EVIDENCIA TÉCNICA: ISO/IEC 27001 IMPLEMENTATION

Materia: Seguridad Informática II

Mtro. Servando López Contreras

Fase: Parcial 3 / Mayo 2026

Comité de Implementación SGSI (Equipo 2):

Edgar Omar Rodríguez Hernández (177888)
Josué Emmanuel López López (182078)
Aaron Efraim Mata Martínez (179419)
Estefano Alessandro Rodriguez Morin (178584)
Iván Ros Padilla (177573)
Mauricio Josafat Salinas Carrillo (177406)

Normativa

ISO 27001:2022

Superficie de Ataque

MTProto 2.0

Implementación

93/93 Controles

1. Contexto de la Organización

Telegram FZ-LLC, fundada en 2013, es una plataforma de mensajería con sede en Dubái orientada a la privacidad extrema. Se financia exclusivamente de capital privado (rechazando inversionistas externos) para asegurar autonomía frente a presiones geopolíticas.

> Organigrama de Estructura Plana (Flat Structure)

1. Nivel Estratégico

Pável Dúrov (CEO) & Nikolái Dúrov (CTO).
Toma de decisiones unánime, diseño de producto y arquitectura del cifrado maestro.

2. Nivel Operativo

Ilia Perekopsky (VP Operaciones).
Gestión de infraestructura global, monetización (Premium) y administración financiera mínima.

3. Núcleo Técnico

~30 Ingenieros de Élite.
Desarrollo base, mantenimiento del protocolo y despliegue. Sin mandos intermedios ni burocracia.

4. Soporte Descentralizado

Red TSF & Moderadores.
Voluntarios globales y sistemas automatizados que gestionan peticiones y contenido de usuarios.

2. Justificación Estratégica y Procesos Críticos

> ¿Por qué adoptar ISO/IEC 27001:2022?

[+] Agilidad sin Burocracia

La norma es proporcional. Permite a los 30 ingenieros operar rápido sin el peso corporativo de marcos como ITIL, enfocándose solo en controles de seguridad.

[+] Blindaje Interno

Limita el "Single Point of Failure". Si un ingeniero es comprometido, el principio de mínimo privilegio restringe su impacto en la red global.

[+] Armonización Legal

Otorga cumplimiento internacional ante regulaciones estrictas como el GDPR europeo y la Ley Federal de los Emiratos Árabes Unidos.

[+] Gobernanza Matemática

Obliga a la dirección a justificar decisiones con análisis de riesgos cuantitativos ($R=P \times I$), eliminando la subjetividad.

> Alcance: Los 3 Procesos a Proteger

A. SDLC Seguro

Protección del código fuente mediante análisis SAST/DAST automatizado antes de cualquier despliegue.

B. Infraestructura S3

Gestión de servidores bare-metal distribuidos en múltiples jurisdicciones para evitar incautaciones globales.

C. Criptografía

Gobernanza sobre generación, uso y fragmentación de las llaves maestras del protocolo MTProto.

3. Inventario de Activos Críticos (Anexo A 5.9)

Para cumplir con los requisitos de la Cláusula 6 (Planificación) y el control 5.9 del Anexo A, se ha establecido un inventario exhaustivo que divide la superficie operativa de Telegram en activos internos (bajo control directo) y externos (infraestructura de terceros).

> 3.1 Activos Internos (Core Infrastructure)

Código Fuente (MTProto)

Núcleo criptográfico propietario.

Política: Control y Auditoría Revisión por pares (Peer Review) obligatoria antes de cualquier despliegue.

Claves Criptográficas

Llaves maestras de descifrado global.

Política: Fragmentación Ninguna clave se almacena íntegra en un solo país. Reconstrucción multi-nodo.

Bases de Metadatos

Grafos sociales y contactos de usuarios.

Política: Minimización Registros efímeros purgados tras 24 horas para reducir la huella forense.

Talento Humano (Core)

Conocimiento de los ~30 ingenieros.

Política: Redundancia Operativa Mínimo 3 ingenieros dominan cada módulo crítico para mitigar el "Bus Factor".

Redes de Administración

VPNs para gestión de infraestructura.

Política: MFA Hardware Acceso condicionado a llaves físicas (YubiKey), sin contraseñas estáticas.

Registros de Auditoría

Historiales de acceso y alertas (Logs).

Política: Write-Once Envío en tiempo real a servidor central; ningún admin puede borrar sus huellas.

> 3.2 Activos Externos y Terceros

Infraestructura Física

Proveedores de Data Centers.

Política: Bare Metal & SED Discos con cifrado de hardware total; ilegibles si el disco es extraído físicamente.

Distribución (App Stores)

Tiendas de Apple, Google y Microsoft.

Política: Canales Alternativos APKs directos y Web independientes para evadir censura o retiros de tiendas.

Redes de ISPs (Internet)

Rutas globales de telecomunicaciones.

Política: Domain Fronting Uso de MTProto Proxy para evadir la inspección profunda de paquetes.

Pasarelas de Pago

Procesadores para Premium (Stripe).

Política: Tokenización Toda transacción opera mediante tokens, aislando la identidad financiera.

4. Planificación y Evaluación de Riesgos

La toma de decisiones estratégicas en Telegram se rige por el estándar internacional de gestión de riesgos ISO/IEC 27005. La criticidad operativa de cada amenaza se calcula cuantitativamente aplicando la ecuación fundamental de riesgo organizacional:

                    [SYS_CALC]: RIESGO (R) = PROBABILIDAD (P) × IMPACTO (I)
                

> Matriz de Riesgos Consolidada de la Infraestructura

ID	Activo de Información	Escenario de Amenaza Critica	Cálculo (P×I)	Estrategia y Control de Tratamiento
R-01	Mitigación de DDoS	Caída sistémica de la plataforma por saturación volumétrica de peticiones.	5 × 5 25 EXTREMO	Filtrado en Capa 4 y esquemas de redundancia masiva con múltiples proveedores Anycast globales.
R-02	Claves Criptográficas	Pérdida de confidencialidad o exfiltración de llaves maestras privadas de descifrado.	4 × 5 20 EXTREMO	Fragmentación jurisdiccional descentralizada y almacenamiento seguro exclusivo en módulos HSM compartimentados.
R-03	Servidores (Nodos Cloud)	Acceso lógico no autorizado a los almacenes de datos ("Cloud Chats") por malas configuraciones.	4 × 5 20 EXTREMO	Políticas de aislamiento de nodos estancos y cifrado de datos particionado criptográficamente.
R-04	Redes de Administración	Movimiento lateral de intrusos hacia el núcleo evadiendo los firewalls perimetrales activos.	4 × 5 20 EXTREMO	Implementación estricta de arquitectura Zero Trust corporativa y validación física via tokens (MFA).
R-05	Talento Humano Core	Fuga de conocimiento crítico o coacción gubernamental sobre ingenieros clave.	4 × 4 16 EXTREMO	Esquemas de dispersión geográfica internacional y protocolos estrictos de redundancia compartida del saber.
R-06	Código de MTProto	Descubrimiento de fallos estructurales o debilidades mediante ingeniería inversa.	3 × 5 15 MUY ALTO	Ejecución de auditorías matemáticas independientes continuas y endurecimiento de repositorios de control.
R-07	Pasarelas SMS (OTP)	Interceptación fraudulenta de códigos de acceso en redes celulares (ataques SS7).	5 × 3 15 MUY ALTO	Migración prioritaria hacia el envío de códigos mediante sesiones e instancias de la app activas previas.
R-08	Entornos CI/CD	Inyección maliciosa de artefactos o dependencias espías durante el empaquetado.	3 × 5 15 MUY ALTO	Aislamiento físico completo de redes de compilación efímeras y firmas criptográficas multi-etapa.
R-09	Bases de Metadatos	Perfilamiento externo de identidades por filtraciones accidentales de grafos sociales.	4 × 3 12 ALTO	Aplicación forzada de cifrado en reposo completo y rutinas automáticas de purga sobre datos efímeros.

5. Soporte y Operación (Cláusulas 7 y 8)

El soporte del SGSI se enfoca en los recursos, competencias y la concienciación del equipo de élite. La operación diaria exige la ejecución controlada de los planes de mitigación de riesgos.

[7.2] Competencia Técnica

Exigencia de certificaciones vigentes en auditoría de código seguro y arquitecturas Cloud para los 30 ingenieros core. Entorno configurado bajo el "Principio de Menor Privilegio".

[7.3] Concienciación (PSI)

Implementación de la Carta de Conformidad (TLG-SEC-POL-2026). El personal acepta el cierre de puertos no esenciales como medida de protección oficial para reducir la superficie de ataque.

[8.1] Control Operacional

Control estricto de cambios mediante pipelines automatizados. Cada parche pasa por entornos de pre-producción (Staging) aislados antes de su liberación.

6. Evaluación del Desempeño (Cláusula 9)

Fase "Verificar" del ciclo PHVA. Se evalúa la eficacia del SGSI mediante seguimiento, auditorías internas y revisión por la dirección.

Diagnóstico de Cumplimiento SGSI

Evaluación de 15 Criterios (Cláusulas 9.1, 9.2, 9.3).

7 CUMPLE 6 PARCIAL 2 NO CUMPLE

67%

20/30 PUNTOS

ESTADO: EN DESARROLLO

> Brechas Críticas Identificadas (No Conformidades)

1. Responsables de Análisis

Falta política que designe nominalmente a los responsables de evaluar cada indicador KPI.
Acción: Crear Matriz RACI SGSI (30 días).

2. Documentación de Auditorías

Ausencia de un repositorio centralizado de evidencias con política Write-Once y acceso restringido.
Acción: Implementar servidor de logs protegido (60 días).

7. Mejora Continua (Cláusula 10)

Las No Conformidades se convierten en acciones correctivas formales. Ejemplo de incidente crítico resuelto[cite: 1910]:

[INCIDENTE] Vulnerabilidad MTProto (Bug Bounty - 18 Abril 2026)

Causa Raíz: Regla técnica de bloqueo para revisión criptográfica desactivada temporalmente y no reactivada, permitiendo un desbordamiento de búfer.

Acción Correctiva (Eficaz): Implementación de bot de auditoría continua que escanea repositorios cada 60 min. Restricción inmutable requiriendo 2 factores de validación (Firma del Núcleo + Hash Auditor Externo).

8. Declaración de Aplicabilidad (SoA - Anexo A)

De los 93 controles normativos de la versión ISO/IEC 27001:2022, Telegram aplica el 100% de los objetivos defensivos. Controles pilar justificados:

ID Control	Nombre del Control	Justificación Técnica	Mecanismo de Implementación Operativo
A.5.15	Control de Acceso	Restringir privilegios en la asignación de llaves y roles en AWS.	Principio de privilegios mínimos basado en roles (RBAC) con tokens hardware.
A.6.3	Concienciación en Seguridad	Mitigar el Spear Phishing dirigido a los 30 ingenieros core.	Simulaciones de ingeniería social semestrales controladas.
A.7.14	Borrado Seguro de Activos	Prevenir recuperación de chats en servidores dados de baja.	Algoritmos de desmagnetización y destrucción física certificada.
A.8.24	Uso de Criptografía	Pilar para resguardar privacidad del tráfico de mensajes.	Protocolo MTProto 2.0 con fragmentación jurisdiccional de llaves maestras.
A.8.25	Ciclo de Vida Desarrollo Seguro	Garantizar que el código en producción carezca de backdoors.	Inyección de escaneos estáticos (SAST/DAST) en los pipelines de Git.

Regresar al Menú Parcial 3

Descargar documento PDF

> TLG_SGSI_FRAMEWORK_V2.0.4 COMPILADO CON ÉXITO.