WEBVTT 00:00.000 --> 00:01.560 Instructor: En esta lección, vamos a 00:01.560 --> 00:02.730 explorar algunas de las características 00:02.730 --> 00:05.100 de seguridad dentro de la BIOS y la UEFI. 00:05.100 --> 00:07.200 Además de proporcionar protecciones en nuestra red 00:07.200 --> 00:09.120 y en el entorno de nuestro sistema operativo, 00:09.120 --> 00:10.740 también debemos tener en cuenta la seguridad 00:10.740 --> 00:13.320 de nuestro entorno previo al sistema operativo. 00:13.320 --> 00:14.520 Esta es el área del ordenador 00:14.520 --> 00:16.560 que puede ser atacada durante la fase de arranque 00:16.560 --> 00:18.720 y, por lo tanto, hay que tener en cuenta las protecciones 00:18.720 --> 00:22.290 del cargador de arranque, incluidas las contraseñas de la BIOS y la UEFI, el proceso 00:22.290 --> 00:24.900 de arranque seguro y la configuración de permisos en los puertos 00:24.900 --> 00:27.030 USB de la placa base. 00:27.030 --> 00:29.700 Recuerda, la BIOS y la UEFI son dos tipos diferentes de firmware 00:29.700 --> 00:32.430 que se utilizan en nuestros ordenadores para ayudarnos durante 00:32.430 --> 00:35.730 la carga y el arranque de nuestro sistema operativo. 00:35.730 --> 00:38.610 Cada ordenador puede tener la BIOS o la UEFI, 00:38.610 --> 00:39.870 pero no ambas. 00:39.870 --> 00:42.300 La BIOS es el sistema básico de entrada/salida 00:42.300 --> 00:44.880 y es una interfaz de firmware que inicializa el hardware 00:44.880 --> 00:47.790 de un sistema operativo para que pueda arrancar. 00:47.790 --> 00:49.980 Los ordenadores que dependen de la BIOS van a utilizar 00:49.980 --> 00:53.550 un registro de arranque maestro, o MBR, para mantener su información de arranque e identificar 00:53.550 --> 00:56.070 las particiones de un disco duro determinado que contienen 00:56.070 --> 00:58.320 el sistema operativo que se va a cargar. 00:58.320 --> 01:01.980 La BIOS es el tipo de firmware más antiguo y heredado. 01:01.980 --> 01:04.560 Por otro lado, UEFI, o iniciativa de firmware extensible 01:04.560 --> 01:07.170 unificado, es un tipo de firmware más reciente. 01:07.170 --> 01:09.660 La UEFI es un tipo de firmware de sistema que ofrece soporte 01:09.660 --> 01:12.690 para operaciones de CPU de 64 bits en el arranque, una interfaz gráfica 01:12.690 --> 01:15.660 de usuario completa y operaciones de ratón en el arranque y una mayor 01:15.660 --> 01:17.520 seguridad en el arranque. 01:17.520 --> 01:19.920 Los ordenadores que se basan en UEFI van a utilizar una 01:19.920 --> 01:24.120 tabla de particiones GUID conocida como GPT para mantener su información de arranque. 01:24.120 --> 01:26.160 UEFI permite acceder y arrancar desde discos 01:26.160 --> 01:28.740 de más de dos terabytes de tamaño y proporciona una 01:28.740 --> 01:31.470 arquitectura y controladores independientes de la 01:31.470 --> 01:33.960 CPU, así como un entorno preOS que puede incluir 01:33.960 --> 01:36.840 capacidad de red y acceso a navegación web. 01:36.840 --> 01:39.900 En general, la UEFI es más nueva y avanzada que la BIOS y ofrece comprobaciones 01:39.900 --> 01:42.150 adicionales de seguridad e integridad durante 01:42.150 --> 01:45.540 el proceso de arranque, incluido el arranque seguro. 01:45.540 --> 01:48.270 Ahora, la BIOS y la UEFI también pueden protegerse 01:48.270 --> 01:50.700 con distintos tipos de contraseñas. 01:50.700 --> 01:52.740 Esto incluye la contraseña de supervisor, 01:52.740 --> 01:56.010 administrador o configuración, la contraseña de usuario o sistema 01:56.010 --> 01:58.470 y la contraseña de almacenamiento o disco duro. 01:58.470 --> 02:00.930 La contraseña de supervisor, administrador o configuración 02:00.930 --> 02:03.180 es el primer tipo de contraseña que vas a encontrar 02:03.180 --> 02:05.400 cuando utilices la BIOS o la UEFI. 02:05.400 --> 02:07.470 Esta contraseña se utiliza para proteger el acceso 02:07.470 --> 02:10.050 al programa de configuración de la BIOS o UEFI e impide que 02:10.050 --> 02:12.090 usuarios no autorizados accedan a esta sensible 02:12.090 --> 02:14.220 herramienta de configuración. 02:14.220 --> 02:17.190 Si configuras esta contraseña, cada vez que alguien intente 02:17.190 --> 02:19.890 entrar en la BIOS o la UEFI, se le pedirá que introduzca 02:19.890 --> 02:22.170 la contraseña antes de concederle el acceso, 02:22.170 --> 02:25.410 pero no impedirá que alguien encienda el ordenador y arranque 02:25.410 --> 02:28.710 en el entorno normal del sistema operativo. 02:28.710 --> 02:31.590 Esta contraseña casi siempre se configurará en ordenadores 02:31.590 --> 02:33.570 de una red corporativa o empresarial para 02:33.570 --> 02:36.870 que los usuarios finales no puedan acceder a la BIOS o la UEFI, pero los 02:36.870 --> 02:39.360 administradores y técnicos del sistema sí puedan 02:39.360 --> 02:41.550 si tienen la contraseña correcta. 02:41.550 --> 02:43.830 La contraseña de usuario o del sistema es el segundo 02:43.830 --> 02:47.430 tipo de contraseña que se puede configurar en la BIOS o UEFI. 02:47.430 --> 02:51.270 Esta contraseña se utiliza para bloquear el acceso a todo el ordenador. 02:51.270 --> 02:53.100 Cada vez que se encienda el ordenador, 02:53.100 --> 02:55.530 se detendrá y pedirá una contraseña. 02:55.530 --> 02:58.380 Si el usuario final introduce la contraseña correcta, el ordenador 02:58.380 --> 03:01.320 seguirá cargando el sistema operativo y arrancará. 03:01.320 --> 03:04.170 Aunque se trata de un método muy seguro para proteger un ordenador, 03:04.170 --> 03:07.380 casi nunca se utiliza en redes corporativas o empresariales, porque esta 03:07.380 --> 03:09.300 contraseña tendría que compartirse con todos 03:09.300 --> 03:12.120 los usuarios que accedan a ese ordenador, y esta contraseña compartida 03:12.120 --> 03:14.700 anula entonces parte de la seguridad que estamos intentando 03:14.700 --> 03:16.170 ganar. 03:16.170 --> 03:19.290 En su lugar, normalmente verás una contraseña de usuario o de sistema 03:19.290 --> 03:21.090 que sólo se utiliza en el ordenador de 03:21.090 --> 03:23.160 alguien cuando es el único usuario. 03:23.160 --> 03:25.200 Se trata de una contraseña distinta y separada 03:25.200 --> 03:27.000 de la contraseña de usuario que se va 03:27.000 --> 03:30.570 a utilizar para acceder a Windows, Linux o al sistema MacOS, y en su lugar 03:30.570 --> 03:33.000 concede al usuario acceso al sistema en ese entorno 03:33.000 --> 03:35.820 previo al sistema operativo. 03:35.820 --> 03:38.130 El tercer tipo de contraseña se conoce como contraseña 03:38.130 --> 03:40.050 de almacenamiento o de disco duro. 03:40.050 --> 03:42.240 Este tipo de contraseña solía ser muy popular 03:42.240 --> 03:45.000 antes de la inclusión del módulo de plataforma de confianza 03:45.000 --> 03:48.180 o módulo de seguridad de hardware en los ordenadores modernos. 03:48.180 --> 03:50.550 Esta contraseña bloquearía el acceso a un disco 03:50.550 --> 03:53.280 duro conectado a un sistema y exigiría que el usuario 03:53.280 --> 03:55.680 final introdujera la contraseña para poder leer 03:55.680 --> 03:58.530 ese disco duro y cargar el sistema operativo. 03:58.530 --> 04:01.290 A diferencia de la contraseña de usuario o del sistema, que bloquea 04:01.290 --> 04:03.420 al usuario de todo el sistema hasta que se introduce 04:03.420 --> 04:05.820 la contraseña adecuada, la contraseña de almacenamiento 04:05.820 --> 04:07.710 o del disco duro sólo lo bloqueará del disco duro 04:07.710 --> 04:10.769 y de la capacidad de arrancar el sistema operativo desde él. 04:10.769 --> 04:12.840 La siguiente característica de seguridad que tenemos 04:12.840 --> 04:14.550 que cubrir se conoce como arranque seguro. 04:14.550 --> 04:17.130 El arranque seguro se puede activar en la interfaz 04:17.130 --> 04:20.370 y la configuración de UEFI y no es compatible con BIOS. 04:20.370 --> 04:23.310 Si está activada, va a realizar tres verificaciones diferentes 04:23.310 --> 04:25.620 durante el proceso de arranque de Windows u otros 04:25.620 --> 04:28.680 sistemas operativos que soporten esta capacidad con el fin de asegurar 04:28.680 --> 04:31.350 que el ordenador no ha sido secuestrado por algún tipo de 04:31.350 --> 04:34.590 código malicioso inyectado en el sistema operativo. 04:34.590 --> 04:36.630 Veamos el proceso completo de arranque 04:36.630 --> 04:38.550 en un sistema Windows normal. 04:38.550 --> 04:41.100 El primer paso del proceso tiene lugar cuando se inicia un ordenador 04:41.100 --> 04:43.950 con Windows, se cargan los componentes de arranque del firmware y 04:43.950 --> 04:45.870 se inicia el gestor de arranque. 04:45.870 --> 04:48.120 A continuación, se iniciará el cargador de Windows, 04:48.120 --> 04:49.830 se iniciará el kernel de Windows y se producirán 04:49.830 --> 04:51.720 las instalaciones de los controladores críticos 04:51.720 --> 04:53.130 para el arranque. 04:53.130 --> 04:55.710 Ahora, cualquier inicialización adicional del sistema operativo 04:55.710 --> 04:58.320 va a suceder, y, finalmente, el usuario se presenta con la pantalla 04:58.320 --> 05:00.420 de inicio de sesión de Windows. 05:00.420 --> 05:02.610 Ahora, cuando los componentes de arranque del firmware 05:02.610 --> 05:05.430 se cargan durante un arranque seguro, el firmware primero va 05:05.430 --> 05:09.030 a verificar que todos los archivos ejecutables UV y el propio cargador del SO tienen 05:09.030 --> 05:11.130 su integridad intacta y no han sido comprometidos 05:11.130 --> 05:13.320 por ningún tipo de malware. 05:13.320 --> 05:15.810 Esto significa que van a ser seguros para cargar. 05:15.810 --> 05:18.300 A continuación, los componentes de arranque de Windows 05:18.300 --> 05:20.370 van a verificar la firma digital de cada componente 05:20.370 --> 05:21.750 antes de cargarlos. 05:21.750 --> 05:23.910 Si algún componente no supera esta comprobación 05:23.910 --> 05:26.100 de firma, no se cargará y se activará una alerta 05:26.100 --> 05:27.450 para el usuario final. 05:27.450 --> 05:30.060 Por último, los controladores críticos para el arranque 05:30.060 --> 05:32.490 se comprobarán con sus hashes conocidos y, si pasan 05:32.490 --> 05:35.160 esta comprobación, se cargarán como parte final del 05:35.160 --> 05:37.110 proceso de arranque seguro. 05:37.110 --> 05:39.780 Ahora, cuando se trata de arranque seguro, quiero que recuerdes 05:39.780 --> 05:42.210 que este es un procedimiento que se va a utilizar para 05:42.210 --> 05:45.060 asegurar que nuestro sistema operativo en sí es de confianza 05:45.060 --> 05:47.820 y no ha sido víctima de un tipo especial de malware conocido 05:47.820 --> 05:49.410 como root kit. 05:49.410 --> 05:51.690 Para que el arranque seguro funcione, tiene que 05:51.690 --> 05:54.750 estar habilitado dentro de tu sistema UEFI, y tu sistema operativo 05:54.750 --> 05:56.670 también tiene que soportarlo. 05:56.670 --> 05:59.070 La última característica de seguridad que tenemos que cubrir 05:59.070 --> 06:01.950 dentro de la BIOS o UEFI es la configuración de permisos para los puertos 06:01.950 --> 06:03.300 USB de la placa base. 06:03.300 --> 06:06.090 La mayoría de los sistemas modernos pueden configurarse 06:06.090 --> 06:08.700 para activar o desactivar los puertos USB de la placa 06:08.700 --> 06:11.700 base, y algunos incluso permiten restringir los puertos USB 06:11.700 --> 06:13.380 para que no admitan determinados tipos 06:13.380 --> 06:16.590 de dispositivos USB, pero permitiendo el uso de otros. 06:16.590 --> 06:18.660 Ahora, la gran preocupación aquí normalmente 06:18.660 --> 06:20.940 va a ser con el malware y la pérdida de datos. 06:20.940 --> 06:24.120 En términos de malware, los puertos USB pueden proporcionar una gran 06:24.120 --> 06:25.560 vía de ataque para alguien que esté 06:25.560 --> 06:27.270 intentando entrar en tu sistema. 06:27.270 --> 06:29.700 Por ejemplo, si cargo una memoria USB con 06:29.700 --> 06:32.370 malware, puedo dejarla en un aparcamiento fuera 06:32.370 --> 06:34.950 de un edificio de oficinas y, si alguien curioso 06:34.950 --> 06:37.050 la coge y la conecta a su máquina, puede 06:37.050 --> 06:39.900 instalar malware en sus sistemas. 06:39.900 --> 06:42.810 Así que queremos evitar esto desactivando la capacidad de USB 06:42.810 --> 06:46.320 para leer y escribir desde dispositivos de almacenamiento masivo. 06:46.320 --> 06:49.110 Puedes hacerlo bloqueando el USB por completo, pero 06:49.110 --> 06:51.630 entonces no podrías usar cosas como auriculares 06:51.630 --> 06:55.050 y cámaras web, ratones y teclados, y cosas por el estilo. 06:55.050 --> 06:58.020 Así que, en su lugar, podríamos restringir la capacidad de utilizarlos 06:58.020 --> 07:01.020 como dispositivos de almacenamiento masivo, y esto evitaría 07:01.020 --> 07:03.630 que cualquier cosa como unidades USB o unidades flash 07:03.630 --> 07:06.870 o discos duros externos se conecten al sistema. 07:06.870 --> 07:08.250 Esto puede ayudarnos a evitar que 07:08.250 --> 07:10.110 se introduzca malware en nuestro sistema. 07:10.110 --> 07:13.020 Pero además de eso, también podría ayudarnos a evitar que los 07:13.020 --> 07:14.880 datos salgan de nuestro sistema. 07:14.880 --> 07:17.280 Por ejemplo, supongamos que trabajas para una organización 07:17.280 --> 07:19.110 de alto secreto del gobierno. 07:19.110 --> 07:20.760 No te gustaría que alguien pudiera 07:20.760 --> 07:23.700 entrar con una pequeña memoria USB, conectarla al ordenador, 07:23.700 --> 07:25.560 descargar toda tu información y salir 07:25.560 --> 07:27.540 por la puerta principal con ella. 07:27.540 --> 07:30.960 Así que para evitar esto, puedes configurar tu UEFI para bloquear 07:30.960 --> 07:34.560 esos puertos USB o evitar que se utilicen para dispositivos de almacenamiento 07:34.560 --> 07:37.830 masivo, y de nuevo, bloquear la capacidad de utilizar unidades 07:37.830 --> 07:40.650 de memoria USB y discos duros externos, lo que hará que la 07:40.650 --> 07:42.540 gente no pueda salir por la puerta principal 07:42.540 --> 07:45.120 con tu información crítica. 07:45.120 --> 07:48.180 Así que recuerda, cuando se trata de seguridad, hay tres cosas 07:48.180 --> 07:51.270 principales que tu BIOS o UEFI pueden proporcionarte. 07:51.270 --> 07:54.060 La primera es la posibilidad de establecer contraseñas 07:54.060 --> 07:56.910 para controlar el acceso a distintas partes del sistema. 07:56.910 --> 07:59.280 La segunda es la posibilidad de activar el arranque seguro 07:59.280 --> 08:01.770 para asegurarse de que su sistema operativo no ha sido comprometido 08:01.770 --> 08:03.180 antes de cargarlo. 08:03.180 --> 08:07.050 Y la tercera es la posibilidad de restringir o desactivar los puertos 08:07.050 --> 08:08.850 USB de la placa base para evitar que 08:08.850 --> 08:10.380 se introduzca malware en el 08:10.380 --> 08:13.083 sistema o que se filtren datos del mismo.