1 00:00:00,300 --> 00:00:10,679 Bueno, estamos aquí ya con la unidad 5 de ciberseguridad y vamos a hablar del bastionado de redes. 2 00:00:12,619 --> 00:00:19,300 Pues eso, es como hacer un bastión, ¿verdad? Un bastión es una fortaleza impenetrable, pues esto es parecido. 3 00:00:19,300 --> 00:00:35,299 Vamos a ver las medidas, las herramientas que hay disponibles para hacer nuestra red, ya sea corporativa o privada, inaccesible a ataques del exterior, que vamos a ver, inaccesible totalmente es imposible. 4 00:00:35,299 --> 00:00:44,000 Ya sabéis que los delincuentes como que siempre van un pasito por delante de la innovación, pero por lo menos complicarles la vida. 5 00:00:44,560 --> 00:01:01,439 Como siempre, tenéis aquí el resumen del contenido, que bueno, ya siempre os digo que el contenido leeroslo y luego cuando ya lo tengáis leído, pues tenéis aquí un resumen que os facilita la vida o eso, pero... 6 00:01:01,439 --> 00:01:07,120 Y es el que vamos a tomar para ver el tema. 7 00:01:08,060 --> 00:01:09,420 Pensaba que lo tenía descargado aquí. 8 00:01:10,959 --> 00:01:12,060 No lo veo, la verdad. 9 00:01:12,879 --> 00:01:13,739 Pero no pasa nada. 10 00:01:17,140 --> 00:01:17,540 Porque... 11 00:01:17,540 --> 00:01:18,640 No he detenido el vídeo, ¿no? 12 00:01:18,680 --> 00:01:25,079 Es que cuando le doy a Alt, en algunos está programado para que se detenga. 13 00:01:25,599 --> 00:01:26,159 Parece que no. 14 00:01:26,439 --> 00:01:28,700 Esperad un momento a ver qué le he hecho en ojo. 15 00:01:28,799 --> 00:01:29,340 Perdonad, eh. 16 00:01:29,879 --> 00:01:30,739 A ver, a tejos... 17 00:01:31,439 --> 00:01:39,840 Vale, está bien. Es que tengo otro ordenador que utilizo para hacer vídeos y cada vez que cambio de pantalla se me detiene el vídeo y es un rollo. 18 00:01:39,840 --> 00:01:55,760 Vale, guay. Seguimos con el tema. Pues... me lo voy a descargar mejor. Ah, mira, si está aquí ya. Tema 5. Ah, es este de aquí. Vale, vale. 19 00:01:55,760 --> 00:02:25,740 Bueno, perfecto. 20 00:02:25,759 --> 00:02:31,939 red, estamos mandando contraseñas, estamos mandando datos y que esos datos pues hay que 21 00:02:31,939 --> 00:02:37,740 cifrarlos o hay que impedir que se puedan leer a través de una VPN. Sabéis también 22 00:02:37,740 --> 00:02:43,680 que dependiendo de los protocolos, si por ejemplo el HTTPS o el SSH, que lo vamos a 23 00:02:43,680 --> 00:02:51,080 ver también, tienen ciertos puertos, entonces con un Firewall decimos quién puede acceder 24 00:02:51,080 --> 00:02:55,639 a esos puertos, si esos puertos van a estar abiertos, si esos puertos no van a estar abiertos. 25 00:02:55,759 --> 00:03:09,639 Entonces, hay un montón de medidas que podemos implementar para complicar la vida a los atacantes o a las amenazas tanto externas como internas que pudiéramos tener. 26 00:03:10,860 --> 00:03:13,620 Vamos a empezar con los planes de securización. 27 00:03:13,620 --> 00:03:24,580 Deben contemplar desde la identificación de riesgos hasta la implementación de estrategias de mitigación y recuperación ante incidentes. 28 00:03:25,759 --> 00:03:44,740 Entonces, lo principal es que la amenaza no llega a buen puerto. Para eso tenemos que tener un dispositivo que identifique el riesgo antes de que se produzca. Esto es como la seguridad pasiva y la activa que habíamos hablado. 29 00:03:44,740 --> 00:03:54,840 Pero como es imposible tener un sistema 100% seguro, pues siempre tenemos que tener un plan de mitigación en caso de que el ataque se produzca y de recuperación. 30 00:03:55,539 --> 00:04:14,319 Mitigación es que el ataque tenga el efecto mínimo y recuperación es que aunque tenga un efecto mínimo ha tenido cierto efecto y tenemos que recuperarnos de lo que haya roto o robado o cambiado. 31 00:04:14,740 --> 00:04:21,160 Su enfoque es en la prevención y además en la respuesta eficiente ante eventualidades. 32 00:04:21,160 --> 00:04:33,480 Entonces, tenemos como varios puntos. La evaluación de riesgos. Identifica amenazas y vulnerabilidades. Permite priorizar lo más crítico y asignar recursos con lógica. 33 00:04:33,639 --> 00:04:49,800 Porque al final los recursos que tenemos son limitados. Entonces tenemos que identificar todas las amenazas posibles que puedan atacar al sistema que tenemos en mano, priorizarlas por criticidad. 34 00:04:49,800 --> 00:05:03,720 Es decir, cuáles van a ser más críticas, más severas y a esas tendremos que intentar darle más recursos, ¿vale? Ponérselo más complicado para que no ocurran. 35 00:05:04,579 --> 00:05:14,000 Políticas de acceso y autentificación. Controla quién accede a qué, cómo y cuándo. Usa contraseñas seguras y autentificación multifactor. 36 00:05:14,000 --> 00:05:22,740 Pues esto es lo que llevamos hablando en todo el curso 37 00:05:22,740 --> 00:05:25,579 De que el acceso a la información sensible 38 00:05:25,579 --> 00:05:28,199 Tiene que ser un acceso mínimo 39 00:05:28,199 --> 00:05:32,439 O sea, los roles tienen que poder acceder a lo mínimo posible 40 00:05:32,439 --> 00:05:35,519 Que necesiten para trabajar 41 00:05:35,519 --> 00:05:40,540 O sea, no tiene sentido que puedan acceder a datos 42 00:05:40,540 --> 00:05:43,540 Que luego no los necesiten o no van a utilizar 43 00:05:43,540 --> 00:05:51,800 porque si luego esos roles son robados o adquiridos por otra persona que no debería tenerlos, tiene acceso a más información de la que necesita. 44 00:05:52,220 --> 00:06:02,120 Entonces vamos a ir por el principio mínimo. Igual con las contraseñas, que tienen que ser robustas y con varios factores. 45 00:06:02,579 --> 00:06:09,480 La huella dactilar o enviamos un mensaje al móvil a parte de la contraseña. 46 00:06:09,480 --> 00:06:23,480 ¿Vale? Medidas preventivas. Implementar firewall, antivirus, cifrado, IDS y IPS que lo veremos más adelante, controles de acceso, protege antes de que el problema ocurra. 47 00:06:23,480 --> 00:06:53,459 Pues es lo que he comentado. 48 00:06:53,480 --> 00:07:04,720 notificación y análisis posterior. El análisis posterior sobre todo para saber qué ha pasado, cómo es que hemos puesto en activo un plan de securización 49 00:07:04,720 --> 00:07:15,839 devaccionado de nuestro sistema y aún así ha podido penetrar una amenaza. Esto nos ayuda a que no vuelva a suceder, a aprender de nuestros errores a base de golpes, 50 00:07:15,839 --> 00:07:42,459 Que es como muchas veces se aprende en la vida. Y pues a mejorar nuestro sistema en definitiva. De hecho, no sé si lo he dicho ya en este curso, pero hay empresas que dan premios a gente por acceder a sus sistemas o penetrar su red de seguridad. 51 00:07:42,459 --> 00:07:46,699 porque eso les ayuda a ellos a seguir mejorando. 52 00:07:48,639 --> 00:07:51,660 También está el concepto de honeypot 53 00:07:51,660 --> 00:07:57,379 que ahí dejas como una parte del sistema vulnerable 54 00:07:57,379 --> 00:08:00,180 entonces va a ser atacado muchas veces 55 00:08:00,180 --> 00:08:01,899 y ves por dónde vienen los ataques. 56 00:08:03,439 --> 00:08:05,019 Eso también puede ser interesante. 57 00:08:06,600 --> 00:08:09,620 Por último, monitoreo y mantenimiento continuo. 58 00:08:09,759 --> 00:08:11,040 La seguridad es un proceso. 59 00:08:11,040 --> 00:08:17,759 audita actualiza y revisa el entorno de forma constante vale esto es pues como la mejora 60 00:08:17,759 --> 00:08:21,720 continua que siempre estamos alerta siempre mejorando siempre analizando 61 00:08:24,459 --> 00:08:29,379 a las auditorías externas son importantes porque esto es como cuando programas 62 00:08:30,980 --> 00:08:38,200 y tú te estás tu propio código pero no lo vas a hacer también como alguien externo porque tú 63 00:08:38,200 --> 00:08:52,419 Bueno, subconscientemente cuando testeas tu código tú quieres que funcione porque es trabajo hecho que tienes ya. Pero a alguien que está testeando desde fuera le da igual si va a funcionar o no. 64 00:08:52,419 --> 00:09:06,220 O sea, él lo que quiere es que el programa cumpla los requisitos. Entonces lo va a testear de una manera más objetiva. Pues lo mismo pasa con las auditorías externas. Por eso se pagan auditorías externas. 65 00:09:06,220 --> 00:09:18,659 A parte de que muchas veces son obligatorias y para certificados y tal. Os he dejado aquí la tablita esta, que es justo la que viene en el contenido, para que también lo tengáis en cuenta con ejemplos prácticos. 66 00:09:18,779 --> 00:09:33,080 Ya veréis que en varios puntos también he hecho algo similar. Llevamos 10 minutillos. Yo creo que lo voy a hacer en dos partes. Pero bueno, vamos viendo. 67 00:09:33,080 --> 00:09:40,279 herramientas para el diseño de un plan de securización pues son todas estas que hemos 68 00:09:40,279 --> 00:09:47,419 pasado un poco por su rayo lo vamos a ver un poco más en concreto entonces tenemos los firewalls 69 00:09:47,419 --> 00:09:52,399 permite controlar el tráfico de datos que entra y sale de la red según un conjunto de reglas 70 00:09:52,399 --> 00:09:58,279 definidas porque el tráfico no autorizado y permite el paso de las comunicaciones legítimas 71 00:09:58,279 --> 00:10:05,519 vale entonces el firewall nosotros lo podemos configurar y podemos decir pues vamos a utilizar 72 00:10:05,519 --> 00:10:10,899 estos puertos que son los que utilizan ciertos protocolos y estos no vale porque quizás hay 73 00:10:10,899 --> 00:10:15,899 protocolos que son inseguros pues no queremos que esos puertos estén accesibles a la a una 74 00:10:15,899 --> 00:10:21,559 red externa vale y sobre todo eso bloquear tráfico que no está autorizado según los parámetros que 75 00:10:21,559 --> 00:10:27,519 hemos tenido en cuenta para securizar y permite el paso de las comunicaciones legítimas porque 76 00:10:27,519 --> 00:10:33,399 también es importante que nuestra configuración no sea tan estricta como para que comunicaciones 77 00:10:33,399 --> 00:10:40,600 que son legítimas sean bloqueadas porque eso al final pues deteriora el ritmo de trabajo luego 78 00:10:40,600 --> 00:10:49,879 tenemos los ids y los ips los ids son sistemas de detección de intrusos estos sistemas lo que 79 00:10:49,879 --> 00:10:55,960 se especializan es en la detección vale luego una vez que lo detectas pues habrá otros sistemas que 80 00:10:55,960 --> 00:11:04,639 te ayuden a a bloquear esa amenaza y los ips son sistemas de prevención de intrusos que además de 81 00:11:04,639 --> 00:11:10,100 detectar también los bloquean vale es como una herramienta más avanzada luego tenemos los 82 00:11:10,100 --> 00:11:15,700 famosos antivirus y anti malware protege el sistema de virus malware spyware y otras amenazas los que 83 00:11:15,700 --> 00:11:22,639 típicos que conocemos todos aquí en españa tenemos panda no que es nacional sistemas de gestión de 84 00:11:22,639 --> 00:11:27,720 acceso e identificación, permite gestionar credenciales y controlar el acceso a recursos 85 00:11:27,720 --> 00:11:34,080 y sistemas a través de autentificación multifactor y control de roles. Pues lo típico, ¿no? 86 00:11:34,080 --> 00:11:41,080 Que si es una empresa con 5 empleados, pues es muy fácil gestionar credenciales, ¿vale? 87 00:11:42,860 --> 00:11:47,759 Igual no hace falta ni tener roles, pero para empresas grandes de 500 empleados, pues es 88 00:11:47,759 --> 00:11:51,519 muy lógico tener un sistema de estos, de gestión de acceso e identificación, donde 89 00:11:51,519 --> 00:11:59,720 puedas puedes gestionar los roles o sea crear los roles darles privilegios o quitárselos y 90 00:11:59,720 --> 00:12:03,700 gestionar cómo saber cómo vamos a gestionar las credenciales 91 00:12:06,059 --> 00:12:11,320 dónde van a tener acceso donde no vale pues estos son los sistemas de gestión de acceso 92 00:12:11,320 --> 00:12:18,879 a identificación lo sigan luego tenemos las vpn la virtual private network que esto pues 93 00:12:18,879 --> 00:12:28,659 Pues se ha vuelto bastante famoso porque dependiendo de dónde estés en el mundo, en qué continente, pues quizá puedes ver unas películas o unas series de Netflix. 94 00:12:29,580 --> 00:12:36,200 O billetes de avión en España te valen más caros que si los compraras en Tailandia. 95 00:12:36,200 --> 00:12:42,279 Entonces te metes en una VPN y finges como que estás comprando los billetes desde Tailandia. 96 00:12:42,279 --> 00:12:48,919 Entonces, bueno, esto establece una conexión segura y cifrada entre un usuario y la red a través de internet. 97 00:12:49,940 --> 00:13:09,399 Es como que la conexión ya no va a ir en libre, en plano, sino que va a ir cifrada. Va a ser como un túnel que utilizas, que es un túnel opaco, que alguien desde fuera no va a poder ver el contenido dentro del túnel. 98 00:13:09,399 --> 00:13:19,600 Pero esa información va a viajar por el túnel hasta el destinatario. Garantiza que los datos enviados desde dispositivos remotos estén protegidos. 99 00:13:22,539 --> 00:13:33,519 Cifrado de datos. Protege la confidencialidad de los datos. Es decir, que nadie pueda verlos y almacenarlos y tratarlos. 100 00:13:33,519 --> 00:13:54,320 Lo otro era la integridad, recordad. Lo de modificar los datos era la integridad, pero la confidencialidad es que los datos se mantengan privados. Protege la confidencialidad de los datos usando algoritmos matemáticos que hacen la información ilegible para alguien que la intercepte. Solo el destinatario lo podrá descifrar. 101 00:13:54,320 --> 00:14:02,500 Vale, entonces esto es como la VPN, hemos dicho que los datos tenemos que pensar que viajan por un túnel 102 00:14:02,500 --> 00:14:11,980 Y esto, el cifrado de datos, son algoritmos matemáticos que se utilizan para coger la información y alterarla 103 00:14:11,980 --> 00:14:18,919 De tal manera que tú puedes capturar la información que se está enviando pero no va a tener sentido para ti 104 00:14:18,919 --> 00:14:23,440 Porque no lo vas a poder leer sin las claves para descifrarlo 105 00:14:23,440 --> 00:14:36,539 ¿Vale? Seguimos. Configuración de sistemas de control de acceso y autentificación de personas. Que hemos dicho que los gestores serán el sistema de gestión de acceso e identificación. 106 00:14:37,340 --> 00:14:39,580 Entonces, control de acceso. 107 00:14:39,720 --> 00:14:46,860 Define quién puede acceder a qué recurso, en qué condiciones y con qué permisos. 108 00:14:47,559 --> 00:14:51,820 ¿A qué recursos? ¿En qué condiciones puede acceder ese recurso? 109 00:14:51,940 --> 00:14:57,799 ¿Y qué permisos tiene? ¿De escritura? ¿De lectura? ¿De modificación? 110 00:14:58,120 --> 00:15:00,659 Se apoya en dos pilares. 111 00:15:01,320 --> 00:15:04,179 Autenticación. Verifica la identidad del usuario. 112 00:15:04,179 --> 00:15:18,159 Pues eso, a través de usuario de la contraseña, que son las credenciales, tarjetas biométricas a partir del iris o de la huella dactilar o autentificación de dos factores. 113 00:15:21,019 --> 00:15:25,279 Y la autorización. 114 00:15:26,100 --> 00:15:30,240 Defina los permisos que ese usuario tiene una vez autentificado. 115 00:15:30,240 --> 00:15:32,919 O sea, primero viene la autentificación. 116 00:15:32,919 --> 00:15:53,039 Vale, donde tú dices, oye, soy esta persona y me meto en el sistema con este rol. Y luego la autorización, que son los permisos que esta persona con el rol va a tener sobre esos recursos, que ya hemos dicho que suelen ser de lectura, escritura, administración y tal. 117 00:15:53,039 --> 00:16:09,019 Vale, los sistemas empleados para la gestión de control de acceso y demás. Tenemos el Active Directory, que principalmente se utiliza en Windows, ¿verdad? Este es muy famosillo. 118 00:16:09,740 --> 00:16:19,840 Servicio desarrollado por Windows que permite gestión de usuarios, grupos, equipos, políticas de seguridad y recursos compartidos. 119 00:16:19,840 --> 00:16:30,960 Se puede aplicar el principio de mínimo privilegio, que es el que hemos hablado antes, de que tú si tienes un rol y ese rol está diseñado para que accedas a solo ciertos recursos. 120 00:16:30,960 --> 00:16:49,679 El principio de mínimo privilegio lo que hace es que realmente sea lo mínimo que necesitas para trabajar. Que si hay algún recurso en red que realmente no lo necesitas, no tengas acceso a él. 121 00:16:49,679 --> 00:16:59,679 Porque no tiene sentido y aumenta el riesgo. Y políticas de acceso por departamento, rol o dispositivo. 122 00:17:00,960 --> 00:17:18,680 Esto te lo permite el Active Directory, en el que ves todos los usuarios de la empresa, entonces puedes meterlos en grupos o en equipos de trabajo, puedes diseñar políticas de seguridad para ir asignándoselos a los grupos o a las personas y gestionar los roles. 123 00:17:18,680 --> 00:17:36,160 Es algo que se suele hacer. Luego tenemos el LDAP, Lightweight Directory Access Protocol. Permite integrar varios servicios, Internet, correo, Moodle, en una sola cuenta de usuario. 124 00:17:36,160 --> 00:17:42,380 Esto se parece mucho al single sign-on que vamos a ver también más adelante 125 00:17:42,380 --> 00:17:52,220 y es lo típico de que tú una vez que te logueas con tus credenciales vas a tener acceso a varios servicios 126 00:17:52,220 --> 00:17:55,319 y esto se gestiona a través de la LDAP 127 00:17:55,319 --> 00:18:04,779 Luego tenemos Access Control List, permite definir permisos específicos de acceso, archivos, carpetas, puertos, servicios 128 00:18:04,779 --> 00:18:10,839 o interfaces de red, en función de usuarios, grupos o direcciones IP. 129 00:18:11,660 --> 00:18:18,759 Y luego los protocolos AAA, protocolos de autentificación, autorización y contabilización, 130 00:18:19,180 --> 00:18:25,339 de accounting en inglés, para la verificación de usuarios que acceden a dispositivos en red. 131 00:18:26,299 --> 00:18:27,779 Switches, routers, firewalls... 132 00:18:28,920 --> 00:18:32,160 Porque estos dispositivos son dispositivos que son muy críticos. 133 00:18:32,160 --> 00:18:36,059 Están configurados para que todo funcione con seguridad 134 00:18:36,059 --> 00:18:39,940 Si alguien de fuera puede acceder a ellos, igual le puede cambiar la configuración 135 00:18:39,940 --> 00:18:42,799 Y entonces esto abriría una brecha en el sistema 136 00:18:42,799 --> 00:18:47,400 Y bueno, estos dos son bastante famosillos 137 00:18:47,400 --> 00:18:53,440 El Radius Remote Authentication Dial-in User Service 138 00:18:53,440 --> 00:18:58,440 Es el más común hoy en día, utilizado también para redes inalámbricas seguras 139 00:18:58,440 --> 00:19:13,200 Y el TACATS, que es más granular y es usado sobre todo en entornos Cisco de redes, granulares que van más al detalle. 140 00:19:15,039 --> 00:19:21,059 Y luego tenemos sistemas de autentificación. Permiten validar la identidad de los usuarios. 141 00:19:21,059 --> 00:19:33,440 Para ello se pueden aplicar técnicas combinadas como contraseña, doble factor de autentificación, biometría y control horario. 142 00:19:34,420 --> 00:19:41,059 También os he dejado aquí la tablita que tenemos en los contenidos, que viene en ejemplos y es muy ilustrativo. 143 00:19:43,759 --> 00:19:47,440 Seguimos. Administración de credenciales de acceso a sistemas informáticos. 144 00:19:47,440 --> 00:19:53,099 informáticos. ¿Las credenciales? Pues todos sabemos lo que es una credencial, ¿verdad? 145 00:19:53,160 --> 00:19:57,779 Mecanismo de autentificación que permite verificar la identidad de un usuario o sistema 146 00:19:57,779 --> 00:20:05,579 al interactuar con otros sistemas o redes. Entonces sabemos que normalmente se compone 147 00:20:05,579 --> 00:20:14,000 de usuario y contraseña, pero la contraseña o la manera que accedes tú al sistema puede 148 00:20:14,000 --> 00:20:21,920 ser de varios tipos. ¿Qué son los que vamos a ver aquí? Entonces ya sabéis que es un 149 00:20:21,920 --> 00:20:27,799 tema crucial y es información muy sensible porque es la manera que tenemos de acceder 150 00:20:27,799 --> 00:20:34,700 a quizás a la internet de la empresa, a datos que solo ciertas personas pueden acceder por 151 00:20:34,700 --> 00:20:41,440 el rol que tienen. Entonces es muy importante. Tenemos las contraseñas que son las tradicionales, 152 00:20:41,440 --> 00:20:53,339 Claves alfa-ruménicas que solo el usuario debe conocer. Pero también tenemos los tokens físicos y digitales. Dispositivos o aplicaciones generadoras de código temporal. 153 00:20:54,180 --> 00:21:04,900 Lo de los tokens tenemos que saber que son temporales y necesitamos una aplicación que lo genere. Como tokens de hardware o aplicaciones de autentificación. 154 00:21:04,900 --> 00:21:13,039 Certificados digitales, archivos utilizados para autentificar la identidad de los usuarios y sistemas en redes seguras 155 00:21:13,039 --> 00:21:19,680 Esto también son como archivos que nos tenemos que instalar en el ordenador 156 00:21:19,680 --> 00:21:28,539 Y claves SS, conjunto de claves públicas y privadas utilizadas para la autentificación segura en conexiones remotas 157 00:21:28,539 --> 00:21:34,339 Con lo de las claves SS tenemos que saber que en realidad no se están enviando claves 158 00:21:34,339 --> 00:21:43,859 O sea, sí son claves pero no son contraseñas, no se envían contraseñas por la red 159 00:21:43,859 --> 00:21:48,039 ¿Qué es el problema? Porque si envías la contraseña por la red tiene que estar cifrada 160 00:21:48,039 --> 00:21:53,539 Por si no alguien, el men in the middle, que llamamos o no el ataque de men in the middle 161 00:21:53,539 --> 00:22:04,299 que es que alguien se pone a leer los datos que se están enviando entre las máquinas y puede interceptar las contraseñas. 162 00:22:04,839 --> 00:22:10,539 Entonces, con las claves SSH lo prevenimos, porque necesitas las claves para... 163 00:22:11,119 --> 00:22:17,000 O sea, la contraseña, la clave va cifrada y necesitas las claves públicas o privadas para descifrarlas. 164 00:22:17,819 --> 00:22:23,180 Entonces, es sobre todo para conexiones a servidores. 165 00:22:23,539 --> 00:22:25,859 Y máquinas remotas y demás. 166 00:22:27,859 --> 00:22:35,319 Biometría. Método de autentificación basado en características físicas únicas como huellas dactiladas, reconocimiento facial o de iris. 167 00:22:35,480 --> 00:22:37,140 Que está tan de moda. 168 00:22:39,359 --> 00:22:45,680 Al final son como algo que eres, algo que tienes y algo que sabes. 169 00:22:45,980 --> 00:22:54,599 Algo que sabes es la contraseña, algo que tienes es lo que te envían al móvil y algo que eres es la biometría. 170 00:22:54,599 --> 00:23:11,839 La biometría, perdón. Ya sabéis que el iris o las huellas dactilares son únicas para cada persona en el planeta, entonces nos valemos de eso para añadir más robustez a la hora de acceder a los sistemas. 171 00:23:12,839 --> 00:23:22,019 Y códigos temporales, OTP. Códigos de un solo uso que se generan y envían de manera temporal. 172 00:23:22,019 --> 00:23:27,400 Usualmente a través de aplicaciones móviles o SMS 173 00:23:27,400 --> 00:23:30,960 Es lo que os comentaba, de algo que tienes 174 00:23:30,960 --> 00:23:36,059 Que te envían un código a tu móvil y ese código solo se puede utilizar en ese momento 175 00:23:36,059 --> 00:23:41,940 Ese código se ha generado en ese momento y solo se puede utilizar para ese momento, para esa acción 176 00:23:41,940 --> 00:23:46,440 Es diferente a los tokens 177 00:23:46,440 --> 00:23:49,539 ¿Vale? Los tokens 178 00:23:49,539 --> 00:23:52,980 Bueno, en realidad es como si te mandaran un token 179 00:23:52,980 --> 00:23:56,490 Lo que pasa es que, sí 180 00:23:56,490 --> 00:24:01,390 Es como que te mandan un token para el móvil 181 00:24:01,390 --> 00:24:07,029 Y para que puedas acceder o verificar una operación en ese momento en concreto 182 00:24:07,029 --> 00:24:11,990 Y esas son la parte de las credenciales 183 00:24:11,990 --> 00:24:15,730 Luego tenemos las buenas prácticas que también 184 00:24:15,730 --> 00:24:30,450 Algunas de estas ya hemos ahondado en el temario, ¿verdad? Entonces este cuadrito también os servirá para repasarlo, para ver ejemplos y ver cosas que son básicas y muchas veces de sentido común. 185 00:24:32,730 --> 00:24:37,309 Vamos a ver la mitad del tema, hasta la página 6. 186 00:24:37,309 --> 00:24:42,369 Herramientas para la gestión de credenciales 187 00:24:42,369 --> 00:24:45,910 Pues vamos a ver aquí algunas herramientas 188 00:24:45,910 --> 00:24:47,970 Pues eso, de gestión de credenciales 189 00:24:47,970 --> 00:24:50,430 De las credenciales que acabamos de ver 190 00:24:50,430 --> 00:24:58,349 Bitbarter, KeePassXC y OnePassword 191 00:24:58,349 --> 00:25:03,730 Son gestores de contraseñas que permiten almacenar, generar y compartir contraseñas de forma segura 192 00:25:03,730 --> 00:25:10,670 Vale, porque aquí el problema que hay es que muchas veces nos juntamos con muchas credenciales 193 00:25:10,670 --> 00:25:16,170 Si tienes por ejemplo, pues, que se yo, quien no tiene más de 5 credenciales 194 00:25:16,170 --> 00:25:23,829 O en el curro o en tu vida personal tienes un montón de contraseñas que recordar 195 00:25:23,829 --> 00:25:27,250 Y al final nadie va a recordar 20 contraseñas 196 00:25:27,250 --> 00:25:33,289 Muchas veces las vamos a repetir, va a ser la misma para muchas aplicaciones o muchos servicios 197 00:25:33,289 --> 00:25:54,250 Y no es lo ideal, ¿verdad? Porque lo ideal es que cada una tenga su contraseña diferenciada. Entonces, tenemos estos gestores de contraseña que quizá teniendo una única contraseña robusta, pues accederá a ellos y ellos van generando contraseñas seguras o las van cambiando. 198 00:25:55,250 --> 00:26:01,029 Cifran todas las contraseñas y datos sensibles protegiéndolos contra accesos no autorizados. 199 00:26:02,250 --> 00:26:08,089 Entonces, si tú tienes la clave de acceso a este gestor de contraseñas, podrás acceder a ellas. 200 00:26:08,089 --> 00:26:19,369 Si no, pues las claves están cifradas, entonces no puedes utilizarlas. 201 00:26:19,369 --> 00:26:29,710 También permiten compartir contraseñas de manera segura dentro de equipos y organizaciones, garantizando que las credenciales no sean almacenadas en texto claro o compartidas inseguramente. 202 00:26:30,690 --> 00:26:38,470 Al final son herramientas que hacen que el hecho de que tengas muchas contraseñas no sean un problema. 203 00:26:38,470 --> 00:26:55,309 Vault de HashiCorp, solución para la gestión de secretos que protege datos sensibles como claves API, tokens, contraseñas, certificados y otros secretos en entornos automatizados y de infraestructuras como código. 204 00:26:55,309 --> 00:27:08,509 Además de su función de almacenamiento seguro, también permite la rotación automática de claves, políticas de acceso basadas en roles y un acceso granular a los secretos almacenados. 205 00:27:11,180 --> 00:27:15,000 Pues al final permite almacenar información de manera más segura. 206 00:27:18,339 --> 00:27:20,680 La SSH Key Management. 207 00:27:21,500 --> 00:27:28,859 El manejo de claves SSH, que es lo que hemos visto anteriormente, es esencial para la seguridad de los accesos remotos a servidores. 208 00:27:29,279 --> 00:27:36,380 especialmente cuando se utilizan claves públicas y privadas para autentificar conexiones seguras. 209 00:27:37,180 --> 00:27:43,740 Herramientas de gestión de claves SSH permiten controlar la distribución, uso y expiración de estas claves, 210 00:27:43,900 --> 00:27:50,119 garantizando que sólo los usuarios autorizados pueden acceder a los servidores. 211 00:27:50,119 --> 00:27:58,440 O sea, lo de la conexión remota SSH normalmente es para acceder a servidores o máquinas a través de la consola 212 00:27:58,440 --> 00:28:07,140 y no se basa en contraseñas, sino que se basa en claves que están cifradas. 213 00:28:08,279 --> 00:28:15,819 O sea, sí que hay, digamos, unos caracteres que se utilizan para acceder que están cifrados 214 00:28:15,819 --> 00:28:20,019 y solo con las claves las podemos descifrar. 215 00:28:20,839 --> 00:28:26,980 Entonces, los SSH Key Management son herramientas para gestionar este tipo de claves. 216 00:28:26,980 --> 00:28:34,720 Además, permite la rotación periódica de las claves para mantener la seguridad de las conexiones. 217 00:28:35,599 --> 00:28:40,460 Azure Active Directory y Google Workspace. 218 00:28:41,380 --> 00:28:51,000 Plataformas a la nube que permiten gestionar identidades, accesos y autenticaciones en entornos organizacionales. 219 00:28:51,359 --> 00:28:53,859 En las empresas, en las corporaciones. 220 00:28:53,859 --> 00:29:03,019 Estas plataformas no solo proporcionan acceso a las aplicaciones en la nube de sus respectivos ecosistemas 221 00:29:03,019 --> 00:29:06,420 Microsoft y Google, ¿no?, respectivamente 222 00:29:06,420 --> 00:29:14,299 sino que también permiten integrar otros servicios externos a través de Signal Sign-On y autentificación multifactor 223 00:29:14,839 --> 00:29:19,619 Esto facilita el control de accesos y mejora la seguridad general 224 00:29:19,619 --> 00:29:47,960 Lo de Single Sign-On es que con una sola clave puedes acceder a varios servicios, como lo que pasa en el entorno de Google, que con tu clave de acceso, con tu perfil, una vez que te logueas puedes acceder a Gmail, a Google Drive, a un montón de servicios, a YouTube, que quizás sería muy engorroso si tuvieras que loguearte uno a uno. 225 00:29:47,960 --> 00:30:06,960 Pero con el Singer Sign-On, la manera de loguearse ya ha comprobado de manera fehaciente que tú eres la persona del titular de la cuenta y lo único que tienes que tener cuidado porque si te la dejas abierta, 226 00:30:06,960 --> 00:30:14,099 Pues luego la gente puede acceder a todas esas aplicaciones que tienen información personal tuya 227 00:30:14,099 --> 00:30:20,579 Así que es muy importante que siempre que la utilices fuera de tu equipo, cierres sesión 228 00:30:20,579 --> 00:30:30,220 Que todo el mundo, pues le dejas el portátil a un amigo para que trabaje porque yo que sé, lo necesita 229 00:30:30,220 --> 00:30:43,220 Y cuando te lo devuelve te das cuenta de que no ha cerrado sesión y tienes acceso a su Google Drive, a su Gmail, o sea, son cosas críticas que tenemos que tener en cuenta. 230 00:30:46,539 --> 00:30:48,599 Vale, administración de credenciales. 231 00:30:49,599 --> 00:30:51,059 Centralización de las credenciales. 232 00:30:51,259 --> 00:30:57,700 Utilizar herramientas que centralicen la gestión de credenciales como directorios de autentificación, 233 00:30:57,700 --> 00:31:05,259 como los que hemos visto, Data Directory y LDAP, permite gestionar de manera más eficiente el acceso de los usuarios a los recursos. 234 00:31:07,140 --> 00:31:14,700 Autentificación multifactorial. Aumenta la seguridad de las credenciales combinando contraseñas, dispositivos o biométrica. 235 00:31:16,299 --> 00:31:20,880 No es lo que os digo de algo que soy, algo que tengo y algo que sé. 236 00:31:20,880 --> 00:31:34,900 5. Cifrado de credenciales. Las contraseñas deben almacenarse cifradas para evitar su lectura en caso de filtración. De que accedan a la base de datos y sacan todas las contraseñas, pues esas tienen que estar cifradas, no es que es de cajón. 237 00:31:34,900 --> 00:31:44,180 Política de contraseñas robustas. Obligar al usuario al uso de contraseñas seguras y rotación periódica para mejorar la protección de cuentas. 238 00:31:44,180 --> 00:31:53,940 Que esto da por saco bastante en las empresas. Que cada tres meses tengas que cambiar la contraseña y que no te dejes meter cualquier contraseña. 239 00:31:53,940 --> 00:32:05,119 Que luego con diccionarios puedan descifrarlas muy rápido. Porque ya sabéis que si ponemos una contraseña robusta, un diccionario va a tardar siglos en encontrar la contraseña. 240 00:32:05,240 --> 00:32:12,980 Pero si ponemos la contraseña, pues, casa 25. Pues un diccionario la va a encontrar rápido con prueba y error. 241 00:32:13,460 --> 00:32:23,180 Pero si ponemos que tienen que ser mayúsculas y minúsculas, caracteres especiales, caracteres alfanuméricos, pues ya se complica mucho. 242 00:32:23,940 --> 00:32:30,539 Combinaciones que no formen palabras. Entonces, es a lo que se refiere con contraseñas robustas. 243 00:32:31,359 --> 00:32:37,359 Gestión de privilegios y acceso. Aplicar el principio de mínimo privilegio según el rol y necesidad del usuario. 244 00:32:37,900 --> 00:32:39,200 Pues justo lo que hemos explicado. 245 00:32:42,599 --> 00:32:50,980 Auditoría de accesos. Revisar los registros de acceso para detectar usos indebidos o accesos sospechosos. 246 00:32:50,980 --> 00:33:06,720 Y automatización del ciclo de vida de las credenciales. Automatizar la creación, modificación y eliminación de credenciales para reducir errores y mejorar la eficiencia. 247 00:33:06,720 --> 00:33:12,839 Y ya está, hasta aquí la mitad del tema 248 00:33:12,839 --> 00:33:17,980 Así que más adelante os subiré el resto del tema 249 00:33:17,980 --> 00:33:22,140 Y ya con esto podéis empezar a hacer la tarea 250 00:33:22,140 --> 00:33:24,400 Que todavía no la he habilitado, pero la habilitaré 251 00:33:24,400 --> 00:33:27,000 ¿Vale? Pues nada, gracias por escucharme 252 00:33:27,000 --> 00:33:28,680 Y que tengáis buen día 253 00:33:28,680 --> 00:33:29,259 Adiós