curso práctico online de protección, privacidad y

Cursopracticoonline

deproteccion,privacidadyseguridad

delainformacion(C.O.P.P.S.)

Por Guillermo García Núñez.

Ingeniero Superior en Informática de Sistemas y Redes.

Dpto. de Sistemas Informáticos y Computación (DSIC)

Universidad Politécnica de Valencia.

Email: [email protected] / [email protected]

Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)

2 | P á g i n a


3 | P á g i n a

Tema 1: La información debe ser protegida

Introducción

Durante la última década hemos visto como un problema de gestión y administración

documental como era proteger los archivos de una empresa y aquellos informes que contenían

datos de sus clientes, se convertía en una auténtica pesadilla a todos los niveles.

El concepto de que la información considerada fundamental dentro de una empresa pasara

a un servidor (ordenador central) donde pudiéramos consultar todo el “conocimiento” existente

para llevar a cabo nuevos proyectos aprovechando la experiencia y los datos obtenidos por otros

compañeros se ha quedado desfasado.

Hemos pasado de almacenar la información importante en un servidor u ordenador

principal, a tener muchos ordenadores con información valiosa, que son capaces de distribuirla,

propagarla, acceder a ella, modificarla y borrarla.

Los usuarios almacenamos nuestros documentos, trabajos, informes, análisis y proyectos

en todos los recovecos existentes de los discos duros de nuestros ordenadores (y cuando digo

ordenador, puede ser cualquier dispositivo electrónico: Smartphone, tablets, pendrives, USB…).


4 | P á g i n a

Muchas veces ni siquiera sabemos en qué carpetas o directorios terminan nuestros

documentos dentro de un solo ordenador o equipo (imagínate cuando son varios programas y

diferentes equipos), pues cada programa ofrece una ubicación por defecto para almacenarlos y

ésta ubicación cambia entre diferentes versiones del sistema operativo (Windows XP, Windows 7,

…); algunos generan copias de seguridad que tampoco sabemos dónde están realmente o cuando

desaparecerán; a veces versiones diferentes de esos documentos terminan en carpetas temporales

donde permanecen para siempre, y mientras, poco a poco, se van comiendo el espacio de nuestro

disco duro o de la memoria del dispositivo electrónico.

Por si fuera poco, un equipo informático estándar de 1993 podía almacenar unos 240

Megabytes de datos y hoy, en el 2016 puede llegar a 2.097.152 Mbytes. Su capacidad se ha

incrementado por más de 8.000, es decir, un crecimiento cercano al 50% anual.

La aparición de nuevos dispositivos móviles, la necesidad de acceder a la información desde

múltiples lugares y el hecho de que la mayoría de nosotros trabajamos desde varias ubicaciones y

queremos tener acceso completo a nuestros documentos y datos desde cualquier ordenador, ya

sea portátil, portable, estación de trabajo, servidor o mediante conexión remota, ha convertido a

algo que parecía fácil, proteger nuestros datos, en una operación de riesgo.

La aparición de múltiples herramientas de sincronización a través de Internet como

Dropbox o el almacenamiento en la nube (cloud computing) ha trasladado parte del problema a los

grandes centros de datos, que dependiendo de su ubicación en el mundo pueden ser espiados por

los gobiernos y dónde nuestros datos no están siempre protegidos frente a un acceso indebido por

parte de las mismas personas que administran los servidores de dichos centros.


5 | P á g i n a

En la imagen superior vemos a un grupo de dispositivos como tablets, portátiles, PC, etc…

todos ellos mantienen la misma información y se sincronizan a través de un servicio en Internet.

Dado que dicho servicio puede estar en cualquier parte del mundo y normalmente está duplicado o

triplicado en varios centros de datos del mundo, decimos que está en la nube. En este caso

nuestros datos se almacenan de forma centralizada en algún lugar de Internet (normalmente varios

centros de datos repartidos por todo el mundo). Aquí confiamos en la seguridad ofrecida por estas

empresas. Como ejemplo más conocido tendríamos a Dropbox entre otros.

Otra opción es NO almacenar nuestros datos en los equipos informáticos y usar algún

espacio compartido como pueda ser Google Drive, OneDrive o MegaCloud.


6 | P á g i n a

El abaratamiento de la tecnología, así como la facilidad con la que se comunican e integran

unos aparatos con otros, nos ha hecho pensar en los ordenadores y todos los dispositivos

electrónicos que se interconectan a él o entre ellos como si fueran simples electrodomésticos,

como si nuestra vivienda tuviera algunos muebles más. Pero lo cierto, es que cuando la paranoia

afectó a las empresas, nadie preveía que el problema también terminaría por afectarnos a nivel

personal.

Los ordenadores se han convertido en algo valioso en lo que depositamos nuestra

confianza. Esa confianza genera una cadena de valor, por la cual él nos sirve y nosotros a cambio,

llenamos su disco duro de proyectos, estudios de mercado, bases de datos de clientes, información

sobre proveedores o personal de la empresa, agendas, emails, documentos, acuerdos comerciales,

certificados, videos, fotos y un sinfín de cosas más que nos hacen dependientes de la máquina.

Al principio le otorgamos una dosis de confianza limitada, lo dedicamos a tareas concretas,

pero luego vamos confiando en él, deseamos desarrollar todas sus prestaciones y termina por

convertirse en nuestra memoria (agendas, emails, recordatorios, reuniones), nuestra máquina de

escribir, en quien nos informa de lo que pasa en el mundo (blogs, periódicos, sitios web, news), de

cómo organizamos las vacaciones (vuelos, viajes, hoteles, mapas, recomendaciones de viaje,

equipaje), en nuestro representante legal (banca online, certificados digitales para acceder a las

Administraciones Públicas), cuida las relaciones familiares y de amistad (twitter, Facebook, …) ,nos

hace sentirnos parte de algo más grande (Google Maps), nos permite trabajar desde casa,

establecer relaciones profesionales (Linkedin), compartir conocimiento y un largo etcétera.

Son muchas las funciones que le vamos otorgando y muy poco lo que hacemos para

protegerlo. Es cuestión de tiempo que terminemos en un aprieto. Sobre todo cuando el mayor

riesgo hoy en día consiste en que dicha información termine en las manos equivocadas y ya no hay

un ordenador que se precie, que no esté conectado a alguna red.

Si uno tiene pareja y está varios años con esa persona, seguramente llegará a conocer

muchos detalles íntimos nuestros. ¿Qué puede saber nuestro ordenador después de cinco, seis,


7 | P á g i n a

siete o incluso más años con nosotros? ¿Qué sucede con esos dispositivos electrónicos que

comparte toda la familia?

Es cierto que un dispositivo electrónico no habla, y no confiesa lo que sabe, pero todo está

guardado en su disco duro o su memoria flash. Hace algunos años, se hizo un estudio sobre los

riesgos a los que se someten los ciudadanos al no saber cuidar, proteger y/o destruir la información

adecuadamente. Dos estudiantes del MIT adquirieron por Internet y en tiendas de segunda mano

discos duros a bajo precio. Luego intentaron recuperar la información con herramientas especiales.

En muchos casos, sus anteriores propietarios no habían borrado los discos duros, y en el resto, que

sí lo había hecho, el proceso se había efectuado de forma inadecuada.

El resultado fue que obtuvieron desde datos de cuentas bancarias, hasta información sobre

tarjetas de crédito, declaraciones de renta, y un sinfín de cosas más. Algunas de ellas

comprometedoras en aspectos de carácter privado y personal; y otras, peligrosas desde el punto de

vista de la entidad a la que había pertenecido la persona propietaria del ordenador en cuestión.

Con esto vemos, que no basta con protegernos de la pérdida de la información, sino que en

caso de pérdida, debemos asegurarnos que otros no puedan acceder a ella. Y siempre que un

equipo quede obsoleto, debemos asegurarnos que todos los datos han sido, no borrados, sino

destruidos, porque en caso contrario, pueden ser recuperados.

La pérdida de información puede afectar a la credibilidad de nuestra empresa. Puede

suponer que los clientes pierdan la confianza que tienen en nosotros y sobretodo, que decidan

demandarnos o reclamarnos daños y perjuicios.

Normalmente los mayores riesgos no vienen por el daño que supone perder información

valiosa, sino cuando la misma cae en manos inadecuadas. Las empresas de mayor tamaño tienen

normalmente mayores volúmenes de información, pero también una mayor percepción del riesgo

que supone perderla, lo que reduce la probabilidad de pérdida. Sin embargo, cuando se produce

suele ser muy importante. Es por eso que estas empresas establecen políticas de seguridad,

procedimientos y procesos para el tratamiento de toda su información.

Un ejemplo reciente de pérdida de información muy grave ha sido el relacionado con Sony

y las videoconsolas Playstation y que posteriormente se ha repetido.

El acceso no autorizado a información confidencial puede darse cuando se pierde un equipo

o éste es robado y por tanto la información que contiene está en perfecto estado de uso; o cuando

no destruimos o controlamos adecuadamente los medios donde la misma se almacena.

Por ejemplo, las copias de seguridad de nuestros datos deben ser vigiladas, debería ser

difícil identificar lo que contiene cada CD, DVD, cinta magnética o disco duro externo para alguien

diferente a nosotros mismos; y sería recomendable que hiciera falta una clave/contraseña para

acceder a dicha información.

Al retirar hardware viejo, deberíamos cerciorarnos de no dejar información de ningún tipo

en el disco duro ni memorias, porque con las herramientas apropiadas (muchas son gratuitas) se

pueden recuperar archivos borrados, informes y copias de documentos parciales, así como

contraseñas, archivos de configuración, de registro, etc.


8 | P á g i n a

Ejemplos prácticos de pérdida de información y efectos que produce

Normalmente debemos separar lo que significa perder información, es decir, cuando algún

dispositivo donde almacenamos datos y archivos se rompe, se traspapela en nuestra casa u oficina,

o lo borramos por accidente del hecho de que nuestra información no se pierda pero quede

temporalmente accesible a otras personas que no deberían leerla. A veces estas personas pueden

curiosear, leer los archivos, hacerse una copia de los mismos para mirarlos con calma o incluso

simplemente llevarse los originales. En este segundo caso, tengamos copias o no de nuestros datos,

y podamos recuperar los originales o no, hemos incurrido en un riesgo, porque nuestra información

ha caído en manos de otras personas o existe el riesgo de que lo haya hecho.

Por ejemplo, si perdemos la cartera y luego aparece, probablemente miraremos y

vigilaremos durante una temporada cualquier movimiento o cargo extraño de nuestra tarjeta

crédito, o pediremos una nueva. Eso lo hacemos porque durante algún tiempo no la llevamos

encima y no sabemos lo que se hizo con ella.

Es lo mismo que hacemos cuando nos roban el coche o perdemos el DNI y presentamos una

denuncia. Se trata de hacer constar que durante ese tiempo nosotros no somos los responsables de

lo que haya pasado con nuestro coche ni de cumplir los acuerdos o contratos que se hayan podido

firmar o falsificar haciéndose pasar por nosotros y presentando un DNI manipulado.

A continuación tenemos varios ejemplos en los que sin comprobar debidamente los

dispositivos y la información que contienen, nos deshacemos de ellos. En estos casos de ejemplo,

somos conscientes de que nos hemos deshecho del dispositivo, aunque no hayamos verificado

primero su contenido y por tanto, hemos incurrido en un riesgo de pérdida de información.

También en caso de robo, pérdida o extravío seríamos conscientes del riesgo de pérdida de

información. Veamos algunos ejemplos.


9 | P á g i n a

Ejemplos de riesgo de pérdida de información consciente

1) Nos despistamos unos instantes en algún lugar público y alguien se lleva nuestro ordenador

portátil. Esto también puede suceder si nos hemos ausentado un momento de algún lugar

que creímos que podía ser considerado seguro. El portátil puede contener información

bancaria, emails, fotos familiares, videos personales, proyectos o trabajos de empresa, etc.

2) Tiramos nuestro viejo ordenador a la basura que a lo mejor hace un par de años que está

cogiendo polvo en el trastero.

3) En el estudio hay decenas de CD y DVD amontonados sobre la mesa. Un día nos cansamos y

decidimos tirarlos todos a la basura sin más. No recordamos lo que contienen siquiera.

4) Como tenemos varios ordenadores, usamos lápices USB o discos duros portátiles para

guardar todos nuestros documentos. Dicho aparatito siempre va de un lado a otro y en él

llevamos toda nuestra información. Un día perdemos uno de estos lápices y digo uno

porque conforme los llenamos solemos comprar más.

5) El ordenador se cae al suelo, se nos cae en la piscina, se quema por falta de refrigeración o

por estar funcionando en entornos demasiado calurosos. La cuestión principal es que el

equipo queda dañado. No sabemos si el disco duro con los datos también lo estará.

Consecuencias

1) Nos despistamos unos instantes y alguien se lleva nuestro portátil….

a. En Europa dos tercios de las pymes que operan con portátiles han sufrido robo de

alguno de ellos; en el 2005, se robaron 750.000 portátiles en el mundo y el 97% de

los portátiles robados nunca fue recuperado. Se calcula que se perdieron más de 93

millones de registros de información personal. En EEUU desaparece un portátil por

minuto.

b. Es importante que la información quede inaccesible si el portátil es robado, debe ir

protegida por contraseña.

c. Las fotos pueden usarse para conocer los objetos de valor que hay en nuestra casa

antes de entrar a robar. Las fotos son datos privados y personales que pueden dar

mucha información de nuestro entorno, familia y amigos.

d. Los emails almacenados en el portátil pueden emplearse contra nosotros y ser

enviados a personas que normalmente no nos dirán que los han recibido.

2) Tiramos nuestro viejo ordenador a la basura.

a. Como en el caso anterior el disco duro puede ser revisado en busca de información

de carácter privado o personal. Las fotos de nuestros hijos pueden rodar por

Internet en manos de pederastas; la información bancaria puede dar acceso a

nuestro dinero a personas no autorizadas; el acceso a nuestra agenda de

direcciones puede darles una pista sobre cuáles son nuestros amigos o relaciones y

cómo se llaman.

b. Es necesario llevar a cabo un borrado intensivo sobre el disco duro del ordenador

antes de tirarlo, incluso podemos tirar el resto del ordenador, pero tras el borrado

completo del disco, podríamos decidir destruirlo físicamente.


10 | P á g i n a

3) En el estudio hay decenas de CD y DVD de hace años. Un día nos cansamos y decidimos

tirarlos todos a la basura sin más.

a. En alguno de los CD hay información sobre una tesis doctoral que nunca

terminamos que puede ser plagiada; las declaraciones de la renta de hace unos

años, unos informes sobre la salud de algunos pacientes a los que atendimos en el

pasado, etc.

b. Lo recomendable es destruir físicamente los CD y DVD, dado que sería muy lento

mirarlos todos para decidir que se puede tirar a la basura y qué no. Es más rápido

destruir los soportes ópticos con una destructora especial. Las hay que permiten

destruir documentos de papel y soportes ópticos. A falta de ella, sirven unas

buenas tijeras de cortar chapa o plancha metálica.

4) Como tenemos varios ordenadores, usamos lápices USB…. y uno de ellos se pierde.

a. Perdemos toda la información de utilidad que hay dentro.

b. Es recomendable ocultar o proteger la información de estos discos y lápices USB

mediante contraseña. El propio dispositivo puede tener mecanismos que hagan

esto, o bien podemos emplear programas gratuitos para hacerlo.

5) El ordenador se cae al suelo …

a. Si decidimos no reparar el equipo, no podemos tirarlo sin más. Si el disco duro

funciona debemos extraerlo y hacerle un borrado seguro o destruirlo.

¿Recordamos todas las webs a las que hemos accedido desde ese PC? ¿Y todos los

documentos que almacena o almacenó alguna vez? ¿Hicimos compras desde el

equipo?

En los ejemplos anteriores, éramos conscientes de que perdíamos información o podíamos

pensar en que en nuestros viejos dispositivos deberían haber sido revisados. Pero existen otras

situaciones en las que la mayoría de personas no piensan que estén asumiendo riesgo alguno.


11 | P á g i n a

Ejemplos de pérdida de información inconsciente

1) Llevamos nuestro ordenador al Servicio de Asistencia Técnica (SAT) para que le echen un

vistazo porque algo no funciona bien. Como buenos usuarios y expertos profesionales

hemos hecho una copia de todo lo que contenía el PC por si algo se perdiera, aunque

naturalmente lo llevamos a reparar con todos nuestros datos dentro.

2) Estamos en la oficina, en nuestro estudio de casa, en la biblioteca o en un café. Salimos un

momento al baño, a almorzar, a atender a un cliente y nuestro ordenador se queda abierto,

con la sesión iniciada y sin protección.

3) Le dejamos el ordenador o la Tablet a un amigo este fin de semana.

4) Tenemos un troyano metido en el ordenador (un programa que se propaga a través de

Internet por fallos de seguridad). Para cuando nos damos cuenta, no sabemos si alguien

puede haber accedido a nuestro disco duro y si el troyano estará enviando datos o archivos

a algún sistema remoto o a alguien.

5) Nos vamos de vacaciones, salimos del hotel y dejamos nuestro portátil en la habitación. La

inmensa mayoría de las veces no sucede nada, que sepamos.

Consecuencias

1) A veces en los S.A.T. antes de comenzar a revisar nuestro ordenador realiza una copia de

seguridad del disco duro por seguridad y para evitar riesgos al cliente. Esta copia puede

quedarse en el servicio técnico por tiempo indefinido sin que nadie se acuerde de borrarla.

2) Con los ordenadores conectados a Internet, al email y con los medios disponibles para

copiar o compartir recursos (archivos y carpetas), en unos pocos segundos alguna persona

malintencionada puede llevarse datos de un ordenador. Los datos deben estar protegidos

cuando no se estén usando.

3) Nunca debemos dejar equipos que contengan datos sensibles. Podemos confiar en alguien,

pero nadie garantiza que sepa lo necesario como para seguir ciertas normas básicas de

seguridad y que sus errores no nos salpiquen.

4) Por eso es necesario tener un buen antivirus y firewall en el ordenador; además de separar

el ordenador de casa del que tenemos en el trabajo y tener claro que todos los

ordenadores de la casa no pueden dejarse a cualquier persona, ni siquiera a veces entre

miembros de la familia.

5) Es aconsejable cerrar las maletas de viaje de algún modo y proteger a los ordenadores para

que los mismos no puedan encenderse sin introducir una clave.

En todos los casos anteriores, no tendríamos constancia de que se ha accedido a nuestros

datos, qué cosas se han copiado, de qué tipo de información disponen o quien se la ha llevado.


12 | P á g i n a

Aparte del riesgo de perderla, existe otro peor, el de que se propague y termine en malas manos, o

que pueda suponer un riesgo para otras empresas, familiares o clientes, y que luego podrían

denunciarnos al verse afectados.

La Ley Orgánica de Protección de Datos (LOPD)

Perder información porque la misma quede destruida, se borre o se pierda puede ser muy

gravoso, sobre todo si supone rehacer lo que había ya hecho, si ha supuesto años de trabajo, o si

afecta o arruina nuestras relaciones con clientes, proveedores, etc. Puede incluso que el daño se

traslade a otros y que afectemos a negocios o personas ajenas. Puede que decidan iniciar

reclamaciones o acciones legales contra nosotros. Pero todavía es peor el hecho de que estos datos

caigan en manos de terceros no autorizados.

En España, la LOPD protege los datos de carácter personal de personas físicas, no siendo

aplicable a personas jurídicas (corporaciones, sociedades, asociaciones o fundaciones) que no

gozarán de las garantías de dicha ley. La LOPD excluye explícitamente los datos que almacenemos

como personas físicas en el ejercicio de actividades personales o domésticas.

La LOPD está pensada para salvaguardar la seguridad y privacidad que tenemos como

personas en nuestro ámbito privado y personal frente a empresas y/o profesionales y en el caso

extremo, frente a otros particulares que divulguen información personal nuestra sin nuestra

autorización, o de las personas a nuestro cargo (por ejemplo, hijos menores de edad).

De hecho, la Agencia Española de Protección de Datos, encargada de velar porque la Ley

LOPD 15/1999 del 13 de diciembre está haciendo campañas de publicidad para informar al

ciudadano y ha publicado una guía con información y consejos sobre nuestro derecho fundamental

de protección de los datos y sobre cómo proteger de manera responsable los que tengamos en

nuestro poder sobre los demás.

Los datos susceptibles de ser protegidos por la ley son aquellos que se refieren a cualquier

aspecto parcial de nuestra persona y que puedan ser almacenados en algún soporte, permitiendo

posteriormente su tratamiento. Es posible que estos datos por sí solos no representen un riesgo

para la persona, pero asociándolos o cruzándolos con otras bases de datos, pueden revelar más

información de la que había inicialmente.

Además se consideran datos especialmente protegidos el origen racial, la salud, la vida

sexual, ideología, afiliación sindical, religión y creencias.

Las sanciones por revelar esta información pueden llegar a ser muy graves y alcanzar los

600.000 euros. Recientemente se han cambiado los límites de las multas (aumentándolas a un

mínimo de 900 euros en los casos leves, reduciéndolas a un mínimo de 40.000 euros en los casos

graves y manteniendo el importe mínimo de las muy graves en 300.000 euros).

También se ha creado la figura del apercibimiento, que permite no ser sancionado si es la

primera vez que el infractor ha provocado un riesgo para terceras personas sin que haya habido

mayores consecuencias.


13 | P á g i n a

Pero veamos qué quiere decir todo esto:

Caso real 1: Un dentista tiene una clínica y un día su hijo se queda esperando a que el padre

termine de atender a sus clientes. El pequeño se pone a jugar en el ordenador de su padre e instala

unos juegos que ha descargado de Internet. Los mismos contienen programas maliciosos que

posteriormente envían información desde el ordenador a Internet. Tiempo más tarde un cliente

denuncia al dentista porque en su expediente médico (que se almacenaba en el citado ordenador)

constaba que el paciente tenía sida y ese hecho ha llegado a conocimiento de la empresa donde

trabajaba, por lo que ha sido despedido. Por lo visto muchos de los datos que se almacenaban en

ese ordenador han terminado en Internet. Es un caso real aunque pueda parecer forzado.

Caso real 2: Una pareja se divorcia. El marido avisa al banco de tal hecho y le comunica su

nueva dirección. El banco por error, durante un año entero, continúa enviando las cartas a la

dirección de su ex mujer, donde vivía antes. El día del juicio la mujer conoce con exactitud el

capital, fondos, acciones y cuentas de su ex marido y le reclama lo que considera oportuno. El

banco es denunciado y se le impone una multa de 600.000 € por tratarse de una infracción muy

grave. Lo cierto es que muchos bancos disponen de más de una base de datos con información de

sus clientes y se actualizan muy de tarde en tarde. Cualquiera puede comprobarlo. Basta abrir una

cuenta en una sucursal bancaria y dar como dirección la de nuestros padres, un par de meses más

tarde, cambiamos la dirección a la de nuestra vivienda, durante varios meses las cartas seguirán

llegando a la dirección de nuestros padres. Más aún, el derecho a que aquellas entidades que nos

prestan servicios mantengan sus datos actualizados es una obligación penada con multas y

sanciones considerables en LOPD.

Como empresa es evidente que no podemos permitirnos el derecho de perder los datos de

nuestros clientes por el riesgo a enfrentarnos a reclamaciones, denuncias o a las sanciones

tipificadas por la LOPD. No podemos por tanto arriesgarnos a que dicha información se pierda o

sea accedida por personas no autorizadas para su tratamiento.

Es por eso que debemos garantizar que en caso de extravío o robo, la misma queda

inaccesible para personal no autorizado.

Es habitual que comerciales, ejecutivos, directivos o profesionales, dispongan de bases de

datos en sus portátiles con información precisa de clientes, proveedores, pacientes, etc. En caso de

pérdida o robo toda esa información puede terminar en las manos equivocadas.


14 | P á g i n a

Tema 2: Políticas de seguridad sencillas

En la práctica, evitar que nuestros equipos no se pierdan, que no se dañen, que no sean

espiados o que nunca nos los roben, es utópico. Tampoco es realista pretender que los

ordenadores no se infecten por virus, gusanos, o troyanos o no sean atacados de cualquier otra

manera, pues continuamente aparecen nuevos fallos de seguridad en los navegadores web, los

sistemas operativos y en otras muchas herramientas y programas de los que empleamos a diario y

que hacen vulnerables a nuestros equipos.

Muchos fabricantes reconocen incluso fallos y vulnerabilidades críticas en sus aplicaciones

para los que no buscan soluciones por el alto coste que supone o la complejidad de la

vulnerabilidad. Simplemente optan por desactivar alguna opción/prestación de su programa para

así evitar el riesgo y si es dicha vulnerabilidad es descubierta en una versión antigua de un

programa, normalmente no la reparan.

No podemos protegernos en todos los casos y contra cualquier eventualidad, pero

podemos fijarnos unas reglas para reducir considerablemente los riesgos a los que nos vemos

expuestos.

Las políticas de seguridad no son más que reglas para gestionar la información. Sin ellas no

hay limitaciones para los usuarios, ni procedimientos para acceder a ella, y por tanto, es imposible

protegerla. Hacen falta reglas de uso bien conocidas y respetadas por todos.

Por otra parte, siempre será más fácil proteger los propios datos, que a fin de cuentas, es lo

que se copia y a lo que se accede, que los ordenadores donde se almacenan los archivos,

documentos y contenidos. Pensemos que los programas presentan muchos fallos de seguridad y

pueden sufrir ataques. Sin embargo, los archivos se protegen mediante algoritmos matemáticos de

cifrado que se prueban y verifican durante mucho tiempo y de los que no salen versiones todos los

meses, como sí sucede con la mayoría de las aplicaciones de consumo más habituales, de las que

salen actualizaciones continuamente.

Y nunca debemos olvidar, que los usuarios conocen y valoran la información que necesitan

para realizar su trabajo y que en buena medida ellos han ayudado a generarla. Es por tanto un bien

del que pueden entender su valor y apreciarlo.

Además, los datos se concentran en unos pocos lugares y los ordenadores desde los que

operamos pueden ser muchos. Puede incluso que no seamos los encargados de su gestión o que no

tengamos permisos para modificar u optimizar su configuración de seguridad. Es por eso que no

deberíamos almacenar los datos dentro de nuestros ordenadores, sino en discos, lápices USB,

memorias o dispositivos externos extraíbles cifrados y bien protegidos. Eso no impide tener una

copia local dentro del ordenador (de trabajo habitual), de toda esa información, y que también

estará cifrada y disponer de copias de seguridad o almacenarla también en algún servidor central.

Tampoco deberíamos introducir nuestros discos, memorias o lápices USB en ordenadores

que no son nuestros o están en instalaciones donde no son revisados periódicamente o no gozan

de protección alguna. Algunos de estos dispositivos pueden protegerse contra escritura, de modo

que no pueda borrarse la información o ser sobrescrita. Pero podría ser copiada y enviada por la


15 | P á g i n a

red a otros ordenadores, por lo que es recomendable tener otro medio de almacenamiento con

clave diferente para transportar información que debamos introducir en esos PC, de modo que solo

llevemos allí lo indispensable y no una copia completa de nuestros datos.

Jamás teclearemos contraseñas para acceder a nuestros archivos en ordenadores que no

sean seguros y de total confianza, pues algún programa podría tomar nota de la clave.

Tampoco dejaremos ningún dispositivo conectado durante más tiempo del estrictamente

necesario para acceder a la información que contiene, sobre todo porque para acceder al archivo,

habremos introducido nuestra clave y otros archivos pueden estar también en disposición de ser

accedidos, con lo que en caso de que el ordenador tenga virus o troyanos, estos programas

malignos podrían acceder al resto de archivos mientras nosotros accedemos a uno de ellos. Este

riesgo lo eliminamos mediante cifrado de doble nivel, cosa que veremos en otro capítulo.

Utilizar datos cifrados y protegidos electrónicamente en la nube también puede ser una

buena opción, pero es más compleja de lo que parece. En primer lugar porque aunque los datos se

transmitan cifrados hasta el centro de datos, habremos de creernos lo que nos dice la empresa

respecto a que allí son almacenados cifrados, cosa que no podemos ver ni comprobar

personalmente.

Tampoco sabremos el nivel de seguridad del algoritmo de cifrado en el centro de datos y si

está a prueba de todo, o es un sistema débil pensado para que los gobiernos y agencias

gubernamentales de países como EEUU puedan quebrarlos fácilmente y revisar la información.

Entre las ventajas de centrar la protección en los datos, está la nada despreciable ventaja

de que dicha protección puede llegar a ser completamente transparente al usuario, que son

soluciones flexibles, que pueden personalizarse y adaptarse al modo de trabajo más acorde con los

hábitos del usuario. Y que siempre será más fácil definir actitudes ante ciertos comportamientos

que convertirlos a todos en expertos informáticos.

No podemos pretender que el usuario se involucre en la seguridad del ordenador desde el

punto de vista del sistema operativo, los antivirus y demás herramientas para protegerlos porque

no lo protegen frente a todas las amenazas y porque probablemente no dominará su manejo en la

amplitud necesaria; pero sí que podemos exigirle que siga unas normas de funcionamiento y un

protocolo de acceso a la información que dificulte su pérdida, robo o acceso no autorizado.

Los usuarios saben proteger algo tangible (y la información se almacena en medios

tangibles). El usuario puede emplear el mismo sentido común que emplea para proteger otros

elementos físicos. Un protocolo de seguridad siempre será más inteligible que la tecnología que

gobierna los ordenadores (y que además cambia muy deprisa).

Actualmente han empezado a aparecer medios de almacenamiento (lápices USB

inteligentes) que las empresa pueden desactivar en caso de robo o pérdida, siendo posible

desautorizar al empleado que lo usa (su clave de acceso deja de funcionar en ese soporte y la

información queda inaccesible), o simplemente asegurar su borrado tan pronto el dispositivo

vuelva a ser utilizado.


16 | P á g i n a

También es posible detectar la sustracción de dichos dispositivos de las instalaciones de la

empresa o incluso definir áreas dentro del dispositivo con diferentes niveles de seguridad para

acceder a la información.

Como último detalle resaltar que toda empresa debería saber separar la información crítica

(la que le permite operar día a día) de la estratégica. Proteger la información implica en primer

lugar clasificarla, conocer su volumen y el nivel de actividad al que está sometida (cuantas

modificaciones sufre).

En definitiva, donde siempre podremos ejercer mayor control es en los propios datos, que a

fin de cuentas los creamos o modificamos nosotros y donde podremos separar aquella información

que es crítica de la que no lo es.

Nuestro objetivo por tanto, será primero acotar los riesgos y mejorar la seguridad aplicando

ciertas normas básicas; después nos centraremos en qué medios deseamos proteger y dónde

solemos emplearlos; y por último habremos de precisar que datos son susceptibles de ser cifrados,

encriptados o protegidos. Entonces solamente nos faltará establecer las herramientas que nos

sirven para ello.

Respecto a la ubicación de la información

Desde el punto de vista de un coleccionista puede ser un desastre perder una gran

colección de música, películas o fotos de famosos, pero en ningún caso es el tipo de información

que normalmente querríamos proteger evitando así que alguien pudiera acceder a ella. Nuestro

objetivo será preservar la información de carácter personal o empresarial que no deseamos que

pueda ser accedida por personas no autorizadas.

Está claro que hay material que en caso de pérdida puede ser difícil de recuperar o de

volver a recopilar, pero es información que está disponible para el público y que por tanto no tiene

sentido proteger frente al acceso no autorizado o el robo. Tal vez sí tenga sentido hacer copias de

seguridad o backups para evitar el riesgo de perderlo todo, pero este tipo de material no es el

objeto de este curso.

Debemos tener claro que hay diferentes tipos de información y que toda no se puede

almacenar conjuntamente. No parece lógico guardar en la misma carpeta la declaración de la renta,

varios emails privados y unas presentaciones sobre la economía española. Son temas distintos,

tanto a nivel conceptual como respecto al nivel de seguridad que requieren.

Es aconsejable por tanto reunir la información que queramos preservar, de tal modo que

conozcamos el volumen (espacio) que ocupa y podamos organizarla por áreas. Si la información

está reunida en un solo lugar, será más fácil disponer de copias, sabiendo que cada copia o backup

contiene todo lo que para nosotros es valioso y al mismo tiempo será más fácil protegerla.

Evidentemente siempre podremos copiar una pequeña parte de esa información en un CD, DVD o

lápiz USB y llevárnosla a casa para trabajar en el portátil; modificar los documentos y archivos el fin


17 | P á g i n a

de semana y al volver a la oficina el lunes, para copiar entonces los archivos modificados en el lugar

donde almacenamos toda la información.

Podemos y debemos trabajar con partes más pequeñas y llevarnos solo lo estrictamente

necesario donde haga falta; si la información está estructurada será más fácil hacer esto. De otro

modo, terminaremos por llevárnoslo todo en un disco duro extraíble porque será más rápido que ir

escarbando y buscando previamente cuales son los archivos que necesitaremos y que están

repartidos por múltiples ubicaciones.

Reorganizar nuestra información al principio puede ser un trabajo arduo, pero

independientemente de que apliquemos seguridad o no a nuestros archivos, siempre deberíamos

haberla tenido organizada para que localizar algo fuera más sencillo.

Por otra parte, el hecho de que estén organizados implica importantes ventajas en la

sincronización que veremos más adelante, en otro capítulo. No es la primera vez que tenemos

todos nuestros datos en el ordenador de casa y en el del trabajo, hacemos cambios en algunos

documentos en uno de los dos lugares y luego queremos copiarlos al otro, pero no sabemos con

exactitud cuáles son los archivos que hemos modificado en los últimos días.

Disponer de información organizada nos permite dada una carpeta o directorio que

contiene otros muchos, proteger solamente uno de esos subdirectorios y no el resto. Dentro de un

área podremos clasificar como importante y protegido una sub rama y dejar el resto de la

información accesible y sin protección alguna.

Con archivos y documentos nuevos, es fácil proceder a su organización, porque empezamos

desde cero. Por eso lo más adecuado será ir protegiendo todo lo que sea de nueva creación y poco

a poco revisar lo antiguo. En ocasiones si la documentación antigua no ocupa demasiado espacio

(2-8 Gigabytes) y sus archivos no son demasiado grandes, puede merecer la pena protegerlo todo y

no clasificar esta información por el tiempo que supone revisarla a estas alturas, cuando además

una parte puede ser muy antigua y solo la guardamos a modo de historial.

En vez de que todo el personal de una empresa pueda acceder a recursos compartidos en

un servidor y puedan modificar o leer el contenido de documentos y archivos, puede ser

recomendable que tengan que conectarse a un ordenador específico para acceder a determinada

documentación. Eso evitará que puedan copiarla al ordenador local, robarla o incluso imprimirla.

En una empresa no toda la información puede estar disponible para todos y es

recomendable que quede registrado quien ha accedido a ella. No es la primera vez que un

comercial que se va a visitar a los clientes de Málaga se lleva un archivo con la lista de todos los

clientes de España de su empresa. ¿Para qué? Si solo va a visitar a los de Málaga. Además el archivo

no se protege y cualquiera que robe el ordenador tendrá acceso a la lista completa de clientes.


18 | P á g i n a

Tema 3: Riesgos del transporte de la información

Los dispositivos que empleamos hoy en día para transportar nuestros datos, ya sean

tarjetas de memoria, discos duros, lápices USB, discos ópticos, móviles, portátiles, etcétera,

empiezan a acumular demasiada información sobre nosotros y nuestro trabajo.

Es fácil y cómodo trasladar las fotos que hemos hecho durante los últimos diez años en uno

de estos dispositivos, además de una copia completa de la base de datos de contabilidad, la

numeración de las tarjetas de crédito de cien mil clientes y muchas otras cosas, y todo eso y mucho

más, cabe en algo tan pequeño como un micro disco o un lápiz USB (pendrive).

Hoy podemos preservar y copiar multitud de informes, documentos, archivos y bases de

datos en cualquiera de los medios de almacenamiento existentes, todos ellos a nuestro alcance y a

precios muy asequibles. Sin embargo, la pérdida de cualquiera de estos dispositivos, puede

causarnos un perjuicio considerable.

El escaso espacio necesario para almacenar todo lo que hemos comentado, ha hecho que la

facilidad con la que puede robarse o perderse dicha información se incremente exponencialmente.

Los dispositivos son pequeños, pueden meterse en cualquier sitio y caerse por cualquier agujero.

Por si fuera poco, su capacidad no hace más que crecer, por lo que cada vez es más cómodo llevarlo

“todo” encima. La capacidad de almacenamiento de los dispositivos electrónicos ha crecido

históricamente a tasas del 40 al 50% anual.

Hasta la fecha, solo algunos casos graves de pérdida de información se han hecho públicos,

pero se sabe que son muchos más de los que se han descubierto o informado. La mayoría de las

veces la información perdida o robada no fue recuperada. En casi todos los casos la misma no iba

cifrada ni protegida de manera alguna. Normalmente las empresas no quieren enfrentarse al

descrédito que supone reconocer que no están preparadas para este desafío.

Por citar algunos casos de pérdida de información, tenemos:

• Roban un portátil de General Electric con los datos de 50.000 empleados.

• Una empresa privada pierde los datos de 84.000 reclusos.

• La Bolsa castiga a Sony tras sufrir el mayor 'hackeo' de la historia.

• Segundo ataque a Sony Pictures

Algunas estadísticas:

• En Europa, dos tercios de las pymes que operan con portátiles han sufrido robo de

alguno de ellos.

• Un informe elaborado por Roberto Cabrera y Rommel García, socio director y

director de la práctica de Asesoría en IT respectivamente en KPMG México, dio a

conocer que en el mundo, de 2007 a junio de 2010 casi 250 millones de personas

fueron afectadas por “hackeos”, lo cual posicionó a este incidente como la primera

causante de fugas de información.


19 | P á g i n a

Y estamos pensando solamente en que las personas que transportaban sus datos, los

perdieron o fueron robados, pero no estaban intencionadamente llevándose información, lo que

supone otro problema que está obligando a las compañías a prohibir la entrada de estos

dispositivos en sus oficinas y a replantearse los hábitos de funcionamiento y las medidas de

seguridad. Pues hay empleados, que o bien por descontento o simplemente por enriquecerse han

sustraído información confidencial, a veces estratégica, de la empresa donde trabajaban.

Muchas empresas están cambiando sus políticas de seguridad y formando a sus empleados

sobre cómo proteger la información para que en caso de ser robada, no quede accesible. La

mayoría de las soluciones pasan por instalar algún tipo de software o programa que se encargue de

cifrar los datos del portátil, disco o lápiz USB con la intención de que no se pueda acceder a ellos sin

primero introducir una clave.

Entre las medidas básicas de seguridad para que los empleados no se lleven información

confidencial a casa o la roben, se están bloqueando los accesos físicos para intercambiar

información con los ordenadores, como los puertos USB, o bloqueando su configuración (proceso

de detección de dispositivos e instalación de los drivers oportunos), es decir, anulando el acceso

lógico de los dispositivos físicos y evitando por tanto que el ordenador detecte un nuevo CD

insertado, o la conexión de un dispositivo USB.

Puede que nuestro lápiz USB, disco duro portátil o memoria flash necesite una clave para

que pueda ser accedida, pero si la conectamos a nuestro PC e insertamos la clave, la información

queda disponible y un virus del propio equipo o alguna clase de malware podría robarla o

transmitirla por Internet. Por eso nunca debemos introducir nuestros dispositivos extraíbles con

datos preciados en cualquier ordenador que no sepamos a quien pertenece ni si está

adecuadamente protegido (programas antivirus, anti-spyware, etcétera) con el fin de reducir los

riesgos al máximo.

Es recomendable que nunca traslademos más datos de los necesarios y que empleemos

alguna herramienta o programa para proteger nuestros archivos, teniendo en cuenta que nos

ayudan a protegernos, siempre y cuando respetemos ciertas normas de uso, si no, no valen para

nada. El mejor sistema antirrobo del coche no funciona si dejamos que cualquiera se haga una

copia de las llaves; del mismo modo, dejarse un ordenador encendido con nuestros datos

disponibles mientras almorzamos, no es una buena idea.

Durante la utilización de algunas de estas herramientas para acceder por nuestra parte a los

datos cifrados o protegidos, es posible recuperar las claves que hemos tecleado y que protegen

nuestros datos. Incluso con el ordenador apagado y si lo hibernamos habitualmente, los restos del

fichero de hibernación, podrían emplearse para obtener las claves de cifrado.

Sería el caso por ejemplo de herramientas como Truecrypt o BitLocker. Bastaría con tener

nuestro ordenador en manos del ladrón o pirata el tiempo suficiente para efectuar esta operación,

y posteriormente podrían robarnos el USB para acceder a los datos, dado que ya tendrían la clave.

Normalmente, emplear un programa de cifrado para proteger nuestros datos supone que

tenemos que teclear la clave de acceso en ese mismo ordenador, por lo que si hay algún programa

malicioso instalado, podría obtenerla.


20 | P á g i n a

Proteger nuestros datos mediante un programa que cifra la información almacenada en el

medio extraíble o en el propio ordenador, es una solución software, que es normalmente la más

flexible y que puede aplicarse a distintos medios; aunque requiere ciertos conocimientos por parte

del usuario, por lo que algunas empresas o sectores prefieren soluciones más transparentes y que

requieran una formación previa mínima (es decir, prefieren una solución hardware).

En este curso, veremos las diferentes soluciones software, que son las más flexibles.

Como ejemplo más avanzado de cifrado hardware, tendríamos el USB Ironkey, un USB

donde los datos van cifrados y pueden ser bloqueados o destruidos cuando el dispositivo es forzado

o si la persona ha dejado de estar autorizada para emplearlo.

El administrador de la empresa puede gestionar estos dispositivos y el usuario, si

demuestra ser quien dice ser, puede recuperar sus datos incluso si ha olvidado su contraseña.

Además puede dársele al dispositivo la orden de destruirse para que la próxima vez que se

conecte a un ordenador deje de funcionar. Está claro que los lápices son de la empresa y es ésta

quien los gestiona, pues puede autorizar y desautorizar a los usuarios que los emplean, así como

desactivar y activar los dispositivos remotamente.

En el caso de portátiles, ya hace años que existe hardware capaz de cifrar todo el disco duro

y que al ser encendido el ordenador, solicita una clave o una huella digital para arrancar el sistema

operativo. Las soluciones que cifran completamente todo el disco no solamente se han

desarrollado para portátiles, también se venden kits que pueden conectarse en un ordenador

cualquiera entre el disco duro y la placa base del ordenador y cifran todo lo que se almacena en el

disco. Este tipo de soluciones están basadas en hardware específico y no suele ser necesario

instalar ningún programa.

Algunos fabricantes han desarrollado discos duros que al encenderse piden una clave antes

de que el disco duro aparezca como disponible en el sistema operativo y puedan verse sus datos. El

caso extremo es un disco duro donde la clave del mismo se introduce a través de un teclado en el

propio disco duro lo que evita que alguien averigüe la contraseña si se están capturando las

pulsaciones del teclado mediante algún programa espía. También existen otros que emplean una

pantalla táctil para introducir la clave.

Existen también lápices USB que van cifrados por hardware y que necesitan una clave que

debe introducirse antes de poder usarlos. Sin embargo, recientemente se ha sabido que algunos de

estos productos manufacturados por los mejores fabricantes de hardware del mercado, han

demostrado ser inseguros.

Es de esperar que algunos de los sistemas de seguridad que empleamos ahora, terminemos

por descubrir que no eran cien por cien seguros dentro de unos años. Esa cuestión puede ser

importante para una gran empresa que desea asegurar completamente sus datos. Sin embargo, lo

que pretende la mayoría de empresas y personas es que sus datos queden inaccesibles, no evitar

que los mejores expertos informáticos puedan accederlos.

Si la solución por la que hemos optado, es una solución hardware, es más difícil que cuando

se descubra una vulnerabilidad podamos subsanarla. Puede ser necesario tirar el hardware y


21 | P á g i n a

comprar otro o realizar operaciones complejas de actualización para que operen de nuevo al cien

por cien de seguridad.

En caso de que se trate de software, es decir, de programas o herramientas empleados

para proteger todo tipo de dispositivos, siempre podremos sustituirlos por otros o emplear

versiones más modernas de los mismos; y existe la posibilidad de combinar diferentes programas

para lograr una mayor seguridad, de modo que en caso de que uno de nuestros programas resulte

inseguro, si empleamos dos diferentes simultáneamente, nuestra información siga estando

protegida, pues ha caído el primer muro de protección, pero no todo está perdido.

Es interesante la posibilidad de combinar una solución hardware junto con otro software.

La integración de varias medidas de seguridad ofrece mayor resistencia y dificultad en caso de que

alguien intente acceder a lo que no le pertenece.

En general cualquiera de los sistemas de cifrado hardware o software de nivel medio será

suficiente. No pretendemos protegernos contra cualquier organismo, agencia, u organización

criminal, sino contra el extravío y robo de información corriente. O a lo mejor simplemente

queremos disponer del tiempo suficiente tras el robo, para que la información robada no pueda ser

utilizada contra nosotros.

Es lo que sucede cuando perdemos la tarjeta de crédito y la bloqueamos. El peligro reside

en el tiempo que pasa desde que la perdemos hasta que la bloqueamos. Posteriormente a su

bloqueo, la tarjeta está inutilizada. El problema viene cuando alguien compra con ella y nosotros

aún no nos hemos percatado de que la hemos perdido ni hemos realizado una llamada para

ordenar su bloqueo.


22 | P á g i n a

Tema 4: Internet y los riesgos para nuestro ordenador

Tanto en casa como en el trabajo, es habitual que compartamos el uso del ordenador. En

casa lo emplea nuestra pareja, nuestros hijos para hacer trabajos y quizás incluso algún familiar,

amigo o compañero. Y en el trabajo, cada vez es más común que los ordenadores que empleamos

no sean fijos, por lo que podemos intercambiarlos, emplearlos en juntas y reuniones, llevarlos de

viaje e incluso prestarlos.

Dado que la seguridad de cada ordenador no depende de una única persona, sino de todas

las que lo emplean, comprender los problemas que puede acarrear para todos su mal uso, es

fundamental.

La instalación de juegos piratas, programas de origen desconocido, aplicaciones

multimedia, software de descarga de películas y/o música, entraña riesgos. Si en el equipo termina

por entrar software malicioso, puede que nuestros documentos o datos terminen destruidos o sean

enviados a Internet, quedando expuestos donde menos podamos esperar, o accesibles a personas

que no deberían verlos.

En las empresas se añade un riesgo adicional al compartir equipamiento los empleados y es

que cualquiera puede acceder a los datos de otro. Es verdad que por defecto no es así, pero

también es cierto que muchos usuarios comparten carpetas indiscriminadamente con toda su

información o utilizan el ordenador con el usuario administrador, es decir con acceso total al

sistema operativo y a todo lo que el ordenador contiene.

Aunque protejamos y cifremos nuestros datos, no hemos de olvidar de que normalmente

teclearemos la clave en el ordenador, y si algún programa malicioso está tomando nota de todo lo

que hacemos, nuestra clave y la seguridad de nuestros datos se verá comprometida; del mismo

modo, mientras empleamos nuestros archivos y documentos, los datos están accesibles para

cualquiera que entre en el ordenador, que pueda controlarlo remotamente o que inicie una sesión

con otro usuario en el mismo equipo, por lo que debemos tenerlo en cuenta. Lo mejor, si vamos a

abandonar durante un buen rato nuestro puesto de trabajo, es dejar nuestros datos protegidos y

NO en estado accesible, como quedan tras introducir nuestra clave.

El simple hecho de que los ordenadores tengan conexión a Internet multiplica los riesgos de

que el equipo se infecte por un virus, un troyano, algún tipo de spyware, malware, etc. No es

interés de este curso definir según sus acciones cada uno de estos tipos de programas. Solamente

nos interesa saber que unos pretenden inutilizar nuestro ordenador, otros sirven para espiar lo que

hacemos en él o leer los documentos que contiene, y en otros casos, lo que se pretende es emplear

nuestra máquina remotamente, haciéndola parecer responsable de ataques o de envío de spam a

otros ordenadores repartidos por el mundo. En pocas palabras, que existe el riesgo de que borren o

accedan a los datos que almacenamos en nuestros equipos.

Precisamente por eso, y en un intento de aislar a los ordenadores de los datos que

emplean, a veces los datos se almacenan en servidores o medios extraíbles y no en el propio

ordenador local. El hecho de que los datos solo estén accesibles mientras nosotros trabajamos en el

ordenador, también dificulta que sean robados o accedidos.


23 | P á g i n a

Por otra parte, proteger nuestros datos y cifrarlos, los protege cuando los enviamos, los

transportamos o los copiamos, ya sea para duplicarlos o porque pretendemos generar una copia de

seguridad. Pero si lo que queremos es que permanezcan seguros todo el tiempo dentro de nuestro

ordenador, deberemos emplearlo con cuidado, protegerlo con un antivirus, un firewall y con alguna

aplicación contra el malware o el spyware que pudiera instalarse en nuestro equipo.

Estos programas aprovechan vulnerabilidades de nuestro sistema operativo (Windows XP,

Vista, Windows 7, Windows 8/8.1, Windows 10…), así como la instalación de juegos, utilidades,

emails falsos o enlaces a páginas que intentarán instalar programas perjudiciales en nuestro PC.

Algunos de estos programas pueden almacenar todo lo que escribimos con el teclado del

ordenador para luego enviarlo a su dueño o hacker informático; y eso puede incluir claves de email,

comentarios privados (en foros, chats, Facebook o redes sociales), datos de la tarjeta de crédito

cuando compramos por Internet (los tecleamos), etc.

Otros rastrean el disco buscando palabras clave en nuestros documentos o utilizan los

nombres de los mismos para localizar información que pueda considerarse valiosa para el atacante.

En otros casos, los programas empleados permiten que alguien se conecte directamente a

nuestro ordenador y acceda a lo que contiene como si estuviera delante de él.

Así pues, proteger los datos, también pasa por proteger los lugares desde los que

accedemos a ellos. Es por eso que datos críticos o muy personales no deberían ser introducidos

aunque fuera temporalmente en ordenadores que no sabemos cómo están siendo mantenidos o en

qué estado se encuentran.


24 | P á g i n a

Tema 5. Organizar mis datos y documentos: la información

Lugares donde se almacenan mis documentos.

Hasta Windows 2000 y pasando por todas las versiones anteriores de Windows de

Microsoft, era relativamente sencillo saber dónde guardábamos nuestros archivos y documentos.

Sin embargo posteriores versiones de Windows establecieron nuevas ubicaciones.

Podemos ver donde guarda Microsoft los documentos de un usuario abriendo la rama del

registro del usuario actual (HKEY_CURRENT_USER) y accediendo a la ruta siguiente:

\\HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders.

Para Windows XP

Para Windows Vista o Windows 7


25 | P á g i n a

NOTA IMPORTANTE: Para facilitar una mejor comprensión de este capítulo, recomiendo

ver primero los videos y luego continuar leyendo el manual.

En la primera captura de pantalla de la página anterior, hemos iniciado sesión como usuario

administrador y estamos viendo dónde este usuario almacena sus documentos, dicha información

se almacena en el Registro de Windows, donde se guarda toda la configuración del sistema

operativo Windows; en el segundo caso, vemos la configuración de Windows 7 para el usuario

actual (el que ha iniciado sesión en Windows 7), que es un tal “guillermogn” y que tiene otra

ubicación para los documentos.

Esta configuración, tanto para un usuario específico como para todos en general es posible

modificarla en el Registro de Windows, lo que permitiría por ejemplo cambiar la ruta donde se

almacena el escritorio del usuario Guillermo de C:\Usuarios\guillermogn\Escritorio a C:\Escritorio, o

D:\Escritorio por poner un ejemplo.

También podríamos establecer que los documentos del usuario Guillermo se guardaran por

defecto en la carpeta D:\guillermo\documentos y no en la ubicación por defecto

C:\users\guillermogn\Documents.

Para un usuario dado es posible establecer la ruta de su escritorio, de sus documentos, de

las descargas de Internet, de las fotos y videos y de la información temporal que crean otros

programas para el usuario.

En Windows XP toda la información de los usuarios se almacenaba bajo la carpeta

“C:\Document and Settings”, pero en Windows Vista, Windows 7, Windows 8 / 8.1 y Windows 10,

la información ha cambiado de ubicación y ahora está en “C:\Users” o “C:\Usuarios”.

Ubicaciones temporales

Cuando abrimos un email y lleva un adjunto, solemos pulsar con el botón izquierdo del

ratón dos veces sobre el mismo para abrirlo. A veces se trata de un documento pdf, otras veces son

imágenes, presentaciones o videos.

Son documentos que van codificados dentro del email y es necesario extraerlos del mismo

y pasarlos al disco duro para que puedan ser abiertos después por el programa correspondiente

(Adobe Reader, Microsoft Office, etc.).

Estos archivos se depositan en ubicaciones o carpetas temporales del disco duro, donde

vamos almacenando decenas sino centenares de documentos que siendo o no importantes, los

abrimos alguna vez, y ya no sabemos que quedó una copia temporal en algún lugar del disco duro.


26 | P á g i n a

Si pulsamos la tecla de Windows y sin soltarla, pulsamos la R de “Run”. Nos aparece una

pantalla similar a ésta:

Si escribimos “%TEMP%” y presionamos sobre aceptar, se abrirá la ubicación temporal que

Windows emplea para almacenar los documentos. Esta ubicación es específica para cada usuario,

como las que veíamos en el Registro de Windows y normalmente apunta a

“C:\Documents and Settings\yo_mismo\Configuración Local\Temp” en Windows XP

y a C:\Users\yo_mismo\AppData\Local\Temp” en Windows 7 y Windows posteriores,

teniendo en cuenta que “yo_mismo” se refiere al usuario que tiene iniciada sesión en el

ordenador en cada momento.

En esta ubicación temporal es donde se copian los archivos antes de ser abiertos o

ejecutados por parte de los navegadores web, desde dónde se abren los adjuntos de los emails

cuando hacemos doble clic sobre dichos archivos y dónde posteriormente quedarán para siempre

como archivos temporales fuera de uso.

También podemos observar que la carpeta AppData, dentro de Windows 7, en algunos

sitios aparece traducida como “Datos de Programa”. Lo mismo sucede con “C:\Users”, que puede

aparecer como “C:\Usuarios”.

Hay otros archivos temporales que se almacenan en C:\%WINDIR%\temp o en

C:\%SYSTEMROOT%\temp. Ambas rutas o directorios son normalmente C:\Windows\Temp, ya que

tanto %WINDIR% como %SYSTEMROOT% se refieren a la carpeta C:\Windows.

Es recomendable borrar los archivos y carpetas de las ubicaciones temporales con alguna

herramienta que no permita su recuperación posterior. Más adelante veremos cómo hacerlo.

También existen herramientas que simplemente suprimen todos los archivos temporales

generados por Windows, por los navegadores web, por el Microsoft Office y por todo tipo de

aplicaciones en su uso diario.


27 | P á g i n a

Sin embargo, este borrado de archivos temporales, que es bueno hacerlo para evitar que el

disco duro se vaya llenando y para que los archivos importantes a los que hemos accedido en los

últimos tiempos desaparezcan de dichas ubicaciones, debe ir acompañado de un borrado posterior

de todo el espacio libre del disco duro. Es decir, podemos borrar algo de manera convencional,

pero posteriormente hay que reescribir la antigua ubicación de esos datos en el disco duro para

tener la certeza de que los datos primigenios no pueden ser recuperados de ninguna manera.

La mayoría de herramientas que eliminan archivos temporales emplea varias técnicas:

1) Buscar en las localizaciones conocidas de almacenamiento de archivos temporales:

C:\Windows\Temp, C:\Windows, C:\Users\yo_mismo\AppData\Local\Temp…

2) Localizar archivos que por su extensión son identificados como poco importantes, como

puedan ser logs, informes de errores de aplicaciones, archivos de navegación por

Internet, actualizaciones, programas que son descargados para luego instalarse pero

donde la aplicación descargada se queda en el disco tras la instalación, etc.

3) Buscar archivos temporales de una lista conocida de aplicaciones que el programa

reconoce y que mira a ver si están instaladas en el ordenador.

Si pensamos en proteger nuestra privacidad, a nosotros nos interesa emplear herramientas

del tipo 1. Si lo que queremos es eliminar basura del disco duro y del sistema operativo, también

nos interesaran aplicaciones del tipo 2 y 3.

Las herramientas más interesantes suelen ser las que podemos llevar con nosotros a todas

partes en un disco portátil o un lápiz USB y que no necesitan instalación, es decir, las portables.

Y si además de borrar los archivos temporales de Windows, del usuario y de otras

aplicaciones, son capaces de hacerlo sobrescribiendo dicho espacio con datos aleatorios para que la

información original no pueda ser recuperada, mejor todavía.

También es importante que podamos borrar el rastro de los archivos o las tareas que

hemos ido ejecutando. Por ejemplo, si pulsamos la tecla de Windows y al mismo tiempo la tecla R,

podemos ejecutar un comando en el cuadro de diálogo que aparece, pero también podemos

desplegar el cuadro y ver todos los comandos que hemos lanzado anteriormente.

Si abrimos un documento de Word, podemos ver en el histórico de Microsoft Word, todos

los documentos abiertos recientemente y esto también pasa con los navegadores, que recuerdan

las páginas que hemos visitado (y a veces las claves que hemos introducido) y con otros programas

de edición o visualización de fotos, videos, etc.

Por lo que es probable que deseemos borrar de vez en cuando dicho historial, del mismo

modo que nos gusta borrar las conversaciones de WhatsApp cada cierto tiempo de nuestro móvil.


28 | P á g i n a

Búsquedas. Indexación de Documentos

Según la Real Academia Española de la Lengua, indexar es registrar ordenadamente datos e

informaciones para elaborar su índice. Y más concretamente, aplicado a los archivos y documentos

contenidos en nuestro ordenador, es el proceso que permite organizar la información para

posteriormente acceder a ella rápidamente.

Para ello se buscan las palabras clave de cada documento, que deben ser representativas y

congruentes con el contenido del mismo y que son las que supuestamente lo identificarán cuando

realicemos búsquedas por contenido.

En definitiva, buscaremos documentos con determinadas palabras clave y el motor de

búsqueda nos facilitará la lista de los documentos que contienen esas palabras, algo parecido a

cómo funcionan los buscadores Google, Yahoo, Ask o Bing en Internet.

Existen programas de indexación especializados en determinados tipos de documento o

formatos. Sin embargo, cualquier usuario medio deseará localizar palabras clave en archivos de

texto (txt), texto enriquecido (rtf), Word (doc/docx), Excel (xls/xlsx), Powerpoint (ppt/pptx),

Portable Document Format – PDF (Adobe Acrobat, pdf), emails, páginas web almacenadas y en

definitiva en todos los documentos que una suite ofimática pueda generar o cualquier otro que sea

susceptible de almacenar texto.

Ejemplos de estos programas son el DocFetcher, el Copernic Desktop Search, el Google

Desktop o el Insight Desktop Search entre otros, soportando todos ellos un gran abanico de

formatos y documentos (Estos son todos gratuitos, aunque en el caso de Copernic hay una versión

libre y otra más completa de pago).

Al final de este manual se enumeran las diferentes herramientas de indexación disponibles

ahora que el Google Desktop ha sido retirado por Google. La utilización de herramientas de

indexación no forma parte del objetivo de este curso.

La mayoría de los programas de indexación, están pensados para indexar el disco duro y

otros lugares en horas intempestivas, cuando el usuario no emplea el equipo. Pero eso presupone

que los datos están accesibles en el ordenador y el programa podrá acceder a ellos cuando lo desee

para actualizar los índices de palabras clave para archivos nuevos o modificados, lo que no es del

todo cierto si decidimos proteger nuestros archivos mediante cifrado empleando alguna clave.

Si ciframos o protegemos nuestros documentos con claves, el programa que realiza la

indización o indexación de esos archivos, no podrá realizar una indexación cuando le dé la gana,

pues el contenido del documento será inaccesible y por tanto no se indexará.

Esta es una desventaja de los sistemas de protección / cifrado de archivos. Aunque no nos

afectaría si pudiéramos indizar cuando quisiéramos hacerlo, pero dado que estos procesos suelen

ser costosos, nuestros archivos quedarían accesibles todo el tiempo que durara la indexación.


29 | P á g i n a

Algunos de los programas comentados antes, permiten indizar ya este tipo de documentos

cifrados y tienen opciones para indexar el contenido de cualquier medio de almacenamiento

susceptible de ser protegido, permitiendo ejecutar la herramienta cuando el usuario lo desee.

Un ejemplo de ello es DocFetcher, disponible en http://docfetcher.sourceforge.net, el cual

permite almacenar junto a nuestros documentos protegidos con clave, los índices generados por

esta herramienta y que pueden generarse cuando los documentos están accesibles.

La necesidad de localizar documentos en nuestros equipos, empleando palabras clave, se

vuelve perentoria cuando no tenemos los documentos correctamente organizados o se encuentran

distribuidos por múltiples carpetas y dispositivos de almacenamiento.

Con una correcta distribución de la información, dichas herramientas, solo serían

necesarias en entornos empresariales y no para el hogar, o la oficina del profesional o pyme.

Búsquedas sin indexación. Organizar nuestros documentos

Si la información está correctamente organizada y dividida, no será necesario la inmensa

mayoría de veces el utilizar un programa de indexación para localizar el documento que estamos

buscando mediante palabras clave.

Si hemos sabido separar la información por criterios afines a nuestra manera de trabajar,

siempre podremos restringir la búsqueda a una subclasificación o subcarpeta, haciendo incluso que

la búsqueda se restrinja lo suficiente para que localizar lo que estamos buscando no nos obligue a

recurrir a estas herramientas.

Si acotamos lo suficiente la ubicación del archivo, podríamos realizar una búsqueda del

contenido empleando alguna palabra clave del nombre del archivo, sin necesidad de mirar dentro

de él y sin recurrir a la indexación.

Aunque algunos usuarios guardan los documentos y archivos en las ubicaciones que por

defecto les ofrece Windows, otros los almacenan en su escritorio o en alguna carpeta del directorio

raíz del sistema.

Puede incluso que dichos documentos estén repartidos por diferentes discos duros (hay

quien emplea la unidad C: para el sistema operativo y tiene la D: para almacenar datos) o que estén

en varios medios extraíbles como lápices USB, memorias, etc.

En cualquier caso, lo primero será localizarlos, con el fin de poder reunir los documentos

dentro de nuestro equipo en una sola ubicación. Por otra parte, a veces nuestros documentos

ocupan barbaridades de espacio y necesitaremos saber qué tipos de archivos consumen más

espacio, por ejemplo cuanto consumen nuestros videos, o nuestras fotos.

Otra cuestión a la hora de organizarlos que será esencial es que unos pocos archivos

ocuparan normalmente una parte importante del espacio total, y deberemos decidir cuáles son

realmente importantes y por tanto, candidatos a ser protegidos / cifrados.


30 | P á g i n a

En nuestro proceso de búsqueda necesitaremos por tanto alguna aplicación que nos sirva

para rastrear dentro del disco, subdirectorio a subdirectorio, donde se acumulan los archivos. Y

otra que nos permita valorar el espacio ocupado por cada tipo de archivo. Ejemplos de estos

programas serían el Tree Size y el Windirstat respectivamente (y que veremos durante el curso).

Podemos emplear la propia herramienta de búsqueda de Windows para localizar archivos

grandes o muy grandes; o agruparlos por extensión si sabemos cuáles son los tipos de archivo más

habituales con los que trabajamos.

Los niveles de anidamiento en los que estructuramos la información no deberían superar

los cuatro o cinco. Puede parecer poco, pero si en la carpeta raíz tenemos cinco clasificaciones o

subdivisiones y en cada una de ellas hasta cinco más, y así sucesivamente hasta alcanzar cuatro o

cinco niveles de profundidad, podemos totalizar 3125 grupos o subcarpetas, cada una de las cuales

almacenaría un grupo de documentos muy específicos. En ningún caso somos capaces como

personas de organizar documentos en clasificaciones muy profundas, pues terminamos por repetir

clasificaciones o las mismas se vuelven tan específicas que dificultan la clasificación de cualquier

documento nuevo.

No tiene sentido realizar clasificaciones en conjuntos de archivos pequeños, por ejemplo

cuando en la clasificación actual haya veinte o treinta documentos. Sin embargo, si el número

crece, puede resultar interesante volver a dividirlos en subgrupos, creando para ello nuevas

subcarpetas o subdirectorios.

Los nombres de las carpetas deberían ser escuetos y representativos. Sin embargo los

nombres de los archivos deberían ser lo suficientemente descriptivos. Muchos formatos de archivo

permiten almacenar un campo descripción, que puede servir para luego realizar búsquedas por

contenido tras la indexación de los archivos.

Utilizar nombres de directorios largos es un error que puede pagarse caro, dado que una

ruta o path según la terminología de Microsoft tiene una longitud máxima y si el nombre de un

directorio es demasiado largo, puede que no podamos crear subcarpetas dentro, porque entonces

el número de caracteres que conformarían la ruta hasta ese directorio sería demasiado largo.


31 | P á g i n a

Duplicados. Herramientas de Gestión

Es habitual cuando trabajamos con varios ordenadores que tengamos alguno de los

documentos dos o más veces dentro del mismo ordenador, simplemente porque no sabemos

dónde está, y al no localizarlo, lo copiamos de nuevo desde alguna ubicación conocida. Esto sucede

con la música, los programas, los documentos recibidos por email, etc.

Tampoco es raro disponer de copias de nuestros datos en distintos dispositivos o medios

extraíbles, repitiendo muchas veces los contenidos o duplicando una y más veces miles de archivos,

lo que termina por despistarnos cuando deseamos saber cuál es la versión más reciente o donde se

encuentra.

Sería interesante eliminar toda la información redundante antes de protegerla, sobre todo

si alguno de estos archivos duplicados es grande. Localizar estos archivos puede ser difícil, sobre

todo si contienen lo mismo pero tienen distinta fecha, distinto nombre o están en medios de

almacenamiento diferentes (disco duro, USB, etc.).

Durante el curso, emplearemos algunas herramientas específicas para localizar duplicados.

En Internet podremos encontrar estas herramientas. Aunque lo difícil será como siempre

reconocer aquellas que destacan por sus prestaciones, son sencillas de usar y no están limitadas

(shareware o trialware), es decir, que se trata de herramientas completas y con una licencia que

nos permita al menos emplearlas para uso no comercial o personal.

Normalmente encontrar duplicados cuando tenemos la información organizada de manera

estructurada quiere decir varias cosas:

• Que tenemos un par de subdirectorios que tratan de cosas parecidas, ya que ambos

contienen algo de lo mismo. Deberíamos darnos cuenta que los nombres de estas

subcarpetas entran en conflicto y agruparlas o darles nombres más concisos que den

lugar a una mayor especialización.

• Puede ser que tengamos diferentes versiones de los mismos archivos, sería el caso en

que comparáramos los archivos por nombre y no por contenido. En este caso podemos

tener problemas si las versiones no están etiquetadas indicando su orden y cuál es la

más actualizada.

• Que realizamos las mismas tareas periódicamente y debemos poner cuidado en que

dichos archivos no se mezclen (mismo nombre), porque podríamos tener problemas en

la identificación del que estamos usando en este momento. Normalmente son

actividades y cometidos que se repiten a lo largo de los meses o de los años, por lo que

tiene la misma denominación. Es probable incluso que empleemos plantillas o para el

año en curso copiemos el mismo archivo de otro año y lo modifiquemos

convenientemente. Por ejemplo, si todos los años emitimos una factura para la misma

empresa, el documento PDF generado de la factura podría llamarse siempre

“Megaempresa SL.pdf”, aunque tuviéramos una carpeta llamada “2014” con la factura

de ese año, otra llamada “2015”, con la factura del 2015, etc.


32 | P á g i n a

La centralización de la información

Si pensamos en la cantidad de documentación, archivos, informes o documentos que

somos capaces de atesorar en nuestro hogar en poco tiempo, y la facilidad con la que podemos

adquirir, descargar y visualizar información desde Internet, vislumbramos varios problemas:

1) El primero es la organización y clasificación de toda esa información.

2) El segundo es el espacio para guardarla y la necesidad de ir añadiendo la nueva, sin

dejar de actualizar o borrar aquello que ya no sirve. Me refiero a la documentación que

generamos nosotros, a la que nos envían o dejan, a la que es resultado de digitalizar o

escanear documentos, a aquella que es resultado de analizar datos y obtener informes,

realizar presentaciones, rellenar tablas, etc.

3) Luego estaría el hecho de que querríamos acceder a ella desde varias ubicaciones como

pueden ser nuestra casa, la oficina, desde un portátil y en algunos casos desde

cualquier lugar del planeta.

4) Por último, tendremos también la necesidad de proteger lo que pueda ser importante,

privado o de acceso restringido (cuando no deseemos que todos puedan verlo, pero sí

algunos) y querremos contar con la capacidad de recuperarnos frente a desastres como

incendios, averías, robos, etc.

Resumiendo la información necesita que la organicemos, la clasifiquemos, la mantengamos

al día, que esté disponible cuando nos haga falta y desde donde queramos acceder a ella y que

podamos protegerla adecuadamente.

Esto, que de por sí es complejo para una persona o para una empresa pequeña,

imaginémoslo escalado a grandes empresas con muchas personas recibiendo y generando

información continuamente, y pensemos en cómo pueden solucionarlo.

Desde luego necesitarían saber dónde buscar información, habrían de saber cómo

contribuir para que lo que ellos han hecho, descubierto o aprendido sirva a otros; habría que

proporcionarles medios o protocolos que les permitieran buscar lo que necesitan y serían

necesarios distintos lugares para almacenar la información en función de quien accediera a la

misma, o diferentes niveles de seguridad cuando fuera de acceso restringido.

En cuanto a su disponibilidad, querremos que esté disponible siempre y desde cualquier

lugar (sistema distribuido); en cuanto a su gestión y organización nos convendrá que esté

centralizada.

La Wikipedia define un sistema de información como: 'Un sistema de información' (SI) es

un conjunto de elementos orientados al tratamiento y administración de datos e información,

organizados y listos para su posterior uso, generados para cubrir una necesidad (objetivo).

La tendencia actual en los sistemas de información es precisamente que la información esté

accesible desde muchos lugares y con muy diferentes dispositivos.


33 | P á g i n a

Sin embargo, si la información no se organiza a través de sistemas de información y

aplicaciones corporativas, proteger los datos, replicarlos o preservarlos, se vuelve muy difícil. De

hecho es probable que los usuarios terminen por tener muchos de los datos que emplean a diario

en sus ordenadores, convirtiéndose cada uno de ellos en gestor de su propio sistema de

información.

Es cierto que esta manera de funcionar maximiza el rendimiento en cada unidad de trabajo,

pero no responde a cuestiones como qué pasa si la persona desaparece, el ordenador es robado o

destruido, o qué sucede cuando todos necesitan cierta información y cada uno la mantiene por

cuenta propia, dando lugar a base de datos diferentes que se crearon para lo mismo pero donde

cada una presenta un grado de actualización distinto.

Frente a empresas con importantes volúmenes de datos, las aplicaciones corporativas y los

sistemas de información profesionales pueden ser la solución.

En empresas pequeñas o medianas, se puede recurrir a centralizar toda la información que

es común o útil a todo el personal de la empresa, y permitir la existencia en los ordenadores de los

usuarios, de archivos y documentos para trabajo propio, que deberán ir protegidos (si es necesario)

y desde donde realizaremos un proceso de copia de seguridad contra algún servidor que será el

encargado de proteger toda esa información. Así la información común será accesible en la intranet

de la empresa (conexión por red a algún servidor) y la que cada uno emplee en su ordenador

deberá guardarla en la ubicación correcta, que es precisamente desde donde el servidor la cogerá

para realizar las copias de seguridad programadas.

En cualquier caso, necesitaremos conocer qué tipo de información, qué documentos

archivos o ficheros necesita cada persona para hacer su trabajo antes de diseñar una política

aceptable para gestionar su seguridad.

La idea es que cada usuario reciba la formación adecuada sobre qué datos son sensibles y

debe protegerlos, qué datos deben almacenarse en el servidor central para que estén disponibles

para toda la empresa, dónde debe guardar los documentos que emplea a diario dentro de su

ordenador y cuáles son las normas de la empresa respecto a qué es lo que pueden llevarse o no a

casa para trabajar y bajo qué medidas de seguridad.

En definitiva, se necesita una guía que diga lo que debe hacerse, que debe conocer todo el

mundo, que debe estar disponible para todos desde el primer día que entran a trabajar y deben

contar con personal cualificado al que preguntarles cualquier duda que pueda surgirles.

Y si se trata de un usuario que trabaja en casa con sus datos personales o de un profesional

que tiene su despacho y varios equipos de trabajo, también necesitará centralizar la información,

aunque al final disponga de varias copias parciales o totales en los distintos equipos y haga copias

de seguridad con cierta frecuencia.


34 | P á g i n a

Tema 6. Réplicas, backups y sincronización de datos.

Introducción

Los medios donde almacenamos nuestros datos, como puedan ser discos duros, portátiles,

lápices USB, memorias flash, CD o DVD, pueden averiarse con el tiempo, ya sea por el uso, la mala

utilización o el envejecimiento. Si esto sucede nuestros datos pueden perderse.

A veces los datos se pierden de la manera más tonta, inesperada o surrealista. El

desconocimiento suele ser la peor causa.

Para evitarlo, se hace imprescindible tener varias copias de estos datos en varios lugares y

medios diferentes. Dependiendo de cómo se hagan estas copias y cual sea el objetivo de las

mismas, la información quedará protegida de una manera o de otra, teniendo cada sistema sus

pros y sus contras como vamos a ver.

La mayoría de la información que atesoramos es poco importante, pero siempre existe una

parte de la misma que es muy valiosa. Diferenciar qué parte es importante de cual lo es menos, o

simplemente no lo es, permitirá definir la periodicidad con la que debemos hacer esas copias de

seguridad. No tiene sentido y no sería prudente dar el mismo trato a todos los datos. Podría darse

el caso de que una copia completa de todo lo que almacena nuestro ordenador ocupara mucho

espacio y la hiciéramos una vez al mes por el tiempo que conlleva.

Sin embargo es probable que otros datos más críticos que actualizamos todos los días

merecieran una copia diaria, pero como simplemente hacemos una copia de todo, no podemos

hacerlo con esa asiduidad por el tiempo y el espacio que conlleva. Este sería un ejemplo de un mal

esquema de protección.

Aunque existen sistemas de copia que reducen al máximo lo copiado y solo copiarían los

archivos nuevos o modificados de ayer a hoy, eso supone otro tipo de problemas que veremos con

más detalle posteriormente.

Tampoco es muy inteligente almacenar las copias juntas, o al lado del ordenador que

contiene los datos. Si la sala se incendia o se inunda, se perderán todas las copias. Del mismo

modo, un disco duro externo que contiene una copia de los datos del ordenador al que está

siempre conectado puede averiarse junto al ordenador si sufre una fuerte subida de tensión. No

podemos tener el disco permanentemente conectado al PC, eso lo expone a algunos de los mismos

peligros que el ordenador puede sufrir. Además está el hecho de que ese disco externo puede

terminar por contener las últimas seis o siete copias de seguridad, por lo que si falla el disco, se

perderán todas las copias. El riesgo de perder una, es el riesgo de perderlas todas. Tendríamos que

tener otro disco u otro soporte alternativo para evitar este nuevo riesgo y hacer copias alternando

unas en un disco y las otras, en el otro.


35 | P á g i n a

Es importante que tras realizar una copia de seguridad, sobretodo de datos que cambian

muy poco con el tiempo y por tanto son copias que se realizan con una periodicidad baja, es decir

de semanas o meses, que verifiquemos que los datos se han grabado correctamente y procedamos

a restaurarlos en otro ordenador o disco. Las estadísticas dicen que más del 34% de las empresas

no verifican sus copias de seguridad, y que los que probaron, el 77% se encontró en algún

momento con una copia irrecuperable.

Es aconsejable que utilicemos las facilidades u opciones de que disponen las herramientas

de copia de seguridad o backup de daños y errores que puedan inutilizarlas. Naturalmente eso

conlleva que la copia ocupará un poco más de espacio, pero será más segura. Algunos programas

nos permitirán verificar que la copia se ha hecho correctamente tras terminar la grabación, puede

ser interesante hacerlo.

Muchas personas emplean discos regrabables, cintas o discos externos para realizar las

copias de seguridad, y posteriormente los van borrando y volviendo a grabar. Es aconsejable

conocer la vida útil de estos productos y no utilizarlos hasta agotarla, sino en torno al 60 o 70% de

su vida útil.

Otro soporte muy empleado en las empresas son las cintas. Aunque son bastante

resistentes, no suelen conservarse en las condiciones ideales de temperatura y humedad. Tampoco

las empresas limpian las unidades de cinta con regularidad, no mantienen una política clara de

renovación de cintas tras cierta periodicidad y no restauran su contenido con la asiduidad necesaria

para asegurar la validez de la cinta.

Utilizar medios ópticos regrabables como CD o DVD para las copias de seguridad es

peligroso. Los regrabables no son precisamente un buen ejemplo de garantía. A veces un DVD

grabado recientemente no puede luego leerse o solo funciona en determinadas unidades. Además

según la empresa están hechos de un material diferente y algunos lectores son muy sensibles al

material de fabricación del soporte, dado que la longitud de onda del láser para leerlos no es

exactamente la misma en todos ellos.

No es recomendable emplear programas para realizar las copias de seguridad que

dependan de la máquina, el hardware o el sistema operativo, sino que podamos instalarlos allí

donde hagan falta. Podríamos tener que recuperar archivos en un ordenador diferente al original o

en otro sistema diferente.

Aunque la mayoría de las pérdidas de datos son por daños en el medio de almacenamiento,

otras muchas se producen por errores o desconocimiento de las propias personas.

Las copias deben almacenarse en lugares seguros. Hay casos de robo o pérdida de

información intencionada donde los ladrones tuvieron más fácil el acceso a las copias de seguridad,

que no a los datos originales, dado que éstos estaban mucho mejor protegidos.

Es típico emplear programas o sistemas para realizar copias de seguridad que no cifran los

datos con una clave cuando los copian. Además solemos identificar muy bien los datos que están

contenidos en cada copia, junto con la fecha y su importancia. Dichos datos deberían ir codificados

para evitar que sean identificables fácilmente. Y si son necesarios varios discos y en un orden


36 | P á g i n a

concreto para restaurar la copia de los datos que hemos perdido, es necesario numerar de algún

modo los discos.

En ocasiones las copias no se almacenan en las condiciones adecuadas de temperatura, luz

o humedad lo que les degrada rápidamente y puede volver inaccesibles en caso de que perdamos

nuestra información. Algunas empresas almacenan sus servidores y sus copias de seguridad en el

sótano del edificio, craso error como aprendieron muchas empresas en Houston, EEUU, al llegar allí

la tormenta tropical Alison, en 2001.

Las empresas que pierden tras un desastre todos sus datos o buena parte de los que le son

críticos, quiebran. Las empresas, sin importar su tamaño, dependen cada vez más de los datos que

almacenan para realizar su trabajo. Frente a desastres naturales, es aconsejable tener copias de sus

datos críticos almacenados en servidores remotos. Para eso es necesario contratar a empresas que

aseguren nuestros datos en sus instalaciones, y que naturalmente estén lo bastante lejos como

para garantizar que el desastre que pueda afectarnos a nosotros, no dañe también su

infraestructura.

Una buena manera de que la copia de seguridad se haga siempre cuando corresponde, es

programarla. Si usted se asegura de que el ordenador esté encendido cuando la tarea debe

comenzar, la copia de seguridad se hará con la regularidad que usted pretendía. Para esto

necesitará un programa que se encargue de hacer la copia de seguridad, y usted tendrá que decirle

qué debe copiar, cuando y a dónde. Algunos permiten establecer una lista de carpetas y archivos a

copiar, el ritmo al que debe hacerse y la posibilidad de parar la tarea para continuarla

posteriormente o dejarla en segundo plano sin que afecte al usuario que emplea el ordenador.

Para empresas pequeñas o usuarios del hogar existen buenas soluciones a coste cero y que

con poco trabajo y un poco de organización gestionan sus datos adecuadamente.

Sin embargo en empresas medianas o grandes se necesita un sistema de control

centralizado de las copias de seguridad y mayores medidas de control sobre el ordenador de los

usuarios para no tener que recorrerlos todos uno a uno o lanzar copias individuales de los datos

contenidos en cada PC. Aquí ya se necesitan fuertes inversiones en herramientas capaces de

monitorizar cualquier fallo y avisar a la persona correspondiente.


37 | P á g i n a

Las copias de seguridad

Vulgarmente las copias de seguridad suelen consistir en un proceso en el cual una

herramienta que instalamos, recoge todos los documentos de un grupo de ubicaciones que le

hemos dado previamente, los empaqueta y los almacena en un medio.

Al final tenemos uno o más archivos que contienen toda la información con una descripción

de la copia de seguridad. Opcionalmente los datos contenidos en la copia pueden estar cifrados, es

decir, protegidos mediante alguna contraseña.

Si necesitamos recuperar algún archivo en concreto, tendremos que emplear el programa

con el que hicimos la copia de seguridad, y el programa buscará dentro del paquete donde está

toda la copia y nos recuperará el archivo o archivos seleccionados. Solo así podremos usarlos.

Así pues, mediante este sistema de copias de seguridad o backup, la información no está

disponible para su uso directo. Si queremos acceder a ella, es necesario recurrir al programa que

hizo la copia de seguridad. En este caso, un programa creado para un sistema operativo concreto,

nos obligaría a mantener una máquina siempre con ese sistema, si algún día deseáramos recuperar

copias de seguridad con datos muy antiguos. (Caso de Windows NT y 2000).

Por eso es recomendable emplear programas que aunque cambiemos los ordenadores

siempre puedan instalarse en equipos actuales y recuperar copias de seguridad antiguas. Por lo

tanto, es recomendable emplear programas de empresas que lo vayan actualizando y respalden el

producto.

Además de programar las copias de seguridad y de poder cifrarlas o protegerlas, estos

programas presentan la ventaja de que pueden realizar diferentes tipos de copia de seguridad.

Podemos realizar una copia completa de todos los datos o una copia de los datos nuevos desde la

última copia. Si las copias no son siempre copias completas de todos los archivos, puede que sea

necesario emplear varias copias de seguridad simultáneamente para recuperar los datos perdidos.

Esto evita emplear más espacio del estrictamente necesario para las copias de seguridad, pero hará

más lenta la recuperación de los datos.


38 | P á g i n a

Tipos de Backup

Los tipos de backup o copia de seguridad se apoyan en el denominado atributo de archivo,

que no es más que un flag (on/off) que tienen los archivos y que indica que el archivo ha sido

modificado recientemente. Podemos ver en las propiedades de cualquier archivo este atributo y si

está activo o no.

En principio hay cinco tipos de backup, dependiendo de cuando hagas las copias de

seguridad y de cómo quieres que sea después de rápido restaurar los archivos perdidos. Cuanto

más aprisa se haga la copia de seguridad, más costosa será luego la restauración.

Diario: Consiste en hacer una copia de seguridad de los ficheros cada día, pero solo de

aquellos que han cambiado a lo largo de ese día. En este caso el atributo de archivo de los ficheros

no se emplea. Se utiliza la fecha de modificación de los ficheros. Solo copiaremos los ficheros

modificados hoy.

Incremental: Se hace copia de los ficheros que han cambiado desde que se hizo la última

copia completa de los datos o desde la última copia incremental. Solo se copian los archivos con el

atributo archivo activo, lo que implica que esos archivos han sido modificados. Luego el atributo de

archivo se deja desactivado indicando que el archivo no se ha modificado desde que se ha hecho la

última copia incremental. Cuando el archivo vuelva a modificarse, el atributo de archivo del fichero

volverá a activarse indicando que ha sufrido cambios y que debe hacerse una copia de seguridad de

él en el siguiente backup.

Completa: Es una copia de seguridad de todos los archivos. Tras hacerse, se resetea el flag o

atributo de archivo de todos los ficheros copiados, dejándose desactivado e indicando así que los

archivos no han sido modificados desde la última copia de seguridad.

Diferencial: En esta copia de seguridad se copian los archivos que han sido modificados

desde la última copia completa. Sin embargo, en este caso el atributo de archivo de los ficheros no

se resetea, para que posteriores copias de seguridad vuelvan a incluirlo, ya que lo que pretendemos

es en caso de pérdida de datos tener que restaurar solamente la última copia completa y la última

diferencial.

Copia: Hacemos copia de los archives que queramos, es una copia de seguridad a medida,

pero sin afectar a las copias completas, incrementales, diarias o diferenciales. El atributo archivo no

se ve modificado y los demás tipos de backups pueden realizarse sin problemas sobre los mismos

datos y sin verse afectados.

En definitiva, que las copias de seguridad llamadas diarias o las llamadas simplemente “de

copia” no afectan a las demás. Se pueden hacer cuando se desee y son independientes de las otras.

Las incrementales sí que se relacionan entre ellas, y si las empleamos, para restaurar todos los

datos perdidos. Tendremos que emplean la última completa y todas las incrementales posteriores;

mientras que si empleamos las diferenciales, bastará con la última copia completa y la última

diferencial. Dependiendo de la estrategia empleada se tardará más o menos en recuperar los datos.


39 | P á g i n a

Tipo de copia Tiempo de copia Tiempo de recuperación

Completa El máximo El mínimo

Completa + incrementales Bajo Medio

Completa + Diferencial Medio Bajo

Diaria Muy Bajo Muy Alto

Réplicas

Las réplicas son copias totalmente operativas de nuestros datos. Es decir, si perdemos el

medio o dispositivo donde almacenábamos toda nuestra información y usamos éste, no notaríamos

la diferencia. Tenemos la misma estructura de archivos, documentos, mismos sistema de cifrado o

protección, la misma clave normalmente, y los archivos y datos que teníamos justo hasta el día

antes de perderlo todo.

Se trata pues de una copia de lo que teníamos, con la misma distribución y archivos, creada

en el caso más exagerado a partir de un “Copiar y Pegar” de todos los archivos del medio original

en otro lugar.

Mantener las réplicas supone dedicar más tiempo que a las copias de seguridad, dado que

es necesario que estén al día (normalmente se actualizan con una periodicidad mínima semanal) y

es un proceso que aunque se haga con algún programa, requiere asignarle un hueco en la agenda,

dado que somos nosotros los que conectamos otros medios al ordenador para transferir la

información nueva o modificada a la réplica.

Normalmente usaremos un programa llamado de sincronización que se encargará de

comprobar que todos los archivos que usamos en nuestro ordenador sean los mismos que en la

réplica. De no ser así, actualizará solo los ficheros necesarios en la réplica, para que siga siendo una

copia exacta de los datos originales.

Con este planteamiento los datos (la réplica) siempre está lista para ser accedida. Puede ser

un sustituto inmediato de los originales si éstos se han perdido. La copia de seguridad siempre será

mucho más rápida, porque se hará sobre los datos cambiados recientemente, será como una copia

diaria o incremental, con la diferencia que no habrá que dedicar tiempo de recuperación, pues la

réplica siempre presenta el aspecto de una copia completa pero accesible y lista para funcionar. En

casos extremos tenemos lo necesario, el trabajo de replicar la réplica sobre la ubicación de los

datos originales que se han perdido, puede posponerse incluso porque ya es posible trabajar

directamente.

Las herramientas que se encargan de mantener las réplicas y los datos originales idénticos

se llaman herramientas de sincronización y son las encargadas de cerciorarse de que todos los

archivos están en todas las réplicas y además que en caso de haber varias versiones del mismo

documento en diferentes réplicas, sabe cuál debe ser la buena y por tanto la que sobrescribirá a las

demás, pasando a tener todas las réplicas el mismo fichero.


40 | P á g i n a

La primera vez que hagamos una réplica de un conjunto de ficheros original, es

recomendable emplear alguna herramienta que maximice la transferencia y acelere el proceso. Es

el caso de Teracopy por ejemplo.

La copia de archivos muy grandes suele ser rápida y se alcanzan velocidades de

transferencia altas; sin embargo cuando escribimos miles de archivos de tamaño pequeño, la

velocidad decae mucho. Este caso es especialmente grave en memorias USB, donde al copiar

muchos archivos en estas memorias, la velocidad puede disminuir mucho y tardarse mucho tiempo

en copiar los archivos. Esto no se debe a lo que los mismos ocupan, sino al hecho de ser muchos y

de ser de pequeño tamaño.

En algunos casos los procesos de copia son muy largos, y el ordenador se ve bastante

ralentizado, por eso algunos programas como Copy Handler permiten fijar el ritmo o velocidad a

que se copian los datos y hacerlo en momentos en que nos convenga, así como comenzar, para si

es necesario y posteriormente continuar donde nos habíamos quedado.

Para trasladar o copiar muchos archivos a otros medios no es buena idea emplear a

Windows sin ninguna herramienta adicional, porque si algún archivo falla, la operativa se para,

mientras que en los programas comentados, no se para, se prosigue; y si algún archivo no ha

podido copiarse se nos avisa posteriormente, pero el proceso no se detiene.

La sincronización de archivos. Herramientas

Es el proceso en el cual dos o más ubicaciones terminan por contener los mismos archivos,

con la misma fecha, el mismo tamaño e idéntico contenido. Si se agrega, modifica o elimina un

archivo de una ubicación, el proceso de sincronización agregará, modificará o eliminará el mismo

archivo en las otras ubicaciones.

Este proceso puede modificarse permitiendo que solamente se añadan archivos y no se

produzcan borrados, o haciendo que versiones más viejas de archivos en una de las ubicaciones

sobrescriban a las versiones más recientes de la otra ubicación.

Aunque normalmente lo que pretenderemos es mantener las versiones más recientes y

trasladar los cambios del origen al destino, como pueda suceder cuando deban eliminarse archivos

en la ubicación de destino que han sido borrados en el origen o sobrescribir archivos en destino que

son más antiguos que los de la ubicación de origen.

Al hecho de que los cambios, como puedan ser el borrado de archivos, la creación de

nuevos archivos o el copiado de otros más recientes sobre los más antiguos, se haga desde una

ubicación a otra, se le llama sincronización de un vía o dirección.

Sin embargo, si también se permite que archivos borrados en la otra ubicación se borren en

el origen tras desaparecer de la ubicación destino, o que archivos nuevos o más recientes pasen

también a la ubicación de origen, estamos realizando una sincronización de dos vías.


41 | P á g i n a

Normalmente la sincronización será siempre de una vía. Aunque si queremos trasladar los

cambios en la otra dirección, deberemos tener cuidado de no modificar el mismo archivo en las dos

ubicaciones en momentos diferentes, porque ninguno de los dos reflejaría todos los cambios, y

como al final solo quedaría un archivo, siempre habríamos perdido información.

Las herramientas de sincronización normalmente comparan los ficheros por su tamaño,

fecha de modificación y en caso de que se le indique, byte por byte, es decir comparándolos

binariamente, opción ésta que no suele ser necesaria y que resulta mucho más lenta.

Los problemas surgen cuando copiamos archivos o carpetas entre particiones o discos que

emplean sistemas de archivos diferentes, como pueden ser FAT32 y NTFS. Eso hace a veces que la

fecha y hora de última modificación del mismo archivo, pueda ser diferente en ambos medios, a

pesar de tratarse del mismo archivo en el mismo estado. Esto se resuelve con una doble

sincronización como ya veremos.

Durante el curso veremos cómo es posible trabajar con archivos y ficheros que tenemos en

un dispositivo u ordenador, y luego sincronizar los cambios en otras unidades, dispositivos o

medios de almacenamiento. El objetivo es que cuando hagamos cambios, los mismos se trasladen a

las demás copias o réplicas que tenemos. La utilización de estas herramientas se lleva a cabo

cuando lo que pretendemos no es tener copias de seguridad de nuestros datos, sino copias

operativas, con las que podemos trabajar normalmente igual que con el medio original.

El concepto es el mismo que el del famoso maletín de algunas versiones antiguas de

Windows. La sincronización nos permite comprobar los cambios que hemos ido haciendo con el

tiempo, ver qué archivos hemos tocado, borrar en las demás réplicas lo que ya hemos borrado en la

que empleamos a diario y del mismo modo, añadir otros archivos, detectar modificaciones por

virus, por errores de escritura, etc.

Trabajar con el concepto de réplicas en vez de copias de seguridad, nos permitirá ver cuáles

son los datos más utilizados, se modifican más o tienen más relevancia para nuestra gestión diaria,

lo que en el futuro puede llevar a tratamientos diferenciados para una parte de la información.

La posibilidad de sincronizar la información en cualquier dirección, permite que nuestro

medio habitual de trabajo sean todos los ficheros de nuestro disco duro y mañana, antes de irnos

de viaje, y tras una sincronización, sean los de un lápiz USB. A la vuelta, podremos sincronizar los

datos nuevamente con nuestro disco duro y continuar trabajando con éste, cómo si durante el

viaje, los documentos modificados hubiesen sido los del PC que dejamos en la oficina.


42 | P á g i n a

Aspectos a tener en cuenta

En todos los casos en los que queremos mover información, y disponer de varias copias,

pretendemos garantizar la seguridad de la misma, es decir, que otros no puedan acceder a esos

datos de forma no autorizada. Por tanto, habrá de estar cifrada.

También pretendemos que la pérdida o robo de una copia no nos deje indefensos al

disponer de otras copias que serán operativas con carácter inmediato o que pueden estarlo en

poco tiempo.

Para asegurar la información, es necesario tenerla claramente reunida en pocos sitios y

como veremos, es posible utilizar más de un nivel de seguridad. Hablaremos pues, de capas.

Es recomendable que no sea fácil para otros identificar qué información está contenida en

cada sitio o si es relevante.

Deben existir controles automáticos que devuelvan la información a un estado seguro en

caso de error o descuido por parte de los usuarios (timeouts).

Copias de seguridad online

En el presente curso supondremos que la sincronización entre diferentes réplicas de la

información se hace dentro de la red de nuestra empresa u hogar, ya sea en servidores o

dispositivos externos que se conectan físicamente a un ordenador. De no ser así, y de tratarse de

redes inalámbricas o copias de seguridad hechas a través de proveedores que nos dan espacio de

almacenamiento remoto en Internet, es fundamental conocer que protocolos y algoritmos de

seguridad emplean cuando los datos salen de nuestro ordenador, no sea que puedan ser “vistos”

por otros.

No tiene mucho sentido hacer copias desde nuestro ordenador a otro a través de una red

inalámbrica no protegida y luego emplear en nuestros discos los mejores sistemas de protección de

datos.

Existen también herramientas de sincronización para Smartphone y para otros periféricos

capaces de almacenar información. Las empresas que almacenan en Internet copias de nuestros

datos emplean normalmente sus propios programas para darnos este servicio y cobran una

pequeña cantidad mínima que se va incrementando según el volumen de datos que queramos

proteger en sus servidores.

Almacenar los datos en Internet es una solución interesante para empresas, que permite

trasladar el problema de las copias de seguridad a otra empresa que es la encargada de proteger

nuestros datos. Aun así es importante conocer cómo lo hacen y tener en cuenta que si el volumen

de datos que queremos enviarles es muy importante, puede no ser tan rentable por el coste de

tener una línea de alta velocidad para enviársela.


43 | P á g i n a

Aunque los programas encargados de almacenar remotamente la información actúen como

herramientas de backup o de sincronización, en realidad estaremos siempre haciendo backups en

nuestro alojamiento remoto, independientemente de que la aplicación que los envíe al servidor de

la empresa pueda restaurarlos con criterios similares a los de una sincronización, o pueda

simplemente recuperar un grupo de archivos perdidos.

Es recomendable saber cómo se establece el canal seguro por Internet entre nuestro

ordenador y el servidor que recibe nuestros datos, así como el protocolo empleado. Normalmente

los datos se almacenan cifrados en la copia de seguridad remota y se envían ya en ese estado a

través del canal seguro. Ante cualquier duda, es mejor realizar una copia nosotros mismos de

nuestros datos, cifrarla y posteriormente enviarla, así siempre tendremos la seguridad de que está

cifrada y no es posible acceder a ella o a su contenido.


44 | P á g i n a

Tema 7. Contraseñas y frases de paso. Metodología y Herramientas.

El concepto de contraseña y frase de paso

Según la Wikipedia:

Una contraseña o clave (en inglés “password”) es una forma de autentificación que utiliza

información secreta para controlar el acceso hacia algún recurso. La contraseña normalmente debe

mantenerse en secreto ante aquellos a quienes no se les permite el acceso. A los que desean

acceder a la información se les solicita una clave; si conocen o no conocen la contraseña, se

concede o se niega el acceso a la información según sea el caso.

Un ejemplo de clave es el pin que introducimos en el cajero del banco para ver los

movimientos de la cuenta bancaria o sacar dinero. Aunque el pin está formado solamente por

cuatro dígitos, la tarjeta de crédito emplea un mecanismo de seguridad consistente en bloquear la

misma si se excede el número de intentos máximo permitido, que normalmente son tres. Esto evita

que el atacante intente acceder múltiples veces acertando con la combinación adecuada y

accediendo a la cuenta del cliente.

Una clave difícil (también de recordar) podría ser ésta: 5%&+/23mi0.-. Si las claves resultan

demasiado difíciles o los usuarios no pueden elegirlas ni adaptarlas a alguna forma que les resulte

fácil de recordar, terminarán por apuntarlas, por lo que la seguridad será mínima y se pervierte su

función, que es dificultar el acceso a los datos protegidos con ella.

Las claves no deben ser similares al nombre o login del usuario, ni tampoco deberían ser

parecidas al DNI, a la fecha de nacimiento, ni referirse a nombres de familiares, números de

teléfono, direcciones habituales, matrículas de coche, ni nada que pueda ser fácilmente

relacionado con nosotros.

Jamás deberían enviarse por Internet o el correo electrónico, y tampoco es conveniente

compartirlas. Cada persona debe tener las suyas propias. Del mismo modo deberíamos cambiarlas

con la frecuencia suficiente para que no las consideremos un trastorno (al menos una vez al año) y

para que no se nos haga tan difícil el recordar cada nueva contraseña que terminemos por

apuntarla en un papel o agenda.

Como veremos más adelante, cifrar o proteger archivos por contraseña tiene sus riesgos,

pues perder la contraseña implica perder la información que protege, es decir, no poder acceder

nunca más a dichos archivos. Aquí no habrá nadie que pueda ayudarnos.

Algunos programas permiten añadir una nueva contraseña para acceder a los datos

cifrados, pero preservando la validez de la anterior. De tal modo, que cuando llevamos bastante

tiempo con una contraseña y la cambiamos, si olvidamos la nueva, es más que probable que no se

nos haya olvidado la anterior, porque ha estado en uso un tiempo lo suficientemente largo.

Esta operativa garantiza el acceso a la información cifrada sin asumir el riesgo de olvidar la

clave y perder el acceso a nuestros archivos. Se trata de mantener una lista de contraseñas válidas,


45 | P á g i n a

de tal modo, que las N últimas pueden servirnos para acceder a nuestros datos protegidos. Lo que

sucede es que al haber varias contraseñas válidas es necesario que se cambien más veces en el

tiempo, porque cada contraseña permanece en la lista hasta que detrás de ella entran otras

adicionales y la sacan de la lista. Eso quiere decir que si la lista es de 3 contraseñas y la cambiamos

mensualmente, hasta pasado tres meses, la primera contraseña no deja de funcionar.

Otra posibilidad que emplean algunas personas es pensar una nueva contraseña antes de

que sea necesaria y repetirla todas las mañanas durante un par de semanas, para que se quede

definitivamente grabada en la memoria. Es entonces, cuando estando ya consolidada, puede ser

utilizada sin miedo a que se nos olvide justo al día siguiente de haberla cambiado.

Hay quien emplea un sencillo sistema de recuperación. Por ejemplo eligen la clave de un

libro, y recuerdan en qué libro y en qué página está la palabra clave. Si la olvidan, saben que podrán

utilizar el libro para recuperarla. Es lo mismo que emplear un libro como el “Refranero Español” y

recordar la página donde está la frase que hemos usado como clave.

Las palabras que solemos emplear como claves suelen tener sentido, al menos parcial. Por

ejemplo “0electrovalvula.+”, es por eso que dichas claves intentan ser descubiertas mediante

diccionario. Los hackers crean herramientas que intentan romper la seguridad de un archivo

cifrado, y las claves que van probando las sacan de un diccionario con algunas modificaciones. La

mayoría de usuarios ponen texto en el centro y añaden caracteres extraños o símbolos especiales al

principio o al final de la palabra.

Cita de la Wikipedia:

En una conferencia de seguridad en 2005, un experto de Microsoft declaró: "Creo que la

política sobre contraseñas debería decir que ustedes deban escribir sus contraseñas en algún

lugar para recordarlas posteriormente. Yo tengo 68 contraseñas diferentes. Si no se me permite

escribirlas en algún lugar, ¿adivinen que es lo que voy a hacer? Voy a usar la misma contraseña

en cada una de mis cuentas."

Como veremos existen programas que permiten proteger todas las contraseñas de un

usuario y acceder a ellas mediante una sola contraseña. Sin embargo, si decidimos emplear este

sistema, y trabajamos en alguna empresa, es recomendable pedir el visto bueno de la empresa

porque de no hacerlo, podríamos estar incumpliendo su política de seguridad, y eso podría ser

causa justificada de despido.

Una herramienta puede disponer de los mejores sistemas de cifrado, de los algoritmos más

complejos creados por los mejores matemáticos, pero si las contraseñas son débiles, ciertos

ataques que podrían durar siglos, pueden reducirse a días u horas para tener éxito.

El usuario es la parte principal del sistema de seguridad. Como suele decirse: “Una cadena

es tan fuerte como el más débil de sus eslabones.”. Por eso muchos sistemas operativos exigen al

usuario contraseñas de una longitud mínima, que incluyan ciertos caracteres o le impiden repetir

una contraseña para evitar que alterne varias conocidas y se vea obligado a emplear otras nuevas.


46 | P á g i n a

Para muchos usuarios, resulta difícil valorar si una contraseña que se les ha ocurrido, se

puede considerar demasiado fácil de averiguar o si tiene un nivel de seguridad aceptable, bueno o

excelente.

Existen aplicaciones en Internet que valoran estos aspectos. Por ejemplo, si introduzco mi

DNI seguido de mi nombre, el programa no sabe que esos son mis datos personales y es probable

que vea una secuencia de números y letras y la acepte como una buena contraseña.

Así que podemos utilizar estas herramientas como apoyo complementario a nuestro

sentido común. Del mismo modo, no es recomendable teclear en Internet la contraseña que

realmente queremos utilizar con el de que alguna de estas aplicaciones nos diga si es segura, pero

podemos teclear otra que sea parecida, y si es considerada segura, la que en verdad hemos

pensado inicialmente, también lo será. Por ejemplo, si deseo validar esta contraseña:

8134g00dw1ne, podemos probar esta otra: 9012woodd1rk.

En este enlace sobre Seguridad de las contraseñas, podemos ver el coste en tiempo de

quebrarlas (averiguarlas) en función de cómo estén compuestas: solo por números, por letras y

números, con símbolos especiales, etc.

Existen herramientas que permiten generar contraseñas automáticamente con criterios

técnicos de seguridad. Durante el curso veremos algunas como:

• https://identitysafe.norton.com/es/password-generator

• http://passcreator.com/sp

• http://passwordsgenerator.net/

• https://www.random.org/passwords/

• https://strongpasswordgenerator.com/

Al final del manual, se citan diversos sitios web donde probar la fortaleza de passwords y

frases de paso para ver si hemos elegido una adecuadamente. Aquí citamos algunos:

• http://password.es/comprobador/

• http://www.segu-info.com.ar/proteccion/fortaleza_clave.htm

• https://howsecureismypassword.net/

Las contraseñas difíciles de averiguar suelen ser largas, ininteligibles, formadas por todos

los signos que hay en el teclado de un ordenador, y no solo por letras y números. Ante la dificultad

que supone recordar una clave y el hecho de que los usuarios no suelen emplear claves largas (lo

recomendable son al menos 16 caracteres), nacieron las frases de paso, que por defecto, con la

misma longitud que una clave, son más inseguras, pero como suelen ser más largas y se busca que

sean fáciles de recordar, terminan por ser más seguras. Sobre todo si el usuario no termina por

apuntarlas debajo del teclado porque siempre se le olvida, como suele pasar con las contraseñas.

Así se intenta evitar el uso de contraseñas evidentes.

De hecho, muchos sistemas memorizan las claves que han ido dando históricamente los

usuarios con la intención de que no las repitan o de que solo cambien una letra o añadan cualquier

otro símbolo en un intento de no cambiarla.


47 | P á g i n a

Idealmente una clave o frase de paso larga, se hace más difícil de averiguar, dado que los

programas que intentan descifrar nuestras claves operan muchas veces por fuerza bruta, es decir,

probando todas las posibles combinaciones existentes de letras, números y demás símbolos del

teclado con la intención de averiguar nuestra clave.

Esta operación suele ser más fácil de lo que parece, porque muchos usuarios emplean

claves cortas, palabras conocidas o nombres propios. Así claves como “1234”, “qwerty”, “aaaaaa” y

demás ejemplos similares suelen ser bastante utilizados.

Algunos programas de hackers disponen de un diccionario, o de una lista conocida de

palabras que tienen una probabilidad alta de ser empleadas como claves. Esto acelera el proceso de

búsqueda para averiguar la password de determinado documento, acceso a una web, clave de

email, etc.

Las claves tienen que estar pensadas para el entorno en que van a ser utilizadas. Una clave

que teclearemos delante de mucha gente tiene que teclearse aprisa, no puede estar formada por

pulsaciones demasiado alejadas unas de otras, sobre todo si somos poco hábiles con el teclado.

Si solemos viajar y a veces empleamos teclados en español y otras veces en inglés debemos

tener en cuenta que el teclado español y el inglés no coinciden plenamente, así que contraseñas

con tildes, eñes, y símbolos que varíen su posición al seleccionar otro idioma, no son

recomendables.

Algunas personas prefieren no teclear la clave y emplean una tarjeta para acceder a los

datos de su ordenador, la huella dactilar o un lápiz USB especial que genera una clave y que nada

tiene que ver con uno normal. Sin embargo estos dispositivos tienen que ser configurados

previamente en esos ordenadores, por lo que se usan más bien en entornos de oficina o en equipos

propios con los que se viaja, no en instalaciones ajenas.

Algunos sistemas y programas permiten destruir la información tras un número

determinado de veces tecleando la clave erróneamente. Tal práctica no se recomienda

habitualmente si no se trata de entornos críticos.

Entre las frases de paso es típico emplear:

- Títulos de películas

- Citas famosas

- Eslóganes

- Frases hechas

- Títulos nobiliarios o nombres de personajes históricos

- Refranes populares

- Estribillos y trabalenguas.

- Títulos de obras literarias.

El problema que entraña esto es que los hackers pueden componer su propia base de datos

con toda esta información y construir un diccionario con la intención de acceder a sus datos. Es por

eso que no resulta recomendable emplear como frase de paso un texto llano, solo formado por


48 | P á g i n a

letras o números, sino que es recomendable sustituir espacios, vocales, alguna letra por algún

símbolo, y del mismo modo añadir algún dígito, alguna letra en mayúsculas o minúsculas, etc.

Longitud y complejidad.

Para el ser humano, recordar números o letras es relativamente fácil. No sucede lo mismo

con caracteres como &, {, }, ^, *, ¡, #, etc. La realidad es que nos cuesta hasta teclearlos o

localizarlos en el teclado. Dado que los programas de ataque empleados por los hackers siempre

disponen del ataque por fuerza bruta, es decir, de la posibilidad de emplear todas las posibles

combinaciones de estos símbolos para localizar nuestra clave, es recomendable que ésta sea

relativamente larga y no abarque solo cifras y letras.

Con el tiempo, y conforme va creciendo la capacidad de los ordenadores para generar y

probar claves contra un archivo cifrado, las claves deben ser más largas y más complejas. Eso

dificulta su memorización por parte de la persona. Además está el hecho de que las mismas deben

cambiarse cada cierto tiempo y eso también complica la tarea de recordarlas.

Preguntas recordatorio del tipo “¿Cuántos hijos tienes?”, no son tampoco adecuadas para

recordarnos la clave en caso de olvido. Pues pueden ser demasiado sencillas para el atacante. La

obligación de cambiar las claves para todo el personal tampoco suele seguirse, porque si se fija un

período máximo obligatorio es posible que a más de uno le expiren las contraseñas (pierdan su

validez) y no pueda o sepa cambiarlas.

En Internet existen hackers que tienen a su disposición redes de hasta 20.000 ordenadores.

Les basta con aprovechar algún fallo de seguridad en esos ordenadores para instalarles un

programa que les permita utilizar esos equipos remotamente cuando les interese cometer

fechorías. Una clave puede parecer difícil cuando trabajamos con un solo ordenador, pero

pensemos en que alguien pueda disponer instantáneamente de una red de 20.000 equipos, con

toda su potencia de cálculo, para romper nuestra clave en un instante dado. La potencia de cálculo

se multiplica y la dificultad para quebrar la clave disminuye.

Artículos recomendados sobre botnets:

• http://hipertextual.com/2011/06/tld4-la-botnet-indestructible

• http://www.elmundo.es/espana/2015/04/14/552c00e7268e3e11278b456c.html

• https://blog.kaspersky.es/simda-botnet-check/5781/

• http://www.welivesecurity.com/la-es/2015/02/27/desmantelan-botnet-ramnit-fbi-sigue-zeus/

• http://www.welivesecurity.com/la-es/2014/10/29/top-5-botnets-zombi/


49 | P á g i n a

Por eso es recomendable emplear claves largas. Recordarlas no es necesariamente difícil.

Ejemplos de claves podrían ser éstas:

- ##195+100=295##

- ./MeLoCoToNton/.

- {vvienda+rrustica++}

- _Rafael_&_Carmen_=2*2

- (rana_gustavo)5+o-

- El5%de100€=5€

- Másde110km/h=MULTA!

- Tra/mon/ta/na/0.

- 98¡guada-lajara!

- [75]taxi$verde$()

- Pavia152502+/0/+

Ejemplos de frases de paso:

- Dios+salve+a+la+reina!

- (--Loqueelviento|sellevo++)

- 3lr3t0rn0d3lj3di—10 (El retorno del jedi)

- Hrzntsdgrndz90veces!. (Horizontes de Grandeza)

- L4hum4nid4d no suprime l4 b4rb4rie l4 perfeccion4! Volt4ire.

- 12mesas=48sillas+12manteles.

- 14159265358979eseespi!

- 2chiegos+1cojo=3hombre

- Elmejoroeste(clintistbud!){}

- S1y2n3r4b5b6!+ (sayonara baby)

- Jncrlsprmr__rdspñ (juan carlos primero rey de España)

Como veremos posteriormente existen en Internet programas capaces de decirnos si

nuestra clave es lo suficientemente buena, aunque no deberemos introducir la clave que queramos

utilizar realmente, sino una parecida, ya que la web podría estar registrando las claves introducidas

para posteriormente atacar los ordenadores desde los que navegamos por ellas.

Un experto en seguridad postuló hace algún tiempo que la mayoría de usuarios emplean la

misma clave para todo. Así que basta con darles un servicio gratuito e interesante, obligarles a

registrarse y dar sus datos, para luego intentar acceder a información de sus empresas con esas

mismas claves.


50 | P á g i n a

Agrupar servicios por contraseña.

Si nos vemos en la necesidad de recordar muchas claves, lo más recomendable es disponer

de un grupo de ellas, y utilizar cada clave para varias ocasiones. Por ejemplo, si habitualmente

compramos comida por Internet, podemos tener una clave para todos los lugares de comestibles;

podemos tener otra clave para los bancos; otra para acceder a sitios deportivos si somos

aficionados; a librerías, etc.

Organizar las claves así, nos permite reducir el número de ellas que deberemos memorizar.

El inconveniente está claro. Si descubren nuestra clave para un determinado servicio, podrían

intentar entrar en otros con la misma contraseña. Eso mismo es aplicable al cifrado de datos. Si

todas las unidades o dispositivos de almacenamiento tienen la misma clave, existe el riesgo de que

si nos capturan una de ellas, prueben a ver si pueden utilizarla en otros medios o lugares.

Es precisamente por eso por lo que algunas personas emplean una única clave y con ella

acceden a un archivo donde se almacenan todas las claves de todos los servicios a los que acceden

en Internet, en casa o en la oficina. El objetivo es que cada lugar al que acceden tenga una clave

diferente y ellos solamente necesitan otra adicional para acceder a todas. Ejemplos de programas

que funcionan de esa manera y que almacenan una lista de claves, además de facilitar su

protección, hacer copias de seguridad de esas claves, añadir información adicional y agruparla por

categorías, serían el Password Safe o el KeePass, ambos muy parecidos.

Reglas nemotécnicas

Para recordar las contraseñas es recomendable emplear reglas nemotécnicas que nos

permiten recordar cosas difíciles con relativa facilidad. Cuando se busca crear una contraseña con

varias palabras o sílabas que no tienen significado ni conexión, es posible recurrir a trucos o

esquemas de pensamiento que facilitan su memorización al principio (luego, de tanto teclearlas se

nos quedan grabadas en la memoria).

Para aprender un poco más sobre las reglas nemotécnicas podemos consultar el siguiente

enlace: http://www.aulafacil.com/Tecestud/Lecciones/Lecc17.htm

El objetivo de las reglas nemotécnicas es establecer una relación entre los objetos que

queramos recordar, de modo que memoricemos solo la idea o concepto que los relaciona.


51 | P á g i n a

Reglas de incremento de la complejidad

Puede interesarnos memorizar o recordar contraseñas claras, formadas por letras, y luego

aplicar diferentes reglas para cifrarlas e introducirlas cuando queremos acceder a sitios con acceso

restringido o a nuestros datos.

Por ejemplo, podríamos decidir que en las contraseñas, la vocal “a” siempre se cambiara

por “4%”, la “e” por “3#”, la “i” por 1, la “o” por cero y la “u” por el símbolo menos. También podría

decidir que no teclearé las siguientes letras: g, m, r y n. Y puedo sustituir siempre un carácter por

dos o tres, lo que hará la clave más larga. Así puedo recordar contraseñas de 10 caracteres y

asegurarme que midan 20. Evidentemente esto requiere memorizar una tabla de conversiones,

pero que me servirá siempre.

Supongamos que mi clave es: “Estoy harta de ganarme la vida sola”, codificada según los

cambios que hemos citado arriba quedaría: “3#st0yh4%t4%d3#4%4%3#l4%v1d4%s0l4%”.

3#st0y h4%t4% d3# 4%4%3# l4% v1d4% s0l4%.

Contraseñas relativamente sencillas se complican según estas reglas. Me basta recordar la

contraseña inicial y el conjunto de reglas que la modifican. En la práctica, conseguimos generar

contraseñas mucho más complejas que las que seríamos capaces de recordar estableciendo una

tabla de conversiones que permite que la contraseña o frase de paso crezca por una parte, y por

otra, incorpore elementos o símbolos especiales lo que suele ser difícil de recordar.

En realidad lo que estamos haciendo es conociendo la clave, aplicamos una conversión

previa y luego introducimos esa nueva clave, obtenida tras la conversión, para acceder a nuestros

datos. Así podemos establecer contraseñas que sean fácilmente memorizables y posteriormente

modificarlas y convertirlas en estructuras más complejas que serán las que protegerán nuestros

datos realmente.

Otra posibilidad es conocer una única clave maestra, que sea únicamente nuestra y tener

un algoritmo al que darle la clave maestra y como segundo dato o entrada, darle la URL del sitio

web donde empleamos esa clave, por ejemplo: http://www.dsic.upv.es y el programa generará una

clave, que para la misma clave maestra y el mismo sitio web siempre será la misma, el resultado es

que no tendremos que recordar todas las claves. Y como dicho algoritmo existe y es posible

ejecutarlo en cualquier navegador dentro de nuestro PC (sin que nadie pueda por tanto acceder a

lo que hacemos), la tarea de recordar todas las claves se vuelve mucho más sencilla. En esta

dirección http://passwordmaker.org/ se explica cómo funciona este método. Desde la sección

Downloads puede descargarse una extensión para usarlo en Firefox.

Y la página con el algoritmo para utilizarlo vía web, con la posibilidad de descargarlo también y

usarlo en casa está en http://passwordmaker.org/passwordmaker.html.

Otro programa que nos permitirá convertir claves es Password Chart. La idea consiste en

proporcionar una frase para crear una tabla de conversiones entre caracteres; y posteriormente al

teclear nuestra clave en claro, la misma será convertida empleando la tabla de conversiones

anterior. Puedes ver cómo funciona en http://www.passwordchart.com/.


52 | P á g i n a

Limitaciones de los portales web.

En muchos de los servicios que podemos encontrar en Internet la longitud o la complejidad

de las contraseñas está limitada a un número fijo de dígitos o de caracteres y pueden no aceptarse

símbolos especiales del teclado. Hay sitios donde las claves quedan establecidas en minúsculas

aunque las introduzcamos inicialmente en mayúsculas.

Aunque parezca increíble, algunos de los principales bancos no permiten claves largas o lo

suficientemente complejas a la hora de acceder a nuestros datos bancarios para consultarlos. Es

cierto que para manipular nuestro dinero sí que se requieren medidas de seguridad adicionales,

pero acceder a la cuenta es relativamente fácil con los criterios de clave que se permiten.

Uno de los problemas que está intentándose resolver desde hace algún tiempo es la

necesidad de un sistema de acceso que nos permita entrar y registrarnos o validarnos en diferentes

servicios de Internet con los mismos datos o credenciales, de tal modo que una empresa externa

valide nuestra identidad y las demás empresas de Internet confíen en ella.

A fecha de hoy no se ha dado ninguna iniciativa que haya tenido el suficiente éxito como

para que en un futuro próximo los usuarios dejemos de tener decenas de contraseñas, cada una

específica de un portal web.

No es que no se hayan intentado soluciones al respecto, el problema radica en quien asume

esa responsabilidad y en si los demás se fían de la citada empresa, de su reputación o de su

capacidad para gestionar la identidad de todos los usuarios que empleen sus servicios.

DNI digital

En España ya es posible acceder con el DNI digital a información bancaria, a determinados

servicios de la Agencia Tributaria y Tráfico y a otras gestiones de carácter administrativo.

http://www.dnielectronico.es/

Sin embargo el DNI digital no se ha extendido más allá de estas funciones y todavía la

validación a través de Internet es muy lenta para acceder a algunos bancos, y no funciona en la

mayoría de casos con otros navegadores que no sean el Internet Explorer.

En definitiva, que como solución de acceso está bastante restringida y no se emplea para

cifrar o proteger información de carácter privado, solo para acceso a servicios.


53 | P á g i n a

Herramientas

Entre las herramientas disponibles en este apartado, tenemos las que nos permiten valorar

la fortaleza de nuestra clave, password o frase de paso (todas son online); las que permiten generar

claves según los criterios de robustez que especifiquemos; las que estiman en función de su

estructura y composición cuanto tiempo haría falta para quebrarlas y las que nos permiten

almacenar todas nuestras contraseñas en un archivo cifrado y protegido por una contraseña.

Todo esto lo veremos durante las prácticas. Además las citadas herramientas se enumeran

al final de este libro.

Herramientas para almacenar nuestras claves protegidas con otra maestra, como Password

Safe o KeePass también disponen de algoritmos propios para generarnos contraseñas

automáticamente.

En Internet también existen muchas herramientas para valorar la complejidad de una clave,

para generar claves de una determinada longitud o hacerlo siguiendo determinados criterios.


54 | P á g i n a

Tema 8. Protección de nuestros datos.

Hasta el momento hemos visto la importancia de no perder nuestros datos y de evitar

accesos no autorizados por pérdida o robo. Hemos visto donde se almacena la información, cuales

son las ubicaciones temporales donde los programas dejan nuestros archivos, cómo localizarlos,

cómo ver su distribución en función del espacio que ocupan y del tipo de archivos, hemos

aprendido a racionalizar su uso eliminando duplicados e indexando nuestros datos, cómo hacer las

copias de seguridad y qué son las réplicas y como se deben gestionar.

Pero después de esto, nos falta ver como se protege cada almacén de datos, cada ubicación

física (medio) que contiene información crítica para nosotros.

A la hora de proteger la información podemos proteger todo el medio, como sería cifrar

todo el disco duro de un ordenador; podemos proteger la ubicación donde se almacena la

información y no todo el disco; o podemos proteger los archivos y ficheros de manera individual.

Como ya dijimos anteriormente, cifrar la información por procedimientos hardware, de tal

modo que al encender el PC se nos pida una contraseña y en caso de robo, con el ordenador

apagado, no se pueda extraer nada útil del equipo es una solución concreta para cada ordenador.

Este sistema es el más transparente para el usuario, pero no el más flexible.

Además cifrar todo el disco duro de un ordenador, de un portátil o cifrar medios extraíbles

como lápices USB o discos duros portátiles, supone pagar un sobreprecio porque se necesita un

hardware que cifre y descifre la información en tiempo real. Por otra parte, como ya dijimos

anteriormente, algunos productos han demostrado posteriormente no ser tan seguros como

parecían.

Es cierto que cifrarlo todo, también protege a los datos temporales que se almacenan en la

memoria virtual, como es el caso de los ficheros de paginación o de hibernación de Windows, pero

requiere el cifrado de todo el sistema operativo y en caso de avería del sistema de cifrado, puede

ser complejo poner de nuevo el equipo en funcionamiento.

Otra posibilidad es crear volúmenes cifrados. En la práctica, un volumen cifrado es un

archivo muy grande dentro de nuestro disco duro. Si queremos que tenga una capacidad de 10Gb

de espacio por ejemplo, creamos un fichero muy grande de ese tamaño. El inconveniente es claro.

Independientemente de cuanto espacio ocupen nuestros datos, al crear la unidad o el espacio que

los habrá de contener, llamado volumen, hemos de reservar todo ese espacio en nuestro disco

duro de golpe.

Ese enorme fichero puede montarse y desmontarse. En el primer caso, se nos pedirá la

contraseña y todos los ficheros que contiene quedarán accesibles y desprotegidos mientras los

empleamos; al desmontar el volumen, también llamado contenedor o container, los ficheros que

estaban dentro de él y por tanto protegidos, quedarán de nuevo inaccesibles.


55 | P á g i n a

Cuando montamos dicho volumen, como se dice en la jerga informática, nos aparecerá en

Mi PC o en el explorador de Windows una nueva unidad. Si antes aparecía la unidad C o la unidad

D, ahora veremos otra unidad nueva, a la que podremos asignar la letra que queramos, por ejemplo

la E:.

Esta unidad funciona exactamente igual que cualquier otra, y contiene todos nuestros

datos. Al introducir la clave todos quedan como disponibles. Si bloqueamos la sesión y nos vamos a

almorzar, y alguien es capaz de conectarse a nuestro PC, los datos están disponibles, porque no

hemos desconectado el volumen, la unidad o el contenedor (todo es lo mismo).

El tercer y último método de protección consiste en proteger o cifrar cada archivo con una

contraseña, así evitamos que sea accesible. En ocasiones emplearemos una contraseña para

archivos muy delicados y otra contraseña para el resto de archivos.

Incluso podemos guardar todos nuestros archivos dentro de una unidad cifrada, y al

montarla, dando una clave al programa, podría ser que todavía fuera necesario teclear una segunda

clave para desproteger archivos que son especialmente importantes. Al hecho de que sea necesario

introducir dos claves para acceder a algunos ficheros, y solamente una para otros, es a los que nos

referimos con que podemos emplear diferentes niveles de seguridad. Unos están protegidos por

una capa de seguridad (se mete una sola password) y los otros por dos capas o niveles de seguridad

(son necesarias dos claves para acceder a esos ficheros).

Cifrado de archivos. Herramientas

Para el cifrado de archivos veremos la herramienta Axcrypt, que es completamente

transparente al usuario y tiene la posibilidad de reforzar la seguridad mediante el empleo de una

segunda contraseña para cifrar un archivo. Y que además es capaz de recordar contraseñas para

que al abrir un archivo protegido por la misma contraseña que el anterior no la requiera. Este

programa de carácter gratuito puede también crear archivos protegidos por contraseña que se auto

descifran al introducir una clave, por si queremos enviarle a alguien documentos cifrados. Le

acompaña una herramienta para borrar del disco duro archivos que no deseamos mantener (pero

dificultando su recuperación posterior) y hace una excelente gestión de los temporales generados

durante la apertura de un archivo cifrado, que luego elimina completamente para que nadie pueda

recuperar información.

El objetivo de esta herramienta es que al hacer doble clic sobre un archivo el mismo se abra

exactamente igual que si no estuviera cifrado. Del archivo original se crea una copia descifrada que

es la que es abierta por el programa correspondiente. Posteriormente Axcrypt se asegura de que

los temporales que puedan quedar sean completamente eliminados.

Existen otras herramientas que permiten cifrar un archivo o descifrarlo, pero no actúan de

manera transparente, es decir, si deseas trabajar con el archivo es necesario descifrarlo, para

posteriormente y tras haber accedido al mismo o hecho cambios, volver a cifrarlo dejándolo así

inaccesible para otros usuarios o programas. Sin embargo, en este tipo de aplicativos es necesario

acordarse de volver a cifrar el archivo, cosa que se deja a cargo del usuario.


56 | P á g i n a

Unidades de disco cifradas. Herramientas.

Las unidades cifradas no son más que archivos muy grandes que dentro contienen otros

muchos. Sin embargo, para acceder a ellos como una unidad más del PC es necesario teclear una

clave que solo el propietario de esos ficheros conoce. La misma clave cifra todos los archivos de la

unidad de disco, por lo que una sola clave da acceso a todos esos archivos. Aunque es posible

posteriormente cifrar cada archivo individualmente con alguna herramienta específica para ello,

como Axcrypt, dando un nivel adicional de seguridad a los archivos que consideremos más críticos.

En ocasiones es posible cambiar la contraseña del volumen o unidad cifrada; en otros casos

cambiar la clave supone crear un volumen o unidad cifrada nueva y trasvasar todos los datos. Esta

opción puede ser muy costosa para volúmenes de datos importantes.

Al tratarse de archivos aparentemente corrientes, pueden borrarse desde el sistema

operativo. Por eso algunos productos incorporan herramientas o servicios que evitan que eso

pueda suceder por error del usuario.

Además cada producto o solución implementa diferentes algoritmos de cifrado, diferentes

sistemas de conexión de unidades cifradas e incluso la posibilidad de hacer un borrado seguro de

archivos contenidos en la unidad cifrada o exteriores a ella.

La ventaja de algunos de estos productos es que están disponibles para todos los sistemas

operativos, cuestión que debemos plantearnos dependiendo del entorno de trabajo que

empleemos: siempre Mac, siempre Linux, siempre Windows, un mix de todo, etcétera.

Intercambio de documentos. Herramientas.

A la hora de intercambiar archivos o ficheros entre personas por email, ya es habitual que

muchas personas empaqueten todos los archivos en un archivo comprimido por Winzip, Winrar,

7zip o algún otro compresor de mercado que disponga de algoritmos de cifrado potentes y que sea

capaz de descifrar posteriormente estos documentos mediante una contraseña.

Algunos de estos compresores (sino todos) permiten que cuando alguien recibe el archivo

lo ejecute y él mismo se descomprima y muestre todos los archivos que contiene tras introducir el

usuario la correspondiente clave.

En el caso de documentos con contenido privado como cartas o declaraciones, es posible

generar pdfs o documentos en Word que no pueden leerse o imprimirse sin conocer la clave.

También para compartir archivos o documentos a través de Google Drive, Dropbox y otros

sistemas es posible previamente protegerlos mediante una clave propia del servicio desde dónde

puede descargarse el archivo y otra si adicionalmente es necesario descifrarlo.


57 | P á g i n a

Tema 9. Borrado seguro. Herramientas.

Las herramientas de borrado seguro pueden emplearse para eliminar ficheros del

ordenador de forma que no puedan ser recuperados, o podemos emplear herramientas que

borrarán y destruirán toda la información del disco duro o del medio de almacenamiento que

queramos “limpiar”.

Normalmente se requieren tres tipos de herramientas de borrado:

• Las que periódicamente borran todos los espacios libres del disco duro para

cerciorarse de que cualquier documento que puntualmente pudo haber allí en un

pasado reciente no deja información que pueda comprometernos.

• Las que permiten eliminar y destruir archivos que ya no deseamos conservar y

queremos tener la certeza de que no podrán ser recuperados.

• Las que permiten borrar todo el contenido del disco cuando vamos a cambiarlo por

otro mayor o deseamos deshacernos del PC con la tranquilidad de que los datos

anteriores no podrán recuperarse.

En ninguno de los tres casos anteriores el disco duro se verá dañado o inutilizado y podrá

volver a ser utilizado tras un formateo estándar previo para posteriormente instalarle un sistema

operativo.

Cuantas más veces se sobrescribe el contenido de un disco más seguridad hay de que el

archivo o los datos del disco nunca puedan recuperarse. Es precisamente por esto que existen

diferentes métodos establecidos por los gobiernos o agencias de diferentes países que se

consideran seguros como puedan ser los métodos del Dpto. de Defensa de los EEUU, la OTAN o el

de Peter Guttman.

Un borrado sencillo será siempre suficiente para evitar que los archivos puedan

recuperarse con herramientas software habituales o disponibles por Internet. Sin embargo existen

otras herramientas, disponibles para personal especializado y agencias de seguridad, que permitiría

recuperar los datos si solamente se hubiera ejercido sobre ellos un borrado sencillo. Por esto

aparecieron otros métodos más sofisticados de borrado, aunque también muchísimo más lentos.

Cuando una aplicación en Windows XP o superior se inicia en el sistema operativo y

reclama memoria, el sistema operativo se la proporciona. Sin embargo, la aplicación podrá usarla,

pero no leer lo que había en ella antes de que le fuera entregada para su uso. Esto es porque

Windows 2000 y XP cumplen la normativa de seguridad C2.

Este mismo procedimiento que se aplica a la memoria RAM o memoria temporal, se aplica

también al espacio en disco. Cuando una aplicación intenta escribir en disco, lo hace a través de

Windows y no tiene acceso directo al disco duro. Así, si los bloques de información en el disco duro

son por ejemplo de 4096 bytes, y el programa en cuestión escribe 4000, no tiene acceso a leer los

otros 96 bytes, que contendrán información previa a que Windows asignara ese bloque. El propio

Windows no permite acceder a esos datos viejos que están grabados en restos de bloques que


58 | P á g i n a

fueron sobrescritos. Pero si arrancamos el ordenador sin usar el sistema operativo y empleamos

herramientas especiales, es posible ver esas áreas y recuperar restos de información que pueden

ser muy útiles.

La única forma de evitar esta actividad, es sobrescribir los finales de bloques no utilizados

por las aplicaciones, del mismo modo que el resto de bloques que actualmente no se usan, pero

que se usaron alguna vez y contienen información borrada.

Wiping es el proceso de sobrescribir un fichero o determinados bloques del disco, en

ocasiones, múltiples veces, para asegurar su borrado total.

Para hacer esto, que ya no es un borrado completo, se utilizan herramientas que

sobrescriben ficheros o todo el espacio vacío de un disco duro. Sin embargo, si se intenta hacer con

el sistema operativo encendido, y sobre todo cuando intentamos sobrescribir bloques del disco

parcialmente ocupados por el sistema operativo, éste se puede desestabilizar, lo que hace

aconsejable hacerlo cuando no está activo.

Borrar un bloque que está parcialmente ocupado es sencillo. Supongamos el caso anterior,

donde el bloque contiene 4096 caracteres, pero los datos solo ocupan 4000. El programa de

borrado o wiping leerá el bloque de 4000 caracteres, borrará los 4096 caracteres y volverá a

escribir los 4000. Sin embargo si los bloques que borramos están ocupados parcialmente por el

sistema operativo, el sistema puede detectar esta actividad como sospechosa y puede intentar

bloquear este mecanismo. De nuevo, es aconsejable hacerlo sin que el sistema operativo esté

activo.

La forma más cómoda de garantizar que podremos borrar todos los datos de un disco tanto

en áreas libres, como ocupadas por archivos que ya no queremos conservar, es dedicar una parte

del mismo a crear una unidad virtual cifrada o una partición de datos cifrada, que posteriormente,

cuando deje de usarse puede ser eliminada como si se tratara de un gran fichero. Naturalmente, al

borrarla de manera tradicional podría ser recuperada si antes de destruirla no hacemos un proceso

de wiping. Pero aunque pudiera recuperarse, y al estar toda la información cifrada, de nada serviría

hacerlo.

Es por eso que en nuestras máquinas deberíamos tener unas unidades dedicadas en

exclusiva a los datos, que deberían estar cifradas y separadas de la partición o disco donde están las

aplicaciones, el sistema operativo o los ficheros de swap.

En definitiva, y simplificando la cuestión: De vez en cuando deberíamos programar nuestro

PC para que todo el espacio del disco duro que está vacío sea sobrescrito, con la intención de que

cualquier cosa que hubiera en él no pudiera ser recuperada por si fuera información confidencial.

Es posible que no podamos garantizar al 100% que hemos borrado todo aquello que pueda ser

considerado confidencial, por eso, es una buena idea utilizar alguna herramienta cada cierto

tiempo, que permita arrancar el ordenador sin emplear el sistema operativo del disco duro para

hacer la misma tarea de manera más eficaz y con más garantías.


59 | P á g i n a

Sin embargo, hacer esto, solamente palía el problema de que muchas aplicaciones generan

archivos temporales por el disco duro y el hecho de que almacenamos los datos o documentos

importantes sin ninguna seguridad y en cualquier lugar del disco. Eso se puede evitar si utilizamos

técnicas de cifrado, generando unidades virtuales encriptadas que contendrán todos nuestros

documentos, lo cual garantiza que ni recuperándolos, puedan ser leídos o entendidos.

Si deseas leer más acerca de por qué es posible recuperar información que ha sido

sobrescrita y las causas teóricas puedes leer el artículo de Peter Guttman en

http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html.

También podemos leer este artículo sobre la persistencia de los datos y sus resistencia a

desaparecer en la Wikipedia: http://es.wikipedia.org/wiki/Persistencia_de_datos.


60 | P á g i n a

Bibliografía

Riesgos para tu información

Tendencias 2010: la madurez del crimeware

http://www.eset-la.com/pdf/prensa/informe/tendencias_2010.pdf

Internet como plataforma de infección.

http://www.eset-la.com/pdf/prensa/informe/tendencias_2009.pdf

Estado de la cyberseguridad en 2015 (U-Tad)

https://www.u-tad.com/pdfs/resumen-ejecutivo-ciberseguridad-2015-u_tad.pdf

Botnets

http://hipertextual.com/2011/06/tld4-la-botnet-indestructible

http://www.elmundo.es/espana/2015/04/14/552c00e7268e3e11278b456c.html

https://blog.kaspersky.es/simda-botnet-check/5781/

http://www.welivesecurity.com/la-es/2015/02/27/desmantelan-botnet-ramnit-fbi-sigue-

zeus/

http://www.welivesecurity.com/la-es/2014/10/29/top-5-botnets-zombi/


61 | P á g i n a

Programas recomendados

Eliminación de temporales

Temp File Cleaner:

https://addpcs.com/software/tfc

Moo0 Disk Cleaner:

http://www.moo0.com/?top=http://www.moo0.com/software/DiskCleaner/

Ccleaner:

http://www.piriform.com/ccleaner

http://www.filehippo.com/es/download_ccleaner

Bleachvit:

http://bleachbit.sourceforge.net/

Wise Disk Cleaner Free:

http://www.wisecleaner.com/wise-disk-cleaner.html

Internet Privacy Eraser:

http://www.cybertronsoft.com/download/

Privacy Mantra:

http://www.codeode.com/privacymantra.html

Herramientas de búsqueda, localización y ocupación de disco.

Tree Size:

http://www.jam-software.com/treesize_free/

Windirstat:

http://windirstat.info/

RidNacs:

http://www.splashsoft.de/

SpaceSniffer:

http://www.uderzo.it/main_products/space_sniffer/features.html


62 | P á g i n a

Localización de Duplicados

Easy Duplicate File Finder:

http://www.easyduplicatefinder.com/download.html

Primitive Duplicate Finder:

http://www.primitivezone.com/primitive-duplicate-finder.html

Duplicate Files Finder:

http://doubles.sourceforge.net/

Duplicate Cleaner:

http://www.digitalvolcano.co.uk/content/duplicate-cleaner

Double Killer:

http://www.bigbangenterprises.de/en/doublekiller/

AllDup:

http://www.alldup.info/

Herramientas de Indización / Indexación

DocFetcher:

http://docfetcher.sourceforge.net/en/index.html

Copernic Desktop Search:

http://www.copernic.com/en/products/desktop-search/

Google Desktop:

http://desktop.google.com/es/

Insight Desktop Search:

http://www.insightdesktopsearch.com/

Herramientas para acelerar las copias

Teracopy:

http://www.codesector.com/teracopy.php

CopyHandler:

http://www.copyhandler.com/


63 | P á g i n a

Herramientas de sincronización

FreeFileSync:

http://freefilesync.sourceforge.net/

AllWaySync:

http://allwaysync.com/

SyncBack:

http://www.2brightsparks.com/syncback/syncback-hub.html

MS SyncToy:

http://www.microsoft.com/downloads/en/details.aspx?familyid=C26EFA36-98E0-4EE9-

A7C5-98D0592D8C52&displaylang=en

Directory Synchronize Pro:

http://www.dirsyncpro.org/

Generar contraseñas

https://identitysafe.norton.com/es/password-generator

http://passcreator.com/sp

http://passwordsgenerator.net/

https://www.random.org/passwords/

https://strongpasswordgenerator.com/

Medir la fortaleza de una contraseña

Password Meter:

http://www.passwordmeter.com/

En español: http://password.es/comprobador/

o http://www.segu-info.com.ar/proteccion/fortaleza_clave.htm

How Secure is my password?

http://howsecureismypassword.net/

YAPM - Yet Another Password Meter:

http://www.yetanotherpasswordmeter.com/

Javascript Password Strength Meter:

http://www.geekwisdom.com/dyn/passwdmeter


64 | P á g i n a

Contraseñas basadas en clave maestra

Password Chart:

http://www.passwordchart.com/

Password Maker:

http://passwordmaker.org/

http://passwordmaker.org/passwordmaker.html

Almacenes de claves secretas protegidos por password

Password Safe:

http://passwordsafe.sourceforge.net/

KeePass:

http://keepass.sourceforge.net/

Editores de texto cifrados

Steganos Locknote:

https://www.steganos.com/us/products/for-free/locknote/overview/

Herramientas de cifrado de archivos

Axcrypt

http://axcrypt.sourceforge.net/

http://www.axantum.com/

Kryptel:

http://www.kryptel.com/products/freesoftware.php

Encrypt Files:

http://www.encryptfiles.net/

Challenger:

http://www.encryption-software.de/challenger/en/index.html

Paranoia File Encryption:

http://www.paranoiaworks.mobi/sse/about.html

Herramientas de cifrado en la Nube

http://www.securitybydefault.com/2015/09/cifrado-de-archivos-en-la-nube.html


65 | P á g i n a

Herramientas de cifrado de unidades de disco

TrueCrypt:

http://truecrypt.sourceforge.net/downloads.php

http://www.truecrypt.org/

VeraCrypt

https://veracrypt.codeplex.com/

Bestcrypt:

http://www.jetico.com/

http://www.jetico.com/bcarchive.htm

Cryptainer LE:

http://www.cypherix.co.uk/cryptainerle/

CryptoExpert 2011 Lite:

http://www.cryptoexpert.com/lite/

FreeOTFE:

http://www.freeotfe.org/

http://www.sdean12.org/

http://sourceforge.net/projects/freeotfe.mirror/

Dekart Private Disk Light:

http://www.dekart.com/products/encryption/private_disk_light/

Herramientas de borrado de archivos y carpetas

AxCrypt

http://axcrypt.sourceforge.net/

http://www.axantum.com/

Free Eraser:

http://www.freeraser.com/

Blank and Secure:

http://www.softwareok.com/?seite=Microsoft/BlankAndSecure

Cylog Cybershredder:

http://www.cylog.org/utilities/cybershredder.jsp

Moo0 File Shredder:

http://www.moo0.com/software/FileShredder/#FileShredder


66 | P á g i n a

Encrypt Files:

http://www.encryptfiles.net/

Sdelete de MS:

http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx

Herramientas de borrado de espacio libre

Eraser:

http://www.tolvanen.com/eraser/

http://eraser.heidi.ie/

http://sourceforge.net/projects/eraser/

http://portableapps.com/apps/utilities/eraser_portable

Ccleaner

http://www.piriform.com/ccleaner

http://www.filehippo.com/es/download_ccleaner

Sdelete de MS:


Disk Redactor:

http://www.cezeo.com/products/disk-redactor/

Prevent Restore:

http://privacyroot.com/programs/info/spanish/wfds.html


67 | P á g i n a

Borrado completo de discos duros

DBAN:

http://www.dban.org/download

http://www.hirensbootcd.org/download/

http://sourceforge.net/projects/dban/

Active Kill Disk:

http://www.killdisk.com/

Sdelete de MS:


Eraser:

http://www.tolvanen.com/eraser/

http://eraser.heidi.ie/

http://sourceforge.net/projects/eraser/

http://portableapps.com/apps/utilities/eraser_portable

Disk Wipe:

http://www.diskwipe.org/

HardDrive Eraser:

http://www.harddriveeraser.org/