Tema 1

Introducción a las amenazas, ataques y vulnerabilidades

En esta primera unidad se establece el lenguaje base del curso. El objetivo es comprender qué se protege, qué puede salir mal, quién puede causar daño, cómo ocurre una explotación y por qué el análisis de seguridad siempre debe centrarse en el riesgo.

Objetivo Construir la base conceptual
Nivel Fundamental
Resultado Interpretar incidentes con precisión
Clave Entender relaciones y no definiciones aisladas

1.1 Por qué empezar por estos conceptos

En seguridad informática se comete un error frecuente: hablar de ataques, amenazas, fallas y riesgos como si fueran sinónimos. Esa confusión impide analizar correctamente un incidente, priorizar controles y comunicar decisiones técnicas a otras personas de la organización.

Por eso, antes de estudiar malware, phishing, explotación web, ransomware o respuesta a incidentes, es necesario fijar un marco conceptual sólido. Una amenaza no es lo mismo que un ataque, una vulnerabilidad no equivale al daño sufrido y el riesgo no depende solamente de la existencia de una falla técnica.

La seguridad madura comienza cuando una organización puede describir con claridad qué activo está expuesto, qué amenaza podría afectarlo, qué vulnerabilidad podría ser explotada y cuál sería el impacto resultante.

1.2 Qué estudia este curso

El curso se centra en tres ejes que están profundamente conectados:

  • Amenazas: fuentes de daño potencial, ya sean humanas, técnicas, accidentales o ambientales.
  • Ataques: acciones concretas ejecutadas para comprometer un activo, abusar de un sistema o interrumpir un servicio.
  • Vulnerabilidades: debilidades de diseño, implementación, configuración, operación o comportamiento humano que pueden ser aprovechadas.

La relación entre estos elementos explica el escenario central de la ciberseguridad: un actor o evento amenazante intenta materializar un daño a través de una o más técnicas de ataque que explotan vulnerabilidades presentes en personas, procesos o tecnologías.

1.3 Qué es un activo y por qué importa

Todo análisis comienza por identificar los activos que tienen valor. Un activo es cualquier recurso que necesita protección porque sostiene operaciones, contiene información sensible o representa valor económico, legal o reputacional.

Tipo de activo Ejemplos Por qué debe protegerse
Información Datos personales, historiales clínicos, contratos, claves, diseños Puede ser robada, alterada, cifrada o publicada.
Infraestructura Servidores, redes, firewalls, routers, endpoints Soporta la operación del negocio y la conectividad.
Aplicaciones Sitios web, APIs, ERP, CRM, apps móviles Procesan información crítica y suelen ser objetivos expuestos.
Identidades Usuarios, cuentas privilegiadas, accesos de terceros Son la puerta de entrada a sistemas y datos.
Procesos Facturación, atención, producción, soporte, logística Si se detienen, la organización pierde continuidad.
Confianza y reputación Marca, credibilidad, cumplimiento Una brecha puede deteriorarlas de forma prolongada.

Un mismo incidente puede afectar varios activos a la vez. Por ejemplo, un ransomware puede comprometer la disponibilidad de sistemas, la integridad de los datos, la continuidad operativa y la reputación de la organización.

1.4 Conceptos fundamentales

Los siguientes términos forman el vocabulario esencial del resto del curso:

Concepto Definición Ejemplo breve
Amenaza Fuente potencial de daño capaz de afectar un activo. Un ciberdelincuente, un insider malicioso o una campaña automatizada.
Ataque Acción concreta que intenta comprometer, abusar o interrumpir un sistema. Enviar un correo de phishing o explotar una inyección SQL.
Vulnerabilidad Debilidad explotable en software, hardware, configuración, proceso o conducta. Una contraseña débil, una librería desactualizada o un puerto expuesto.
Exposición Grado en que un activo está accesible o visible ante una amenaza. Un panel administrativo publicado en Internet.
Impacto Consecuencia técnica, operativa, económica o legal de un incidente. Pérdida de datos, detención de servicio o sanciones regulatorias.
Riesgo Posibilidad de que una amenaza materialice daño sobre un activo, considerando probabilidad e impacto. Que una cuenta crítica sea comprometida por credenciales reutilizadas.

1.5 Cómo se relacionan amenaza, ataque y vulnerabilidad

La relación puede entenderse como una cadena lógica. La amenaza representa la posibilidad de daño. El ataque es la materialización de una acción ofensiva. La vulnerabilidad es la debilidad que permite que esa acción tenga éxito. Si la explotación se produce sobre un activo valioso, aparece un impacto. Cuando combinamos probabilidad e impacto, estamos hablando de riesgo.

Por ejemplo, una organización puede estar expuesta a la amenaza de fraude por correo electrónico. El ataque concreto puede ser una campaña de phishing. La vulnerabilidad puede estar en la falta de capacitación del usuario, en controles débiles de autenticación o en reglas insuficientes de correo. El impacto podría ser el robo de acceso a una cuenta financiera. El riesgo será mayor cuanto más probable sea el engaño y más severa sea la pérdida asociada.

1.6 No todas las amenazas son atacantes humanos

Aunque gran parte de la ciberseguridad se enfoca en actores maliciosos, las amenazas pueden originarse en fuentes muy distintas:

  • Humanas intencionales: ciberdelincuentes, grupos organizados, insiders, hacktivistas, actores estatales.
  • Humanas no intencionales: errores administrativos, envío accidental de datos, configuraciones mal aplicadas.
  • Técnicas: fallos de hardware, corrupción de bases de datos, errores de software.
  • Ambientales y físicas: incendios, cortes eléctricos, inundaciones, daños en centros de datos.

Esto es importante porque la defensa no consiste solamente en bloquear atacantes. También implica diseñar sistemas resilientes frente a fallos, equivocaciones y eventos no deliberados.

1.7 Superficie de ataque

La superficie de ataque es el conjunto de puntos por los cuales un atacante o una amenaza pueden interactuar con un activo. Cuanto más amplia y menos controlada sea esa superficie, mayores serán las oportunidades de explotación.

  • Puertos y servicios expuestos.
  • Aplicaciones web y APIs accesibles desde Internet.
  • Usuarios con credenciales reutilizadas o privilegios excesivos.
  • Equipos sin parchear o con software obsoleto.
  • Dispositivos móviles, IoT o accesos remotos mal administrados.
  • Proveedores externos con conectividad a sistemas internos.
Reducir la superficie de ataque no elimina todas las amenazas, pero disminuye los caminos disponibles para que una explotación tenga éxito.

1.8 Principios de seguridad que orientan el análisis

La base clásica de la ciberseguridad sigue siendo la tríada de confidencialidad, integridad y disponibilidad:

  • Confidencialidad: evita accesos no autorizados a la información.
  • Integridad: protege contra alteraciones indebidas o no detectadas.
  • Disponibilidad: garantiza acceso oportuno a datos y servicios.

Muchos ataques pueden clasificarse según cuál de estos principios comprometen. Un robo de credenciales afecta la confidencialidad. Una manipulación de registros contables afecta la integridad. Un ataque DDoS afecta la disponibilidad. Un incidente complejo puede afectar los tres al mismo tiempo.

1.9 Ejemplos integrales para fijar ideas

Observar escenarios completos ayuda a dejar de pensar en definiciones aisladas:

  • Phishing contra una empresa: la amenaza es un actor criminal; el ataque es un correo falso; la vulnerabilidad es la confianza del usuario y una protección insuficiente de correo; el impacto es el acceso no autorizado a la cuenta.
  • Explotación de una web vulnerable: la amenaza es un atacante externo; el ataque es una inyección SQL; la vulnerabilidad es una validación deficiente de entradas; el impacto es la extracción o modificación de datos.
  • Ransomware en un servidor: la amenaza es una banda criminal; el ataque puede iniciar por credenciales comprometidas o explotación remota; la vulnerabilidad es un sistema sin parches o con MFA ausente; el impacto es la indisponibilidad y posible extorsión.

1.10 Tipos de vulnerabilidades

Las vulnerabilidades no se limitan a errores de programación. Pueden aparecer en múltiples capas:

  • De diseño: arquitectura insegura, ausencia de segmentación, confianza excesiva entre componentes.
  • De implementación: errores en código, validación insuficiente, uso inseguro de bibliotecas.
  • De configuración: credenciales por defecto, permisos excesivos, servicios expuestos innecesariamente.
  • Operativas: falta de parches, monitoreo deficiente, backups no verificados.
  • Humanas: mala gestión de contraseñas, clic en enlaces maliciosos, uso no autorizado de herramientas.

Esta clasificación anticipa una idea clave del curso: una defensa efectiva necesita controles técnicos, administrativos y de concientización.

1.11 Qué significa gestionar el riesgo

Gestionar el riesgo no significa perseguir una seguridad absoluta. Significa identificar los escenarios más relevantes, evaluar su probabilidad e impacto, decidir qué controles aplicar y aceptar que siempre habrá un riesgo residual.

Las organizaciones suelen tratar el riesgo de cuatro maneras:

  • Reducirlo: aplicar controles como MFA, segmentación, cifrado o hardening.
  • Evitarlo: dejar de realizar una actividad demasiado expuesta.
  • Transferirlo: contratar seguros o apoyarse en proveedores especializados.
  • Aceptarlo: asumir un riesgo cuando el costo de mitigarlo no se justifica.

1.12 El factor humano dentro del problema

Muchas brechas comienzan por decisiones humanas: abrir un archivo no verificado, compartir una contraseña, desactivar un control de seguridad o no revisar una alerta. Esto no significa culpar al usuario, sino reconocer que las personas forman parte de la superficie de ataque y deben ser protegidas y capacitadas.

Un programa serio de seguridad no espera perfección humana. Diseña controles para minimizar errores previsibles: doble factor, privilegios mínimos, confirmaciones adicionales, segmentación de accesos y campañas continuas de concientización.

1.13 Modelo mental recomendado para analizar incidentes

Ante cualquier caso de seguridad conviene hacerse siempre estas preguntas:

  1. ¿Qué activo estaba en riesgo o fue afectado?
  2. ¿Qué amenaza podía dañarlo?
  3. ¿Qué ataque se ejecutó o intentó ejecutar?
  4. ¿Qué vulnerabilidad permitió o facilitó la explotación?
  5. ¿Cuál fue o podría haber sido el impacto?
  6. ¿Qué controles faltaron, fallaron o fueron insuficientes?

Este esquema sirve tanto para estudiar teoría como para analizar noticias, auditorías, incidentes reales o pruebas de penetración.

1.14 Ideas clave que deben quedar claras

  • Amenaza, ataque, vulnerabilidad, exposición e impacto son conceptos distintos pero conectados.
  • Los activos determinan qué vale la pena proteger y priorizar.
  • La superficie de ataque crece con la exposición innecesaria y la mala administración.
  • Las vulnerabilidades pueden ser técnicas, operativas, organizacionales o humanas.
  • La seguridad siempre debe analizarse en términos de riesgo y no de definiciones aisladas.

1.15 Conclusión

Las amenazas, los ataques y las vulnerabilidades forman el núcleo del razonamiento en ciberseguridad. Comprender su relación permite explicar por qué ocurre un incidente, cómo se materializa el daño y qué controles conviene priorizar para reducir la exposición.

En el próximo tema se profundizará en los activos, la superficie de ataque y los objetivos de seguridad, ampliando el marco que permite evaluar qué debe protegerse y dónde aparecen los puntos de mayor exposición.

Volver al índice