INVESTIGACIÓN Los controles, salvaguardas y contramedidas contra los ciber-ries- gos se pueden clasificar en diferentes categorías: 1) Controles preventivos y de resiliencia. Operan antes, durante y después de un evento de ciberseguridad. Previenen fraudes, fuga de datos, trastornos, denegación de servicios, hacen resistente el sistema frente a ataques, etc. Aquí se incluyen: controles físicos, software de cifrado y firma digital, emplear sólo personal cualificado, usar procedimientos bien diseña- dos, control de acceso al software y hardware, verificaciones de edición programados, sistemas de detección y prevención de intrusiones (IDS/IPS), prevención de fuga de datos (DLP), mecanismos de trazabilidad con gestión adecuada de eviden- cias, SIEM, IAM, SOC, etc. 2) Controles de investigación o de tipo detective. Operan des- pués del instante del evento de ciberseguridad. Se trata de encontrar el fraude o problema cuando ocurra. Se incluyen: MAC, firma, hash (obligatorio SHA512), punto de comproba- ción, comprobaciones duplicadas, mensajes de error, informes sobre cuentas de usuarios (p.e. eliminar cuentas huérfanas), revisar los logs de actividad. Mecanismos forenses para ciber- seguridad resistentes a mecanismos anti-forenses. 3) Controles correctivos. Operan después de los controles del tipo detective, resuelven problemas y previenen problemas futuros. Aquí se incluye: recuperación de copias de seguridad y procedimientos de backups, re-ejecuciones, planificación de contingencias, etc. Algunas de las tecnologías que deben aplicarse en una defensa multidimensional contra las ciber-armas de cara a hacer frente a posibles riesgos y amenazas avanzadas no convencionales son: 1) Disuadir, engañar, confundir, desinformar, etc. Utilizando pla- taformas distribuidas de engaño o DDP, sistemas señuelos y plataformas-herramientas de cebo como honeypots y honey- nets, generadores de mensajes erróneos para equivocar, etc. Este tipo de contramedidas también sirve para detectar ya que ralentiza la actividad del atacante y también como mecanismo de trazabilidad e investigación forense para extraer datos y metadatos del atacante. 2) Predecir. Se trata de averiguar con anticipación posibles tra- zas de intentos de intrusión o funcionamiento malicioso. 3) Identificar. Aquí se integran tecnologías como valoración, análisis y gestión de riesgos, gestión de activos, gobernanza de riesgos, etc. 4) Proteger. Aquí se incluyen tecnologías como control de acceso, tecnologías de protección como firewall, IPS, DLP, AV, búsqueda de la causa raíz, concienciación y formación, seguri- dad y protección de datos, políticas de seguridad, generación de procesos de protección Web, protección anti-malware en USB, cifrado, hash, MAC, firma, etc. 5) Detectar. Aquí se integran tecnologías como detección de ano- malías y eventos, detección de procesos y cuentas huérfanas, monitorización continuada, DDP, DLP, IDS/HIDS/AIDS/NIDS, detección de vulnerabilidades (debilidades, bugs, deficiencias, incorrecciones, no validaciones, etc.) y amenazas (malware, APTs/ARTs, etc. Permite buscar y detectar la causa raíz, etc. 6) Responder. Aquí se incluyen tecnologías como planificación de respuestas en comunicaciones/procesamientos, reconfi- guración de firewalls, mitigación y análisis. Aquí se incluye el hack-back (ilegal). 7) Recuperar. Aquí se incluyen tecnologías como planificación de recuperación, tecnologías de remedios, hotsites y coldsi- La ciberseguridad se relaciona más con la defensa, el guardar, la precaución, las salvaguardas, etc. mientras que la ciber-resiliencia con la elasticidad, la rápida recuperación, la dureza, la plasticidad, la reversión, etc tes, recuperación de copias de seguridad o backup, recuperar secretos de la fragmentación en múltiples fragmentos por key-escrow o interpolación de Lagrange con polinomios de fragmentación Shamir. Vectores de ataque. Prevención ante infecciones por dropper Un vector de ataque se define como un camino por el cual un ata- cante puede ganar acceso a un computador, esta definición incluye vulnerabilidades ya que puede necesitar varias vulnerabilidades para lanzar un ataque. Algunas vulnerabilidades o vectores de ata- que utilizados para los ataques son: 1) Mala configuración. Un atacante puede utilizar un fallo en la configuración dentro de una aplicación concreta para ganar acceso a una red o computador personal para causar una gran variedad de ataques. Los settings que son incorrectamente configurados normalmente los settings por defecto son un objetivo fácil para un atacante lo explote. 2) Fallos del kernel del sistema operativo. Un atacante puede utilizar un fallo en el kernel dentro del sistema operativo que es el código del núcleo del sistema operativo para ganar cier- tos privilegios para explotar una vulnerabilidad dentro del sistema operativo. 3) Buffer-overflow (stack o heap). Es causado cuando un trozo de código no comprueba adecuadamente la longitud apropiada de la entrada y el valor de la entrada no es el tamaño que espera el programa. Cuando un buffer con comprobación deficiente o nula se carga con datos suministrados por el usuario. Un ataque puede explotar una vulnerabilidad de desbordamiento de buffer (o buffer overflow) lo que conduce a una explotación posible de ejecución de código arbitrario, a menudo de privilegios del nivel administrador con la ejecución del programa. El buffer overflow puede ocurrir en ambos pila y localizaciones de la memoria heap. Un buffer overflow suele utilizarse en la mayoría de los ataques. Un buffer overflow heap ocurre en el área de datos heap que es dinámicamente asignado por la aplicación que se ejecuta. 4) Validación de entradas insuficiente. Un programa falla al validar la entrada enviada al programa desde un usuario. Un atacante puede explotar una vulnerabilidad de validación de entrada insuficiente e inyectar código arbitrario que normalmente ocurre dentro de aplicaciones Web, por ejemplo, SQLi/SQL injection. 59