Artículo contenedor para preguntas de Ciberdelincuencia PN
Tema 41: Ciberdelincuencia
Ciberdelincuencia y agentes de la Amenaza: Botnet; Business E-mail Compromise; Cartas nigerianas; Cryptojacking; Denegación de servicio; Ingeniería social; Inyección SQL; Malware; Pharming; Phishing; Spear phishing; Ransomware; Skimming; Spoofing; Spyware, Troyano; XSS; Zero-day. Cibercriminales. Crime as Service. Hacktivistas. Insider threat. APTs. Cyber Kill Chain.
Actualizado a 8 de julio de 2026. Regístrate para recibir actualizaciones cuando la legislación cambie.
Ciberdelincuencia PN
Ciberdelincuencia PN
Ciberdelincuencia
Ciberdelincuencia
Ciberdelincuencia
1. Conceptos fundamentales
Ciberdelincuencia es cualquier tipo de actividad ilegal en la que se utilice Internet, una red privada o pública o un sistema informático doméstico. Según la Estrategia Nacional de Ciberseguridad del Ministerio del Interior (Instrucción 1/2021 de la Secretaría de Estado de Seguridad), la cibercriminalidad se define como el conjunto de actividades ilícitas cometidas en el ciberespacio que tienen por objeto los elementos y sistemas informáticos, utilizando herramientas tecnológicas.
Un ciberataque es la acción producida en el ciberespacio que compromete la disponibilidad y la integridad de la información de una organización, pero NO necesariamente su autenticidad (según la definición del Plan Estratégico contra la Cibercriminalidad).
La identidad digital es el conjunto de datos que permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a una persona jurídica.
La desinformación es la información verificablemente falsa o engañosa que se crea, presenta y divulga con fines lucrativos o para engañar deliberadamente a la población, y que puede causar un perjuicio público.
2. Tipos de actores en el ciberespacio
Los distintos perfiles de actores en el ciberespacio se diferencian por sus motivaciones y métodos:
| Perfil | Características principales |
|---|---|
| Hacker de sombrero blanco (White Hat) | Experto informático que ayuda a personas y empresas a conocer su nivel de seguridad frente a ataques maliciosos; actúa siempre dentro de la ley |
| Cracker | Accede de forma no autorizada a sistemas informáticos con la finalidad de menoscabar la integridad, la disponibilidad y el acceso a la información |
| Black Hat | Hacker que actúa fuera de la ley con fines ilícitos y lucro personal |
| Samurai | Hacker contratado para investigar fallos de seguridad, que actúa amparado por la ley o la razón |
| Sneaker | Experto en seguridad informática contratado por empresas para investigar y romper fallos de seguridad con intención de subsanarlos (argot del hacking) |
| Wannabe / Lamer | Muestra curiosidad y exploración en sus actuaciones; le gusta probar cosas nuevas y explorar sistemas, pero generalmente sin intenciones maliciosas |
| Phreaker | Hacker que actúa en el ámbito de la telefonía móvil, utilizando diversas técnicas para acceder sin autorización a servicios como llamadas telefónicas o buzón de voz |
| Cibercriminal | Delincuente que comete delitos en el entorno digital con ánimo de lucro |
| Ciberactivista | Grupo más o menos organizado que se sirve de Internet para difundir cierto tipo de ideología, generalmente en contra de otro grupo o de un gobierno concreto |
| Ciberterrorista | Actor que utiliza el ciberespacio para cometer actos de terrorismo o apoyar acciones terroristas |
Los hacktivistas utilizan sus habilidades técnicas para desviar y eludir los sistemas de seguridad con el fin de amplificar el impacto de sus mensajes en Internet. Sus perfiles incluyen anónimos, militantes y ejércitos cibernéticos (no ejércitos militares como tal). El hacktivismo es la realización de actos, normalmente maliciosos, en Internet para promover unas ideas políticas, religiosas o sociales.
3. Malware: clasificación y características
Malware (del inglés malicious software) es el término principal para designar cualquier pieza de software que lleve a cabo acciones como extracción de datos u otro tipo de alteración de un sistema: troyanos, gusanos, virus, adware, spyware, ransomware, entre otros.
3.1 Virus informático
El virus informático infecta los ficheros de un ordenador mediante un código maligno, necesitando la intervención del usuario para ser ejecutado. Su característica definitoria es que infecta ficheros. No se replica autónomamente por la red.
3.2 Gusano informático (Worm)
El gusano informático es el malware que intenta conseguir las listas de contactos del usuario infectado para enviarles copias y tratar de infectarlos también. Se replica a sí mismo para expandirse por las redes a las que está conectado el dispositivo sin necesidad de la intervención del usuario. Es conocido por infectar el sistema sin interacción del usuario (a diferencia del virus).
3.3 Troyano
El troyano es un tipo de malware que accede a un dispositivo con la intención de ejecutar acciones ocultas en segundo plano, abriendo una puerta trasera para que otros programas maliciosos accedan a él. No se duplica a sí mismo (a diferencia del gusano) y necesita la interacción del usuario para instalarse. Su nombre proviene del caballo de Troya: parece inofensivo pero oculta código malicioso.
3.4 Spyware
El spyware tiene como finalidad recolectar información sobre la organización o usuario dueño de un ordenador de forma no autorizada. Puede incluir keyloggers, monitorizaciones, recolección y robo de datos. Se puede instalar por sí solo o mediante la interacción de una segunda aplicación que lo lanza. También puede difundirse como un troyano o mediante la explotación de software.
3.5 Adware
El adware es el malware cuya misión, una vez instalado el equipo, es mostrar publicidad no solicitada: al navegar por Internet en forma de popup o durante la ejecución de un programa.
3.6 Ransomware
El ransomware infecta una máquina de modo que el usuario es incapaz de acceder a los datos almacenados en el sistema. El usuario recibe una comunicación en la que se le coacciona para que pague una recompensa que permita acceder a su sistema y los archivos previamente bloqueados. Existen dos tipos principales:
- Criptoransomware: utiliza la criptografía para que el usuario no pueda acceder a los datos.
- Lockscreen: bloquea la pantalla para impedir la utilización y el acceso al equipo.
3.7 Rootkit
El rootkit oculta ciertos elementos (archivos, procesos, entradas en el Registro de Windows, direcciones de memoria, conexiones de red, etc.) de otros programas o del sistema operativo.
3.8 Bot y botnets
Un bot es una pieza de software maliciosa que recibe órdenes de un atacante principal que controla remotamente la máquina. Un BOT puede ser utilizado para enviar información robada, infectar otros equipos de la red y enviar correo spam. Una botnet es una red de ordenadores que han sido infectados por programas nocivos y que puede ser controlada de forma remota para propagar virus, generar spam y cometer otros tipos de delitos y fraudes en la Red. Las redes zombi (o robots) son sinónimo de botnet.
3.9 Keylogger
Los keyloggers son programas o dispositivos que registran las combinaciones de teclas pulsadas por los usuarios y las almacenan para obtener datos confidenciales como contraseñas. Pueden emplearse para copiar certificados electrónicos y obtener las claves de activación de software propietario. Son también conocidos como sniffers de teclado, aunque el término técnico correcto y más preciso es keylogger.
3.10 Dialer
El dialer es un programa que se instala en un equipo con el fin de modificar los datos de acceso a Internet, para que al realizar la conexión a través de un módem se utilice un número de tarificación adicional.
3.11 Stealers
Los stealers son el conjunto de aplicaciones que verifican la existencia de contraseñas almacenadas en un equipo informático (navegadores, clientes de mensajería, correo electrónico, etc.) permitiendo la obtención de las mismas.
3.12 Rogue software
El rogue software es el malware que simula la existencia de virus en el ordenador o supuestos daños en el software e invita a la descarga de antídotos o parches por los que se paga un importe, o que son gratuitos pero contienen otro tipo de malware.
3.13 Bomba lógica
Una bomba lógica es un tipo de virus que se activa en un momento predeterminado (por ejemplo, en una fecha concreta) o ante cualquier otro evento del sistema.
3.14 Exploit
Un exploit es un programa que aprovecha los fallos de seguridad, defectos o vulnerabilidades de otros programas o sistemas informáticos, con el fin de obtener algún tipo de beneficio o llevar a cabo una acción concreta. Los exploits requieren la existencia de una vulnerabilidad. Según el tipo de acceso necesario, pueden ser:
- Vulnerabilidad local: requiere que se haya accedido previamente al sistema vulnerable, normalmente para aumentar privilegios.
- Vulnerabilidad remota: se extiende a través de una red y explota las brechas de seguridad sin necesidad de ningún acceso previo al sistema atacado.
3.15 Flooder
Un flooder es un programa que se utiliza para enviar mensajes repetidamente y de forma masiva, con el objetivo de provocar la saturación o colapso de los sistemas a través de los que se envía el mensaje.
3.16 Malware específico destacado
Trickbot es el conjunto de herramientas que ha permitido realizar múltiples actividades ilegales como la sustracción de datos, la criptominería o enumeración de hosts.
Grandoreiro es un troyano bancario de origen brasileño que lleva activo al menos desde 2016. España fue uno de sus principales objetivos. En 2024, una operación conjunta de la Policía Nacional española, la Policía Federal de Brasil, Interpol y Europol logró desarticular parcialmente la organización y detener a sus miembros.
APT (Amenaza Persistente Avanzada) es un tipo de ataque informático que se caracteriza por realizarse con sigilo, permaneciendo activo y oculto durante mucho tiempo, utilizando diferentes formas de ataque. Son orquestados por grupos organizados con grandes recursos y con mucho interés en el objetivo del ataque. Sus objetivos incluyen el robo de información y la provocación de daños. Los servidores que utiliza un APT son: el servidor externo para la descarga inicial del malware, el servidor de control y mando, y el servidor de exfiltración. Gracias a la Cyber Kill Chain es posible prevenir brechas APT y el secuestro de datos.
4. Técnicas de ataque y fraude en línea
4.1 Phishing y sus variantes
El phishing es el método utilizado para engañar y conseguir información personal mediante el envío de correos electrónicos fraudulentos que suplantan la identidad de una entidad de confianza. Su finalidad es usar la información conseguida para realizar compras por Internet, transferencias bancarias o retiradas de dinero en efectivo en nombre de la víctima. Para detectarlo conviene comprobar la forma de expresión y la ortografía del mensaje.
Variantes del phishing:
| Variante | Descripción |
|---|---|
| Spear phishing | El atacante focaliza su actuación sobre un objetivo concreto (usuario u organización), enviando correos que aparentan ser de un amigo o empresa conocida |
| Vishing | Obtención de datos confidenciales mediante la telefonía IP (VoIP) y la ingeniería social; el atacante usa una voz computarizada para solicitar verificación de datos |
| Smishing | Estafa por medio de mensajes SMS con ofertas o premios falsos |
| Pharming | Similar al phishing, pero la víctima no tiene que pulsar un enlace fraudulento; es redirigida al sitio fraudulento al intentar acceder a un sitio legítimo de la manera habitual |
| Tabnabbing | Técnica de phishing que consiste en emplear scripts para reemplazar la página normal en una pestaña que no esté activa por una copia creada por el ciberdelincuente |
| E-mail spoofing | Suplantación de la identidad del remitente de un correo electrónico; es la denominación de phishing dentro del spoofing |
El pharming técnicamente se produce cuando se accede a las bases de datos del DNS y se cambia el emparejamiento original nombre de dominio-dirección IP por una nueva dirección IP que es la página web falsa que suplanta a la genuina.
El Business Email Compromise (BEC) no es un ataque de fuerza bruta ni de conversión en equipo zombi: ambas opciones simplificadoras son falsas (según las preguntas del examen).
4.2 Spoofing
El spoofing es la técnica empleada por ciberdelincuentes consistente en suplantar una página web, haciendo creer al usuario que está interactuando con un sitio de confianza, para que introduzca sus datos personales. Según la fuente del ataque, puede ser e-mail spoofing o TCP spoofing, entre otros.
El DNS spoofing consiste en acceder a las bases de datos del DNS y cambiar el emparejamiento original nombre de dominio-dirección IP.
4.3 Skimming y fraude con tarjetas
El skimming consiste en el uso de tecnologías informáticas para obtener los datos codificados en las bandas magnéticas de las tarjetas de crédito en el momento de llevarse a cabo una transacción. El delito completo consiste en extraer los datos de la tarjeta en el punto de venta y usar esos datos para fabricar tarjetas de crédito falsas.
El dispositivo usado para robar estos datos se denomina skimmer, que copia los datos codificados de certificados y firmas digitales de la víctima (no el CVV directamente). La versión en línea del skimming se conoce como web skimming.
El SIM swapping es el fraude del doble factor de autenticación (2FA) establecido por las entidades bancarias: el atacante consigue que la operadora transfiera el número de teléfono de la víctima a una SIM controlada por él, obteniendo así los códigos de verificación.
Las tramas de pump and dump son esquemas en los que los delincuentes acceden a las cuentas de muchos clientes y las utilizan para elevar de forma artificial el precio de acciones modestas y venderlas desde sus propias cuentas.
4.4 Denegación de servicio (DoS y DDoS)
Un ataque DoS (Denial of Service) consiste en un envío de peticiones a una aplicación web que provoca la interrupción o ralentización en la prestación del servicio. Cuando el ataque se realiza de forma distribuida desde múltiples equipos se denomina DDoS (Distributed Denial of Service), que es la modalidad delictiva utilizada para dejar un servidor sin servicios.
4.5 Ataques a aplicaciones web
Cross Site Scripting (XSS) es el ciberataque que aprovecha fallos de seguridad en sitios web y permite a los atacantes implantar scripts maliciosos en un sitio web legítimo para ejecutarlos en el navegador de un usuario desprevenido. Utiliza un vector para robar información delicada, secuestrar sesiones de usuario y comprometer el navegador. Los scripts se escriben en lenguajes de programación como JavaScript. Explota la confianza que un usuario tiene en un sitio en particular.
El XSS puede ser directo o indirecto (también denominados persistente y reflejado):
- XSS almacenado (directo o persistente): la vulnerabilidad consiste en insertar código HTML en el sitio web, que queda almacenado y afecta a todos los usuarios que lo visiten.
- XSS reflejado (indirecto): los cibercriminales suelen enviar correos engañosos para que sus víctimas hagan clic en un enlace disfrazado, provocando el robo.
La inyección SQL es un tipo de explotación consistente en la introducción de cadenas de texto mal formadas que el receptor no espera o controla debidamente, provocando resultados no esperados en la aplicación y permitiendo al atacante acceder o modificar registros de una base de datos para la que no está autorizado. Se clasifica como delito de intrusión.
4.6 Ingeniería social y técnicas de engaño
Las técnicas de ingeniería social pretenden obtener, a través del engaño a usuarios legítimos, información privada sobre su entorno para poder realizar ataques más sofisticados. El re-mailer es un servicio de Internet que usa diferentes técnicas y oculta la identidad del remitente de un correo electrónico.
Los hoax son cadenas formadas por envíos y reenvíos de correos electrónicos que, generalmente, difunden noticias falsas o rumores con el objetivo de obtener direcciones de correo para generar correo basura.
El spam (o spamming) es la remisión masiva de mensajes no solicitados con ofertas publicitarias de cualquier tipo, avisos falsos, cupones descuento u otros ganchos cuanto más atractivos y creíbles mejor.
Las cartas nigerianas (también conocidas como fraude 419, en referencia al artículo 419 del Código Penal de Nigeria) son un tipo de fraude informático. El tema que más habitualmente explotan es la necesidad de mover grandes sumas de dinero a nivel internacional.
El flaming consiste en una discusión que se lleva a cabo en línea (por medio de correos electrónicos, redes, blogs o foros) y que toma un tono insultante o desagradable hacia una de las personas con el objetivo de crisparla.
Los web bugs son imágenes transparentes de 1 px en una web o correo electrónico que se usan para obtener información del usuario.
4.7 Ciberacoso y delitos contra la persona
El stalking (acoso telemático) es una práctica de ciberacoso.
El grooming consiste en que un adulto contacta a un menor a través de Internet para ganar su confianza con fines de abuso sexual.
El doxing consiste en buscar y publicar en Internet información privada o que identifique a un individuo (información personal), generalmente con intenciones maliciosas como intimidar, humillar o amenazar.
La sextorsión es la forma de explotación sexual en la que se chantajea a una persona adulta por medio de una imagen compartida por Internet de sí misma desnuda, obtenida mediante sexting. El camboy es el chico que produce sesiones de sexcasting mediante una webcam, a cambio de dinero o de manera amateur.
4.8 Cryptojacking
El cryptojacking (también denominado minería de criptomonedas maliciosa) consiste en el uso no autorizado de los recursos de un dispositivo para minar criptomonedas mediante la ejecución de código dañino, sin necesidad de interacción por parte del usuario víctima. Puede comprometer tanto teléfonos inteligentes como servidores de red. Las criptomonedas funcionan sobre tecnología blockchain (cadena de bloques interconectados donde cada bloque contiene un conjunto de transacciones verificadas).
4.9 Crime as a Service y Malware as a Service
El modelo Crime as a Service (CaaS) permite contratar por Internet servicios delictivos, como obtener credenciales de acceso o entrar en la cuenta de una red social ajena. No incluye encontrar y prevenir posibles fallos en los sistemas atacados (eso es pentesting).
El Malware as a Service (MaaS) es la posibilidad de contratar por Internet diferentes tipos de malware.
4.10 Otras técnicas
El deface (o defacement) es el ataque a una página web para desfigurarla visualmente, cambiando su apariencia con el fin de hacer público cualquier tipo de mensaje (reivindicativo, propagandístico, informativo, etc.).
El sniffing consiste en la interceptación de comunicaciones en la red para capturar información que circula por ella.
El spoofing de IP o TCP consiste en falsificar la dirección de origen de los paquetes de red.
El reshipping es una modalidad de fraude en la que se utilizan personas (a veces engañadas) como intermediarios para el reenvío de mercancía adquirida de forma fraudulenta.
Los dominios DGA (Domain Generation Algorithm) son un procedimiento para generar de forma dinámica dominios donde se alojarán los servidores de Comando y Control, técnica usada en redes botnet para dificultar su detención.
El Business Email Compromise no encaja ni como cracking de contraseña ni como creación de botnet desde el correo (ambas definiciones son falsas según el examen).
5. Vulnerabilidades y análisis de seguridad
5.1 Vulnerabilidades Zero Day
Una vulnerabilidad Zero Day (día cero) es aquella que acaba de ser descubierta y no tiene un parche que la solucione: el ciberdelincuente la descubre antes que el desarrollador y se aprovecha de ella sin que éste o los usuarios sean conscientes. Los ataques de día cero se realizan mientras no exista un parche correctivo instalado por los usuarios. A veces se usa Zero Day junto con troyanos, rootkits, virus, gusanos y otros tipos de malware para ayudarlos a propagarse e infectar más equipos.
Los exploits APT (APT instalados usando exploits) utilizan vulnerabilidades de día cero y ataques de abrevadero (watering hole attacks).
5.2 Pentesting
El pentesting (o test de penetración) es la práctica de evaluar la seguridad de un sistema intentando vulnerarlo de forma controlada. Un pentester y un auditor de ciberseguridad pueden ser utilizados indistintamente para referirse a la persona que determina el alcance de los fallos de seguridad de un sistema.
Los tipos de pentesting se clasifican según el tipo de información que se tenga a la hora de realizar los tests:
| Tipo | Información disponible |
|---|---|
| Caja blanca (White Box) | Acceso completo a la información interna del sistema, incluyendo código fuente |
| Caja negra (Black Box) | Sin información previa del sistema; el pentester actúa como un atacante externo |
| Caja gris (Grey Box) | Acceso parcial a la información interna del sistema, como ciertos detalles de arquitectura o documentos específicos, pero no al código fuente completo |
No existe el tipo "caja roja" (Red Box).
5.3 Insider Threats
Los insider threats (amenazas o riesgos internos) son amenazas contra la seguridad, datos o procesos de una organización. Se producen cuando una persona estrechamente vinculada a una organización y que goza de acceso autorizado abusa de sus privilegios de acceso para afectar negativamente a la información o sistemas clave. Las tecnologías más populares para su detección son los sistemas de detección y prevención de intrusiones, la encriptación y gestión de accesos, y además sistemas de logs y Data Loss Prevention (DLP).
DLP (Data Loss Prevention) es la tecnología para la detección de fugas de información.
5.4 Cyber Kill Chain
La Cyber Kill Chain (cadena de exterminio) es un concepto de origen militar adaptado a la industria de la ciberseguridad por Lockheed Martin en 2011. Muestra los pasos detallados que un criminal debe dar para tomar el control de un sistema. Permite a las empresas prevenir futuras brechas de seguridad como el secuestro de datos y las APT.
Las 7 fases del modelo son:
| Fase | Nombre | Descripción |
|---|---|---|
| 1 | Reconocimiento | El atacante estudia el objetivo, sus vulnerabilidades y los métodos de defensa; es la fase de observación |
| 2 | Militarización | El atacante prepara el armamento cibernético explotando la vulnerabilidad encontrada |
| 3 | Entrega | El cibercriminal distribuye el paquete de ataque a la víctima |
| 4 | Explotación | El ciberataque explota la vulnerabilidad del sistema objetivo |
| 5 | Instalación | El hacker accede al ordenador a través de una puerta trasera |
| 6 | Mando y control | El cibercriminal fortalece su estrategia para controlar el sistema vulnerado a distancia |
| 7 | Acciones sobre objetivos | El hacker destruye o secuestra los datos; es la última fase del modelo |
5.5 Salvaguardas y protección
Las medidas de protección de la información se clasifican por su naturaleza:
- Técnicas: antivirus, cortafuegos y sistemas de copias de seguridad.
- Organizativas: políticas, procedimientos y normativas internas.
- Físicas: control de acceso físico, cámaras, etc.
Un Honey Pot es un sistema señuelo diseñado para atraer y analizar ataques. Un Sandbox es un entorno aislado para ejecutar y analizar código potencialmente malicioso de forma segura.
6. Organismos y marco normativo
6.1 Organismos nacionales
El Instituto Nacional de Ciberseguridad (INCIBE) es el organismo de referencia para la ciberseguridad en España dirigida a ciudadanos, empresas y operadores de sectores estratégicos. Originalmente dependía de la Secretaría de Estado de Digitalización e Inteligencia Artificial; tras el Real Decreto 1185/2024, pasó a depender de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales (ambas denominaciones pueden aparecer en preguntas según la fecha del examen; las preguntas del banco indican la Secretaría de Estado de Digitalización e Inteligencia Artificial, que era la dependencia vigente en el momento de su redacción).
El proyecto Policía 3.0 fue el nombre del plan estratégico mediante el cual la Policía Nacional aspiraba a convertirse en un «Cuerpo Inteligente» en la lucha contra los delitos informáticos, presentado en 2013.
6.2 Organismos europeos e internacionales
El EC3 (Centro Europeo de lucha contra la Ciberdelincuencia) fue creado por Europol e inaugurado el 11 de enero de 2013 en La Haya (Países Bajos). Su objetivo es la coordinación de las actividades policiales transfronterizas contra la ciberdelincuencia.
6.3 Plan Estratégico contra la Cibercriminalidad (Instrucción 1/2021)
El Plan Estratégico contra la Cibercriminalidad fue aprobado por el Comité Ejecutivo de Coordinación del Ministerio del Interior el 18 de febrero de 2021 y entró en vigor con la Instrucción 1/2021 de la Secretaría de Estado de Seguridad. Su objetivo principal es potenciar las capacidades del Ministerio del Interior para detectar, prevenir y perseguir la ciberdelincuencia. Se articula en seis ejes estratégicos: cultura de prevención, potenciación de capacidades, generación de ciberinteligencia, coordinación nacional y cooperación internacional, marco normativo adecuado y colaboración público-privada.
El delito con mayor incidencia en la cibercriminalidad según este Plan es las estafas a través de las TIC.
6.4 Real Decreto 43/2021 (Seguridad de redes y sistemas de información)
El RD 43/2021 (de 26 de enero) desarrolla el Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información. Establece que los incidentes de seguridad se asociarán a uno de los siguientes niveles de peligrosidad: CRÍTICO, MUY ALTO, ALTO, MEDIO, BAJO.
Las interrupciones de servicio tienen nivel de peligrosidad MUY ALTO según este Real Decreto. El sniffing se clasifica en un nivel inferior.
6.5 Convenio de Budapest
El Convenio de Budapest (Convenio sobre la Ciberdelincuencia, STE n.º 185) fue adoptado por el Consejo de Europa y abierto a la firma en Budapest el 23 de noviembre de 2001. Es el primer tratado internacional que busca hacer frente a los delitos informáticos y en Internet mediante la armonización de leyes, la mejora de las técnicas de investigación y el aumento de la cooperación internacional. España lo ratificó y está publicado en el BOE (BOE-A-2010-14221).
Los delitos tipificados en el Convenio incluyen: acceso ilícito, interceptación ilícita, ataques a la integridad de datos y del sistema, abuso de dispositivos, falsificación informática y fraude informático.
6.6 Delitos informáticos en el Código Penal español
Los principales preceptos del Código Penal que tipifican delitos relacionados con la ciberdelincuencia son:
| Artículo | Bien jurídico protegido | Descripción |
|---|---|---|
| Art. 197 | Intimidad | Acceder o apoderarse de datos personales sin permiso en ficheros, soportes informáticos o registros |
| Art. 197 bis | Intimidad e integridad de sistemas | Acceso no autorizado a sistemas informáticos (6 meses a 2 años) |
| Art. 264 | Daños informáticos | Borrar, dañar, deteriorar, alterar o hacer inaccesibles datos o programas ajenos sin autorización |
| Art. 278 | Secretos de empresa | Interceptar telecomunicaciones o apoderarse de documentos confidenciales para obtener secretos empresariales |
La estafa informática (phishing, carding, manipulación de sistemas de pago) se encuadra en los delitos contra el patrimonio.
6.7 Taxonomía INCIBE-CERT
La taxonomía empleada por INCIBE-CERT, en concordancia con la Guía Nacional de Notificación y Gestión de Ciberincidentes, califica como contenido dañino el Servidor C&C como: Conexión con servidor de Mando y Control (no como sistema infectado con malware, que sería otra categoría).
7. Ciberseguridad: conceptos técnicos adicionales
Blockchain es la tecnología base de las criptomonedas: consiste en una cadena de bloques interconectados donde cada bloque contiene un conjunto de transacciones verificadas.
Los cookies son archivos pequeños que envía un servidor web al disco duro del internauta que lo visita, con información sobre sus preferencias y pautas de navegación.
El cibersquatting consiste en el registro de dominios de Internet que reproducen o imitan marcas conocidas con ánimo lucrativo o de extorsión.
Un equipo que va más lento de lo normal con el ventilador haciendo mucho ruido cuando no se está utilizando puede ser síntoma de haberse convertido en un PC zombi (integrante de una botnet dedicado a minar criptomonedas o enviar spam de forma encubierta).
El Cross Site Request Forgery (CSRF) explota la confianza que un sitio web tiene en el navegador del usuario (a diferencia del XSS, que explota la confianza del usuario en el sitio).
El Business Email Compromise es un tipo de ciberataque avanzado de ingeniería social dirigido a empresas; el examen define ambas opciones simplificadas (cracking de contraseña y creación de botnet) como falsas.
CCN-CERT Ciberseguridad
Principios y recomendaciones básicas en Ciberseguridad del CCN-CERT
CCN-CERT Ciberseguridad — Contenido general
Artículo contenedor para preguntas sin artículo específico de CCN-CERT Ciberseguridad
Principios generales de ciberseguridad
Las guías CCN-CERT del Centro Criptológico Nacional establecen los principios y recomendaciones básicas de ciberseguridad. Incluyen la necesidad de proteger los sistemas de información y comunicaciones de las Administraciones Públicas españolas, mediante la aplicación de medidas de seguridad proporcionadas al nivel de clasificación de la información y al análisis de riesgos realizado.
Responsabilidades y organización
Se definen las responsabilidades en materia de ciberseguridad: el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema. Cada organismo debe designar estos roles conforme al Esquema Nacional de Seguridad (ENS).
Gestión de incidentes
El CCN-CERT es el equipo de respuesta ante incidentes de seguridad del Centro Criptológico Nacional. Coordina la gestión de incidentes de ciberseguridad que afecten a las Administraciones Públicas, proporcionando soporte técnico, alertas, avisos y guías de actuación para la detección, análisis, contención y recuperación ante incidentes.
Clasificación de la información
La información se clasifica según su nivel de confidencialidad: DIFUSIÓN LIMITADA, CONFIDENCIAL, RESERVADO y SECRETO. Cada nivel requiere medidas de protección específicas tanto para el almacenamiento como para la transmisión de la información.
Medidas de seguridad
Se establecen medidas de seguridad en tres dimensiones: marco organizativo (políticas de seguridad, normativa, procedimientos), marco operacional (planificación, control de acceso, explotación, servicios externos, continuidad) y medidas de protección (instalaciones, personal, equipos, comunicaciones, soportes, aplicaciones, protección de la información, servicios).
Herramientas y soluciones
El CCN-CERT desarrolla y distribuye herramientas de ciberseguridad: LUCIA (gestión de incidentes), CARMEN (detección de APT), CLAUDIA (análisis de amenazas), REYES (intercambio de indicadores), PILAR (análisis de riesgos) e INES (informe del estado de seguridad del ENS en organismos públicos).
Formación y concienciación
El CCN-CERT promueve la cultura de la ciberseguridad mediante programas de formación, jornadas técnicas (STIC), publicación de guías y recomendaciones, y campañas de concienciación para empleados públicos sobre buenas prácticas de seguridad de la información.
Artículo 8 Principios y recomendaciones básicas en Ciberseguridad. VIRTUALIZACIÓN
Virtualización se entiende como la recreación de un recurso físico (hardware) o lógico (software), por medio de un hipervisor (hypervisor) que permite su ejecución por más de un entorno al mismo tiempo. En el entorno de máquinas virtuales, el hipervisor permite el uso simultáneo del hardware en más de un sistema operativo. El apogeo de la virtualización ha llegado con la utilización de la nube, donde este sistema de reparto de los recursos se hace casi indispensable. Aunque ya existían múltiples sistemas de muchos fabricantes, el desarrollo y avances de los mismos se han incrementado de una forma exponencial. Actualmente se puede optar, entre otros, por XenServer de Citrix, VMware ESXi de Dell, VirtualBox de Oracle, Oracle VM Server e Hyper-V de Microsoft. La seguridad en la virtualización tiene la misma premisa que cualquier otro sistema, que es la minimización de la superficie de ataque. No obstante, cuenta con particularidades que hacen que la aseguración sea más difícil como por ejemplo la multitud de recursos compartidos o los sistemas operativos que funcionan simultáneamente con sus propias aplicaciones sobre una misma máquina física. Como norma general, es conveniente seguir las siguientes indicaciones a la hora de configurar un host de máquinas virtuales:Tener instaladas en el sistema operativo las últimas actualizaciones de seguridad.Tener la última reversión disponible del programa de virtualización.Si es posible, tener al menos un adaptador de red en exclusiva para la infraestructura de virtualización.Crear un entorno de laboratorio aislado del entorno de producción.Disponer de un grupo de seguridad para gestionar la plataforma de seguridad.Proteger los dispositivos de almacenamiento en los que guardan los archivos de recursos y de definición de la máquina virtual.Mantener estancos a los administradores de los guest respecto a los de host.Para la creación de guest, se recomienda seguir las siguientes normas:Hacer un esquema previo de lo que será la infraestructura de virtualización.Dimensionar la creación de máquinas virtuales a las necesidades reales y a los recursos de hardware disponibles en el host.Cifrar los ficheros de máquinas virtuales, instantáneas y discos duros virtuales destinados al almacenamiento de la plataforma de virtualización.Instalar las últimas actualizaciones de seguridad en cada sistema operativo guest.Valorar la instalación de los agentes de hipervisor, tipo Guest Additions, y en caso de hacerlo, mantenerlos actualizados.Asegurar con antimalware y firewalls todos los sistemas operativos invitados.
Artículo 10 Principios y recomendaciones básicas en Ciberseguridad. SEGURIDAD EN REDES INALÁMBRICAS
Si se trabaja con una red inalámbrica, para maximizar la seguridad en la red WiFi es necesario prestar atención a las siguientes recomendaciones: Cambiar la contraseña de acceso por defecto para la administración del Punto de Acceso. Modificar el SSID configurado por defecto no empleando nombres que pudieran identificar a la entidad y que permitan pasar desapercibidos con el entorno. Ocultar el identificador SSID al exterior dificulta obtener el nombre de la red, aunque la trazabilidad de los clientes sigue siendo posible con independencia de la ocultación del SSID. Activar el filtrado de direcciones MAC de los dispositivos WiFi para permitir que se conecten a la red los dispositivos con las direcciones MAC especificadas. Configurar WPA2-AES en el modo de confidencialidad de datos, obteniendo autenticación y cifrado de datos robusto. Limitar la cobertura WLAN. Una antena multidireccional ubicada en el centro de la casa/oficina es la opción más común. Desconectar la red cuando no se utilice. Si bien no es práctico hacerlo diariamente, es muy recomendable durante largos períodos de inactividad. Desactivar UPnP (Universal Plug and Play) cuando su uso no sea necesario, para evitar que un código dañino de la propia red lo utilice para abrir una brecha en el cortafuegos del router y permitir así que otros atacantes accedan a él. Actualizar el “firmware” del router periódicamente, pues muchas de las actualizaciones y parches que se van incorporando afectan a la seguridad. Usar direcciones IP estáticas o limitar el número de direcciones reservadas (DHCP) cuando sea posible, para evitar que usuarios no autorizados puedan obtener una dirección IP de la red local. Activar el cortafuegos del router, para que sólo los usuarios y los servicios autorizados puedan tener acceso a la red. Activar la opción de registro (login) para el router y analizar periódicamente el historial de accesos. Es recomendable cambiar el DNS que por defecto trae configurado el router por otro que preserve la privacidad del usuario y mejore su seguridad, por ejemplo, DNSCrypt.
CCN-STIC-425
Guía de Seguridad CCN-STIC-425: Ciclo de Inteligencia y Análisis de Intrusiones
CCN-STIC-425 — Contenido general
Artículo contenedor para preguntas sin artículo específico de CCN-STIC-425
Objeto y alcance
La guía CCN-STIC-425 del Centro Criptológico Nacional establece las directrices para la implementación de medidas de seguridad en los Sistemas de Información y Comunicaciones (SIC) que manejan información clasificada. Su objetivo es proporcionar un marco de referencia para la configuración segura de sistemas y la protección de la información según los niveles de clasificación establecidos.
Requisitos de seguridad
Se definen los requisitos mínimos de seguridad que deben cumplir los sistemas: control de acceso, autenticación de usuarios, cifrado de comunicaciones, gestión de vulnerabilidades, auditoría de eventos, protección perimetral, segmentación de redes y gestión de incidentes. Los requisitos se gradúan según la categoría del sistema (BÁSICA, MEDIA, ALTA).
Configuración segura
Directrices para la configuración segura de los elementos del sistema: bastionado de servidores, configuración de cortafuegos, gestión de parches, eliminación de servicios innecesarios, política de contraseñas robustas y configuración de registros de auditoría.
Auditoría y cumplimiento
Procedimientos de auditoría para verificar el cumplimiento de las medidas de seguridad establecidas. Incluye la frecuencia de las auditorías, las herramientas a emplear, la documentación de resultados y las acciones correctoras ante incumplimientos detectados.