Professional Documents
Culture Documents
TEMA
TEMA 1 Esquema
Riesgos
Qu es la seguridad?
Introduccin
Conceptos bsicos
Objetivos de la criptografa
Tipos de criptografa
Firma digital
Seguridad
Protecciones fsicas,
informticas y organizativas
Seguridad
Recomendaciones a la
hora de navegar
Seguridad Perimetral
Autenticacin
Copias de seguridad
Registros y auditoras
Seguridad interna
Ciberbullying
Esquema
Ciberbullying
Ideas clave
1.1. Cmo estudiar este tema?
Para estudiar este tema debers leer las Ideas clave desarrolladas en este documento,
que se complementan con lecturas y otros recursos para que puedas ampliar los
conocimientos sobre el mismo.
1.2. Introduccin
A lo largo de la historia el ser humano se ha destacado por su afn investigador,
produciendo un sinfn de artefactos, as como adquiriendo conocimientos cada vez ms
exhaustivos de su propio entorno y de s mismo.
La gran revolucin en este sentido ha llegado en el siglo XX extendiendo y ampliando su
evolucin en el actual y an joven siglo XXI. Nos referimos a las denominadas
tecnologas de la informacin y las comunicaciones (TIC) que en menos de 30
aos han sufrido una evolucin y desarrollo impensable.
Solo como un claro ejemplo de lo anteriormente mencionado, podemos centrarnos en la
telefona, que en pocos aos ha pasado de ser fija a convertirse en mvil va satlite y a
travs de unos terminales que ya poco o nada tienen que ver con un terminal de telefona
propiamente dicho.
Lo que hoy en da conocemos como telfono mvil, es un terminal multifuncin que nos
permite, no solo la conversacin por audio, sino a travs de la escritura SMS, imgenes y
Ciberbullying
voz a travs de las conocidas vdeollamadas, servicios en tiempo real de noticias, agenda,
pago a travs del mvil, televisin, radio, Internet y un largo etctera que crece cada da
un poco ms. Como podemos observar, la evolucin en esta tecnologa en concreto, y
lo cual es extensible a las dems, es constante e imparable.
A travs de un ordenador podemos conectarnos a la red y acceder a informacin o
comunicacin desde cualquier parte del globo y prcticamente en tiempo real. Tiempo
y espacio han desaparecido, en la prctica.
Todos y cada uno de estos avances tecnolgicos han sido uno de los factores
determinantes de lo que a da de hoy se denomina proceso globalizador o
globalizacin, provocado fundamentalmente por un abaratamiento de los productos
tecnolgicos que, de esta forma, pueden ser consumidos por un gran nmero de
personas.
Aun as, todo este proceso globalizador tiene a grandes rasgos una cara oculta que
posee dos vertientes principales:
Existe una barrera en sectores de la poblacin, tanto a nivel mundial (falta de
recursos econmicos para acceder a la tecnologa necesaria) como a nivel estatal (falta
de formacin para utilizarla correctamente).
Se puede acceder a una gran cantidad de informacin, lo que puede producir una
recepcin informativa a veces redundante y a veces poco fiable.
Pero debemos centrarnos en una tercera vertiente que cobra peso y que, en la
actualidad, es una de las mayores preocupaciones de los internautas, la seguridad.
Casos como las filtraciones de informacin de la Agencia Nacional de Seguridad de los
Estados Unidos (NSA) por parte de Edward Snowden o los ataques informticos, por
parte de colectivos como Anonimus, que han comprometido la seguridad de grandes
compaas como Sony o incluso a el Fondo Monetario Internacional han contribuido a
generar un incremento de la preocupacin de la privacidad y la seguridad en
Internet.
Es decir, se ha generado un alto inters, por parte de los usuarios de Internet, sobre cmo
garantizar la seguridad de su informacin en Internet. No podemos obviar que la
masificacin de Internet como sistema comunicativo, as como el uso frecuente de
Ciberbullying
Por tanto, se hace necesario que cualquier usuario de Internet comprenda y entienda que
es necesario adoptar una serie de medidas de seguridad para mitigar el impacto as como
Ciberbullying
1.3. Qu es la seguridad?
La seguridad, cuando hablamos de equipos informticos, se centra es dos aspectos de
vital importancia:
Garantizar que la informacin contenida dentro de los sistemas informticos (y que
en algunas ocasiones puede ser de una trascendencia vital para una organizacin) no
se pierda o sea alterada de forma incorrecta.
Garantizar la privacidad de la informacin. Es decir, que la misma solo sea accesible
cuando sea necesaria o si se cuenta con las pertinentes autorizaciones.
La idea principal que subyace es, bsicamente, garantizar que un sistema
informtico es seguro. Sin embargo cundo es seguro? En este sentido debemos
decir que un sistema es seguro cuando es posible confiar en l y, adems, se comporta de
acuerdo a cmo se espera que se comporte.
La seguridad informtica abarca una gran cantidad de soluciones que tienen como
objetivo prioritario que la informacin tratada en un sistema informtico determinado
sea protegida. Esto implica, necesariamente, el establecimiento de un plan de
seguridad tendente a definir las necesidades y objetivos y que, adems, sea compatible
con el coste de su implementacin, en relacin al beneficio que va a aportar.
No obstante, el trmino seguridad es muy amplio y engloba los siguientes aspectos:
Confidencialidad. La informacin solo puede ser accedida por aquel que est
autorizado.
Ciberbullying
En todo caso, debe quedar muy claro que aplicar medidas de seguridad en nuestros
equipos no es una frmula mgica y que con la misma conseguiremos eludir cualquier
tipo de amenaza y estaremos siempre seguros.
Aplicar medidas de seguridad nicamente nos va a permitir minimizar el impacto de
dichos riesgos o evitarlos en la medida de lo posible, pero en ningn caso podremos evitar
dichos riesgos al 100 %.
Como usuarios podremos adoptar una serie de medidas encaminadas a garantizar la
seguridad y privacidad de nuestra informacin, sin embargo, ningn sistema informtico
se encuentra exento de sufrir ataques.
Otra cuestin relevante, en cuanto a seguridad se refiere, es la que tiene que ver con la
usabilidad y que siempre nos va a plantear un reto o un desafo a la hora de decidir si
implementar o no una determinada medida de seguridad en nuestros equipos
informticos.
Nos referimos, en este sentido, a la claridad y la elegancia con que se disea la medida
de seguridad concreta y que en la medida de lo posible debe resultar lo
Ciberbullying
1.4. Riesgos
Qu ataques puede sufrir un sistema informtico? Esta es, sin duda, la
pregunta clave puesto que si sabemos detectar dichos ataques seremos, a su vez, capaces
de adoptar las medidas de seguridad necesarias para evitarlos.
Vamos a ver ahora, de una forma resumida, cules son los tipos de ataques ms
habituales que puede sufrir un sistema informtico:
1. Troyanos o caballos de Troya. Nos encontramos en presencia de un tipo de
software, obviamente daino, que se disfraza de software legtimo. Este tipo de
programas no tienen capacidad para poder replicarse a s mismos, por lo que son
adjuntados con cualquier otro tipo de software pasando a contaminar los equipos
informticos a travs del engao. Otra de sus particularidades principales reside en que
en el momento de introducirse en el equipo no producen efectos realmente visibles.
Adems, este tipo de software puede diferenciarse en funcin de los distintos efectos que
provocan sobre los equipos informticos:
Troyanos bancarios (bankers). Se utilizan para proceder al robo de las
credenciales de autenticacin utilizadas para realizar operaciones bancarias a travs
de Internet, a travs de formularios falsos, capturas de vdeo o incluso por medio del
robo de los propios certificados digitales.
Puertas traseras (backdoors). A travs de este tipo de software, la persona atacante
tomar el control remoto del equipo infectado, siendo capaz de realizar mltiples
acciones como la descarga de archivos, espiar el contenido almacenado en el equipo,
etc.
Capturadores de pulsaciones (keyloggers). Software que es capaz de capturar y
almacenar las pulsaciones efectuadas sobre un teclado. De esta forma el atacante
Ciberbullying
Ciberbullying
diferencia de los virus, los gusanos no necesitan otro archivo para replicarse. Incluso son
capaces
de
modificar
el
sistema
operativo
para
autoejecutarse.
10
Ciberbullying
Adems, debemos tener en cuenta que hoy en da la navegacin web es una de las
acciones que ms realizan los internautas y, por tanto, podemos vernos expuestos a este
tipo de riesgos mientras navegamos a travs de Internet:
Al navegar es altamente probable que nos veamos expuestos a la posible instalacin
de software tipo adware, spyware e incluso ser directamente infectados por
descargar un troyano.
La navegacin tambin nos expone al riesgo de ser receptores de un ataque que nos
llegar por las propias vulnerabilidades, bien de nuestro sistema operativo, bien de
nuestras distintas aplicaciones o programas instalados en nuestro equipo informtico.
Que un atacante (conocidos como browser hijackers) trate de tomar el control de
nuestro navegador con la intencin de perpetrar cualquier otro fin malicioso. Como
regla general, este tipo de ataques proceden a agregar como favoritos de nuestro
navegador distintos marcadores (sin que seamos conscientes de ello), cambiar
automticamente nuestra pgina de inicio e incluso acceder y cambiar nuestras claves
de registro o instalar en nuestro equipo informtico keyloggers.
Instalacin, sin nuestro consentimiento, de rogueware.
Ataques destinados a infectar a una multiplicidad de usuarios que acceden a una
determinada pgina web. Los atacantes son capaces de explotar las debilidades de una
pgina web, incluyendo cdigo daino en dicha pgina e infectando de esta forma a
los usuarios que acceden a la misma.
Uso de informacin personal de los usuarios que facilitan determinada informacin
personal en las pginas web que visitan o de las que son usuarios habituales.
Ser vctimas de un fraude que tiene como finalidad proceder al robo de informacin
personal del usuario o acceder a sus equipos y dispositivos ocultando bajo una pgina
web enlaces fraudulentos que, al ser pulsados por el usuario, pueden ser capaces de
ejecutar cdigo malicioso en su equipo. Hoy en da esta amenaza es bastante comn y
se denomina clickjacking.
11
Ciberbullying
1.5. Seguridad
Cuando hablamos de seguridad, debemos ser plenamente conscientes de que los
riesgos nunca pueden ser eliminados a su totalidad. Es por esta razn que
cuando hablamos de seguridad, en lo que se refiere a los equipos y sistemas informticos,
siempre es necesario tener presente que su seguridad siembre debe encontrarse basada
en objetivos de carcter realista y que por tanto, debern realizarse despus de haber
realizado un estudio en el que se detallen tanto los costes como los beneficios de
implementar una determinada medida de seguridad.
Dicho esto, las medidas de seguridad se pueden clasificar en tres tipos diferentes:
Protecciones fsicas
Medidas de seguridad
Medidas informticas
Medidas organizativas
12
Ciberbullying
13
Ciberbullying
14
Ciberbullying
15
Ciberbullying
Tipos de criptografa
Existen dos tipos de criptografa:
Simtrica o de clave secreta. En la que se utiliza una misma clave para cifrar y
descifrar los mensajes y que se basan en algoritmos de encriptacin como el Data
Encryption Estndar (DES) o el RC5 o IDEA.
Asimtrica o de clave pblica. En la que se utiliza una clave pblica para cifrar el
mensaje y una clave privada para descifrarlo. De esta forma cualquiera puede cifrar
un mensaje pero solo quien tenga la clave privada puede descifrarlo. El objetivo de la
criptografa asimtrica es garantizar la integridad y la autentificacin del origen de los
datos. Su algoritmo de encriptacin ms conocido y utilizado es el RSA.
En algunas ocasiones se utilizan ambos mtodos de encriptacin al
mismo tiempo. Un claro ejemplo de lo que acabamos de exponer es
el protocolo SSL, que se utiliza como conexin segura en Internet.
Utiliza primero una clave pblica para enviar de forma cifrada la
clave
secreta
DES
que
posteriormente
se
utilizar
en
la
16
Ciberbullying
17
Ciberbullying
18
Ciberbullying
PC
PC
PC
Ordenador
PC
PC
PC
PC
Internet
Cortafuegos
Un dispositivo firewall va a permitir aadir diversos tipos de barreras de forma tal que
a cualquier equipo externo le resulte mucho ms difcil el acceso al sistema informtico.
En este sentido es muy importante que, a la hora de configurar el firewall, se defina
claramente qu tipo de informacin va a permitir pasar y qu tipo de informacin no va
a permitir pasar, estableciendo para ello, una poltica de permisos.
Bsicamente podemos decir que las funciones de un firewall son las siguientes:
Funciones de un firewall
19
Ciberbullying
20
Ciberbullying
acceda de una forma remota, dicho acceso o conexin se produzca de la misma forma
y con las mismas garantas que si dicha conexin se produjese en el mismo equipo o
sistema informtico.
21
Ciberbullying
22
Ciberbullying
23
Ciberbullying
Extremar la precaucin con los ficheros que se descargan desde redes peer to peer
(P2P), descarga directa o enlaces tipo torrent. Es muy probable que incluyan algn
tipo de malware y, por tanto, antes de abrirlos debern ser analizados con un
antivirus o con un antimalware.
Por ltimo debemos ser conscientes de que la alta popularidad que tienen las redes
sociales constituye un gran campo para que los atacantes traten de engaar a sus
usuarios y propagar nuevas amenazas. En este sentido cuando utilicemos redes sociales
deberemos tener presentes los siguientes consejos:
Evitar publicar ningn tipo de informacin sensible y confidencial as como
publicar imgenes propias y de familiares. Todo ello puede ser utilizado por terceros
con fines maliciosos.
Procurar configurar el perfil de modo que este no sea pblico.
No responder a las solicitudes de desconocidos, ya que pueden contener cdigos
maliciosos o pueden formar parte de actividades delictivas.
Ignorar los mensajes que ofrecen material pornogrfico, ya que suelen ser canales o
mecanismos para la propagacin de malware.
Cambiar peridicamente la contrasea de nuestro perfil dentro de la red social para
evitar casos o situaciones de suplantacin de identidad.
Denunciar los abusos que se detecten dentro de la red social.
24
Ciberbullying
Lo + recomendado
No dejes de leer
Libro electrnico de seguridad informtica y criptografa
Libros electrnicos en los que se desgranan los aspectos ms importantes de la seguridad
informtica y de la criptografa.
Accede a los documentos a travs del aula virtual o desde la siguiente direccin web:
http://www.criptored.upm.es/guiateoria/gt_m001a.htm
TEMA 1 Lo + recomendado
25
Ciberbullying
No dejes de ver
Seguridad Informtica: Digital Latches for your Digital Life SI2014
Interesante conferencia de Chema Alonso en el X Congreso de la Ingeniera Informtica
de la Comunidad Valenciana.
Accede al vdeo a travs del aula virtual o desde la siguiente direccin web:
https://www.youtube.com/watch?v=84bO7CUn_xU
Accede al vdeo a travs del aula virtual o desde la siguiente direccin web:
https://www.youtube.com/watch?v=1F7RUeHFifg
TEMA 1 Lo + recomendado
26
Ciberbullying
+ Informacin
A fondo
Introduccin a la seguridad informtica
Interesante artculo sobre los temas ms genricos relativos a la seguridad informtica.
Accede al artculo a travs del aula virtual o desde la siguiente direccin web:
http://es.kioskea.net/contents/622-introduccion-a-la-seguridad-informatica
Webgrafa
Muy Seguridad
Pgina dedicada a publicar noticias relacionadas con la Seguridad Informtica.
Accede al sitio web a travs del aula virtual o desde la siguiente direccin:
http://muyseguridad.net
Seguridad PC
Web dedicada a proporcionar recursos gratuitos para mantener protegido el ordenador,
entre ellos Programas, Noticias, Manuales, Videos, Boletines, entre otros.
Accede al sitio web a travs del aula virtual o desde la siguiente direccin:
http://www.seguridadpc.net
TEMA 1 + Informacin
27
Ciberbullying
Bibliografa
Areitio, J. (2008). Seguridad de la Informacin. Redes, informtica y sistemas de
informacin. Madrid: Paraninfo.
Caballero, P. (2002). Introduccin a la Criptografa (2 ed.). Madrid: Ra-Ma.
Cariacedo, J. (2004). Seguridad en redes telemticas. Madrid: McGraw Hill.
Fster, A., De la Gua, D., Hernndez, L., Montoya, F. y Muoz, J. (2004). Tcnicas
Criptogrficas de Proteccin de Datos (3 ed.). Madrid: Ra-Ma.
Menezes, A. J., Oorsschof, P. y Vanstone, S. (1996). Handbook of Applied Cryptography.
CRC Press. Recuperado de http://cacr.uwaterloo.ca/hac/
Pastor, J. y Sarasa, M. A. (1998). Criptografa Digital. Prensas Universitarias de
Zaragoza.
Schneier, B. (1996). Applied Cryptography. Protocols, Algorithms, and Source Code in
C. (2 ed.). John Wiley & Sons, Inc.
Stallings, W. (2003). Cryptography and Network Security. Principles and Practice (3
ed.). Prentice Hall International Editions.
TEMA 1 + Informacin
28
Ciberbullying
Test
1. Las siglas TIC hacen referencia a:
A. Tecnologas de la informtica y las computadoras.
B. Tecnologas de la informacin y las computadoras.
C. Tecnologas de la informacin y las comunicaciones.
D. Todas las respuestas son incorrectas.
2. La seguridad informtica abarca una gran cantidad de soluciones que tienen como
objetivo prioritario:
A. Que la informacin tratada en un sistema informtico determinado sea
protegida.
B. Que la informacin tratada en un sistema informtico determinado sea ntegra.
C. Que la informacin tratada en un sistema informtico determinado sea no
repudiada.
D. Todas las respuestas son correctas.
3. Cul es un tipo de troyano:
A. Worm.
B. Dialer.
C. Adware.
D. Spyware.
4. Un script es:
A. Cdigo malicioso creado con la finalidad de aprovechar fallos o vulnerabilidades
de los sistemas informticos para poder actuar con total libertad dentro del sistema
informtico atacado.
B. Software introducido en los equipos informticos despus de que un atacante
haya conseguido hacerse con el control del sistema.
C. Cdigos escritos en cualquier lenguaje de programacin que tienen como
finalidad la realizacin de acciones no deseadas en el equipo informtico
generalmente por medio del navegador o del correo electrnico.
D. Software que bloquea el acceso al equipo por parte del usuario, mostrando un
mensaje que conmina al usuario a pagar un determinado precio para rescatar el
control de su equipo.
TEMA 1 Test
29
Ciberbullying
5. La consistencia es que:
A. La informacin solo puede ser accedida por aquel que est autorizado.
B. La informacin no puede ser eliminada o modificada sin el oportuno permiso o
autorizacin.
C. La informacin debe encontrarse disponible, siempre que sea necesario.
D. Se debe garantizar que todas las operaciones realizadas sobre la informacin se
comportan de acuerdo con lo esperado.
6. Los sistemas de firma digital se basan en:
A. La criptografa.
B. El encapsulado de informacin.
C. La disponibilidad.
D. La integridad.
7. El protocolo SSL se caracteriza por que en la URL de nuestro navegador nos sale:
A. Http.
B. Un candado cerrado.
C. Https.
D. Todas las respuestas son incorrectas.
8. Una medida de seguridad interna es:
A. Copias de seguridad.
B. Firewall.
C. Redes privadas virtuales.
D. Todas las respuestas son correctas.
9. Una medida de seguridad perimetral es:
A. Copias de seguridad.
B. Registros y auditoras.
C. Firewall.
D. Todas las respuestas son correctas.
TEMA 1 Test
30
Ciberbullying
TEMA 1 Test
31