4 Unidad : Seguridad de Redes y Conectividad
La red es la columna vertebral de la infraestructura tecnológica en cualquier institución financiera. Cada transacción bancaria, consulta en un cajero automático, comunicación entre sucursales o acceso remoto de un auditor depende de que la red esté diseñada y configurada de manera segura. Una mala práctica en esta capa no solo impacta la disponibilidad de servicios, sino que puede abrir la puerta a fraudes, ransomware, fugas de datos y ataques persistentes.
El sector financiero depende de redes complejas que interconectan TI (usuarios, servidores, aplicaciones, core bancario) con OT (ATMs, sensores, cámaras de seguridad, sistemas de climatización, accesos físicos). Esta diversidad exige políticas diferenciadas para usuarios internos, proveedores externos, auditores, equipos de impresión, cámaras IP y dispositivos IoT, todos los cuales representan superficies de ataque si no están controlados.
Ejemplos de riesgos reales incluyen:
Un SNMP mal configurado que envía broadcasts a toda la red, revelando la topología a un atacante interno.
Una WiFi con protocolos obsoletos (WEP, WPA-TKIP) que permite desautenticación de usuarios o acceso desde un AP falso.
Puertos abiertos en switches que son utilizados para conectar dispositivos no autorizados.
Horarios sin control, donde atacantes aprovechan la noche o fines de semana para moverse lateralmente sin ser detectados.
Usuarios externos por VPN mal aislada que acceden a redes internas de producción.
Las principales normativas respaldan la necesidad de controles estrictos: ISO/IEC 27033 (segmentación y zonas de seguridad), ISO/IEC 27001 A.5.15 y A.13 (separación de entornos y comunicaciones seguras), PCI DSS v4.0 Req. 1 (aislamiento del entorno de datos de tarjetas), NIST SP 800-41 (firewalls y DMZs), CIS Controls v8 (controles de segmentación lógica y Zero Trust). Además, la ISO/IEC 42001 introduce la necesidad de integrar inteligencia artificial en redes y microservicios, no para bloquear de forma autónoma, sino para alertar anomalías que luego son evaluadas por expertos.
4.1 Riesgos globales asociados a no aplicar estas medidas:
Pivoting y movimiento lateral desde un endpoint comprometido hacia el core bancario.
Exfiltración de datos personales y financieros sin trazabilidad.
Ataques DDoS que dejan fuera de servicio la banca online y los cajeros automáticos.
Acceso no autorizado por WiFi insegura o claves sin rotación periódica.
Intrusión por equipos periféricos inseguros (cámaras, impresoras, IoT).
Falta de visibilidad y reacción tardía ante intrusiones por ausencia de IA y monitoreo centralizado.
4.2 Segmentación y Zonas de Seguridad
La segmentación de red es uno de los pilares fundamentales de la ciberseguridad en el sector financiero. Consiste en dividir la infraestructura en zonas o segmentos aislados, de manera que un ataque en una parte de la red no pueda propagarse libremente hacia el resto. Normativas como ISO/IEC 27033, PCI DSS v4.0 (Req. 1) y NIST SP 800-41 exigen la separación de entornos internos, externos y críticos, utilizando VLANs, DMZs y reglas de comunicación explícitas.
En una entidad bancaria, no segmentar implica que un atacante que comprometa un equipo de un cajero o un usuario por phishing pueda moverse lateralmente hacia el core bancario o bases de datos de clientes. La segmentación limita el movimiento, protege los activos más sensibles y fortalece el principio de Zero Trust.
Controles principales:
VLANs diferenciadas para separar usuarios, servidores, entornos OT, invitados y dispositivos IoT, reduciendo la posibilidad de movimientos laterales de un atacante.
DMZ externa destinada exclusivamente a servicios expuestos a internet, como portales web, banca en línea o aplicaciones móviles..
DMZ interna para albergar sistemas críticos (ERP, core bancario, bases de datos), así como componentes de seguridad avanzados como IDS/IPS y soluciones de IA para análisis de tráfico, asegurando que no estén en la misma capa de exposición que los servicios públicos..
DMZ de integración para APIs, middleware y microservicios, de modo que las consultas externas se realicen de forma autenticada, filtrada y sin contacto directo con los sistemas internos.
Zero Trust Segmentation, en la que todo acceso debe estar previamente autorizado, con políticas de comunicación explícitas y un bloqueo por defecto como principio rector.
4.3 Control de Puertos y Protocolos
El control de puertos y protocolos establece qué servicios de red pueden estar habilitados y cuáles deben ser bloqueados. Una política deficiente en esta área abre la posibilidad de que dispositivos no autorizados se conecten, que atacantes realicen pivoting dentro de la red, o que se expongan credenciales mediante protocolos inseguros.
Normativas como CIS Controls v8 (Control 9) y ISO/IEC 27001 A.13 indican que las organizaciones deben habilitar solo los puertos estrictamente necesarios, implementar autenticación fuerte en los puntos de conexión (ej. 802.1X), y eliminar protocolos obsoletos como Telnet o SNMPv1/v2.
En el sector financiero, un puerto abierto en un switch de sucursal puede ser utilizado por un atacante con acceso físico para instalar un dispositivo espía, mientras que un SNMP mal configurado puede exponer toda la topología de red a usuarios no autorizados.
4.3.1 Controles principales:
Puertos no utilizados en switches y routers deben permanecer deshabilitados.
Esto reduce la superficie de ataque. Si un puerto físico queda habilitado, un atacante interno o externo con acceso físico a una sucursal podría conectar un dispositivo malicioso para interceptar tráfico o propagar malware.Implementar Port Security con autenticación 802.1X y validación de MAC addresses autorizadas.
Esto asegura que solo dispositivos previamente autorizados puedan conectarse a la red. Sin este control, cualquier dispositivo (laptops externas, Raspberry Pi, etc.) podría conectarse y actuar como punto de pivoting.Configuración obligatoria de SNMPv3, con autenticación y cifrado, y eliminación de versiones inseguras.
SNMP es usado para administrar equipos de red. Versiones antiguas (v1/v2) transmiten contraseñas en texto plano y permiten realizar broadcasts que revelan la topología completa de la red. Con SNMPv3 se añade cifrado y autenticación, evitando espionaje y enumeración de dispositivos.Prohibición de protocolos obsoletos e inseguros como Telnet, FTP y SNMPv1/v2.
Telnet y FTP transmiten credenciales en texto claro, lo que permite su captura fácilmente. Mantener estos protocolos habilitados expone cuentas administrativas y bases de datos críticas. En el sector financiero, esto podría significar acceso directo a sistemas de core bancario o servidores de aplicaciones.Definición clara de puertos activos/permitidos por rol.
Esto garantiza que cada grupo de usuarios acceda únicamente a los servicios necesarios para su función, evitando accesos innecesarios que pueden ser explotados.Usuarios finales (cajeros, personal administrativo, clientes internos): solo servicios como HTTP/HTTPS (80/443) y correo (SMTP/IMAP/POP). Esto evita que intenten usar puertos administrativos o de base de datos.
Usuarios internos de negocio (ejecutivos, áreas de crédito, finanzas): acceso adicional a aplicaciones críticas internas, generalmente bajo HTTPS. Esto restringe el acceso al core bancario solo a aplicaciones intermediarias y no a servidores directamente.
TI y administradores de infraestructura: acceso a puertos de gestión (SSH, RDP, SQL), pero únicamente desde IPs autorizadas y en horarios definidos, aplicando MFA. Así se evita que atacantes externos usen estos protocolos como vectores de entrada.
Usuarios externos (proveedores, consultores TIC): acceso limitado mediante VPN en DMZ, solo a los puertos que deben mantener (ej. HTTPS en 443). Esto previene que lleguen al core bancario desde una red insegura.
Auditorías (internas o externas): acceso temporal y documentado, a puertos específicos definidos en el Scope of Work (ej. 443 para consolas, 1521 para Oracle). Esto asegura trazabilidad y cumplimiento regulatorio.
Equipos de hacking ético (Pentesters/Red Team):
Acceso a entornos de prueba o laboratorio con puertos abiertos intencionalmente (ej. 21 FTP, 22 SSH, 3389 RDP, 1433/3306 bases de datos), para evaluar seguridad.
Nunca deben tener acceso directo al entorno de producción.
Todas las pruebas deben estar limitadas al alcance autorizado en el SOW (Scope of Work) y ser monitoreadas desde el SOC.
4.4 Checklist Integrado de Seguridad en Red y Arquitectura Segura
| Dominio / Área de control | Control / Medida | Área Responsable | Por qué es importante / Qué ocurre si no se cumple |
|---|---|---|---|
| DMZ – Servicios Externos | Los servidores expuestos a internet, como banca en línea, portales web o APIs externas, deben estar ubicados en una DMZ externa. | TI / Seguridad | Si no existe una DMZ, un ataque contra un servicio público puede comprometer directamente servidores internos críticos. |
| DMZ – Servicios Internos | Los servidores internos críticos como ERP, Core Bancario o bases de datos deben estar aislados en una DMZ interna. | TI | Sin este aislamiento, un atacante que comprometa un endpoint de usuario puede alcanzar el core bancario sin restricciones. |
| DMZ – Servicios de Integración | Las APIs y middleware deben estar en una DMZ intermedia, de manera que solo puedan responder consultas autenticadas y filtradas. | TI / DevOps | Si no se establece esta segmentación, las APIs públicas podrían acceder a datos internos sin ningún control de seguridad. |
| Zero Trust Segmentation | Todo acceso entre segmentos debe estar basado en el principio de Zero Trust, permitiendo únicamente lo estrictamente necesario y bloqueando por defecto. | Seguridad | Si no se aplica este principio, cualquier dispositivo en la red interna podría conectarse a otro sin autorización, facilitando movimientos laterales. |
| ACLs (Access Control Lists) | Se deben configurar listas de control de acceso en switches y routers para limitar el tráfico entre VLANs y DMZs. | TI | Si no se implementan ACLs, el tráfico entre segmentos podría circular sin restricciones, eliminando la eficacia de la segmentación. |
| SDN (Software Defined Networking) | Es recomendable utilizar tecnologías SDN para gestionar de forma dinámica las políticas de red y segmentación. | TI / Infraestructura | Si no se adopta SDN, la seguridad depende de configuraciones manuales con alto riesgo de error y mayor superficie de ataque. |
| Red de Servidores Internos | El acceso a servidores internos debe realizarse únicamente a través de consultas API autenticadas. | TI / DevOps | Si los servidores internos están accesibles de forma directa, quedan expuestos a accesos no autorizados y a posibles ataques internos. |
| Red de Servicios Externos | Los servicios públicos como web, correo o banca en línea deben estar aislados en una DMZ externa y protegidos con un WAF. | Seguridad | Si no se realiza este aislamiento, un ataque contra un servicio web podría afectar de forma transversal toda la red interna. |
| VPNs Aisladas | Las VPN de proveedores externos deben terminar en una DMZ de terceros y las VPN de usuarios remotos deben estar aisladas de la red de usuarios. | Seguridad / TI | Sin este aislamiento, un proveedor externo o un usuario remoto comprometido puede llegar hasta servidores internos y propagar ataques como ransomware. |
| Cifrado de Servicios | El consumo de servicios críticos debe realizarse con cifrado doble y diverso, combinando protocolos como TLS 1.3 con IPsec y algoritmos como AES junto a RSA o ECDSA. | Seguridad | Si se utiliza un único algoritmo de cifrado y este llega a ser vulnerado, la confidencialidad de la comunicación quedará comprometida. |
| Inventario y Control | Todos los equipos de red deben formar parte de un inventario actualizado, incluyendo versión de firmware y parches aplicados. | TI | Sin inventario, es posible que se conecten dispositivos no autorizados sin detección. Mantener firmware obsoleto expone a vulnerabilidades explotables. |
| Segmentación y VLANs | Deben existir VLAN dedicadas para usuarios, servidores, dispositivos OT, invitados e IoT, asegurando que las redes de invitados estén completamente aisladas. | TI | Si no se implementa segmentación, un ataque de malware o ransomware podría desplazarse lateralmente desde equipos de usuario hacia sistemas críticos. |
| Control de Puertos | Los puertos no utilizados en switches deben permanecer deshabilitados y debe aplicarse Port Security con autenticación 802.1X. | TI | Si los puertos abiertos permanecen activos, existe el riesgo de intrusión física. Sin autenticación, cualquier dispositivo puede conectarse e inyectar datos maliciosos. |
| Protección contra ataques comunes | Habilitar DHCP Snooping, IP Source Guard y Dynamic ARP Inspection en la red, configurar filtrado DNS, aplicar rate limiting y storm control. Además, defensa contra DoS/DDoS con firewalls NG, IPS y scrubbing. | TI / Seguridad | Sin estas medidas, la red queda expuesta a spoofing DHCP/DNS, ataques MITM vía ARP, phishing por resolución manipulada y DoS/DDoS que afectan banca y cajeros. |
| Firewalls y Perímetro | Los firewalls deben operar con “denegar todo y permitir por excepción”. Apps web críticas con WAF y administración protegida con MFA y desde IP autorizadas. | Seguridad | Sin estas medidas, el tráfico malicioso circulará libremente y las consolas administrativas podrán ser comprometidas, dando control a atacantes. |
| Routers y Core | Telnet y SNMPv1 deshabilitados; solo SSH y SNMPv3. Acceso remoto mediante VPN con MFA. | TI | Mantener protocolos inseguros permite interceptar credenciales. Acceso remoto sin VPN ni MFA abre la red interna a intrusos. |
| WiFi | La red corporativa debe operar con WPA3 o WPA2 Enterprise (802.1X + RADIUS). Invitados deben estar completamente aislados. | TI | Sin cifrado fuerte, la red es vulnerable a sniffing, rogue APs y accesos no autorizados. Invitados no aislados pueden pivotear a la red interna. |
| VPNs y Accesos Remotos | Todas las VPN documentadas, sin split tunneling, con MFA y logs en SIEM central. | Seguridad / TI | Sin estas restricciones, usuarios exponen la red al navegar y conectarse a la vez. Sin MFA, credenciales robadas dan acceso directo a la institución. |
| Monitoreo y Detección | Implementar IDS/IPS actualizados, enviar logs a SIEM centralizado y usar honeypots en segmentos críticos. | Seguridad | Sin estas medidas, las intrusiones no serán detectadas y la institución no tendrá trazabilidad en incidentes. |
| Backups y Configuración | Configuraciones de red respaldadas y cifradas, con registro de cambios para auditoría. | TI / Seguridad | Sin respaldo, un fallo o ataque puede dejar inoperante la red. Sin auditoría no se detectan cambios maliciosos o errores. |
| Agentes de IA en Red | Desplegar IA/ML en firewalls, SIEM y DMZ, capaces de correlacionar logs y detectar patrones anómalos. | Seguridad / SOC | Sin IA, la detección depende de reglas estáticas o revisiones manuales, retrasando la respuesta. La IA permite anticipar ataques avanzados (APT, intrusiones en DMZ, anomalías evasivas). |