Seguridad y privacidad de la informacin

[1.1] Cmo estudiar este tema?

[1.2] Introduccin
[1.3] Qu es la seguridad?
[1.4] Riesgos
[1.5] Seguridad
[1.6] Criptografa y firma digital
[1.7] Seguridad interna
[1.8] Seguridad perimetral

TEMA

[1.9] Recomendaciones a la hora de navegar

TEMA 1 Esquema

Troyanos, virus, gusanos,

programas espa, etc.

Riesgos

Qu es la seguridad?

Introduccin

Conceptos bsicos
Objetivos de la criptografa
Tipos de criptografa
Firma digital

Seguridad

Protecciones fsicas,
informticas y organizativas

Seguridad

Recomendaciones a la
hora de navegar

Seguridad Perimetral

Autenticacin
Copias de seguridad
Registros y auditoras

Seguridad interna

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN

Ciberbullying

Esquema

Ciberbullying

Ideas clave
1.1. Cmo estudiar este tema?
Para estudiar este tema debers leer las Ideas clave desarrolladas en este documento,
que se complementan con lecturas y otros recursos para que puedas ampliar los
conocimientos sobre el mismo.

1.2. Introduccin
A lo largo de la historia el ser humano se ha destacado por su afn investigador,
produciendo un sinfn de artefactos, as como adquiriendo conocimientos cada vez ms
exhaustivos de su propio entorno y de s mismo.
La gran revolucin en este sentido ha llegado en el siglo XX extendiendo y ampliando su
evolucin en el actual y an joven siglo XXI. Nos referimos a las denominadas
tecnologas de la informacin y las comunicaciones (TIC) que en menos de 30
aos han sufrido una evolucin y desarrollo impensable.
Solo como un claro ejemplo de lo anteriormente mencionado, podemos centrarnos en la
telefona, que en pocos aos ha pasado de ser fija a convertirse en mvil va satlite y a
travs de unos terminales que ya poco o nada tienen que ver con un terminal de telefona
propiamente dicho.

Lo que hoy en da conocemos como telfono mvil, es un terminal multifuncin que nos
permite, no solo la conversacin por audio, sino a travs de la escritura SMS, imgenes y

TEMA 1 Ideas clave

Ciberbullying

voz a travs de las conocidas vdeollamadas, servicios en tiempo real de noticias, agenda,
pago a travs del mvil, televisin, radio, Internet y un largo etctera que crece cada da
un poco ms. Como podemos observar, la evolucin en esta tecnologa en concreto, y
lo cual es extensible a las dems, es constante e imparable.
A travs de un ordenador podemos conectarnos a la red y acceder a informacin o
comunicacin desde cualquier parte del globo y prcticamente en tiempo real. Tiempo
y espacio han desaparecido, en la prctica.
Todos y cada uno de estos avances tecnolgicos han sido uno de los factores
determinantes de lo que a da de hoy se denomina proceso globalizador o
globalizacin, provocado fundamentalmente por un abaratamiento de los productos
tecnolgicos que, de esta forma, pueden ser consumidos por un gran nmero de
personas.
Aun as, todo este proceso globalizador tiene a grandes rasgos una cara oculta que
posee dos vertientes principales:
Existe una barrera en sectores de la poblacin, tanto a nivel mundial (falta de
recursos econmicos para acceder a la tecnologa necesaria) como a nivel estatal (falta
de formacin para utilizarla correctamente).
Se puede acceder a una gran cantidad de informacin, lo que puede producir una
recepcin informativa a veces redundante y a veces poco fiable.
Pero debemos centrarnos en una tercera vertiente que cobra peso y que, en la
actualidad, es una de las mayores preocupaciones de los internautas, la seguridad.
Casos como las filtraciones de informacin de la Agencia Nacional de Seguridad de los
Estados Unidos (NSA) por parte de Edward Snowden o los ataques informticos, por
parte de colectivos como Anonimus, que han comprometido la seguridad de grandes
compaas como Sony o incluso a el Fondo Monetario Internacional han contribuido a
generar un incremento de la preocupacin de la privacidad y la seguridad en
Internet.
Es decir, se ha generado un alto inters, por parte de los usuarios de Internet, sobre cmo
garantizar la seguridad de su informacin en Internet. No podemos obviar que la
masificacin de Internet como sistema comunicativo, as como el uso frecuente de

TEMA 1 Ideas clave

Ciberbullying

servicios de valor aadido dentro de la misma (buscadores, comercio electrnico,

webmail, redes sociales) han generado un gran debate as como una creciente
preocupacin sobre el tema de la seguridad y la privacidad en Internet.
1. Edward Snowden ejerci funciones laborales en la NSA, como tcnico y, en junio de
2013, filtr una gran cantidad de informacin de inteligencia relacionada con el
control que ejerce el gobierno de los Estados Unidos de Norteamrica sobre la
privacidad de los datos de sus ciudadanos y del mundo en general.
2. Ataque al PlayStation Network de Sony. Podemos obtener ms informacin a travs
del siguiente enlace: http://www.rtve.es/noticias/20110426/sony-investiga-ataquemantiene-cerrado-playstation-network/427697.shtml
3. Ataque al Fondo Monetario Internacional. Podemos obtener ms informacin a travs
del siguiente enlace: http://www.publico.es/internacional/381436/el-fmi-atacadopor-piratas-informaticos-segun-el-new-york-times
Adems, la creciente implementacin de servicios en Internet hace que dicha
preocupacin se acreciente an ms. La tecnologa comnmente denominada nube
(cloud computing), ha experimentado en los ltimos aos un gran auge en cuanto al
nmero de usuarios que lo utilizan en detrimento de otros medios como las memorias de
almacenamiento USB o los medios pticos como CD y DVD, debido, en gran medida, a
que los servicios en la nube facilitan el acceso a la informacin al encontrarse
disponible desde prcticamente cualquier lugar del mundo en el que se disponga de
conexin a Internet.

Por tanto, se hace necesario que cualquier usuario de Internet comprenda y entienda que
es necesario adoptar una serie de medidas de seguridad para mitigar el impacto as como

TEMA 1 Ideas clave

Ciberbullying

la ocurrencia de los posibles ataques informticos (intrusiones, cdigos maliciosos, etc.)

que pueden afectar tanto a la privacidad de la informacin como a la seguridad de los
equipos informticos.
A lo largo de las prximas lneas vamos a ofrecer una visin general y global sobre
qu es la seguridad informtica as como cules son los tipos ms habituales de ataques
y cmo protegerse ante ellos.

1.3. Qu es la seguridad?
La seguridad, cuando hablamos de equipos informticos, se centra es dos aspectos de
vital importancia:
Garantizar que la informacin contenida dentro de los sistemas informticos (y que
en algunas ocasiones puede ser de una trascendencia vital para una organizacin) no
se pierda o sea alterada de forma incorrecta.
Garantizar la privacidad de la informacin. Es decir, que la misma solo sea accesible
cuando sea necesaria o si se cuenta con las pertinentes autorizaciones.
La idea principal que subyace es, bsicamente, garantizar que un sistema
informtico es seguro. Sin embargo cundo es seguro? En este sentido debemos
decir que un sistema es seguro cuando es posible confiar en l y, adems, se comporta de
acuerdo a cmo se espera que se comporte.
La seguridad informtica abarca una gran cantidad de soluciones que tienen como
objetivo prioritario que la informacin tratada en un sistema informtico determinado
sea protegida. Esto implica, necesariamente, el establecimiento de un plan de
seguridad tendente a definir las necesidades y objetivos y que, adems, sea compatible
con el coste de su implementacin, en relacin al beneficio que va a aportar.
No obstante, el trmino seguridad es muy amplio y engloba los siguientes aspectos:
Confidencialidad. La informacin solo puede ser accedida por aquel que est
autorizado.

TEMA 1 Ideas clave

Ciberbullying

Integridad. La informacin no puede ser eliminada o modificada sin el oportuno

permiso o autorizacin.
Disponibilidad. La informacin debe encontrarse disponible siempre que sea
necesario.
Consistencia. Se debe garantizar que todas las operaciones realizadas sobre la
informacin se comportan de acuerdo con lo esperado.
Control. Es necesario regular y controlar el acceso a la informacin contenida en los
equipos informticos.

En todo caso, debe quedar muy claro que aplicar medidas de seguridad en nuestros
equipos no es una frmula mgica y que con la misma conseguiremos eludir cualquier
tipo de amenaza y estaremos siempre seguros.
Aplicar medidas de seguridad nicamente nos va a permitir minimizar el impacto de
dichos riesgos o evitarlos en la medida de lo posible, pero en ningn caso podremos evitar
dichos riesgos al 100 %.
Como usuarios podremos adoptar una serie de medidas encaminadas a garantizar la
seguridad y privacidad de nuestra informacin, sin embargo, ningn sistema informtico
se encuentra exento de sufrir ataques.
Otra cuestin relevante, en cuanto a seguridad se refiere, es la que tiene que ver con la
usabilidad y que siempre nos va a plantear un reto o un desafo a la hora de decidir si
implementar o no una determinada medida de seguridad en nuestros equipos
informticos.
Nos referimos, en este sentido, a la claridad y la elegancia con que se disea la medida
de seguridad concreta y que en la medida de lo posible debe resultar lo

TEMA 1 Ideas clave

Ciberbullying

suficientemente prctica como para que sus usuarios no se vean

imposibilitados para usarla o les suponga un esfuerzo tan desproporcionado que
decidan no utilizarla.
Por tanto, a la hora de adoptar una determinada medida de seguridad deberemos
procurar que la misma sea usable y cmoda.

1.4. Riesgos
Qu ataques puede sufrir un sistema informtico? Esta es, sin duda, la
pregunta clave puesto que si sabemos detectar dichos ataques seremos, a su vez, capaces
de adoptar las medidas de seguridad necesarias para evitarlos.
Vamos a ver ahora, de una forma resumida, cules son los tipos de ataques ms
habituales que puede sufrir un sistema informtico:
1. Troyanos o caballos de Troya. Nos encontramos en presencia de un tipo de
software, obviamente daino, que se disfraza de software legtimo. Este tipo de
programas no tienen capacidad para poder replicarse a s mismos, por lo que son
adjuntados con cualquier otro tipo de software pasando a contaminar los equipos
informticos a travs del engao. Otra de sus particularidades principales reside en que
en el momento de introducirse en el equipo no producen efectos realmente visibles.
Adems, este tipo de software puede diferenciarse en funcin de los distintos efectos que
provocan sobre los equipos informticos:
Troyanos bancarios (bankers). Se utilizan para proceder al robo de las
credenciales de autenticacin utilizadas para realizar operaciones bancarias a travs
de Internet, a travs de formularios falsos, capturas de vdeo o incluso por medio del
robo de los propios certificados digitales.
Puertas traseras (backdoors). A travs de este tipo de software, la persona atacante
tomar el control remoto del equipo infectado, siendo capaz de realizar mltiples
acciones como la descarga de archivos, espiar el contenido almacenado en el equipo,
etc.
Capturadores de pulsaciones (keyloggers). Software que es capaz de capturar y
almacenar las pulsaciones efectuadas sobre un teclado. De esta forma el atacante

TEMA 1 Ideas clave

Ciberbullying

puede llegar a averiguar distintas contraseas del usuario legtimo para, en un

momento posterior, beneficiarse de las mismas.
Marcadores telefnicos (dialers). Este tipo de software se instala en un equipo
con la finalidad de desviar la conexin telefnica hacia otro nmero de tarificacin
especial causando un grave perjuicio econmico al afectado. Afortunadamente este
tipo de software solo puede afectar a aquellos usuarios que utilizan un servicio de
banda estrecha, bien a travs de RTBV (Red Telefnica Bsica) o RDSI (Red Digital
de Servicios Integrados). Hoy en da el uso de la banda ancha predomina sobre este
tipo de servicios anteriormente mencionados, por lo que este software malicioso es
bastante marginal.
Rogueware. El presente software tiene como finalidad principal engaar al usuario
y hacerle creer que se encuentra infectada por algn tipo de virus, coaccionando al
usuario para que page una determinada cantidad de dinero para eliminarlo.
2. Software Publicitario (Adware). La finalidad del presente software reside en
mostrar anuncios publicitarios que aparecen, de forma inesperada, en el equipo del
usuario cuando se est utilizando la conexin a una pgina web o instantes despus de
que se haya instalado en el equipo informtico. En muchas ocasiones pueden tener una
segunda finalidad consistente en recopilar informacin sobre los hbitos de navegacin
del usuario. De esta forma son capaces de generar un perfil de la personalidad de dicho
usuario, lo que les reporta el beneficio adicional de ser capaces de poder dirigir al usuario
una publicidad totalmente acorde a su personalidad e intereses.
3. Herramientas de intrusin. Son un tipo de software que puede ser utilizado por
un atacante remoto para realizar diferentes actividades: anlisis de seguridad, acceso al
equipo informtico, realizar cracking de contraseas, escner de puertos, etc.
4. Virus. El software malicioso ms conocido y en el que se suele incluir, por
desconocimiento, al resto de categoras que estamos definiendo en este apartado. Son
capaces de infectar a otros ficheros o programas del equipo infectado ya que una de las
caractersticas fundamentales de este tipo de software es que, al igual que los virus
naturales, necesitan de un husped, otro archivo, para poder realizar sus funciones.
5. Gusano (worm). Tipo de software que tiene la capacidad de poder propagarse a
cualquier parte del equipo informtico infectado o incluso a otros equipos y/o
dispositivos porttiles. En este sentido y dependiente del tipo de gusano, sus finalidades
son diversas pero todas dainas para los equipos informticos que pretenden infectar. A

TEMA 1 Ideas clave

Ciberbullying

diferencia de los virus, los gusanos no necesitan otro archivo para replicarse. Incluso son
capaces

de

modificar

el

sistema

operativo

para

autoejecutarse.

6. Programa espa (spyware). El presente software tiene como finalidad recopilar

informacin sobre el usuario sin su consentimiento. Suelen instalarse como
complementos del navegador (Explorer, Firefox, Chrome) sin que el usuario sea
consciente de este hecho. Posteriormente proceden a transmitir a un servidor los hbitos
de navegacin del usuario. Esta situacin ya es un problema en s mismo para el usuario
pero, adems, le genera un perjuicio adicional ya que este tipo de software consume una
gran cantidad de ancho de banda, lo que generar una ralentizacin del resto de servicios
que utiliza el usuario.
7. Otro tipo de software. Entre los que se pueden citar los siguientes:
Exploit. Cdigo malicioso creado con la finalidad de aprovechar fallos o
vulnerabilidades de los sistemas informticos para poder actuar con total libertad
dentro del sistema informtico atacado.
Rootkits. Software introducido en los equipos informticos despus de que un
atacante haya conseguido hacerse con el control del sistema. Este tipo de software
tiene como finalidad ocultar el rastro de dicho ataque borrando todo rastro del mismo
o encubriendo los procesos ejecutados por el atacante.
Scripts. Cdigos escritos en cualquier lenguaje de programacin que tienen como
finalidad la realizacin de acciones no deseadas en el equipo informtico
generalmente por medio del navegador (Explorer, Firefox, Chrome) o del correo
electrnico.
Lockers o scareware. Software que bloquea el acceso al equipo por parte del
usuario, mostrando un mensaje que conmina al usuario a pagar un determinado
precio para rescatar el control de su equipo.
Jokers. Aunque no causan ningn dao al equipo informtico que afectan, s que
alteran su normal funcionamiento a travs de acciones tendentes a molestar o distraer
a su usuario.

TEMA 1 Ideas clave

10

Ciberbullying

Adems, debemos tener en cuenta que hoy en da la navegacin web es una de las
acciones que ms realizan los internautas y, por tanto, podemos vernos expuestos a este
tipo de riesgos mientras navegamos a travs de Internet:
Al navegar es altamente probable que nos veamos expuestos a la posible instalacin
de software tipo adware, spyware e incluso ser directamente infectados por
descargar un troyano.
La navegacin tambin nos expone al riesgo de ser receptores de un ataque que nos
llegar por las propias vulnerabilidades, bien de nuestro sistema operativo, bien de
nuestras distintas aplicaciones o programas instalados en nuestro equipo informtico.
Que un atacante (conocidos como browser hijackers) trate de tomar el control de
nuestro navegador con la intencin de perpetrar cualquier otro fin malicioso. Como
regla general, este tipo de ataques proceden a agregar como favoritos de nuestro
navegador distintos marcadores (sin que seamos conscientes de ello), cambiar
automticamente nuestra pgina de inicio e incluso acceder y cambiar nuestras claves
de registro o instalar en nuestro equipo informtico keyloggers.
Instalacin, sin nuestro consentimiento, de rogueware.
Ataques destinados a infectar a una multiplicidad de usuarios que acceden a una
determinada pgina web. Los atacantes son capaces de explotar las debilidades de una
pgina web, incluyendo cdigo daino en dicha pgina e infectando de esta forma a
los usuarios que acceden a la misma.
Uso de informacin personal de los usuarios que facilitan determinada informacin
personal en las pginas web que visitan o de las que son usuarios habituales.
Ser vctimas de un fraude que tiene como finalidad proceder al robo de informacin
personal del usuario o acceder a sus equipos y dispositivos ocultando bajo una pgina
web enlaces fraudulentos que, al ser pulsados por el usuario, pueden ser capaces de
ejecutar cdigo malicioso en su equipo. Hoy en da esta amenaza es bastante comn y
se denomina clickjacking.

TEMA 1 Ideas clave

11

Ciberbullying

1.5. Seguridad
Cuando hablamos de seguridad, debemos ser plenamente conscientes de que los
riesgos nunca pueden ser eliminados a su totalidad. Es por esta razn que
cuando hablamos de seguridad, en lo que se refiere a los equipos y sistemas informticos,
siempre es necesario tener presente que su seguridad siembre debe encontrarse basada
en objetivos de carcter realista y que por tanto, debern realizarse despus de haber
realizado un estudio en el que se detallen tanto los costes como los beneficios de
implementar una determinada medida de seguridad.
Dicho esto, las medidas de seguridad se pueden clasificar en tres tipos diferentes:

Protecciones fsicas

Medidas de seguridad

Medidas informticas
Medidas organizativas

Protecciones fsicas. Medidas de seguridad de carcter fsico, tales como sistemas

anti-incendio, vigilantes de seguridad, as como todas aquellas otras medidas
encaminadas a evitar que las personas puedan acceder fcilmente a las instalaciones
donde radican los equipos y sistemas informticos.
Medidas informticas. Todos aquellos sistemas, as como soluciones de carcter
informtico, que aumenten la seguridad de los equipos y sistemas informticos; entre
los que se incluyen: el cifrado de la informacin, detectores de intrusos, cortafuegos o
firewalls, etc.
Medidas organizativas. Teniendo en cuenta que la concienciacin de los usuarios
de los sistemas y equipos informticos es una parte esencial para evitar el xito de
cualquier ataque o riesgo, es necesario que dichos usuarios realicen cursos de
formacin relacionados con la seguridad informtica as como activar, dentro de la
organizacin, un programa o planning de auditoras informticas tendentes a
garantizar la seguridad de los sistemas y equipos informticos.
A lo largo de los prximos epgrafes vamos a centrarnos en las medidas de carcter
informtico donde tendremos oportunidad de profundizar en temas como la
criptografa, la seguridad de carcter interno y la seguridad de carcter perimetral.

TEMA 1 Ideas clave

12

Ciberbullying

1.6. Criptografa y firma digital

Los sistemas de firma digital se basan en la criptografa, que se puede definir como el
arte de escribir en clave o de forma enigmtica.
La criptografa fue considerada un arte hasta que Shannon public en 1949 la Teora de
las comunicaciones secretas, momento a partir del cual pas a considerarse una ciencia
aplicada, debido sobre todo a su relacin con otras ciencias como la Estadstica, la Teora
de Nmeros, la Teora de la Informacin y la Teora de la Complejidad Computacional.
Si bien es cierto que comnmente se utiliza la palabra criptografa para definir tanto
el cifrado como el descifrado de mensajes, en puridad hemos de decir que la
criptografa es la ciencia que estudia los mtodos de cifrado de mensajes, mientras que
el criptoanlisis se encarga de estudiar el conjunto de tcnicas y mtodos para
descifrar dichos mensajes. Al conjunto de ambas ciencias, criptografa y criptoanlisis se
le denomina criptologa.
La historia nos ha dejado numerosos ejemplos del uso de esta ciencia/arte entre los que
podemos destacar:
Cifrado de Esctala. Data del siglo V a. C., durante las guerras entre Atenas y
Esparta. Este cifrado se basaba en la alteracin del mensaje mediante la escritura de
los smbolos de forma vertical sobre una cinta enrollada en un rodillo, de un grosor
determinado, de manera que al desenrollar la cinta, los smbolos del mensaje
quedaban desordenados, por lo que nicamente se poda recuperar el mensaje, en
destino, tras enrollar la cinta en un rodillo de igual grosor, evitando que durante el
trayecto los enemigos se hiciesen con el texto del mensaje en claro. La clave resida en
el bastn, ms concretamente en su dimetro, de forma que nicamente el receptor
en posesin de una copia idntica al bastn que se us para cifrar podra leer el texto
en claro.
Cifrado de Polybios. Data del siglo II a. C. y consista en hacer corresponder a cada
letra del alfabeto un par de letras que indicaban la fila y la columna en la cual esta se
encontraba, dentro de un recuadro de cinco caracteres por cinco, cifrado mediante el
cual obtenamos 25 caracteres.
Cifrado de Csar. Perteneciente al siglo I a. C., este cifrado consiste en sustituir una
letra por aquella situada tres lugares ms all del alfabeto de manera que la letra A se
transforma en la letra D, la B en la E y as sucesivamente.

TEMA 1 Ideas clave

13

Ciberbullying

El texto ms antiguo conocido en el que se empieza a hablar de criptografa, se titula

Liber Zifrorum, atribuido a Cicco Simoneta. El estudio de este autor se basaba
bsicamente en sistemas basados en sustituciones de letras.
A partir del siglo XVI se generaliza el uso de la criptografa, pero es ya en la I Guerra
Mundial cuando la criptologa se convierte en un arma. Tal es as que EEUU entr en la
guerra precisamente gracias a la ruptura, por parte de los britnicos, del conocido
telegrama Zimmermann, mediante el cual el ministro alemn trataba de convencer
a Japn y Mxico para que efectuasen una invasin sobre Estados Unidos.
En el siglo XX la criptografa eclosiona y pasa del mbito reducido de militares y
diplomticos, al ciudadano de a pie, a la sociedad. El mundo de la informtica, y ms
concretamente Internet, plantea la necesidad de que la ingente cantidad de datos que
circulan por este canal inseguro, se encuentren protegidas durante su transmisin y
almacenamiento. La gran cantidad de informacin a disposicin de los usuarios, que
cada vez son ms, y el importante trfico que a travs de la red se genera, ha llevado a
que la finalidad de la criptografa se haya visto modificada.
Conceptos bsicos
La relacin existente entre la teora de la informacin y la criptografa fue enunciada por
Shannon, considerado por muchos el padre de la teora de la informacin. Ambas
ciencias, teora de la informacin y criptografa, comparten tanto objetos de estudio
como objetivos, si bien para ello usan medios distintos.
La teora de la informacin estudia el proceso de la transmisin ruidosa de un
mensaje, donde la distorsin de dicho mensaje transmitido, no es intencionada, sino que
se debe al canal y en donde el objetivo a conseguir es la transmisin del mensaje de la
forma ms clara posible. Por otro lado, la criptografa estudia el proceso de cifrado de
un texto, en donde la distorsin s es intencionada y por tanto tiene como objetivo que el
mensaje sea incomprensible para cualquiera distinto al emisor y al receptor.
As pues, es fcilmente deducible, que la proteccin de la informacin que se persigue
con la criptografa se lleva a cabo variando su forma. Llamamos entonces cifrado a una
transformacin de un determinado texto, denominado comnmente texto claro o texto
en claro, en un texto cifrado o criptograma y, por lo tanto, podemos definir como

TEMA 1 Ideas clave

14

Ciberbullying

descifrado a la transformacin que nos permite recuperar el texto original o texto en

claro a partir de texto cifrado.
En el siglo XIX, Kerckhoffs, en su obra La criptografa militar, estableci una serie de
reglas sobre forma de actuacin de un buen criptgrafo, que han sido aceptadas
por la prctica totalidad de la comunidad criptogrfica. Estas reglas son:
No debe existir ninguna forma de recuperar mediante el criptograma el texto inicial o
la clave. Esta regla es cumplida en la prctica cuando la complejidad de la
recuperacin del texto original sea suficiente para mantener la seguridad del sistema.
Todo sistema criptogrfico debe estar compuesto por dos tipos de informacin:
o Pblica, como puede ser la familia de algoritmos que lo definen.
o Privada, como es la clave que se usa en cada cifrado particular.
La forma de escoger la clave debe ser fcil de recordar y modificar.
Debe ser factible la comunicacin del criptograma con los medios de transmisin al
uso.
La complejidad del proceso de recuperacin del texto en claro debe corresponderse
con el beneficio obtenido.
Objetivos de la criptografa
Los objetivos de la criptografa se pueden resumir diciendo que la criptografa debe
asegurar la:
Confidencialidad. El mensaje no puede ser ledo por personas que no disponen de
la debida autorizacin.
Integridad. El mensaje no puede ser alterado sin autorizacin.
Autentificacin. Se debe garantizar que el mensaje ha sido enviado por una persona
y recibido por otra.
No repudio. Despus de haber enviado un mensaje, no se puede negar que el
mensaje no es de su emisor.
En todo caso, los mecanismos criptogrficos no son infalibles por lo que su objetivo
principal radica o reside en ser lo suficientemente complejos como para evitar su
descifrado atendiendo al estado de la tcnica actual.

TEMA 1 Ideas clave

15

Ciberbullying

Tipos de criptografa
Existen dos tipos de criptografa:
Simtrica o de clave secreta. En la que se utiliza una misma clave para cifrar y
descifrar los mensajes y que se basan en algoritmos de encriptacin como el Data
Encryption Estndar (DES) o el RC5 o IDEA.
Asimtrica o de clave pblica. En la que se utiliza una clave pblica para cifrar el
mensaje y una clave privada para descifrarlo. De esta forma cualquiera puede cifrar
un mensaje pero solo quien tenga la clave privada puede descifrarlo. El objetivo de la
criptografa asimtrica es garantizar la integridad y la autentificacin del origen de los
datos. Su algoritmo de encriptacin ms conocido y utilizado es el RSA.
En algunas ocasiones se utilizan ambos mtodos de encriptacin al
mismo tiempo. Un claro ejemplo de lo que acabamos de exponer es
el protocolo SSL, que se utiliza como conexin segura en Internet.
Utiliza primero una clave pblica para enviar de forma cifrada la
clave

secreta

DES

que

posteriormente

se

utilizar

en

la

comunicacin. De esta forma, dicha clave, solo podr descifrarse en

destino. Este mtodo se conoce como One Time Password ya que para cada sesin se
genera una nueva clave DES.
El protocolo SSL es aquel que utiliza nuestro navegador cuando est en modo seguro. Se
caracteriza por que en la URL de nuestro navegador nos sale https en lugar de http
y, en la parte inferior de nuestro navegador aparece un candado cerrado.
Firma digital
El objetivo de la firma digital es garantizar y certificar los contenidos de un
mensaje. Con la firma digital no es necesario, aunque s conveniente, que el mensaje
vaya cifrado. En realidad dicho mensaje contienen un cdigo que identifica dicho
mensaje y que va cifrado con una clave privada.
A dicho proceso de certificar el mensaje con una firma digital se le denomina
firmado. La firma digital proporciona la integridad, la confidencialidad y el no
repudio del mensaje.

TEMA 1 Ideas clave

16

Ciberbullying

1.7. Seguridad interna

Dentro de la seguridad interna podemos englobar todos aquellos mecanismos que
aportan seguridad a los equipos y sistemas informticos frente a riesgos procedentes del
interior de una organizacin aunque, en la mayora de las ocasiones, los presentes
mecanismos tambin se encuentran preparados para afrontar riesgos procedentes del
exterior.
En este sentido, las medidas de seguridad de carcter interno que merece la pena
destacar, son las siguientes:
Autenticacin. Esta medida de seguridad pretende asegurar que cualquier persona
que trate de acceder al sistema informtico deba pasar, de forma previa, por un
filtro en el que demuestre al sistema informtico tanto que est autorizado para
acceder a dicho sistema como que se encuentra autorizado a acceder a una
determinada informacin en funcin de los privilegios que tenga asignados. A da de
hoy, la frmula ms extendida para proceder a la identificacin de las personas dentro
de un sistema informtico es a travs de un identificador basado en usuario y
contrasea que, a su vez, se encuentran asociados a una serie de privilegios, de forma
que no todas las personas puedan acceder a la informacin considerada crtica dentro
de la organizacin.
En este sentido, debemos detallar que la autenticacin implica una cierta
concienciacin del usuario, puesto que ser necesario que este custodie de forma
adecuada sus claves de acceso al sistema.
Ya hemos dicho que la frmula usuario-contrasea es la ms extendida, pero no es la
nica. Es posible encontrarnos otros sistemas de autenticacin basados en tarjetas de
acceso, reconocimiento de voz, reconocimiento de huellas dactilares, etc.
Copias de seguridad (backups). Esta medida de seguridad tiene como finalidad
que la informacin perdure dentro del sistema informtico aun cuando este haya
podido sufrir un desastre o se haya visto sometido a un riesgo o amenaza (perdida de
informacin, inundacin, incendio, sobrecarga elctrica que ha daado los
componentes del sistema informtico, etc.)
Las copias de seguridad actan como salvaguarda y, por esta razn, es de vital
importancia que las mismas se encuentren sometidas a un protocolo que dictamine

TEMA 1 Ideas clave

17

Ciberbullying

cmo se van a planificar a lo largo del tiempo, cmo se va a verificar su correcta

realizacin y funcionamiento y de qu forma se van a custodiar dentro de la
organizacin.
Registros y auditoras. Esta medida de seguridad se encuentra encaminada a
mantener un registro de las operaciones realizadas dentro del sistema informtico
para, en un segundo paso o de forma posterior, proceder a la realizacin de una
auditora del sistema informtico que pueda aportar informacin detallada sobre el
acceso a los sistemas de informacin as como los posibles fallos de seguridad del
mismo.

1.8. Seguridad perimetral

Este tipo de seguridad pretende evitar, en la medida de lo posible, los ataques externos
a los equipos y sistemas informticos.
Obviamente los ataques externos tienen una tipologa muy variada y pueden responder
a una gran variedad de objetivos.
En todo caso, lo ms prctico para evitar ataques que provengan del exterior, sera que
nuestros equipos y sistemas no tuviesen ninguna conexin con el exterior. Sin embargo,
hoy en da dicha solucin se hace totalmente inviable puesto que la gran ventaja de los
equipos o sistemas informticos es precisamente esa capacidad para conectarse con el
exterior y, de esta forma, acceder a informacin o facilitar las posibilidades de
comunicacin.
Por tanto, y dado que se hace necesario mantener una conexin con el exterior, la
solucin ms segura en el presente entorno se basa en mantener un nico enlace o
conexin con el exterior. Y cmo es posible realizar este tipo de control? A travs de
un dispositivo denominado cortafuegos y comnmente denominado en el argot
informtico como firewall.
La funcin de los firewall dentro de un sistema informtico consiste en tratar de aislar
dicho sistema de los problemas externos, delimitando y controlando el trnsito de
informacin entre la red externa (Internet) y el sistema informtico.

TEMA 1 Ideas clave

18

Ciberbullying

PC
PC
PC

Ordenador

PC

PC
PC

PC

Internet

Cortafuegos

Un dispositivo firewall va a permitir aadir diversos tipos de barreras de forma tal que
a cualquier equipo externo le resulte mucho ms difcil el acceso al sistema informtico.
En este sentido es muy importante que, a la hora de configurar el firewall, se defina
claramente qu tipo de informacin va a permitir pasar y qu tipo de informacin no va
a permitir pasar, estableciendo para ello, una poltica de permisos.
Bsicamente podemos decir que las funciones de un firewall son las siguientes:

Bloquear el acceso a determinadas pginas web

Funciones de un firewall

Controlar el acceso a servicios externos

Monitorizar las comunicaciones entre la red
interna y la red externa

En la imagen anterior se detalla un solo ordenador, meramente a efectos visuales.

Obviamente en las implementaciones reales esto es mucho ms complejo puesto que
generalmente un sistema informtico suele componerse de varios ordenadores y,
generalmente, una red perimetral que ofrece los servicios que una determinada
organizacin quiere suministrar al exterior tales como sus pginas web, correo
electrnico, etc. De esta forma cualquier amenaza o riesgo proveniente del exterior
deber, si quiere entrar en la red interna, pasar dos filtros. Por una lado, el cortafuegos
de la red perimetral y, por otro lado, el cortafuegos de la red interna.
No obstante, no solo las grandes organizaciones disponen de dispositivos firewall. En la
actualidad tambin existen cortafuegos domsticos que se instalan en el propio
ordenador personal y lo protegen de posibles riesgos o amenazas exteriores, alertando al
usuario y que, esta vez s, responden ms fielmente a la imagen mostrada.

TEMA 1 Ideas clave

19

Ciberbullying

Pero en lo que a la seguridad perimetral se refiere, no solo disponemos de los

mecanismos firewalls. Dentro de la seguridad perimetral tambin nos encontramos con:
Antivirus perimetrales. Su principal objetivo reside en analizar todo el trfico que
entra y sale de la red y comprobar que dicho trfico no se encuentra infectado por
ningn virus.
Deteccin de intrusos. Este sistema se basa en alertar cuando se produce un fallo
de seguridad dentro del sistema o equipo informtico. Generalmente este tipo de
seguridad va a comprobar que un usuario no autorizado se ha conectado al sistema o
equipo informtico, o bien va a detectar que alguien no autorizado ha accedido al
comprobar que se han modificado archivos en el sistema o que los ordenadores del
sistema se estn comportando de un modo extrao (fallos continuos, sobrecargas,
etc.).
Dentro de este tipo de sistemas de deteccin encontramos dos categoras bsicas:
o Basados en red: que son aquellos que se encuentran conectados a la red interna
de la organizacin y analizan todo el trfico.
o Basados en host: aquellos instalados en la propia mquina y que protegen a la
misma.
Denegacin del servicio. Un ataque de denegacin del servicio se produce cuando
un riesgo o amenaza abusa del equipo o sistema informtico impidiendo un correcto
funcionamiento del mismo e impidiendo que otros usuarios puedan acceder al mismo.
Las medidas de seguridad tendentes a evitar esta situacin se basan en tratar de evitar
dicho abuso poniendo lmites al uso del sistema o equipo informtico por parte de
cada usuario, de forma individual.
Redes privadas virtuales. Hoy en da es habitual permitir el acceso a los sistemas
o equipos informticos de una forma remota. Nuevos escenarios como la movilidad
de las personas o incluso el teletrabajo han demandado esta nueva forma de actuar.
Esto, sin embargo, ha generado nuevas amenazas para los equipos y sistemas
informticos y, en este sentido, ha sido necesario habilitar nuevos mecanismos de
seguridad. El objetivo de las redes privadas virtuales es garantizar que cualquier
usuario que se conecte de forma remota a los equipos o sistemas informticos
dispongan de un canal de comunicaciones seguro. Es decir, que a pesar de que se

TEMA 1 Ideas clave

20

Ciberbullying

acceda de una forma remota, dicho acceso o conexin se produzca de la misma forma
y con las mismas garantas que si dicha conexin se produjese en el mismo equipo o
sistema informtico.

1.9. Recomendaciones a la hora de navegar

Hoy en da la navegacin web es una de las actividades a las que ms tiempo dedican
las personas dentro de la red de redes: redes sociales, contenidos multimedia, descarga
de archivos, comercio electrnico y un sinfn de actividades se realizan a travs de este
medio.
Sin embargo, hemos de dejar constancia de que dicha navegacin no es, en ningn caso,
annima y que, por tanto, la seguridad as como la privacidad son partes relevantes
en nuestra navegacin a las cuales debemos prestar la mxima atencin.
En este sentido se hace necesario aportar unos consejos generales que nos permitan
realizar un uso seguro y responsable durante nuestra navegacin:
Nuestros equipos y sistemas informticos deben contar con un antivirus que se
ejecute con la regularidad necesaria. Asimismo es altamente recomendable contar con
un cortafuegos (algunos sistemas operativos como Windows ya cuenta con uno
activado por defecto) as como algn programa o software antimalware como
puede ser Spybot, entre otros.
Nuestro sistema operativo debe estar correctamente instalado y ser necesario
aplicar en l todas las actualizaciones que se encuentren disponibles en cada
momento. En este sentido tambin es altamente recomendable que nuestros
navegadores (Internet Explores, Firefox, Chrome) se encuentren debidamente
actualizados y, en su caso, instalar en nuestros equipos las versiones ms recientes.
Utilizar conexiones seguras siempre que sea posible y, en todo caso, cuando sea
necesario transmitir datos de naturaleza sensible. En este sentido debemos tener en
cuenta que este tipo de conexiones son fcilmente reconocibles ya que la direccin
web debe comenzar por https y que, adems, en la parte inferior del navegador
deber aparecer un candado cerrado que nos va a indicar que hemos establecido una
conexin segura.

TEMA 1 Ideas clave

21

Ciberbullying

Cuando en alguna pgina se nos soliciten datos personales deberemos comprobar

los certificados de seguridad de la misma.
Durante nuestra navegacin web nunca deberemos hacer clic en enlaces
sospechosos. Dichos enlaces pueden contener malware o algn tipo de amenaza
para nuestros equipos y sistemas informticos.
No es recomendable acceder a sitios web de dudosa reputacin, tales como
pginas de software ilegal o pginas que proporcionen nmeros de serie de software
legal.
Ser selectivos y mantenerse cautos ante los resultados que puedan ofrecernos los
buscadores web. En algunas ocasiones, los atacantes pueden utilizar una
diversidad de tcnicas denominadas black hat SEO para posicionar sus sitios web
(maliciosos) en los primeros lugares de los buscadores, sobre todo cuando realizamos
bsquedas a travs de trminos o palabras clave utilizadas por el pblico en general.
En este sentido se recomienda instalar en los equipos o sistemas informticos algn
tipo de software analizador de enlaces como por ejemplo Avast Web Report.
Es altamente recomendable utilizar plugins o extensiones en nuestro navegador para
eliminar las ventanas emergentes, conocidas comnmente como pop-ups, que
aparecen durante la navegacin.
Cuando accedemos a travs de equipos o sistemas informticos pblicos, como
los cibercafs o los aeropuertos, ser necesario omitir la navegacin en sitios web que
requieran de un nivel alto de seguridad (pginas de entidades bancarias o financieras,
por ejemplo) y, en el caso de que sea estrictamente necesario, se debern tomar las
debidas medidas de seguridad, como por ejemplo eliminar los archivos temporales, la
informacin almacenada en cach, las cookies y nunca almacenar las direcciones
URL, contraseas y dems informacin crtica para no dejar rastro de nuestra
navegacin.
Durante nuestra navegacin, si se nos ofrece la descarga de aplicaciones que no
hemos solicitados, jams deberemos aceptarlas sin antes verificar su integridad a
travs de algn antivirus o aplicacin de seguridad.

TEMA 1 Ideas clave

22

Ciberbullying

Cuando se instalen complementos para el navegador, tales como toolbars o

barras de utilidades, ser necesario verificar previamente su autenticidad y se
proceder a su instalacin solo si las conocemos y realmente necesitamos utilizarlas.
Asimismo, durante nuestra navegacin deberemos prestar especial atencin a la
proteccin de nuestra privacidad teniendo presentes los siguientes consejos:
No facilitar datos personales a no ser que estemos completamente seguros de la
identidad de su receptor. Salvo que sea estrictamente necesario, nunca se deber
facilitar datos personales que no sean obligatorios.
No es recomendable incluir en ninguna pgina web informacin personal relativa
a nuestros gustos, aficiones o preferencias. Este tipo de informacin suele utilizarse
con fines de marketing o publicidad estrechamente relacionada con los datos que
previamente hemos facilitado.
Ser muy cuidadosos con la informacin que compartimos a travs de Internet y,
sobre todo, con quin la compartimos.
En relacin al uso de contraseas, es recomendable tener presentes los siguientes
consejos:
Se deber tener precaucin con las contraseas que se almacenen en nuestro
navegador y, en todo caso, utilizar una contrasea maestra para que nadie ms pueda
acceder a las mismas. En lneas generales, se debe evitar el almacenamiento por
defecto de informacin crtica en nuestro navegador. Dicha informacin
puede ser fcilmente robada a travs de aplicaciones o cdigos maliciosos.
Es recomendable cambiar nuestras contraseas de forma peridica as como
utilizar contraseas robustas teniendo claro que nunca deberemos dejar dichas
contraseas guardadas en nuestro disco duro o anotadas en un papel.
Adems, cuando procedamos a la descarga de software y aplicaciones deberemos
tener en cuenta los siguientes consejos:
Mantenerse alerta cuando recibamos archivos tanto en sesiones de chat como desde
cualquier pgina web o aplicacin que se ejecute desde el navegador.

TEMA 1 Ideas clave

23

Ciberbullying

Extremar la precaucin con los ficheros que se descargan desde redes peer to peer
(P2P), descarga directa o enlaces tipo torrent. Es muy probable que incluyan algn
tipo de malware y, por tanto, antes de abrirlos debern ser analizados con un
antivirus o con un antimalware.
Por ltimo debemos ser conscientes de que la alta popularidad que tienen las redes
sociales constituye un gran campo para que los atacantes traten de engaar a sus
usuarios y propagar nuevas amenazas. En este sentido cuando utilicemos redes sociales
deberemos tener presentes los siguientes consejos:
Evitar publicar ningn tipo de informacin sensible y confidencial as como
publicar imgenes propias y de familiares. Todo ello puede ser utilizado por terceros
con fines maliciosos.
Procurar configurar el perfil de modo que este no sea pblico.
No responder a las solicitudes de desconocidos, ya que pueden contener cdigos
maliciosos o pueden formar parte de actividades delictivas.
Ignorar los mensajes que ofrecen material pornogrfico, ya que suelen ser canales o
mecanismos para la propagacin de malware.
Cambiar peridicamente la contrasea de nuestro perfil dentro de la red social para
evitar casos o situaciones de suplantacin de identidad.
Denunciar los abusos que se detecten dentro de la red social.

TEMA 1 Ideas clave

24

Ciberbullying

Lo + recomendado
No dejes de leer
Libro electrnico de seguridad informtica y criptografa
Libros electrnicos en los que se desgranan los aspectos ms importantes de la seguridad
informtica y de la criptografa.
Accede a los documentos a travs del aula virtual o desde la siguiente direccin web:
http://www.criptored.upm.es/guiateoria/gt_m001a.htm

Gestionar las amenazas en la era digital

Interesante artculo de IBM en el que se aborda el tema de la seguridad, el riesgo y el
cumplimiento desde el punto de vista de la alta direccin.
Accede al artculo a travs del aula virtual o desde la siguiente direccin web:
http://www-05.ibm.com/services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-eradigital.pdf

TEMA 1 Lo + recomendado

25

Ciberbullying

No dejes de ver
Seguridad Informtica: Digital Latches for your Digital Life SI2014
Interesante conferencia de Chema Alonso en el X Congreso de la Ingeniera Informtica
de la Comunidad Valenciana.

Accede al vdeo a travs del aula virtual o desde la siguiente direccin web:
https://www.youtube.com/watch?v=84bO7CUn_xU

Hotmail y la seguridad en el correo electrnico

Charla sobre seguridad en Hotmail impartida por Chema Alonso en la Gira Up To Secure
2011.

Accede al vdeo a travs del aula virtual o desde la siguiente direccin web:
https://www.youtube.com/watch?v=1F7RUeHFifg

TEMA 1 Lo + recomendado

26

Ciberbullying

+ Informacin
A fondo
Introduccin a la seguridad informtica
Interesante artculo sobre los temas ms genricos relativos a la seguridad informtica.
Accede al artculo a travs del aula virtual o desde la siguiente direccin web:
http://es.kioskea.net/contents/622-introduccion-a-la-seguridad-informatica

Webgrafa
Muy Seguridad
Pgina dedicada a publicar noticias relacionadas con la Seguridad Informtica.

Accede al sitio web a travs del aula virtual o desde la siguiente direccin:
http://muyseguridad.net

Seguridad PC
Web dedicada a proporcionar recursos gratuitos para mantener protegido el ordenador,
entre ellos Programas, Noticias, Manuales, Videos, Boletines, entre otros.

Accede al sitio web a travs del aula virtual o desde la siguiente direccin:
http://www.seguridadpc.net

TEMA 1 + Informacin

27

Ciberbullying

Bibliografa
Areitio, J. (2008). Seguridad de la Informacin. Redes, informtica y sistemas de
informacin. Madrid: Paraninfo.
Caballero, P. (2002). Introduccin a la Criptografa (2 ed.). Madrid: Ra-Ma.
Cariacedo, J. (2004). Seguridad en redes telemticas. Madrid: McGraw Hill.
Fster, A., De la Gua, D., Hernndez, L., Montoya, F. y Muoz, J. (2004). Tcnicas
Criptogrficas de Proteccin de Datos (3 ed.). Madrid: Ra-Ma.
Menezes, A. J., Oorsschof, P. y Vanstone, S. (1996). Handbook of Applied Cryptography.
CRC Press. Recuperado de http://cacr.uwaterloo.ca/hac/
Pastor, J. y Sarasa, M. A. (1998). Criptografa Digital. Prensas Universitarias de
Zaragoza.
Schneier, B. (1996). Applied Cryptography. Protocols, Algorithms, and Source Code in
C. (2 ed.). John Wiley & Sons, Inc.
Stallings, W. (2003). Cryptography and Network Security. Principles and Practice (3
ed.). Prentice Hall International Editions.

TEMA 1 + Informacin

28

Ciberbullying

Test
1. Las siglas TIC hacen referencia a:
A. Tecnologas de la informtica y las computadoras.
B. Tecnologas de la informacin y las computadoras.
C. Tecnologas de la informacin y las comunicaciones.
D. Todas las respuestas son incorrectas.
2. La seguridad informtica abarca una gran cantidad de soluciones que tienen como
objetivo prioritario:
A. Que la informacin tratada en un sistema informtico determinado sea
protegida.
B. Que la informacin tratada en un sistema informtico determinado sea ntegra.
C. Que la informacin tratada en un sistema informtico determinado sea no
repudiada.
D. Todas las respuestas son correctas.
3. Cul es un tipo de troyano:
A. Worm.
B. Dialer.
C. Adware.
D. Spyware.
4. Un script es:
A. Cdigo malicioso creado con la finalidad de aprovechar fallos o vulnerabilidades
de los sistemas informticos para poder actuar con total libertad dentro del sistema
informtico atacado.
B. Software introducido en los equipos informticos despus de que un atacante
haya conseguido hacerse con el control del sistema.
C. Cdigos escritos en cualquier lenguaje de programacin que tienen como
finalidad la realizacin de acciones no deseadas en el equipo informtico
generalmente por medio del navegador o del correo electrnico.
D. Software que bloquea el acceso al equipo por parte del usuario, mostrando un
mensaje que conmina al usuario a pagar un determinado precio para rescatar el
control de su equipo.

TEMA 1 Test

29

Ciberbullying

5. La consistencia es que:
A. La informacin solo puede ser accedida por aquel que est autorizado.
B. La informacin no puede ser eliminada o modificada sin el oportuno permiso o
autorizacin.
C. La informacin debe encontrarse disponible, siempre que sea necesario.
D. Se debe garantizar que todas las operaciones realizadas sobre la informacin se
comportan de acuerdo con lo esperado.
6. Los sistemas de firma digital se basan en:
A. La criptografa.
B. El encapsulado de informacin.
C. La disponibilidad.
D. La integridad.
7. El protocolo SSL se caracteriza por que en la URL de nuestro navegador nos sale:
A. Http.
B. Un candado cerrado.
C. Https.
D. Todas las respuestas son incorrectas.
8. Una medida de seguridad interna es:
A. Copias de seguridad.
B. Firewall.
C. Redes privadas virtuales.
D. Todas las respuestas son correctas.
9. Una medida de seguridad perimetral es:
A. Copias de seguridad.
B. Registros y auditoras.
C. Firewall.
D. Todas las respuestas son correctas.

TEMA 1 Test

30

Ciberbullying

10. En las redes sociales debemos:

A. Evitar publicar ningn tipo de informacin sensible y confidencial as como
publicar imgenes propias y de familiares.
B. Procurar configurar el perfil de modo que este no sea pblico.
C. No responder a las solicitudes de desconocidos.
D. Todas las respuestas son correctas.

TEMA 1 Test

31