💻🎙️Conceptos generales de seguridad informática y ciberseguridad 🎙️💻

•  Explique mínimo diez conceptos generales de seguridad informática y ciberseguridad.

1. Confidencialidad, integridad y disponibilidad: 

Entre la confidencialidad, integridad y disponibilidad se encuentran entre los tres principios de la base de toda política de seguridad informática, para saber un poco a detalle de cada uno de ellos lo indicaremos a continuación: Confidencialidad: Es toda aquella información que solo puede acceder el personal autorizado y que solo pueda ser visualizada por el personal con los permisos asignados. Integridad: La integridad garantiza que los datos ya existentes no sean modificados sin previa autorización del personal. Disponibilidad: Se destaca en tener la información disponible en todo momento que sea requerida y que sea accesible a estos datos. Si en algún momento alguno de estos puntos llega a tener alguna falla el sistema automáticamente se encuentra en riesgo de seguridad. (Instituto Profesional Providencia, 2024).

 

               2. Malware:

El malware es un termino general para todo software malicioso y dentro de estas categorías se encuentran: Virus, spyware y ransomware, a continuación daremos una característica de cada uno de ellos, Virus: Se identifica por ser propagado para infectar archivos del sistema y afectando el rendimiento del equipo, Spyware: Es un espía de todo lo que tu haces, lo que te hace ser vulnerable a lo que haces día a día, Ransomware: Es destacado por cifrar la información del sistema y en cambio de ello solicitan un rescate de estos datos, esto con el fin de afectar a empresas o personas, entre ellos se encuentran mas tipos de amenazas, como troyanos, entre otros, así colocando en riesgo la seguridad informática. (Instituto Profesional Providencia, 2024).

               3. Phishing y técnicas de ingeniería social: 

Son uno de los ataques mas comunes, el phishing se basa en un correo electrónico que es engañoso pareciendo real pero es falso, al acceder al correo electrónico podrías entregar tus contraseñas o datos personales, esto afectando la seguridad de los datos. Se trata de una serie de de técnicas de manipulación en las que un cibercriminal busca instalar malware, acceder a información confidencial, robar dinero o incluso suplantar una identidad.(Instituto Profesional Providencia, 2024) (Banco Pichincha, 2021).

               4. Firewall y sistemas de detección de intrusos: 

 El firewall tiene función de filtro del trafico que entra o sale de una red por medio de una barrera, los IDS/IPS son sistemas mas avanzados que ayudan a detectar y detener los comportamientos que sean sospechosos o peligrosos en tiempo real y es utilizado en la actualidad en el mundo de ciberseguridad de la mayoría de empresas. (Instituto Profesional Providencia, 2024).

               5. Autenticación multifactor: 

En la actualidad ya no es suficiente con una contraseña, para ello se crea la autenticación multifactor que combina al menos dos elementos así dando mas seguridad a este tipo de contraseñas que dan acceso a datos personales y/o confidenciales, entre esta autenticación se encuentra por medio de los celulares utilizando un token de seguridad o por medio biométrico como lo es el rostro o la huella, así brindando una mayor seguridad informática y haciendo mas difícil que alguien acceda a cuentas. (Instituto Profesional Providencia, 2024).

               6. Criptografía básica: 

Esta criptografía es el arte de proteger la información por medio de códigos, en la actualidad es utilizado en WhatsApp, en las entidades bancarias, en correos electrónicos, entre otros. Todo lo que este relacionado con cifrado depende de conceptos criptográficos. (Instituto Profesional Providencia, 2024).

               7. Seguridad en redes: 

El mundo de la seguridad en redes es muy amplio, ya que tiene que ver con como se protegen las conexiones entre dispositivos, entre ellos se incluyen claves Wi-Fi, la segmentación de las redes, protocolos de seguridad como HTTPS y mas, todo esto brinda una mayor seguridad a la hora de navegar en la red, ya que es un aspecto bastante vulnerable como lo es el internet. (Instituto Profesional Providencia, 2024).

               8. Gestión de vulnerabilidades: 

La gestión de vulnerabilidades significa analizar, detectar y corregir debilidades en un sistema, ningún sistema es perfecto y esta expuesto a vulnerabilidades de seguridad, pero entre mas rápido se actué ante un problema, menos daño podría haber y así mitigar una perdida de datos valiosos o información sensible. (Instituto Profesional Providencia, 2024).

               9. Pen testing (Test de penetración): 

El pen testing son pruebas que se realizan hacia un software para comprobar su seguridad, que consiste en atacar a un sistema y ver que tan vulnerable es, también sirve para mejorar la seguridad antes de que lo haga un atacante real, así siendo un sistema seguro y dar cumplimiento a estándares de seguridad legalmente. (Instituto Profesional Providencia, 2024).

               10. Actualizaciones y parches de seguridad:

Es importante hacer actualizaciones constantemente de los softwares y sin dejar a un lado los parches de seguridad de los datos que ayudan a tener un respaldo de toda esta información en caso de una vulnerabilidad, cada vez que una app solicita que sea actualizada lo hace por algo, muchas veces se trata de corregir errores que podrían ser explotados por cibercriminales, a la hora de tener un software actualizado es una de las formas mas simples de protegerse ante estas vulnerabilidades. (Instituto Profesional Providencia, 2024).

 

Fuente: https://www.fii.gob.ve/la-ciberseguridad-la-seguridad-de-la-informacion-y-la-seguridad-informatica-conceptos-y-diferencias/

📚📎Bases teóricas de desarrollo de software seguro📎📚

• Explique mínimo cinco bases teóricas de desarrollo de software seguro.

1. Partir siempre de un modelo de permisos mínimos, ya que es recomendado e indispensable ir escalando privilegios por demanda de acuerdo a los perfiles establecidos en las etapas de diseño y modelos del software, ya que para llevar a cabo este desarrollo es necesario tener un despliegue grafico de como será el software y como se implementara bajo esos requerimientos. (Welivesecurity, 2014).
 

2. Si se utiliza un lenguaje que no sea compilado, es importante asegurarse de limpiar el código que se pone en producción, para que no contenga rutinas de pruebas, comentarios o cualquier tipo de mecanismo que pueda dar lugar a un acceso indebido y así implementar buenas practicas de programación sobre el proyecto para que sea de su fácil entendimiento para futuras actualizaciones y/o cambios, teniendo un software de calidad. (Welivesecurity, 2014).

3. Nunca confiar en los datos que ingresan a la aplicación, todo debe ser verificado para garantizar que lo que esta ingresando a los sistemas es lo esperado y además evitar inyecciones de código, esto con el fin de garantizar la seguridad del software y que los datos nuevos que serán implementados estén cifrados y protegidos, dando cumplimiento a los estándares de seguridad de seguridad de la información. (Welivesecurity, 2014).

4. Hacer un seguimiento de las tecnologías utilizadas para el desarrollo. Estas van evolucionando y cualquier mejora que se haga puede dejar obsoleta o inseguras versiones anteriores, para tener un software de calidad debe estar actualizado en todo momento, en la actualidad muchas tecnologías se actualizan constantemente con el fin de implementar mejoras o por defecto corregir errores que puedan presentar antes de ser actualizado. (Welivesecurity, 2014).

5. Cualquier funcionalidad, campo, botón o menú nuevo debe agregarse de acuerdo a los requerimientos de diseño. De esta forma se evita tener porciones de código que resultan siendo innecesarias y cualquier cambio que se haga debería quedar documentado, esto facilitara modificaciones futuras sobre el software y mayor comprensión del sistema. (Welivesecurity, 2014).

Fuente: https://www.tarlogic.com/es/blog/nist-desarrollo-seguro-de-software/

🔎📟Amenazas, riesgos y vulnerabilidades comunes📟🔎

•  Describa y analice las amenazas, riesgos y vulnerabilidades comunes que pueden afectar la seguridad en el desarrollo de software.

1. Amenazas:

- Malware: Un malware también se determina como un software malicioso que tiene como objetivo explotar las vulnerabilidades de un sistema informático para obtener ciertos permisos sin autorización, entre ellos se encuentran: Permitir la extracción de información, ejecutar o desinstalar programas, acceder a funciones del equipo o sistema en el que esta instalado, este tipo de amenaza es muy común encontrarlo en los sitios web que nos llenan la ventana de anuncios o cuando instalamos programas cuyo desarrollador o fuente es desconocida. (Delta Project, 2024)

- Inyección SQL: Este lenguaje de SQL es utilizado para el diseño y administración de bases de datos, para acceder a esta información almacenado en ellas, se requiere de un usuario y una contraseña en especifica y en este tipo de de ciberataque, el hacker se encarga de introducir un código SQL corrupto en una pagina web, esto con el fin de poder acceder a la información de su base de datos sin necesitar de una contraseña. (Delta Project, 2024)

- Ataques de denegación de servicios (DDoS): Los ataques DDoS conocidos como ataques de denegación de servicios consiste en enviar múltiples solicitudes a un servidor o red con el objetivo de superar la capacidad de respuesta a dichas solicitudes, así provocando un colapso de la red, desde el momento en que la red deja de funcionar se convierte en un blanco fácil para los ciberdelincuentes. (Delta Project, 2024).

Fuente: https://ceupe.com.ar/blog/cuales-son-las-principales-amenazas-de-la-seguridad-informatica/

2. Riesgos:

- Evaluación inadecuada del proyecto: A la hora de que el equipo subestima la duración de un proyecto, se obtienen estimaciones inexactas. Las estimaciones del software pueden resultar en plazos de proyectos mas largos y, en consecuencia, en mayores costos, lo que puede generar problemas entre los desarrolladores y los clientes, para evitar estos riesgos es importante documentar los hallazgos de la evaluación y las lecciones aprendidas para proyectos futuros, realizar un estudio inicial exhaustivo del proyecto para identificar objetivos y requisitos, entre otros. (eLuminous Technologies, 2024)

- Riesgos de programación y código de baja calidad: El cronograma de un proyecto de desarrollo de software puede tener un gran impacto, ya que puede provocar incumplimientos de plazos, sobrecostos y una calidad o funcionalidad del producto inferior a la esperada, las relaciones con las partes interesadas y la reputación también se verían afectadas, un código ineficiente puede generar un rendimiento deficiente, lo que puede reducir la efectividad del sistema y ofrecer experiencias de usuarios deficientes. (eLuminous Technologies, 2024).

-Riesgos operacionales: Es un termino que describe los riesgo procedimentales, que surgen durante las operaciones regulares de un proyecto debido a la implementación incorrecta de proceso o a riesgos operativos externos, estos problemas operativos podrían afectar negativamente los resultados de un proyecto, además de implementar controles de acceso y medidas de cifrado de datos para proteger la información confidencial, proporcionar capacitación y soporte continuo para desarrolladores y personal operativo. (eLuminous Technologies, 2024).

Fuente: https://www.gbtec.com/es/recursos/gestion-de-riesgos-software/

3. Vulnerabilidades: 

- Fallos de identificación y autenticación: Las funciones de autenticación y gestión de sesiones de las aplicaciones deben ser implementadas correctamente, de no hacerlo se crea una vulnerabilidad de software que agentes no confiables pueden explotar para acceder a información personal y acceso a personal no autorizado. (Perforce, 2020).

- Diseño inseguro y mala configuración de seguridad: En temas del diseño inseguro se hace referencia a riesgos relacionados con fallas de diseño que a menudo incluye falta de modelado de amenazas, arquitectura de referencia, patrones de diseño seguros y entre otros, adicional una configuración incorrecta de seguridad suelen ser el resultado de almacenamiento en la nube abierta, encabezados HTTP mal configurados, mensajes de error que contienen palabras de información confidencial. (Perforce, 2020).

- Fallas de integridad de software y datos: Las fallas de integridad de software y datos se hace referencia a suposiciones sobre actualizaciones del software, datos críticos y popelines de CI/CD sin verificar su integridad, las fallas de deserialización suelen provocar la ejecución remota de código, esto permitiendo a personal no autorizado realizar ataques de repetición, inyección y escalada de privilegios. (Perforce, 2020).

Fuente: https://latam.kaspersky.com/blog/kaspersky-lab-descubre-varias-vulnerabilidades-en-software-corporativo-ampliamente-difundido/12352/

🔌📈Realidad en aplicaciones o softwares con amenazas en seguridad📈🔌

•  Presente ejemplos reales de aplicaciones o softwares en los que la seguridad se haya visto comprometida o amenazada, explicando las consecuencias de dicha vulneración.

- Zoom: En Abril del 2020 se supo que la aplicación de reuniones virtuales Zoom había sufrido una filtración de datos que expuso las credenciales de accedo de mas de 500.000 usuarios, en otro ataque de "relleno de credenciales", los piratas informáticos parecen haber accedido a las cuentas utilizando combinaciones de nombres de usuarios y contraseñas obtenidas en filtraciones de datos anteriores, la información apareció a la venta en foros de hacking de la dark web por tan solo 1 penique, los datos comprometidos incluían credenciales de inicio de sesión, direcciones de correo electrónico, URL de reuniones personales, claves de host, Esto permitía a los delincuentes iniciar sesión y unirse a reuniones o utilizar la información recopilada para otros fines maliciosos, entre estas consecuencias se encuentran perdidas de datos confidenciales o información sensible del software, obteniendo beneficios propios o como lo es el caso de vender la información en la dark web, generando un impacto reputacional negativo hacia la aplicación Zoom. (MetaCompliance, 2020)

Fuente: https://www.welivesecurity.com/la-es/2020/07/14/zoom-lanzo-parche-que-repara-vulnerabilidad-zero-day-en-la-version-para-windows/

- Nintendo: En abril de 2020, Nintendo anuncio una violación de datos de 160.000 cuentas, el incidente de seguridad fue el resultado de un presunto ataque de relleno de credenciales, utilizando números de identificación y contraseñas de un ciberataque anterior, los hackers pudieron acceder a las cuentas de los usuarios, esto les permitió comprar artículos digitales y ver datos sensibles como el nombre, la dirección de correo electrónico, la fecha de nacimiento, el sexo y el pais, el gigante del juego ha anunciado que otras 140.000 cuentas han sido comprometidas en el ataque, con lo que el numero total de cuentas pirateadas asciende a 300.000, la empresa ha reestablecido las contraseñas de todos los clientes afectados y ha instado a los usuarios a no utilizar la misma contraseña en varias cuentas y servicios, entre estas consecuencias se encuentra perdidas reputacionales y económicas hacia la empresa, también como el incumplimiento en políticas de seguridad que deben ser implementas bajo el marco normativo, exponiendo información confidencial de clientes de Nintendo. (MetaCompliance, 2020)

Fuente: https://media.pasionmovil.com/old/2022/12/Ventajas-y-desventajas-del-Hack-en-Nintendo-Switch-e1585485957902.webp 

📋🧾Bibliografías🧾📋

• (Instituto Profesional Providencia, 2024): 10 conceptos básicos de la ciberseguridad que todo estudiante debe conocer.

https://ipp.cl/educacion/10-conceptos-clave ciberseguridad/#3_Phishing_y_tecnicas_de_ingenieria_social

•  (Banco Pichincha, 2021); 10 conceptos básicos de ciberseguridad que debes aprender.

https://www.pichincha.com/blog/conceptos-basicos-ciberseguridad

• (Welivesecurity, 2014): Los 10 principios básicos para un desarrollo seguro.

https://www.welivesecurity.com/la-es/2014/02/28/10-principios-basicos-para-desarrollo-seguro/

• (Delta Project, 2024): 7 principales amenazas de ciberseguridad para empresas y como prevenirlas.

https://www.deltaprotect.com/blog/amenazas-de-ciberseguridad 

• (eLuminous Technologies, 2024): Riesgos y soluciones en el desarrollo de software: Guía detallada 2025.

https://eluminoustechnologies.com/blog/software-development-risks/

• (Perforce, 2020): Las 10 principales vulnerabilidades del software.

https://www.perforce.com/blog/kw/common-software-vulnerabilities

•  (MetaCompliance, 2020): 5 ejemplos de brechas de seguridad en 2020.

https://www.metacompliance.com/es/blog/data-breaches/5-examples-of-security-breaches-in-2020