Conceptos Clave en Ciberseguridad Defensiva - Fundamentos y Estrategias
🔐 1. Principios Básicos de Seguridad
| Concepto |
Descripción |
| Confidencialidad |
Proteger la información para que solo personas autorizadas accedan a ella. |
| Integridad |
Asegurar que los datos no sean modificados sin autorización. |
| Disponibilidad |
Garantizar que los sistemas estén operativos cuando se necesiten. |
| No repudio |
Asegura que una acción o transacción no pueda ser negada por su autor (ej. registros firmados). |
🛡️ 2. Capas de Defensa (Defensa en Profundidad)
| Concepto |
Descripción |
| Defensa en profundidad |
Uso de múltiples capas de seguridad para proteger activos. Ej: firewall, antivirus, EDR. |
| Zero Trust |
Modelo en el que nada ni nadie se considera confiable por defecto, incluso dentro de la red. |
| Perímetro de seguridad |
Frontera entre una red interna segura y el mundo exterior (internet). Cada vez menos relevante con entornos modernos. |
| Segmentación de red |
Dividir la red en zonas para limitar el alcance de ataques. |
| Seguridad por oscuridad |
Ocultar información del entorno, no como medida principal sino complementaria. |
🔍 3. Detección y Monitoreo
| Concepto |
Descripción |
| SIEM (Security Information and Event Management) |
Plataforma que recolecta y correlaciona eventos de seguridad para detectar amenazas. |
| IDS / IPS |
Sistemas de detección o prevención de intrusiones. |
| EDR / XDR |
Tecnologías que permiten detección y respuesta en endpoints o de forma extendida (red, nube, etc.). |
| Alerting y Logging |
Registro de eventos y generación de alertas ante comportamientos sospechosos. |
🆚 3.1 Diferencias entre Antivirus y EDR
| Característica |
🛡️ Antivirus Tradicional |
🧠 EDR (Endpoint Detection & Response) |
| Enfoque |
Protección preventiva básica. |
Detección, monitoreo y respuesta avanzada. |
| Modo de detección |
Comparación con firmas conocidas. |
Análisis de comportamiento y contexto. |
| Respuesta automática |
🚫 Bloquea o elimina de inmediato. |
👀 Permite observar, investigar y luego actuar. |
| Registro de eventos |
Mínimo o inexistente. |
Detallado, útil para análisis forense. |
| Visibilidad |
Limitada. |
Amplia, incluso sin amenazas activas. |
| Capacidad de análisis |
Básica. |
Completa (reconstrucción del ataque, lateralidad, etc.). |
| Ideal para... |
Usuarios individuales, PCs domésticos. |
Empresas, entornos críticos, SOCs. |
💡 El antivirus actúa como un “portero automático” que bloquea sin preguntar. El EDR es como un “investigador silencioso” que observa antes de intervenir.
🔧 4. Protección y Control
| Concepto |
Descripción |
| Firewall |
Filtro que controla el tráfico de red entrante/saliente según reglas definidas. |
| Antivirus / Antimalware |
Protección contra software malicioso. |
| Control de acceso |
Políticas que definen quién puede acceder a qué recursos. |
| Parches y actualizaciones |
Corregir vulnerabilidades del software de forma regular. |
🧑💻 5. Gestión de Identidades y Autenticación
| Concepto |
Descripción |
| MFA (Autenticación multifactor) |
Requiere más de un método para verificar identidad. |
| IAM (Identity and Access Management) |
Gestión de usuarios, roles, y accesos. |
| Principio de menor privilegio |
Dar a cada usuario solo los permisos estrictamente necesarios. |
| SSO (Inicio de sesión único) |
Permite acceder a múltiples servicios con una sola autenticación. |
| Rotación de contraseñas/credenciales |
Cambio periódico de contraseñas para reducir el riesgo en caso de filtración. |
🔄 6. Respuesta y Recuperación
| Concepto |
Descripción |
| IRP (Incident Response Plan) |
Plan de respuesta ante incidentes de seguridad. |
| Backup y recuperación |
Copias de seguridad periódicas y planes para restaurar datos. |
| Contención |
Acciones para aislar una amenaza y evitar su propagación. |
📚 7. Gobierno y Cumplimiento
| Concepto |
Descripción |
| Políticas de seguridad |
Normas internas que rigen el uso seguro de sistemas y datos. |
| Cumplimiento (compliance) |
Alinearse con normativas como ISO 27001, GDPR, NIST, etc. |
| Auditoría |
Revisión sistemática de controles y cumplimiento. |
| Análisis post mortem |
Revisión técnica y estratégica después de un incidente. |
| Lecciones aprendidas |
Documentar qué falló, qué funcionó y qué mejorar. |
| Concepto |
Descripción |
| Concienciación del usuario |
Formación para evitar errores humanos (como caer en phishing). |
| Simulacros de ataque |
Ejercicios como pentests o red team vs. blue team para medir defensas. |
🧱 9. Modelos y Frameworks Relevantes
| Modelo / Framework |
Descripción |
| CIA Triad |
Modelo clásico: Confidencialidad, Integridad, Disponibilidad. |
| NIST Cybersecurity Framework |
Marco de referencia para gestionar riesgos cibernéticos. |
| MITRE ATT&CK |
Base de datos de técnicas utilizadas por atacantes reales. |
📘 10. Glosario Rápido
- Threat: Amenaza potencial.
- Vulnerability: Debilidad que puede ser explotada.
- Exploit: Herramienta o técnica para aprovechar una vulnerabilidad.
- Patch: Actualización que corrige vulnerabilidades.