← Volver al inicio

Arquitectura de Seguridad: El Castillo Medieval

Objetivo del Módulo

Aprender la ley fundamental del diseño de redes corporativas: Nunca confíes tu empresa a un solo candado.

En las fases anteriores aprendiste herramientas individuales: Antivirus (Fase 14), Firewalls (Fase 13), Backups (Fase 22). La Arquitectura de Seguridad es el arte de ensamblar todas esas piezas como si fueran bloques de Lego para crear un ecosistema donde, si una pieza falla, la siguiente detenga la catástrofe.

1. El Problema del M&M (Duro por fuera, suave por dentro)

Históricamente, las empresas diseñaban sus redes como un dulce M&M.

  • La Capa Dura: Compraban el Firewall más caro del mundo y lo ponían en la entrada del internet corporativo. Creían que eso era suficiente para detener a los hackers.
  • El Interior Suave: Si el hacker lograba cruzar el Firewall (Ej. Enviándole un Phishing a una secretaria), se encontraba con una red interna completamente plana y sin seguridad. El hacker podía saltar de la computadora de la secretaria directamente al Servidor de Tarjetas de Crédito sin que nadie se lo impidiera.

Esta arquitectura obsoleta fue la causa de los hackeos más devastadores de la década de 2010.

2. Defensa en Profundidad (Defense in Depth)

Para resolver el problema del M&M, la milicia y los Arquitectos de Ciberseguridad adoptaron la filosofía del Castillo Medieval.

El diseño del castillo asume que, eventualmente, el enemigo cruzará el foso con agua. Por lo tanto, no pones a tu Rey justo detrás del foso. Lo proteges con múltiples capas concéntricas (Defensa en Profundidad).

  1. El Foso con Cocodrilos (Seguridad Perimetral): El Firewall (Fase 13) bloquea a los escáneres automatizados de Rusia y China.
  2. La Muralla Exterior (Seguridad de Red): Sistemas IPS (Intrusion Prevention System) analizan los paquetes de red buscando patrones maliciosos.
  3. Los Guardias Armados (Seguridad de Endpoint): Si el virus logra entrar a la computadora del empleado, el EDR / Antivirus (Fase 14) lo detecta y lo elimina.
  4. La Puerta de Hierro (Identidad y Accesos - IAM): El empleado intenta entrar a la Base de Datos, pero el sistema le exige un Token MFA (Fase 15) en su celular.
  5. La Bóveda Subterránea (Seguridad de Datos): El hacker robó el Token MFA de alguna forma y extrajo la base de datos. Pero como los datos tienen Cifrado en Reposo (Fase 19), lo que se roba es basura inútil.

Si el atacante quiere el oro, tiene que derrotar exitosamente 5 tecnologías de seguridad diferentes (de diferentes fabricantes), lo cual retrasa el ataque y dispara las alarmas del Blue Team (Fase 8).

3. Segmentación de Red: Los Compartimentos Estancos

Otra regla crítica de la Defensa en Profundidad es la Segmentación.

  • La Analogía (El Submarino): Los submarinos nucleares no son un tubo hueco gigante. Están divididos en "Compartimentos Estancos" separados por puertas de acero. Si un torpedo impacta la parte delantera, cierras la puerta de acero. Ese compartimento se inunda, pero el resto del submarino sobrevive y no se hunde.
  • En Informática: No puedes conectar el departamento de "Ventas" en la misma red que el departamento de "Recursos Humanos". Creas VLANs (Fase 2) separadas por Firewalls internos. Si la computadora de Ventas se infecta con un Ransomware, el virus no puede "inundar" la red de Recursos Humanos porque la puerta de acero (El Firewall interno) bloqueará el tráfico lateral.

4. Criterio de Dominio (Autoevaluación)

Revisa si puedes diseñar la fortaleza corporativa:

  1. El Director de Sistemas de una empresa decide gastar $500,000 dólares en el mejor Firewall de próxima generación (NGFW) del mercado, argumentando que con esa protección perimetral ya no es necesario instalar software Antivirus (EDR) en las computadoras de los empleados. Usando el concepto de "Defensa en Profundidad", ¿Por qué esta es una decisión arquitectónica catastrófica?
  2. Un empleado del departamento de "Marketing" inserta un USB infectado en su computadora. El Ransomware se ejecuta, pero misteriosamente es incapaz de escanear o infectar los servidores del departamento de "Contabilidad". Explica cómo el principio de Segmentación de Red (El Submarino) logró salvar a la empresa de una crisis total.
  3. El concepto de "Defensa en Profundidad" exige controles superpuestos. Si tu empresa ya utiliza Cifrado en Reposo (TDE) en la base de datos (La Bóveda), explica cómo la adición de Autenticación Multi-Factor (MFA) para los administradores actúa como una capa concéntrica adicional antes de llegar a los datos.
  4. Explica el problema histórico de la arquitectura "M&M" (Duro por fuera, suave por dentro) y cómo un simple ataque de Phishing (Fase 21) es todo lo que un atacante necesita para eludir por completo la seguridad perimetral de este modelo obsoleto.
← Anterior

Fundamentos de Wi-Fi: El Megáfono Invisible

Siguiente →

Zero Trust: El Laboratorio Secreto

En esta página