Leyes Informáticas en Colombia

Introducción a la Ciberseguridad

Principales Leyes Informáticas en Colombia

Ciberseguridad: ¡A la ofensiva!

  1. Comparar los cinco principales grupos de actores de amenazas:
    • Cibercriminales: Motivados por fines financieros, atacan mediante ransomware, phishing, etc.
    • Hacktivistas: Grupos con fines políticos o sociales (ej. Anonymous), realizan ataques de denegación de servicio (DDoS).
    • Estados nación: Atacantes patrocinados por gobiernos para espionaje o sabotaje.
    • Insiders (internos): Empleados o exempleados con acceso legítimo que abusan del sistema.
    • Script kiddies: Individuos sin conocimientos avanzados que usan herramientas de terceros por curiosidad o notoriedad.
  2. Tipos comunes de ciberataques:
    Malware, ransomware, phishing, DDoS, ataques de intermediario (Man-in-the-Middle), inyección SQL, entre otros.
  3. Cyber Kill Chain (cadena de muerte cibernética):
    Modelo de 7 pasos desarrollado por Lockheed Martin para entender cómo se desarrolla un ciberataque:
    1. Reconocimiento
    2. Armamento
    3. Entrega
    4. Explotación
    5. Instalación
    6. Comando y control (C2)
    7. Acciones sobre objetivos
  4. Matriz ATT&CK de MITRE:
    Marco que clasifica tácticas y técnicas utilizadas por atacantes, como:
    • Initial Access: Acceso inicial al sistema
    • Execution: Ejecución de código malicioso
    • Persistence: Mantener acceso continuo
    • Exfiltration: Robo de datos
    Permite mapear amenazas y diseñar defensas eficaces.
  5. Elementos del ecosistema de la ciberdelincuencia:
    Incluye:
    • Foros clandestinos
    • Mercados de datos y herramientas (Dark Web)
    • Infraestructura de comando y control
    • Servicios como Malware-as-a-Service (MaaS)
    • Redes de afiliados y redes de lavado de dinero digital
  6. Técnicas comunes de ingeniería social:
    Phishing, pretexting, baiting, vishing (voz), smishing (SMS), shoulder surfing. Apelan a la confianza o el miedo para manipular a las personas.
  7. OSINT (Inteligencia de fuentes abiertas):
    Uso de fuentes públicas para recolectar información:
    • Redes sociales
    • Dominios y WHOIS
    • Metadatos de archivos
    • Repositorios públicos (GitHub, foros, etc.)
    Utilizado tanto por defensores como atacantes.
  8. Técnicas típicas de escaneo técnico:
    Incluyen escaneos de puertos, servicios y vulnerabilidades mediante herramientas como Nmap, Nessus o OpenVAS. Sirven para identificar puntos débiles antes de un ataque o para fortalecer defensas.
  9. Reconocimiento de red con herramientas:
    Se utilizan herramientas como:
    • Nmap: Descubre hosts, puertos abiertos y servicios
    • Wireshark: Analiza tráfico de red
    • Netcat: Herramienta para redes y pruebas de conexión
    Permiten entender la arquitectura de red y detectar vulnerabilidades.
  10. Ciberataques de gran repercusión y lecciones aprendidas:
    • WannaCry (2017): Ransomware global que afectó a hospitales y empresas. Lección: importancia de actualizaciones de seguridad.
    • SolarWinds (2020): Ataque sofisticado a través de una actualización de software comprometida. Lección: seguridad en la cadena de suministro.
    • Colonial Pipeline (2021): Ransomware que detuvo el suministro de combustible en EE.UU. Lección: crítica del respaldo y planes de respuesta.

    11. ¿Qué es un atacante o actor de amenazas?
    Un atacante o ciberatacante es quien intenta vulnerar la seguridad de un sistema o red sin autorización, con fines maliciosos.
    Un actor de amenazas es cualquier entidad (persona, grupo u organización) que representa una amenaza potencial para la ciberseguridad. Puede que aún no haya atacado, pero tiene la intención o capacidad de hacerlo.
    Aunque ambos términos son similares, “actor de amenazas” enfatiza la amenaza potencial, no solo la acción.

    Los profesionales de la ciberseguridad clasifican a los actores de amenazas en grupos según su motivación, recursos y técnicas. Los cinco principales grupos son:

    Grupos principales de actores de amenazas
    Grupos principales de actores de amenazas
    • Script kiddies: Individuos sin conocimientos avanzados que usan herramientas de terceros por curiosidad o notoriedad. Un script kiddie, o hacker novato, es alguien que usa programas, a menudo herramientas básicas de hackeo, sin comprender realmente cómo funcionan. Generalmente carecen de habilidades técnicas avanzadas y dependen de herramientas desarrolladas por otros. Suelen atacar por curiosidad o para ganar notoriedad, pero no tienen un objetivo claro ni una motivación política o financiera.
    • Hacktivistas: Grupos con fines políticos o sociales (ej. Anonymous), realizan ataques de denegación de servicio (DDoS). El término hacktivista es un neologismo creado a partir de la combinación de los términos hacker y activista. Los hacktivistas buscan cambios políticos o económicos y utilizan la piratería como medio para lograrlos.
    • Cibercriminales: Motivados por fines financieros, atacan mediante ransomware, phishing, etc. Los cibercriminales son aquellos que utilizan sus habilidades para cometer delitos informáticos con fines económicos. Pueden ser individuos o grupos organizados que buscan obtener beneficios financieros a través de actividades ilegales como el robo de datos, fraudes, extorsiones o ataques de ransomware.
      • Bandas criminales: Allí donde haya dinero fácil de ganar, habrá delincuentes. Internet ofrece a los criminales una nueva forma de aprovecharse de las víctimas con una escala, un alcance y una facilidad sin precedentes. En lugar de correr riesgos en persona, los aspirantes a delincuentes pueden enviar millones de correos electrónicos infectados desde cualquier parte del mundo y conseguir un rescate de sus víctimas para luego transferir los fondos a criptomonedas, evadiendo los métodos policiales convencionales. Capturar a estos delincuentes es extremadamente agotador y, debido a las legislaciones internacionales, procesarlos es prácticamente imposible. Y, lamentablemente, la mayoría de los delincuentes son conscientes de ello.
      • Dark web: La dark web es un subconjunto de Internet compuesto por sitios web a los que únicamente se puede acceder a través de navegadores web especializados. La actividad en estos sitios es cifrada, privada y anónima, lo que la convierte en un popular centro de reunión para los ciberdelincuentes. Sin embargo, algunas personas utilizan la dark web por motivos legítimos, como los activistas políticos que la utilizan para comunicarse de forma anónima y evitar la persecución gubernamental.
    • Estados nación: Atacantes patrocinados por gobiernos para espionaje o sabotaje. Los hackers de Estado-nación son quienes reciben mayor atención por parte de los medios de comunicación de entre todos los grupos de actores de amenazas, tal vez inmerecidamente. Muchas organizaciones militares de todo el mundo consideran el ciberespacio una quinta esfera de conflicto junto con el mar, la tierra, el aire y el espacio. Y muchas naciones han demostrado la capacidad de proyectar poder a través de las fronteras nacionales con una gran variedad de consecuencias.
      • Características:
        • El papel de los hackers de Estado-nación consiste en proporcionar una ventaja estratégica a sus respectivos países. Estas ventajas pueden ir desde el reconocimiento y la recogida de información, como el espionaje tradicional o la inteligencia de señales, hasta la subversión y la manipulación de información.
        • Los miembros de estas organizaciones cuentan con un alto nivel de educación o formación y provienen de diversos orígenes. Trabajan a tiempo completo y, por lo general, se encuentran a la vanguardia de sus respectivos campos.
        • Sus motivaciones suelen alinearse estrechamente con objetivos políticos o estratégicos. Un ejemplo reciente son las actividades rusas relacionadas con las elecciones presidenciales de 2016 en Estados Unidos: su objetivo era interferir en las elecciones y aumentar la discordia política y social.
        • Desde el punto de vista de los recursos, los hackers de Estado-nación tienen acceso a investigaciones avanzadas, equipos de infraestructura especializados y un enorme apoyo político.
        • Actualmente, los hackers de Estado-nación utilizan herramientas avanzadas de inteligencia artificial (IA) y aprendizaje automático (ML) para automatizar sus ataques, haciéndolos más sofisticados y difíciles de detectar. Además, con el auge de los dispositivos de Internet de las cosas (IoT), los hackers de Estado-nación tienen muchos más objetivos que atacar.
    • Insiders (internos): Empleados o exempleados con acceso legítimo que abusan del sistema. Los insiders son empleados o exempleados que tienen acceso legítimo a los sistemas y datos de una organización, pero que abusan de ese acceso para cometer actos maliciosos. Pueden robar información confidencial, sabotear sistemas o realizar actividades ilegales desde dentro de la organización.
      • Defensa: La mejor manera de defenderse contra las amenazas internas es investigar a los empleados, poner en práctica una gestión eficaz y aplicar los controles técnicos. Recurrir a los controles técnicos puede parecer una solución obvia para las empresas, pero con frecuencia fracasa porque tratan de detener a usuarios que están familiarizados con el sistema. A menudo, hay numerosas señales de advertencia que preceden a un ataque interno. Algunos ejemplos de señales de advertencia que indican que alguien está planeando un ataque son trabajar en soledad, expresar resentimiento, producir trabajo de menor calidad o llevar a cabo actividades inexplicables. Identificar estas señales puede ayudar a prevenir un ataque.

    Investigador de seguridad ofensiva Ya conoces los cinco tipos comunes de atacantes cibernéticos que tienen motivaciones personales o amenazadoras, a menudo ilegales. Pero no todos los hackers actúan con fines maliciosos. Los investigadores de seguridad ofensiva eligen usar y monetizar su conjunto de habilidades para el bien en lugar de para actividades delictivas o explotadoras. A menudo llamados hackers éticos, adoptan una mentalidad de hacker para utilizar los mismos métodos que los atacantes de la vida real, pero con el objetivo de poner a prueba los sistemas y fortalecerlos para ayudar a los clientes y consumidores a estar mejor protegidos del incidente real. Te presentamos a dos expertos líderes en materia de ciberseguridad: Brian Krebs y Georgia Wiedman. Ambos utilizan sus habilidades para ofrecer a organizaciones de todo el mundo consejos y conocimientos valiosos y, a menudo, muy bien remunerados.