Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Más Información. Aceptar

Diferencias entre amenazas y vulnerabilidades

David Reinares Lara
  • Escrito por David Reinares Lara el 14 de Octubre de 2020
  • 2 min de lectura Ethical hacking
Diferencias entre amenazas y vulnerabilidades

¿Sabes que es una ciberamenaza?, y ¿una vulnerabilidad? ¿Sabes cuales pueden suponer un riesgo para tu organización? ¿Sabes cómo puede afectar un incidente a tu organización? ¿Está tu organización en riesgo?

Estos son términos que se confunden a menudo. Veamos cómo se definen.

Qué es una vulnerabilidad y qué es una amenaza

Una vulnerabilidad, en términos de TI, es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información, pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, así como otras dimensiones de la seguridad pertinentes para nuestra organización, como pueden ser la trazabilidad o la autenticidad.

Por todo esto es necesario encontrarlas y eliminarlas lo antes posible. Estos agujeros pueden tener distintos orígenes, como, por ejemplo, fallos de diseño, errores de configuración o falta de procedimientos.

Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas.

Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones organizacionales (mal manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas.

Por tanto, las vulnerabilidades son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas, como, por ejemplo, debilidades en controles de seguridad o controles de seguridad inexistentes. El problema es que, en el mundo real, si existe una vulnerabilidad, siempre existirá alguien que intentará explotarla, es decir, sacar provecho de su existencia.

En definitiva, las amenazas son externas a los activos de información y las vulnerabilidades suelen ser atributos o aspectos del activo que la amenaza puede explotar. Si bien las amenazas tienden a ser externas a los activos, no provienen necesariamente de fuera de la organización. De hecho, la mayoría de los incidentes de seguridad de la información de hoy se originan dentro del perímetro de la organización.

Categorización de las amenazas

Las amenazas se pueden dividir en las siguientes categorías:

  • Criminalidad

Son todas las acciones, causado por la intervención humana, que violan la ley y que están penadas por esta. Con criminalidad política se entiende todas las acciones dirigido desde el gobierno hacia la sociedad civil. Por ejemplo, allanamiento, sabotaje, robo/hurto, fraude, espionaje, malware, etc.

  • Sucesos de origen físico

Son todos los eventos naturales y técnicos, así como también eventos indirectamente causados por la intervención humana. Por ejemplo, incendio, inundación, terremoto, polvo, sobrecarga eléctrica, falta de corriente, etc.

  • Negligencia y decisiones institucionales

Son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque están directamente relacionado con el comportamiento humano. Por ejemplo, falta de reglas, falta de capacitación, no cifrar datos críticos, mal manejo de contraseñas, etc.

Categorización de las vulnerabilidades

Por otro lado, las vulnerabilidades se pueden clasificar en las siguientes categorías:

  • Ambientales / Físicas

Como pueden ser desastres naturales, ubicación, capacidad técnica, materiales, etc.

  • Económica

Escasez y mal manejo de recursos. Por ejemplo, no tener recursos para gestionar una determinada tecnología de la información o un control de seguridad, supondrá una vulnerabilidad que se podría explotar debido a que no se gestiona correctamente.

  • Socio-educativa

Relaciones, comportamientos, métodos, conductas, etc. Esto tiene que ver con la cultura organizacional cuando se permiten actividades arriesgadas, como compartir contraseñas entre diferentes empleados.

  • Institucional / Política

Se refiere a procesos, organización, burocracia, corrupción, autonomía, etc.

Ejemplos de amenazas y vulnerabilidades

A modo de ejemplo, podemos ver algunas categorías de amenazas y vulnerabilidades definidas por el estándar internacional ISO 27001, una norma de ciberseguridad ampliamente reconocida a nivel mundial.

Amenazas:

  • Acceso a la red o al sistema de información por personas no autorizadas.
  • Amenaza o ataque con bomba.
  • Incumplimiento de relaciones contractuales.
  • Infracción legal.
  • Destrucción de registros.
  • Desastre generado por causas humanas.
  • Desastre natural, incendio, inundación, rayo.
  • Divulgación de contraseñas.
  • Malversación y fraude.
  • Errores en mantenimiento.
  • Fuga de información.
  • Interrupción de procesos de negocio.
  • Código malicioso.
  • Contaminación.
  • Instalación no autorizada de software.
  • Acceso físico no autorizado.

Vulnerabilidades:

  • Interfaz de usuario complicada.
  • Contraseñas predeterminadas no modificadas.
  • Eliminación de medios de almacenamiento sin eliminar datos.
  • Sensibilidad del equipo a los cambios de voltaje.
  • Inadecuada seguridad del cableado.
  • Inadecuada gestión de capacidad del sistema.
  • Clasificación inadecuada de la información.
  • Falta de formación y conciencia sobre seguridad.
  • Inadecuada segregación de funciones.
  • Falta de documentación interna.
  • Desprotección en equipos móviles.

Relacionado

Te dejamos una selección de cursos, carreras y artículos

Curso de análisis y gestión del riesgo

Curso de análisis y gestión del riesgo

curso

Con este curso aprenderás:

  • Definición del marco de gestión del riesgo.
  • Gobierno del riesgo de seguridad.
  • Análisis del riesgo, herramientas utilizadas y valoración de activos y amenazas.

Duración: 5 horas y 48 minutos

Ciberseguridad

Ciberseguridad

carrera

Incluye 9 cursos:

  • Curso de Seguridad en Redes con Snort
  • Curso de introducción a Ethical Hacking
  • Curso de desarrollo seguro

y 6 cursos más!

Duración: 28 horas y 13 minutos

Curso de introducción a la Ciberseguridad

Curso de introducción a la Ciberseguridad

curso

Con este curso aprenderás:

  • Conceptos básicos de ciberseguridad.
  • Objetivos de una estrategia de ciberseguridad.
  • Elementos que componen una estrategia de ciberseguridad.

Duración: 4 horas y 57 segundos

Más de 300 empresas confían en nosotros

Oesia
Vass
Everis
Ayesa
Altran
Ibermatica
Atmira
GFI
Accenture
GMV
Concatel
Telefonica
Caser
Banco de España
kpmg
Mapfre
Randstad