tema1Ciberbuling
Transcript of tema1Ciberbuling
-
7/25/2019 tema1Ciberbuling
1/31
Seguridad y privacidad de la informacin
[1.1] Cmo estudiar este tema?
[1.2] Introduccin
[1.3] Qu es la seguridad?
[1.4] Riesgos
[1.5] Seguridad
[1.6] Criptografa y firma digital
[1.7] Seguridad interna
[1.8] Seguridad perimetral
[1.9] Recomendaciones a la hora de navegar
1
TE
M
A
-
7/25/2019 tema1Ciberbuling
2/31
Ciberbullying
TEMA 1 Esquema
Esquema
SEGURIDADYPRIVAC
IDADDELAINFORM
ACIN
Recomendacionesa
la
horadenavegar
Riesgos
Introduccin
Queslasegurid
ad?
SeguridadPerimetral
S
eguridad
Seguridadinterna
S
eguridad
Proteccionesfsicas,
informticasyorganizativas
Troyanos,virus,gusanos,
programasespa,etc.
Conceptosbsicos
Objetivosd
elacriptografa
Tiposdecriptografa
Firmadigit
al
Autenticacin
Copiasdeseguridad
Registrosyauditoras
2
-
7/25/2019 tema1Ciberbuling
3/31
Ciberbullying
TEMA 1 Ideas clave
Ideas clave
1.1. Cmo estudiar este tema?
Para estudiar este tema debers leer las Ideas clavedesarrolladas en este documento,
que se complementan con lecturas y otros recursos para que puedas ampliar los
conocimientos sobre el mismo.
1.2. Introduccin
A lo largo de la historia el ser humano se ha destacado por su afn investigador,
produciendo un sinfn de artefactos, as como adquiriendo conocimientos cada vez ms
exhaustivos de su propio entorno y de s mismo.
La gran revolucin en este sentido ha llegado en el siglo XXextendiendo y ampliando su
evolucin en el actual y an joven siglo XXI. Nos referimos a las denominadas
tecnologas de la informacin y las comunicaciones(TIC) que en menos de 30
aos han sufrido una evolucin y desarrollo impensable.
Solo como un claro ejemplo de lo anteriormente mencionado, podemos centrarnos en la
telefona, que en pocos aos ha pasado de ser fija a convertirse en mvil va satlite y a
travs de unos terminales que ya poco o nada tienen que ver con un terminal de telefona
propiamente dicho.
Lo que hoy en da conocemos como telfono mvil, es un terminal multifuncin que nos
permite, no solo la conversacin por audio, sino a travs de la escritura SMS, imgenes y
3
-
7/25/2019 tema1Ciberbuling
4/31
Ciberbullying
TEMA 1 Ideas clave
voz a travs de las conocidas vdeollamadas, servicios en tiempo real de noticias, agenda,
pago a travs del mvil, televisin, radio, Internet y un largo etctera que crece cada da
un poco ms. Como podemos observar, la evolucinen esta tecnologa en concreto, y
lo cual es extensible a las dems, es constante e imparable.
A travs de un ordenador podemos conectarnos a la red y acceder a informacin o
comunicacin desde cualquier parte del globo y prcticamente en tiempo real. Tiempo
y espacio han desaparecido, en la prctica.
Todos y cada uno de estos avances tecnolgicos han sido uno de los factores
determinantes de lo que a da de hoy se denomina proceso globalizador o
globalizacin, provocado fundamentalmente por un abaratamiento de los productos
tecnolgicos que, de esta forma, pueden ser consumidos por un gran nmero de
personas.
Aun as, todo este proceso globalizador tiene a grandes rasgos una cara oculta que
posee dos vertientes principales:
Existe una barrera en sectores de la poblacin, tanto a nivel mundial (falta de
recursos econmicos para acceder a la tecnologa necesaria) como a nivel estatal (falta
de formacin para utilizarla correctamente).
Se puede acceder a una gran cantidad de informacin, lo que puede producir una
recepcin informativaa veces redundantey a veces poco fiable.
Pero debemos centrarnos en una tercera vertiente que cobra peso y que, en la
actualidad, es una de las mayores preocupaciones de los internautas, la seguridad.
Casos como las filtraciones de informacin de la Agencia Nacional de Seguridad de los
Estados Unidos (NSA) por parte de Edward Snowden o los ataques informticos, por
parte de colectivos como Anonimus, que han comprometido la seguridad de grandes
compaas como Sony o incluso a el Fondo Monetario Internacional han contribuido a
generar un incremento de la preocupacin de la privacidad y la seguridad en
Internet.
Es decir, se ha generado un alto inters, por parte de los usuarios de Internet, sobre cmo
garantizar la seguridad de su informacin en Internet. No podemos obviar que la
masificacin de Internet como sistema comunicativo, as como el uso frecuente de
4
-
7/25/2019 tema1Ciberbuling
5/31
-
7/25/2019 tema1Ciberbuling
6/31
Ciberbullying
TEMA 1 Ideas clave
la ocurrencia de los posibles ataques informticos (intrusiones, cdigos maliciosos, etc.)
que pueden afectar tanto a la privacidad de la informacin como a la seguridad de los
equipos informticos.
A lo largo de las prximas lneas vamos a ofrecer unavisin general y globalsobre
qu es la seguridad informtica as como cules son los tipos ms habituales de ataques
y cmo protegerse ante ellos.
1.3. Qu es la seguridad?
La seguridad, cuando hablamos de equipos informticos, se centra es dos aspectos de
vital importancia:
Garantizar que la informacincontenida dentro de los sistemas informticos (y que
en algunas ocasiones puede ser de una trascendencia vital para una organizacin) no
se pierda o sea alteradade forma incorrecta.
Garantizar la privacidadde la informacin. Es decir, que la misma solo sea accesible
cuando sea necesaria o si se cuenta con las pertinentes autorizaciones.
La idea principal que subyace es, bsicamente, garantizar que un sistema
informtico es seguro. Sin embargo cundo es seguro? En este sentido debemos
decir que un sistema es seguro cuando es posible confiar en l y, adems, se comporta de
acuerdo a cmo se espera que se comporte.
La seguridad informtica abarca una gran cantidad de soluciones que tienen como
objetivo prioritario que la informacin tratada en un sistema informtico determinadosea protegida. Esto implica, necesariamente, el establecimiento de un plan de
seguridadtendente a definir las necesidades y objetivos y que, adems, sea compatible
con el coste de su implementacin, en relacin al beneficio que va a aportar.
No obstante, el trmino seguridad es muy amplio y engloba los siguientes aspectos:
Confidencialidad. La informacin solo puede ser accedida por aquel que est
autorizado.
6
-
7/25/2019 tema1Ciberbuling
7/31
-
7/25/2019 tema1Ciberbuling
8/31
-
7/25/2019 tema1Ciberbuling
9/31
Ciberbullying
TEMA 1 Ideas clave
puede llegar a averiguar distintas contraseas del usuario legtimo para, en un
momento posterior, beneficiarse de las mismas.
Marcadores telefnicos(dialers). Este tipo de softwarese instala en un equipo
con la finalidad de desviar la conexin telefnica hacia otro nmero de tarificacin
especial causando un grave perjuicio econmico al afectado. Afortunadamente este
tipo de software solo puede afectar a aquellos usuarios que utilizan un servicio de
banda estrecha, bien a travs de RTBV (Red Telefnica Bsica) o RDSI (Red Digital
de Servicios Integrados). Hoy en da el uso de la banda ancha predomina sobre este
tipo de servicios anteriormente mencionados, por lo que este softwaremalicioso es
bastante marginal.
Rogueware. El presente softwaretiene como finalidad principal engaar al usuario
y hacerle creer que se encuentra infectada por algn tipo de virus, coaccionando al
usuario para que page una determinada cantidad de dinero para eliminarlo.
2. Software Publicitario (Adware). La finalidad del presente software reside en
mostrar anuncios publicitarios que aparecen, de forma inesperada, en el equipo del
usuario cuando se est utilizando la conexin a una pgina web o instantes despus de
que se haya instalado en el equipo informtico. En muchas ocasiones pueden tener una
segunda finalidad consistente en recopilar informacin sobre los hbitos de navegacin
del usuario. De esta forma son capaces de generar un perfil de la personalidad de dicho
usuario, lo que les reporta el beneficio adicional de ser capaces de poder dirigir al usuario
una publicidad totalmente acorde a su personalidad e intereses.
3. Herramientas de intrusin. Son un tipo de softwareque puede ser utilizado por
un atacante remoto para realizar diferentes actividades: anlisis de seguridad, acceso al
equipo informtico, realizar cracking de contraseas, escner de puertos, etc.
4. Virus. El software malicioso ms conocido y en el que se suele incluir, por
desconocimiento, al resto de categoras que estamos definiendo en este apartado. Son
capaces de infectar a otros ficheros o programas del equipo infectado ya que una de las
caractersticas fundamentales de este tipo de softwarees que, al igual que los virus
naturales, necesitan de un husped, otro archivo, para poder realizar sus funciones.
5. Gusano (worm). Tipo de softwareque tiene la capacidad de poder propagarse a
cualquier parte del equipo informtico infectado o incluso a otros equipos y/o
dispositivos porttiles. En este sentido y dependiente del tipo de gusano, sus finalidades
son diversas pero todas dainas para los equipos informticos que pretenden infectar. A
9
-
7/25/2019 tema1Ciberbuling
10/31
Ciberbullying
TEMA 1 Ideas clave
diferencia de los virus, los gusanos no necesitan otro archivo para replicarse. Incluso son
capaces de modificar el sistema operativo para autoejecutarse.
6. Programa espa (spyware). El presente softwaretiene como finalidad recopilar
informacin sobre el usuario sin su consentimiento. Suelen instalarse como
complementos del navegador (Explorer, Firefox, Chrome) sin que el usuario sea
consciente de este hecho. Posteriormente proceden a transmitir a un servidor los hbitos
de navegacin del usuario. Esta situacin ya es un problema en s mismo para el usuario
pero, adems, le genera un perjuicio adicional ya que este tipo de softwareconsume una
gran cantidad de ancho de banda, lo que generar una ralentizacin del resto de servicios
que utiliza el usuario.
7. Otro tipo de software. Entre los que se pueden citar los siguientes:
Exploit. Cdigo malicioso creado con la finalidad de aprovechar fallos o
vulnerabilidades de los sistemas informticos para poder actuar con total libertad
dentro del sistema informtico atacado.
Rootkits. Software introducido en los equipos informticos despus de que un
atacante haya conseguido hacerse con el control del sistema. Este tipo de software
tiene como finalidad ocultar el rastro de dicho ataque borrando todo rastro del mismo
o encubriendo los procesos ejecutados por el atacante.
Scripts. Cdigos escritos en cualquier lenguaje de programacin que tienen como
finalidad la realizacin de acciones no deseadas en el equipo informtico
generalmente por medio del navegador (Explorer, Firefox, Chrome) o del correo
electrnico.
Lockers o scareware. Software que bloquea el acceso al equipo por parte del
usuario, mostrando un mensaje que conmina al usuario a pagar un determinado
precio para rescatarel control de su equipo.
Jokers. Aunque no causan ningn dao al equipo informtico que afectan, s que
alteran su normal funcionamiento a travs de acciones tendentes a molestar o distraer
a su usuario.
10
-
7/25/2019 tema1Ciberbuling
11/31
Ciberbullying
TEMA 1 Ideas clave
Adems, debemos tener en cuenta que hoy en da la navegacin web es una de las
acciones que ms realizan los internautas y, por tanto, podemos vernos expuestos a este
tipo de riesgos mientras navegamos a travs de Internet:
Al navegar es altamente probable que nos veamos expuestos a la posible instalacin
de software tipo adware, spyware e incluso ser directamente infectados por
descargar un troyano.
La navegacin tambin nos expone al riesgo de ser receptores de un ataque que nos
llegar por las propias vulnerabilidades, bien de nuestro sistema operativo, bien de
nuestras distintas aplicaciones o programas instalados en nuestro equipo informtico.
Que un atacante (conocidos como browser hijackers) trate de tomar el control de
nuestro navegador con la intencin de perpetrar cualquier otro fin malicioso. Como
regla general, este tipo de ataques proceden a agregar como favoritos de nuestro
navegador distintos marcadores (sin que seamos conscientes de ello), cambiar
automticamente nuestra pgina de inicio e incluso acceder y cambiar nuestras claves
de registro o instalar en nuestro equipo informtico keyloggers.
Instalacin, sin nuestro consentimiento, de rogueware.
Ataques destinados a infectar a una multiplicidad de usuarios que acceden a una
determinada pgina web. Los atacantes son capaces de explotar las debilidades de una
pgina web, incluyendo cdigo daino en dicha pgina e infectando de esta forma a
los usuarios que acceden a la misma.
Uso de informacin personal de los usuarios que facilitan determinada informacin
personal en las pginas web que visitan o de las que son usuarios habituales.
Ser vctimas de un fraude que tiene como finalidad proceder al robo de informacin
personal del usuario o acceder a sus equipos y dispositivos ocultando bajo una pgina
web enlaces fraudulentos que, al ser pulsados por el usuario, pueden ser capaces de
ejecutar cdigo malicioso en su equipo. Hoy en da esta amenaza es bastante comn y
se denomina clickjacking.
11
-
7/25/2019 tema1Ciberbuling
12/31
Ciberbullying
TEMA 1 Ideas clave
1.5. Seguridad
Cuando hablamos de seguridad, debemos ser plenamente conscientes de que los
riesgos nunca pueden ser eliminados a su totalidad. Es por esta razn que
cuando hablamos de seguridad, en lo que se refiere a los equipos y sistemas informticos,
siempre es necesario tener presente que su seguridad siembre debe encontrarse basada
en objetivos de carcter realista y que por tanto, debern realizarse despus de haber
realizado un estudio en el que se detallen tanto los costes como los beneficios de
implementar una determinada medida de seguridad.
Dicho esto, las medidas de seguridad se pueden clasificar en tres tipos diferentes:
Protecciones fsicas. Medidas de seguridad de carcter fsico, tales como sistemas
anti-incendio, vigilantes de seguridad, as como todas aquellas otras medidasencaminadas a evitar que las personas puedan acceder fcilmente a las instalaciones
donde radican los equipos y sistemas informticos.
Medidas informticas.Todos aquellos sistemas, as como soluciones de carcter
informtico, que aumenten la seguridad de los equipos y sistemas informticos; entre
los que se incluyen: el cifrado de la informacin, detectores de intrusos, cortafuegos o
firewalls, etc.
Medidas organizativas. Teniendo en cuenta que la concienciacin de los usuarios
de los sistemas y equipos informticos es una parte esencial para evitar el xito decualquier ataque o riesgo, es necesario que dichos usuarios realicen cursos de
formacin relacionados con la seguridad informtica as como activar, dentro de la
organizacin, un programa o planning de auditoras informticas tendentes a
garantizar la seguridad de los sistemas y equipos informticos.
A lo largo de los prximos epgrafes vamos a centrarnos en las medidas de carcter
informtico donde tendremos oportunidad de profundizar en temas como la
criptografa, la seguridad de carcter interno y la seguridad de carcter perimetral.
Medidas de seguridad
Protecciones fsicas
Medidas informticas
Medidas organizativas
12
-
7/25/2019 tema1Ciberbuling
13/31
Ciberbullying
TEMA 1 Ideas clave
1.6. Criptografa y firma digital
Los sistemas de firma digital se basan en la criptografa, que se puede definir como el
arte de escribir en clave o de forma enigmtica.
La criptografa fue considerada un arte hasta que Shannon public en 1949 la Teora de
las comunicaciones secretas, momento a partir del cual pas a considerarse una ciencia
aplicada, debido sobre todo a su relacin con otras ciencias como la Estadstica, la Teora
de Nmeros, la Teora de la Informacin y la Teora de la Complejidad Computacional.
Si bien es cierto que comnmente se utiliza la palabra criptografa para definir tanto
el cifrado como el descifrado de mensajes, en puridad hemos de decir que la
criptografaes la ciencia que estudia los mtodos de cifrado de mensajes, mientras que
el criptoanlisis se encarga de estudiar el conjunto de tcnicas y mtodos para
descifrar dichos mensajes. Al conjunto de ambas ciencias, criptografa y criptoanlisis se
le denomina criptologa.
La historia nos ha dejado numerosos ejemplos del uso de esta ciencia/arte entre los que
podemos destacar:
Cifrado de Esctala. Data del siglo V a. C., durante las guerras entre Atenas yEsparta. Este cifrado se basaba en la alteracin del mensaje mediante la escritura de
los smbolos de forma vertical sobre una cinta enrollada en un rodillo, de un grosor
determinado, de manera que al desenrollar la cinta, los smbolos del mensaje
quedaban desordenados, por lo que nicamente se poda recuperar el mensaje, en
destino, tras enrollar la cinta en un rodillo de igual grosor, evitando que durante el
trayecto los enemigos se hiciesen con el texto del mensaje en claro. La clave resida en
el bastn, ms concretamente en su dimetro, de forma que nicamente el receptor
en posesin de una copia idntica al bastn que se us para cifrar podra leer el textoen claro.
Cifrado de Polybios. Data del siglo IIa. C. y consista en hacer corresponder a cada
letra del alfabeto un par de letras que indicaban la fila y la columna en la cual esta se
encontraba, dentro de un recuadro de cinco caracteres por cinco, cifrado mediante el
cual obtenamos 25 caracteres.
Cifrado de Csar. Perteneciente al siglo Ia. C., este cifrado consiste en sustituir una
letra por aquella situada tres lugares ms all del alfabeto de manera que la letra A se
transforma en la letra D, la B en la E y as sucesivamente.
13
-
7/25/2019 tema1Ciberbuling
14/31
Ciberbullying
TEMA 1 Ideas clave
El texto ms antiguo conocido en el que se empieza a hablar de criptografa, se titula
Liber Zifrorum, atribuido a Cicco Simoneta. El estudio de este autor se basaba
bsicamente en sistemas basados en sustituciones de letras.
A partir del siglo XVI se generaliza el uso de la criptografa, pero es ya en la I Guerra
Mundial cuando la criptologa se convierte en un arma. Tal es as que EEUU entr en la
guerra precisamente gracias a la ruptura, por parte de los britnicos, del conocido
telegrama Zimmermann, mediante el cual el ministro alemn trataba de convencer
a Japn y Mxico para que efectuasen una invasin sobre Estados Unidos.
En el siglo XX la criptografa eclosiona y pasa del mbito reducido de militares y
diplomticos, al ciudadano de a pie, a la sociedad. El mundo de la informtica, y ms
concretamente Internet, plantea la necesidad de que la ingente cantidad de datos que
circulan por este canal inseguro, se encuentren protegidas durante su transmisin y
almacenamiento. La gran cantidad de informacin a disposicin de los usuarios, que
cada vez son ms, y el importante trfico que a travs de la red se genera, ha llevado a
que la finalidad de la criptografa se haya visto modificada.
Conceptos bsicos
La relacin existente entre la teora de la informacin y la criptografa fue enunciada por
Shannon, considerado por muchos el padre de la teora de la informacin. Ambas
ciencias, teora de la informacin y criptografa, comparten tanto objetos de estudio
como objetivos, si bien para ello usan medios distintos.
La teora de la informacin estudia el proceso de la transmisin ruidosa de un
mensaje, donde la distorsin de dicho mensaje transmitido, no es intencionada, sino que
se debe al canal y en donde el objetivo a conseguir es la transmisin del mensaje de la
forma ms clara posible. Por otro lado, la criptografaestudia el proceso de cifrado de
un texto, en donde la distorsin s es intencionada y por tanto tiene como objetivo que el
mensaje sea incomprensible para cualquiera distinto al emisor y al receptor.
As pues, es fcilmente deducible, que la proteccin de la informacin que se persigue
con la criptografa se lleva a cabo variando su forma. Llamamos entonces cifradoa una
transformacin de un determinado texto, denominado comnmente texto claro o texto
en claro, en un texto cifrado o criptograma y, por lo tanto, podemos definir como
14
-
7/25/2019 tema1Ciberbuling
15/31
Ciberbullying
TEMA 1 Ideas clave
descifradoa la transformacin que nos permite recuperar el texto original o texto en
claro a partir de texto cifrado.
En el siglo XIX, Kerckhoffs, en su obra La criptografa militar, estableci una serie de
reglas sobre forma de actuacin de un buen criptgrafo, que han sido aceptadas
por la prctica totalidad de la comunidad criptogrfica. Estas reglas son:
No debe existir ninguna forma de recuperar mediante el criptograma el texto inicial o
la clave. Esta regla es cumplida en la prctica cuando la complejidad de la
recuperacin del texto original sea suficiente para mantener la seguridad del sistema.
Todo sistema criptogrfico debe estar compuesto por dos tipos de informacin:
o
Pblica, como puede ser la familia de algoritmos que lo definen.
o Privada, como es la clave que se usa en cada cifrado particular.
La forma de escoger la clave debe ser fcil de recordar y modificar.
Debe ser factible la comunicacin del criptograma con los medios de transmisin al
uso.
La complejidad del proceso de recuperacin del texto en claro debe corresponderse
con el beneficio obtenido.
Objetivos de la criptografa
Los objetivos de la criptografa se pueden resumir diciendo que la criptografa debe
asegurar la:
Confidencialidad.El mensaje no puede ser ledo por personas que no disponen de
la debida autorizacin.
Integridad.El mensaje no puede ser alterado sin autorizacin.
Autentificacin. Se debe garantizar que el mensaje ha sido enviado por una persona
y recibido por otra.
No repudio. Despus de haber enviado un mensaje, no se puede negar que el
mensaje no es de su emisor.
En todo caso, los mecanismos criptogrficos no son infalibles por lo que su objetivo
principal radica o reside en ser lo suficientemente complejos como para evitar su
descifrado atendiendo al estado de la tcnica actual.
15
-
7/25/2019 tema1Ciberbuling
16/31
Ciberbullying
TEMA 1 Ideas clave
Tipos de criptografa
Existen dos tipos de criptografa:
Simtrica o de clave secreta.En la que se utiliza una misma clave para cifrar y
descifrar los mensajes y que se basan en algoritmos de encriptacin como el Data
Encryption Estndar (DES) o el RC5 o IDEA.
Asimtrica o de clave pblica. En la que se utiliza una clave pblica para cifrar el
mensaje y una clave privada para descifrarlo. De esta forma cualquiera puede cifrar
un mensaje pero solo quien tenga la clave privada puede descifrarlo. El objetivo de la
criptografa asimtrica es garantizar la integridad y la autentificacin del origen de los
datos. Su algoritmo de encriptacin ms conocido y utilizado es el RSA.
En algunas ocasiones se utilizan ambos mtodos de encriptacin al
mismo tiempo. Un claro ejemplo de lo que acabamos de exponer es
el protocolo SSL, que se utiliza como conexin segura en Internet.
Utiliza primero una clave pblica para enviar de forma cifrada la
clave secreta DES que posteriormente se utilizar en la
comunicacin. De esta forma, dicha clave, solo podr descifrarse en
destino. Este mtodo se conoce como One Time Passwordya que para cada sesin se
genera una nueva clave DES.
El protocolo SSL es aquel que utiliza nuestro navegador cuando est en modo seguro. Se
caracteriza por que en la URL de nuestro navegador nos sale https en lugar de http
y, en la parte inferior de nuestro navegador aparece un candado cerrado.
Firma digital
El objetivo de la firma digital es garantizar y certificar los contenidos de un
mensaje. Con la firma digital no es necesario, aunque s conveniente, que el mensaje
vaya cifrado. En realidad dicho mensaje contienen un cdigo que identifica dicho
mensaje y que va cifrado con una clave privada.
A dicho proceso de certificar el mensaje con una firma digital se le denomina
firmado. La firma digital proporciona la integridad, la confidencialidad y el no
repudio del mensaje.
16
-
7/25/2019 tema1Ciberbuling
17/31
Ciberbullying
TEMA 1 Ideas clave
1.7. Seguridad interna
Dentro de la seguridad interna podemos englobar todos aquellos mecanismos que
aportan seguridad a los equipos y sistemas informticos frente a riesgos procedentes del
interior de una organizacin aunque, en la mayora de las ocasiones, los presentes
mecanismos tambin se encuentran preparados para afrontar riesgos procedentes del
exterior.
En este sentido, las medidas de seguridad de carcter internoque merece la pena
destacar, son las siguientes:
Autenticacin.Esta medida de seguridad pretende asegurar que cualquier persona
que trate de acceder al sistema informtico deba pasar, de forma previa, por un
filtro en el que demuestre al sistema informtico tanto que est autorizado para
acceder a dicho sistema como que se encuentra autorizado a acceder a una
determinada informacin en funcin de los privilegios que tenga asignados. A da de
hoy, la frmula ms extendida para proceder a la identificacin de las personas dentro
de un sistema informtico es a travs de un identificador basado en usuario y
contrasea que, a su vez, se encuentran asociados a una serie de privilegios, de forma
que no todas las personas puedan acceder a la informacin considerada crtica dentro
de la organizacin.
En este sentido, debemos detallar que la autenticacin implica una cierta
concienciacin del usuario, puesto que ser necesario que este custodie de forma
adecuada sus claves de acceso al sistema.
Ya hemos dicho que la frmula usuario-contrasea es la ms extendida, pero no es la
nica. Es posible encontrarnos otros sistemas de autenticacin basados en tarjetas de
acceso, reconocimiento de voz, reconocimiento de huellas dactilares, etc.
Copias de seguridad (backups). Esta medida de seguridad tiene como finalidad
que la informacin perdure dentro del sistema informtico aun cuando este haya
podido sufrir un desastre o se haya visto sometido a un riesgo o amenaza (perdida de
informacin, inundacin, incendio, sobrecarga elctrica que ha daado los
componentes del sistema informtico, etc.)
Las copias de seguridad actan como salvaguarda y, por esta razn, es de vitalimportancia que las mismas se encuentren sometidas a un protocolo que dictamine
17
-
7/25/2019 tema1Ciberbuling
18/31
Ciberbullying
TEMA 1 Ideas clave
cmo se van a planificar a lo largo del tiempo, cmo se va a verificar su correcta
realizacin y funcionamiento y de qu forma se van a custodiar dentro de la
organizacin.
Registros y auditoras. Esta medida de seguridad se encuentra encaminada a
mantener un registro de las operaciones realizadas dentro del sistema informtico
para, en un segundo paso o de forma posterior, proceder a la realizacin de una
auditora del sistema informtico que pueda aportar informacin detallada sobre el
acceso a los sistemas de informacin as como los posibles fallos de seguridad del
mismo.
1.8. Seguridad perimetral
Este tipo de seguridad pretende evitar, en la medida de lo posible, los ataques externos
a los equipos y sistemas informticos.
Obviamente los ataques externos tienen una tipologa muy variada y pueden responder
a una gran variedad de objetivos.
En todo caso, lo ms prctico para evitar ataques que provengan del exterior, sera que
nuestros equipos y sistemas no tuviesen ninguna conexin con el exterior. Sin embargo,
hoy en da dicha solucin se hace totalmente inviable puesto que la gran ventaja de los
equipos o sistemas informticos es precisamente esa capacidad para conectarse con el
exterior y, de esta forma, acceder a informacin o facilitar las posibilidades de
comunicacin.
Por tanto, y dado que se hace necesario mantener una conexin con el exterior, lasolucin ms segura en el presente entorno se basa en mantener un nico enlace o
conexin con el exterior. Y cmo es posible realizar este tipo de control? A travs de
un dispositivo denominado cortafuegos y comnmente denominado en el argot
informtico comofirewall.
La funcin de losfirewalldentro de un sistema informtico consiste en tratar de aislar
dicho sistema de los problemas externos, delimitando y controlando el trnsito de
informacin entre la red externa (Internet) y el sistema informtico.
18
-
7/25/2019 tema1Ciberbuling
19/31
Ciberbullying
TEMA 1 Ideas clave
Un dispositivofirewallva a permitir aadir diversos tipos de barreras de forma tal que
a cualquier equipo externo le resulte mucho ms difcil el acceso al sistema informtico.
En este sentido es muy importante que, a la hora de configurar el firewall, se defina
claramente qu tipo de informacin va a permitir pasar y qu tipo de informacin no va
a permitir pasar, estableciendo para ello, una poltica de permisos.
Bsicamente podemos decir que las funciones de unfirewallson las siguientes:
En la imagen anterior se detalla un solo ordenador, meramente a efectos visuales.
Obviamente en las implementaciones reales esto es mucho ms complejo puesto que
generalmente un sistema informtico suele componerse de varios ordenadores y,
generalmente, una red perimetral que ofrece los servicios que una determinada
organizacin quiere suministrar al exterior tales como sus pginas web, correo
electrnico, etc. De esta forma cualquier amenaza o riesgo proveniente del exterior
deber, si quiere entrar en la red interna, pasar dos filtros. Por una lado, el cortafuegos
de la red perimetral y, por otro lado, el cortafuegos de la red interna.
No obstante, no solo las grandes organizaciones disponen de dispositivosfirewall. En la
actualidad tambin existen cortafuegos domsticos que se instalan en el propio
ordenador personal y lo protegen de posibles riesgos o amenazas exteriores, alertando al
usuario y que, esta vez s, responden ms fielmente a la imagen mostrada.
PC
PC PC
PC
PCPC
PC
Ordenador InternetCortafuegos
Funciones de un firewall
Bloquear el acceso a determinadas pginas web
Controlar el acceso a servicios externos
Monitorizar las comunicaciones entre la redinterna y la red externa
19
-
7/25/2019 tema1Ciberbuling
20/31
Ciberbullying
TEMA 1 Ideas clave
Pero en lo que a la seguridad perimetral se refiere, no solo disponemos de los
mecanismosfirewalls. Dentro de la seguridad perimetral tambin nos encontramos con:
Antivirus perimetrales.Su principal objetivo reside en analizar todo el trfico que
entra y sale de la red y comprobar que dicho trfico no se encuentra infectado por
ningn virus.
Deteccin de intrusos. Este sistema se basa en alertar cuando se produce un fallo
de seguridad dentro del sistema o equipo informtico. Generalmente este tipo de
seguridad va a comprobar que un usuario no autorizado se ha conectado al sistema o
equipo informtico, o bien va a detectar que alguien no autorizado ha accedido al
comprobar que se han modificado archivos en el sistema o que los ordenadores del
sistema se estn comportando de un modo extrao (fallos continuos, sobrecargas,
etc.).
Dentro de este tipo de sistemas de deteccin encontramos dos categoras bsicas:
o
Basados en red: que son aquellos que se encuentran conectados a la red interna
de la organizacin y analizan todo el trfico.
o Basados en host: aquellos instalados en la propia mquina y que protegen a la
misma.
Denegacin del servicio. Un ataque de denegacin del servicio se produce cuando
un riesgo o amenaza abusa del equipo o sistema informtico impidiendo un correcto
funcionamiento del mismo e impidiendo que otros usuarios puedan acceder al mismo.
Las medidas de seguridad tendentes a evitar esta situacin se basan en tratar de evitar
dicho abuso poniendo lmites al uso del sistema o equipo informtico por parte de
cada usuario, de forma individual.
Redes privadas virtuales. Hoy en da es habitual permitir el acceso a los sistemas
o equipos informticos de una forma remota. Nuevos escenarios como la movilidad
de las personas o incluso el teletrabajo han demandado esta nueva forma de actuar.
Esto, sin embargo, ha generado nuevas amenazas para los equipos y sistemas
informticos y, en este sentido, ha sido necesario habilitar nuevos mecanismos de
seguridad. El objetivo de las redes privadas virtuales es garantizar que cualquier
usuario que se conecte de forma remota a los equipos o sistemas informticos
dispongan de un canal de comunicaciones seguro. Es decir, que a pesar de que se
20
-
7/25/2019 tema1Ciberbuling
21/31
Ciberbullying
TEMA 1 Ideas clave
acceda de una forma remota, dicho acceso o conexin se produzca de la misma forma
y con las mismas garantas que si dicha conexin se produjese en el mismo equipo o
sistema informtico.
1.9. Recomendaciones a la hora de navegar
Hoy en da la navegacin webes una de las actividades a las que ms tiempo dedican
las personas dentro de la red de redes: redes sociales, contenidos multimedia, descarga
de archivos, comercio electrnico y un sinfn de actividades se realizan a travs de este
medio.
Sin embargo, hemos de dejar constancia de que dicha navegacin no es, en ningn caso,
annima y que, por tanto, la seguridadas como la privacidadson partes relevantes
en nuestra navegacin a las cuales debemos prestar la mxima atencin.
En este sentido se hace necesario aportar unos consejos generalesque nos permitan
realizar un uso seguro y responsable durante nuestra navegacin:
Nuestros equipos y sistemas informticos deben contar con un antivirus que seejecute con la regularidad necesaria. Asimismo es altamente recomendable contar con
un cortafuegos (algunos sistemas operativos como Windows ya cuenta con uno
activado por defecto) as como algn programa o software antimalware como
puede ser Spybot, entre otros.
Nuestro sistema operativo debe estar correctamente instalado y ser necesario
aplicar en l todas las actualizaciones que se encuentren disponibles en cada
momento. En este sentido tambin es altamente recomendable que nuestrosnavegadores (Internet Explores, Firefox, Chrome) se encuentren debidamente
actualizados y, en su caso, instalar en nuestros equipos las versiones ms recientes.
Utilizar conexiones segurassiempre que sea posible y, en todo caso, cuando sea
necesario transmitir datos de naturaleza sensible. En este sentido debemos tener en
cuenta que este tipo de conexiones son fcilmente reconocibles ya que la direccin
web debe comenzar por https y que, adems, en la parte inferior del navegador
deber aparecer un candado cerrado que nos va a indicar que hemos establecido unaconexin segura.
21
-
7/25/2019 tema1Ciberbuling
22/31
Ciberbullying
TEMA 1 Ideas clave
Cuando en alguna pgina se nos soliciten datos personalesdeberemos comprobar
los certificados de seguridad de la misma.
Durante nuestra navegacin web nunca deberemos hacer clic en enlaces
sospechosos. Dichos enlaces pueden contener malwareo algn tipo de amenaza
para nuestros equipos y sistemas informticos.
No es recomendable acceder a sitios web de dudosa reputacin, tales como
pginas de softwareilegal o pginas que proporcionen nmeros de serie de software
legal.
Ser selectivos y mantenerse cautos ante los resultadosque puedan ofrecernos los
buscadores web. En algunas ocasiones, los atacantes pueden utilizar una
diversidad de tcnicas denominadas black hat SEO para posicionar sus sitios web
(maliciosos) en los primeros lugares de los buscadores, sobre todo cuando realizamos
bsquedas a travs de trminos o palabras clave utilizadas por el pblico en general.
En este sentido se recomienda instalar en los equipos o sistemas informticos algn
tipo de softwareanalizador de enlacescomo por ejemplo Avast Web Report.
Es altamente recomendable utilizarpluginso extensiones en nuestro navegador para
eliminar las ventanas emergentes, conocidas comnmente como pop-ups, que
aparecen durante la navegacin.
Cuando accedemos a travs de equipos o sistemas informticos pblicos, como
los cibercafs o los aeropuertos, ser necesario omitir la navegacin en sitios web que
requieran de un nivel alto de seguridad (pginas de entidades bancarias o financieras,
por ejemplo) y, en el caso de que sea estrictamente necesario, se debern tomar las
debidas medidas de seguridad, como por ejemplo eliminar los archivos temporales, la
informacin almacenada en cach, las cookies y nunca almacenar las direcciones
URL, contraseas y dems informacin crtica para no dejar rastro de nuestra
navegacin.
Durante nuestra navegacin, si se nos ofrece la descarga de aplicaciones que no
hemos solicitados, jams deberemos aceptarlas sin antes verificar su integridad a
travs de algn antivirus o aplicacin de seguridad.
22
-
7/25/2019 tema1Ciberbuling
23/31
Ciberbullying
TEMA 1 Ideas clave
Cuando se instalen complementos para el navegador, tales como toolbars o
barras de utilidades, ser necesario verificar previamente su autenticidad y se
proceder a su instalacin solo si las conocemos y realmente necesitamos utilizarlas.
Asimismo, durante nuestra navegacin deberemos prestar especial atencin a la
proteccin de nuestra privacidadteniendo presentes los siguientes consejos:
No facilitar datos personalesa no ser que estemos completamente seguros de la
identidad de su receptor. Salvo que sea estrictamente necesario, nunca se deber
facilitar datos personales que no sean obligatorios.
No es recomendable incluir en ninguna pgina web informacin personalrelativa
a nuestros gustos, aficiones o preferencias. Este tipo de informacin suele utilizarse
con fines de marketing o publicidad estrechamente relacionada con los datos que
previamente hemos facilitado.
Ser muy cuidadosos con la informacin que compartimosa travs de Internet y,
sobre todo, con quin la compartimos.
En relacin al uso de contraseas, es recomendable tener presentes los siguientes
consejos:
Se deber tener precaucin con las contraseas que se almacenen en nuestro
navegador y, en todo caso, utilizar una contrasea maestra para que nadie ms pueda
acceder a las mismas. En lneas generales, se debe evitar el almacenamiento por
defecto de informacin crtica en nuestro navegador. Dicha informacin
puede ser fcilmente robada a travs de aplicaciones o cdigos maliciosos.
Es recomendable cambiar nuestras contraseas de forma peridicaas como
utilizar contraseas robustasteniendo claro que nunca deberemos dejar dichas
contraseas guardadas en nuestro disco duro o anotadas en un papel.
Adems, cuando procedamos a la descarga de softwarey aplicaciones deberemos
tener en cuenta los siguientes consejos:
Mantenerse alerta cuando recibamos archivos tanto en sesiones de chat como desde
cualquier pgina web o aplicacin que se ejecute desde el navegador.
23
-
7/25/2019 tema1Ciberbuling
24/31
Ciberbullying
TEMA 1 Ideas clave
Extremar la precaucin con los ficheros que se descargan desde redes peer to peer
(P2P), descarga directa o enlaces tipo torrent. Es muy probable que incluyan algn
tipo de malware y, por tanto, antes de abrirlos debern ser analizados con un
antivirus o con un antimalware.
Por ltimo debemos ser conscientes de que la alta popularidad que tienen las redes
sociales constituye un gran campo para que los atacantes traten de engaar a sus
usuarios y propagar nuevas amenazas. En este sentido cuando utilicemos redes sociales
deberemos tener presentes los siguientes consejos:
Evitar publicar ningn tipo de informacin sensible y confidencial as como
publicar imgenes propias y de familiares. Todo ello puede ser utilizado por terceros
con fines maliciosos.
Procurar configurar el perfil de modo que este no sea pblico.
No responder a las solicitudes de desconocidos, ya que pueden contener cdigos
maliciosos o pueden formar parte de actividades delictivas.
Ignorarlos mensajes que ofrecen material pornogrfico, ya que suelen ser canales o
mecanismos para la propagacin de malware.
Cambiar peridicamente la contrasea de nuestro perfil dentro de la red social para
evitar casos o situaciones de suplantacin de identidad.
Denunciar los abusosque se detecten dentro de la red social.
24
-
7/25/2019 tema1Ciberbuling
25/31
Ciberbullying
TEMA 1 Lo + recomendado
Lo + recomendado
No dejes de leer
Libro electrnico de seguridad informtica y criptografa
Libros electrnicos en los que se desgranan los aspectos ms importantes de la seguridad
informtica y de la criptografa.
Accede a los documentos a travs del aula virtual o desde la siguiente direccin web:
http://www.criptored.upm.es/guiateoria/gt_m001a.htm
Gestionar las amenazas en la era digital
Interesante artculo de IBM en el que se aborda el tema de la seguridad, el riesgo y el
cumplimiento desde el punto de vista de la alta direccin.
Accede al artculo a travs del aula virtual o desde la siguiente direccin web:
http://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-
digital.pdf
25
http://www.criptored.upm.es/guiateoria/gt_m001a.htmhttp://www.criptored.upm.es/guiateoria/gt_m001a.htmhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www.criptored.upm.es/guiateoria/gt_m001a.htm -
7/25/2019 tema1Ciberbuling
26/31
Ciberbullying
TEMA 1 Lo + recomendado
No dejes de ver
Seguridad Informtica: Digital Latches for your Digital Life SI2014
Interesante conferencia de Chema Alonso en el XCongreso de la Ingeniera Informtica
de la Comunidad Valenciana.
Accede al vdeo a travs del aula virtual o desde la siguiente direccin web:
https://www.youtube.com/watch?v=84bO7CUn_xU
Hotmail y la seguridad en el correo electrnico
Charla sobre seguridad en Hotmail impartida por Chema Alonso en la Gira Up To Secure
2011.
Accede al vdeo a travs del aula virtual o desde la siguiente direccin web:
https://www.youtube.com/watch?v=1F7RUeHFifg
26
https://www.youtube.com/watch?v=84bO7CUn_xUhttps://www.youtube.com/watch?v=84bO7CUn_xUhttps://www.youtube.com/watch?v=1F7RUeHFifghttps://www.youtube.com/watch?v=1F7RUeHFifghttps://www.youtube.com/watch?v=1F7RUeHFifghttps://www.youtube.com/watch?v=84bO7CUn_xU -
7/25/2019 tema1Ciberbuling
27/31
-
7/25/2019 tema1Ciberbuling
28/31
Ciberbullying
TEMA 1 + Informacin
Bibliografa
Areitio, J. (2008). Seguridad de la Informacin. Redes, informtica y sistemas de
informacin. Madrid: Paraninfo.
Caballero, P. (2002).Introduccin a la Criptografa(2 ed.). Madrid: Ra-Ma.
Cariacedo, J. (2004).Seguridad en redes telemticas. Madrid: McGraw Hill.
Fster, A., De la Gua, D., Hernndez, L., Montoya, F. y Muoz, J. (2004). Tcnicas
Criptogrficas de Proteccin de Datos(3 ed.). Madrid: Ra-Ma.
Menezes, A. J., Oorsschof, P. y Vanstone, S. (1996).Handbook of Applied Cryptography.
CRC Press. Recuperado dehttp://cacr.uwaterloo.ca/hac/
Pastor, J. y Sarasa, M. A. (1998). Criptografa Digital. Prensas Universitarias de
Zaragoza.
Schneier, B. (1996).Applied Cryptography. Protocols, Algorithms, and Source Code in
C. (2 ed.). John Wiley & Sons, Inc.
Stallings, W. (2003). Cryptography and Network Security. Principles and Practice(3
ed.). Prentice Hall International Editions.
28
http://cacr.uwaterloo.ca/hac/http://cacr.uwaterloo.ca/hac/http://cacr.uwaterloo.ca/hac/http://cacr.uwaterloo.ca/hac/ -
7/25/2019 tema1Ciberbuling
29/31
Ciberbullying
TEMA 1 Test
Test
1.Las siglas TIC hacen referencia a:
A. Tecnologas de la informtica y las computadoras.B. Tecnologas de la informacin y las computadoras.
C. Tecnologas de la informacin y las comunicaciones.
D. Todas las respuestas son incorrectas.
2.La seguridad informtica abarca una gran cantidad de soluciones que tienen como
objetivo prioritario:
A. Que la informacin tratada en un sistema informtico determinado sea
protegida.
B. Que la informacin tratada en un sistema informtico determinado sea ntegra.
C. Que la informacin tratada en un sistema informtico determinado sea no
repudiada.
D. Todas las respuestas son correctas.
3.Cul es un tipo de troyano:
A. Worm.
B.Dialer.
C.Adware.
D.Spyware.
4.Un scriptes:
A. Cdigo malicioso creado con la finalidad de aprovechar fallos o vulnerabilidades
de los sistemas informticos para poder actuar con total libertad dentro del sistema
informtico atacado.
B.Softwareintroducido en los equipos informticos despus de que un atacante
haya conseguido hacerse con el control del sistema.
C. Cdigos escritos en cualquier lenguaje de programacin que tienen como
finalidad la realizacin de acciones no deseadas en el equipo informtico
generalmente por medio del navegador o del correo electrnico.
D.Softwareque bloquea el acceso al equipo por parte del usuario, mostrando un
mensaje que conmina al usuario a pagar un determinado precio para rescatar el
control de su equipo.
29
-
7/25/2019 tema1Ciberbuling
30/31
Ciberbullying
TEMA 1 Test
5.La consistencia es que:
A. La informacin solo puede ser accedida por aquel que est autorizado.
B. La informacin no puede ser eliminada o modificada sin el oportuno permiso o
autorizacin.
C. La informacin debe encontrarse disponible, siempre que sea necesario.
D. Se debe garantizar que todas las operaciones realizadas sobre la informacin se
comportan de acuerdo con lo esperado.
6.Los sistemas de firma digital se basan en:
A. La criptografa.
B. El encapsulado de informacin.
C. La disponibilidad.
D. La integridad.
7.El protocolo SSL se caracteriza por que en la URL de nuestro navegador nos sale:
A. Http.
B. Un candado cerrado.
C. Https.
D. Todas las respuestas son incorrectas.
8.Una medida de seguridad interna es:
A. Copias de seguridad.
B.Firewall.
C. Redes privadas virtuales.
D. Todas las respuestas son correctas.
9.Una medida de seguridad perimetral es:
A. Copias de seguridad.
B. Registros y auditoras.
C.Firewall.
D. Todas las respuestas son correctas.
30
-
7/25/2019 tema1Ciberbuling
31/31
Ciberbullying
10. En las redes sociales debemos:
A. Evitar publicar ningn tipo de informacin sensible y confidencial as como
publicar imgenes propias y de familiares.
B. Procurar configurar el perfil de modo que este no sea pblico.
C. No responder a las solicitudes de desconocidos.
D. Todas las respuestas son correctas.