1. Fundamentos Teóricos (Active Recall)
Instrucciones: Intenta definir el concepto en tu mente antes de hacer clic para desplegar la respuesta. Esta técnica de estudio fortalece tus conexiones neuronales antes del examen.
Diferencia entre Seguridad de la Información y Seguridad Informática
La Seguridad de la Información es un concepto amplio. Resguarda la información en CUALQUIER formato (papel, digital, ideas), así como el entorno físico y las personas que la manipulan. La Seguridad Informática (Ciberseguridad) es un subconjunto enfocado EXCLUSIVAMENTE en salvaguardar la información digitalizada, los recursos lógicos (hardware/software) y las redes.
La Tríada de la Seguridad (El Triunvirato CIA)
- Confidencialidad: Mantener el bien en secreto, accesible solo para personal autorizado. Protege contra descubrimientos intencionales o accidentales. (Fenómeno del Bolero: subestimar a quien limpia los zapatos y escucha información crítica).
- Integridad: Controles que aseguran que la información no haya sido modificada, alterada o destruida sin autorización.
- Disponibilidad: Asegurar que el bien (sistema, datos, red) pueda ser usado y accedido por entidades autorizadas en el momento y la cantidad de veces que se requiera.
Servicios Críticos: Autenticación, Control de Acceso y No Repudio
- Autenticación: Verificar la identidad comprobando 3 factores posibles: Algo que se sabe (password), Algo que se tiene (Token/Credencial), Algo que se es (Biometría).
- Control de Acceso: Otorgar permisos o privilegios específicos una vez que el usuario fue autenticado exitosamente.
- No repudio: Mecanismos (como la firma digital) que evitan que un emisor o receptor niegue posteriormente haber enviado/recibido un mensaje o realizado una acción.
Conceptos de Riesgo (Vulnerabilidad vs Amenaza vs Ataque)
Vulnerabilidad: Es la debilidad intrínseca de un bien o sistema (El talón de
Aquiles, ej. software sin parchar).
Amenaza: Evento, circunstancia o agente externo que posee la capacidad latente de
explotar una vulnerabilidad para provocar daño.
Riesgo: El daño potencial futuro (Probabilidad e Impacto). Su fórmula es:
Riesgo = Amenaza × Vulnerabilidad × Consecuencia.
Ataque (o Brecha): Cuando la amenaza se materializa, logrando evadir controles y
causando destrucción, pérdida o alteración.
2. Evolución Histórica de la Seguridad
La seguridad no nació con las computadoras. Evolucionó desde la protección física de mensajes hasta la resiliencia algorítmica.
En Mesopotamia y Egipto se usaban técnicas de sustitución y jeroglíficos. En Esparta (450 a.C.) nace la escítala (transposición), demostrando que la seguridad no residía en el mensaje, sino en el instrumento. Julio César institucionaliza el cifrado por desplazamiento.
Al-Kindi publica sobre el análisis de frecuencia, rompiendo los cifrados simples. Se inventa el Disco de Alberti (cifrado polialfabético). En 1883 se establecen los Principios de Kerckhoffs: el dogma de que la seguridad de un sistema debe depender únicamente del secreto de la clave, asumiendo que el algoritmo es conocido por el enemigo.
Alemania confía ciegamente en la máquina Enigma. Alan Turing lidera el criptoanálisis creando La Bombe (1941) y posteriormente Colossus (1943), la primera computadora digital programable. En 1945, Grace Hopper documenta el primer "Bug" físico (una polilla). En 1948, Claude Shannon funda la Teoría de la Información.
En 1971 surge Creeper (primer software autorreplicante) y en 1972 Reaper (primer antivirus). Nace ARPANET, que en 1988 es colapsada por el Gusano Morris. En 1986 llega el virus Brain (primer virus para PC vía disquete). En 1989 nace el troyano del SIDA (PS Cyborg 1), el primer ransomware de la historia.
Nacen el Firewall y SSL, permitiendo el eCommerce. En 1999, el virus macro Melissa destruye servidores de correo. En 2000, Mafiaboy ejecuta ataques DDoS globales. En 2010 se descubre Stuxnet, el primer malware diseñado para destruir infraestructura física (centrífugas nucleares). En 2017, WannaCry paraliza hospitales y empresas en 150 países.
La pandemia acelera el Zero Trust. El ransomware se industrializa (RaaS). La IA permite Deepfakes y suplantación de identidad extrema. En 2026 entra en vigor DORA (resiliencia en sector financiero europeo) y la directiva NIS2. La urgencia actual es la Criptografía Post-Cuántica (PQC) frente a la amenaza de "cosechar hoy para descifrar mañana".
3. Normatividad y Estándares (Desglose Exhaustivo)
La normatividad no solo impone sanciones; su objetivo es crear un ecosistema de interoperabilidad segura y mitigar riesgos. Un estándar técnico difiere de una norma legal en su obligatoriedad jurídica según cada país.
3.1. Los Marcos Históricos de Evaluación
TCSEC (Trusted Computer System Evaluation Criteria) EE.UU. (1983-1985)
El legendario "Libro Naranja" (Orange Book), desarrollado por el DoD y la NSA.
- Objetivo: Primer estándar formal para evaluar controles de seguridad en sistemas operativos.
- Enfoque: Centrado casi exclusivamente en la Confidencialidad.
- Niveles (D a A1): D (Nulo), C1/C2 (Discrecional), B1/B2/B3 (Etiquetas obligatorias), A1 (Diseño verificado matemáticamente).
- Estado: Retirado en el 2000.
ITSEC (Information Technology Security Evaluation Criteria) Europa (1990-1991)
El "Libro Blanco". Respuesta europea a la rigidez estadounidense.
- Innovación: Separó la evaluación en Funcionalidad (qué hace) y Aseguramiento (qué tan bien lo hace).
- Niveles: Del E0 (Inadecuado) al E6 (Rigor formal máximo).
CTCPEC Canadá (1993)
El puente evolutivo que combinó lo mejor del TCSEC e ITSEC.
- Aporte: Añadió la Integridad, Disponibilidad y Responsabilidad a la ecuación. Sus grados de confianza son los "padres" de los niveles EAL actuales de Common Criteria.
3.2. La Familia de Gestión y Mejora Continua (ISO)
BS 7799 Reino Unido (1995-1998)
La norma pionera que revolucionó la gestión de seguridad.
- Innovación: Enfoque holístico basado en Riesgos y primera en usar el Ciclo PDCA (Planear, Hacer, Verificar, Actuar).
- Estado: Evolucionó y fue absorbida por la serie ISO.
Familia ISO/IEC 27000 Estándar Global Actual
El marco de trabajo moderno y definitivo para gobernar un SGSI.
| Norma | Años | Descripción Clave |
|---|---|---|
| ISO/IEC 27000 | 2009 / 2018 | Es el vocabulario. Proporciona los conceptos fundamentales y la visión general. No certificable. |
| ISO/IEC 27001 | 2005 / 2013 / 2022 | ÚNICA NORMA CERTIFICABLE. Establece requisitos obligatorios del SGSI basados en gestión de riesgos y ciclo PHVA. |
| ISO/IEC 27002 | 2007 / 2013 / 2022 | Guía práctica de implementación de controles (Anexo A de la 27001). No certificable. Antiguamente llamada ISO 17799. |
3.3. Leyes y Marcos Complementarios
HIPAA (EE.UU. - 1996)
Ley federal para la salud.
Objetivos: Proteger datos médicos
(ePHI).
Reglas: Privacy Rule (Confidencialidad), Security Rule (Salvaguardas
técnicas y físicas), Breach Notification (Notificar fugas).
NIST (EE.UU.)
Agencia federal crítica. Destaca por el NIST SP 800-30, la guía definitiva de evaluación de riesgos en 4 pasos: Preparación, Evaluación, Comunicación y Mantenimiento.
COBIT (ISACA - 1996)
Marco de gobernanza. Alinea las TI con el negocio mediante 5 dominios: Evaluar/Dirigir/Monitorear (EDM), Alinear/Planificar/Organizar (APO), Construir/Adquirir (BAI), Entregar/Soportar (DSS), Monitorear/Evaluar (MEA).
4. Amenazas y Vulnerabilidades
Una amenaza es la posibilidad de explotar una vulnerabilidad. Se gestionan mediante metodologías como la matriz de Probabilidad vs Impacto.
A. Clasificación por su Flujo (Súper importante)
- Intercepción: Atenta contra la Confidencialidad (solo ver o escuchar; ej. ataque MitM).
- Interrupción o Destrucción: Atenta contra la Disponibilidad (ej. ataque DDoS).
- Modificación: Atenta contra la Integridad (ej. Inyección de código).
- Suplantación / Falsificación: Atenta contra la Autenticación (ej. Phishing).
B. Tipos de Inyección SQL (SQLi)
| Tipo | Mecanismo | Impacto Potencial |
|---|---|---|
| En banda (Clásica) | Usa el mismo canal para atacar y ver resultados. | Acceso directo a tablas, evasión de login. |
| Ciega (Blind) | No devuelve datos directos; se basa en respuestas Sí/No o tiempos. | Extracción lenta y sigilosa de datos. |
| Fuera de banda | Utiliza canales alternos (otros protocolos). | Bypass de protecciones locales del servidor. |
| De segundo orden | El código se almacena en BD y se ejecuta después. | Persistencia oculta, difícil de rastrear. |
C. Amenazas Internas (Insider Threats)
El enemigo en casa. Las estadísticas indican que entre el 90% y 95% de los incidentes son por amenazas internas no intencionadas.
- Internos Maliciosos: Actúan por venganza, sabotaje o lucro (robo de propiedad intelectual).
- Internos Negligentes: Causan daño por ignorancia o descuidos (passwords débiles, pérdida de equipos). Son los más frecuentes.
- Evasores (Shadow IT): Saltan protocolos de seguridad por "conveniencia" operativa.
5. Metodología CC (Perfiles de Protección - ISO 15408)
Esta metodología estricta asegura que la seguridad se integra desde el diseño, permitiendo una certificación formal. Son 11 pasos consecutivos:
- Introducción: Resumen ejecutivo y descripción general del problema.
- Descripción del TOE (Target of Evaluation): Delimita el producto. Establece el alcance físico (hardware, manuales obligatorios) y el alcance lógico o TSF (Funciones de seguridad), así como las interfaces (TSFI).
- Entorno de Seguridad: Describe infraestructura física, topología de red, roles administrativos y clasificación de activos (User Data vs TSF Data).
- Hipótesis: Supuestos que se dan por sentados (ej. administradores capacitados y no hostiles, entrega segura del equipo).
- Amenazas: Modelado formal (ej. T.Masquerade para suplantación, T.Denial_of_Service, T.Bypass_Security_Functions).
- Políticas de Seguridad Organizacional (OSP): Reglas corporativas que el sistema debe hacer cumplir (ej. políticas de control de acceso y auditoría).
- Objetivos de Seguridad: Traducen las políticas y amenazas en metas técnicas a alcanzar.
- Requerimientos (El núcleo técnico):
- SFR (Funcionales): Clases operativas como FAU (Auditoría), FDP (Protección de datos), FIA (Autenticación), FMT (Gestión).
- SAR (Aseguramiento): Pruebas y análisis de vulnerabilidades (AVA_VAN) basado en el potencial del atacante (Niveles EAL). - Justificación: Demuestra que los Objetivos cubren las Amenazas, que los SFR son suficientes y que las dependencias técnicas no tienen fallas lógicas.
- Definición de Arquitectura: Diseño donde el TSF (Security Functionality) debe ser imperturbable (no alterable) y no eludible (todo tráfico pasa por él).
- Implementación: Codificación, pruebas de laboratorio y despliegue físico con manuales guía (AGD).
6. Puntos Clave Adicionales y Casos Prácticos
La Trinidad del Acceso
No confundir en exámenes de opción múltiple:
- Identificación: El usuario declara quién es (ej. teclear usuario).
- Autenticación: El sistema comprueba la identidad (ej. pedir Password/Biometría).
- Autorización: Ocurre al final; el sistema decide qué permisos se le otorgan al usuario verificado.
Casos Prácticos en FI UNAM
- Microondas explotando en el anexo: Vulnerabilidad física / Amenaza antrópica no intencionada (falta de capacitación).
- Caída del servidor en inscripciones: Vulnerabilidad de red / Amenaza de interrupción (Disponibilidad).
- Chinches en salones: Vulnerabilidad de higiene / Amenaza Biológica.
- Inundación de la facultad: Amenaza Natural exacerbada por vulnerabilidades de infraestructura (coladeras tapadas).
Ecuación del Riesgo y Justificación
Riesgo = Amenaza × Vulnerabilidad × Consecuencia
Recuerda: La seguridad no es un gasto, es una inversión. Su implementación se justifica porque Mitiga riesgos catastróficos, Habilita operaciones del negocio, y Ahorra costos derivados de incidentes y tecnología obsoleta.
7. Mega Cuestionario de Preparación
Comprueba si estás listo para el examen evaluando tu retención de los conceptos clave.