considera el siguiente informe para realizar otras tareas:

Seguridad de la Información en INACAP Santiago Sur

Introducción

En el vasto dominio de la seguridad de la información, se sumergirá en la intrincada red de conceptos esenciales que definen la constante lucha entre la salvaguarda y las amenazas digitales. Iniciando el análisis con la minuciosa Anatomía de un Ataque Informático, desglosando las fases que van desde la observación discreta hasta la ejecución estratégica. Posteriormente, se adentrará en la crítica Identificación de Vulnerabilidades o Ambiente Inseguro, donde serán evaluados con precisión los puntos débiles de una infraestructura digital.

La exploración se dirigirá hacia los Ataques Informáticos más Comunes, revelando las tácticas digitales que pueblan el horizonte cibernético. Los Tipos de Atacantes, sus distintas motivaciones y enfoques de los actores detrás de las acciones maliciosas. Concluyendo la travesía con una inmersión en los Mecanismos de Seguridad Activa y Pasiva, donde estrategias proactivas y preventivas convergen para erigir defensas ante las incursiones digitales.

En el Capítulo 2: Normativa ISO 27000, se explora la implementación práctica de la normativa, detallando diez controles específicos de la norma ISO 27002. Desde políticas de control de accesos hasta la planificación de la continuidad de la seguridad, cada control se presenta como una herramienta tangible para fortalecer la postura de seguridad de INACAP. Este capítulo representa un paso significativo en el compromiso de INACAP con la excelencia en ciberseguridad, donde cada control implementado con la normativa ISO 27000 contribuye a la construcción de un escudo digital impenetrable.

El en Capítulo 3: Criptografía, en el mundo de la criptografía es esencial en tener como misión la seguridad cibernética para INACAP. Se explorarán técnicas antiguas y modernas, cifrando las presentaciones del equipo con métodos como Polybios y ROT4. La criptografía no solo oculta, sino que también facilita el intercambio seguro. Cada miembro creará su par de llaves, simbolizando confianza digital. Las claves públicas, compartidas, permiten colaborar de manera segura.

Este capítulo aplica conocimientos de cifrado, convirtiendo la criptografía en aliada para salvaguardar la información de INACAP en el ciberespacio. Cada letra cifrada y cada llave generada tejen una red de seguridad hacia la excelencia en ciberseguridad.

  Capítulo 1: Orígenes y Tipos de Atacantes Anatomía de un Ataque Informático

El tejido de un ataque informático se entreteje con precisión quirúrgica, desde los primeros indicios de reconocimiento hasta la persistente amenaza que busca explotar vulnerabilidades. Esta secuencia de eventos, aunque diversa, sigue patrones generales que podemos desglosar para comprender la maquinaria subyacente.

1. Fase de Reconocimiento:

Antes de lanzar un ataque, los ciberdelincuentes emprenden una fase inicial de reconocimiento. Aquí, recopilan información sobre el objetivo, desde detalles de infraestructura hasta perfiles de empleados. Métodos como la recopilación de información pública, escaneo de red y análisis de redes sociales permiten a los atacantes crear un perfil detallado, proporcionando una base sólida para sus acciones subsiguientes.

En esta etapa, el atacante recopilará información sobre la institución, su infraestructura, sistemas y empleados. Esto podría hacerse de varias maneras, como:

• Búsqueda en línea: El atacante puede utilizar motores de búsqueda y redes sociales para obtener información sobre la institución, sus empleados y sus proveedores de servicios.

• Escaneo de Red: Puede realizar escaneos de red para identificar servidores y sistemas accesibles desde internet, identificando así puntos de entrada potenciales.

• Ingeniería Social: Utilizar tácticas de ingeniería social para obtener información confidencial de empleados, como nombres de usuario y contraseñas, a través de engaños y manipulación psicológica.

2. Escaneo:

Con la información en mano, la fase de escaneo comienza. Los atacantes exploran la superficie de ataque en busca de vulnerabilidades y puntos de entrada. Esto puede incluir escaneo de puertos, análisis de servicios activos y sondeo de sistemas en busca de debilidades específicas. Este paso crítico permite a los atacantes identificar puntos débiles que podrían ser explotados para acceder al sistema.

Una vez que el atacante haya reunido información suficiente, procederá a explorar sistemas y servicios en busca de vulnerabilidades. Esto podría incluir:

• Escaneo de Puertos y Servicios: Utilizar herramientas de escaneo para identificar servicios y puertos abiertos en los sistemas de la institución, lo que puede indicar posibles puntos de entrada.

• Vulnerabilidad y Exploit: Buscar activamente vulnerabilidades conocidas en los sistemas y aplicaciones de la institución, y utilizar exploits para comprometer sistemas.

• Phishing: Enviar correos electrónicos de phishing que contengan enlaces maliciosos o archivos adjuntos para engañar a los empleados y obtener acceso a sus cuentas.

3. Obtención de Acceso:

Una vez identificadas las vulnerabilidades, el atacante busca obtener acceso al sistema. Esto puede lograrse mediante la explotación de debilidades en software, contraseñas débiles o ingeniería social. La obtención de acceso otorga al atacante una presencia más profunda en el entorno digital, abriendo la puerta a manipulaciones más sustanciales.

Ya identificada una vulnerabilidad o haya engañado a un usuario para obtener acceso, buscará obtener un acceso más profundo y persistente:

• Elevación de Privilegios: Intentará obtener permisos elevados dentro de los sistemas comprometidos para acceder a datos sensibles o para mantener el acceso de manera persistente

• Creación de Cuentas: Puede crear cuentas adicionales con privilegios para asegurarse de que puede regresar incluso si se detecta y se elimina el acceso original.

4. Mantenimiento del Acceso (Persistencia):

La persistencia es crucial para un atacante. Después de obtener acceso, buscan mantenerlo de manera sutil y prolongada. Esto puede lograrse mediante la instalación de software malicioso persistente, backdoors o técnicas avanzadas que les permitan mantenerse ocultos y continuar sus operaciones sin ser detectados.

Una vez que haya establecido el acceso, el atacante buscará mantenerlo y avanzar hacia sus objetivos:

• Persistencia: Utilizará técnicas para asegurarse de que su acceso persista incluso después de reinicios o actualizaciones de sistemas.

• Exfiltración de Datos: Intentará robar datos confidenciales, como información personal, financieramente o de propiedad intelectual, y transferirlos a ubicaciones fuera de la institución

• Movimiento Lateral: Buscará expandir su acceso a otros sistemas dentro de la institución, moviéndose lateralmente a través de la red.

• Encubrimiento: Realizará acciones para ocultar su presencia y actividad en los sistemas comprometidos, dificultando la detección.

  5. Movimiento Lateral:

Con acceso establecido, los atacantes exploran el entorno en busca de información valiosa o activos específicos. El movimiento lateral implica la propagación dentro de la red, buscando puntos de interés y elevando sus privilegios para maximizar el impacto.

6. Recolección de Datos:

El objetivo final para muchos atacantes es la recolección de datos sensibles. Esto puede incluir información financiera, datos personales o propiedad intelectual. La sofisticación de las técnicas de extracción de datos varía, pero el resultado es la exfiltración de información valiosa que puede ser explotada o vendida en el mercado negro.

7. Acciones Maliciosas:

Una vez que los atacantes han alcanzado sus objetivos, pueden emprender acciones maliciosas. Esto podría ser desde la destrucción de datos hasta la publicación de información confidencial. Las motivaciones son diversas, desde el espionaje industrial hasta la búsqueda de notoriedad.

8. Encubrimiento y Evasión:

Para prolongar su presencia sin detección, los atacantes emplean técnicas de encubrimiento y evasión. Esto implica borrar huellas digitales, utilizar cifrado y manipular registros para dificultar la identificación y respuesta de los equipos de seguridad.

Una vez que el atacante haya alcanzado sus objetivos o sienta que está en riesgo de ser detectado, tratará de borrar evidencias de su presencia:

• Eliminación de Registros: Puede eliminar registros de acceso, eventos de seguridad y otros registros que puedan revelar su actividad.

• Desconexión Limpia: Intentará desconectar de manera limpia sin dejar rastro de actividad sospechosa.

• Ocultar Archivos Maliciosos: Eliminará u ocultará archivos y herramientas maliciosas que haya utilizado durante el ataque.

Esta secuencia detallada proporciona una base sólida para diseñar estrategias defensivas efectivas, desde fortalecer la fase de reconocimiento hasta implementar medidas para detectar y contener acciones maliciosas. La ciberseguridad se convierte así en una danza constante entre la anticipación y la adaptación.

  Identificación de Vulnerabilidades o Ambiente Inseguro

En la constante batalla por la seguridad cibernética, la Identificación de Vulnerabilidades emerge como un pilar fundamental para salvaguardar la integridad de sistemas y redes. Este proceso estratégico implica una evaluación exhaustiva de la infraestructura digital, con el objetivo de detectar y mitigar cualquier debilidad que pudiera ser explotada por actores malintencionados.

Evaluación de la Infraestructura:

La primera fase de la Identificación de Vulnerabilidades implica una evaluación minuciosa de la infraestructura digital. Esto abarca desde la arquitectura de red hasta la configuración de servidores y aplicaciones. Se lleva a cabo un análisis detallado de cada componente, buscando posibles puntos de vulnerabilidad que podrían ser aprovechados por un atacante.

Análisis de Configuraciones:

Las configuraciones incorrectas o inseguras representan una fuente significativa de vulnerabilidades. Durante esta etapa, se examinan detenidamente las configuraciones de sistemas operativos, bases de datos, firewalls y demás componentes críticos. La meta es identificar cualquier ajuste que pueda exponer inadvertidamente el sistema a riesgos de seguridad.

Escaneo Activo y Pasivo:

Se emplean técnicas de escaneo tanto activo como pasivo para identificar activos y evaluar la seguridad de la red. El escaneo activo involucra el envío de paquetes de datos para sondear la red en busca de servicios y puertos abiertos, mientras que el escaneo pasivo se centra en la observación del tráfico sin interactuar directamente. Ambos métodos proporcionan una visión holística del panorama de seguridad.

Pruebas de Penetración:

Las pruebas de penetración, o pentesting, constituyen una estrategia crucial dentro de la identificación de vulnerabilidades. Expertos en seguridad simulan ataques controlados para evaluar la resistencia del sistema. Este enfoque práctico permite identificar debilidades en tiempo real y validar la efectividad de las medidas de seguridad existentes.

Evaluación de Aplicaciones:

Las aplicaciones, tanto internas como externas, representan puntos críticos de exposición. Durante esta fase, se realiza una evaluación exhaustiva de las aplicaciones en busca de posibles fallos de seguridad, como vulnerabilidades de inyección de código, problemas de autenticación y configuraciones incorrectas.

Auditorías de Seguridad:

Las auditorías de seguridad ofrecen una revisión completa de las políticas y procedimientos de seguridad. Se examinan las prácticas de gestión de contraseñas, la implementación de políticas de acceso y otras medidas administrativas para identificar posibles brechas en la defensa.

Análisis de Datos Históricos:

Examinar datos históricos de incidentes de seguridad proporciona perspectivas valiosas sobre vulnerabilidades pasadas y áreas que podrían requerir una atención adicional. El aprendizaje de lecciones del pasado es esencial para fortalecer las defensas futuras.

Priorización de Vulnerabilidades:

Una vez identificadas las vulnerabilidades, se priorizan según su nivel de riesgo y el impacto potencial en el negocio. Esto permite a los equipos de seguridad enfocarse en abordar primero las amenazas más críticas, maximizando así el uso de recursos.

Gestión de Parches:

La gestión de parches se erige como un componente esencial en la identificación de vulnerabilidades. Se implementa un proceso meticuloso para mantener el software y los sistemas actualizados, asegurando que las vulnerabilidades conocidas sean abordadas con prontitud. La demora en la aplicación de parches podría dejar brechas abiertas para ataques oportunistas.

Análisis de Amenazas Emergentes:

En un paisaje digital dinámico, la identificación de vulnerabilidades debe adaptarse constantemente. Se realiza un análisis continuo de amenazas emergentes y tendencias en ciberseguridad para anticipar posibles vectores de ataque. Este enfoque proactivo permite ajustar las estrategias de defensa antes de que las vulnerabilidades se vean comprometidas.

Colaboración y Compartición de Información:

La colaboración entre organizaciones y la compartición de información de amenazas juegan un papel crucial en la identificación de vulnerabilidades. Las comunidades de seguridad permiten que las organizaciones aprendan de las experiencias de otras, alertando sobre nuevas tácticas de ataque y estrategias de mitigación.

  Implementación de Herramientas de Detección:

La incorporación de herramientas de detección avanzadas complementa la identificación de vulnerabilidades. Sistemas de detección de intrusiones, análisis de comportamiento y soluciones de seguridad basadas en inteligencia artificial brindan capas adicionales de protección, identificando actividades anómalas que podrían indicar un intento de explotación.

Educación y Concientización:

La educación continua y la concientización son aspectos cruciales. Los usuarios y los equipos de TI deben estar al tanto de las mejores prácticas de seguridad, desde el manejo de contraseñas hasta la identificación de correos electrónicos de phishing. Esta cultura de seguridad fortalece las defensas desde adentro, reduciendo las oportunidades para la explotación de vulnerabilidades.

Monitoreo Continuo:

Un monitoreo continuo, respaldado por herramientas de seguridad avanzadas, asegura que cualquier cambio en el entorno sea detectado de inmediato. Este enfoque proactivo es esencial para mantener la postura defensiva.

La Identificación de Vulnerabilidades, en su esencia, no solo se trata de encontrar debilidades, sino de crear un ciclo de mejora continua en la seguridad. Es un compromiso constante con la vigilancia, la adaptabilidad y la acción proactiva que fortalece la resistencia de una organización ante las amenazas cibernéticas en evolución.

Ataques Informáticos más Comunes

En el panorama digital, la constante evolución de la tecnología va de la mano con el surgimiento de ataques informáticos cada vez más sofisticados. La comprensión de los ataques más comunes es esencial para fortalecer las defensas digitales. A continuación, se explorarán algunos de los ataques informáticos más prevalentes y sus modalidades:

I. Phishing:

El phishing, una táctica de ingeniería social, persiste como uno de los ataques más antiguos y efectivos. Implica la creación de correos electrónicos, mensajes o sitios web fraudulentos que imitan a entidades legítimas para engañar a los usuarios y obtener información confidencial, como contraseñas o detalles bancarios. La sofisticación de los ataques de phishing ha evolucionado, empleando técnicas como el spear phishing, que se dirige a individuos específicos con información personalizada.

  II. Ransomware:

Los ataques de ransomware han proliferado en los últimos años, representando una amenaza seria para individuos y organizaciones. En un ataque de ransomware, el malware cifra los archivos del usuario u organización y exige un rescate para restaurar el acceso. Los métodos de entrega pueden variar, desde correos electrónicos maliciosos hasta exploits de software.

III. Ataques de Fuerza Bruta:

Los ataques de fuerza bruta buscan obtener acceso no autorizado al probar todas las combinaciones posibles de contraseñas hasta encontrar la correcta. Estos ataques pueden dirigirse a cuentas individuales o sistemas enteros y son impulsados por programas automatizados que pueden probar miles de combinaciones por segundo. La implementación de contraseñas fuertes y la autenticación de dos factores son medidas cruciales para mitigar estos ataques.

IV. Ataques de Inyección de SQL:

Los ataques de inyección de SQL buscan explotar las vulnerabilidades en las consultas SQL de las aplicaciones web. Al inyectar código SQL malicioso, los atacantes pueden manipular bases de datos y obtener acceso no autorizado a información confidencial. La sanitización adecuada de las entradas y el uso de consultas parametrizadas son estrategias para prevenir estos ataques.

V. Ataques de Man-in-the-Middle (MitM):

Los ataques MitM se producen cuando un atacante intercepta y potencialmente altera la comunicación entre dos partes. Pueden ocurrir en redes no seguras y se utilizan para robar información, como credenciales de inicio de sesión o datos sensibles. La implementación de cifrado SSL/TLS y la vigilancia de la seguridad de la red son medidas esenciales contra estos ataques.

VI. Ataques de Denegación de Servicio (DoS) y Distribuidos (DDoS):

Los ataques DoS buscan abrumar un sistema, servicio o red con tráfico malicioso para incapacitarlo. Los ataques DDoS amplifican esta amenaza al utilizar múltiples dispositivos distribuidos. Estos ataques pueden resultar en la inaccesibilidad de servicios críticos, afectando la disponibilidad de recursos en línea.

VII. Ataques Zero-Day:

Los ataques Zero-Day aprovechan vulnerabilidades recién descubiertas antes de que se implementen soluciones. Al explotar estas vulnerabilidades antes de que los desarrolladores proporcionen parches, los atacantes pueden causar daño significativo. Mantener sistemas y software actualizados, así como contar con soluciones de detección avanzada, es crucial para mitigar estos ataques.

VIII. Ataques a Dispositivos IoT:

Con el crecimiento de los dispositivos de Internet de las cosas (IoT), los ataques dirigidos a estos dispositivos se han vuelto más frecuentes. Los atacantes pueden aprovechar las debilidades de seguridad en dispositivos IoT para acceder a redes domésticas o corporativas. La implementación de configuraciones seguras y la actualización regular de firmware son esenciales para prevenir estos ataques.

IX. Ataques de Suplantación de Identidad (Spoofing):

Los ataques de suplantación de identidad buscan engañar a los usuarios haciéndoles creer que están interactuando con una entidad de confianza. Esto puede incluir el uso de direcciones de correo electrónico falsas, sitios web fraudulentos o manipulación de identificadores de llamadas. El spoofing puede llevar a acciones no deseadas, como revelar información confidencial o realizar transferencias de fondos indebidas.

X. Ataques a Aplicaciones Web:

Las aplicaciones web son a menudo blanco de diversos ataques, incluyendo la inyección de código, la manipulación de sesiones y la exposición de datos sensibles. Los atacantes buscan aprovechar vulnerabilidades en el código de la aplicación para obtener acceso no autorizado o comprometer la integridad de los datos. La realización de pruebas de seguridad regulares y la adopción de prácticas seguras de desarrollo son cruciales para mitigar estos riesgos.

XI. Ataques a Redes WiFi: La seguridad de las redes inalámbricas es esencial, ya que los ataques a redes WiFi pueden permitir a los intrusos acceder a datos transmitidos y comprometer la seguridad de la red. Técnicas como el ataque de "Man-in-the-Middle" en redes WiFi-abiertas o el uso de contraseñas débiles pueden poner en peligro la seguridad de la red inalámbrica.

XII. Ataques a Sistemas Operativos:

Los sistemas operativos son objetivos frecuentes para los atacantes, ya que comprometerlos puede proporcionar un acceso profundo al sistema. Los ataques pueden aprovechar vulnerabilidades en el sistema operativo o utilizar técnicas avanzadas, como exploits de día cero. Mantener sistemas actualizados con parches de seguridad y utilizar soluciones antivirus son prácticas esenciales para prevenir estos ataques.

  XIII. Ingeniería Social:

La ingeniería social involucra la manipulación psicológica de individuos para obtener información confidencial. Los atacantes pueden utilizar tácticas de manipulación emocional, como pretextos o falsas urgencias, para engañar a las personas y obtener acceso a información sensible. La concientización y la formación en seguridad son herramientas clave para contrarrestar los ataques de ingeniería social.

XIV. Ataques a Blockchain y Criptomonedas:

Con el auge de las criptomonedas, los ataques dirigidos a blockchain y exchanges de criptomonedas se han vuelto más frecuentes. Estos ataques pueden incluir el robo de claves privadas, manipulación de transacciones o incluso ataques a contratos inteligentes. La seguridad robusta de las carteras digitales y el uso de prácticas seguras en transacciones son esenciales en este contexto.

Comprender la variedad y la complejidad de estos ataques informáticos es crucial para desarrollar estrategias de seguridad holísticas. La adaptabilidad y la preparación para enfrentar nuevas amenazas son elementos esenciales en la lucha constante contra los actores malintencionados en el ciberespacio. La colaboración en la comunidad de ciberseguridad y la actualización constante de conocimientos son herramientas fundamentales en este esfuerzo continuo por proteger la integridad digital.

Tipos de Atacantes Las instituciones educativas superiores no están exentas de enfrentar amenazas cibernéticas, y los atacantes pueden tener diversas motivaciones que van desde el robo de información confidencial hasta el sabotaje. Aquí se describirán algunos tipos de atacantes que podrían representar una amenaza para la institución y cómo podrían llevar a cabo sus ataques:

1. Estudiantes Malintencionados:

Modo de Ataque: Los propios estudiantes, en ocasiones, pueden representar una amenaza, ya sea por razones personales o para obtener una ventaja injusta en exámenes y evaluaciones. Podrían intentar hackear sistemas para cambiar calificaciones, acceder a exámenes antes de tiempo o incluso comprometer la infraestructura tecnológica de la institución.

Motivación: Las motivaciones pueden incluir el deseo de mejorar las calificaciones, la venganza por desacuerdos con la institución, o simplemente el desafío de superar las medidas de seguridad para demostrar habilidades técnicas.   2. Hackers y Hacktivistas:

Modo de Ataque: Hacktivistas, con agendas políticas o sociales, podrían apuntar a instituciones educativas superiores para hacer declaraciones o destacar problemas que consideran injustos. Sus tácticas podrían incluir ataques DDoS para interrumpir servicios en línea, la publicación de información confidencial o la manipulación de sitios web para difundir mensajes.

Un hacker que intenta comprometer la seguridad de INACAP podría realizar una serie de acciones y ataques con el objetivo de obtener acceso no autorizado a sistemas, datos o recursos de la institución. Algunos de estos ataques que un hacker podría realizar y cómo podría llevar a cabo sus intenciones:

a) Phishing: El hacker podría enviar correos electrónicos de phishing a estudiantes, profesores o personal de INACAP. Estos correos electrónicos falsificados pueden parecer legítimos y solicitar información confidencial, como contraseñas o datos personales. Si alguien cae en la trampa y proporciona esta información, el hacker podría obtener acceso a sus cuentas.

b) Ataques de Fuerza Bruta: Si el hacker tiene como objetivo una cuenta específica o un sistema de INACAP, podría intentar ataques de fuerza bruta para adivinar contraseñas. Esto implica probar una gran cantidad de combinaciones de contraseñas hasta encontrar la correcta.

c) Explotación de Vulnerabilidades: El hacker podría buscar vulnerabilidades en el software o los sistemas de INACAP. Una vez que encuentre una vulnerabilidad, podría intentar explotarla para obtener acceso no autorizado. Esto podría incluir vulnerabilidades de seguridad conocidas o "días cero", que son vulnerabilidades recién descubiertas para las cuales aún no hay un parche disponible.

d) Ingeniería Social: El hacker podría utilizar técnicas de ingeniería social para manipular a personas dentro de INACAP y obtener información confidencial. Por ejemplo, podría hacerse pasar por un estudiante o miembro del personal en una llamada telefónica o correo electrónico para obtener acceso a sistemas o datos.

e) Ataques de Inyección: Si INACAP utiliza aplicaciones web, el hacker podría intentar ataques de inyección, como SQL injection o Cross-Site Scripting (XSS), para manipular bases de datos o ejecutar código malicioso en el lado del cliente.

f) Acceso a Redes Wi-Fi No Seguras: Si INACAP ofrece redes Wi-Fi abiertas o inseguras, el hacker podría aprovechar esto para interceptar el tráfico de red y potencialmente obtener información confidencial transmitida a través de esas redes. g) Ataques de Denegación de Servicio (DoS/DDoS): El hacker podría intentar inundar los servidores de INACAP con tráfico falso o sobrecargar los sistemas para interrumpir los servicios y hacer que los recursos estén inaccesibles temporalmente.8. Acceso Físico: En casos extremos, un hacker podría intentar obtener acceso físico a las instalaciones de INACAP para robar equipos o instalar dispositivos de espionaje.

Motivación: Los Hacktivistas/Hackers buscan influir en la opinión pública o poner de manifiesto temas que consideran importantes. Sus acciones a menudo están impulsadas por causas políticas, sociales o éticas.

a) Obtener Ventaja Académica: Algunos estudiantes pueden estar motivados por el deseo de obtener mejores calificaciones de manera fraudulenta. Intentarían cambiar sus propias notas o las de otros para obtener una ventaja académica injusta.

b) Obtener Acceso a Información Confidencial: Los hackers podrían estar interesados en acceder a información confidencial, como registros estudiantiles, datos personales o financiación de proyectos de investigación. Esta información podría utilizarse con fines de chantaje, extorsión o venta en el mercado negro.

c) Dañar la Reputación de la Institución: Algunos atacantes pueden querer perjudicar la reputación de INACAP al acceder a sistemas y datos sensibles y luego divulgar información confidencial o manipularla de manera que cause daño a la institución.

d) Motivaciones Ideológicas: Algunos hackers pueden tener motivaciones ideológicas, políticas o sociales para atacar a instituciones educativas. Podrían llevar a cabo ataques como forma de protesta o para promover sus creencias.

e) Obtener Beneficios Financieros: Los atacantes pueden buscar beneficios financieros al robar información financiera, como números de tarjetas de crédito o información bancaria de la institución o de individuos dentro de INACAP.

f) Prueba de Habilidades: Algunos hackers pueden llevar a cabo ataques simplemente como una demostración de sus habilidades técnicas y para desafiar sus límites en entornos de seguridad cibernética.

g) Vandalismo Digital: Al igual que en el mundo físico, hay individuos que realizan actos de vandalismo digital. Pueden atacar sistemas y sitios web solo por diversión o para causar caos.

h) Espionaje o Competencia Desleal: En casos menos comunes, podría haber hackers interesados en espiar a INACAP con el objetivo de obtener información competitiva o secretos comerciales.

  3. Empleados Deshonestos (Insiders):

Modo de Ataque: Los propios empleados de la institución pueden representar un riesgo, ya sea por descontento laboral, conflictos internos o incentivos económicos. Podrían aprovechar su acceso privilegiado para robar información confidencial, alterar registros académicos o sabotear sistemas.

a) Acceso no autorizado a registros estudiantiles: Un insider podría acceder a la base de datos de registros estudiantiles para ver o modificar calificaciones, información personal de estudiantes o incluso datos financieros. Esto podría llevarse a cabo si el insider tiene credenciales de acceso privilegiado, como un empleado administrativo.

b) Manipulación de notas: Si un insider tiene acceso a los sistemas de gestión académica, podría alterar las notas de los estudiantes, lo que tendría un impacto directo en sus calificaciones y logros académicos. Esto podría lograrse mediante la modificación de registros o la creación de registros falsos.

c) Robo de propiedad intelectual: Si INACAP está involucrada en proyectos de investigación o desarrollo, un insider podría robar propiedad intelectual, como investigaciones, planes de estudio o materiales de cursos. Esto podría poner en riesgo la ventaja competitiva de la institución.

d) Acceso no autorizado a sistemas críticos: Los insiders con acceso a sistemas críticos, como la infraestructura de red o sistemas de gestión, podrían deshabilitar o dañar estos sistemas, lo que resultaría en interrupciones significativas en las operaciones de la institución.

e) Revelación de información confidencial: Un insider podría filtrar información confidencial, como registros de estudiantes o datos de investigación, a terceros, lo que podría tener consecuencias graves para la privacidad y la seguridad de los afectados.

f) Creación de cuentas falsas: Para ocultar sus actividades, un insider podría crear cuentas falsas o duplicadas en el sistema y utilizarlas para llevar a cabo acciones maliciosas sin ser detectado fácilmente.

g) Suplantación de identidad: Un insider podría hacerse pasar por otro empleado o estudiante para acceder a sistemas o áreas a las que normalmente no tendría acceso.

  Motivación: Las motivaciones pueden incluir descontento laboral, la búsqueda de beneficios económicos a través de la venta de información robada, o incluso la venganza personal.

Protegerse contra estos tipos de atacantes requiere un enfoque integral que incluya la implementación de políticas de seguridad sólidas, educación sobre ciberseguridad para estudiantes y empleados, y la adopción de tecnologías avanzadas de detección y prevención. Además, la conciencia constante y la preparación para enfrentar amenazas emergentes son esenciales para mantener la integridad y seguridad de la institución educativa superior.

a) Venganza o descontento personal: Un insider podría sentirse agraviado por la institución debido a una disputa laboral, desacuerdo con políticas o decisiones internas, o problemas personales. En un acto de venganza, podrían intentar perjudicar a la institución manipulando datos, robando información o causando interrupciones.

b) Beneficio económico: Algunos insiders pueden verse motivados por el lucro personal. Podrían vender información confidencial, propiedad intelectual o datos de estudiantes a terceros, con la intención de obtener beneficios financieros.

c) Ambición o competencia académica: En un entorno académico, la competencia por reconocimiento, promoción o premios académicos puede ser intensa. Algunos insiders pueden intentar manipular notas o robar trabajos de investigación de otros para avanzar en sus propias metas académicas.

d) Ideología o activismo: En algunos casos, los insiders pueden estar motivados por creencias ideológicas o causas políticas. Podrían intentar comprometer la seguridad de la institución como una forma de protesta o para promover sus creencias.

e) Desafío personal o curiosidad: Algunos individuos pueden ver la manipulación de sistemas informáticos como un desafío técnico o una forma de demostrar su habilidad. Podrían realizar acciones maliciosas simplemente porque creen que pueden hacerlo sin ser detectados.

f) Problemas personales o presiones externas: Los insiders también pueden enfrentar presiones externas, como el chantaje, la extorsión o la coerción por parte de terceros. Estas presiones podrían llevarlos a realizar acciones maliciosas en contra de su voluntad.

  Medidas de Protección y Mitigación: Ante la diversidad de amenazas presentadas por estos tipos de atacantes, las instituciones educativas superiores deben implementar medidas de protección y mitigación efectivas. Algunas estrategias claves incluyen:

1. Concientización y Educación:  Realizar programas de concientización sobre ciberseguridad para estudiantes, profesores y personal administrativo.  Impartir entrenamientos regulares para educar a la comunidad académica sobre prácticas seguras en línea y cómo reconocer posibles amenazas.
2. Políticas de Acceso y Control:  Establecer políticas de acceso y control de privilegios para limitar el acceso a la información sensible solo a aquellos que la necesiten.  Monitorear y auditar regularmente el acceso a sistemas y datos críticos para detectar comportamientos anómalos.
3. Implementación de Tecnologías de Seguridad:  Utilizar firewalls, sistemas de detección de intrusiones y soluciones antivirus para proteger la infraestructura tecnológica.  Implementar sistemas de prevención de pérdida de datos (DLP) para evitar la filtración no autorizada de información confidencial.
4. Actualización y Parcheo:  Mantener actualizados todos los sistemas operativos, aplicaciones y software para mitigar vulnerabilidades conocidas.  Implementar políticas de parcheo proactivas para abordar rápidamente nuevas vulnerabilidades y reducir el riesgo de explotación.
5. Monitoreo Continuo:  Establecer sistemas de monitoreo continuo para detectar actividades sospechosas o inusuales en la red.  Utilizar herramientas de análisis de comportamiento para identificar patrones de actividad que podrían indicar un ataque.
6. Colaboración con la Comunidad de Seguridad:  Participar en intercambios de información de seguridad con otras instituciones educativas y organizaciones relacionadas.  Mantenerse al tanto de las amenazas emergentes y tácticas utilizadas por atacantes a nivel global.
7. Políticas de Respuesta a Incidentes:  Desarrollar y poner en práctica planes de respuesta a incidentes para abordar rápidamente cualquier amenaza o violación de seguridad.  Establecer canales de comunicación claros para informar a la comunidad académica sobre posibles amenazas y acciones correctivas.

La seguridad cibernética en instituciones educativas superiores es un desafío dinámico que requiere una combinación de tecnologías avanzadas, políticas sólidas y una cultura de seguridad arraigada en toda la comunidad. Al abordar estas medidas de manera integral, las instituciones pueden fortalecer sus defensas y mitigar el riesgo de posibles ataques.

Ejemplos de Ataques en Instituciones Educativas Superiores A continuación, se describen 3 casos de ataques que podrían ser realizados por terceros a INACAP:

1. Suplantación de Red WiFi para Obtener Credenciales: Modo de Ataque: Un atacante podría llevar a cabo un ataque de suplantación de red WiFi mediante la creación de una red inalámbrica falsa que imita la red legítima de la institución. Los usuarios, al conectarse a esta red falsa, podrían ser dirigidos a una página de inicio de sesión fraudulenta donde ingresan sus credenciales pensando que están autenticándose en la red legítima.

Objetivo: El objetivo principal es obtener las credenciales de acceso de los usuarios, incluyendo estudiantes, profesores y personal administrativo.

Medidas de Protección: • Implementar autenticación fuerte, como el uso de WPA3 para redes WiFi. • Educación continua sobre cómo identificar y verificar redes WiFi legítimas. • Monitoreo activo de la red para detectar la presencia de redes no autorizadas.

2. Software Malicioso en Laboratorios de Informática: Modo de Ataque: Un atacante podría introducir software malicioso, como malware o ransomware, en los sistemas de los laboratorios de informática de la institución. Esto podría ocurrir mediante la distribución de dispositivos USB infectados, la explotación de vulnerabilidades en el software utilizado o la manipulación de descargas en línea. Objetivo: El atacante busca comprometer la integridad de los sistemas en los laboratorios, robar información confidencial o incluso cifrar archivos para exigir un rescate.

Medidas de Protección: • Restringir la instalación de software no autorizado en los sistemas. • Utilizar soluciones antivirus actualizadas y realizar análisis regulares. • Educar a los usuarios sobre los riesgos de dispositivos extraíbles y descargas no seguras.

3. Envío Masivo de Correos Electrónicos Promocionales No Autorizados a Direcciones Institucionales: Modo de Ataque: Un atacante podría comprometer la seguridad de la institución al enviar correos electrónicos no autorizados a direcciones institucionales. Estos correos podrían contener enlaces maliciosos, archivos adjuntos infectados o solicitudes de información confidencial bajo pretextos engañosos.

Objetivo: El atacante puede buscar propagar malware, realizar phishing o, en algunos casos, afectar la reputación de la institución al enviar correos electrónicos no deseados a gran escala.

Medidas de Protección: • Implementar filtros de correo electrónico avanzados para detectar y bloquear correos no deseados. • Educar a la comunidad académica sobre cómo reconocer correos electrónicos sospechosos y no hacer clic en enlaces ni descargar archivos de fuentes no confiables. • Monitorear y analizar patrones de tráfico de correo electrónico para detectar posibles ataques.

La implementación de medidas de protección proactivas y la concientización continua son cruciales para mitigar estos y otros posibles ataques en la institución. Además, la respuesta rápida y la aplicación de mejores prácticas de seguridad contribuirán a fortalecer la postura de seguridad de la institución. 

Mecanismos de Seguridad Activa y Pasiva

En el perenne panorama digital, donde la información es un activo crítico, la seguridad de la información se erige como un pilar fundamental para salvaguardar los activos digitales de organizaciones e instituciones. Dos enfoques clave en la estrategia de seguridad son la seguridad activa y pasiva, cada una desempeñando un papel esencial en la protección integral contra amenazas cibernéticas.

Seguridad Activa: La seguridad activa se caracteriza por su naturaleza proactiva y en tiempo real. Implica la implementación de medidas que responden de manera inmediata a las amenazas en el momento en que se presentan. Desde firewalls que vigilan el tráfico de red hasta sistemas de prevención de intrusiones que detectan y bloquean actividades maliciosas, la seguridad activa es la primera línea de defensa, actuando con rapidez para neutralizar amenazas potenciales.

Seguridad Pasiva: Contrastando con la seguridad activa, la seguridad pasiva adopta un enfoque preventivo y a largo plazo. Se trata de erigir barreras sólidas y resistentes para proteger los activos digitales a lo largo del tiempo. Mecanismos como el cifrado de datos, políticas de seguridad bien definidas y backups regulares de información crítica son ejemplos de cómo la seguridad pasiva crea una defensa duradera contra amenazas, contribuyendo a la resiliencia y continuidad operativa.

Ambos enfoques no son excluyentes, sino complementarios. La integración efectiva de seguridad activa y pasiva constituye una estrategia holística que aborda tanto las amenazas inmediatas como las potenciales a largo plazo. En esta dualidad y complementariedad radica la clave para mantener la integridad, confidencialidad y disponibilidad de la información en un entorno digital en constante evolución.

Recomendaciones de Seguridad Activa:

1. Contraseñas Seguras: Según la Oficina de Seguridad del Internauta (OSI), el 90% de las contraseñas que se utilizan son vulnerables. La mayoría de los usuarios optan por contraseñas débiles y fácilmente descifrables, lo que facilita el trabajo a los hackers informáticos. Por ello, es imprescindible establecer una política de contraseñas seguras, únicas y robustas para garantizar la seguridad de los sistemas.

2. Encriptación de Datos: Tener acceso a información en texto plano es sumamente sencillo para los piratas informáticos, y dentro de un sistema, la información está expuesta. La encriptación de datos busca proteger la información importante y mantenerla a salvo de posibles intrusiones. Si no se conoce la clave de cifrado, es extremadamente complicado acceder a estos datos.

3. Auditorías de Seguridad: Según Kaspersky, el 67% de las organizaciones aumentará su inversión en ciberseguridad en los próximos tres años debido a los constantes ataques. Las auditorías de seguridad son una medida activa que consiste en que una empresa externa experta en ciberseguridad ayude a identificar posibles vulnerabilidades y mejore las medidas de protección. Esto asegura que los sistemas de INACAP estén preparados para enfrentar amenazas.

4. Formación: Según el informe de Verizon 2021, el 85% de las infracciones de seguridad informática son causadas por errores humanos. Es común que los empleados carezcan de los conocimientos necesarios para proteger adecuadamente sus datos y los de la institución. Por lo tanto, invertir en formación y mantener actualizados los conocimientos de los empleados es fundamental para prevenir ataques y garantizar la seguridad de INACAP.

5. Detección de Intrusos en Tiempo Real (IDS/IPS): Implementar sistemas de detección y prevención de intrusos en tiempo real para monitorear el tráfico de red y detectar patrones de comportamiento sospechoso o ataques en curso. Esto permite una respuesta inmediata a las amenazas.

6. Análisis de Vulnerabilidades: Realizar análisis de vulnerabilidades de manera regular para identificar posibles brechas de seguridad en sistemas y aplicaciones. Luego, tomar medidas para remediar las vulnerabilidades encontradas.

7. Pruebas de Penetración: Realizar pruebas de penetración regulares o contratar servicios de pruebas éticas para simular ataques y evaluar la resistencia de los sistemas y las redes ante posibles amenazas.

8. Actualización de Políticas de Seguridad: Revisar y actualizar regularmente las políticas de seguridad de la institución para mantenerse al día con las últimas amenazas y desafíos de seguridad.

Recomendaciones de Seguridad Pasiva:

1. Copia de Seguridad o Backup: Según los datos del Instituto Nacional de Estadística (INE), aproximadamente el 60% de las empresas con menos de 10 empleados no realizan copias de seguridad de sus datos. En el caso de empresas con 10 a 49 empleados, este porcentaje disminuye al 40%, y en las empresas de hasta 249 empleados, al 30%. Sin embargo, es fundamental comprender que sufrir un ataque informático sin disponer de una copia de seguridad reciente puede desencadenar un auténtico desastre, incluso provocando la pérdida de recursos valiosos.

2. Uso de la Nube: Otra medida de seguridad pasiva ampliamente adoptada en los últimos años es la utilización de servicios en la nube. Durante el año 2020, el gasto en infraestructura en la nube aumentó un 135%. La ventaja de la abstracción que proporciona el almacenamiento en la nube, combinada con su bajo coste y accesibilidad, ofrece una solución segura para las empresas. Al utilizar la nube, las organizaciones pueden liberarse de la preocupación por las infraestructuras físicas y las actualizaciones de sistemas.

3. Respaldo de Hardware Frente a Averías: Otra importante medida de seguridad pasiva se enfoca en prevenir desastres físicos que puedan afectar a la infraestructura. Esto incluye prácticas como mantener sistemas de refrigeración adecuados para evitar el sobrecalentamiento, implementar conexiones eléctricas seguras para prevenir incendios y la utilización de dispositivos SAI (Sistemas de Alimentación Ininterrumpida), que permiten un apagado seguro en caso de cortes eléctricos o incluso la continuidad de las operaciones en tales situaciones.

4. Políticas de Acceso Físico: Establece políticas estrictas de control de acceso a las instalaciones universitarias, especialmente a centros de datos y servidores. Utiliza sistemas de control de acceso, como tarjetas de identificación y cámaras de seguridad, para limitar el acceso no autorizado.

5. Segmentación de Red: Dividir la red en segmentos lógicos separados, como redes para estudiantes, profesores y administración. Esto ayuda a contener posibles ataques y protege los sistemas críticos.

6. Protección contra Incendios y Desastres Naturales: Implementar medidas de seguridad física, como sistemas de detección y extinción de incendios, así como planes de contingencia para hacer frente a desastres naturales, como terremotos o inundaciones, y minimizar su impacto en la infraestructura.

  Capítulo 2: Normativa ISO 27000 La seguridad de la información se ha convertido en una prioridad fundamental en el ámbito empresarial y organizacional, y su gestión efectiva es esencial para preservar la integridad y confidencialidad de los datos. La normativa ISO 27000 emerge como un estándar internacionalmente reconocido que proporciona un marco sólido para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI).

Beneficios de la Norma ISO En la búsqueda constante por fortalecer los pilares de la seguridad de la información, la institución INACAP contempla la implementación de la norma ISO 27000 como un pilar fundamental en su estrategia. A través de este marco internacionalmente reconocido, INACAP aspira a cosechar una serie de beneficios que no solo resguardan la integridad de la información, sino que también moldean una cultura organizacional comprometida con estándares globales y prácticas óptimas en seguridad. Desde la perspectiva de la mejora de la seguridad de la información hasta la adaptación a las mejores prácticas internacionales, cada beneficio se presenta como un componente integral en la construcción de una sólida defensa contra las amenazas cibernéticas emergentes. La confianza de estudiantes y partes interesadas, la eficiencia operativa, la reducción de riesgos y la capacidad de adaptarse y mejorar continuamente son ejes centrales que guiarán a INACAP en este viaje hacia la excelencia en seguridad de la información. A través de esta iniciativa, INACAP no solo busca cumplir con requisitos normativos, sino también erigirse como un referente en la protección de datos académicos y personales en el dinámico paisaje educativo actual. Este compromiso no solo se traduce en una salvaguardia efectiva de la información, sino también en un catalizador para el progreso constante en la gestión de la seguridad.

1. Mejora de la Seguridad de la Información en INACAP: La implementación de la norma ISO 27000 en INACAP permite mejorar la seguridad de la información de la institución mediante la implementación de controles y mejoras en la gestión de riesgos. Esto reduce la probabilidad de que ocurran incidentes de seguridad, lo que es fundamental en un entorno educativo donde se manejan datos sensibles de estudiantes y se busca mantener la integridad académica.

2. Aumento de la Confianza de Estudiantes y Partes Interesadas: La implementación de la norma ISO 27000 en INACAP demuestra el compromiso de la universidad con la seguridad de la información. Esto puede aumentar la confianza de los estudiantes, el personal y otras partes interesadas en la capacidad de la institución para proteger la información académica y personal de manera efectiva.

3. Adaptación a las Mejores Prácticas Internacionales en Educación: ISO 27000 se basa en las mejores prácticas internacionales en seguridad de la información. La implementación de esta norma ayuda a INACAP a cumplir con requisitos legales y regulatorios relacionados con la protección de datos de estudiantes y a mantenerse actualizada con las mejores prácticas de la industria educativa en términos de seguridad de la información.

4. Mejora de la Eficiencia y Eficacia en la Gestión de la Seguridad de la Información: La norma ISO 27000 proporciona un marco para la gestión de la seguridad de la información que puede ayudar a INACAP a mejorar la eficiencia y eficacia de sus procesos relacionados con la seguridad de la información. Esto asegura que los datos de los estudiantes estén protegidos de manera efectiva y que los recursos se utilicen de manera eficiente.

5. Reducción de Costos Relacionados con Incidentes de Seguridad: La implementación de ISO 27000 puede ayudar en INACAP a reducir los costos relacionados con incidentes de seguridad al prevenir o minimizar la ocurrencia de estos incidentes. Esto puede incluir la protección contra la pérdida de datos académicos o personales, lo que ahorra recursos financieros y reputacionales.

6. Mejora Continua: El sistema PDCA (Planificar, Hacer, Verificar, Actuar) de las normas ISO 27000 permite a INACAP mejorar continuamente sus procesos de seguridad de la información. Esto significa que la institución está comprometida con la actualización constante de sus prácticas de seguridad, respondiendo de manera ágil y efectiva a las cambiantes dinámicas del entorno cibernético. La aplicación diligente del ciclo PDCA no solo implica una evaluación constante de los riesgos y la eficacia de los controles, sino también la identificación proactiva de oportunidades para optimizar y fortalecer aún más las defensas de seguridad. Este compromiso con la mejora continua no solo responde a los estándares de la norma ISO 27000, sino que también refleja la dedicación de INACAP a proporcionar un entorno informático seguro y dinámico para sus estudiantes, personal y demás partes interesadas.

7. Reducción de Riesgos: Uno de los beneficios más importantes es la reducción del riesgo de pérdida, robo o corrupción de información. Esto es esencial en un entorno académico donde la información personal y académica de los estudiantes debe estar protegida de manera segura.  Controles ISO 27002

Para salvaguardar la integridad y confidencialidad de la información en la era digital, la implementación efectiva de controles de seguridad se convierte en un elemento esencial. La Norma ISO 27002, como parte integrante de la familia ISO 27000, establece un sólido marco para la gestión de la seguridad de la información. En este contexto, se han seleccionado diez controles específicos y se ha delineado detalladamente cómo podrían ser implementados dentro de una institución educativa. Desde la definición de políticas de control de acceso hasta la planificación de la continuidad de la seguridad de la información, cada control se presenta con un enfoque práctico y aplicable. La visión abarca desde la creación de procesos formales de gestión de usuarios hasta la incorporación de medidas técnicas como la autenticación de dos factores y la utilización de software antivirus. Esta propuesta no solo refleja un compromiso con los estándares internacionales de seguridad, sino que también sirve como un mapa detallado para fortalecer la postura de seguridad de la institución. A través de esta guía, se busca no solo cumplir con requisitos, sino también construir una cultura de seguridad robusta que abarque desde el acceso a la red hasta la planificación para la continuidad del negocio. En esta exploración detallada, no solo se profundiza en los aspectos técnicos de la seguridad, sino que también se abordan prácticas de gestión y procedimientos que contribuyen a una implementación integral y eficiente de estos controles. En conjunto, estos esfuerzos se traducen en una defensa sólida y en constante evolución ante las amenazas cibernéticas emergentes.

Controles Seleccionados:

9.1.1 Política de Control de Accesos. Implementación: Se debería crear una política de control de acceso que defina quiénes tienen acceso a los sistemas y datos sensibles. Esto debe incluir una revisión y aprobación formal de las solicitudes de acceso. Además, se podría implementar un sistema de autenticación de dos factores para aumentar la seguridad.

9.1.2 Control de Acceso a la Red y Servicios Implementar un sistema de autenticación fuerte para el acceso a la red y servicios. Esto podría incluir la utilización de contraseñas seguras, autenticación de dos factores y políticas de bloqueo de cuentas por intentos fallidos.

9.2.1 Gestión de Altas/Bajas en el Registro de Usuarios. Implementación: Establecer un proceso formal de gestión de usuarios que incluya la creación de cuentas de usuario, asignación de permisos y revocación de acceso cuando sea necesario. Las solicitudes de acceso deben ser aprobadas por un supervisor o un equipo de seguridad. 10.1.1 Política de Uso de los Controles Criptográficos. Implementación: Establecer una política que requiera el cifrado de datos confidenciales cuando se almacenan en dispositivos móviles, se transmiten a través de redes públicas o se almacenan en reposo. Implementar una gestión de claves sólida y capacitar al personal sobre su uso adecuado.

11.1.1 Perímetro de Seguridad Física.
Implementación: Establecer un perímetro de seguridad física en las instalaciones de la universidad, incluyendo sistemas de control de acceso y cámaras de seguridad. Proteger los equipos críticos de servidores y almacenamiento en salas seguras.

11.2.1 Emplazamiento y Protección de Equipos.
Implementación: Utilizar cerraduras de seguridad en servidores y dispositivos críticos. Controlar el acceso a las áreas donde se encuentran los equipos sensibles. Implementar políticas de bloqueo de pantalla para evitar el acceso no autorizado a las estaciones de trabajo.

12.2.1 Controles contra el Código Malicioso Implementación: Utilizar software antivirus y antimalware en todos los dispositivos para detectar y eliminar amenazas. Realizar análisis de vulnerabilidades regulares y aplicar parches de seguridad de manera oportuna.

12.3.1 Copias de Seguridad de la Información.
Implementación: Establecer un plan de copias de seguridad que incluya la programación regular de respaldos de datos críticos. Almacenar las copias de seguridad en un lugar seguro y probar la capacidad de restauración periódicamente para garantizar su eficacia.

14.2.1 Política de Desarrollo Seguro de Software Establecer un conjunto de directrices y estándares de seguridad para el desarrollo de software interno o contratado. Incorporar pruebas de seguridad en todo el ciclo de vida del desarrollo.

16.1.1 Responsabilidades y Procedimientos.
Implementación: Desarrollar un proceso de gestión de incidentes que incluya la notificación, la evaluación y la respuesta a eventos de seguridad. Esto podría involucrar la creación de un equipo de respuesta a incidentes y la documentación de procedimientos específicos para diferentes tipos de incidentes. 17.1.1 Planificación de la Continuidad de la Seguridad de la Información.
Implementación: Planificar la continuidad de la seguridad de la información, lo que implica identificar sistemas críticos y desarrollar planes de recuperación ante desastres. Realizar pruebas regulares de estos planes para asegurarse de que funcionen en caso de una interrupción.

18.1.1 Identificación de la Legislación Aplicable.
Implementación: Identificar y seguir las leyes y regulaciones aplicables a la universidad en relación con la seguridad de la información, como las relacionadas con la privacidad de los datos de los estudiantes. Asegurarse de que se mantenga un registro adecuado de cumplimiento y de que los registros estén protegidos según lo requieran las leyes.

  Capítulo 3: Criptografía La travesía de fortalecer la seguridad digital de la institución INACAP nos conduce al fascinante mundo de la criptografía. Este capítulo, como una piedra angular en la construcción de una buena defensa cibernética, nos sumerge como estudiantes en las artes y ciencias del ocultamiento y la protección de la información. La criptografía, desde sus raíces en civilizaciones antiguas hasta las complejidades modernas, ha sido un faro de seguridad en la comunicación. En este capítulo, se explorará e investigará cómo esta disciplina milenaria se entrelaza con las necesidades contemporáneas de salvaguardar la información sensible. La primera sección muestra un enigma intrigante: La presentación de cada miembro del equipo a través de cartas cifradas. Utilizando el cifrador de Polybios, cada nombre completo se encriptará, creando una capa adicional de seguridad que ilustra la aplicación práctica de la criptografía desde la antigüedad hasta nuestros días. Además, para agregar un giro adicional de seguridad, cada breve biografía se presentará bajo el cifrado del César usando ROT4. Este método, que desplaza cada letra cuatro lugares en el alfabeto, añade una capa más de protección a la información personal de cada miembro del equipo. No obstante, la criptografía no es solo sobre ocultar información; también se trata de compartir de manera segura. Cada integrante del equipo creará su Par de Llaves, un acto simbólico de confianza digital. Las claves públicas, que se adjuntarán en la entrega, permitirán el intercambio seguro de información entre los miembros del equipo, destacando así el equilibrio crucial entre la privacidad y la colaboración. Así, este capítulo no solo es una exploración de técnicas milenarias y modernas de cifrado, sino también una oportunidad para aplicar estos conocimientos de manera práctica. La criptografía, con su magia de transformar datos en mensajes indescifrables y viceversa, se convierte en una aliada indispensable en la misión de salvaguardar la integridad de la información de INACAP y sus estudiantes en el vasto paisaje digital. En cada letra cifrada y en cada llave generada, se genera una red de seguridad que nos acerca un paso más a la excelencia en ciberseguridad.

Necesito que me ayudes a realizar las siguientes tareas:

Capítulo 1: Análisis de Riesgos • Identificación de Activos de Información Deberá generar un listado con todos los activos de información pertinentes al funcionamiento de la institución. • Escalas de Riesgos Deberá diseñar una escala para evaluar probabilidad de impacto y otra para evaluar el impacto que podría tener cada potencial riesgo de la institución. En base a esto, deberá generar un mapa de calor como también un análisis de apetito al riesgo para la institución. • Matriz de Riesgos Deberá diseñar una matriz de riesgos con cada probabilidad e impacto calculada. Además, deberá diseñar por cada riesgo un control definido. Mínimo 20 riesgos. Capítulo 2: Delitos Informáticos • Análisis de potenciales delitos informáticos En base a lo planteado en las leyes, analizar como los estudiantes y administrativos podrían quebrantar lo establecido en las leyes 21.459 y 19.628. • Aplicación de legislación Deberá especificar qué tipo de controles debería establecer para el cumplimiento de las leyes anteriormente mencionadas. Capítulo 3: Tipos de Ataques e Ingeniería Social • Tipos de Ataques Analizando la infraestructura de INACAP, debe especificar de que forma la infraestructura se ve afecta a un ataque directo a cada uno de los principios de la seguridad de la información (confidencialidad, integridad y disponibilidad). Deberá especificar de qué forma se podría generar un ataque de cada tipo, y de qué forma gatillaría el impacto para la institución. • Ingeniería Social Deberá especificar ejemplos y formas en las cuales distintos roles dentro de la institución podrían caer en técnicas de ingeniería social, y establecer controles para evitar que esto ocurra. Capítulo 4: Malware • Impacto del Malware Deberá especificar a qué tipos de malware se ven afectos los distintos elementos dentro de la sede, indicando potenciales mecanismos de infección como también mecanismos de defensa a aplicar. Capítulo 5: Actividad Práctica OSINT A INACAP le interesa saber que tan expuesta podría quedar la información de alguien perteneciente a la institución, y de que forma se podría exponer información personal, es por esto que se le encarga realizar el siguiente experimento. Deberá dirigirse al estacionamiento de la sede y elegir un vehículo al azar y tomar su patente, en base a esto, deberá recopilar información desde fuentes abiertas (OSINT), e indicar:

• Propietario del vehículo.
• Datos personales del propietario (Rut, dirección).
• Dirección del propietario (si es posible, adjuntar pantallazos del domicilio obtenidos de Google Maps).
• Conseguir un certificado del registro civil asociado a la persona.
• Conseguir al menos una red social asociada a la persona. Capítulo 6: Actividad Práctica Phishing Además, a INACAP le interesa saber que tan fácil sería realizar un Phishing a un sitio web, por lo que deberá generar dos tipos de phishing: uno automatizado con la herramienta zphisher y otro de forma personalizada. Deberá levantar un sitio web a través de zphisher y hacer que al menos 5 personas distintas ingresen al sitio web e ingresen sus credenciales (independiente sean reales o no). Para fines de entrega, deberá adjuntar el archivo ip.txt y usernames.dat que genera la herramienta.

Esto es lo que llevo del informe hasta el momento:

Introducción

En el contexto de la institución educativa INACAP, la aplicación de controles para el cumplimiento de las leyes de Protección de Datos Personales (Ley 19.628) y Ciberseguridad (Ley 21.459) emerge como un componente crítico para la salvaguarda de la integridad y privacidad de la información. INACAP, como entidad dedicada a la formación educativa, enfrenta la responsabilidad de gestionar datos sensibles de estudiantes, docentes y personal administrativo, requiriendo así un enfoque integral y específico en términos de seguridad y cumplimiento normativo.

En este escenario, la implementación de políticas de privacidad adaptadas a INACAP se erige como un punto de partida esencial. Estas políticas, diseñadas para gestionar el tratamiento de datos personales de manera transparente y segura, buscan cumplir con los principios fundamentales de la Ley 19.628, tales como el consentimiento informado y la implementación de medidas de seguridad adecuadas. Asimismo, en consonancia con la Ley 21.459, INACAP deberá establecer una estructura de controles específicos para la gestión de la ciberseguridad. Desde sistemas de gestión de identidades y accesos robustos hasta protocolos de monitoreo continuo de plataformas educativas, estos controles buscan salvaguardar la integridad de la información académica y personal en un entorno educativo cada vez más digitalizado.

Este compromiso con la seguridad y privacidad se amplía aún más en el análisis de riesgo detallado, abordado en el Capítulo 1. En este capítulo, se realiza una minuciosa identificación de activos cruciales que abarcan desde el núcleo académico, representado por el Sistema Académico, hasta los elementos administrativos, como la infraestructura de Recursos Humanos y las Aplicaciones Administrativas. Cada uno de estos activos, vital para el funcionamiento de INACAP, ha sido evaluado con detalle para comprender sus riesgos inherentes y establecer medidas de protección específicas, garantizando así la continuidad y seguridad de la información académica y administrativa en un entorno educativo cada vez más digitalizado.

Capítulo 1: Análisis de Riesgo

• Identificación de Activos de Información

1. Sistema Académico • Descripción: Plataforma central para la gestión académica. Almacena información sobre cursos, planificaciones, asistencia y calificaciones. • Ubicación: Servidores en la nube.

2. Base de Datos de Estudiantes: • Descripción: Contiene información detallada de cada estudiante, incluyendo datos personales, historial académico, y registros financieros. • Ubicación: Base de datos central protegida.

3. Plataforma de Aprendizaje en Línea (E-learning): • Descripción: Contiene cursos, material didáctico y foros de discusión. Es esencial para la educación en línea. • Ubicación: Servidores en la nube con medidas de seguridad robustas.

4. Correo Electrónico Institucional • Descripción: Herramienta de comunicación oficial para estudiantes, profesores y personal administrativo. • Ubicación: Servidores de correo electrónico con cifrado.

5. Infraestructura de Red • Descripción: Red de comunicación que conecta todos los campus. Incluye servidores, switches, routers y puntos de acceso inalámbrico. • Ubicación: En toda la red institucional con firewalls y medidas de seguridad.

6. Sistema de Recursos Humanos • Descripción: Almacena información del personal, datos de nómina y registros de recursos humanos. • Ubicación: Servidores internos con acceso restringido.

7. Sistema de Biblioteca • Descripción: Base de datos que gestiona el catálogo de la biblioteca, préstamos y devoluciones. • Ubicación: Servidores locales con respaldos periódicos.

8. Sitio Web Institucional • Descripción: Página web pública que proporciona información sobre programas académicos, eventos, y noticias. • Ubicación: Servidores web con seguridad contra ataques web.

9. Sistema de Videovigilancia • Descripción: Cámaras de seguridad que monitorean áreas comunes y zonas críticas en todos los campus. • Ubicación: Locaciones estratégicas con acceso controlado.

10. Aplicaciones Administrativas • Descripción: Software utilizado para la gestión administrativa, incluyendo contabilidad, facturación y gestión de recursos. • Ubicación: Servidores locales con respaldos y acceso restringido.

• Escalas de Riesgo

• Matriz de Riesgo

Capítulo 2: Delitos Informáticos

• Análisis de potenciales delitos informáticos

La Ley N° 19.628, también conocida como la Ley de Protección de Datos Personales en Chile, establece un marco legal para regular el tratamiento de la información personal. Promulgada con el objetivo de salvaguardar el derecho a la privacidad de los individuos, esta ley define los principios fundamentales que rigen la recopilación, almacenamiento, procesamiento y utilización de datos personales. Entre estos principios se encuentran el consentimiento informado, la finalidad legítima del tratamiento, la calidad de los datos y las medidas de seguridad necesarias para su protección. La Ley N° 21.459, que aborda el ámbito de la ciberseguridad en Chile, se erige como un pilar crucial para la protección de la infraestructura crítica y la seguridad de la información en el país. Esta legislación tiene como propósito principal prevenir y sancionar conductas ilícitas relacionadas con el acceso no autorizado a sistemas, la difusión de códigos maliciosos y otros ataques que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. Ambas leyes, si bien abordan aspectos distintos, convergen en la importancia de salvaguardar la integridad de la información, ya sea a nivel personal o en el ámbito más amplio de la ciberseguridad. Su cumplimiento es esencial para garantizar el respeto a la privacidad de los ciudadanos y la protección de los sistemas críticos en un entorno digital cada vez más complejo y desafiante. A su vez, al analizar la institución Inacap, se detallan los potenciales posibles delitos: Ley N° 19.628

1. Acceso No Autorizado a Datos Personales: a. Detalle: Acceder a bases de datos o sistemas informáticos de la INACAP sin autorización implica utilizar información de manera no permitida. b. Posibles Escenarios: Acceso indebido a expedientes académicos, datos de contacto o información confidencial de estudiantes y personal.

2. Divulgación No Autorizada de Información: a. Detalle: Compartir información personal sin consentimiento explícito va en contra de la privacidad establecida por la ley. b. Posibles Escenarios: Publicación no autorizada de datos estudiantiles, como calificaciones, o compartir información personal sin consentimiento.

3. Uso Indebido de Datos Personales: a. Detalle: Utilizar datos con propósitos diferentes a los establecidos por la ley es considerado un uso indebido. b. Posibles Escenarios: Emplear información personal para fines de acoso, discriminación o cualquier actividad no relacionada con los objetivos académicos o administrativos.

4. Falsificación de Identidad: a. Detalle: Suplantar la identidad para acceder a sistemas informáticos o realizar acciones en nombre de otra persona es una violación grave. b. Posibles Escenarios: Acceder a cuentas de otros estudiantes o administrativos mediante la suplantación de identidad.

5. Creación de Perfiles Falsos: a. Detalle: Crear perfiles falsos con el objetivo de obtener acceso no autorizado a información personal es una violación seria. b. Posibles Escenarios: Crear perfiles ficticios para espiar a otros o acceder a información restringida.

6. Modificación No Autorizada de Datos: a. Detalle: Modificar datos personales sin autorización puede afectar la integridad de la información. b. Posibles Escenarios: Alterar calificaciones, historiales académicos o cualquier otro dato personal sin permiso.

7. Obstrucción de Acceso a Datos Personales a. Detalle: Obstaculizar el acceso legítimo a la propia información va en contra del derecho de las personas. b. Posibles Escenarios: Bloquear el acceso de un estudiante o administrativo a su información académica o personal sin motivo justificado.

8. Incumplimiento de Procedimientos de Seguridad a. Detalle: Ignorar o evadir procedimientos de seguridad pone en riesgo la integridad de los datos personales. b. Posibles Escenarios: No seguir protocolos de seguridad al manejar información sensible, como contraseñas débiles o compartir credenciales. Ley N° 21.459:

9. Acceso no autorizado a sistemas informáticos (Artículo 2): a. Ejemplo: Un estudiante de INACAP utiliza técnicas de hacking para acceder a sistemas informáticos de la institución, como bases de datos de calificaciones o información confidencial, sin tener la debida autorización. b. Consecuencias: El estudiante podría enfrentar cargos por acceso no autorizado y ser sancionado con pena de presidio menor.

10. Fraude informático (Artículo 7): a. Ejemplo: Un estudiante manipula el sistema informático para cambiar la información sobre su situación académica con el objetivo de obtener becas o beneficios económicos de manera fraudulenta. b. Consecuencias: Dependiendo del valor del perjuicio causado, el estudiante podría enfrentar presidio menor en sus grados medio a máximo y multas significativas.

11. Abuso de dispositivos (Artículo 8): a. Ejemplo: Un estudiante distribuye entre sus compañeros un programa informático diseñado para eludir las medidas de seguridad de la red de la institución. b. Consecuencias: El estudiante podría ser sancionado con presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales.

12. Manipulación indebida de datos (Artículos 4 y 5): a. Ejemplo: Un administrativo altera las notas de los estudiantes en el sistema informático para favorecer a ciertos alumnos o perjudicar a otros. b. Consecuencias: El administrativo podría ser penalizado con presidio menor en su grado medio si se demuestra que causó un daño grave al titular de los datos informáticos (en este caso, los estudiantes).

13. Receptación de datos informáticos (Artículo 6): a. Ejemplo: Un administrativo, al conocer el origen ilícito de ciertos datos informáticos obtenidos de forma ilegal, los comercializa o transfiere con el propósito de obtener beneficios económicos. b. Consecuencias: Se aplicaría la pena asignada a los delitos respectivos rebajada en un grado, según el Artículo 6. • Aplicación de legislación

Controles de la ISO 27002 y Cumplimiento de la Ley 21.459 en INACAP

1. Acceso No Autorizado a Sistemas Informáticos (Artículo 2): • Control implementado: 9.1.1 Política de Control de Acceso • Implementación en INACAP: Desarrollar políticas claras para el manejo y protección de datos, especificando el acceso a sistemas informáticos. • Aplicación en INACAP: Establecer roles definidos y restricciones de acceso para garantizar que solo personal autorizado tenga acceso a información específica. • Cumplimiento con Ley 21.459: Refuerza la seguridad para prevenir el acceso no autorizado, conforme al Artículo 2.

2. Fraude Informático (Artículo 7): • Control implementado: 12.4.1 Registro y Gestión de Eventos de Actividad • Implementación en INACAP: Establecer un sistema de registro detallado para detectar manipulaciones fraudulentas en la información académica. • Aplicación en INACAP: Supervisar y registrar cualquier cambio inusual en la información académica para prevenir fraudes informáticos. • Cumplimiento con Ley 21.459: La supervisión activa, a través del registro detallado de eventos, cumple con el Artículo 7 al prevenir el fraude informático.

3. Abuso de Dispositivos (Artículo 8): • Control implementado: 12.2.1 Controles contra el Código Malicioso • Implementación en INACAP: Utilizar herramientas de seguridad para prevenir la distribución de programas informáticos maliciosos. • Aplicación en INACAP Monitorear y bloquear la distribución de programas que eluden medidas de seguridad, cumpliendo con el control específico contra el código malicioso. • Cumplimiento con Ley 21.459: La protección activa contra código malicioso se alinea con el Artículo 8.

4. Manipulación Indebida de Datos (Artículos 4 y 5): • control implementado: 12.4.1 Registro y Gestión de Eventos de Actividad • Implementación en INACAP: Supervisar y registrar cualquier alteración de datos, especialmente calificaciones académicas. • Aplicación en INACAP: Establecer procesos de verificación para asegurar la integridad de los datos académicos, en concordancia con el control de registro y gestión de eventos. • Cumplimiento con Ley 21.459: La supervisión activa, a través del registro detallado de eventos, cumple con los Artículos 4 y 5 al prevenir la manipulación indebida de datos.

5. Receptación de Datos Informáticos (Artículo 6): • Control implementado: 8.1.1 Inventario de Activos • Implementación en INACAP: Establecer políticas para el manejo ético de datos y prevenir la comercialización ilícita. • Aplicación en INACAP: Educación continua sobre la ética de manejo de datos y consecuencias legales. • Cumplimiento con Ley 21.459: La gestión ética de activos, respaldada por el inventario de activos, asegura el cumplimiento con el Artículo 6.

6. Acceso No Autorizado a Datos Personales (Artículo 2):

• Control Implementado: 9.1.1 Política de Control de Acceso
• Implementación en INACAP: Desarrollar políticas claras para manejar y proteger los datos personales, especificando el acceso a sistemas informáticos.
• Aplicación en INACAP: Establecer roles definidos y restricciones de acceso para garantizar que solo personal autorizado tenga acceso a información específica.
• Cumplimiento con Ley 19.628: Refuerza la seguridad para prevenir el acceso no autorizado, conforme al Artículo 2.

7. Divulgación No Autorizada de Información (Artículo 7): • Control Implementado: 12.4.2 Protección de los Registros de Información
   • Implementación en INACAP: Establecer un sistema de protección de registros de información para prevenir la divulgación no autorizada de información académica.
   • Aplicación en INACAP: Supervisar y registrar cualquier cambio inusual en la información académica para prevenir fraudes informáticos.
   • Cumplimiento con Ley 19.628: La protección de los registros de información garantiza el cumplimiento con el Artículo 7 al prevenir la divulgación no autorizada de información.

8. Uso Indebido de Datos Personales (Artículo 9):

Control Implementado: 9.1.1 Política de Control de Acceso
• Implementación en INACAP: Realizar programas de educación continua para asegurar que el personal esté al tanto de sus responsabilidades éticas y legales.
• Aplicación en INACAP: Realizar evaluaciones periódicas para identificar y corregir vulnerabilidades que podrían conducir a un uso indebido de datos.
• Cumplimiento con Ley 19.628: La implementación de la política de control de acceso y la gestión de vulnerabilidades aseguran el cumplimiento con la protección de datos personales.

9. Falsificación de Identidad (Artículo 4): • Control Implementado: 9.2.3 Gestión de los Derechos de Acceso con Privilegios Especiales
   • Implementación en INACAP: Reforzar la autenticación mediante métodos multifactoriales para prevenir la suplantación de identidad.
   • Aplicación en INACAP: Utilizar herramientas de protección contra código malicioso para prevenir amenazas informáticas que podrían conducir a la falsificación de identidad.
   • Cumplimiento con Ley 19.628: La gestión de los derechos de acceso con privilegios especiales fortalece la seguridad para prevenir la falsificación de identidad según las regulaciones locales.

10. Incumplimiento de Procedimientos de Seguridad (Artículo 10): • Control Implementado: 12.1.1 Documentación de Procedimientos de Operación
    • Implementación en INACAP: Establecer y comunicar procedimientos operativos de seguridad de manera clara.
    • Aplicación en INACAP: Implementar políticas para prevenir la instalación de software no autorizado que podría resultar en incumplimientos de seguridad.
    • Cumplimiento con Ley 19.628: La definición de procedimientos operativos de seguridad asegura el cumplimiento con el manejo adecuado de la información.

11. Creación de Perfiles Falsos (Artículo 5):

• Control Implementado: 9.2.1 Gestión de Altas/Bajas en el Registro de Usuarios
• Implementación en INACAP: Reforzar la verificación de identidad durante el proceso de registro para prevenir la creación de perfiles falsos.
• Aplicación en INACAP: Establecer procedimientos para detectar y eliminar perfiles falsos de manera proactiva.
• Cumplimiento con Ley 19.628: La gestión de altas/bajas en el registro de usuarios asegura la integridad del registro de usuarios y cumple con las regulaciones locales.

12. Modificación No Autorizada de Datos (Artículo 6):

• Control Implementado: 9.4.1 Restricción del Acceso a la Información
• Implementación en INACAP: Supervisar y gestionar los derechos de acceso para restringir el acceso a la información, especialmente calificaciones académicas, y prevenir cualquier modificación no autorizada de datos.
• Aplicación en INACAP Gestionar actualizaciones de manera adecuada para prevenir la explotación de vulnerabilidades que podrían llevar a modificaciones no autorizadas.
• Cumplimiento con Ley 19.628: La restricción del acceso a la información garantiza la integridad de los datos, cumpliendo con las regulaciones locales.

13. Obstrucción de Acceso a Datos Personales (Artículo 3):

• Control Implementado: 9.1.1 Política de Control de Acceso
• Implementación en INACAP: Garantizar procedimientos claros para otorgar y solicitar acceso a la información, promoviendo la transparencia.
• Aplicación en INACAP: Definir roles y responsabilidades para un acceso transparente y eficiente, evitando obstrucciones injustificadas.
• Cumplimiento con Ley 19.628: La política de control de acceso asegura la transparencia en la gestión de datos personales.

Capítulo 3: Tipos de Ataques e Ingeniería Social

• Tipos de Ataques • Ingeniería Solical

Capítulo 4: Malware

Mecanismos de infección y defensa

Capítulo 5: Actividad Practica OSINT

• Patente: FRCT51 • Propietario del vehículo: Maria Antonieta Jara Meriño • Datos personales del propietario o Rut: 16.128.652-4 o Dirección: Pje Los Madroños 10509, Bellavista • Dirección del propietario (Google Maps)

Ilustración 1 Dirección Google Maps Fuente: Google Maps

Ilustración 2 Dirección Google Maps Fuente: Google Maps

• Conseguir un certificado del registro civil asociado a la persona.

o Certificado de Nacimiento:

Ilustración 3 Certificado de Nacimiento Fuente: Registro Civil

• Conseguir al menos una red social asociada a la persona. o Facebook:

Ilustración 4 Red Social: Facebook Fuente: Facebook

Capítulo 6: Actividad Practica Phishing • usernames - copia.txt

Ilustración 5 Usernames Phishing Fuente: Elaboración Propia

• ip.txt

Ilustración 6 IP Phishing Fuente: Elaboración Propia

Ilustración 7 IP Phishing Fuente: Elaboración Propia

Ilustración 8 IP Phishing Fuente: Elaboración Propia

Conclusiones

En el marco del análisis detallado sobre la seguridad de la información en INACAP, se ha puesto de manifiesto la importancia crítica de implementar controles efectivos para el cumplimiento de las leyes de Protección de Datos Personales y Ciberseguridad. La institución, como entidad educativa líder, se encuentra en la vanguardia de la gestión de datos sensibles, y la aplicación de políticas de privacidad y controles de ciberseguridad se revela como un imperativo estratégico.No obstante, la exposición potencial de la información personal de los individuos vinculados a INACAP no puede subestimarse. En un entorno cada vez más digitalizado, la amenaza de exposición de datos personales es real y multifacética. Desde vulnerabilidades en plataformas académicas hasta posibles brechas en sistemas administrativos, la información personal puede estar expuesta a riesgos que abarcan desde accesos no autorizados hasta posibles filtraciones.

Particularmente, la implementación de medidas robustas contra ataques de Phishing se presenta como un componente esencial. La ingeniería social y los métodos sofisticados empleados en ataques de Phishing podrían representar una amenaza significativa tanto para la institución INACAP y estudiantes. La concientización continua, la formación del personal y la implementación de filtros efectivos son estrategias clave para mitigar el riesgo de caer en este tipo de engaños.

En este contexto, INACAP no solo ha avanzado en la identificación de activos críticos y en la definición de controles específicos, sino que también se enfrenta proactivamente a los desafíos emergentes de ciberseguridad. Esta conclusión técnica subraya la necesidad de una vigilancia constante, actualizaciones continuas de políticas y la colaboración con expertos en seguridad para mantener la integridad y privacidad de la información en el centro de sus prioridades estratégicas. La institución se encuentra en una posición propicia para fortalecer aún más sus medidas de seguridad y mantenerse a la vanguardia en la protección de la información sensible.

¿Podrías desarrollar el capítulo 3 y 4, en base a TODA la información proporcionada en los mensajes anteriores? Por favor.

El capítulo quedó de la siguiente manera:

Capítulo 3: Tipos de Ataques e Ingeniería Social

Tipos de Ataques: Considerando la infraestructura de INACAP, es importante identificar de qué manera cada principio de la seguridad de la información (confidencialidad, integridad y disponibilidad) podría verse afectado por distintos tipos de ataques. A continuación se presentan ejemplos de posibles ataques y su impacto potencial en la institución:

Confidencialidad: Un ataque de suplantación de identidad (phishing) dirigido a los estudiantes, docentes o personal administrativo podría comprometer la confidencialidad de las credenciales de acceso a sistemas académicos y administrativos, lo que potencialmente permitiría acceso no autorizado a información confidencial. Integridad: La modificación no autorizada de datos en la base de datos de estudiantes o en el sistema académico podría impactar negativamente la integridad de la información académica, afectando la precisión y confiabilidad de los registros académicos. Disponibilidad: Un ataque de denegación de servicio (DoS) dirigido a la infraestructura de red de INACAP podría provocar interrupciones significativas en la conectividad de los campus, lo que afectaría la disponibilidad de los servicios y recursos informáticos cruciales. Ingeniería Social: La ingeniería social representa un riesgo significativo para la seguridad de la información en INACAP, ya que puede aprovecharse de la confianza o la falta de conciencia de los usuarios para obtener información confidencial o inducir a la acción. A continuación se presentan ejemplos y formas en las cuales distintos roles dentro de la institución podrían caer en técnicas de ingeniería social, junto con controles para evitarlo:

Ataques de Phishing: El personal administrativo y los estudiantes podrían ser objeto de correos electrónicos o mensajes falsos que los inciten a revelar contraseñas o información confidencial. Para mitigar este riesgo, es esencial implementar capacitación continua sobre la identificación de correos electrónicos fraudulentos y la doble autenticación en el acceso a sistemas. Suplantación de Identidad: Los usuarios podrían ser engañados por llamadas o mensajes que aparentan ser de fuentes confiables, solicitando información confidencial. Para evitar este tipo de amenazas, se deben establecer procedimientos claros y comunicar a los usuarios que nunca deben proporcionar información confidencial por teléfono o correo electrónico sin una verificación adecuada.Ataque de Inyección SQL en INACAP

1. Confidencialidad:

   • Descripción: Un ataque de inyección SQL explota una vulnerabilidad en la capa de la base de datos de la aplicación de INACAP. Un atacante podría acceder a información confidencial, como datos personales de estudiantes y personal docente.
   • Impacto: Violación de la confidencialidad al obtener acceso no autorizado a datos sensibles.

2. Integridad:

   • Descripción: Al realizar una inyección SQL, un atacante puede manipular o modificar registros en la base de datos de INACAP, alterando calificaciones académicas o registros estudiantiles.
   • Impacto: Pérdida de integridad al manipular datos académicos y registros.

3. Disponibilidad:

   • Descripción: Un ataque exitoso de inyección SQL puede causar interrupciones en la disponibilidad de la aplicación, ya que el sistema puede volverse inestable o dejar de funcionar correctamente.
   • Impacto: Interrupción en la disponibilidad al comprometer la funcionalidad de la aplicación.

Ataque de Desbordamiento de Búfer en Servidores de INACAP

1. Confidencialidad:

   • Descripción: Un ataque de desbordamiento de búfer puede permitir a un atacante acceder a áreas de la memoria que contienen información confidencial, como contraseñas almacenadas en la memoria del servidor.
   • Impacto: Violación de confidencialidad al acceder a datos sensibles almacenados en la memoria.

2. Integridad:

   • Descripción: Al manipular el desbordamiento de búfer, un atacante podría alterar datos en la memoria del servidor, comprometiendo la integridad de los procesos en ejecución.
   • Impacto: Pérdida de integridad al modificar datos en la memoria del servidor.

3. Disponibilidad:

   • Descripción: Un ataque de desbordamiento de búfer exitoso puede causar que el servidor se vuelva inestable o se bloquee, afectando la disponibilidad de los servicios de INACAP
   • Impacto: Interrupción en la disponibilidad al comprometer la estabilidad del servidor.

Ataque de Phishing a Cuentas de Correo Electrónico de INACAP

1. Confidencialidad:

   • Descripción: Un ataque de phishing dirigido a correos electrónicos de personal de INACAP busca obtener credenciales de acceso, comprometiendo la confidencialidad de la comunicación interna.
   • Impacto: Violación de confidencialidad al acceder a correos electrónicos sensibles.

2. Integridad:

   • Descripción: Con acceso a cuentas de correo electrónico, un atacante podría manipular o enviar información falsa, comprometiendo la integridad de la comunicación institucional.
   • Impacto: Pérdida de integridad al manipular información en correos electrónicos.

3. Disponibilidad:

   • Descripción: El acceso no autorizado a cuentas de correo electrónico podría resultar en la pérdida de disponibilidad de servicios de comunicación interna.
   • Impacto: Interrupción de la disponibilidad al comprometer cuentas y servicios de correo electrónico. Ataque de CAM Table Overflow en Equipos de Red de INACAP

4. Confidencialidad:

   • Descripción: Un ataque de desbordamiento de la tabla CAM en switches de red podría permitir a un atacante interceptar y leer el tráfico de red, comprometiendo la confidencialidad de la comunicación entre dispositivos.
   • Impacto: Violación de confidencialidad al acceder y leer datos sensibles transmitidos en la red de INACAP.

5. Integridad: -Descripción: Manipulando la tabla CAM, un atacante podría redirigir o modificar el tráfico de red, comprometiendo la integridad de la comunicación entre sistemas.

   • Impacto: Pérdida de integridad al manipular y alterar datos transmitidos en la red.

6. Disponibilidad:

   • Descripción: Un ataque exitoso de desbordamiento de tabla CAM puede saturar la red al inundarla con tráfico no deseado, afectando la disponibilidad de servicios y recursos de red. -Impacto: Interrupción en la disponibilidad al saturar y congestionar la red de INACAP.

Ataque de Transferencia de Zona DNS a Servidores de INACAP

1. Confidencialidad:

   • Descripción: Un ataque de transferencia de zona DNS podría revelar información confidencial sobre la infraestructura de INACAP, como la estructura de la red y las direcciones IP de los servidores.
   • Impacto: Violación de confidencialidad al exponer detalles sensibles de la infraestructura.

2. Integridad:

   • Descripción: Al recopilar información de transferencias de zona, un atacante podría modificar registros DNS, comprometiendo la integridad de la resolución de nombres.
   • Impacto: Pérdida de integridad al manipular la información de resolución de nombres en la infraestructura DNS.

3. Disponibilidad:

   • Descripción: Un ataque exitoso de transferencia de zona a servidores DNS puede agotar recursos y afectar la disponibilidad de los servicios de nombres de dominio en INACAP.
   • Impacto: Interrupción en la disponibilidad al comprometer la funcionalidad del sistema DNS.

Ataque de Envenenamiento de Cookies en Aplicaciones Web de INACAP

1. Confidencialidad:

   • Descripción: Un ataque de envenenamiento de cookies podría permitir a un atacante robar sesiones de usuario, comprometiendo la confidencialidad de la información de acceso.
   • Impacto: Violación de confidencialidad al acceder a cuentas de usuario sin autorización.

2. Integridad: -Descripción: Manipulando cookies, un atacante podría modificar datos asociados a la sesión, comprometiendo la integridad de la información almacenada durante la interacción del usuario.

   • Impacto: Pérdida de integridad al manipular información de sesión y transacciones.

3. Disponibilidad

   • Descripción: El robo de cookies podría resultar en el acceso no autorizado a cuentas, afectando la disponibilidad de servicios y recursos web de INACAP.
   • Impacto: Interrupción en la disponibilidad al comprometer la seguridad de las cuentas de usuario.

¿Podrías mejorarlo?

desarrolla extensamente el capítulo 4: Capítulo 4: Malware • Impacto del Malware Deberá especificar a qué tipos de malware se ven afectos los distintos elementos dentro de la sede, indicando potenciales mecanismos de infección como también mecanismos de defensa a aplicar.

Está bien, ¿podrías continuar ahondando y ejemplificar mecanismos de defensa prácticos que se podrían aplicar a la seguridad?

Está bien pero le falta más desarrollo y una introducción destacando que ya algunas han sido implementadas en la institución, y otras como la autenticación de múltiples factores, sólo se aplica en el ingreso a la institución y luego en el login con la cuenta. Pero no se tiene la autenticación por celular por ejemplo.

Podrías desarrollar la introducción, agregando los elementos que faltaban que fueron agregados al informe por favor (Así ha quedado el informe):

Introducción

En el contexto de la institución educativa INACAP, la aplicación de controles para el cumplimiento de las leyes de Protección de Datos Personales (Ley 19.628) y Ciberseguridad (Ley 21.459) emerge como un componente crítico para la salvaguarda de la integridad y privacidad de la información. INACAP, como entidad dedicada a la formación educativa, enfrenta la responsabilidad de gestionar datos sensibles de estudiantes, docentes y personal administrativo, requiriendo así un enfoque integral y específico en términos de seguridad y cumplimiento normativo.

En este escenario, la implementación de políticas de privacidad adaptadas a INACAP se erige como un punto de partida esencial. Estas políticas, diseñadas para gestionar el tratamiento de datos personales de manera transparente y segura, buscan cumplir con los principios fundamentales de la Ley 19.628, tales como el consentimiento informado y la implementación de medidas de seguridad adecuadas. Asimismo, en consonancia con la Ley 21.459, INACAP deberá establecer una estructura de controles específicos para la gestión de la ciberseguridad. Desde sistemas de gestión de identidades y accesos robustos hasta protocolos de monitoreo continuo de plataformas educativas, estos controles buscan salvaguardar la integridad de la información académica y personal en un entorno educativo cada vez más digitalizado.

Este compromiso con la seguridad y privacidad se amplía aún más en el análisis de riesgo detallado, abordado en el Capítulo 1. En este capítulo, se realiza una minuciosa identificación de activos cruciales que abarcan desde el núcleo académico, representado por el Sistema Académico, hasta los elementos administrativos, como la infraestructura de Recursos Humanos y las Aplicaciones Administrativas. Cada uno de estos activos, vital para el funcionamiento de INACAP, ha sido evaluado con detalle para comprender sus riesgos inherentes y establecer medidas de protección específicas, garantizando así la continuidad y seguridad de la información académica y administrativa en un entorno educativo cada vez más digitalizado.

Capítulo 1: Análisis de Riesgo

• Identificación de Activos de Información

1. Sistema Académico • Descripción: Plataforma central para la gestión académica. Almacena información sobre cursos, planificaciones, asistencia y calificaciones. • Ubicación: Servidores en la nube.

2. Base de Datos de Estudiantes: • Descripción: Contiene información detallada de cada estudiante, incluyendo datos personales, historial académico, y registros financieros. • Ubicación: Base de datos central protegida.

3. Plataforma de Aprendizaje en Línea (E-learning): • Descripción: Contiene cursos, material didáctico y foros de discusión. Es esencial para la educación en línea. • Ubicación: Servidores en la nube con medidas de seguridad robustas.

4. Correo Electrónico Institucional • Descripción: Herramienta de comunicación oficial para estudiantes, profesores y personal administrativo. • Ubicación: Servidores de correo electrónico con cifrado.

5. Infraestructura de Red • Descripción: Red de comunicación que conecta todos los campus. Incluye servidores, switches, routers y puntos de acceso inalámbrico. • Ubicación: En toda la red institucional con firewalls y medidas de seguridad.

6. Sistema de Recursos Humanos • Descripción: Almacena información del personal, datos de nómina y registros de recursos humanos. • Ubicación: Servidores internos con acceso restringido.

7. Sistema de Biblioteca • Descripción: Base de datos que gestiona el catálogo de la biblioteca, préstamos y devoluciones. • Ubicación: Servidores locales con respaldos periódicos.

8. Sitio Web Institucional • Descripción: Página web pública que proporciona información sobre programas académicos, eventos, y noticias. • Ubicación: Servidores web con seguridad contra ataques web.

9. Sistema de Videovigilancia • Descripción: Cámaras de seguridad que monitorean áreas comunes y zonas críticas en todos los campus. • Ubicación: Locaciones estratégicas con acceso controlado.

10. Aplicaciones Administrativas • Descripción: Software utilizado para la gestión administrativa, incluyendo contabilidad, facturación y gestión de recursos. • Ubicación: Servidores locales con respaldos y acceso restringido.

• Escalas de Riesgo

• Matriz de Riesgo

Capítulo 2: Delitos Informáticos

• Análisis de potenciales delitos informáticos

La Ley N° 19.628, también conocida como la Ley de Protección de Datos Personales en Chile, establece un marco legal para regular el tratamiento de la información personal. Promulgada con el objetivo de salvaguardar el derecho a la privacidad de los individuos, esta ley define los principios fundamentales que rigen la recopilación, almacenamiento, procesamiento y utilización de datos personales. Entre estos principios se encuentran el consentimiento informado, la finalidad legítima del tratamiento, la calidad de los datos y las medidas de seguridad necesarias para su protección. La Ley N° 21.459, que aborda el ámbito de la ciberseguridad en Chile, se erige como un pilar crucial para la protección de la infraestructura crítica y la seguridad de la información en el país. Esta legislación tiene como propósito principal prevenir y sancionar conductas ilícitas relacionadas con el acceso no autorizado a sistemas, la difusión de códigos maliciosos y otros ataques que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. Ambas leyes, si bien abordan aspectos distintos, convergen en la importancia de salvaguardar la integridad de la información, ya sea a nivel personal o en el ámbito más amplio de la ciberseguridad. Su cumplimiento es esencial para garantizar el respeto a la privacidad de los ciudadanos y la protección de los sistemas críticos en un entorno digital cada vez más complejo y desafiante. A su vez, al analizar la institución Inacap, se detallan los potenciales posibles delitos: Ley N° 19.628

1. Acceso No Autorizado a Datos Personales: a. Detalle: Acceder a bases de datos o sistemas informáticos de la INACAP sin autorización implica utilizar información de manera no permitida. b. Posibles Escenarios: Acceso indebido a expedientes académicos, datos de contacto o información confidencial de estudiantes y personal.

2. Divulgación No Autorizada de Información: a. Detalle: Compartir información personal sin consentimiento explícito va en contra de la privacidad establecida por la ley. b. Posibles Escenarios: Publicación no autorizada de datos estudiantiles, como calificaciones, o compartir información personal sin consentimiento.

3. Uso Indebido de Datos Personales: a. Detalle: Utilizar datos con propósitos diferentes a los establecidos por la ley es considerado un uso indebido. b. Posibles Escenarios: Emplear información personal para fines de acoso, discriminación o cualquier actividad no relacionada con los objetivos académicos o administrativos.

4. Falsificación de Identidad: a. Detalle: Suplantar la identidad para acceder a sistemas informáticos o realizar acciones en nombre de otra persona es una violación grave. b. Posibles Escenarios: Acceder a cuentas de otros estudiantes o administrativos mediante la suplantación de identidad.

5. Creación de Perfiles Falsos: a. Detalle: Crear perfiles falsos con el objetivo de obtener acceso no autorizado a información personal es una violación seria. b. Posibles Escenarios: Crear perfiles ficticios para espiar a otros o acceder a información restringida.

6. Modificación No Autorizada de Datos: a. Detalle: Modificar datos personales sin autorización puede afectar la integridad de la información. b. Posibles Escenarios: Alterar calificaciones, historiales académicos o cualquier otro dato personal sin permiso.

7. Obstrucción de Acceso a Datos Personales a. Detalle: Obstaculizar el acceso legítimo a la propia información va en contra del derecho de las personas. b. Posibles Escenarios: Bloquear el acceso de un estudiante o administrativo a su información académica o personal sin motivo justificado.

8. Incumplimiento de Procedimientos de Seguridad a. Detalle: Ignorar o evadir procedimientos de seguridad pone en riesgo la integridad de los datos personales. b. Posibles Escenarios: No seguir protocolos de seguridad al manejar información sensible, como contraseñas débiles o compartir credenciales. Ley N° 21.459:

9. Acceso no autorizado a sistemas informáticos (Artículo 2): a. Ejemplo: Un estudiante de INACAP utiliza técnicas de hacking para acceder a sistemas informáticos de la institución, como bases de datos de calificaciones o información confidencial, sin tener la debida autorización. b. Consecuencias: El estudiante podría enfrentar cargos por acceso no autorizado y ser sancionado con pena de presidio menor.

10. Fraude informático (Artículo 7): a. Ejemplo: Un estudiante manipula el sistema informático para cambiar la información sobre su situación académica con el objetivo de obtener becas o beneficios económicos de manera fraudulenta. b. Consecuencias: Dependiendo del valor del perjuicio causado, el estudiante podría enfrentar presidio menor en sus grados medio a máximo y multas significativas.

11. Abuso de dispositivos (Artículo 8): a. Ejemplo: Un estudiante distribuye entre sus compañeros un programa informático diseñado para eludir las medidas de seguridad de la red de la institución. b. Consecuencias: El estudiante podría ser sancionado con presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales.

12. Manipulación indebida de datos (Artículos 4 y 5): a. Ejemplo: Un administrativo altera las notas de los estudiantes en el sistema informático para favorecer a ciertos alumnos o perjudicar a otros. b. Consecuencias: El administrativo podría ser penalizado con presidio menor en su grado medio si se demuestra que causó un daño grave al titular de los datos informáticos (en este caso, los estudiantes).

13. Receptación de datos informáticos (Artículo 6): a. Ejemplo: Un administrativo, al conocer el origen ilícito de ciertos datos informáticos obtenidos de forma ilegal, los comercializa o transfiere con el propósito de obtener beneficios económicos. b. Consecuencias: Se aplicaría la pena asignada a los delitos respectivos rebajada en un grado, según el Artículo 6. • Aplicación de legislación

Controles de la ISO 27002 y Cumplimiento de la Ley 21.459 en INACAP

1. Acceso No Autorizado a Sistemas Informáticos (Artículo 2): • Control implementado: 9.1.1 Política de Control de Acceso • Implementación en INACAP: Desarrollar políticas claras para el manejo y protección de datos, especificando el acceso a sistemas informáticos. • Aplicación en INACAP: Establecer roles definidos y restricciones de acceso para garantizar que solo personal autorizado tenga acceso a información específica. • Cumplimiento con Ley 21.459: Refuerza la seguridad para prevenir el acceso no autorizado, conforme al Artículo 2.

2. Fraude Informático (Artículo 7): • Control implementado: 12.4.1 Registro y Gestión de Eventos de Actividad • Implementación en INACAP: Establecer un sistema de registro detallado para detectar manipulaciones fraudulentas en la información académica. • Aplicación en INACAP: Supervisar y registrar cualquier cambio inusual en la información académica para prevenir fraudes informáticos. • Cumplimiento con Ley 21.459: La supervisión activa, a través del registro detallado de eventos, cumple con el Artículo 7 al prevenir el fraude informático.

3. Abuso de Dispositivos (Artículo 8): • Control implementado: 12.2.1 Controles contra el Código Malicioso • Implementación en INACAP: Utilizar herramientas de seguridad para prevenir la distribución de programas informáticos maliciosos. • Aplicación en INACAP Monitorear y bloquear la distribución de programas que eluden medidas de seguridad, cumpliendo con el control específico contra el código malicioso. • Cumplimiento con Ley 21.459: La protección activa contra código malicioso se alinea con el Artículo 8.

4. Manipulación Indebida de Datos (Artículos 4 y 5): • control implementado: 12.4.1 Registro y Gestión de Eventos de Actividad • Implementación en INACAP: Supervisar y registrar cualquier alteración de datos, especialmente calificaciones académicas. • Aplicación en INACAP: Establecer procesos de verificación para asegurar la integridad de los datos académicos, en concordancia con el control de registro y gestión de eventos. • Cumplimiento con Ley 21.459: La supervisión activa, a través del registro detallado de eventos, cumple con los Artículos 4 y 5 al prevenir la manipulación indebida de datos.

5. Receptación de Datos Informáticos (Artículo 6): • Control implementado: 8.1.1 Inventario de Activos • Implementación en INACAP: Establecer políticas para el manejo ético de datos y prevenir la comercialización ilícita. • Aplicación en INACAP: Educación continua sobre la ética de manejo de datos y consecuencias legales. • Cumplimiento con Ley 21.459: La gestión ética de activos, respaldada por el inventario de activos, asegura el cumplimiento con el Artículo 6.

6. Acceso No Autorizado a Datos Personales (Artículo 2):

• Control Implementado: 9.1.1 Política de Control de Acceso
• Implementación en INACAP: Desarrollar políticas claras para manejar y proteger los datos personales, especificando el acceso a sistemas informáticos.
• Aplicación en INACAP: Establecer roles definidos y restricciones de acceso para garantizar que solo personal autorizado tenga acceso a información específica.
• Cumplimiento con Ley 19.628: Refuerza la seguridad para prevenir el acceso no autorizado, conforme al Artículo 2.

7. Divulgación No Autorizada de Información (Artículo 7): • Control Implementado: 12.4.2 Protección de los Registros de Información
   • Implementación en INACAP: Establecer un sistema de protección de registros de información para prevenir la divulgación no autorizada de información académica.
   • Aplicación en INACAP: Supervisar y registrar cualquier cambio inusual en la información académica para prevenir fraudes informáticos.
   • Cumplimiento con Ley 19.628: La protección de los registros de información garantiza el cumplimiento con el Artículo 7 al prevenir la divulgación no autorizada de información.

8. Uso Indebido de Datos Personales (Artículo 9):

Control Implementado: 9.1.1 Política de Control de Acceso
• Implementación en INACAP: Realizar programas de educación continua para asegurar que el personal esté al tanto de sus responsabilidades éticas y legales.
• Aplicación en INACAP: Realizar evaluaciones periódicas para identificar y corregir vulnerabilidades que podrían conducir a un uso indebido de datos.
• Cumplimiento con Ley 19.628: La implementación de la política de control de acceso y la gestión de vulnerabilidades aseguran el cumplimiento con la protección de datos personales.

9. Falsificación de Identidad (Artículo 4): • Control Implementado: 9.2.3 Gestión de los Derechos de Acceso con Privilegios Especiales
   • Implementación en INACAP: Reforzar la autenticación mediante métodos multifactoriales para prevenir la suplantación de identidad.
   • Aplicación en INACAP: Utilizar herramientas de protección contra código malicioso para prevenir amenazas informáticas que podrían conducir a la falsificación de identidad.
   • Cumplimiento con Ley 19.628: La gestión de los derechos de acceso con privilegios especiales fortalece la seguridad para prevenir la falsificación de identidad según las regulaciones locales.

10. Incumplimiento de Procedimientos de Seguridad (Artículo 10): • Control Implementado: 12.1.1 Documentación de Procedimientos de Operación
    • Implementación en INACAP: Establecer y comunicar procedimientos operativos de seguridad de manera clara.
    • Aplicación en INACAP: Implementar políticas para prevenir la instalación de software no autorizado que podría resultar en incumplimientos de seguridad.
    • Cumplimiento con Ley 19.628: La definición de procedimientos operativos de seguridad asegura el cumplimiento con el manejo adecuado de la información.

11. Creación de Perfiles Falsos (Artículo 5):

• Control Implementado: 9.2.1 Gestión de Altas/Bajas en el Registro de Usuarios
• Implementación en INACAP: Reforzar la verificación de identidad durante el proceso de registro para prevenir la creación de perfiles falsos.
• Aplicación en INACAP: Establecer procedimientos para detectar y eliminar perfiles falsos de manera proactiva.
• Cumplimiento con Ley 19.628: La gestión de altas/bajas en el registro de usuarios asegura la integridad del registro de usuarios y cumple con las regulaciones locales.

12. Modificación No Autorizada de Datos (Artículo 6):

• Control Implementado: 9.4.1 Restricción del Acceso a la Información
• Implementación en INACAP: Supervisar y gestionar los derechos de acceso para restringir el acceso a la información, especialmente calificaciones académicas, y prevenir cualquier modificación no autorizada de datos.
• Aplicación en INACAP Gestionar actualizaciones de manera adecuada para prevenir la explotación de vulnerabilidades que podrían llevar a modificaciones no autorizadas.
• Cumplimiento con Ley 19.628: La restricción del acceso a la información garantiza la integridad de los datos, cumpliendo con las regulaciones locales.

13. Obstrucción de Acceso a Datos Personales (Artículo 3):

• Control Implementado: 9.1.1 Política de Control de Acceso
• Implementación en INACAP: Garantizar procedimientos claros para otorgar y solicitar acceso a la información, promoviendo la transparencia.
• Aplicación en INACAP: Definir roles y responsabilidades para un acceso transparente y eficiente, evitando obstrucciones injustificadas.
• Cumplimiento con Ley 19.628: La política de control de acceso asegura la transparencia en la gestión de datos personales.

Capítulo 3: Tipos de Ataques e Ingeniería Social

• Tipos de Ataques

Considerando la infraestructura de INACAP, es importante identificar de qué manera cada principio de la seguridad de la información (confidencialidad, integridad y disponibilidad) podría verse afectado por distintos tipos de ataques. A continuación se presentan ejemplos de posibles ataques y su impacto potencial en la institución:

Confidencialidad: Un ataque de suplantación de identidad (phishing) dirigido a los estudiantes, docentes o personal administrativo podría comprometer la confidencialidad de las credenciales de acceso a sistemas académicos y administrativos, lo que potencialmente permitiría acceso no autorizado a información confidencial. Integridad: La modificación no autorizada de datos en la base de datos de estudiantes o en el sistema académico podría impactar negativamente la integridad de la información académica, afectando la precisión y confiabilidad de los registros académicos. Disponibilidad: Un ataque de denegación de servicio (DoS) dirigido a la infraestructura de red de INACAP podría provocar interrupciones significativas en la conectividad de los campus, lo que afectaría la disponibilidad de los servicios y recursos informáticos cruciales.

• Ingeniería Social

Ingeniería Social: La ingeniería social representa un riesgo significativo para la seguridad de la información en INACAP, ya que puede aprovecharse de la confianza o la falta de conciencia de los usuarios para obtener información confidencial o inducir a la acción. A continuación se presentan ejemplos y formas en las cuales distintos roles dentro de la institución podrían caer en técnicas de ingeniería social, junto con controles para evitarlo:

Ataques de Phishing: El personal administrativo y los estudiantes podrían ser objeto de correos electrónicos o mensajes falsos que los inciten a revelar contraseñas o información confidencial. Para mitigar este riesgo, es esencial implementar capacitación continua sobre la identificación de correos electrónicos fraudulentos y la doble autenticación en el acceso a sistemas. Suplantación de Identidad: Los usuarios podrían ser engañados por llamadas o mensajes que aparentan ser de fuentes confiables, solicitando información confidencial. Para evitar este tipo de amenazas, se deben establecer procedimientos claros y comunicar a los usuarios que nunca deben proporcionar información confidencial por teléfono o correo electrónico sin una verificación adecuada.

Ataque de Inyección SQL en INACAP

1. Confidencialidad: • Descripción: Un ataque de inyección SQL explota una vulnerabilidad en la capa de la base de datos de la aplicación de INACAP. Un atacante podría acceder a información confidencial, como datos personales de estudiantes y personal docente. • Impacto: Violación de la confidencialidad al obtener acceso no autorizado a datos sensibles.
2. Integridad: • Descripción: Al realizar una inyección SQL, un atacante puede manipular o modificar registros en la base de datos de INACAP, alterando calificaciones académicas o registros estudiantiles. • Impacto: Pérdida de integridad al manipular datos académicos y registros.
3. Disponibilidad: • Descripción: Un ataque exitoso de inyección SQL puede causar interrupciones en la disponibilidad de la aplicación, ya que el sistema puede volverse inestable o dejar de funcionar correctamente. • Impacto: Interrupción en la disponibilidad al comprometer la funcionalidad de la aplicación.

Ataque de Desbordamiento de Búfer en Servidores de INACAP

1. Confidencialidad: • Descripción: Un ataque de desbordamiento de búfer puede permitir a un atacante acceder a áreas de la memoria que contienen información confidencial, como contraseñas almacenadas en la memoria del servidor. • Impacto: Violación de confidencialidad al acceder a datos sensibles almacenados en la memoria.
2. Integridad: • Descripción: Al manipular el desbordamiento de búfer, un atacante podría alterar datos en la memoria del servidor, comprometiendo la integridad de los procesos en ejecución. • Impacto: Pérdida de integridad al modificar datos en la memoria del servidor.
3. Disponibilidad: • Descripción: Un ataque de desbordamiento de búfer exitoso puede causar que el servidor se vuelva inestable o se bloquee, afectando la disponibilidad de los servicios de INACAP • Impacto: Interrupción en la disponibilidad al comprometer la estabilidad del servidor.

Ataque de Phishing a Cuentas de Correo Electrónico de INACAP

1. Confidencialidad: • Descripción: Un ataque de phishing dirigido a correos electrónicos de personal de INACAP busca obtener credenciales de acceso, comprometiendo la confidencialidad de la comunicación interna. • Impacto: Violación de confidencialidad al acceder a correos electrónicos sensibles.

2. Integridad: • Descripción: Con acceso a cuentas de correo electrónico, un atacante podría manipular o enviar información falsa, comprometiendo la integridad de la comunicación institucional. • Impacto: Pérdida de integridad al manipular información en correos electrónicos.

3. Disponibilidad: • Descripción: El acceso no autorizado a cuentas de correo electrónico podría resultar en la pérdida de disponibilidad de servicios de comunicación interna. • Impacto: Interrupción de la disponibilidad al comprometer cuentas y servicios de correo electrónico.

Ataque de CAM Table Overflow en Equipos de Red de INACAP

1. Confidencialidad: • Descripción: Un ataque de desbordamiento de la tabla CAM en switches de red podría permitir a un atacante interceptar y leer el tráfico de red, comprometiendo la confidencialidad de la comunicación entre dispositivos. • Impacto: Violación de confidencialidad al acceder y leer datos sensibles transmitidos en la red de INACAP.

2. Integridad: • Descripción: Manipulando la tabla CAM, un atacante podría redirigir o modificar el tráfico de red, comprometiendo la integridad de la comunicación entre sistemas. • Impacto: Pérdida de integridad al manipular y alterar datos transmitidos en la red.

3. Disponibilidad: • Descripción: Un ataque exitoso de desbordamiento de tabla CAM puede saturar la red al inundarla con tráfico no deseado, afectando la disponibilidad de servicios y recursos de red. • Impacto: Interrupción en la disponibilidad al saturar y congestionar la red de INACAP.

Ataque de Transferencia de Zona DNS a Servidores de INACAP

1. Confidencialidad: • Descripción: Un ataque de transferencia de zona DNS podría revelar información confidencial sobre la infraestructura de INACAP, como la estructura de la red y las direcciones IP de los servidores. • Impacto: Violación de confidencialidad al exponer detalles sensibles de la infraestructura.
2. Integridad: • Descripción: Al recopilar información de transferencias de zona, un atacante podría modificar registros DNS, comprometiendo la integridad de la resolución de nombres. • Impacto: Pérdida de integridad al manipular la información de resolución de nombres en la infraestructura DNS.
3. Disponibilidad: • Descripción: Un ataque exitoso de transferencia de zona a servidores DNS puede agotar recursos y afectar la disponibilidad de los servicios de nombres de dominio en INACAP. • Impacto: Interrupción en la disponibilidad al comprometer la funcionalidad del sistema DNS.

Ataque de Envenenamiento de Cookies en Aplicaciones Web de INACAP

1. Confidencialidad: • Descripción: Un ataque de envenenamiento de cookies podría permitir a un atacante robar sesiones de usuario, comprometiendo la confidencialidad de la información de acceso. • Impacto: Violación de confidencialidad al acceder a cuentas de usuario sin autorización.
2. Integridad: • Descripción: Manipulando cookies, un atacante podría modificar datos asociados a la sesión, comprometiendo la integridad de la información almacenada durante la interacción del usuario. • Impacto: Pérdida de integridad al manipular información de sesión y transacciones.
3. Disponibilidad • Descripción: El robo de cookies podría resultar en el acceso no autorizado a cuentas, afectando la disponibilidad de servicios y recursos web de INACAP. • Impacto: Interrupción en la disponibilidad al comprometer la seguridad de las cuentas de usuario.

Capítulo 4: Malware

Mecanismos de Infección y Defensa

A continuación se especifican los tipos de malware, los distintos elementos dentro de la sede de INACAP que podrían verse afectados, así como los potenciales mecanismos de infección y las medidas de defensa a aplicar:

Sistemas Académicos y Base de Datos de Estudiantes: Potenciales Tipos de Malware:

• Ransomware: Este tipo de malware puede cifrar los datos críticos de los sistemas académicos y la base de datos de estudiantes, exigiendo un rescate por la clave de descifrado.

• Troyanos: Los troyanos pueden infiltrarse en los sistemas académicos y la base de datos de estudiantes, permitiendo a los atacantes robar información confidencial o dañar los datos existentes.

o Mecanismos de Infección:  Descargas de archivos adjuntos de correo electrónico maliciosos.  Explotación de vulnerabilidades en el software utilizado en los sistemas académicos y base de datos.

o Medidas de Defensa:  Implementación de soluciones antivirus y antimalware actualizadas.  Actualización regular de parches de seguridad y del software utilizado para evitar vulnerabilidades.  Realización de copias de seguridad periódicas y almacenamiento de estas en ubicaciones seguras.

Plataforma de Aprendizaje en Línea (E-learning) y Correo Electrónico Institucional: Potenciales Tipos de Malware:

• Phishingware: Malware diseñado para robar credenciales de acceso a la plataforma de aprendizaje en línea y al correo electrónico institucional.

• Spyware: Este tipo de malware podría instalarse en estos sistemas para recopilar información confidencial de usuarios y actividades.

o Mecanismos de Infección:  Vínculos maliciosos en correos electrónicos que llevan a sitios comprometidos con malware.  Descargas inadvertidas de archivos infectados a través de correos electrónicos o enlaces contenidos en la plataforma de aprendizaje en línea.

o Medidas de Defensa:  Formación continua sobre concienciación en seguridad, haciendo hincapié en la identificación de correos electrónicos y enlaces maliciosos.  Implementación de soluciones de seguridad de correo electrónico y análisis de tráfico web para detectar y bloquear enlaces y archivos maliciosos.

Infraestructura de Red y Sistema de Videovigilancia: Potenciales Tipos de Malware:

• Botnets: Estos programas maliciosos podrían infectar los equipos de red, utilizándolos para realizar ataques distribuidos de denegación de servicio (DDoS) u otras actividades malintencionadas. • Rootkits: Pueden ocultarse en los sistemas de videovigilancia, ganando acceso privilegiado y permaneciendo ocultos para robar datos o supervisar actividades.

o Mecanismos de Infección:  Explotación de vulnerabilidades en protocolos de red y sistemas operativos utilizados en la infraestructura.  Infección a través de dispositivos USB infectados o descargas de software no autorizadas.  

o Medidas de Defensa:  Implementación de firewalls, sistemas de detección de intrusiones y análisis de tráfico para detectar y mitigar actividades maliciosas en la red.  Restricción de los privilegios de acceso y monitoreo constante de los sistemas de videovigilancia para detectar comportamientos no autorizados.

Aplicaciones Administrativas y Sistema de Recursos Humanos: Potenciales Tipos de Malware:

o Malware de acceso remoto: Este tipo de malware podría permitir a los atacantes tomar el control de las aplicaciones administrativas y los sistemas de recursos humanos de forma remota. o Adware: Puede afectar el rendimiento de las aplicaciones administrativas y los sistemas de recursos humanos, además de mostrar anuncios no deseados. o  Mecanismos de Infección: • Descargas de software de fuentes no verificadas o sitios web comprometidos. • Explotación de vulnerabilidades en las aplicaciones y los sistemas utilizados.

 Medidas de Defensa: • Implementación de controles de acceso estrictos y autenticación de múltiples factores para las aplicaciones administrativas y los sistemas de recursos humanos. • Verificación regular de vulnerabilidades en el software utilizado y aplicación de parches de seguridad.

En la actualidad, la institución INACAP ha implementado varias medidas de seguridad para proteger su infraestructura de TI, incluyendo la segmentación de red, controles de acceso basados en roles y actualizaciones regulares de software y firmware. Sin embargo, es importante reconocer que existen áreas específicas que podrían requerir una mayor atención, como es el caso de la autenticación de múltiples factores (MFA), la cual actualmente solo se aplica en el ingreso a la institución y en el login con la cuenta, pero no se cuenta con autenticación mediante dispositivos móviles, lo que representa una posible vulnerabilidad en los sistemas.

Desarrollo de Mecanismos de Defensa Prácticos:

1. Autenticación de Múltiples Factores Mejorada: INACAP podría considerar la implementación de una autenticación de múltiples factores más robusta, que incluya la verificación a través de dispositivos móviles, como el envío de códigos de verificación por SMS o el uso de aplicaciones de autenticación como Google Authenticator. Esta medida fortalecería la seguridad de los accesos a los sistemas críticos, añadiendo una capa adicional de protección frente a accesos no autorizados.

2. Educación y Concientización en Seguridad: Continuar con la formación y concienciación en seguridad informática para todos los miembros de la comunidad educativa, haciendo hincapié en la identificación de posibles amenazas como el phishing, el malware y las prácticas seguras de navegación y descargas.

3. Análisis Periódico de Vulnerabilidades: Realizar análisis periódicos de vulnerabilidades en todos los sistemas y aplicaciones utilizadas en la institución, utilizando herramientas especializadas para identificar posibles puntos débiles y aplicar parches de seguridad de manera proactiva.

4. Implementación de Protección Avanzada Contra Malware: Considerar la implementación de soluciones avanzadas de protección contra malware, como el uso de soluciones de “endpoint protection” que incluyan funcionalidades de detección y respuesta, y análisis de comportamiento para identificar y mitigar eficazmente las amenazas.

5. Vigilancia Activa de la Red: Mantener una vigilancia activa de la red para detectar y responder rápidamente a posibles intrusiones o comportamientos anómalos, utilizando sistemas avanzados de detección de amenazas y monitoreo de eventos de seguridad.

Capítulo 5: Actividad Practica OSINT

• Patente: FRCT51 • Propietario del vehículo: Maria Antonieta Jara Meriño • Datos personales del propietario o Rut: 16.128.652-4 o Dirección: Pje Los Madroños 10509, Bellavista • Dirección del propietario (Google Maps)

Ilustración 1 Dirección Google Maps Fuente: Google Maps

Ilustración 2 Dirección Google Maps Fuente: Google Maps

• Conseguir un certificado del registro civil asociado a la persona.

o Certificado de Nacimiento:

Ilustración 3 Certificado de Nacimiento Fuente: Registro Civil

• Conseguir al menos una red social asociada a la persona. o Facebook:

Ilustración 4 Red Social: Facebook Fuente: Facebook

Capítulo 6: Actividad Practica Phishing • usernames - copia.txt

Ilustración 5 Usernames Phishing Fuente: Elaboración Propia

• ip.txt

Ilustración 6 IP Phishing Fuente: Elaboración Propia

Ilustración 7 IP Phishing Fuente: Elaboración Propia

Ilustración 8 IP Phishing Fuente: Elaboración Propia

Conclusiones

En el marco del análisis detallado sobre la seguridad de la información en INACAP, se ha puesto de manifiesto la importancia crítica de implementar controles efectivos para el cumplimiento de las leyes de Protección de Datos Personales y Ciberseguridad. La institución, como entidad educativa líder, se encuentra en la vanguardia de la gestión de datos sensibles, y la aplicación de políticas de privacidad y controles de ciberseguridad se revela como un imperativo estratégico. No obstante, la exposición potencial de la información personal de los individuos vinculados a INACAP no puede subestimarse. En un entorno cada vez más digitalizado, la amenaza de exposición de datos personales es real y multifacética. Desde vulnerabilidades en plataformas académicas hasta posibles brechas en sistemas administrativos, la información personal puede estar expuesta a riesgos que abarcan desde accesos no autorizados hasta posibles filtraciones.

Particularmente, la implementación de medidas robustas contra ataques de Phishing se presenta como un componente esencial. La ingeniería social y los métodos sofisticados empleados en ataques de Phishing podrían representar una amenaza significativa tanto para la institución INACAP y estudiantes. La concientización continua, la formación del personal y la implementación de filtros efectivos son estrategias clave para mitigar el riesgo de caer en este tipo de engaños.

En este contexto, INACAP no solo ha avanzado en la identificación de activos críticos y en la definición de controles específicos, sino que también se enfrenta proactivamente a los desafíos emergentes de ciberseguridad. Esta conclusión técnica subraya la necesidad de una vigilancia constante, actualizaciones continuas de políticas y la colaboración con expertos en seguridad para mantener la integridad y privacidad de la información en el centro de sus prioridades estratégicas. La institución se encuentra en una posición propicia para fortalecer aún más sus medidas de seguridad y mantenerse a la vanguardia en la protección de la información sensible.

está bien pero es muy corto, necesito que sea más extenso aún.

necesito que desarrolles extensamente el capítulo 1, que contiene hasta el momento la siguiente información:

Capítulo 1: Análisis de Riesgo

• Identificación de Activos de Información

1. Sistema Académico • Descripción: Plataforma central para la gestión académica. Almacena información sobre cursos, planificaciones, asistencia y calificaciones. • Ubicación: Servidores en la nube.

2. Base de Datos de Estudiantes: • Descripción: Contiene información detallada de cada estudiante, incluyendo datos personales, historial académico, y registros financieros. • Ubicación: Base de datos central protegida.

3. Plataforma de Aprendizaje en Línea (E-learning): • Descripción: Contiene cursos, material didáctico y foros de discusión. Es esencial para la educación en línea. • Ubicación: Servidores en la nube con medidas de seguridad robustas.

4. Correo Electrónico Institucional • Descripción: Herramienta de comunicación oficial para estudiantes, profesores y personal administrativo. • Ubicación: Servidores de correo electrónico con cifrado.

5. Infraestructura de Red • Descripción: Red de comunicación que conecta todos los campus. Incluye servidores, switches, routers y puntos de acceso inalámbrico. • Ubicación: En toda la red institucional con firewalls y medidas de seguridad.

6. Sistema de Recursos Humanos • Descripción: Almacena información del personal, datos de nómina y registros de recursos humanos. • Ubicación: Servidores internos con acceso restringido.

7. Sistema de Biblioteca • Descripción: Base de datos que gestiona el catálogo de la biblioteca, préstamos y devoluciones. • Ubicación: Servidores locales con respaldos periódicos.

8. Sitio Web Institucional • Descripción: Página web pública que proporciona información sobre programas académicos, eventos, y noticias. • Ubicación: Servidores web con seguridad contra ataques web.

9. Sistema de Videovigilancia • Descripción: Cámaras de seguridad que monitorean áreas comunes y zonas críticas en todos los campus. • Ubicación: Locaciones estratégicas con acceso controlado.

10. Aplicaciones Administrativas • Descripción: Software utilizado para la gestión administrativa, incluyendo contabilidad, facturación y gestión de recursos. • Ubicación: Servidores locales con respaldos y acceso restringido.

continúa desarrollando por favor

aún falta la 9 y 10

No, eso está errado, en realidad eran estos:

9. Sistema de Videovigilancia • Descripción: Cámaras de seguridad que monitorean áreas comunes y zonas críticas en todos los campus. • Ubicación: Locaciones estratégicas con acceso controlado.
10. Aplicaciones Administrativas • Descripción: Software utilizado para la gestión administrativa, incluyendo contabilidad, facturación y gestión de recursos. • Ubicación: Servidores locales con respaldos y acceso restringido.

Por favor, continúa desarrollando

Podrías desarrollar muy extensamente, la conclusión del informe? (Esto es lo que tengo hasta ahora pero necesito que sea mucho más):

Conclusiones

En el marco del análisis detallado sobre la seguridad de la información en INACAP, se ha puesto de manifiesto la importancia crítica de implementar controles efectivos para el cumplimiento de las leyes de Protección de Datos Personales y Ciberseguridad. La institución, como entidad educativa líder, se encuentra en la vanguardia de la gestión de datos sensibles, y la aplicación de políticas de privacidad y controles de ciberseguridad se revela como un imperativo estratégico. No obstante, la exposición potencial de la información personal de los individuos vinculados a INACAP no puede subestimarse. En un entorno cada vez más digitalizado, la amenaza de exposición de datos personales es real y multifacética. Desde vulnerabilidades en plataformas académicas hasta posibles brechas en sistemas administrativos, la información personal puede estar expuesta a riesgos que abarcan desde accesos no autorizados hasta posibles filtraciones.

Particularmente, la implementación de medidas robustas contra ataques de Phishing se presenta como un componente esencial. La ingeniería social y los métodos sofisticados empleados en ataques de Phishing podrían representar una amenaza significativa tanto para la institución INACAP y estudiantes. La concientización continua, la formación del personal y la implementación de filtros efectivos son estrategias clave para mitigar el riesgo de caer en este tipo de engaños.

En este contexto, INACAP no solo ha avanzado en la identificación de activos críticos y en la definición de controles específicos, sino que también se enfrenta proactivamente a los desafíos emergentes de ciberseguridad. Esta conclusión técnica subraya la necesidad de una vigilancia constante, actualizaciones continuas de políticas y la colaboración con expertos en seguridad para mantener la integridad y privacidad de la información en el centro de sus prioridades estratégicas. La institución se encuentra en una posición propicia para fortalecer aún más sus medidas de seguridad y mantenerse a la vanguardia en la protección de la información sensible.

Realiza una conclusión extensa abordando todos los temas que componen el siguiente informe:

  Contenido Contenido 2 Tabla de Ilustraciones 3 Introducción 4 Capítulo 1: Análisis de Riesgo 6 • Identificación de Activos de Información 6 • Escalas de Riesgo 8 • Matriz de Riesgo 8 Capítulo 2: Delitos Informáticos 8 • Análisis de potenciales delitos informáticos 8 Ley N° 19.628 9 Ley N° 21.459: 10 • Aplicación de legislación 11 Controles de la ISO 27002 y Cumplimiento de la Ley 21.459 en INACAP 11 Capítulo 3: Tipos de Ataques e Ingeniería Social 15 • Tipos de Ataques 15 • Ingeniería Social 16 Capítulo 4: Malware 19 Mecanismos de Infección y Defensa 19 Capítulo 5: Actividad Practica OSINT 24 Capítulo 6: Actividad Practica Phishing 27 Conclusiones 29 Referencias bibliográficas 30

Tabla de Ilustraciones

Ilustración 1: Dirección Google Maps 24 Ilustración 2: Dirección Google Maps 24 Ilustración 3: Certificado de Nacimiento 25 Ilustración 4: Red Social (Facebook) 26 Ilustración 5: Usernames Phishing 27 Ilustración 6: IP Phishing (1/3) 27 Ilustración 7: IP Phishing (2/3) 28 Ilustración 8: IP Phishing (3/3) 28

Introducción

En el contexto de la institución educativa INACAP, la aplicación de controles para el cumplimiento de las leyes de Protección de Datos Personales (Ley 19.628) y Ciberseguridad (Ley 21.459) emerge como un componente crítico para la salvaguarda de la integridad y privacidad de la información. INACAP, como entidad dedicada a la formación educativa, enfrenta la responsabilidad de gestionar datos sensibles de estudiantes, docentes y personal administrativo, requiriendo así un enfoque integral y específico en términos de seguridad y cumplimiento normativo.

En este escenario, la implementación de políticas de privacidad adaptadas a INACAP se erige como un punto de partida esencial. Estas políticas, diseñadas para gestionar el tratamiento de datos personales de manera transparente y segura, buscan cumplir con los principios fundamentales de la Ley 19.628, tales como el consentimiento informado y la implementación de medidas de seguridad adecuadas. Asimismo, en consonancia con la Ley 21.459, INACAP deberá establecer una estructura de controles específicos para la gestión de la ciberseguridad. Desde sistemas de gestión de identidades y accesos robustos hasta protocolos de monitoreo continuo de plataformas educativas, estos controles buscan salvaguardar la integridad de la información académica y personal en un entorno educativo cada vez más digitalizado.

Este compromiso con la seguridad y privacidad se amplía aún más en el análisis de riesgo detallado, abordado en el Capítulo 1. En este capítulo, se realiza una minuciosa identificación de activos cruciales que abarcan desde el núcleo académico, representado por el Sistema Académico, hasta los elementos administrativos, como la infraestructura de Recursos Humanos y las Aplicaciones Administrativas. Cada uno de estos activos, vital para el funcionamiento de INACAP, ha sido evaluado con detalle para comprender sus riesgos inherentes y establecer medidas de protección específicas, garantizando así la continuidad y seguridad de la información académica y administrativa en un entorno educativo cada vez más digitalizado.

El informe proporcionado aborda una amplia gama de temas relacionados con la seguridad de la información, leyes de protección de datos personales, ciberseguridad, análisis de riesgos, tipos de delitos informáticos, controles ISO 27002 y actividades prácticas de OSINT y Phishing. Se ha destacado la importancia crítica de la implementación efectiva de controles para cumplir con las leyes de Protección de Datos Personales y Ciberseguridad en el contexto de INACAP, una institución educativa líder. Además, se resaltan las posibles vulnerabilidades, los tipos de ataques, los mecanismos de infección y las posibles medidas de defensa para fortalecer la seguridad.

El informe también identifica áreas específicas que podrían requerir una mayor atención, como la autenticación de múltiples factores, la formación en concienciación de seguridad, la vigilancia activa de la red y la implementación de soluciones avanzadas de protección contra malware. Además, se han proporcionado detalles sobre la obtención de información relevante a través de OSINT, incluyendo la dirección del propietario de un vehículo, certificados del registro civil asociados a una persona, redes sociales asociadas y actividades prácticas de Phishing.

En resumen, el informe destaca la importancia crítica de la seguridad de la información, la necesidad de implementar medidas robustas para proteger los datos personales y la importancia de la concientización y formación continua en seguridad informática en INACAP.

Capítulo 1: Análisis de Riesgo

• Identificación de Activos de Información

1. Sistema Académico • Descripción: El Sistema Académico es una plataforma central para la gestión académica que almacena información crítica, incluyendo cursos, planificaciones, asistencia y calificaciones. Esta plataforma es esencial para el funcionamiento fluido de las actividades académicas de INACAP y su disponibilidad y seguridad son fundamentales. • Ubicación: Los servidores del Sistema Académico están alojados en la nube.
2. Base de Datos de Estudiantes: • Descripción: La Base de Datos de Estudiantes contiene información detallada de cada estudiante, incluyendo datos personales, historial académico y registros financieros. Esta base de datos almacena información altamente confidencial y su integridad y confidencialidad deben ser prioritarias para la institución. • Ubicación: La Base de Datos de Estudiantes está protegida en un entorno central con medidas de seguridad avanzadas, asegurando su acceso restringido y realizando copias de seguridad periódicas para mantener la integridad de la información.
3. Plataforma de Aprendizaje en Línea (E-learning): • Descripción: La Plataforma de E-learning es vital para la experiencia educativa en línea, ya que contiene cursos, material didáctico, y foros de discusión. La disponibilidad de esta plataforma es crucial para el acceso a la educación por parte de los estudiantes y docentes. • Ubicación: Los servidores de la Plataforma de E-learning están alojados en la nube, con medidas de seguridad robustas y copias de seguridad periódicas para garantizar su disponibilidad y protección contra posibles amenazas.
4. Correo Electrónico Institucional • Descripción: El correo electrónico institucional es una herramienta de comunicación oficial para estudiantes, profesores y personal administrativo. Dada la sensibilidad de la información intercambiada a través del correo electrónico, es crucial garantizar la confidencialidad y seguridad de esta plataforma. • Ubicación: Los servidores de correo electrónico están protegidos por cifrado y se aplican medidas de seguridad para proteger la integridad y confidencialidad de los datos transmitidos.
5. Infraestructura de Red • Descripción: La infraestructura de red en INACAP conecta todos los campus e incluye servidores, switches, routers y puntos de acceso inalámbrico. Esta red es fundamental para la conectividad y comunicación dentro de la institución.

• Ubicación: La infraestructura de red está distribuida en toda la red institucional y está protegida con firewalls y medidas de seguridad para garantizar la integridad y confidencialidad de la información transmitida a través de ella. 6. Sistema de Recursos Humanos • Descripción: El sistema de recursos humanos almacena información del personal, datos de nómina y registros de recursos humanos. Dado que contiene datos confidenciales, su protección y disponibilidad son críticas para el buen funcionamiento de la institución. • Ubicación: Los servidores del sistema de recursos humanos están ubicados internamente y cuentan con acceso restringido y medidas de seguridad avanzadas. 7. Sistema de Biblioteca • Descripción: El sistema de biblioteca es una base de datos que gestiona el catálogo de la biblioteca, préstamos y devoluciones. La disponibilidad y precisión de esta información son esenciales para el funcionamiento eficiente de la biblioteca. • Ubicación: Los servidores del sistema de biblioteca están alojados localmente y se realizan respaldos periódicos para garantizar la integridad y disponibilidad de la información. 8. Sitio Web Institucional • Descripción: El sitio web público proporciona información sobre programas académicos, eventos y noticias. La confiabilidad y seguridad del sitio web son fundamentales para proyectar una imagen confiable de la institución. • Ubicación: Los servidores web del sitio institucional cuentan con medidas de seguridad contra ataques web para proteger la información y la experiencia del usuario. 9. Sistema de Videovigilancia • Descripción: El sistema de videovigilancia consiste en cámaras de seguridad que monitorean áreas comunes y zonas críticas en todos los campus de la institución. Proporciona una capa de seguridad adicional para la protección de estudiantes, personal y activos físicos. • Ubicación: Las cámaras de videovigilancia están ubicadas en lugares estratégicos como entradas, pasillos, laboratorios y zonas comunes. El acceso a las grabaciones está restringido y se aplican medidas para garantizar la confidencialidad de las imágenes capturadas. 10. Aplicaciones Administrativas • Descripción: Las aplicaciones administrativas son software utilizados para la gestión administrativa, incluyendo contabilidad, facturación y gestión de recursos. Estos sistemas contienen información crítica para el funcionamiento eficiente y transparente de la institución. • Ubicación: Las aplicaciones administrativas se ejecutan en servidores locales con respaldos regulares y acceso restringido.

• Escalas de Riesgo

• Matriz de Riesgo

Capítulo 2: Delitos Informáticos

• Análisis de potenciales delitos informáticos

La Ley N° 19.628, también conocida como la Ley de Protección de Datos Personales en Chile, establece un marco legal para regular el tratamiento de la información personal. Promulgada con el objetivo de salvaguardar el derecho a la privacidad de los individuos, esta ley define los principios fundamentales que rigen la recopilación, almacenamiento, procesamiento y utilización de datos personales. Entre estos principios se encuentran el consentimiento informado, la finalidad legítima del tratamiento, la calidad de los datos y las medidas de seguridad necesarias para su protección. La Ley N° 21.459, que aborda el ámbito de la ciberseguridad en Chile, se erige como un pilar crucial para la protección de la infraestructura crítica y la seguridad de la información en el país. Esta legislación tiene como propósito principal prevenir y sancionar conductas ilícitas relacionadas con el acceso no autorizado a sistemas, la difusión de códigos maliciosos y otros ataques que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. Ambas leyes, si bien abordan aspectos distintos, convergen en la importancia de salvaguardar la integridad de la información, ya sea a nivel personal o en el ámbito más amplio de la ciberseguridad. Su cumplimiento es esencial para garantizar el respeto a la privacidad de los ciudadanos y la protección de los sistemas críticos en un entorno digital cada vez más complejo y desafiante. A su vez, al analizar la institución Inacap, se detallan los potenciales posibles delitos: Ley N° 19.628

1. Acceso No Autorizado a Datos Personales: a. Detalle: Acceder a bases de datos o sistemas informáticos de la INACAP sin autorización implica utilizar información de manera no permitida. b. Posibles Escenarios: Acceso indebido a expedientes académicos, datos de contacto o información confidencial de estudiantes y personal.

2. Divulgación No Autorizada de Información: a. Detalle: Compartir información personal sin consentimiento explícito va en contra de la privacidad establecida por la ley. b. Posibles Escenarios: Publicación no autorizada de datos estudiantiles, como calificaciones, o compartir información personal sin consentimiento.

3. Uso Indebido de Datos Personales: a. Detalle: Utilizar datos con propósitos diferentes a los establecidos por la ley es considerado un uso indebido. b. Posibles Escenarios: Emplear información personal para fines de acoso, discriminación o cualquier actividad no relacionada con los objetivos académicos o administrativos.

4. Falsificación de Identidad: a. Detalle: Suplantar la identidad para acceder a sistemas informáticos o realizar acciones en nombre de otra persona es una violación grave. b. Posibles Escenarios: Acceder a cuentas de otros estudiantes o administrativos mediante la suplantación de identidad.

5. Creación de Perfiles Falsos: a. Detalle: Crear perfiles falsos con el objetivo de obtener acceso no autorizado a información personal es una violación seria. b. Posibles Escenarios: Crear perfiles ficticios para espiar a otros o acceder a información restringida.

6. Modificación No Autorizada de Datos: a. Detalle: Modificar datos personales sin autorización puede afectar la integridad de la información. b. Posibles Escenarios: Alterar calificaciones, historiales académicos o cualquier otro dato personal sin permiso.

7. Obstrucción de Acceso a Datos Personales a. Detalle: Obstaculizar el acceso legítimo a la propia información va en contra del derecho de las personas. b. Posibles Escenarios: Bloquear el acceso de un estudiante o administrativo a su información académica o personal sin motivo justificado.

8. Incumplimiento de Procedimientos de Seguridad a. Detalle: Ignorar o evadir procedimientos de seguridad pone en riesgo la integridad de los datos personales. b. Posibles Escenarios: No seguir protocolos de seguridad al manejar información sensible, como contraseñas débiles o compartir credenciales. Ley N° 21.459:

9. Acceso no autorizado a sistemas informáticos (Artículo 2): a. Ejemplo: Un estudiante de INACAP utiliza técnicas de hacking para acceder a sistemas informáticos de la institución, como bases de datos de calificaciones o información confidencial, sin tener la debida autorización. b. Consecuencias: El estudiante podría enfrentar cargos por acceso no autorizado y ser sancionado con pena de presidio menor.

10. Fraude informático (Artículo 7): a. Ejemplo: Un estudiante manipula el sistema informático para cambiar la información sobre su situación académica con el objetivo de obtener becas o beneficios económicos de manera fraudulenta. b. Consecuencias: Dependiendo del valor del perjuicio causado, el estudiante podría enfrentar presidio menor en sus grados medio a máximo y multas significativas.

11. Abuso de dispositivos (Artículo 8): a. Ejemplo: Un estudiante distribuye entre sus compañeros un programa informático diseñado para eludir las medidas de seguridad de la red de la institución. b. Consecuencias: El estudiante podría ser sancionado con presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales.

12. Manipulación indebida de datos (Artículos 4 y 5): a. Ejemplo: Un administrativo altera las notas de los estudiantes en el sistema informático para favorecer a ciertos alumnos o perjudicar a otros. b. Consecuencias: El administrativo podría ser penalizado con presidio menor en su grado medio si se demuestra que causó un daño grave al titular de los datos informáticos (en este caso, los estudiantes).

13. Receptación de datos informáticos (Artículo 6): a. Ejemplo: Un administrativo, al conocer el origen ilícito de ciertos datos informáticos obtenidos de forma ilegal, los comercializa o transfiere con el propósito de obtener beneficios económicos. b. Consecuencias: Se aplicaría la pena asignada a los delitos respectivos rebajada en un grado, según el Artículo 6. • Aplicación de legislación

Controles de la ISO 27002 y Cumplimiento de la Ley 21.459 en INACAP

1. Acceso No Autorizado a Sistemas Informáticos (Artículo 2): • Control implementado: 9.1.1 Política de Control de Acceso • Implementación en INACAP: Desarrollar políticas claras para el manejo y protección de datos, especificando el acceso a sistemas informáticos. • Aplicación en INACAP: Establecer roles definidos y restricciones de acceso para garantizar que solo personal autorizado tenga acceso a información específica. • Cumplimiento con Ley 21.459: Refuerza la seguridad para prevenir el acceso no autorizado, conforme al Artículo 2.

2. Fraude Informático (Artículo 7): • Control implementado: 12.4.1 Registro y Gestión de Eventos de Actividad • Implementación en INACAP: Establecer un sistema de registro detallado para detectar manipulaciones fraudulentas en la información académica. • Aplicación en INACAP: Supervisar y registrar cualquier cambio inusual en la información académica para prevenir fraudes informáticos. • Cumplimiento con Ley 21.459: La supervisión activa, a través del registro detallado de eventos, cumple con el Artículo 7 al prevenir el fraude informático.

3. Abuso de Dispositivos (Artículo 8): • Control implementado: 12.2.1 Controles contra el Código Malicioso • Implementación en INACAP: Utilizar herramientas de seguridad para prevenir la distribución de programas informáticos maliciosos. • Aplicación en INACAP Monitorear y bloquear la distribución de programas que eluden medidas de seguridad, cumpliendo con el control específico contra el código malicioso. • Cumplimiento con Ley 21.459: La protección activa contra código malicioso se alinea con el Artículo 8.

4. Manipulación Indebida de Datos (Artículos 4 y 5): • control implementado: 12.4.1 Registro y Gestión de Eventos de Actividad • Implementación en INACAP: Supervisar y registrar cualquier alteración de datos, especialmente calificaciones académicas. • Aplicación en INACAP: Establecer procesos de verificación para asegurar la integridad de los datos académicos, en concordancia con el control de registro y gestión de eventos. • Cumplimiento con Ley 21.459: La supervisión activa, a través del registro detallado de eventos, cumple con los Artículos 4 y 5 al prevenir la manipulación indebida de datos.

5. Receptación de Datos Informáticos (Artículo 6): • Control implementado: 8.1.1 Inventario de Activos • Implementación en INACAP: Establecer políticas para el manejo ético de datos y prevenir la comercialización ilícita. • Aplicación en INACAP: Educación continua sobre la ética de manejo de datos y consecuencias legales. • Cumplimiento con Ley 21.459: La gestión ética de activos, respaldada por el inventario de activos, asegura el cumplimiento con el Artículo 6.

6. Acceso No Autorizado a Datos Personales (Artículo 2):

• Control Implementado: 9.1.1 Política de Control de Acceso
• Implementación en INACAP: Desarrollar políticas claras para manejar y proteger los datos personales, especificando el acceso a sistemas informáticos.
• Aplicación en INACAP: Establecer roles definidos y restricciones de acceso para garantizar que solo personal autorizado tenga acceso a información específica.
• Cumplimiento con Ley 19.628: Refuerza la seguridad para prevenir el acceso no autorizado, conforme al Artículo 2.

7. Divulgación No Autorizada de Información (Artículo 7): • Control Implementado: 12.4.2 Protección de los Registros de Información
   • Implementación en INACAP: Establecer un sistema de protección de registros de información para prevenir la divulgación no autorizada de información académica.
   • Aplicación en INACAP: Supervisar y registrar cualquier cambio inusual en la información académica para prevenir fraudes informáticos.
   • Cumplimiento con Ley 19.628: La protección de los registros de información garantiza el cumplimiento con el Artículo 7 al prevenir la divulgación no autorizada de información.

8. Uso Indebido de Datos Personales (Artículo 9):

Control Implementado: 9.1.1 Política de Control de Acceso
• Implementación en INACAP: Realizar programas de educación continua para asegurar que el personal esté al tanto de sus responsabilidades éticas y legales.
• Aplicación en INACAP: Realizar evaluaciones periódicas para identificar y corregir vulnerabilidades que podrían conducir a un uso indebido de datos.
• Cumplimiento con Ley 19.628: La implementación de la política de control de acceso y la gestión de vulnerabilidades aseguran el cumplimiento con la protección de datos personales.

9. Falsificación de Identidad (Artículo 4): • Control Implementado: 9.2.3 Gestión de los Derechos de Acceso con Privilegios Especiales
   • Implementación en INACAP: Reforzar la autenticación mediante métodos multifactoriales para prevenir la suplantación de identidad.
   • Aplicación en INACAP: Utilizar herramientas de protección contra código malicioso para prevenir amenazas informáticas que podrían conducir a la falsificación de identidad.
   • Cumplimiento con Ley 19.628: La gestión de los derechos de acceso con privilegios especiales fortalece la seguridad para prevenir la falsificación de identidad según las regulaciones locales.

10. Incumplimiento de Procedimientos de Seguridad (Artículo 10): • Control Implementado: 12.1.1 Documentación de Procedimientos de Operación
    • Implementación en INACAP: Establecer y comunicar procedimientos operativos de seguridad de manera clara.
    • Aplicación en INACAP: Implementar políticas para prevenir la instalación de software no autorizado que podría resultar en incumplimientos de seguridad.
    • Cumplimiento con Ley 19.628: La definición de procedimientos operativos de seguridad asegura el cumplimiento con el manejo adecuado de la información.

11. Creación de Perfiles Falsos (Artículo 5):

• Control Implementado: 9.2.1 Gestión de Altas/Bajas en el Registro de Usuarios
• Implementación en INACAP: Reforzar la verificación de identidad durante el proceso de registro para prevenir la creación de perfiles falsos.
• Aplicación en INACAP: Establecer procedimientos para detectar y eliminar perfiles falsos de manera proactiva.
• Cumplimiento con Ley 19.628: La gestión de altas/bajas en el registro de usuarios asegura la integridad del registro de usuarios y cumple con las regulaciones locales.

12. Modificación No Autorizada de Datos (Artículo 6):

• Control Implementado: 9.4.1 Restricción del Acceso a la Información
• Implementación en INACAP: Supervisar y gestionar los derechos de acceso para restringir el acceso a la información, especialmente calificaciones académicas, y prevenir cualquier modificación no autorizada de datos.
• Aplicación en INACAP Gestionar actualizaciones de manera adecuada para prevenir la explotación de vulnerabilidades que podrían llevar a modificaciones no autorizadas.
• Cumplimiento con Ley 19.628: La restricción del acceso a la información garantiza la integridad de los datos, cumpliendo con las regulaciones locales.

13. Obstrucción de Acceso a Datos Personales (Artículo 3):

• Control Implementado: 9.1.1 Política de Control de Acceso
• Implementación en INACAP: Garantizar procedimientos claros para otorgar y solicitar acceso a la información, promoviendo la transparencia.
• Aplicación en INACAP: Definir roles y responsabilidades para un acceso transparente y eficiente, evitando obstrucciones injustificadas.
• Cumplimiento con Ley 19.628: La política de control de acceso asegura la transparencia en la gestión de datos personales.

Capítulo 3: Tipos de Ataques e Ingeniería Social

• Tipos de Ataques

Considerando la infraestructura de INACAP, es importante identificar de qué manera cada principio de la seguridad de la información (confidencialidad, integridad y disponibilidad) podría verse afectado por distintos tipos de ataques. A continuación se presentan ejemplos de posibles ataques y su impacto potencial en la institución:

Confidencialidad: Un ataque de suplantación de identidad (phishing) dirigido a los estudiantes, docentes o personal administrativo podría comprometer la confidencialidad de las credenciales de acceso a sistemas académicos y administrativos, lo que potencialmente permitiría acceso no autorizado a información confidencial. Integridad: La modificación no autorizada de datos en la base de datos de estudiantes o en el sistema académico podría impactar negativamente la integridad de la información académica, afectando la precisión y confiabilidad de los registros académicos. Disponibilidad: Un ataque de denegación de servicio (DoS) dirigido a la infraestructura de red de INACAP podría provocar interrupciones significativas en la conectividad de los campus, lo que afectaría la disponibilidad de los servicios y recursos informáticos cruciales.

• Ingeniería Social

Ingeniería Social: La ingeniería social representa un riesgo significativo para la seguridad de la información en INACAP, ya que puede aprovecharse de la confianza o la falta de conciencia de los usuarios para obtener información confidencial o inducir a la acción. A continuación se presentan ejemplos y formas en las cuales distintos roles dentro de la institución podrían caer en técnicas de ingeniería social, junto con controles para evitarlo:

Ataques de Phishing: El personal administrativo y los estudiantes podrían ser objeto de correos electrónicos o mensajes falsos que los inciten a revelar contraseñas o información confidencial. Para mitigar este riesgo, es esencial implementar capacitación continua sobre la identificación de correos electrónicos fraudulentos y la doble autenticación en el acceso a sistemas. Suplantación de Identidad: Los usuarios podrían ser engañados por llamadas o mensajes que aparentan ser de fuentes confiables, solicitando información confidencial. Para evitar este tipo de amenazas, se deben establecer procedimientos claros y comunicar a los usuarios que nunca deben proporcionar información confidencial por teléfono o correo electrónico sin una verificación adecuada.

Ataque de Inyección SQL en INACAP

1. Confidencialidad: • Descripción: Un ataque de inyección SQL explota una vulnerabilidad en la capa de la base de datos de la aplicación de INACAP. Un atacante podría acceder a información confidencial, como datos personales de estudiantes y personal docente. • Impacto: Violación de la confidencialidad al obtener acceso no autorizado a datos sensibles.
2. Integridad: • Descripción: Al realizar una inyección SQL, un atacante puede manipular o modificar registros en la base de datos de INACAP, alterando calificaciones académicas o registros estudiantiles. • Impacto: Pérdida de integridad al manipular datos académicos y registros.
3. Disponibilidad: • Descripción: Un ataque exitoso de inyección SQL puede causar interrupciones en la disponibilidad de la aplicación, ya que el sistema puede volverse inestable o dejar de funcionar correctamente. • Impacto: Interrupción en la disponibilidad al comprometer la funcionalidad de la aplicación.

Ataque de Desbordamiento de Búfer en Servidores de INACAP

1. Confidencialidad: • Descripción: Un ataque de desbordamiento de búfer puede permitir a un atacante acceder a áreas de la memoria que contienen información confidencial, como contraseñas almacenadas en la memoria del servidor. • Impacto: Violación de confidencialidad al acceder a datos sensibles almacenados en la memoria.
2. Integridad: • Descripción: Al manipular el desbordamiento de búfer, un atacante podría alterar datos en la memoria del servidor, comprometiendo la integridad de los procesos en ejecución. • Impacto: Pérdida de integridad al modificar datos en la memoria del servidor.
3. Disponibilidad: • Descripción: Un ataque de desbordamiento de búfer exitoso puede causar que el servidor se vuelva inestable o se bloquee, afectando la disponibilidad de los servicios de INACAP • Impacto: Interrupción en la disponibilidad al comprometer la estabilidad del servidor.

Ataque de Phishing a Cuentas de Correo Electrónico de INACAP

1. Confidencialidad: • Descripción: Un ataque de phishing dirigido a correos electrónicos de personal de INACAP busca obtener credenciales de acceso, comprometiendo la confidencialidad de la comunicación interna. • Impacto: Violación de confidencialidad al acceder a correos electrónicos sensibles.

2. Integridad: • Descripción: Con acceso a cuentas de correo electrónico, un atacante podría manipular o enviar información falsa, comprometiendo la integridad de la comunicación institucional. • Impacto: Pérdida de integridad al manipular información en correos electrónicos.

3. Disponibilidad: • Descripción: El acceso no autorizado a cuentas de correo electrónico podría resultar en la pérdida de disponibilidad de servicios de comunicación interna. • Impacto: Interrupción de la disponibilidad al comprometer cuentas y servicios de correo electrónico.

Ataque de CAM Table Overflow en Equipos de Red de INACAP

1. Confidencialidad: • Descripción: Un ataque de desbordamiento de la tabla CAM en switches de red podría permitir a un atacante interceptar y leer el tráfico de red, comprometiendo la confidencialidad de la comunicación entre dispositivos. • Impacto: Violación de confidencialidad al acceder y leer datos sensibles transmitidos en la red de INACAP.

2. Integridad: • Descripción: Manipulando la tabla CAM, un atacante podría redirigir o modificar el tráfico de red, comprometiendo la integridad de la comunicación entre sistemas. • Impacto: Pérdida de integridad al manipular y alterar datos transmitidos en la red.

3. Disponibilidad: • Descripción: Un ataque exitoso de desbordamiento de tabla CAM puede saturar la red al inundarla con tráfico no deseado, afectando la disponibilidad de servicios y recursos de red. • Impacto: Interrupción en la disponibilidad al saturar y congestionar la red de INACAP.

Ataque de Transferencia de Zona DNS a Servidores de INACAP

1. Confidencialidad: • Descripción: Un ataque de transferencia de zona DNS podría revelar información confidencial sobre la infraestructura de INACAP, como la estructura de la red y las direcciones IP de los servidores. • Impacto: Violación de confidencialidad al exponer detalles sensibles de la infraestructura.
2. Integridad: • Descripción: Al recopilar información de transferencias de zona, un atacante podría modificar registros DNS, comprometiendo la integridad de la resolución de nombres. • Impacto: Pérdida de integridad al manipular la información de resolución de nombres en la infraestructura DNS.
3. Disponibilidad: • Descripción: Un ataque exitoso de transferencia de zona a servidores DNS puede agotar recursos y afectar la disponibilidad de los servicios de nombres de dominio en INACAP. • Impacto: Interrupción en la disponibilidad al comprometer la funcionalidad del sistema DNS.

Ataque de Envenenamiento de Cookies en Aplicaciones Web de INACAP

1. Confidencialidad: • Descripción: Un ataque de envenenamiento de cookies podría permitir a un atacante robar sesiones de usuario, comprometiendo la confidencialidad de la información de acceso. • Impacto: Violación de confidencialidad al acceder a cuentas de usuario sin autorización.
2. Integridad: • Descripción: Manipulando cookies, un atacante podría modificar datos asociados a la sesión, comprometiendo la integridad de la información almacenada durante la interacción del usuario. • Impacto: Pérdida de integridad al manipular información de sesión y transacciones.
3. Disponibilidad • Descripción: El robo de cookies podría resultar en el acceso no autorizado a cuentas, afectando la disponibilidad de servicios y recursos web de INACAP. • Impacto: Interrupción en la disponibilidad al comprometer la seguridad de las cuentas de usuario.

Capítulo 4: Malware

Mecanismos de Infección y Defensa

A continuación se especifican los tipos de malware, los distintos elementos dentro de la sede de INACAP que podrían verse afectados, así como los potenciales mecanismos de infección y las medidas de defensa a aplicar:

Sistemas Académicos y Base de Datos de Estudiantes: Potenciales Tipos de Malware:

• Ransomware: Este tipo de malware puede cifrar los datos críticos de los sistemas académicos y la base de datos de estudiantes, exigiendo un rescate por la clave de descifrado.

• Troyanos: Los troyanos pueden infiltrarse en los sistemas académicos y la base de datos de estudiantes, permitiendo a los atacantes robar información confidencial o dañar los datos existentes.

o Mecanismos de Infección:  Descargas de archivos adjuntos de correo electrónico maliciosos.  Explotación de vulnerabilidades en el software utilizado en los sistemas académicos y base de datos.

o Medidas de Defensa:  Implementación de soluciones antivirus y antimalware actualizadas.  Actualización regular de parches de seguridad y del software utilizado para evitar vulnerabilidades.  Realización de copias de seguridad periódicas y almacenamiento de estas en ubicaciones seguras.

Plataforma de Aprendizaje en Línea (E-learning) y Correo Electrónico Institucional: Potenciales Tipos de Malware:

• Phishingware: Malware diseñado para robar credenciales de acceso a la plataforma de aprendizaje en línea y al correo electrónico institucional.

• Spyware: Este tipo de malware podría instalarse en estos sistemas para recopilar información confidencial de usuarios y actividades.

o Mecanismos de Infección:  Vínculos maliciosos en correos electrónicos que llevan a sitios comprometidos con malware.  Descargas inadvertidas de archivos infectados a través de correos electrónicos o enlaces contenidos en la plataforma de aprendizaje en línea.

o Medidas de Defensa:  Formación continua sobre concienciación en seguridad, haciendo hincapié en la identificación de correos electrónicos y enlaces maliciosos.  Implementación de soluciones de seguridad de correo electrónico y análisis de tráfico web para detectar y bloquear enlaces y archivos maliciosos.

Infraestructura de Red y Sistema de Videovigilancia: Potenciales Tipos de Malware:

• Botnets: Estos programas maliciosos podrían infectar los equipos de red, utilizándolos para realizar ataques distribuidos de denegación de servicio (DDoS) u otras actividades malintencionadas. • Rootkits: Pueden ocultarse en los sistemas de videovigilancia, ganando acceso privilegiado y permaneciendo ocultos para robar datos o supervisar actividades.

o Mecanismos de Infección:  Explotación de vulnerabilidades en protocolos de red y sistemas operativos utilizados en la infraestructura.  Infección a través de dispositivos USB infectados o descargas de software no autorizadas.  

o Medidas de Defensa:  Implementación de firewalls, sistemas de detección de intrusiones y análisis de tráfico para detectar y mitigar actividades maliciosas en la red.  Restricción de los privilegios de acceso y monitoreo constante de los sistemas de videovigilancia para detectar comportamientos no autorizados.

Aplicaciones Administrativas y Sistema de Recursos Humanos: Potenciales Tipos de Malware:

o Malware de acceso remoto: Este tipo de malware podría permitir a los atacantes tomar el control de las aplicaciones administrativas y los sistemas de recursos humanos de forma remota. o Adware: Puede afectar el rendimiento de las aplicaciones administrativas y los sistemas de recursos humanos, además de mostrar anuncios no deseados. o  Mecanismos de Infección: • Descargas de software de fuentes no verificadas o sitios web comprometidos. • Explotación de vulnerabilidades en las aplicaciones y los sistemas utilizados.

 Medidas de Defensa: • Implementación de controles de acceso estrictos y autenticación de múltiples factores para las aplicaciones administrativas y los sistemas de recursos humanos. • Verificación regular de vulnerabilidades en el software utilizado y aplicación de parches de seguridad.

En la actualidad, la institución INACAP ha implementado varias medidas de seguridad para proteger su infraestructura de TI, incluyendo la segmentación de red, controles de acceso basados en roles y actualizaciones regulares de software y firmware. Sin embargo, es importante reconocer que existen áreas específicas que podrían requerir una mayor atención, como es el caso de la autenticación de múltiples factores (MFA), la cual actualmente solo se aplica en el ingreso a la institución y en el login con la cuenta, pero no se cuenta con autenticación mediante dispositivos móviles, lo que representa una posible vulnerabilidad en los sistemas.

Desarrollo de Mecanismos de Defensa Prácticos:

1. Autenticación de Múltiples Factores Mejorada: INACAP podría considerar la implementación de una autenticación de múltiples factores más robusta, que incluya la verificación a través de dispositivos móviles, como el envío de códigos de verificación por SMS o el uso de aplicaciones de autenticación como Google Authenticator. Esta medida fortalecería la seguridad de los accesos a los sistemas críticos, añadiendo una capa adicional de protección frente a accesos no autorizados.

2. Educación y Concientización en Seguridad: Continuar con la formación y concienciación en seguridad informática para todos los miembros de la comunidad educativa, haciendo hincapié en la identificación de posibles amenazas como el phishing, el malware y las prácticas seguras de navegación y descargas.

3. Análisis Periódico de Vulnerabilidades: Realizar análisis periódicos de vulnerabilidades en todos los sistemas y aplicaciones utilizadas en la institución, utilizando herramientas especializadas para identificar posibles puntos débiles y aplicar parches de seguridad de manera proactiva.

4. Implementación de Protección Avanzada Contra Malware: Considerar la implementación de soluciones avanzadas de protección contra malware, como el uso de soluciones de “endpoint protection” que incluyan funcionalidades de detección y respuesta, y análisis de comportamiento para identificar y mitigar eficazmente las amenazas.

5. Vigilancia Activa de la Red: Mantener una vigilancia activa de la red para detectar y responder rápidamente a posibles intrusiones o comportamientos anómalos, utilizando sistemas avanzados de detección de amenazas y monitoreo de eventos de seguridad.

Capítulo 5: Actividad Practica OSINT

• Patente: FRCT51 • Propietario del vehículo: Maria Antonieta Jara Meriño • Datos personales del propietario o Rut: 16.128.652-4 o Dirección: Pje Los Madroños 10509, Bellavista • Dirección del propietario (Google Maps)

Ilustración 1: Dirección Google Maps Fuente: Google Maps

Ilustración 2: Dirección Google Maps Fuente: Google Maps  

• Conseguir un certificado del registro civil asociado a la persona.

o Certificado de Nacimiento:

Ilustración 3: Certificado de Nacimiento Fuente: Registro Civil

• Conseguir al menos una red social asociada a la persona. o Facebook:

Ilustración 4: Red Social (Facebook) Fuente: Facebook

Capítulo 6: Actividad Practica Phishing • usernames - copia.txt

Ilustración 5: Usernames Phishing Fuente: Elaboración Propia

• ip.txt

Ilustración 6: IP Phishing (1/3) Fuente: Elaboración Propia

Ilustración 7: IP Phishing (2/3) Fuente: Elaboración Propia

Ilustración 8: IP Phishing (3/3) Fuente: Elaboración Propia

Conclusiones

continúa