1 Bloque 1: Defensa en profundidad, gestión de usuarios y permisos

1.1 El sistema operativo dentro de la Defensa en Profundidad

1.1.1 ¿Qué es la defensa en profundidad?

El concepto de Defensa en Profundidad (Defense in Depth, DiD) surge del mundo militar y se aplica en ciberseguridad como una estrategia de protección multicapa. Su objetivo es garantizar que, aunque un atacante logre superar una barrera, exista otra capa que retrase, detecte o bloquee su avance.

La idea principal es no depender de un único mecanismo de seguridad. Por ejemplo, un cortafuegos puede evitar accesos no autorizados, pero si un atacante logra ingresar por una vulnerabilidad en una aplicación, los permisos del sistema operativo y la configuración de usuarios pueden impedir que escale privilegios.

---

1.1.2 El papel del sistema operativo

El sistema operativo es la capa intermedia entre el hardware y los servicios. En términos de defensa, actúa como guardia fronterizo interno: controla quién puede usar qué recursos, cómo y bajo qué condiciones.

Los mecanismos que ofrece Linux en este nivel incluyen:

• Gestión de usuarios y grupos: separa responsabilidades y evita privilegios innecesarios.
• Permisos y atributos de archivos: controlan la lectura, escritura y ejecución.
• Políticas PAM: regulan la autenticación y caducidad de contraseñas.
• Sudo y roles administrativos: minimizan el uso del superusuario root.
• Listas de control de acceso (ACL): amplían el modelo clásico de permisos.
• Auditoría y logging: detectan comportamientos anómalos y accesos indebidos.

Sin estas medidas correctamente configuradas, el sistema operativo se convierte en el eslabón más débil de la cadena de seguridad.

---

1.1.3 Ejemplo real de defensa en capas

Un atacante puede intentar acceder a un servidor web:

1. Capa de red: un firewall filtra puertos y bloquea IP sospechosas.
2. Capa de aplicación: el servidor Apache valida peticiones y aplica control de acceso.
3. Capa del sistema operativo: los permisos de /var/www/html impiden modificar archivos.
4. Capa de auditoría: los logs registran el intento y generan una alerta.
5. Capa de usuario: el administrador recibe notificación y actúa.

Cada una de estas barreras representa un punto de defensa que mitiga el riesgo.

---

1.1.4 Representación de la defensa en profundidad

La defensa en profundidad puede visualizarse como un modelo en capas donde cada nivel del sistema incorpora controles de seguridad específicos. El objetivo es que la comprometida de una capa no implique la caída total del sistema, ya que las demás seguirán funcionando como barreras adicionales.

En el contexto del bastionado de sistemas Linux, el sistema operativo se encuentra en la tercera capa de seguridad, justo entre la red y la aplicación, y su función es garantizar la integridad y el aislamiento de los recursos internos del equipo.

1.1.4.1 Capas del modelo de defensa en profundidad

1. Capa de Red

   • Incluye mecanismos que controlan y filtran el tráfico de datos entre equipos.
   • Ejemplos: firewalls, IDS/IPS (sistemas de detección o prevención de intrusiones), segmentación de red o el uso de VLANs.
   • Su objetivo principal es evitar accesos no autorizados desde el exterior y limitar la propagación lateral de amenazas dentro de la red interna.

2. Capa de Sistema Operativo

   • Actúa como el núcleo de control interno.

   • En Linux, esta capa se refuerza mediante:

     • Módulos PAM (Pluggable Authentication Modules), que definen las políticas de autenticación y acceso.
     • Gestión de permisos de archivos y directorios, que establece quién puede leer, modificar o ejecutar recursos.
     • Herramientas como sudo, que permiten otorgar privilegios temporales a usuarios sin recurrir al acceso directo como root.

   • El objetivo es mantener un equilibrio entre usabilidad y control, evitando que los usuarios o procesos adquieran privilegios indebidos.

3. Capa de Aplicación

   • Comprende los servicios y programas que ejecuta el sistema (servidores web, bases de datos, clientes de correo, etc.).

   • Se protege mediante:

     • Autenticación robusta (por ejemplo, OAuth, certificados, tokens).
     • Cifrado de comunicaciones (TLS/SSL).
     • Actualizaciones y parches de seguridad regulares.

   • Un fallo en esta capa puede permitir la ejecución de código no autorizado o la filtración de datos.

4. Capa de Datos

   • Abarca la información almacenada y los mecanismos que garantizan su confidencialidad e integridad.

   • Las medidas más comunes incluyen:

     • Cifrado de discos y particiones (con herramientas como LUKS o dm-crypt).
     • Copias de seguridad automáticas (backups).
     • Controles de acceso a bases de datos y políticas de retención.

   • La pérdida o alteración de datos en esta capa puede comprometer toda la infraestructura.

5. Capa de Usuario

   • Es la primera línea de defensa y, al mismo tiempo, la más vulnerable.

   • Implica la formación y concienciación del personal para prevenir errores humanos, que son responsables de un gran porcentaje de incidentes.

   • Medidas clave:

     • Políticas de contraseñas seguras.
     • Autenticación multifactor (2FA).
     • Formación continua en ciberseguridad y detección de amenazas (phishing, ingeniería social).