# Casos de uso de seguridad
<a name="dd-detect-security-use-cases"></a>

En esta sección, se describen los diferentes tipos de ataques que amenazan su flota de dispositivos y las métricas recomendadas que puede utilizar para monitorizar estos ataques. Le recomendamos utilizar las anomalías métricas como punto de partida para investigar los problemas de seguridad, pero no debe basar la determinación de cualquier amenaza a la seguridad únicamente en una anomalía métrica. 

Para investigar una alarma de anomalía, correlacione los detalles de la alarma con otra información contextual, como los atributos del dispositivo, las tendencias históricas de las métricas del dispositivo, las tendencias históricas de las métricas del perfil de seguridad, las métricas personalizadas y los registros, para determinar si existe una amenaza a la seguridad.

## Casos de uso en la nube
<a name="Cloud-side-threats"></a>

Device Defender puede monitorizar los siguientes casos de uso desde la nube de AWS IoT.

**Robo de propiedad intelectual:**  
El robo de propiedad intelectual implica el robo de la propiedad intelectual de una persona o empresa, incluidos los secretos comerciales, el hardware o el software. Suele ocurrir durante la fase de fabricación de los dispositivos. El robo de propiedad intelectual puede adoptar la forma de piratería, robo de dispositivos o robo de certificados de dispositivos. El robo de propiedad intelectual basado en la nube puede ocurrir debido a la presencia de políticas que permiten el acceso no deseado a los recursos de IoT. Debería revisar sus [políticas de IoT](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) y activar las [comprobaciones de auditoría excesivamente permisivas](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html) para identificar las políticas demasiado permisivas.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Exfiltración de datos basada en MQTT:**  
La exfiltración de datos se produce cuando un actor malintencionado lleva a cabo una transferencia de datos no autorizada desde una implementación de IoT o desde un dispositivo. El atacante lanza este tipo de ataques a través de MQTT contra orígenes de datos del lado de la nube.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Suplantación de identidad:**  
Un ataque de suplantación de identidad se produce cuando los atacantes se hacen pasar por entidades conocidas o de confianza en un esfuerzo por acceder a servicios, aplicaciones o datos del lado de la nube de AWS IoT o ejercer el mando y el control de los dispositivos IoT.     
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Abuso de la infraestructura de la nube:**  
El abuso de los servicios de AWS IoT en la nube se produce al publicar o suscribirse a temas con un gran volumen de mensajes o con mensajes de gran tamaño. Las políticas excesivamente permisivas o el aprovechamiento de las vulnerabilidades de los dispositivos con fines de mando y control también pueden provocar un abuso de la infraestructura de la nube. Uno de los principales objetivos de este ataque es aumentar su factura de AWS. Debería revisar sus [políticas de IoT](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) y activar las [comprobaciones de auditoría excesivamente permisivas](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html) para identificar las políticas demasiado permisivas.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

## Casos de uso del lado del dispositivo
<a name="Device-side-threats"></a>

Device Defender puede monitorizar los siguientes casos de uso desde el dispositivo.

**Ataque de denegación de servicio:**  
Un ataque de denegación de servicio (DoS) tiene como objetivo cerrar un dispositivo o una red, haciendo que el dispositivo o la red sean inaccesibles para los usuarios previstos. Los ataques DoS bloquean el acceso inundando el objetivo con tráfico o enviándole solicitudes que inician una ralentización del sistema o provocan un fallo del sistema. Sus dispositivos IoT se pueden utilizar en ataques de DoS.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Escalado lateral de amenazas:**  
Un escalado lateral de amenazas suele comenzar cuando un atacante accede a un punto de la red, por ejemplo, a un dispositivo conectado. A continuación, el atacante intenta aumentar su nivel de privilegios o su acceso a otros dispositivos mediante métodos como el robo de credenciales o la explotación de vulnerabilidades.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Exfiltración de datos o vigilancia:**  
La exfiltración de datos se produce cuando un malware o un actor malicioso lleva a cabo una transferencia de datos no autorizada desde un dispositivo o un punto de conexión de la red. La exfiltración de datos normalmente tiene dos propósitos para el atacante: obtener datos o propiedad intelectual o realizar el reconocimiento de una red. La vigilancia significa que se utiliza código malicioso para monitorizar las actividades de los usuarios con el fin de robar credenciales y recopilar información. Las siguientes métricas pueden proporcionar un punto de partida para investigar cualquier tipo de ataque.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Minería de criptomonedas**  
Los atacantes aprovechan la potencia de procesamiento de los dispositivos para extraer criptomonedas. La minería de criptomonedas es un proceso computacionalmente intensivo que, por lo general, requiere una comunicación de red con otros pares y grupos mineros.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Mando y control, malware y ransomware**  
El malware o el ransomware restringen el control sobre los dispositivos y limitan su funcionalidad. En el caso de un ataque de ransomware, se perdería el acceso a los datos debido al cifrado que utiliza el ransomware.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)