad tecnica en priorizacion operativa?

Cierre

Nombrar bien las piezas cambia la calidad de las decisiones. Cuando distingues amenaza, vulnerabilidad, exposicion e impacto, dejas de reaccionar a titulares y empiezas a gestionar riesgo de forma profesional.

Modulo 02. Principios CIA, riesgo y defense in depth

Objetivo del modulo

Aprender a relacionar los objetivos clasicos de seguridad con controles concretos y con una estrategia por capas que reduzca la probabilidad y el impacto de un incidente.

Resultados esperados

• Explicar la triada CIA con ejemplos reales de negocio.
• Distinguir riesgo inherente, residual y control compensatorio.
• Diseñar una defensa en profundidad basica para identidades, endpoints, red y datos.

Desarrollo teorico

La triada CIA sigue siendo una de las formas mas utiles de pensar la seguridad, siempre que no se convierta en un slogan vacio. Confidencialidad significa que la informacion solo es accesible por quien debe verla. Integridad significa que el dato, la configuracion o la transaccion no se alteran de forma no autorizada. Disponibilidad significa que el servicio o el dato estan accesibles cuando el negocio los necesita. Estas tres dimensiones aparecen en casi cualquier decision defensiva, desde cifrar un correo hasta diseñar un cluster de bases de datos.

La confidencialidad se protege con controles como cifrado en reposo y en transito, gestion de identidades, autorizacion, clasificacion de datos y prevencion de fuga. Ejemplos tipicos son TLS para proteger sesiones web, AES-256 para cifrar discos o almacenamiento, etiquetas de sensibilidad para evitar reenvio de documentos y MFA para endurecer el acceso a cuentas. El fallo clasico aqui es pensar que "cifrar" lo resuelve todo. Si la clave esta mal protegida, si el dato se descarga a un endpoint inseguro o si una cuenta legitima pero comprometida accede al dato, sigues teniendo un problema de confidencialidad.

La integridad se refiere a que el dato siga siendo exacto, coherente y fiable. Un atacante puede modificar una orden de pago, alterar logs, cambiar una GPO o inyectar codigo en una aplicacion. La integridad se refuerza con hashes, firmas digitales, control de cambios, versionado, separacion de funciones, validaciones de entrada y monitorizacion de cambios. Cuando una organizacion no protege integridad, puede tomar decisiones de negocio sobre datos manipulados o perder confianza en sus propios registros. Un backup disponible pero ya cifrado o alterado tampoco resuelve el problema.

La disponibilidad protege la continuidad operativa. Aqui entran alta disponibilidad, redundancia, balanceadores, DRP, backups verificados, proteccion DDoS, capacidad suficiente y procedimientos de recuperacion. Un ERP critico puede cumplir confidencialidad e integridad, pero si una caida de almacenamiento deja a la empresa ocho horas parada, la dimension de disponibilidad ha fallado. En seguridad moderna, disponibilidad no significa solo uptime; tambien significa poder recuperar con un RTO y un RPO razonables tras ransomware o error humano.

El concepto de riesgo conecta estas tres dimensiones con la realidad del negocio. El riesgo no es un numero abstracto; es la posibilidad de que una amenaza aproveche una debilidad y cause impacto en activos relevantes. El riesgo inherente es el que existe antes de aplicar controles. El riesgo residual es el que queda despues de aplicar medidas. Un control compensatorio no elimina una debilidad, pero puede reducir suficientemente la exposicion: por ejemplo, no poder parchar un sistema legado de inmediato puede compensarse con aislamiento de red, acceso solo via bastion, monitorizacion reforzada y reglas de firewall mas restrictivas.

Para priorizar riesgos suele combinarse probabilidad e impacto. La probabilidad depende de exposicion, facilidad de explotacion, atractivo del activo, frecuencia de amenaza y controles existentes. El impacto incluye parada de negocio, sanciones, perdida de datos, coste de recuperacion y dano reputacional. Una pyme con 80 empleados puede tolerar una caida menor de una intranet interna, pero no la indisponibilidad de su plataforma de pedidos durante horario comercial. Por eso seguridad siempre necesita contexto operacional.

Defense in depth significa no confiar en un unico control. El error mas comun en organizaciones novatas es creer que "ya tenemos antivirus" o "ya tenemos firewall" y dar por cerrada la seguridad. Un atacante real aprovecha huecos entre capas: roba credenciales para saltar el firewall, usa malware fileless para evadir antivirus tradicional o se mueve lateralmente porque la red no esta segmentada. Una defensa en profundidad sana combina controles preventivos, detectivos, correctivos y de recuperacion.

Un ejemplo por capas para una empresa con Microsoft 365 y endpoints Windows seria:

1. Identidad: MFA, acceso condicional, bloqueo de autenticacion heredada, privilegio minimo.
2. Endpoint: EDR, hardening, BitLocker, control de aplicaciones, gestion de parches.
3. Red: segmentacion por zonas, VPN segura, filtrado saliente, DNS seguro.
4. Datos: clasificacion, cifrado, DLP, backups inmutables.
5. Deteccion: logs en SIEM, alertas de inicio de sesion de riesgo, hunting basico.
6. Respuesta: playbooks para phishing, malware y cuenta comprometida.
7. Recuperacion: backups verificados, runbooks y responsabilidades claras.

Cada capa debe asumir que otra puede fallar. Si un usuario cae en phishing, MFA puede frenar el acceso. Si el atacante consigue entrar, la segmentacion y el privilegio minimo limitan el movimiento lateral. Si despliega malware, el EDR puede detectar y aislar. Si aun asi cifra datos, la disponibilidad depende de backups recuperables. Ese encadenamiento es mucho mas realista que buscar un producto milagroso.

Tambien conviene distinguir controles preventivos, detectivos y correctivos. El preventivo intenta evitar el ataque, como MFA o parcheo. El detectivo avisa de que algo ocurre, como un EDR, una regla SIEM o un alerta de impossible travel. El correctivo ayuda a recuperar o contener, como una cuarentena automatica, un rollback o una restauracion. Las organizaciones maduras equilibran los tres tipos porque saben que el preventivo nunca sera perfecto.

Un caso realista: una organizacion tiene un NAS con copias de seguridad conectado permanentemente y accesible con credenciales de dominio. Ante un ransomware, cree estar cubierta por tener backups, pero un atacante con privilegios puede borrar snapshots y cifrar el repositorio. Aqui la disponibilidad parecia protegida, pero faltaban controles de integridad y aislamiento. La leccion es clara: la resiliencia no se consigue solo con "tener copia", sino con arquitectura de recuperacion segura, pruebas de restauracion y separacion de privilegios.

Contenido ampliado

Puntos clave

• CIA no son tres palabras para memorizar; son objetivos que guian decisiones reales.
• Riesgo siempre necesita contexto de negocio y exposicion, no solo severidad tecnica.
• Defense in depth evita la dependencia de un unico control.
• Un backup sin pruebas y sin aislamiento no garantiza disponibilidad.

Checklist operativa

• Identificar para cada activo cual es la dimension CIA mas sensible.
• Revisar que controles preventivos, detectivos y correctivos existen por capa.
• Clasificar riesgos como inherentes o residuales.
• Validar si hay controles compensatorios para deudas tecnicas o sistemas legados.

Errores frecuentes

• Tratar disponibilidad como problema exclusivo de infraestructura, no de seguridad.
• Asumir que un solo producto cubre todo el ciclo defensivo.
• Medir cumplimiento de controles sin validar eficacia real.
• Omitir pruebas de restauracion y continuidad.

Practica sugerida

Elabora una matriz CIA para cinco activos de una empresa ficticia: correo, ERP, base de datos de clientes, portatil de comercial y VPN. Define amenazas principales, controles actuales y dos mejoras por activo.

Preguntas de autoevaluacion

• ¿Que diferencia hay entre riesgo inherente y residual?
• ¿Por que el cifrado protege confidencialidad pero no siempre integridad o disponibilidad?
• ¿Como justificarias una defensa por capas frente a alguien que solo quiere "poner antivirus"?

Cierre

La seguridad madura no depende de una unica barrera. Depende de combinar capas, medir riesgo con contexto y proteger confidencialidad, integridad y disponibilidad al mismo tiempo.