tema1ciberbuling

Upload: mpilar

Post on 26-Feb-2018

212 views

Category:

Documents


0 download

TRANSCRIPT

  • 7/25/2019 tema1Ciberbuling

    1/31

    Seguridad y privacidad de la informacin

    [1.1] Cmo estudiar este tema?

    [1.2] Introduccin

    [1.3] Qu es la seguridad?

    [1.4] Riesgos

    [1.5] Seguridad

    [1.6] Criptografa y firma digital

    [1.7] Seguridad interna

    [1.8] Seguridad perimetral

    [1.9] Recomendaciones a la hora de navegar

    1

    TE

    M

    A

  • 7/25/2019 tema1Ciberbuling

    2/31

    Ciberbullying

    TEMA 1 Esquema

    Esquema

    SEGURIDADYPRIVAC

    IDADDELAINFORM

    ACIN

    Recomendacionesa

    la

    horadenavegar

    Riesgos

    Introduccin

    Queslasegurid

    ad?

    SeguridadPerimetral

    S

    eguridad

    Seguridadinterna

    S

    eguridad

    Proteccionesfsicas,

    informticasyorganizativas

    Troyanos,virus,gusanos,

    programasespa,etc.

    Conceptosbsicos

    Objetivosd

    elacriptografa

    Tiposdecriptografa

    Firmadigit

    al

    Autenticacin

    Copiasdeseguridad

    Registrosyauditoras

    2

  • 7/25/2019 tema1Ciberbuling

    3/31

    Ciberbullying

    TEMA 1 Ideas clave

    Ideas clave

    1.1. Cmo estudiar este tema?

    Para estudiar este tema debers leer las Ideas clavedesarrolladas en este documento,

    que se complementan con lecturas y otros recursos para que puedas ampliar los

    conocimientos sobre el mismo.

    1.2. Introduccin

    A lo largo de la historia el ser humano se ha destacado por su afn investigador,

    produciendo un sinfn de artefactos, as como adquiriendo conocimientos cada vez ms

    exhaustivos de su propio entorno y de s mismo.

    La gran revolucin en este sentido ha llegado en el siglo XXextendiendo y ampliando su

    evolucin en el actual y an joven siglo XXI. Nos referimos a las denominadas

    tecnologas de la informacin y las comunicaciones(TIC) que en menos de 30

    aos han sufrido una evolucin y desarrollo impensable.

    Solo como un claro ejemplo de lo anteriormente mencionado, podemos centrarnos en la

    telefona, que en pocos aos ha pasado de ser fija a convertirse en mvil va satlite y a

    travs de unos terminales que ya poco o nada tienen que ver con un terminal de telefona

    propiamente dicho.

    Lo que hoy en da conocemos como telfono mvil, es un terminal multifuncin que nos

    permite, no solo la conversacin por audio, sino a travs de la escritura SMS, imgenes y

    3

  • 7/25/2019 tema1Ciberbuling

    4/31

    Ciberbullying

    TEMA 1 Ideas clave

    voz a travs de las conocidas vdeollamadas, servicios en tiempo real de noticias, agenda,

    pago a travs del mvil, televisin, radio, Internet y un largo etctera que crece cada da

    un poco ms. Como podemos observar, la evolucinen esta tecnologa en concreto, y

    lo cual es extensible a las dems, es constante e imparable.

    A travs de un ordenador podemos conectarnos a la red y acceder a informacin o

    comunicacin desde cualquier parte del globo y prcticamente en tiempo real. Tiempo

    y espacio han desaparecido, en la prctica.

    Todos y cada uno de estos avances tecnolgicos han sido uno de los factores

    determinantes de lo que a da de hoy se denomina proceso globalizador o

    globalizacin, provocado fundamentalmente por un abaratamiento de los productos

    tecnolgicos que, de esta forma, pueden ser consumidos por un gran nmero de

    personas.

    Aun as, todo este proceso globalizador tiene a grandes rasgos una cara oculta que

    posee dos vertientes principales:

    Existe una barrera en sectores de la poblacin, tanto a nivel mundial (falta de

    recursos econmicos para acceder a la tecnologa necesaria) como a nivel estatal (falta

    de formacin para utilizarla correctamente).

    Se puede acceder a una gran cantidad de informacin, lo que puede producir una

    recepcin informativaa veces redundantey a veces poco fiable.

    Pero debemos centrarnos en una tercera vertiente que cobra peso y que, en la

    actualidad, es una de las mayores preocupaciones de los internautas, la seguridad.

    Casos como las filtraciones de informacin de la Agencia Nacional de Seguridad de los

    Estados Unidos (NSA) por parte de Edward Snowden o los ataques informticos, por

    parte de colectivos como Anonimus, que han comprometido la seguridad de grandes

    compaas como Sony o incluso a el Fondo Monetario Internacional han contribuido a

    generar un incremento de la preocupacin de la privacidad y la seguridad en

    Internet.

    Es decir, se ha generado un alto inters, por parte de los usuarios de Internet, sobre cmo

    garantizar la seguridad de su informacin en Internet. No podemos obviar que la

    masificacin de Internet como sistema comunicativo, as como el uso frecuente de

    4

  • 7/25/2019 tema1Ciberbuling

    5/31

  • 7/25/2019 tema1Ciberbuling

    6/31

    Ciberbullying

    TEMA 1 Ideas clave

    la ocurrencia de los posibles ataques informticos (intrusiones, cdigos maliciosos, etc.)

    que pueden afectar tanto a la privacidad de la informacin como a la seguridad de los

    equipos informticos.

    A lo largo de las prximas lneas vamos a ofrecer unavisin general y globalsobre

    qu es la seguridad informtica as como cules son los tipos ms habituales de ataques

    y cmo protegerse ante ellos.

    1.3. Qu es la seguridad?

    La seguridad, cuando hablamos de equipos informticos, se centra es dos aspectos de

    vital importancia:

    Garantizar que la informacincontenida dentro de los sistemas informticos (y que

    en algunas ocasiones puede ser de una trascendencia vital para una organizacin) no

    se pierda o sea alteradade forma incorrecta.

    Garantizar la privacidadde la informacin. Es decir, que la misma solo sea accesible

    cuando sea necesaria o si se cuenta con las pertinentes autorizaciones.

    La idea principal que subyace es, bsicamente, garantizar que un sistema

    informtico es seguro. Sin embargo cundo es seguro? En este sentido debemos

    decir que un sistema es seguro cuando es posible confiar en l y, adems, se comporta de

    acuerdo a cmo se espera que se comporte.

    La seguridad informtica abarca una gran cantidad de soluciones que tienen como

    objetivo prioritario que la informacin tratada en un sistema informtico determinadosea protegida. Esto implica, necesariamente, el establecimiento de un plan de

    seguridadtendente a definir las necesidades y objetivos y que, adems, sea compatible

    con el coste de su implementacin, en relacin al beneficio que va a aportar.

    No obstante, el trmino seguridad es muy amplio y engloba los siguientes aspectos:

    Confidencialidad. La informacin solo puede ser accedida por aquel que est

    autorizado.

    6

  • 7/25/2019 tema1Ciberbuling

    7/31

  • 7/25/2019 tema1Ciberbuling

    8/31

  • 7/25/2019 tema1Ciberbuling

    9/31

    Ciberbullying

    TEMA 1 Ideas clave

    puede llegar a averiguar distintas contraseas del usuario legtimo para, en un

    momento posterior, beneficiarse de las mismas.

    Marcadores telefnicos(dialers). Este tipo de softwarese instala en un equipo

    con la finalidad de desviar la conexin telefnica hacia otro nmero de tarificacin

    especial causando un grave perjuicio econmico al afectado. Afortunadamente este

    tipo de software solo puede afectar a aquellos usuarios que utilizan un servicio de

    banda estrecha, bien a travs de RTBV (Red Telefnica Bsica) o RDSI (Red Digital

    de Servicios Integrados). Hoy en da el uso de la banda ancha predomina sobre este

    tipo de servicios anteriormente mencionados, por lo que este softwaremalicioso es

    bastante marginal.

    Rogueware. El presente softwaretiene como finalidad principal engaar al usuario

    y hacerle creer que se encuentra infectada por algn tipo de virus, coaccionando al

    usuario para que page una determinada cantidad de dinero para eliminarlo.

    2. Software Publicitario (Adware). La finalidad del presente software reside en

    mostrar anuncios publicitarios que aparecen, de forma inesperada, en el equipo del

    usuario cuando se est utilizando la conexin a una pgina web o instantes despus de

    que se haya instalado en el equipo informtico. En muchas ocasiones pueden tener una

    segunda finalidad consistente en recopilar informacin sobre los hbitos de navegacin

    del usuario. De esta forma son capaces de generar un perfil de la personalidad de dicho

    usuario, lo que les reporta el beneficio adicional de ser capaces de poder dirigir al usuario

    una publicidad totalmente acorde a su personalidad e intereses.

    3. Herramientas de intrusin. Son un tipo de softwareque puede ser utilizado por

    un atacante remoto para realizar diferentes actividades: anlisis de seguridad, acceso al

    equipo informtico, realizar cracking de contraseas, escner de puertos, etc.

    4. Virus. El software malicioso ms conocido y en el que se suele incluir, por

    desconocimiento, al resto de categoras que estamos definiendo en este apartado. Son

    capaces de infectar a otros ficheros o programas del equipo infectado ya que una de las

    caractersticas fundamentales de este tipo de softwarees que, al igual que los virus

    naturales, necesitan de un husped, otro archivo, para poder realizar sus funciones.

    5. Gusano (worm). Tipo de softwareque tiene la capacidad de poder propagarse a

    cualquier parte del equipo informtico infectado o incluso a otros equipos y/o

    dispositivos porttiles. En este sentido y dependiente del tipo de gusano, sus finalidades

    son diversas pero todas dainas para los equipos informticos que pretenden infectar. A

    9

  • 7/25/2019 tema1Ciberbuling

    10/31

    Ciberbullying

    TEMA 1 Ideas clave

    diferencia de los virus, los gusanos no necesitan otro archivo para replicarse. Incluso son

    capaces de modificar el sistema operativo para autoejecutarse.

    6. Programa espa (spyware). El presente softwaretiene como finalidad recopilar

    informacin sobre el usuario sin su consentimiento. Suelen instalarse como

    complementos del navegador (Explorer, Firefox, Chrome) sin que el usuario sea

    consciente de este hecho. Posteriormente proceden a transmitir a un servidor los hbitos

    de navegacin del usuario. Esta situacin ya es un problema en s mismo para el usuario

    pero, adems, le genera un perjuicio adicional ya que este tipo de softwareconsume una

    gran cantidad de ancho de banda, lo que generar una ralentizacin del resto de servicios

    que utiliza el usuario.

    7. Otro tipo de software. Entre los que se pueden citar los siguientes:

    Exploit. Cdigo malicioso creado con la finalidad de aprovechar fallos o

    vulnerabilidades de los sistemas informticos para poder actuar con total libertad

    dentro del sistema informtico atacado.

    Rootkits. Software introducido en los equipos informticos despus de que un

    atacante haya conseguido hacerse con el control del sistema. Este tipo de software

    tiene como finalidad ocultar el rastro de dicho ataque borrando todo rastro del mismo

    o encubriendo los procesos ejecutados por el atacante.

    Scripts. Cdigos escritos en cualquier lenguaje de programacin que tienen como

    finalidad la realizacin de acciones no deseadas en el equipo informtico

    generalmente por medio del navegador (Explorer, Firefox, Chrome) o del correo

    electrnico.

    Lockers o scareware. Software que bloquea el acceso al equipo por parte del

    usuario, mostrando un mensaje que conmina al usuario a pagar un determinado

    precio para rescatarel control de su equipo.

    Jokers. Aunque no causan ningn dao al equipo informtico que afectan, s que

    alteran su normal funcionamiento a travs de acciones tendentes a molestar o distraer

    a su usuario.

    10

  • 7/25/2019 tema1Ciberbuling

    11/31

    Ciberbullying

    TEMA 1 Ideas clave

    Adems, debemos tener en cuenta que hoy en da la navegacin web es una de las

    acciones que ms realizan los internautas y, por tanto, podemos vernos expuestos a este

    tipo de riesgos mientras navegamos a travs de Internet:

    Al navegar es altamente probable que nos veamos expuestos a la posible instalacin

    de software tipo adware, spyware e incluso ser directamente infectados por

    descargar un troyano.

    La navegacin tambin nos expone al riesgo de ser receptores de un ataque que nos

    llegar por las propias vulnerabilidades, bien de nuestro sistema operativo, bien de

    nuestras distintas aplicaciones o programas instalados en nuestro equipo informtico.

    Que un atacante (conocidos como browser hijackers) trate de tomar el control de

    nuestro navegador con la intencin de perpetrar cualquier otro fin malicioso. Como

    regla general, este tipo de ataques proceden a agregar como favoritos de nuestro

    navegador distintos marcadores (sin que seamos conscientes de ello), cambiar

    automticamente nuestra pgina de inicio e incluso acceder y cambiar nuestras claves

    de registro o instalar en nuestro equipo informtico keyloggers.

    Instalacin, sin nuestro consentimiento, de rogueware.

    Ataques destinados a infectar a una multiplicidad de usuarios que acceden a una

    determinada pgina web. Los atacantes son capaces de explotar las debilidades de una

    pgina web, incluyendo cdigo daino en dicha pgina e infectando de esta forma a

    los usuarios que acceden a la misma.

    Uso de informacin personal de los usuarios que facilitan determinada informacin

    personal en las pginas web que visitan o de las que son usuarios habituales.

    Ser vctimas de un fraude que tiene como finalidad proceder al robo de informacin

    personal del usuario o acceder a sus equipos y dispositivos ocultando bajo una pgina

    web enlaces fraudulentos que, al ser pulsados por el usuario, pueden ser capaces de

    ejecutar cdigo malicioso en su equipo. Hoy en da esta amenaza es bastante comn y

    se denomina clickjacking.

    11

  • 7/25/2019 tema1Ciberbuling

    12/31

    Ciberbullying

    TEMA 1 Ideas clave

    1.5. Seguridad

    Cuando hablamos de seguridad, debemos ser plenamente conscientes de que los

    riesgos nunca pueden ser eliminados a su totalidad. Es por esta razn que

    cuando hablamos de seguridad, en lo que se refiere a los equipos y sistemas informticos,

    siempre es necesario tener presente que su seguridad siembre debe encontrarse basada

    en objetivos de carcter realista y que por tanto, debern realizarse despus de haber

    realizado un estudio en el que se detallen tanto los costes como los beneficios de

    implementar una determinada medida de seguridad.

    Dicho esto, las medidas de seguridad se pueden clasificar en tres tipos diferentes:

    Protecciones fsicas. Medidas de seguridad de carcter fsico, tales como sistemas

    anti-incendio, vigilantes de seguridad, as como todas aquellas otras medidasencaminadas a evitar que las personas puedan acceder fcilmente a las instalaciones

    donde radican los equipos y sistemas informticos.

    Medidas informticas.Todos aquellos sistemas, as como soluciones de carcter

    informtico, que aumenten la seguridad de los equipos y sistemas informticos; entre

    los que se incluyen: el cifrado de la informacin, detectores de intrusos, cortafuegos o

    firewalls, etc.

    Medidas organizativas. Teniendo en cuenta que la concienciacin de los usuarios

    de los sistemas y equipos informticos es una parte esencial para evitar el xito decualquier ataque o riesgo, es necesario que dichos usuarios realicen cursos de

    formacin relacionados con la seguridad informtica as como activar, dentro de la

    organizacin, un programa o planning de auditoras informticas tendentes a

    garantizar la seguridad de los sistemas y equipos informticos.

    A lo largo de los prximos epgrafes vamos a centrarnos en las medidas de carcter

    informtico donde tendremos oportunidad de profundizar en temas como la

    criptografa, la seguridad de carcter interno y la seguridad de carcter perimetral.

    Medidas de seguridad

    Protecciones fsicas

    Medidas informticas

    Medidas organizativas

    12

  • 7/25/2019 tema1Ciberbuling

    13/31

    Ciberbullying

    TEMA 1 Ideas clave

    1.6. Criptografa y firma digital

    Los sistemas de firma digital se basan en la criptografa, que se puede definir como el

    arte de escribir en clave o de forma enigmtica.

    La criptografa fue considerada un arte hasta que Shannon public en 1949 la Teora de

    las comunicaciones secretas, momento a partir del cual pas a considerarse una ciencia

    aplicada, debido sobre todo a su relacin con otras ciencias como la Estadstica, la Teora

    de Nmeros, la Teora de la Informacin y la Teora de la Complejidad Computacional.

    Si bien es cierto que comnmente se utiliza la palabra criptografa para definir tanto

    el cifrado como el descifrado de mensajes, en puridad hemos de decir que la

    criptografaes la ciencia que estudia los mtodos de cifrado de mensajes, mientras que

    el criptoanlisis se encarga de estudiar el conjunto de tcnicas y mtodos para

    descifrar dichos mensajes. Al conjunto de ambas ciencias, criptografa y criptoanlisis se

    le denomina criptologa.

    La historia nos ha dejado numerosos ejemplos del uso de esta ciencia/arte entre los que

    podemos destacar:

    Cifrado de Esctala. Data del siglo V a. C., durante las guerras entre Atenas yEsparta. Este cifrado se basaba en la alteracin del mensaje mediante la escritura de

    los smbolos de forma vertical sobre una cinta enrollada en un rodillo, de un grosor

    determinado, de manera que al desenrollar la cinta, los smbolos del mensaje

    quedaban desordenados, por lo que nicamente se poda recuperar el mensaje, en

    destino, tras enrollar la cinta en un rodillo de igual grosor, evitando que durante el

    trayecto los enemigos se hiciesen con el texto del mensaje en claro. La clave resida en

    el bastn, ms concretamente en su dimetro, de forma que nicamente el receptor

    en posesin de una copia idntica al bastn que se us para cifrar podra leer el textoen claro.

    Cifrado de Polybios. Data del siglo IIa. C. y consista en hacer corresponder a cada

    letra del alfabeto un par de letras que indicaban la fila y la columna en la cual esta se

    encontraba, dentro de un recuadro de cinco caracteres por cinco, cifrado mediante el

    cual obtenamos 25 caracteres.

    Cifrado de Csar. Perteneciente al siglo Ia. C., este cifrado consiste en sustituir una

    letra por aquella situada tres lugares ms all del alfabeto de manera que la letra A se

    transforma en la letra D, la B en la E y as sucesivamente.

    13

  • 7/25/2019 tema1Ciberbuling

    14/31

    Ciberbullying

    TEMA 1 Ideas clave

    El texto ms antiguo conocido en el que se empieza a hablar de criptografa, se titula

    Liber Zifrorum, atribuido a Cicco Simoneta. El estudio de este autor se basaba

    bsicamente en sistemas basados en sustituciones de letras.

    A partir del siglo XVI se generaliza el uso de la criptografa, pero es ya en la I Guerra

    Mundial cuando la criptologa se convierte en un arma. Tal es as que EEUU entr en la

    guerra precisamente gracias a la ruptura, por parte de los britnicos, del conocido

    telegrama Zimmermann, mediante el cual el ministro alemn trataba de convencer

    a Japn y Mxico para que efectuasen una invasin sobre Estados Unidos.

    En el siglo XX la criptografa eclosiona y pasa del mbito reducido de militares y

    diplomticos, al ciudadano de a pie, a la sociedad. El mundo de la informtica, y ms

    concretamente Internet, plantea la necesidad de que la ingente cantidad de datos que

    circulan por este canal inseguro, se encuentren protegidas durante su transmisin y

    almacenamiento. La gran cantidad de informacin a disposicin de los usuarios, que

    cada vez son ms, y el importante trfico que a travs de la red se genera, ha llevado a

    que la finalidad de la criptografa se haya visto modificada.

    Conceptos bsicos

    La relacin existente entre la teora de la informacin y la criptografa fue enunciada por

    Shannon, considerado por muchos el padre de la teora de la informacin. Ambas

    ciencias, teora de la informacin y criptografa, comparten tanto objetos de estudio

    como objetivos, si bien para ello usan medios distintos.

    La teora de la informacin estudia el proceso de la transmisin ruidosa de un

    mensaje, donde la distorsin de dicho mensaje transmitido, no es intencionada, sino que

    se debe al canal y en donde el objetivo a conseguir es la transmisin del mensaje de la

    forma ms clara posible. Por otro lado, la criptografaestudia el proceso de cifrado de

    un texto, en donde la distorsin s es intencionada y por tanto tiene como objetivo que el

    mensaje sea incomprensible para cualquiera distinto al emisor y al receptor.

    As pues, es fcilmente deducible, que la proteccin de la informacin que se persigue

    con la criptografa se lleva a cabo variando su forma. Llamamos entonces cifradoa una

    transformacin de un determinado texto, denominado comnmente texto claro o texto

    en claro, en un texto cifrado o criptograma y, por lo tanto, podemos definir como

    14

  • 7/25/2019 tema1Ciberbuling

    15/31

    Ciberbullying

    TEMA 1 Ideas clave

    descifradoa la transformacin que nos permite recuperar el texto original o texto en

    claro a partir de texto cifrado.

    En el siglo XIX, Kerckhoffs, en su obra La criptografa militar, estableci una serie de

    reglas sobre forma de actuacin de un buen criptgrafo, que han sido aceptadas

    por la prctica totalidad de la comunidad criptogrfica. Estas reglas son:

    No debe existir ninguna forma de recuperar mediante el criptograma el texto inicial o

    la clave. Esta regla es cumplida en la prctica cuando la complejidad de la

    recuperacin del texto original sea suficiente para mantener la seguridad del sistema.

    Todo sistema criptogrfico debe estar compuesto por dos tipos de informacin:

    o

    Pblica, como puede ser la familia de algoritmos que lo definen.

    o Privada, como es la clave que se usa en cada cifrado particular.

    La forma de escoger la clave debe ser fcil de recordar y modificar.

    Debe ser factible la comunicacin del criptograma con los medios de transmisin al

    uso.

    La complejidad del proceso de recuperacin del texto en claro debe corresponderse

    con el beneficio obtenido.

    Objetivos de la criptografa

    Los objetivos de la criptografa se pueden resumir diciendo que la criptografa debe

    asegurar la:

    Confidencialidad.El mensaje no puede ser ledo por personas que no disponen de

    la debida autorizacin.

    Integridad.El mensaje no puede ser alterado sin autorizacin.

    Autentificacin. Se debe garantizar que el mensaje ha sido enviado por una persona

    y recibido por otra.

    No repudio. Despus de haber enviado un mensaje, no se puede negar que el

    mensaje no es de su emisor.

    En todo caso, los mecanismos criptogrficos no son infalibles por lo que su objetivo

    principal radica o reside en ser lo suficientemente complejos como para evitar su

    descifrado atendiendo al estado de la tcnica actual.

    15

  • 7/25/2019 tema1Ciberbuling

    16/31

    Ciberbullying

    TEMA 1 Ideas clave

    Tipos de criptografa

    Existen dos tipos de criptografa:

    Simtrica o de clave secreta.En la que se utiliza una misma clave para cifrar y

    descifrar los mensajes y que se basan en algoritmos de encriptacin como el Data

    Encryption Estndar (DES) o el RC5 o IDEA.

    Asimtrica o de clave pblica. En la que se utiliza una clave pblica para cifrar el

    mensaje y una clave privada para descifrarlo. De esta forma cualquiera puede cifrar

    un mensaje pero solo quien tenga la clave privada puede descifrarlo. El objetivo de la

    criptografa asimtrica es garantizar la integridad y la autentificacin del origen de los

    datos. Su algoritmo de encriptacin ms conocido y utilizado es el RSA.

    En algunas ocasiones se utilizan ambos mtodos de encriptacin al

    mismo tiempo. Un claro ejemplo de lo que acabamos de exponer es

    el protocolo SSL, que se utiliza como conexin segura en Internet.

    Utiliza primero una clave pblica para enviar de forma cifrada la

    clave secreta DES que posteriormente se utilizar en la

    comunicacin. De esta forma, dicha clave, solo podr descifrarse en

    destino. Este mtodo se conoce como One Time Passwordya que para cada sesin se

    genera una nueva clave DES.

    El protocolo SSL es aquel que utiliza nuestro navegador cuando est en modo seguro. Se

    caracteriza por que en la URL de nuestro navegador nos sale https en lugar de http

    y, en la parte inferior de nuestro navegador aparece un candado cerrado.

    Firma digital

    El objetivo de la firma digital es garantizar y certificar los contenidos de un

    mensaje. Con la firma digital no es necesario, aunque s conveniente, que el mensaje

    vaya cifrado. En realidad dicho mensaje contienen un cdigo que identifica dicho

    mensaje y que va cifrado con una clave privada.

    A dicho proceso de certificar el mensaje con una firma digital se le denomina

    firmado. La firma digital proporciona la integridad, la confidencialidad y el no

    repudio del mensaje.

    16

  • 7/25/2019 tema1Ciberbuling

    17/31

    Ciberbullying

    TEMA 1 Ideas clave

    1.7. Seguridad interna

    Dentro de la seguridad interna podemos englobar todos aquellos mecanismos que

    aportan seguridad a los equipos y sistemas informticos frente a riesgos procedentes del

    interior de una organizacin aunque, en la mayora de las ocasiones, los presentes

    mecanismos tambin se encuentran preparados para afrontar riesgos procedentes del

    exterior.

    En este sentido, las medidas de seguridad de carcter internoque merece la pena

    destacar, son las siguientes:

    Autenticacin.Esta medida de seguridad pretende asegurar que cualquier persona

    que trate de acceder al sistema informtico deba pasar, de forma previa, por un

    filtro en el que demuestre al sistema informtico tanto que est autorizado para

    acceder a dicho sistema como que se encuentra autorizado a acceder a una

    determinada informacin en funcin de los privilegios que tenga asignados. A da de

    hoy, la frmula ms extendida para proceder a la identificacin de las personas dentro

    de un sistema informtico es a travs de un identificador basado en usuario y

    contrasea que, a su vez, se encuentran asociados a una serie de privilegios, de forma

    que no todas las personas puedan acceder a la informacin considerada crtica dentro

    de la organizacin.

    En este sentido, debemos detallar que la autenticacin implica una cierta

    concienciacin del usuario, puesto que ser necesario que este custodie de forma

    adecuada sus claves de acceso al sistema.

    Ya hemos dicho que la frmula usuario-contrasea es la ms extendida, pero no es la

    nica. Es posible encontrarnos otros sistemas de autenticacin basados en tarjetas de

    acceso, reconocimiento de voz, reconocimiento de huellas dactilares, etc.

    Copias de seguridad (backups). Esta medida de seguridad tiene como finalidad

    que la informacin perdure dentro del sistema informtico aun cuando este haya

    podido sufrir un desastre o se haya visto sometido a un riesgo o amenaza (perdida de

    informacin, inundacin, incendio, sobrecarga elctrica que ha daado los

    componentes del sistema informtico, etc.)

    Las copias de seguridad actan como salvaguarda y, por esta razn, es de vitalimportancia que las mismas se encuentren sometidas a un protocolo que dictamine

    17

  • 7/25/2019 tema1Ciberbuling

    18/31

    Ciberbullying

    TEMA 1 Ideas clave

    cmo se van a planificar a lo largo del tiempo, cmo se va a verificar su correcta

    realizacin y funcionamiento y de qu forma se van a custodiar dentro de la

    organizacin.

    Registros y auditoras. Esta medida de seguridad se encuentra encaminada a

    mantener un registro de las operaciones realizadas dentro del sistema informtico

    para, en un segundo paso o de forma posterior, proceder a la realizacin de una

    auditora del sistema informtico que pueda aportar informacin detallada sobre el

    acceso a los sistemas de informacin as como los posibles fallos de seguridad del

    mismo.

    1.8. Seguridad perimetral

    Este tipo de seguridad pretende evitar, en la medida de lo posible, los ataques externos

    a los equipos y sistemas informticos.

    Obviamente los ataques externos tienen una tipologa muy variada y pueden responder

    a una gran variedad de objetivos.

    En todo caso, lo ms prctico para evitar ataques que provengan del exterior, sera que

    nuestros equipos y sistemas no tuviesen ninguna conexin con el exterior. Sin embargo,

    hoy en da dicha solucin se hace totalmente inviable puesto que la gran ventaja de los

    equipos o sistemas informticos es precisamente esa capacidad para conectarse con el

    exterior y, de esta forma, acceder a informacin o facilitar las posibilidades de

    comunicacin.

    Por tanto, y dado que se hace necesario mantener una conexin con el exterior, lasolucin ms segura en el presente entorno se basa en mantener un nico enlace o

    conexin con el exterior. Y cmo es posible realizar este tipo de control? A travs de

    un dispositivo denominado cortafuegos y comnmente denominado en el argot

    informtico comofirewall.

    La funcin de losfirewalldentro de un sistema informtico consiste en tratar de aislar

    dicho sistema de los problemas externos, delimitando y controlando el trnsito de

    informacin entre la red externa (Internet) y el sistema informtico.

    18

  • 7/25/2019 tema1Ciberbuling

    19/31

    Ciberbullying

    TEMA 1 Ideas clave

    Un dispositivofirewallva a permitir aadir diversos tipos de barreras de forma tal que

    a cualquier equipo externo le resulte mucho ms difcil el acceso al sistema informtico.

    En este sentido es muy importante que, a la hora de configurar el firewall, se defina

    claramente qu tipo de informacin va a permitir pasar y qu tipo de informacin no va

    a permitir pasar, estableciendo para ello, una poltica de permisos.

    Bsicamente podemos decir que las funciones de unfirewallson las siguientes:

    En la imagen anterior se detalla un solo ordenador, meramente a efectos visuales.

    Obviamente en las implementaciones reales esto es mucho ms complejo puesto que

    generalmente un sistema informtico suele componerse de varios ordenadores y,

    generalmente, una red perimetral que ofrece los servicios que una determinada

    organizacin quiere suministrar al exterior tales como sus pginas web, correo

    electrnico, etc. De esta forma cualquier amenaza o riesgo proveniente del exterior

    deber, si quiere entrar en la red interna, pasar dos filtros. Por una lado, el cortafuegos

    de la red perimetral y, por otro lado, el cortafuegos de la red interna.

    No obstante, no solo las grandes organizaciones disponen de dispositivosfirewall. En la

    actualidad tambin existen cortafuegos domsticos que se instalan en el propio

    ordenador personal y lo protegen de posibles riesgos o amenazas exteriores, alertando al

    usuario y que, esta vez s, responden ms fielmente a la imagen mostrada.

    PC

    PC PC

    PC

    PCPC

    PC

    Ordenador InternetCortafuegos

    Funciones de un firewall

    Bloquear el acceso a determinadas pginas web

    Controlar el acceso a servicios externos

    Monitorizar las comunicaciones entre la redinterna y la red externa

    19

  • 7/25/2019 tema1Ciberbuling

    20/31

    Ciberbullying

    TEMA 1 Ideas clave

    Pero en lo que a la seguridad perimetral se refiere, no solo disponemos de los

    mecanismosfirewalls. Dentro de la seguridad perimetral tambin nos encontramos con:

    Antivirus perimetrales.Su principal objetivo reside en analizar todo el trfico que

    entra y sale de la red y comprobar que dicho trfico no se encuentra infectado por

    ningn virus.

    Deteccin de intrusos. Este sistema se basa en alertar cuando se produce un fallo

    de seguridad dentro del sistema o equipo informtico. Generalmente este tipo de

    seguridad va a comprobar que un usuario no autorizado se ha conectado al sistema o

    equipo informtico, o bien va a detectar que alguien no autorizado ha accedido al

    comprobar que se han modificado archivos en el sistema o que los ordenadores del

    sistema se estn comportando de un modo extrao (fallos continuos, sobrecargas,

    etc.).

    Dentro de este tipo de sistemas de deteccin encontramos dos categoras bsicas:

    o

    Basados en red: que son aquellos que se encuentran conectados a la red interna

    de la organizacin y analizan todo el trfico.

    o Basados en host: aquellos instalados en la propia mquina y que protegen a la

    misma.

    Denegacin del servicio. Un ataque de denegacin del servicio se produce cuando

    un riesgo o amenaza abusa del equipo o sistema informtico impidiendo un correcto

    funcionamiento del mismo e impidiendo que otros usuarios puedan acceder al mismo.

    Las medidas de seguridad tendentes a evitar esta situacin se basan en tratar de evitar

    dicho abuso poniendo lmites al uso del sistema o equipo informtico por parte de

    cada usuario, de forma individual.

    Redes privadas virtuales. Hoy en da es habitual permitir el acceso a los sistemas

    o equipos informticos de una forma remota. Nuevos escenarios como la movilidad

    de las personas o incluso el teletrabajo han demandado esta nueva forma de actuar.

    Esto, sin embargo, ha generado nuevas amenazas para los equipos y sistemas

    informticos y, en este sentido, ha sido necesario habilitar nuevos mecanismos de

    seguridad. El objetivo de las redes privadas virtuales es garantizar que cualquier

    usuario que se conecte de forma remota a los equipos o sistemas informticos

    dispongan de un canal de comunicaciones seguro. Es decir, que a pesar de que se

    20

  • 7/25/2019 tema1Ciberbuling

    21/31

    Ciberbullying

    TEMA 1 Ideas clave

    acceda de una forma remota, dicho acceso o conexin se produzca de la misma forma

    y con las mismas garantas que si dicha conexin se produjese en el mismo equipo o

    sistema informtico.

    1.9. Recomendaciones a la hora de navegar

    Hoy en da la navegacin webes una de las actividades a las que ms tiempo dedican

    las personas dentro de la red de redes: redes sociales, contenidos multimedia, descarga

    de archivos, comercio electrnico y un sinfn de actividades se realizan a travs de este

    medio.

    Sin embargo, hemos de dejar constancia de que dicha navegacin no es, en ningn caso,

    annima y que, por tanto, la seguridadas como la privacidadson partes relevantes

    en nuestra navegacin a las cuales debemos prestar la mxima atencin.

    En este sentido se hace necesario aportar unos consejos generalesque nos permitan

    realizar un uso seguro y responsable durante nuestra navegacin:

    Nuestros equipos y sistemas informticos deben contar con un antivirus que seejecute con la regularidad necesaria. Asimismo es altamente recomendable contar con

    un cortafuegos (algunos sistemas operativos como Windows ya cuenta con uno

    activado por defecto) as como algn programa o software antimalware como

    puede ser Spybot, entre otros.

    Nuestro sistema operativo debe estar correctamente instalado y ser necesario

    aplicar en l todas las actualizaciones que se encuentren disponibles en cada

    momento. En este sentido tambin es altamente recomendable que nuestrosnavegadores (Internet Explores, Firefox, Chrome) se encuentren debidamente

    actualizados y, en su caso, instalar en nuestros equipos las versiones ms recientes.

    Utilizar conexiones segurassiempre que sea posible y, en todo caso, cuando sea

    necesario transmitir datos de naturaleza sensible. En este sentido debemos tener en

    cuenta que este tipo de conexiones son fcilmente reconocibles ya que la direccin

    web debe comenzar por https y que, adems, en la parte inferior del navegador

    deber aparecer un candado cerrado que nos va a indicar que hemos establecido unaconexin segura.

    21

  • 7/25/2019 tema1Ciberbuling

    22/31

    Ciberbullying

    TEMA 1 Ideas clave

    Cuando en alguna pgina se nos soliciten datos personalesdeberemos comprobar

    los certificados de seguridad de la misma.

    Durante nuestra navegacin web nunca deberemos hacer clic en enlaces

    sospechosos. Dichos enlaces pueden contener malwareo algn tipo de amenaza

    para nuestros equipos y sistemas informticos.

    No es recomendable acceder a sitios web de dudosa reputacin, tales como

    pginas de softwareilegal o pginas que proporcionen nmeros de serie de software

    legal.

    Ser selectivos y mantenerse cautos ante los resultadosque puedan ofrecernos los

    buscadores web. En algunas ocasiones, los atacantes pueden utilizar una

    diversidad de tcnicas denominadas black hat SEO para posicionar sus sitios web

    (maliciosos) en los primeros lugares de los buscadores, sobre todo cuando realizamos

    bsquedas a travs de trminos o palabras clave utilizadas por el pblico en general.

    En este sentido se recomienda instalar en los equipos o sistemas informticos algn

    tipo de softwareanalizador de enlacescomo por ejemplo Avast Web Report.

    Es altamente recomendable utilizarpluginso extensiones en nuestro navegador para

    eliminar las ventanas emergentes, conocidas comnmente como pop-ups, que

    aparecen durante la navegacin.

    Cuando accedemos a travs de equipos o sistemas informticos pblicos, como

    los cibercafs o los aeropuertos, ser necesario omitir la navegacin en sitios web que

    requieran de un nivel alto de seguridad (pginas de entidades bancarias o financieras,

    por ejemplo) y, en el caso de que sea estrictamente necesario, se debern tomar las

    debidas medidas de seguridad, como por ejemplo eliminar los archivos temporales, la

    informacin almacenada en cach, las cookies y nunca almacenar las direcciones

    URL, contraseas y dems informacin crtica para no dejar rastro de nuestra

    navegacin.

    Durante nuestra navegacin, si se nos ofrece la descarga de aplicaciones que no

    hemos solicitados, jams deberemos aceptarlas sin antes verificar su integridad a

    travs de algn antivirus o aplicacin de seguridad.

    22

  • 7/25/2019 tema1Ciberbuling

    23/31

    Ciberbullying

    TEMA 1 Ideas clave

    Cuando se instalen complementos para el navegador, tales como toolbars o

    barras de utilidades, ser necesario verificar previamente su autenticidad y se

    proceder a su instalacin solo si las conocemos y realmente necesitamos utilizarlas.

    Asimismo, durante nuestra navegacin deberemos prestar especial atencin a la

    proteccin de nuestra privacidadteniendo presentes los siguientes consejos:

    No facilitar datos personalesa no ser que estemos completamente seguros de la

    identidad de su receptor. Salvo que sea estrictamente necesario, nunca se deber

    facilitar datos personales que no sean obligatorios.

    No es recomendable incluir en ninguna pgina web informacin personalrelativa

    a nuestros gustos, aficiones o preferencias. Este tipo de informacin suele utilizarse

    con fines de marketing o publicidad estrechamente relacionada con los datos que

    previamente hemos facilitado.

    Ser muy cuidadosos con la informacin que compartimosa travs de Internet y,

    sobre todo, con quin la compartimos.

    En relacin al uso de contraseas, es recomendable tener presentes los siguientes

    consejos:

    Se deber tener precaucin con las contraseas que se almacenen en nuestro

    navegador y, en todo caso, utilizar una contrasea maestra para que nadie ms pueda

    acceder a las mismas. En lneas generales, se debe evitar el almacenamiento por

    defecto de informacin crtica en nuestro navegador. Dicha informacin

    puede ser fcilmente robada a travs de aplicaciones o cdigos maliciosos.

    Es recomendable cambiar nuestras contraseas de forma peridicaas como

    utilizar contraseas robustasteniendo claro que nunca deberemos dejar dichas

    contraseas guardadas en nuestro disco duro o anotadas en un papel.

    Adems, cuando procedamos a la descarga de softwarey aplicaciones deberemos

    tener en cuenta los siguientes consejos:

    Mantenerse alerta cuando recibamos archivos tanto en sesiones de chat como desde

    cualquier pgina web o aplicacin que se ejecute desde el navegador.

    23

  • 7/25/2019 tema1Ciberbuling

    24/31

    Ciberbullying

    TEMA 1 Ideas clave

    Extremar la precaucin con los ficheros que se descargan desde redes peer to peer

    (P2P), descarga directa o enlaces tipo torrent. Es muy probable que incluyan algn

    tipo de malware y, por tanto, antes de abrirlos debern ser analizados con un

    antivirus o con un antimalware.

    Por ltimo debemos ser conscientes de que la alta popularidad que tienen las redes

    sociales constituye un gran campo para que los atacantes traten de engaar a sus

    usuarios y propagar nuevas amenazas. En este sentido cuando utilicemos redes sociales

    deberemos tener presentes los siguientes consejos:

    Evitar publicar ningn tipo de informacin sensible y confidencial as como

    publicar imgenes propias y de familiares. Todo ello puede ser utilizado por terceros

    con fines maliciosos.

    Procurar configurar el perfil de modo que este no sea pblico.

    No responder a las solicitudes de desconocidos, ya que pueden contener cdigos

    maliciosos o pueden formar parte de actividades delictivas.

    Ignorarlos mensajes que ofrecen material pornogrfico, ya que suelen ser canales o

    mecanismos para la propagacin de malware.

    Cambiar peridicamente la contrasea de nuestro perfil dentro de la red social para

    evitar casos o situaciones de suplantacin de identidad.

    Denunciar los abusosque se detecten dentro de la red social.

    24

  • 7/25/2019 tema1Ciberbuling

    25/31

    Ciberbullying

    TEMA 1 Lo + recomendado

    Lo + recomendado

    No dejes de leer

    Libro electrnico de seguridad informtica y criptografa

    Libros electrnicos en los que se desgranan los aspectos ms importantes de la seguridad

    informtica y de la criptografa.

    Accede a los documentos a travs del aula virtual o desde la siguiente direccin web:

    http://www.criptored.upm.es/guiateoria/gt_m001a.htm

    Gestionar las amenazas en la era digital

    Interesante artculo de IBM en el que se aborda el tema de la seguridad, el riesgo y el

    cumplimiento desde el punto de vista de la alta direccin.

    Accede al artculo a travs del aula virtual o desde la siguiente direccin web:

    http://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-

    digital.pdf

    25

    http://www.criptored.upm.es/guiateoria/gt_m001a.htmhttp://www.criptored.upm.es/guiateoria/gt_m001a.htmhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfhttp://www.criptored.upm.es/guiateoria/gt_m001a.htm
  • 7/25/2019 tema1Ciberbuling

    26/31

    Ciberbullying

    TEMA 1 Lo + recomendado

    No dejes de ver

    Seguridad Informtica: Digital Latches for your Digital Life SI2014

    Interesante conferencia de Chema Alonso en el XCongreso de la Ingeniera Informtica

    de la Comunidad Valenciana.

    Accede al vdeo a travs del aula virtual o desde la siguiente direccin web:

    https://www.youtube.com/watch?v=84bO7CUn_xU

    Hotmail y la seguridad en el correo electrnico

    Charla sobre seguridad en Hotmail impartida por Chema Alonso en la Gira Up To Secure

    2011.

    Accede al vdeo a travs del aula virtual o desde la siguiente direccin web:

    https://www.youtube.com/watch?v=1F7RUeHFifg

    26

    https://www.youtube.com/watch?v=84bO7CUn_xUhttps://www.youtube.com/watch?v=84bO7CUn_xUhttps://www.youtube.com/watch?v=1F7RUeHFifghttps://www.youtube.com/watch?v=1F7RUeHFifghttps://www.youtube.com/watch?v=1F7RUeHFifghttps://www.youtube.com/watch?v=84bO7CUn_xU
  • 7/25/2019 tema1Ciberbuling

    27/31

  • 7/25/2019 tema1Ciberbuling

    28/31

    Ciberbullying

    TEMA 1 + Informacin

    Bibliografa

    Areitio, J. (2008). Seguridad de la Informacin. Redes, informtica y sistemas de

    informacin. Madrid: Paraninfo.

    Caballero, P. (2002).Introduccin a la Criptografa(2 ed.). Madrid: Ra-Ma.

    Cariacedo, J. (2004).Seguridad en redes telemticas. Madrid: McGraw Hill.

    Fster, A., De la Gua, D., Hernndez, L., Montoya, F. y Muoz, J. (2004). Tcnicas

    Criptogrficas de Proteccin de Datos(3 ed.). Madrid: Ra-Ma.

    Menezes, A. J., Oorsschof, P. y Vanstone, S. (1996).Handbook of Applied Cryptography.

    CRC Press. Recuperado dehttp://cacr.uwaterloo.ca/hac/

    Pastor, J. y Sarasa, M. A. (1998). Criptografa Digital. Prensas Universitarias de

    Zaragoza.

    Schneier, B. (1996).Applied Cryptography. Protocols, Algorithms, and Source Code in

    C. (2 ed.). John Wiley & Sons, Inc.

    Stallings, W. (2003). Cryptography and Network Security. Principles and Practice(3

    ed.). Prentice Hall International Editions.

    28

    http://cacr.uwaterloo.ca/hac/http://cacr.uwaterloo.ca/hac/http://cacr.uwaterloo.ca/hac/http://cacr.uwaterloo.ca/hac/
  • 7/25/2019 tema1Ciberbuling

    29/31

    Ciberbullying

    TEMA 1 Test

    Test

    1.Las siglas TIC hacen referencia a:

    A. Tecnologas de la informtica y las computadoras.B. Tecnologas de la informacin y las computadoras.

    C. Tecnologas de la informacin y las comunicaciones.

    D. Todas las respuestas son incorrectas.

    2.La seguridad informtica abarca una gran cantidad de soluciones que tienen como

    objetivo prioritario:

    A. Que la informacin tratada en un sistema informtico determinado sea

    protegida.

    B. Que la informacin tratada en un sistema informtico determinado sea ntegra.

    C. Que la informacin tratada en un sistema informtico determinado sea no

    repudiada.

    D. Todas las respuestas son correctas.

    3.Cul es un tipo de troyano:

    A. Worm.

    B.Dialer.

    C.Adware.

    D.Spyware.

    4.Un scriptes:

    A. Cdigo malicioso creado con la finalidad de aprovechar fallos o vulnerabilidades

    de los sistemas informticos para poder actuar con total libertad dentro del sistema

    informtico atacado.

    B.Softwareintroducido en los equipos informticos despus de que un atacante

    haya conseguido hacerse con el control del sistema.

    C. Cdigos escritos en cualquier lenguaje de programacin que tienen como

    finalidad la realizacin de acciones no deseadas en el equipo informtico

    generalmente por medio del navegador o del correo electrnico.

    D.Softwareque bloquea el acceso al equipo por parte del usuario, mostrando un

    mensaje que conmina al usuario a pagar un determinado precio para rescatar el

    control de su equipo.

    29

  • 7/25/2019 tema1Ciberbuling

    30/31

    Ciberbullying

    TEMA 1 Test

    5.La consistencia es que:

    A. La informacin solo puede ser accedida por aquel que est autorizado.

    B. La informacin no puede ser eliminada o modificada sin el oportuno permiso o

    autorizacin.

    C. La informacin debe encontrarse disponible, siempre que sea necesario.

    D. Se debe garantizar que todas las operaciones realizadas sobre la informacin se

    comportan de acuerdo con lo esperado.

    6.Los sistemas de firma digital se basan en:

    A. La criptografa.

    B. El encapsulado de informacin.

    C. La disponibilidad.

    D. La integridad.

    7.El protocolo SSL se caracteriza por que en la URL de nuestro navegador nos sale:

    A. Http.

    B. Un candado cerrado.

    C. Https.

    D. Todas las respuestas son incorrectas.

    8.Una medida de seguridad interna es:

    A. Copias de seguridad.

    B.Firewall.

    C. Redes privadas virtuales.

    D. Todas las respuestas son correctas.

    9.Una medida de seguridad perimetral es:

    A. Copias de seguridad.

    B. Registros y auditoras.

    C.Firewall.

    D. Todas las respuestas son correctas.

    30

  • 7/25/2019 tema1Ciberbuling

    31/31

    Ciberbullying

    10. En las redes sociales debemos:

    A. Evitar publicar ningn tipo de informacin sensible y confidencial as como

    publicar imgenes propias y de familiares.

    B. Procurar configurar el perfil de modo que este no sea pblico.

    C. No responder a las solicitudes de desconocidos.

    D. Todas las respuestas son correctas.