Cómo detectar, resistir y recuperarse de ataques

Clase 36 de 43 • Curso Profesional de Arquitectura de Software

Resumen

Refuerza la seguridad de tu sistema con una estrategia directa y comprobable. Ante un ataque como estímulo de entrada, la respuesta debe priorizar tres frentes: detectar el incidente, resistir al atacante y recuperarse hasta un estado consistente. Estas familias de tácticas permiten identificar intrusiones, impedir el éxito del ataque y restaurar la operación con confianza.

¿Cómo detectar un ataque con precisión?

La detección de intrusos busca reconocer usos anómalos y comportamientos inesperados en la aplicación. El objetivo: activar alertas oportunas para decidir medidas como bloquear accesos o cerrar servicios temporalmente.

¿Qué señales activan alertas de intrusión?

Tráfico de red que no es el esperado.
Secuencias de acciones fuera del patrón habitual.
Uso desde equipos o redes no permitidos.
Sensores y reglas para levantar alertas en tiempo real.

¿Qué estrategias pueden aplicarse?

Automatización de detección y respuesta.
Análisis de paquetes que ingresan a la aplicación.
Políticas simples: restringir por redes permitidas o dispositivos autorizados.

¿Qué implica profundizar en detección?

Análisis de tráfico de red a bajo nivel.
Observación del comportamiento en memoria de la aplicación.
Implementaciones complejas que requieren experiencia en seguridad informática.

¿Cómo resistir el ataque y limitar el daño?

Resistir es habitual en aplicaciones web que identifican usuarios. Se basa en autenticación, autorización y protección de confidencialidad e integridad de los datos, además de reducir la superficie de ataque.

¿Cómo autenticar usuarios de forma efectiva?

Usuario y contraseña como base.
Two factor authentication para una segunda verificación.
Datos biométricos para mayor precisión de identidad.
Delegación en redes sociales o proveedores externos de autenticación.

¿Cómo autorizar acciones y datos?

Definir roles con permisos específicos.
Asignar uno o más roles por usuario.
Restringir qué funciones puede ejecutar cada rol.
Controlar qué datos puede ver o modificar cada perfil.

¿Cómo proteger confidencialidad e integridad?

Confidencialidad de datos: usar encriptación para que solo acceda quien debe hacerlo.
Integridad de datos: combinar encriptación con algoritmos de hashing.
Verificación por hash: los mismos datos generan siempre la misma “palabra” de 32, 40 o 60 caracteres, según algoritmo, útil para comparar lo recibido con lo esperado.
Casos típicos: mensajes JSON, llamadas a API o envíos de formularios.
Limitar exposición: separar información sensible (por ejemplo, datos privados de usuarios) de la de uso general para acotar el impacto si hay intrusión.
Limitar acceso: reducir vectores de ataque controlando puertos y conexiones.
Abrir solo lo necesario en servidores web, por ejemplo: puerto 80 y puerto 443.
Restringir accesos privados como SSH: cerrar puertos, aplicar controles y, si corresponde, centralizar el acceso remoto en un único punto inicial de conexión.

¿Cómo recuperarse y volver a un estado consistente?

La recuperación busca restaurar la aplicación a un estado estable y confiable, identificando qué ocurrió y reponiendo el servicio con el menor impacto posible.

¿Cómo restaurar el estado?

Mantener un estado conocido y consistente para recuperar.
Conservar múltiples estados para comparar consistencia.
Alinear la restauración con la estrategia de disponibilidad previamente definida.

¿Cómo trazar y auditar acciones?

Implementar traza de auditoría para registrar pasos de los usuarios.
Al detectar al atacante: regresar a un estado conocido.
Reejecutar acciones legítimas de usuarios y descartar las del atacante.
Resultado: estado consolidado y estable tras el incidente.

¿Por qué contar con expertos en seguridad?

La seguridad informática es un área amplia y especializada.
Cuando la seguridad es relevante para el sistema: formarse y/o consultar a expertos.

¿Quieres compartir un caso o duda sobre estas tácticas? Comenta qué controles ya aplicas y qué te gustaría fortalecer.

David Andrade Morales

student•

Seguridad Nuestro estimulo de entrada es un ataque, nuestras tácticas para controlar la seguridad y tener como resultado la detección, resistencia o recuperación en nuestro sistema. Tendremos tres familias:

Detectar ataques: Van a tratar de identificar que el estado actual de la aplicación está bajo un ataque, puede ser por medio de sensores.

-Detectores de intrusos: Ayuda a tener implementaciones para saber cuándo se está usando de manera no apropiada. Levantará alertas para tomar decisiones sobre nuestro sistema (pueden ser complejas, automatizadas o simples). Podremos ir descendiendo en niveles cuanto más complejo sea.

Recuperación de ataques: Trata de tener bases o tácticas para regresar a un estado basal y también poder comprender cuáles fueron las acciones del atacante para poder evitarlas a futuro

-Restauración: Cómo hacemos para entender nuestros estados del sistema y entender qué pasa con mi sistema. Es muy similar a la estrategia de Disponibilidad (estados conocidos, estados diferentes para comparar)
-Identificación: Saber qué específicamente hizo el atacante. La traza de auditoria sirve para que cuando detectamos un atacante tengamos todo el rastro de nuestro usuario y poder restablecer mi sistema a ese punto basal, ignorando lo que hizo el atacante

Resistencia de ataques: Va a tratar que el atacante no tenga éxito.

-Autenticación: Cómo sabemos que el usuario es quien realmente die ser (Contraseñas, datos biométricos, RS, etc.)
-Autorización: Saber quién es y qué puede o no hacer esa persona (Roles entre sistemas)
-Confidencialidad de datos: Cómo garantizamos que el dato sea visto por quien debe verlo (encriptación)
-Integridad: Cómo garantizo que el mensaje es íntegro, es decir, cómo el emisor lo envió (Hashes para comprobar información)
-Limitar exposición: Si un atacante entra podemos determinar que este no pueda (por lo menos) entrar a consultar la información más sensible del usuario. Lo podemos hacer separando información (separar info sensible de info “normal”).
-Limitar acceso: Entender cuáles son los vectores de acceso y restringir lo menor posible esos accesos que pueden ser puntos iniciales de penetración (Puertos de red: 8080, SSH, etc.)

Elmer Padilla Espinoza

student•

Gracias David por el aporte.

Antonio Rafael González Ferrer

student•

Apuntes:

Seguridad

Detectar ataques. Tratar de identificar que el estado actual de la aplicación tiene un atacante de por medio. - Detectores de intrusos. Ayuda a tener diferentes implementaciones puestas en nuestra aplicación para saber cuándo se está utilizando de forma incorrecta.

Recuperación de ataques. Tratar de tener diferentes tácticas para poder volver a un estado consistente y saber cuáles fueron las acciones que el atacante tomó para poder evitarlas. - Restauración. Cómo hacemos para tener por un lado un estado conocido que sabemos que es consistente o por otro lado diferentes estados que podemos comparr y saber si estamos en un estado consistente o no. -Identificación. Es importante para poder saber qué es lo que hizo el atacante. -Traza de auditoría. Sepamos exactamente todos los pasos que dan nuestros usuarios como para que, cuándo detectamos al atacante, podamos volver a un estado conocido y luego ejecutar todas las acciones de nuestros usuarios ignorando lo que hizo el atacante.

Resistencia al ataque. Va a tratar que el atacante no tenga éxito. - Autenticación. Refiere a cómo sabemos que el usuario es quién dice ser. - Autorización. Trata no solamente de saber quién es esa persona sino saber qué puede o no hacer esa persona.

juan esteban colcombet

student•

Excelente resumen. Creo que faltaron estos 4 detalles en Resistencia al ataque:

Confidencialidad de datos. Como garantizamos que el dato solo lo puede ver quien deberia verlo. Por ejemplo: encriptacion.
Limitar Exposición. Si un atacante entra por algunos de los vectores de ataque de nuestro sistema, al menos no pueda acceder a la informacion mas sensible. La idea es separa los datos sensibles de los datos menos sensibles.
Integridad. Garantizar que el mensaje que se esta recibiendo en el destino es igual que el mensaje que se envio desde el origen. Ej: hashing/encriptacion.
Limitar acceso. Cuales son los lugares (vectores de ataque) donde un atacante puede atacar, y tratar de reducir esos puntos de ataques. Ej: si tenemos un servicio web, deberiamos tener abierto el puerto 80 y 443, pero un puerto 22 (ssh) no deberia estar expuesto a internet.

Abril Darynka Tapia Sosa

student•

Escenario: Seguridad. Estimulo: Ataque Tácticas para controlar la seguridad.

- Detectar ataques
  *  Detectores de intrusos
- Resistencia al ataque
* Autenticación
    * Autorización
    * Confidencialidad de datos
    * Integridad
    * Limitar exposición
    * Limitar acceso
- Recuperación de ataques
   * Restauración -> Disponibilidad
   * Identificación
    Traza de auditoria

La respuesta sea: Detectar, resistir o recuperar

Christian Gómez

student•

Escenarios: Seguridad

El estímulo es un ataque al sistema. alguien quiere ingresar al sistema de forma no autorizada.

Familias:

Detectar Alguien: Van a tratar de identificar que alguien esta intentando ingresar. Tácticas:

Detectores de Intrusos.

Recuperación de Ataques: Va a tratar de tomar acciones para volver al estado anterior y conocer las acciones que el atacante tomó para poder evitarlas. Tácticas:

Autenticación
Autorización
Confidencialidad de datos
Limitar Exposición
Integridad
Limitar acceso

Resistencia al ataque: Es la familia más compleja es la que va a tratar de que el atacante no tenga éxito. Tácticas:

Restauración (Disponibilidad)
Identificación (Traza de Auditoria)

Elmer Padilla Espinoza

student•

Christian se le agradece el aporte.

David Peñafiel Zeballos

student•

Vectores de Ataque
El término en sí es un préstamo del argot militar; y en este sentido, un vector de ataque se refiere literalmente a un agujero o falla presente en la defensa establecida.
Cómo se usan los vectores de ataque en ciberseguridad.

Análisis e inspección del objetivo potencial
Codificación
Instalación
Explotación
Fuente

Gustavo Cerinza

student•

https://platzi.com/seguridad-informatica/

Sergio Andrés Ruiz

student•

La parte más interesante, para mí es la seguridad, y cómo tantas personas, con sus amplios conocimientos, mantienen seguros los sistemas TI que nos rodean.

En general este curso y todo su contenido es espectacular! gracias.

Alberth Fabian Perez Mendivelso

student•

La seguridad es uno de los puntos en el que mas debemos prestar atención cuando especificamos la arquitectura del software, debido a que es aquí donde podemos brindar la empresa para que funcione bajo los parámetros dados.

Oriana Morillo

student•

Familias de resistencias a ataques

Juan Carlos Ortiz Romero

student•

La seguridad de software se encarga de proteger las aplicaciones y el software de amenazas exteriores como pueden ser ataques maliciosos, virus, etc.

Juan Carlos Ortiz Romero

student•

Seguridad ⭐️⭐️⭐️ Detectar ataques. Tratar de identificar que el estado actual de la aplicación tiene un atacante de por medio. 🤖

Detectores de intrusos. Ayuda a tener diferentes implementaciones puestas en nuestra aplicación para saber cuándo se está utilizando de forma incorrecta. Recuperación de ataques. Tratar de tener diferentes tácticas para poder volver a un estado consistente y saber cuáles fueron las acciones que el atacante tomó para poder evitarlas. 🤖
Restauración. Cómo hacemos para tener por un lado un estado conocido que sabemos que es consistente o por otro lado diferentes estados que podemos comparar y saber si estamos en un estado consistente o no. 🤖 -Identificación. Es importante para poder saber qué es lo que hizo el atacante. 🤖 -Traza de auditoría. Sepamos exactamente todos los pasos que dan nuestros usuarios como para que, cuándo detectamos al atacante, podamos volver a un estado conocido y luego ejecutar todas las acciones de nuestros usuarios ignorando lo que hizo el atacante. Resistencia al ataque. Va a tratar que el atacante no tenga éxito. 🤖
Autenticación. Refiere a cómo sabemos que el usuario es quién dice ser. 🤖
Autorización. Trata no solamente de saber quién es esa persona sino saber qué puede o no hacer esa persona.

Diego Salgado Castellanos

student•

Un buen ejemplo de Limitar la exposición está en esta PR reciente sobre Laravel 9.x.

https://github.com/laravel/framework/pull/43097

En esta PR se explica que puedes hacer uso de las herramientas de laravel para controlar la autorización a recursos, pero que es bueno poder personalizar la salida cuando no se posee esta autorización.

Esto es una mejora de la exposición porque si un ataque siempre recibe, por ejemplo, un 404 para recursos que no existen o recursos a los que no tiene acceso, no sabrá diferenciar cuando el recurso existe o no y tendrá más complicada la tarea de deducir puntos flacos de la aplicación.

Eduardo Gonzalez Esquivel

student•

En su experiencia cual es la información sensible de sus aplicaciones que suelen encriptar además claro de el password?

Korpi delfin

student•

Mi backup y documentos personales como IDs, facturas, etc.

Jorge Arturo Pintor Morales

student•

Depende del sistema y de como se diseñe o establzca, pero por ejemplo información como el CURP, RFC. En sistemas médicos toda la información que describe o indica que tiene el paciente debe ser cifrado. Información bancaria, información de la persona como estado civil, preferencias sexuales, nacionalidad, enfermedades cronicas y un sin fin de otros datos.

Por cierto, las contraseñas no se encriptan, se hashean. La diferencia es que en la primera puedes recuperar la información original y en la segunda no.

Cómo detectar, resistir y recuperarse de ataques

Introducción al curso

Curso Profesional de Arquitectura de Software

Atributos de calidad

Qué son los atributos de calidad en software

Cómo medir idoneidad funcional en software

Qué es eficiencia de ejecución en software

Cómo medir interoperabilidad y coexistencia

Qué es la usabilidad y sus 6 dimensiones

Cómo medir confiabilidad en software

Los 5 pilares de seguridad en software

Cómo garantizar mantenibilidad con tests

Adaptabilidad vs capacidad de instalación vs reemplazo

Tensiones entre atributos de calidad de software

Atributos de calidad según fase de empresa

Patrones de arquitectura

Qué es un patrón de arquitectura

Modelo vista controlador: cómo separar responsabilidades

Arquitectura en capas: controller, servicio y repositorio

Event sourcing vs bases relacionales

Qué es la arquitectura microkernel

Arquitectura Comparte Nada con Map Reduce

Patrón de microservicios: cuándo y cómo

Qué es CQRS y cómo separa lectura de escritura

Arquitectura hexagonal: puertos y adaptadores

Qué son los contextos delimitados en DDD

Cómo combinar patrones de arquitectura

Evolución de patrones desde monolito a microservicios

Diseño de una arquitectura

Cómo traducir requerimientos en decisiones arquitectónicas

Conectores en arquitectura: tipos y cuándo usarlos

Llamadas asíncronas vs síncronas vs cliente-servidor

Conector enrutador vs difusión: Twitter

Conectores cola, repositorio y pub/sub

Framework de diseño orientado a atributos

Cómo detectar fallas y reparar sistemas

Cómo recuperar y prevenir fallas en sistemas

Tácticas para confinar modificaciones

Cómo prevenir efectos dominó en software

Tácticas para controlar eficiencia de ejecución