10-6-2018 Seguridad

informatica
Amenazas

yefri cardona
[NOMBRE DE LA EMPRESA]
1

Tabla de contenido

Seguridad informática ........................................................................................................ 1

Malware ............................................................................................................................. 4
ingeniería social ...............................................................................................................10
.........................................................................................................................................11
suplantación de identidad .................................................................................................12
Amenazas que pueden entrar por el correo electrónico. ............................................................................14
Spam:..............................................................................................................................15
Scam: ..............................................................................................................................16
Malware: ..........................................................................................................................17
Phishing: ..........................................................................................................................18
Hoaxes:............................................................................................................................19
Contenido .....................................................................................................................19
Definición y causas ......................................................................................................20
Consecuencias .............................................................................................................20
2
3

INTRODUCCION
4

Seguridad informática
La seguridad informática, también conocida como ciberseguridad o seguridad de
tecnologías de la información, es el área relacionada con la informática y la telemática que
se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta
y, especialmente, la información contenida en una computadora o circulante a través de las
redes de computadoras.1 Para ello existen una serie de estándares, protocolos, métodos,
reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la
infraestructura o a la información. La ciberseguridad comprende software (bases de
datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización
valore y signifique un riesgo si esta información confidencial llega a manos de otras personas,
convirtiéndose, por ejemplo, en información privilegiada.
La definición de seguridad de la información no debe ser confundida con la de «seguridad
informática», ya que esta última solo se encarga de la seguridad en el medio informático, pero
la información puede encontrarse en diferentes medios o formas, y no solo en medios
informáticos.
La seguridad informática es la disciplina que se encarga de diseñar las normas,
procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro
y confiable.
Puesto simple, la seguridad en un ambiente de red es la habilidad de identificar y eliminar
vulnerabilidades. Una definición general de seguridad debe también poner atención a la
necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos,
tales como los mismos computadores. Nadie a cargo de seguridad debe determinar quién y
cuándo puede tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la
seguridad de una compañía, lo que es apropiado varía de organización en organización.
Independientemente, cualquier compañía con una red debe tener una política de seguridad
que se dirija a la conveniencia y la coordinación

Malware.
¿Qué es el Malware?
5

Podríamos comenzar con un poco de

historia, ya que antes de que se comenzara a usar el término
Malware existía otra terminología para referirse al software que
buscaba causar algún tipo de daño a un sistema informático; estoy
hablando del tiempo en que todo comenzó: Los virus informáticos.

Ese era el único término usado, no existía otro, así que desde ese
punto de vista era mucho más simple de comprender. Si tu PC
comenzaba a tener síntomas propios de una “infección viral” la
respuesta era bastante sencilla: es un virus!

Ahora las cosas han cambiado, en mi opinión: bastante. Hay toda

una lista de términos usados cuando hablamos de software
malicioso, es toda una familia!. En la mayoría de los casos – y esto es
una opinión particular – resulta hasta tedioso estar usando tantos
términos al hablar de este tema, que sin importar las características
particulares que acompañan a cada uno de los tantos tipos de
software malicioso que hay el punto sigue siendo el mismo: un
puñado de código que busca ocasionar algún daño en un sistema
informático.

Quizás por eso, hoy en día hablamos de Malware para referirnos a

todos los “bichos” con intenciones dañinas que circulan por las
redes. Así que en resumen, el Malware (del inglés Malicious
Software) es el tipo de software que de una u otra forma busca
infiltrase, dañar o extraer datos de un computador.
6

Cada uno de los diferentes tipos de Malware existentes tiene sus

propias características, sus propios métodos de réplica, infección y
transmisión; aquí estaremos hablando un poco de cada uno de ellos,
aunque hay que tener en cuenta que al momento de estar
escribiendo estas líneas es muy posible que se este inventado un
nuevo término para algún tipo de Malware con características
nuevas, que haya evolucionado a la par de la tecnología y las
herramientas anti-malware existentes.

Comencemos entonces a estudiar el panorama actual

Virus

Los virus informáticos son parte de la familia del Malware, podemos

decir que fueron los primeros de este cuento. Según nos dice la
historia, el primero de ellos fue conocido como Creeper, creado al
rededor de 1972. Infectó, en aquel entonces a un equipo IBM de la
serie 360; la particularidad de este virus era mostrar un mensaje en
pantalla que decía “I’m a creeper… catch me if you can!” (Soy una
enredadera, agárrame si puedes). Como método de desinfección se
creó la primera vacuna o antivirus conocido
llamado Reaper (cortadora).

Características y métodos de propagación

El objetivo principal de un virus es crear un mal funcionamiento en

un computador, sin tener permiso o conocimiento por parte del
usuario. En su comportamiento, buscan infectar archivos
ejecutables, agregando parte de su código al código del archivo
“víctima”; también usan esta técnica como forma de propagación.
Posterior a la infección, el archivo víctima, en donde el código del
virus queda alojado, queda residente en la memoria RAM del
computador, tomando de esta forma el control del computador.
Parte del funcionamiento de los virus es crear un acceso directo a si
7

mismo de forma tal que pueda ejecutarse cada vez que el

computador es encendido, esto es posible bien sea copiándose a sí
mismo en la carpeta starup en el caso de Windows o por medio de
llaves del registro como es el caso de:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVers
ionRun

También es posible hacerlo integrándose a los servicios de inicio

del sistema operativo.

Mediante su método de infección el virus se asegura de que todo

archivo infectado sea a su vez capaz de infectar a otros archivos, por
lo tanto los posibles métodos para impedir o desinfectar dichos
archivos pueden ser un poco complicados cuando el virus ya ha
infectado una cantidad considerable de archivos.

Otra de las características más comunes en los virus es el gran

consumo de recursos del sistema, ergo, vienen los “cuelgues”,
problemas generados en la productividad, pérdida de datos y
demás.

En algunos casos se ha llegado a decir que los virus tiene la

capacidad de “replicarse” a sí mismos sin embargo no es así.
Cuando un software nocivo tiene la capacidad de réplica es
considerado un “Gusano” ( del ingés Worm) del cual hablaremos
más adelante.

En sus inicios los virus solo tenían una vía de transmisión: los
disquetes; a medida que la tecnología fue avanzando también lo
hicieron los virus, ergo sus vías de transmisión. Hoy en día podemos
decir que las principales son las redes sociales, innumerables sitios
fraudulentos en Internet o incluso legítimos, a través de correo
electrónico incluso utilizando técnicas de Spam, dispositivos de
8

almacenamiento como USB/CD/DVD/Discos portátiles y las

populares redes P2P.

Métodos de protección

Si bien es cierto que al momento de pensar en como protegernos de

los virus lo primero que pensamos es en un Antivirus, no es la única
herramienta disponible, y en la mayoría de los casos no llega a ser
suficiente. Como se dijo anteriormente, los virus y sus métodos
evolucionan; los antivirus y los métodos de protección también lo
deben hacer. Podemos clasificar los diferentes métodos en 2 grupos
a saber:

Activos

Antivirus: programas informáticos cuyo objetivo es detectar y

neutralizar los virus informáticos

Filtros de ficheros: consiste en generar filtros dentro de una red

creando así un patrón de conducta más selectivo; este método
puede ir desde filtros de correos hasta técnicas a través de
un Firewall

Pasivos

Sentido común! Quizás sea el método más efectivo para evitar

infecciones virales en un computador y evitar incluso ser parte de la
propagación masiva de los mismos. Consiste en una serie de tips
bastante sencillos pero muy eficientes tales como evitar el uso de
dispositivos de almacenamiento (USB/CD/DVD) de dudosa
procedencia, o en su defecto realizar un escaneo de los mismos con
un antivirus; evitar el uso de software pirata; no realizar descargas
desde Internet a menos que se tenga la certeza de que no contiene
infecciones; evitar abrir correos electrónicos de remitentes
desconocidos; tratar (en lo posible) de estar informados del ámbito
tecnológico, sobre todo de las amenazas informáticas.
9

Ningún sistema de cómputo será 100% seguro, el objetivo es

minimizar los posibles daños, usando el sentido común, un Firewall,
una solución antivirus con detección proactiva brindada por la
heurística, actualizar periódicamente el sistema operativo, realizar
copias de seguridad de los archivos más críticos; estas son, quizás,
las recomendaciones más comunes, pero la realidad nos dice que
en algunos casos son olvidadas.

Los tipos de Malware más conocidos son:

Troyanos

Gusanos

Polimórficos

De acción directa

De enlace o directorio

De macro

Encriptados

Bombas lógicas

De boot

Virus falsos

Residentes

De fichero

etc.
10

ingeniería social

La ingeniería social es la herramienta más utilizada para llevar a

cabo toda clase de estafas, fraudes y timos sobre los usuarios más
confiados a través del engaño. Estas técnicas consisten en utilizar un
reclamo para atraer la atención del usuario y conseguir que actúe
en la forma deseada, por ejemplo convenciéndole de la necesidad
de que reenvíe un correo a su lista de direcciones, que abra un
archivo que acaba de recibir que contiene un código malicioso, o
que, como ocurre en el phishing, proporcione sus códigos y claves
bancarias en una determinada página web. Para captar la atención
del usuario que recibe el correo, se utilizan referencias a temas de
actualidad, nombres de personajes famosos, denuncias de
injusticias o catástrofes humanitarias o fechas significativas como la
Navidad. Además, los timadores advierten de consecuencias
negativas para el usuario que no siga sus indicaciones.

El correo masivo y no deseado, conocido como spam, constituye el

mejor y más barato mecanismo de difusión de cualquier
información y, por lo tanto, de cualquier intento de fraude.

El malware, virus, gusanos, troyanos, keyloggers, capturadores de

pantalla, etc, diseñados específicamente para realizar tareas
fraudulentas interceptan los datos que el usuario intercambia con
una determinada entidad o las pulsaciones de su teclado.

Como podemos ver en este resumen de amenazas, ya no solo se

trata de virus y troyanos, sino una serie de técnicas que han podido
evolucionar y que hoy en día se han funcionado para realizar
sofisticados ataques.

Todo lo expuesto anteriormente no es más que “la punta del

iceberg”, bien podríamos continuar nuestra lista de amenazas y
11

malware, ya que como se ha mencionado estos métodos siguen

evolucionando.

Veamos ahora como es el proceso de un ataque de Malware

Ciclo de un ataque de Malware

Cuando se intenta detallar un ataque informático para comprender

su funcionamiento, es importante diferenciar cada una de las
distintas etapas que lo componen. Al investigar una amenaza es
importante identificar las técnicas utilizadas en el desarrollo,
propagación y recopilación de información con el objetivo de
analizar y proteger a los usuarios. En el siguiente gráfico se ven las

etapas del ciclo:

12

suplantación de identidad

La suplantación de identidad ocurre cuando una persona se

hace pasar por otra ante un tercero, normalmente con una
finalidad ilegal o con la intención de causar un perjuicio. Se
trata de una actividad cada vez más frecuente en Internet.
Algunos casos habituales donde suplantar la identidad
digital de otra persona tiene como objetivo el fraude de
identidadson:
Una persona utiliza los datos de otra para contratar un
servicio, por ejemplo: telefonía, adsl, suministros.
Una persona se hace pasar por otra para solicitar un crédito
o préstamo bancario u obtener financiación.
13

Normalmente pasa un tiempo hasta que la empresa reclama

el pago de las cantidades adeudadas (durante varios meses
el impostor ha estado disfrutando del servicio o producto
sin pagarlo) y es entonces cuando la víctima se entera de
que alguien ha usado su nombre, sus datos y sus
documentos para contratar un servicio o comprar un
producto. En ocasiones, la víctima no se entera hasta que
ella misma intenta contratar una línea de teléfono nueva o
solicitar un crédito a un banco y le informan de que está
inscrita en un fichero de morosos (ASNEF, RAI).
QUE ES LA SUPLANTACIÓN O USURPACIÓN DE
IDENTIDAD EN LA RED
Otras situaciones frecuentes son aquellas en que la
suplantación de identidad tiene como finalidad perjudicar a
una persona en su vida familiar, laboral o personal,
haciéndose pasar por ella para menoscabar su honor,
dignidad, imagen o reputación. Por ejemplo:
Crear perfiles falsos en redes sociales o aplicaciones de
mensajería instantánea utilizando el nombre y la fotografía
de otra persona para poder contactar con sus amigos y
enviarles mensajes inapropiados, revelar información
privada, difundir rumores o información falsa, etc. O bien
el robo de identidad en redes sociales se lleva a cabo para
conseguir que otra persona comparta con el delincuente
una información (íntima, confidencial…) que solo revelaría
a la persona suplantada (por ejemplo, fotos íntimas, datos
14

estratégicos de la empresa, información que permita

sortear medidas de seguridad, etc.).
Utilizar los datos de una persona (nombre, teléfono,
dirección) para colgar anuncios en páginas de contactos o
webs de contenido sexual, con la intención de que la
víctima empiece a recibir llamadas y mensajes molestos u
obscenos que no sabe de dónde salen. Este tipo de
usurpación de identidad perjudica gravemente la identidad
digital y la reputación online de la víctima, siendo
necesario a menudo ejercer el derecho al olvido para
poder borrar el rastro de los datos publicados en Internet.

Amenazas que pueden entrar por el correo electrónico.

El correo electrónico, es la herramienta más utilizada en el ámbito

profesional y una de las que más en el personal, no podemos trabajar
sin ella. Por esta razón el mail es la herramienta más amenazada, los
hackers intentan de diferentes modos atacarla una y otra vez.
Hoy en día existen 5 grandes amenazas que pueden llegar por el correo
electrónico, a continuación vamos a detallarlas una por una.
15

Spam:

El spam o correo basura son mensajes no deseados y no solicitados,

normalmente con un remitente desconocido o falso, molestos los cuales
saturan nuestra bandeja de entrada.
Estos correos suelen ser de publicidad que no hemos solicitado y de poco
interés.
Las direcciones de correo normalmente son robadas, compradas,
recolectadas de webs o tomadas de cadenas de mail.
Algunos spammers envían solamente un mensaje, pero también hay
muchos que envían masivamente todas las semanas el mismo mensaje
que nadie lee. Lo mejor es no contestar ni pedir que te quiten de la lista,
ya que de esta manera se les está confirmando que el mail existe. Lo
mejor que se puede hacer es no hacer caso y eliminarlo.
16

Scam:

Es término, no es muy conocido, es una palabra que viene del inglés, su

traducción sería estafa o timo.
El scam consiste en estafar mediante un correo electrónico fraudulento.
Las estafas se producen por correos en cadena, donde el “Scammers”,
intentan por diferentes métodos como puede ser vender un producto que
no existe, un servicio que nunca te daran, o una supuesta donación a
recibir o un premio, o un viaje al que tendremos acceso si previamente
ingresamos dinero. Algunos ejemplos de mensajes son: ¡Ganaste la
loteria! ¡Herencia Millonaria!
Hoy en día el 75% de los correos enviados incluye algún tipo de estafa.
17

Malware:

Es aquel software malicioso que tiene como objetivo infectar y/o dañar
nuestro ordenador, teléfono o tablet de forma inadvertida.
A los malwares se le llama de forma común “virus”, pero esto es erróneo
ya que lo virus son un tipo de malware, todos los virus son malware pero
no todos los malware son virus.
Los objetivos pueden ser varios desde extraer información personal.
crear equipos zombis para enviar spam, realizar ataques DDOS a sitios
web, robar información bancaria,
destruir datos o bloquearlos hasta que se realice un pago, mostrar
publicidad de forma intrusiva y incluso impedir que accedemos a nuestro
ordenador.
18

Phishing:

Se denomina phishing a todas las técnicas y métodos que consisten en

estafar y obtener datos personales de usuarios para poder utilizarlos de
forma fraudulenta.
¿Cómo funciona? El estafado o “phisher” como se le denomina, se hace
pasar por una persona o empresa, como puede ser nuestro banco, nos
llegará un correo con un enlace a una web, en la que nos pedira
informacion confidencial. El objetivo tener la información de las tarjetas
bancarias o información de acceso a determinado sitios web como
pueden ser nuestras redes sociales.
Actualmente 24 de cada 100 correos son phising, es una tendencia que se
va elevando y nos encontramos, ya que resulta muy efectiva y cada día se
utlizan nuevo métodos.
 19

Hoaxes:

Son noticias falsas en forma de cadenas de mensajes distribuidas por el

correo electrónico.
Su cometido es molestar y que lo enviemos al mayor número de
personas. Actualmente este tipo de bulos se han trasladado a las redes
sociales sobre todo en Facebook y WhatsApp

Desde Tranxfer, damos la posibilidad de utilizar una alternativa al c

orreo electrónico para el envío seguro de archivos.

Ataques
. Es un intento organizado e
intencionado causada por una o
más personas para causar daño o problemas a un sistema informático o red.
El problema de la propagación de los virus informáticos puede ser significativo
teniendo en cuenta que un virus puede dañar o eliminar datos del equipo, usar el
programa de correo electrónico para propagarse a otros equipos o incluso borrar
todo el contenido del disco duro.

Contenido
[ocultar]

 1 Definición y causas
 2 Consecuencias
 3 Tipos de ataques
 4 Fuentes
20

Definición y causas
Un ataque informático es un intento organizado e intencionado causada por una o
más personas para causar daño o problemas a un sistema informático o red. Los
ataques en grupo suelen ser hechos por bandas llamados "piratas informáticos"
que suelen atacar para causar daño, por buenas intenciones, por espionaje, para
ganar dinero, entre otras. Los ataques suelen pasar en corporaciones.
Un ataque informático consiste en aprovechar alguna debilidad o falla en
el software, en el hardware, e incluso, en las personas que forman parte de un
ambiente informático; para obtener un beneficio, por lo general de condición
económica, causando un efecto negativo en la seguridad del sistema, que luego
pasa directamente en los activos de la organización.

Consecuencias
Los ataques informáticos tienen varias series de consecuencias o daños que un
virus puede causar en un sistema operativo. Hay varios tipos de daños los cuales
los más notables o reconocidos son los siguientes:

 Daños triviales
 Daños menores
 Daños moderados
 Daños mayores
 Daños severos
 Daños ilimitados
21

IDENTIDADES ESPECIALES
Pueden representar a distintos usuarios en distintas ocasiones (inicio de sesión anónimo,
todos, red, interactivo) se les pueden conceder derechos y permisos, usuarios asignados
automáticamente.

NIVEL FUNCIONAL

Determina como se comportaran los grupos dentro del bosque y que clase de características
estarán disponibles. Usuarios y equipos de active directory, clic derecho en el dominio,
elevar el nivel funcional del dominio.

10.DIRECTIVAS DE SEGURIDAD

Se definen mediante objetos del directorio activo denominados objetos de directiva de

grupo. Una GPO es un objeto que contiene una o varias directivas de grupo que se aplican a
la configuración de uno o mas usuarios o equipos. Tipos: GPO locales(se utilizan para los
equipos que no forman parte de un directorio activo), GPO no locales(se crean en el
directorio activo y se vinculan a un sitio, dominio, UO, usuarios o equipos). Al configurar
el servicio de directorio activo se crean 2 GPO no locales: Directiva predeterminada de
domino.(Se vincula al dominio y afecta a todos los usuarios y equipos del dominio.)
Directiva predeterminada de controladores de dominio.(Esta directiva se vincula
únicamente a los controladores de dominio.) El orden de aplicación de las GPO: Se aplica
la GPO local del equipo, Se aplican las GPOs vinculadas al sitio, Se aplican las GPOs
vinculadas al dominio, Se aplican las GPOs vinculadas a unidades organizativas de primer
nivel

CONFIGURACION

Se clasifican en: directivas(configuración del equipo(agrupa todas las políticas o

parámetros de configuración que pueden establecerse a nivel de equipo), configuración de
usuario(agrupa todas las políticas o parámetros de configuración que pueden establecerse a
nivel de usuario). Cada categoría se divide en: directivas(configuración de software(permite
la instalación automática de software), configuración de Windows(configuración de
seguridad, ejecución de scripts), plantillas administrativas(incluyen políticas basadas en la
configuración de los elementos mas importantes del equipo)), preferencias(configuración
de Windows(incluye opciones de configuración como la creación de variables de entorno),
configuración del panel de control(incluye opciones de configuración como la instalación
de dispositivos e impresora)).

DIRECTIVAS DE GRUPO LOCAL

22

Conjuntos de opciones de configuración de usuario y equipo que especifican como

funcionan los programas, los recursos de red, sistema operativo. Para configurar, ejecutar el
comando gpedit.msc y a través de editor de directivas de grupo local podemos configurar
las directivas del sistema.

Páginas web de acceso restringido a

determinados usuarios
Este servicio permite proteger un espacio web de forma que sus páginas sólo sean accesibles por personas
que disponen de una cuenta en la universidad. Es posible especificar qué usuarios de entre todos los de la
universidad pueden acceder. Se pueden definir varios espacios, cada uno accesible a su propio conjunto de
usuarios.

Procedimientos para la configuración del servicio:

1. Se parte del supuesto de que el usuario es dueño de un espacio WWW en el servidor de la universidad y quiere
dejar en dicho servidor un conjunto de páginas que desea proteger.
2. El usuario crea un directorio cuyo nombre empiece por "privado" (p.e.: "privado", "privado1",
"privadomio",...), en minúsculas, en el PRIMER NIVEL (no en un subdirectorio) de su espacio web en el
servidor web de la universidad (el servidor "www", esto NO se aplica al servidor "mural"). Puede crear cuantos
directorios de éstos estime conveniente. El URL de estos directorios será del
estilo:http://www.uv.es/usuario/privado , http://www.uv.es/usuario/privado0 , etc...
3. Automáticamente, todas las páginas incluídas por el usuario en estos directorios dejarán de ser públicamente
accesibles, exigiéndose para visualizarlas el proporcionar un par usuario/contraseña válido en los servidores de
correo de la universidad (post o postal).
4. Para restringir aún más el acceso y sólo permitirlo a determinados usuarios (p.e: upepe, juanjp, calcas), el
creador de la página deberá incluir dentro del directorio "privado..." del que se trate un fichero
llamado ".htaccess" (tal cual: nombre en minúsculas, empezando por punto y SIN sufijos) que contenga
líneas como las siguientes (texto ASCII, nombre de usuarios en minúsculas):
5. require user upepe juanjp
6. require user calcas
si existe el fichero .htaccess , únicamente los usuarios indicados de esta manera en él tendrán acceso a la
página. El fichero .htaccess puede ser distinto para cada uno de los directorios "privado..." que se tengan.

Nota: En MS-Windows, la mejor manera de crear un fichero ".htaccess" es utilizar el programa "bloc de notas"
(notepad), asegurándose de no poner la extensión ".txt" al guardar el fichero.

Páginas restringidas a personal de la UV

Si el directorio en vez de empezar por "privado" empieza por "privuni" ("privuni1", "privunia",...) sólo se
autorizará el acceso a cuentas @uv.es (personal de la UV); es decir, sólo podrá acceder el personal de la UV,
no el alumnado.
 23

Cambios de contraseña
La contraseña válida para acceder a las páginas protegidas es la contraseña que tiene en cada momento el
usuario autorizado, salvo que haya procedido a cambiársela el mismo día, en cuyo caso, la nueva contraseña
entra en efecto al día siguiente para el acceso a páginas protegidas, debiendo utilizarse la antigua hasta
entonces.

PÁGINAS WWW PROTEGIDAS POR UNA

CONTRASEÑA
Este servicio permite proteger un espacio web de forma que sus páginas sólo sean visibles para las personas
que conozcan un determinado par nombre/contraseña.

Condiciones del servicio:

Cualquier usuario del servidor WWW oficial de la universidad puede solicitar que se proteja por
nombre/contraseña una "subpágina" (subdirectorio o subcarpeta) de su espacio WWW en el servidor. Puede
protegerse un espacio WWW completo, aunque no es lo recomendado.

Para que un usuario pueda solicitar la protección de un subespacio, éste debe estar dentro de la página
personal del usuario o bien dentro de una página de grupo de la que el usuario sea responsable principal.

Nota: En este servicio sólo se proporciona un par usuario/contraseña por espacio protegido; es decir, todos
los usuarios del espacio comparten nombre/contraseña.

Datos necesarios
1. URL del espacio web a proteger (http://www.uv.es/~...). Alternativamente, nombre de usuario y nombre de
subdirectorio en el espacio WWW de ese usuario.
2. Corta descripcción (200 caracteres máximo) del espacio a proteger y un título (30 caracteres máximo) para el
mismo.
3. "Nombre" sugerido (letras minúsculas o cifras, máximo 8 caracteres).

Procedimiento
 Acceder al CAU y rellenar la solicitud correspondiente.
 Se creará el espacio protegido con el nombre sugerido (o el más parecido posible) y una contraseña generada al crear la
protección.
 Se notificará al solicitante vía e-mail.

Cambio de contraseña o anulación de la protección

 Enviar al CAU ( http://solicitudes.uv.es ) una solicitud para ello, especificando el URL.
 Se notificará al solicitante (que debe ser el propietario o responsable principal de la página en la que se encuentra el
espacio protegido) vía e-ma
24

Seguridad de la Información y Protección de Datos

En la Seguridad Informática se debe distinguir dos propósitos de protección, la Seguridad de la

Información y la Protección de Datos.

Se debe distinguir entre los dos, porque forman la base y dan la razón, justificación en la selección

de los elementos de información que requieren una atención especial dentro del marco de la

Seguridad Informática y normalmente también dan el motivo y la obligación para su protección.

Sin embargo hay que destacar que, aunque se diferencia entre la Seguridad de la Información y

la Protección de Datos como motivo o obligación de las actividades de seguridad, las medidas de

protección aplicadas normalmente serán las mismas.

Para ilustrar un poco la diferencia entre los dos, se recomiendo hacer el siguiente ejercicio.
25

En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de

evitar su perdida y modificación non-autorizado. La protección debe garantizar en primer lugar

la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen más requisitos

como por ejemplo la autenticidadentre otros.

El motivo o el motor para implementar medidas de protección, que responden a la Seguridad de

la Información, es el propio interés de la institución o persona que maneja los datos, porque la

perdida o modificación de los datos, le puede causar un daño (material o inmaterial). Entonces en

referencia al ejercicio con el banco, la perdida o la modificación errónea, sea causado

intencionalmente o simplemente por negligencia humana, de algún récord de una cuenta bancaria,

puede resultar en perdidas económicas u otros consecuencias negativas para la institución.

26

En el caso de la Protección de Datos, el objetivo de la protección no son los datos en si mismo,

sino el contenido de la información sobre personas, para evitar el abuso de esta.

Esta vez, el motivo o el motor para la implementación de medidas de protección, por parte de la

institución o persona que maneja los datos, es la obligación jurídica o la simple ética personal, de

evitar consecuencias negativas para las personas de las cuales se trata la información.

En muchos Estados existen normas jurídicas que regulan el tratamiento de los datos personales,

como por ejemplo en España, donde existe la “Ley Orgánica de Protección de Datos de Carácter

Personal” que tiene por objetivo garantizar y proteger, en lo que concierne al tratamiento de los

datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y

especialmente de su honor, intimidad y privacidad personal y familiar [1]. Sin embargo el gran

problema aparece cuando no existen leyes y normas jurídicas que evitan el abuso o mal uso de

los datos personales o si no están aplicadas adecuadamente o arbitrariamente.

Existen algunas profesiones que, por su carácter profesional, están reconocidos o obligados, por

su juramento, de respetar los datos personales como por ejemplo los médicos, abogados, jueces

y también los sacerdotes. Pero independientemente, si o no existen normas jurídicas, la

 27

responsabilidad de un tratamiento adecuado de datos personales y las consecuencias que puede

causar en el caso de no cumplirlo, recae sobre cada persona que maneja o tiene contacto con tal

información, y debería tener sus raíces en códigos de conducta [2], [3] y finalmente la ética

profesional y humana, de respetar y no perjudicar los derechos humanos y no hacer daño.

Si revisamos otra vez los resultados del ejercicio con el banco y en particular los elementos que

clasificamos como “Información Confidencial”, nos podemos preguntar, ¿de que manera nos podría

perjudicar un supuesto mal manejo de nuestros datos personales, por parte del banco, con la

consecuencia de que terminen en manos ajenas? Pues, no hay una respuesta clara en este

momento sin conocer cuál es la amenaza, es decir quién tuviera un interés en esta información y

con que propósito?

Protéjase del software malicioso

Nos gustaría que Internet fuera un lugar seguro y transparente para todos. Sin embargo, no
podemos negar que existen delincuentes y piratas en línea intentando provocar problemas.
Una de las maneras de ocasionar problemas es mediante la distribución de software
malicioso. Si sabe qué es el software malicioso, cómo se distribuye y cómo evitarlo, puede
protegerse.

¿Qué es el software malicioso?

El "software malicioso" es un software, de cualquier tipo, diseñado para dañar una computadora. El
software malicioso puede robar datos confidenciales de su computadora, disminuir gradualmente la
velocidad de su computadora e incluso enviar correos electrónicos falsos desde su cuenta de
correo electrónico sin su conocimiento. A continuación, le presentamos algunos tipos de software
malicioso habituales que podría conocer:

 Virus: Programa informático perjudicial que puede copiarse a sí mismo e infectar a una
computadora.
 Gusano: Programa informático perjudicial que envía copias de sí mismo a otras computadoras
mediante una red.
 Software espía: Software malicioso que recopila información de los usuarios sin su conocimiento.
 Adware: Software que reproduce, muestra o descarga automáticamente anuncios en una
computadora.
 28

 Troyano: Programa informático destructivo que aparenta ser una aplicación útil, pero daña su
computadora o roba su información una vez que se instala.

Cómo se distribuye el software malicioso

El software malicioso puede ingresar a su computadora de distintas maneras. A continuación, le
presentamos algunos ejemplos comunes:

 si descarga software gratuito de Internet que, de manera oculta, contiene software malicioso;
 si descarga software legítimo que, de manera oculta, se integra con software malicioso;
 si visita un sitio web infectado con software malicioso;
 si hace clic en un mensaje de error falso o en una ventana emergente que inicia la descarga de
software malicioso;
 si abre un archivo adjunto de un correo electrónico que contiene software malicioso.
El software malicioso puede distribuirse de diversas maneras, pero eso no significa que no pueda
impedirlo. Ahora que ya sabe qué es el software malicioso y lo que puede hacer, veamos algunos
pasos prácticos que puede seguir para protegerse.

Cómo evitar el software malicioso

1. Mantenga su computadora y su software actualizados.
2. Siempre que sea posible, utilice una cuenta que no sea de administrador.
3. Piénselo dos veces antes de hacer clic en vínculos o realizar una descarga.
4. Tenga precaución al abrir archivos adjuntos o imágenes de correos electrónicos.
5. No confíe en las ventanas emergentes que le piden que descargue software.
6. Limite el uso compartido de archivos.
7. Utilice software antivirus.

Técnicas para aumentar la

Seguridad Informática de tus
dispositivos

Hoy en día la seguridad informática se ha convertido en un elemento fundamental

para la protección de nuestros dispositivos y la información almacenada en ellos.
29

Pero, ¿cómo podemos proteger nuestros equipos de ataques informáticos y virus? Te

presentamos algunas técnicas que puedes aplicar para proteger tu computadora.

Crear Contraseñas Seguras

crea contraseñas seguras y difíciles de descifrar no uses fechas o números en tus claves
de correos electrónicos o cuentas bancarias ya que pueden vulnerar tus accesos. Una
contraseña segura es aquella que incluye números, letras en mayúscula y simbología.
Programas generadores de contraseña como Password.es y Claves Seguras te
permiten crear contraseñas y no olvides usar un usuario y contraseña distinta para
cada acceso y cámbialas cada 3 meses.

Las Descargas Seguras evitan virus

y programas piratas
No descargues software de páginas piratas o fraudulentas, hazlo desde la página
oficial y evita descargar programas innecesarios y malwares en tu computadora, esto
puede dar acceso a toda tu información privada.

Instala Antivirus
Es importante contar con un buen antivirus como kaspersky, por lo general suelen ser
costoso, pero es mejor prevenir y adquirirlos, vivimos en un mundo donde cada día
con la llegada de nuevas tecnologías nuestra privacidad y confidencialidad en nuestra
información está en riesgo por eso es conveniente adquirir un buen antivirus.

Protege tu Redes Inalámbricas

Utiliza una red privada para acceder a internet mediante tus dispositivos y no
compartas tu contraseña, cámbiala de forma regular y hazla privatizada, evitaras que
personas inescrupulosas quieran piratear tu red.
30

Evita la publicidad engañosa y

mensajes spam
Siempre vemos este tipo de mensajes basuras en internet o en los correos electrónicos,
Están acompañados con un mensaje trampa y un link a una red desconocida utiliza un
proveedor de correo electrónico que te notifique cuando estos tipos de correos
aparecen en tu bandeja de entrada y desechados de inmediato. navega de forma segura.

No olvides hacer copia de

seguridad
Respalda tus archivos en programas como Dropbox o Google Drive cuando sea
necesario así tendrás una copia de tus archivos en caso de existir fallos irreparables
en tu sistema operativo o disco duro.

Tomar todos estos consejos y técnicas ayudarán a aumentar los niveles de seguridad
de tus redes e información privada, y tú que otra técnica consideras importante para
respaldar la seguridad informática?

Seguridad física
Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos
--generalmente de prevención y detección-- destinados a proteger físicamente
cualquier recurso del sistema; estos recursos son desde un simple teclado hasta
una cinta de backup con toda la información que hay en el sistema, pasando por
la propia CPU de la máquina.

Dependiendo del entorno y los sistemas a proteger esta seguridad será más o
menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.
31

A continuación mencionaremos algunos de los problemas de seguridad física con

los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o
al menos minimizar su impacto.

Protección del hardware

El hardware es frecuentemente el elemento más caro de todo sistema informático
y por tanto las medidas encaminadas a asegurar su integridad son una parte
importante de la seguridad física de cualquier organización.

Problemas a los que nos enfrentamos:

 Acceso físico
 Desastres naturales
 Alteraciones del entorno

Acceso físico

Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto
de medidas de seguridad implantadas se convierten en inútiles.

De hecho, muchos ataques son entonces triviales, como por ejemplo los de
denegación de servicio; si apagamos una máquina que proporciona un servicio es
evidente que nadie podrá utilizarlo.

Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos

podemos copiar los ficheros o robar directamente los discos que los contienen.

Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el

control total del mismo, por ejemplo reiniciándolo con un disco de recuperación
que nos permita cambiar las claves de los usuarios.

Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los
equipos es importante, generalmente si se controla el PC de un usuario
autorizado de la red es mucho más sencillo atacar otros equipos de la misma.

Para evitar todo este tipo de problemas deberemos implantar mecanismos

de prevención (control de acceso a los recursos) y de detección (si un
mecanismo de prevención falla o no existe debemos al menos detectar los
accesos no autorizados cua nto antes).

Para la prevención hay soluciones para todos los gustos y de todos los precios:
32

 analizadores de retina,
 tarjetas inteligentes,
 videocámaras,
 vigilantes jurados,
 ...

En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre
con llave los despachos o salas donde hay equipos informáticos y no tener
cableadas las tomas de red que estén accesibles.

Para la detección de accesos se emplean medios técnicos, como cámaras de

vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente
con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien
tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte
sencillo detectar a personas desconocidas o a personas conocidas que se
encuentran en sitios no adecuados.

Desastres naturales

Además de los posibles problemas causados por ataques realizados por personas,
es importante tener en cuenta que también los desastres naturales pueden tener
muy graves consecuencias, sobre todo si no los contemplamos en nuestra política
de seguridad y su implantación.

Algunos desastres naturales a tener en cuenta:

 Terremotos y vibraciones
 Tormentas eléctricas
 Inundaciones y humedad
 Incendios y humos

Los terremotos son el desastre natural menos probable en la mayoría de

organismos ubicados en España, por lo que no se harán grandes inversiones en
prevenirlos, aunque hay varias cosas que se pueden hacer sin un desembolso
elevado y que son útiles para prevenir problemas causados por pequeñas
vibraciones:

 No situar equipos en sitios altos para evitar caídas,

 No colocar elementos móviles sobre los equipos para evitar que caigan
sobre ellos,
 Separar los equipos de las ventanas para evitar que caigan por ellas o qué
objetos lanzados desde el exterior los dañen,
33

 Utilizar fijaciones para elementos críticos,

 Colocar los equipos sobre plataformas de goma para que esta absorba las
vibraciones,