Cristina del Carmen Arroyo Siruela

Para los ciudadanos de a pie, los certificados digitales son esos archivos o documentos electrónicos que les permiten llevar a cabo miles de acciones jurídicas, administrativas, pudiendo prescindir de tener que ir presencialmente a llevar a cabo esos trámites. Pero, ¿qué es un certificado digital? Un certificado digital es un documento electrónico firmado y generado por una autoridad certificadora (CA, por sus siglas en inglés) o prestador de servicios de certificación, el cual permite la identificación exclusiva de una entidad o solicitante. Para ello se hace uso de la criptografía de clave pública o asimétrica, en la que se emplean un par de claves de cifrado electrónicas (pública y privada). El cifrado de clave pública, o criptografía de clave pública, es un método para cifrar datos con dos claves diferentes y hacer que una de ellas, la clave pública, esté disponible para que cualquiera la use. La clave privada está únicamente en poder del propietario o solicitante del certificado digital. El mecanismo de funcionamiento de criptografía asimétrica o de clave pública establece que los datos cifrados con la clave pública solo se pueden descifrar con la clave privada, y viceversa. La autoridad de certificación (CA) y la infraestructura de clave pública (PKI) Una autoridad de certificación (AC o CA por sus siglas en inglés) es una entidad de confianza responsable de prestar una serie de servicios de certificación electrónica. Una de las autoridades de certificación más conocidas y empleadas en nuestro país es la FNMT (Fábrica Nacional de Moneda y Timbre). Tras la entrada en vigor del reglamento europeo eIDAS 914/2018, las CA han sido sustituidas por la figura de Prestador de Servicios Cualificado (PSC), aunque se sigue usando el término CA, especialmente en el mundo empresarial. Estas autoridades son responsables de la emisión, verificación de vigencia y revocación de los certificados electrónicos, siempre garantizando la identidad y veracidad de datos de los titulares de los certificados. Una infraestructura de clave pública (PKI) es un sistema compuesto por elementos hardware, software y procedimientos de seguridad, cuya función principal es el gobierno de las claves de cifrado y de los certificados digitales, haciendo uso de mecanismos criptográficos entre otros. Los componentes habituales de una infraestructura PKI son: Autoridad de certificación: anteriormente explicada, es la responsable de establecer las identidades de los usuarios y crear los certificados digitales, documento electrónico que asocia identidad y el conjunto de claves pública y privada. Autoridad de registro: es la responsable del registro y de la autenticación inicial de los usuarios a quienes se les expide un certificado posteriormente si cumplen todos los requisitos. Servidor de certificados: encargado de expedir los certificados aprobados con la autoridad de registro. La generación de la clave pública para el usuario es compuesta con los datos del usuario y, finalmente, se firma digitalmente con la clave privada de la autoridad de certificación. Repositorio de certificados: este componente es el encargado de la disponibilidad de las claves públicas de las identidades registradas. Cuando se requiere validar un certificado se realiza la consulta en el repositorio, se verifica la firma, el estado del certificado. También disponen de la CRL (Cerficate Revocation List), donde se detallan aquellos certificados que por algún motivo han dejado de ser válidos antes de la fecha de caducidad y han sido revocados. Autoridad de sella de tiempo (TSA siglas en inglés): es la autoridad encargada de la firma de los documentos con el objetivo de probar que existían antes de un determinado instante de tiempo. Los certificados digitales por dentro X.509 es un estándar empleado en infraestructuras de claves públicas, de cara a definir la estructura de certificado digital. En 1998, la UIT (Unión Internacional de Telecomunicaciones) presentó este estándar. Hay 3 versiones disponibles para X.509. Para mayor detalle sobre este estándar, se recomienda consultar el RFC 5280. Los certificados digitales bajo el estándar X.509 están en lenguaje ASN.1 y codificados en la mayoría de los casos mediante DER, CRT y CER. Las extensiones empleadas pueden ser .pfx, .cer, .crt, .p12, etc. Las partes más habituales de un certificado digital son: Versión: se utiliza para identificar la versión de X.509. Número de serie del certificado: es un número entero único que genera CA. Identificador del algoritmo de firma: se utiliza para identificar el algoritmo utilizado por la CA en el momento de la firma. Nombre del emisor: muestra el nombre de la CA que emite un certificado. Validez: se utiliza para mostrar la validez del certificado, mostrando cuando caduca. Nombre del usuario: muestra el nombre del usuario al que pertenece el certificado. Información de la clave pública del usuario: contiene la clave pública del usuario y el algoritmo utilizado para la clave. En las versiones superiores, aparecen más campos como el Identificador único del emisor, que ayuda a encontrar la CA de forma única si dos o más CA han utilizado el mismo nombre de emisor, entre otros. Los certificados digitales emplean principalmente criptografía asimétrica y para ello usan algoritmos de cifrado tales como RSA (Rivest, Shamir y Adleman), DSA (Digital Signature Algorithm) y ECDSA (Elliptic Curve Digital Signature Algorithm). El algoritmo DSA se emplea principalmente para acciones que tienen que ver con la firma digital y verificación de firma. Los algoritmos RSA y ECDSA se emplean para acciones de que tienen que ver con la firma electrónica y también para el cifrado y descifrado de datos. Tipos y clases de certificados digitales Existen muchos tipos y clases de certificados digitales ya que estos son prestados por las CA, que determinan aquellos que proporciona y gestiona. La normativa europea eIDAS 910/2014 establecen 2 tipos de certificados: Certificad Electrónico: documento firmado por un prestador de servicios de certificación, vinculado a una serie de datos de verificación de firma y a la ratificación de la identidad del firmante. Sigue los requisitos de emisión establecidos en la Ley 59/2003 de firma electrónica y el Reglamento eIDAS del Parlamento Europeo. Certificado Electrónico Reconocido o Cualificado: certificado que añade una serie de condiciones adicionales. El prestador que lo emite debe identificar a los solicitantes y buscar una fiabilidad en los servicios que presta. Este certificado obedece a los requisitos de la Ley de Firma Electrónica 59/2003 en su contenido, en los procesos de comprobación de la identidad del firmante y en las condiciones que ha de cumplir el prestador de servicios de certificación. Ejemplo: DNI electrónico. Si se atiende a los certificados digitales, según el tipo de identidad y dato, de manera generaliza, se puede establecer los siguientes 3 tipos: De Persona Física: asociados a la identidad de persona física o ciudadano. Están diseñados para su empleo en trámites personales, oficiales principalmente. Para persona jurídica: su uso está pensado para todo tipo de organizaciones —empresas, administraciones u otro tipo— todas ellas con una identidad de tipo jurídico. De entidad sin personalidad jurídica: vinculan al solicitante unos datos de verificación de firma y confirma su identidad. Se utilizan en las comunicaciones y transmisiones de datos por medios electrónicos, informáticos y telemáticos en el ámbito tributario y de la administración pública. También se clasifican en algunos casos según el ámbito de aplicación del certificado, siendo estos algunos ejemplos: Certificado de servidor web. Firma de código fuente. Pertenencia a empresa. Representante. Apoderado. Sello de empresa. Los certificados de servidor web tienen como objetivo principal el asegurar la seguridad en las comunicaciones y transacciones entre el servidor web y visitantes. Esto permite acceder a los que alberga ese servidor web que disponga del certificado, de manera segura (páginas web o base de datos). Estos certificados emplean el protocolo de TLS (Transport Layer Security), que sustituye al protocolo SSL (Secure Socket Layer). Existen varios certificados de servidor web como los certificados SSL/TLS, wildcard, SAN o multidominio entre otros. Utilidad de los certificados digitales La utilidad que presentan los certificados digitales es dispar, ya que ello depende del tipo de certificado digital que se trate. Como se ha visto anteriormente, existen muchas clases. Las principales ventajas que ofrece el uso de los certificados digitales son: Seguridad en las comunicaciones y servidores. Seguridad en los sistemas de autenticación donde se implementan. Facilidad para llevar a cabo acciones legales o administrativas de manera remota. Capacidad de firma electrónica, de cara a la firma de documentación. Capacidad de cifrado de datos e información.

El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el ingenio algo meramente masculino? ¿no disponen de ingenio las mujeres? En los últimos años, la sociedad comienza a normalizar la presencia femenina en las carreras de ingeniería o tipo STEM. Poco a poco, parece que se difuminan o desaparecen algunos estereotipos establecidos acerca de la mujer y su capacidad para dedicarse a la ingeniería. Pero ¿cuáles han sido los pasos para llegar a este punto? ¿cuáles han sido las bases y el camino para que una mujer pueda estudiar una ingeniería? ¿por qué estudia una mujer una ingeniería o formación técnica? Las mujeres ingenieras existen desde hace 100 años o más La presencia femenina en el ámbito de la ingeniería se remonta al periodo establecido en la Primera Guerra Mundial (aunque seguramente sea anterior). La iniciativa que conmemora el día de la mujer ingeniera nació el 23 de junio de 2014, en Reino Unido, de mano de Women’s Engineering Society (WES), con motivo de su 95º aniversario. El objetivo era conmemorar la inclusión de las mujeres en el mundo de la ingeniería y el dar visibilidad a la presencia femenina, así como establecer objetivos de cara a alcanzar la igualdad de géneros en ese ámbito. Hoy en día se sigue celebrando con las mismas premisas y reivindicaciones ya que aún no se han alcanzado esos objetivos. En la historia han existido muchas mujeres ingenieras destacables, aunque la mayoría no han recibido el suficiente reconocimiento o valor: Ada Lovelace asentó las bases de los algoritmos que se emplean en los ordenadores y programación actualmente. Edith Clarke aporto sus conocimientos para que hoy en día se disfrute de la electricidad sin apagones. Hedy Lamarr, una actriz de la época de la Segunda Guerra Mundial contribuyó a lo que es hoy en día es el GPS, Wifi o el Bluetooth. Las mujeres vienen aportando valor a la ingeniería desde 100 años o más, aunque no haya sido debidamente reconocido, o ni siquiera se mencionen en los libros de texto de los colegios. Ellas y muchas otras asentaron las bases y lograron descubrimientos importantes que supusieron increíbles avances en el área de la ingeniería. Rompiendo moldes y estereotipos Aquellas mujeres ingenieras, a pesar de su destacada valía y conocimiento, encontraron muchos obstáculos y estereotipos en su camino, tratando de impedir su éxito por una cuestión de género. Por suerte, estas y otras decidieron que no se cruzarían de brazos y que, contra todo lo impuesto o establecido, demostrarían a través de su vocación y pasión por la ingeniería y sus ganas de descubrir algo más allá, que las mujeres pueden ser científicas o ingenieras. Desgraciadamente, algunos de estos estereotipos perduran hoy en día. La sociedad tiene la obligación moral de romper con ellos y erradicarlos mediante las acciones e iniciativas que sean necesarias, especialmente en países no desarrollados o en vías de desarrollo. ¿Cuándo desarrollan las mujeres interés por las ingenierías o carreras STEM? A lo largo de la niñez y juventud se desarrollan aptitudes tales como la curiosidad y el interés general por áreas y tecnologías tipo STEM. Algunas niñas se habrán cuestionado cómo funcionan algunos aparatos electrónicos, cómo se escriben los programas, cómo funcionan los móviles o teléfonos, o como se construyen los caminos, las vías de tren, etc. Seguramente, la mayoría de ellas pasaran sus tardes saltando a la comba o jugando a videojuegos. Otras demostrarán más interés en hacer experimentos químicos, en entender cómo se desarrolla un videojuego o programa. Les resultara más interesante que el propio resultado químico o que el propio videojuego o programa. Buscarán comprender como funcionan las cosas, modificarlas y mejorarlas. Actualmente se reseña que muchas niñas pierden el interés por la ingeniería, las tecnologías y las carreras STEM al llegar a la adolescencia. Esta pérdida de interés esta asociada principalmente a barreras culturales, que crecen por la inseguridad a la hora de escoger carreras con fama de difíciles o con mayor presencia masculina. Existen varios programas y acciones culturales que buscan evitar esta pérdida de interés y quitar esos miedos y barreras, tales como #MujeresHacker, StemTalentGirl, y otras. ¿Y por qué estudian/no estudian las mujeres una ingeniería o carrera técnica? ¿Disponen de las mismas oportunidades laborales las mujeres ingenieras? Algunas mujeres, ya sea por los estereotipos de la época o por razones diversas, renunciaron a su vocación de ingeniera para estudiar carreras “mas de chicas”, tipo Derecho o Empresariales. En mi caso: “Comencé estudiando LADE porque me convencieron de que la ingeniería en informática era muy difícil, según algunos de mis profesores. Poco después decidí aceptar mi vocación, superar mis miedos y tras juntarme en la universidad con un grupo de ingenieros (todos chicos) con los que compartía pasión y horas de estudio e investigación, decidí reorientarme hacia la informática y comunicaciones”. Según un estudio de la OEI (Organización de Estados Iberoamericanos para la Educación, la Ciencia y la Cultura), las mujeres representan solo el 13% de los estudiantes en carreras STEM o ingenierías. En la actualidad, las ingenierías son carreras con muchas salidas laborales y muy demandadas. Son consideradas difíciles y con un alto grado de competitividad y este pensamiento es el que ha limitado en muchos casos, así como otros estigmas sociales y culturales, que las mujeres elijan a estas carreras. Hay que concienciar a la sociedad de la importancia de las ingenierías, carreras técnicas que proporcionan una formación extraordinaria y aportan la base necesaria para enfrentarse a los distintos retos profesionales y desarrollarse en diversos campos. En 2019 y según indica a través de sus datos estadísticos Eurostat, el 41,1% del empleo total del sector de ciencia e ingeniería en la Unión Europea correspondía a mujeres. También reseñaban que en España el 49,3% correspondía al total nacional de mujeres dedicadas a la ciencia y la ingeniería. Habrá que comprobar una vez se dispongan de datos mas actuales si esta tendencia se mantiene o mejora. Donde existen mayores brechas entre hombres y mujeres es en las condiciones laborales, salariales y en los ascensos a puestos de mayor responsabilidad propios de áreas de ingeniería. Estas brechas se acentúan en países subdesarrollados o en vías de desarrollo. Ensamblando y avanzando en el camino de la ingeniería El camino consiste en ensamblar, con todas las herramientas de las que se dispone hoy en día, las piezas o claves necesarias para alcanzar esa situación en la que mujeres y hombres dispongan de esa paridad de género plena en el ámbito de la ingeniería, en todos los aspectos (accesos a estudios, condiciones laborales y salariales, igualdad de condiciones para ascensos, mismo trato y condición, etc.). Es la sociedad quien debe involucrarse en ese camino, en ese cambio de paradigma que permita alcanzar esa igualdad en todos los ámbitos de las ingenierías: accesos a las carreras, a los puestos de trabajo, disponer de las mismas condiciones laborales y salariales ambos sexos e incentivar acciones de reconocimiento a esas mujeres ingeniero olvidadas por la historia, que tanto hicieron y aportaron y que pueden servir de inspiración a las jóvenes. Los estados y la sociedad en general deben participar proactivamente en todas las acciones en materia de accesos a carreras y estudios STEM, especialmente en niñas y adolescentes, que es donde se presenta la gran desigualdad de géneros. El ingenio, la curiosidad, la constancia y la pasión son los engranajes necesarios para dedicarse a una carrera y profesión que, para quien la profesa y se aventure en ella, no hay fronteras, sólo hay tecnología, ingenio, resolución de problemas y todo un abanico de necesidades y posibilidades que mejorar o crear. La ciencia de la ingeniería es la responsable del estado de bienestar que actualmente se disfruta. Los avances y la ruptura de los limites en el campo de la ingeniería han supuesto mejoras sustanciales en el estado de bienestar, tanto en hogares como en el transporte, comunicaciones, por mencionar algunos campos. Sin duda, la tuerca o engranaje más importante para dedicarse al mundo de la ingeniería es el ingenio. Las ingenierías proporcionan las herramientas y conocimientos que, de mano del ingenio de cada ser humano, permiten crear, mejorar y construir cosas inimaginables. ¿Quién se anima?

Actualmente, existe mucha confusión respecto a los términos de cifrado, codificación, criptografía, hashing y técnicas de ofuscación. Estos términos están relacionados con la seguridad informática, concretamente con la confidencialidad y la integridad de los datos o información, excepto en el caso de la codificación y ofuscación. Dada la alta importancia que tienen los datos e información, siendo estos considerados como elementos clave en los sistemas de información, conviene conocer con que mecanismos se cuentan de cara a protegerlos y en qué casos se debe emplear uno u otro. La criptografía, metodología enfocada a la seguridad en sistemas de información La criptografía forma parte del campo de la criptología, ciencia que está compuesta por campos como el criptoanálisis y la esteganografía. La criptografía se enfoca en el estudio de los métodos empleados con el fin de que un mensaje o información no pueda ser leída por un tercero sin autorización, es decir, garantizar la confidencialidad de la información. También se emplea para prevenir accesos y usos no autorizados de recursos de red, sistemas de información, etc. La criptografía es una metodología cuyo objetivo es proporcionar seguridad en los sistemas de información y las redes telemáticas, incluyendo entre muchas de sus funciones la identificación de entidades, mecanismos de autenticación y de control de acceso a recursos, la confidencialidad e integridad de los mensajes transmitidos y su no repudio. Codificación de mensajes La codificación es un proceso de transformación de datos a un formato diferente al original. Para ello, se emplea un método público, disponible para cualquier persona y en la mayoría de los casos, empleando un formato estándar usado de manera amplia. Un ejemplo, es el Código Estándar Americano Para El Intercambio De Información, conocido como ASCII. En este estándar se convierten los caracteres alfabéticos y caracteres especiales en números. Esos números se conocen como el “código”. La codificación no se emplea para fines de seguridad, ya que únicamente transforma la presentación de los datos de un formato a otro, sin emplearse ninguna clave en ese proceso, y empleando el mismo método o algoritmo para codificar y decodificar los datos o esa información. Este proceso nació como respuesta a la necesidad de transmitir la información a través de internet mediante estándares que permitieran la interpretación de los datos o información por parte de diferentes entornos, programas y otros elementos. Ejemplos de codificación son el empleo de las tablas ASCII, UNICODE, MORSE, Base64 y URLEncoding. Empleando funciones matemáticas; hash La función de hash es el proceso criptográfico por el cual se obtiene una cadena de caracteres única, a través de una función matemática. Esa función matemática o hash se encuentra en el núcleo del algoritmo, el cual es capaz de transformar cualquier bloque arbitrario de datos en una cadena de caracteres con una longitud fija. La longitud de la cadena de caracteres resultante siempre tendrá el mismo tamaño, independientemente de la longitud de los datos de entrada, siempre y cuando se emplee el mismo algoritmo hash. Ejemplos de funciones de hash son MD5, SHA1, SHA-256, etc. En la siguiente imagen se puede entender cómo, dependiendo del input o entrada, y de acuerdo con el algoritmo hash aplicado (en este ejemplo SHA1), el digest o salida será de un modo u otro. Si, por ejemplo, empleáramos SHA-256, en todos los casos anteriores, el output sería de una extensión fija, en cualquier caso, e independientemente de la longitud del input, de 256 bits y 64 caracteres, aunque los digest serian totalmente distintos. Para considerar que una función hash es segura, deberá cumplir estas 3 propiedades: Resistencia a la colisión: Debe ser inviable que, frente a 2 inputs distintos, cualesquiera, se produzcan un mismo hash como output. Resistencia a preimagen: Debe cumplir que sea improbable o que haya muy baja probabilidad de "revertir" la función hash (encontrar el input a partir de un output determinado). Resistencia a la segunda preimagen: Inviable encontrar una colisión, es decir, no puede existir un mismo hash para distintos inputs. Las funciones hash pueden emplearse en múltiples casos de uso, siendo estos algunos ejemplos: Búsquedas concretas de información en bases de datos de gran tamaño. Análisis de grandes archivos y gestión de datos. En la autenticación de mensajes, firmas digitales y certificados SSL/TLS. En el proceso de minado, generación de nuevas direcciones y claves de Bitcoins. Que es el cifrado de datos El cifrado de datos es el proceso de convertir un texto o datos en formato legible, en un texto o datos ilegibles, conocido como output cifrado. El cifrado está basado en la aplicación de un algoritmo que usa una clave o llave maestra que permite la transformación de la estructura y composición de la información que se busca proteger, de tal modo que, si esta información es interceptada por un tercero, no podría interpretarla o entenderla, es decir, es ilegible. Foto: Maxim Zhgulev / Unsplash Cuando los datos se han cifrado, solo quienes tienen la clave que permite el descifrado, podrán llevar a cabo esa acción, permitiendo el acceso a los datos en un formato legible. Por tanto, este mecanismo tiene un enfoque principalmente hacia la protección de la confidencialidad. El uso de claves criptográficas complejas otorga mayor seguridad a ese cifrado, dificultando los ciberataques sobre ellas, ya sean de fuerza bruta o de otro tipo. Los 2 métodos de cifrado más comunes son el cifrado simétrico y el cifrado asimétrico. Los nombres hacen referencia a si se utiliza o no la misma clave para el cifrado y el descifrado: Claves de cifrado simétrico: Conocido también como cifrado de clave única. Su característica principal es el empleo de la misma clave tanto para cifrar como para descifrar, siendo este proceso más cómodo para los usuarios y sistemas cerrados. Por otro lado, todas las partes interesadas deben de disponer de esa clave y su distribución se debe hacer por mecanismos seguros. Esto aumenta el riesgo de que pueda verse comprometida si la intercepta un tercero como un ciberdelincuente, a no ser que esta se cifre con una clave asimétrica, que suele ser la práctica habitual. Este método es más rápido que el método asimétrico. Claves de cifrado asimétrico: en este tipo de cifrado, se utilizan 2 claves diferentes (pública y privada) vinculadas entre sí matemáticamente. Las claves son básicamente números extensos vinculados entre sí, pero no son idénticos; de ahí el término "asimétrico". El propietario mantiene en secreto la clave privada, mientras que la clave pública se comparte entre los receptores autorizados o queda disponible al público general. El proceso de cifrado se lleva, por tanto, a través de la clave publica, y el de descifrado, con la clave privada del receptor. El cifrado se emplea en muchos casos, siendo los siguientes algunos de ellos: Cifrado de las comunicaciones por voz. Cifrado de datos bancarios y de tarjetas de crédito. Cifrado de bases de datos. Firmas digitales, para verificación de la autenticidad del origen de la información. La ofuscación El propósito de la ofuscación es hacer que algo sea más difícil de entender, generalmente con el propósito de hacerlo más difícil de atacar o copiar. Foto: Markus Spiske / Unsplash Comúnmente, se emplea este mecanismo para la ofuscación del código fuente de una aplicación con el fin de que sea más difícil replicar un producto o función determinada. Este mecanismo no es un control de seguridad fuerte, pero si un obstáculo de cara a hacer que algo sea más ilegible, ayudando a dificultar la aplicación de ingeniería inversa. Al igual que la codificación, a menudo es reversible empleando la misma técnica que se empleó en la ofuscación. Otras veces es simplemente un proceso manual que llevo algo de tiempo. Algunas aplicaciones que ayudan a este proceso, aunque se recomienda siempre realizarlo manualmente, son JavaScript Obfuscator, y ProGuard. Imagen de apertura: Pexels / ThisIsEngineering.

Los IDS (Intrusion Detection System), IPS (Intrusion Prevention System) y las soluciones SIEM son elementos fundamentales en la monitorización de eventos y en la ciberseguridad. Los IDS e IPS son sistemas de detección y prevención de intrusiones en los que se emplea un conjunto de métodos y técnicas que permiten revelar actividades consideradas como maliciosas sobre uno o más recursos informáticos, y en el caso de los IPS, toman acciones cuando se detecta esa posible actividad maliciosa. Los IDS responden a la actividad maliciosa generando alarmas. Estas actividades maliciosas son detectadas mediante comparativa de patrones de firma, aunque depende de una manera más concreta de la clase de IDS. Los IPS analizan el tráfico de red en tiempo real y previenen los ataques llevando a cabo acciones de acuerdo con su configuración y tecnología. A diferencia de los cortafuegos, los IDS e IPS analizan los paquetes de datos de manera completa, tanto los encabezados como la carga útil, buscando eventos conocidos. Los SIEM son soluciones híbridas que recogen una parte SIM (Security Information Management) y una parte SEM (Security Event Manager). Esta tecnología confiere la capacidad de analizar en tiempo real las alertas de seguridad (previamente configuradas) de lo que acontece en la red o sistemas. Los IDS, detectando intrusos Estos sistemas tienen por objetivo detectar y monitorizar eventos que suceden en la red. Esto ayuda a entender los ataques, a mejorar la protección y a estimar el impacto de estos. Para detectar intrusiones en un sistema, los IDS utilizan 3 tipos de información: un histórico de eventos, la configuración actual del sistema y, finalmente, procesos activos del sistema o reglas. Estos elementos realizan 2 funciones principalmente: Prevención, mediante sensores o sondas instalados en equipos o elementos de información que permiten “escuchar” el tráfico de la red. Generación y notificación de alarmas, ante lo que identifica como un patrón de comportamiento de intrusión o actividad maliciosa en la red. Existen diversas clases y tipologías, dependiendo de varios factores tales como el enfoque, el origen de los datos, la estructura del propio IDS o del comportamiento. Dentro de los IDS de enfoque se establecen 3 categorías. Los de detección de anomalías, que emplean técnicas fundamentadas en el conocimiento y en métodos estadísticos, así como en sistemas de aprendizaje automatizado. Los de detección de usos o de firma, están centrados en la monitorización de las actividades en una red y la comparación de usos y firmas con su propia base de datos de firmas de ataques. Los híbridos, considerados los más fiables, combinan las dos anteriores tipologías, es decir, tanto la detección de anomalías como por detección de firma. De acuerdo con el origen de datos, se establecen las siguientes clases: Los HIDS (Host-based Intrusion Detection Systems), basados en la monitorización de los datos y eventos que generan los usuarios, a través de ‘syslog’ en la mayoría de los casos e identificando las amenazas a nivel de host. Los NIDS (Network Intrusion Detection Systems), instalados en dispositivos en modo promiscuo y dedicados a escuchar y monitorizar de manera pasiva aquello que sucede en la red, actuando como un sniffer, pero con capacidad de generación de alarmas. Los híbridos, que son la combinación entre HIDS y NIDS, tomando lo mejor de cada tipo. Permiten detección local de actividad maliciosa en los sistemas, sensores en cada segmento de red y aprovecha ambas arquitecturas. Por otro lado, de acuerdo con la estructura del IDS estos pueden ser centralizados, con sensores que envían la información a un sistema central o distribuidos. Estos segundos están basados en la instalación de sistemas distribuidos haciendo uso de nodos que recogen los eventos y posteriormente lo comunican a un nodo central. Los IPS: la mejor defensa es un ataque En muchas ocasiones, se asocia el comportamiento de los IPS al comportamiento de los cortafuegos, pero su grado de complejidad y completitud es superior. Estos elementos analizan el contenido completo de los paquetes, tanto el encabezado como la carga útil, en busca de actividad maliciosa y cuando se detecta, se procede según este configurado el elemento, bien generando una alarma, descartando paquetes o desconectando conexiones. Sus principales características son: Reacción automatizada ante incidentes a través de análisis en tiempo real. Aplicación de filtros conforme detecta ataques en progreso. Bloqueo automático frente a ataques efectuados en tiempo real. Disminución de falsas alarmas de ataques a la red. Capacidad de detección de aplicaciones e implementación de políticas de seguridad de red en la capa de aplicación. Existen varias clases de acuerdo con la tecnología: Los HIPS (Host Intrusion Prevention System) son aquellos cuyo objetivo es la protección de posibles ataques contra los hosts, a través de las direcciones IP. Los NIPS (Network Intrusion Prevention System), centrados en la monitorización de la red en busca de tráfico sospechoso. Por otro lado, y de manera más específica, los WIPS (Wireless Intrusion Prevention System) están dedicados a las redes inalámbricas, con las mismas funciones que un NIPS, pero para entorno inalámbrico. Y los NBA (Network Behavior Analysis), basados en el comportamiento de la red, de cara a analizar tráfico inusual. Diferencias entre IDS, IPS y cortafuegos de nueva generación (NGFW) Los IDS e IPS tienen en común que analizan los paquetes de manera completa, no únicamente las cabeceras. Esto no sucede en el caso de los cortafuegos, que analizan únicamente los encabezados o cabeceras de los paquetes. La respuesta que lleva a cabo un cortafuegos se basa en la aplicación de un conjunto de reglas configuradas, siempre dependiendo de la fuente, direcciones de destino y puertos. Los cortafuegos pueden denegar cualquier tráfico que no cumpla con los criterios específicos, aun siendo tráfico legítimo y no malicioso. Por otro lado, cuando un IPS detecta actividad maliciosa tras el análisis de paquetes, puede lanzar una alarma, descartar paquetes o desconectar conexiones, según tenga configurada una acción u otra para ese evento. Los IDS al detectar actividad maliciosa, generan una alarma o notificación. Los cortafuegos de nueva generación (NGFW)son soluciones con capacidades superiores a los cortafuegos tradicionales. Mientras que los firewalls tradicionales detectan el tráfico sospechoso y bloquean el acceso a la red según una lista negra predefinida o según las reglas que tengan establecidas, los NGFW incluyen funciones adicionales como la prevención de intrusiones y la inspección profunda de paquetes, así como el bloqueo o gestión de aplicaciones. Los SIEMs, soluciones de monitorización Estas soluciones disponen de múltiples capacidades de recopilación, análisis y presentación de la información que recogen, principalmente de los dispositivos de seguridad (cortafuegos, sensores, IDS, IPS, etc.) como del tráfico de red (servidores, bases de datos, etc.). Suelen ser la principal herramienta utilizada en los SOC (Security Operations Center) para la detección y respuesta a incidentes. Las principales capacidades de un SIEM son: Correlación y alerta: procesamiento de los datos recibidos para transformar dichos datos en información, así como análisis tras la correlación, generando avisos de seguridad. Integración de fuentes y múltiples datos: Permite recibir y administrar la información que se recibe de las fuentes. Cuadros de mando: Poseen entornos que permiten la generación de cuadros de mando con la información representada en tablas y graficas. Almacenamiento y retención: Algunos disponen de capacidad de almacenamiento de datos a largo plazo, esencial para el análisis forense. Escalabilidad: Pueden ser configurados mediante jerarquías que permitan aumentar o disminuir recursos y elementos en función de las necesidades del momento. Las principales ventajas que supone disponer de un SIEM son: Detección temprana de incidentes, debido a que los análisis se realizan en tiempo real, disponiendo de información en todo momento y permitiendo tomar acciones rápidas y evitar un mayor impacto de estos. Capacidad de análisis forense, permitiendo identificar el origen de un incidente, como aconteció y tomar acciones de mejora y prevención de incidentes. Permite la centralización de la información, de tal modo que facilita la gestión de los elementos integrados en el SIEM. Permite identificar eventos anómalos, problemas de funcionamiento o eventos que puedan desencadenar un incidente.

Cuando se dice que hay que bastionar un servidor, el personal de ciberseguridad tiene una idea de qué se trata y en qué consiste. Pero ¿y qué hay de la seguridad o securización de las personas? Los empleados son activos de las empresas y como tales, participan en el ciclo de generación de un servicio, sistema o producto. ¿Basta únicamente con bastionar los sistemas y redes, así como mejorar los procesos de productividad para estar seguros? ¿Cuál es la importancia del factor humano en la ciberseguridad? El artículo Amenazas y principales ciberataques en 2021, destaca los ataques más reseñables en 2021. Destacan tanto el ransomware como phishing, y ambos requieren, en la mayoría de los casos, especialmente el phishing, de interacción humana. De hecho, se establece que 1 de cada 5 brechas de seguridad tienen como origen un error, directo o indirecto, de un empleado, siendo en la mayoría de los casos de manera inconsciente. El cambio de contraseña, acción llevada a cabo periódicamente por los usuarios, se considera una acción tediosa y repetitiva, donde los usuarios incurren en el uso de los mismos patrones de contraseñas o el empleo de las ya utilizadas en redes públicas. Esto impide ver y entender la importancia que tienen este tipo de acciones sobre la generación de servicios o productos. El factor humano es un elemento clave de la seguridad, ya que participa en todos los procesos de funcionamiento de una organización. El factor humano en la ciberseguridad Se ha registrado grandes mejoras en aplicaciones, hardware, aplicación de IA y Big Data, formación y otras acciones en materia de seguridad. Algunas de ellas están dirigidas directamente a las personas, como es la formación y concienciación. Pero si hay cada vez mayor grado de concienciación en ciberseguridad en las empresas, ¿por qué se sigue considerando el factor humano como un eslabón débil en la ciberseguridad? El factor humano debe considerarse como elemento base de la ciberseguridad, teniendo en cuenta que las todas las acciones de ciberseguridad, de una manera u otra, requieren en algún momento de interacción humana. Tanto las acciones técnicas (bastionar un cortafuegos), como las acciones de formación en ciberseguridad (diseñar un plan formativo), como la definición de una estructura de seguridad, son diseñadas por personas. Para afrontar la problemática del error humano, algunos profesionales han diseñado métodos basados en el análisis de riesgos del factor humano. En este análisis se evalúan los distintos riesgos asociados al factor humano y sistemas, y se le da diferentes valores a cada uno de los riesgos, según la propia metodología. Según los resultados obtenidos, los responsables de seguridad podrán identificar aquellos sistemas y clases de usuarios más expuestos al riesgo o vulnerables, y tomar las decisiones y medidas que conduzcan a mitigar esos riesgos, sin que estas impacten al resto del entorno. Son este tipo de acciones y medidas las que pueden ayudar a reforzar y mejorar la relación entre la ciberseguridad y el factor humano. La seguridad forma parte de la cultura empresarial El compromiso con la seguridad ha de formar parte de la cultura empresarial y no ser un hándicap de cara a la productividad o generación de servicios. Se debe trabajar en reforzar, siempre de manera conjunta, el mensaje de que la seguridad es de todos y que esta se debe aplicar de manera conjunta y participativa. Para ello, se requiere de planes de ciberseguridad donde participen múltiples áreas, aportando su conocimiento e ideas y llevando a cabo acciones conjuntas de carácter trasversales. Para el éxito de estas iniciativas, se requiere el liderazgo de figuras relacionadas con la seguridad tales como el CISO o DPI (Direccion de protección de la información). La dirección de una empresa debe conocer de primera mano los planes de ciberseguridad y ser capaz de transmitirlo a sus empleados, siempre abogando por un compromiso global. La ciberseguridad es, cada vez más, un tema recurrente en los comités y reuniones empresariales, acercándose a la importancia que tiene la estrategia o los presupuestos. El compromiso de todos los miembros de una organización en materia de ciberseguridad ayudará a la reducción de la materialización de los ciberincidentes y, en algunos casos, a que el impacto al materializarse un ciberincidente sea menor y la recuperación sea más eficaz. Seguridad por defecto y principio base No todas las organizaciones realizan un análisis tras un ataque para saber cuál fue el error o vulnerabilidad. Eso implica que pueda repetirse el ciberataque o uno similar al desconocer las debilidades, vulnerabilidades, tanto estructurales como organizativas o técnicas. El concepto seguridad por defecto y principio base debe aplicarse a la base y estructura de una organización, a los procesos internos de la empresa, y al modo de actuar de los empleados en todo momento, debiendo buscar la implicación global de la organización. Podemos tomar como ejemplo el mundo del desarrollo, donde de manera más extendida, se establece la seguridad por defecto como un requisito casi indispensable y formando parte del diseño base del producto, desde la fase del producto mínimo viable (PMV) en adelante. Las políticas y procedimientos de seguridad son insuficientes de cara a proteger una organización, especialmente si estos son desconocidos o no se aplican por los empleados. Son las acciones de los usuarios, ya sea aplicando medidas técnicas como formándose o llevando acciones de seguridad, las que protegen a las organizaciones. Se trata de eliminar el estigma de que la seguridad por defecto dificulta o impide los procesos internos y las funciones laborales en general. Sin embargo, tampoco se puede descartar, como una de las causas principales de cara a aplicar las medidas de seguridad por defecto, la falta de capacitación o la falta de personal cualificado en seguridad informática. Esto supone un hándicap para las empresas que requieren de personal cualificado y con las aptitudes necesarias para desempeñar funciones de seguridad. El cortafuegos humano es la concienciación y capacitación No existe una fórmula magistral que permita reforzar plenamente el factor humano y que impida que sea el eslabón débil de la ciberseguridad. Iniciativas para incentivar la formación en ciberseguridad, concienciación, ejercicios red team-blue team, campañas de phishing y reforzar las capacitaciones, son acciones que ayudarán en la ciberseguridad corporativa pero no impedirán los ciberataques y en algunos casos, no serán suficientes para mitigarlos o contenerlos. No obstante, el mejor cortafuegos humanos es la inversión y acciones de concienciación y capacitación. Actualmente, existen muchos tipos de formación, capacitación, iniciativas, pero se recomienda innovar con el fin de captar la atención del usuario, por ejemplo, a través de acciones tipo “gamificación”, que fomentan la participación e interacción del propio usuario. Otro tipo de iniciativa de concienciación en ciberseguridad que podría puede resultar más estimulante acciones tipo recompensa y reconocimiento a aquellos empleados que participen en la detección de vulnerabilidades, fallos de seguridad, a tanto a nivel técnico como de gestión frente a mandar continuamente píldoras de concienciación poco motivadoras y escasamente visuales. Las iniciativas en materia de concienciación y capacitación son tratados como temas importantes en las grandes corporaciones y se les dedica gran parte del presupuesto, pero sigue siendo una asignatura pendiente en medianas y pequeñas empresas. Según el informe Digital Trust Insights 2021 de PwC, el 55% de las empresas participantes en el estudio aumentó su presupuesto en ciberseguridad durante el 2021. La capacitación es un punto clave a considerar en materia de ciberseguridad. Esta no debe focalizarse en el desarrollo y mejora de las hardskills sino que también se deben valorar e incentivar el desarrollo de las softskills en todo el personal. La mejor arma contra los ciberdelincuentes la inversión en la concienciación y la capacitación del factor humano, elemento clave de las empresas.