2BTO 2016/17

Bloque 2: Seguridad

TEMA 4: Seguridad Informtica

ACTIVIDADES
Pgina 85

La seguridad de la informacin

1 Para garantizar la confidencialidad de un sistema es necesario disponer de mecanismos de autentificacin,

autorizacin, cifrado y no repudio. Investiga y explica en qu consiste cada uno de ellos.

Autentificacin: el usuario identificado debe verificar y probar su identidad proveyendo informacin extra al
sistema, ya sea a travs de una contrasea, tarjeta de identificacin, certificado de usuario, tcnica de biometra,
etc. Para realizar una autentificacin fuerte se pueden combinar varios mtodos de identificacin.

Autorizacin: es el proceso por el que el sistema otorga diferentes niveles de permisos a los usuarios
autentificados para acceder a determinados recursos del mismo.

Cifrado: es el uso de algoritmos para transformar un mensaje de manera que slo pueda ser ledo por aquellas
personas que cuentan con el permiso necesario. Actualmente existen diversas aplicaciones que permiten cifrar
cualquier tipo de informacin, como correos electrnicos, archivos, discos duros o memorias USB.

No repudio: medidas adoptadas para asegurar que el origen o el destino no pueda negar que ha recibido o ha
enviado informacin.

2 Qu es una vulnerabilidad informtica? Afecta al hardware, al software, a los datos o a los usuarios?
La vulnerabilidad es la capacidad, las condiciones y caractersticas de un sistema, que lo hace susceptible a amenazas,
con el resultado de sufrir algn dao. En otras palabras, es la capacidad y posibilidad de un sistema de responder o
reaccionar ante una amenaza, as como recuperarse de un dao.

Las vulnerabilidades estn en directa interrelacin con las amenazas porque si no existe una amenaza, tampoco existe la
vulnerabilidad o no tiene importancia, porque no se puede ocasionar un dao. Adems, pueden afectar tanto al hardware
(fallos de dispositivos, accidentes, etc.), al software (virus, errores de programacin, etc.), a los datos (inconsistencias,
duplicaciones, etc.) y a los usuarios (errores de personal, vctimas de ingeniera social, etc.).
 2BTO 2016/17

Pgina 87

Amenazas a la seguridad

1 Un informtico en el lado del mal es el blog del hacker espaol Chema Alonso. Lee algunas de sus publicaciones para
obtener informacin sobre l y sobre las actividades que realiza.

RECURSO: Blog: Un informtico en el lado del mal

RECURSO ADICIONAL: Canal YouTube de Chema Alonso
2 Investiga la diferencia entre los diferentes niveles RAID y explica cmo se recupera la informacin en un sistema RAID
5 con cuatro discos cuando falla uno de ellos.

El sistema RAID (del ingls, "Redundant Array of Independent Disk") es un conjunto redundante de discos duros
independientes, interconectados entre s, cuya peculiaridad es que se comportan como un nico disco, es decir, la
informacin se multiplica en cada disco, se graba la misma informacin en cada uno de ellos, de esta forma si existiese
un error fsico o mal funcionamiento en uno de ellos el sistema podra continuar funcionando.

RAID 5 escribe los datos en todos los discos del volumen, utilizando un bloque de paridad calculado a partir de los
bloques anteriores. Si se produce un error en el disco fsico, los datos del disco que ha fallado pueden volver a calcularse
a partir del bloque de paridad creado. Por tanto, los datos no se pierden en caso de que haya un fallo en un disco; pero si
se produce un error en dos discos, s se perdera la informacin. Para implementar un sistema RAID 5, se necesitan tres
discos como mnimo.

RECURSO DE AMPLIACIN: Modos RAID (Seagate)

 2BTO 2016/17
Pgina 90

Ataques a los sistemas informticos

1 Clasifica los diferentes tipos de malware en funcin del tipo de ataque que llevan a cabo.

INTERRUPCIN INTERCEPTACIN MODIFICACIN SUPLANTACIN

VIRUS X X X X
GUSANO X X X
TROYANO X X
SPYWARE X
ADWARE X X
RANSOMWARE X X X
ROGUE X X
ROOTKIT X X X
PHISHING X X
PHARMING X X X
SPAM X

HOAX X X

2 En qu tipo de ataques se suelen utilizar botnets? Su uso es legal o ilegal?

El trmino Botnet hace referencia a un conjunto de ordenadores infectados por malware que permite al atacante
controlarlos de forma remota. A los ordenadores infectados se les denomina bots o zombies.

Legalidad de las botnets

Las botnets, han pasado por etapas muy diferentes. Los bots consisten en una secuencia de comandos o programas
diseados para conectarse a otro equipo (por lo general, un servidor) y ejecutar una serie de comandos para realizar
diversas funciones, que no tienen por qu ser necesariamente maliciosas o perjudiciales. Por ejemplo, puede servir para
administrar equipos remotamente, dar asistencia tcnica a otros usuarios telemticamente, etc.

Pero, los bots y sus usos han evolucionado para ofrecer servicios especializados que, suelen utilizar los
ciberdelincuentes para dar soporte a sus actividades delictivas.

Estas actividades delictivas afectan a las empresas en la medida en que pueden conllevar robos de secretos
comerciales, inserciones de malware en el cdigo fuente de los archivos, interrupciones del acceso o del servicio,
alteraciones de la integridad de los datos y robos de la informacin personal de los empleados. Para una empresa, esto
puede tener consecuencias desastrosas y desembocar en prdidas de ingresos, incumplimiento de las normativas,
prdida de la confianza del cliente o daos a la reputacin de la empresa, o incluso conllevar la quiebra
 2BTO 2016/17

del negocio. Para las organizaciones gubernamentales, el alcance de las consecuencias puede ser incluso mayor.

Por esta razn, las botnets se suelen asociar al malware y, por tanto, son ilegales. En cambio, el software de soporte
remoto como TeamViewer, VNC o Epoptes, es lcito y legal, ya que su utilizacin es conocida y autorizada por el gestor
remoto y el usuario final.

INFORMACIN COMPLEMENTARIA: Qu es una botnet o una red zombi de ordenadores?

LECTURA DE AMPLIACIN: Resumen de seguridad: botnet controlada va tuits y falsos descuentos en ZARA

MATERIAL COMPLEMENTARIO: La nueva era de las redes de bots (McAfee).pdf

3 Elabora un listado de las tcnicas de ingeniera social que suelen utilizar los estafadores en Internet.
La ingeniera social es la prctica para obtener informacin confidencial a travs de tcnicas psicolgicas y habilidades
sociales. Algunos ejemplos de su puesta en prctica a travs de Internet son:

Restablecer la contrasea. La mayora de sitios web y aplicaciones permiten restablecer la contrasea en caso
de olvido. Para ello, el usuario debe responder a preguntas personales como Mi equipo de ftbol favorito,
Nombre de mi abuela materna, etc., cuya respuesta puede ser sencilla de averiguar para un familiar, amigo o
conocido.

Inducir a las vctimas a descargar malware en el equipo. En funcin de los conocimientos informticos de la
posible vctima, al atacante le ser ms fcil o difcil engaar a su objetivo. Un ejemplo muy comn es enviar a la
vctima un email, ajustado a sus intereses, incitndole a que abra un archivo adjunto que infectar el equipo al
ser ejecutado.

Suplantando la identidad de una autoridad, banco, empresa o familiar para obtener informacin
confidencial. Por ejemplo, se suplanta la identidad de un club deportivo, con un email creble para regalar a sus
socios un curso gratis de ingls, para el que tienen que completar un formulario con sus datos.

Vdeos o webs promocionales. Suelen ofrecer regalos o trabajos en los que se puede granar mucho dinero de
una forma muy sencilla, pero detrs suele haber algn tipo de
 2BTO 2016/17
estafa. Por ejemplo, pueden indicar al usuario que ha ganado una moto, pero que debe pagar los gastos de envo
para poder recibirla (moto que nunca llegar).

Encuestas o email encadenados. Tratan de recopilar informacin de los usuarios que pueden utilizar para
venderla, descifrar contraseas, realizar extorsiones, etc.

etc.

Algunas medidas preventivas que se pueden adoptar para no ser vctima de la ingeniera social son:

- Usar contraseas seguras de, al menos, ocho dgitos que contengan maysculas, minsculas y caracteres no
alfanumricos.

- Nunca divulgar informacin sensible con desconocidos o en lugares pblicos.

- Si se sospecha que alguien intenta realizar un engao, hay que intentar que se identifique y tratar de revertir la
situacin, intentando obtener la mayor cantidad de informacin del sujeto.

- Implementar un conjunto de polticas de seguridad en la organizacin que minimice las acciones de riesgo.

- Mantener el sistema operativo actualizado para evitar vulneraciones y fallos en la seguridad.

- Tener soluciones antivirus para evitar robo de datos y contraseas.

- Cuando se detecte que el infractor pueda haber actuado o usado fraudulentamente el nombre y los datos del
afectado ponindolo en situaciones legales peligrosas; en esos casos es prioritario denunciar los hechos a la
Polica o la Guardia Civil para que se oficialice que la identidad ha sido sustituida y no puedan atribuirle a l los
hechos cometidos por el infractor.

4 Averigua en qu consiste la ingeniera social inversa e indica algunos ejemplos.

Al contrario que en la ingeniera social, el atacante no entra en contacto con la vctima, sino que crea mecanismos para
atraer a sus posibles vctimas y espera que ellas lleguen:

Algunos ejemplos podran ser:

Web o aplicaciones maliciosas. Pueden contener software malicioso escondido bajo software gratis, pirata,
juegos, etc.

Anuncios falsos. Las vctimas se pondran en contacto con el anunciante para adquirir facilitando datos
personales como telfonos, cuentas bancarias, direcciones de envo, etc.

La ingeniera social inversa se encuentra en la base de las estafas y casos de hacking, y englobada dentro de la
fase de reconocimiento en la que el hacker se dedica a la recoleccin de informacin sensible para poder
efectuar su ataque en las fases posteriores.

LECTURA COMPLEMENTARIA: Un lobo con piel de cordero: El arte de la Ingeniera Social

 2BTO 2016/17

Pgina 101
Privacidad de la informacin
1 Consideras que WhatsApp es una aplicacin segura? Investiga en
Internet si presenta vulnerabilidades de seguridad o privacidad.

El WhatsApp es una aplicacin de mensajera instantnea para telfonos inteligentes,

que enva y recibe mensajes mediante Internet. Desde sus inicios hasta el 2016, enviaba
los mensajes entre sus usuarios en texto plano, sin cifrado alguno.

En mayo de 2011 se descubra una vulnerabilidad crtica en WhatsApp: este problema

haca que las sesiones de usuarios pudieran ser "secuestradas" y que el ciberatacante
pudiera tener acceso a informacin.

A partir de 2016, WhatsApp realiza un cifrado de sus mensajes al ser enviados y solo se
descifran cuando llegan al dispositivo receptor (cifrado de extremo a extremo),
pudindose considerar, desde esta fecha, que s se trata de una aplicacin segura.

INFORMACIN COMPLEMENTARIA: Google. Verificacin en dos pasos

 2BTO 2016/17

3 Averigua cules son las aplicaciones ms populares para recuperar archivos borrados y para eliminar archivos
de forma segura.

Ya sea por accidente o descuido, se pueden borrar archivos del ordenador sin opcin de vuelta atrs porque tambin se
ha vaciado la papelera. Sin embargo, al borrar un archivo de nuestro disco duro, salvo que se utilice algn software
especfico, lo que ocurre es que el espacio que ocupa en el disco se marca como disponible y hasta que no es
sobrescrito el archivo no se elimina por completo. Por lo tanto, en el periodo de tiempo entre que se elimina el fichero
hasta que el espacio que ocupa en el disco sea ocupado de nuevo, es posible recuperar estos archivos gracias a
algunos programas desarrollados para ofrecer esta funcionalidad. Algunos ejemplos son:

- MiniTool Power Data Recovery

- Recuva

- Recovery My Files

En cambio, cuando lo que se desea es eliminar archivos de forma segura para que no puedan ser recuperados,
hay que utilizar software especfico como:

- CCleaner

- BleachBit
 2BTO 2016/17

Pgina 104
Seguridad en las comunicaciones inalmbricas
3 La tecnologa inalmbrica NFC de corto alcance se utiliza, entre otras cosas, para realizar pagos a travs del
mvil y de tarjetas contactless. Investiga en qu consiste y el grado de seguridad que proporciona.

NFC (Near Field Communication) es una tecnologa de comunicacin inalmbrica, de corto alcance (entre 10 y 15 cm) y
alta frecuencia que permite el intercambio de datos entre dispositivos. NFC se comunica mediante induccin en un
campo magntico, donde dos antenas de espiral son colocadas dentro de sus respectivos campos cercanos. Trabaja en
la banda de los 13,56 MHz, esto hace que no se aplique ninguna restriccin y no requiera ninguna licencia para su uso.

Esta tecnologa se suele incorporar en los sistemas de pago sin contacto que incorporan las tarjetas de crdito, llaveros,
tarjetas inteligentes, datafonos, telfonos mviles u otros dispositivos. El chip y la antena incorporados permiten a los
consumidores pagar una transaccin acercando el dispositivo a un lector del terminal punto de venta, de tal forma que no
es necesario leer el dispositivo de forma fsica a travs de una ranura de lectura.

NFC es un medio de transmisin inalmbrico seguro: en primer lugar, la reducida distancia de accin hace que sea muy
difcil que un tercer dispositivo interfiera en la conexin; por otro lado, las transmisiones pueden usar encriptaciones de
seguridad tales como SSL, por lo que los datos viajan a salvo entre dispositivos. Aun as, existen fallos de seguridad que
pueden afectar a las transacciones por NFS, como el envo de algunos datos personales sin cifrar o la copia de tarjetas
para realizar pagos sin pin.

Algunas precauciones bsicas que se deben adoptar al usar esta tecnologa para realizar pagos, son:

- Comprobar que el importe marcado en el datfono o telfono de cobro es el correcto.

- Asegurarse que nadie puede ver el PIN cuando se marca.

- Estar presentes cuando se realiza el pago, en ningn caso se debe entregar la tarjeta a la persona que nos est
cobrando para que se la lleve a otro sitio, ya que podra realizar una copia o duplicado.

- Solicitar a la entidad bancaria que anule la opcin de realizar pagos menores a 20 simplemente por proximidad,
sin tener que introducir el PIN de la tarjeta.

- Proteger las tarjetas con una funda especial o meterla en una cartera que no deje pasar las ondas
electromagnticas. En otro caso, un atacante podra estar realizando cargos menores a 20 simplemente con
situarse con un telfono de cobro a pocos centmetros de su vctima.

- Comprobar peridicamente que los cargos realizados corresponden con los gastos realizados y, en caso
contrario, poner en conocimiento de la entidad bancaria que se est realizando un uso fraudulento de la tarjeta.
Contactless. La nueva forma de pagar sin contacto (CaixaBank)