Documentos de Académico
Documentos de Profesional
Documentos de Cultura
94466-Manual 4271 - 2 PDF
94466-Manual 4271 - 2 PDF
ante incidentes de
seguridad. Protocolos de
actuación
1
2013.
Autores:
Emilio Sánchez Pérez
Impresión.
Depósito Legal.
Diseño.
2
EAP
3
Unidad 1: Introducción.
Contexto actual de las tecnologías de la información
Unidad 2: Concepto. Incidente de Seguridad.
Concepto de un incidente de seguridad
Unidad 3: Herramienta de gestión de incidentes de seguridad.
Metodología para la gestión de incidentes. ITIL
Herramientas más populares.
Herramienta de gestión de incidentes en la CARM.
Unidad 4: Formas de poner un incidente.
Medios para registrar un incidente de seguridad.
Unidad 5: Tipos de incidentes.
Incidentes relacionados con el correo electrónico.
Incidentes relacionados con el acceso a Internet.
Incidentes relacionados con reglas de cortafuegos.
Incidentes relacionados con el corte de servicio de red.
Incidentes relacionados con el servicio antivirus.
4
En el módulo de prevención y reacción ante incidentes de seguridad, se va a abordar cómo
podemos evitar que se produzcan incidentes de seguridad y siempre que no esté en nuestras
manos y se produzcan saber cómo identificarlos y conocer la manera de proceder para su
mitigación inmediata y su posterior resolución.
El cambio continuo en las aplicaciones y el uso de los sistemas de información con nuevas
incorporaciones como últimamente han sido los dispositivos portátiles como las tablets y
Smartphones, propicia que cada día surjan nuevas amenazas para a la información.
Una vez que se haya finalizado el módulo, el usuario debería tener una visión global de los
posibles incidentes de seguridad con los que se puede encontrar, así como conocer cómo
registrar en los sistemas de información de la CARM estos incidentes para que el personal
adecuado se encargue de su resolución.
5
1. Contenido
Introducción del Módulo y Objetivos ó Expectativas de aprendizaje. .......................................... 5
1. Contenido .............................................................................................................................. 6
2. Introducción. ......................................................................................................................... 8
3. Conceptos. Incidentes de Seguridad ..................................................................................... 9
4. Herramienta de gestión de incidentes de seguridad .......................................................... 11
5. Distintas formas de poner un incidente .............................................................................. 12
6. Tipos de Incidentes ............................................................................................................. 12
Incidentes relacionados con el servicio del correo electrónico .............................................. 12
¿Cómo distinguir si estamos ante un SPAM, Phishing y/o email con un archivo malware?
............................................................................................................................................. 13
¿Cómo reportar el incidente? ............................................................................................. 17
Buenas prácticas.................................................................................................................. 23
Incidentes relacionados con el acceso a URLs ........................................................................ 26
¿Cómo identificar problemas relacionados con el gestor de contenidos del aplicativo de
seguridad perimetral? ......................................................................................................... 27
¿Cómo reportar el incidente? ............................................................................................. 28
Incidentes relacionados con reglas de cortafuegos ................................................................ 30
¿Cómo distinguir este tipo de incidentes? .......................................................................... 30
¿Cómo reportar el incidente? ............................................................................................. 31
Incidentes relacionados con el corte de servicio de red ......................................................... 33
¿Cómo distinguir este tipo de incidentes? .......................................................................... 33
¿Por qué se le ha cortado el servicio de red? ..................................................................... 33
¿Cómo reportar el incidente? ............................................................................................. 34
Incidentes relacionados con el servicio antivirus .................................................................... 36
¿Cómo distinguir este tipo de incidentes? .......................................................................... 37
6
¿Cómo reportar el incidente? ............................................................................................. 39
7. ANEXO A: Glosario de términos. ......................................................................................... 40
8. ANEXO B: Bibliografía. ......................................................................................................... 42
7
2. Introducción.
“La seguridad no es más que un aceptable nivel de inseguridad.”
La revolución de las tecnologías de la información, junto con el rápido desarrollo de las
infraestructuras de comunicaciones, está provocando que los incidentes de seguridad sean
cada vez más difícil de detectar así como más complicados de atenuar o resolver. Un factor
muy importante a la hora de tratar un incidente es su rápida su detección, es aquí donde
entrar la actuación del usuario final, el cual, debe saber en todo momento a quién dirigirse
dependiendo del caso y donde registrar el incidente.
El objeto de este curso es conseguir que el usuario pueda identificar un incidente de seguridad
de la información y saber cómo registrarlo.
8
3. Conceptos. Incidentes de Seguridad
Entendemos por incidente de seguridad a un único evento o una serie de eventos de seguridad
de la información, inesperados o no deseados, que tienen una probabilidad significativa de
comprometer las operaciones empresariales y de amenazar la seguridad de la información. Del
mismo modo entendemos eventos de seguridad como la ocurrencia detectada en un estado
de un sistema, servicio o red que indica una posible violación de la política de seguridad de la
información, un fallo de las salvaguardas o una situación desconocida hasta el momento y que
puede ser relevante para la seguridad.
Para evitar incidentes de seguridad la CARM cuenta con mecanismos preventivos;
MEDIDA PREVENTIVA ¿QUE SE PRETENDE EVITAR?
Filtrado Web 9 Infecciones por malware.
9 Fugas de información.
9 Accesos ilegales o pedófilos.
9 Acceso a urls de Phishing.
9 …
Solución Antispam 9 SPAM.
9 Acceso a urls de Phishing.
9 Infecciones por malware.
Normas de uso 9 Protección de registros y documentos de la CARM
9 Mal uso del puesto de trabajo en el entorno laboral.
9 Mal uso del correo electrónico corporativo.
9 Mal uso del acceso a Internet.
Buenas prácticas (Área de seguridad 9 Evitar incidentes de seguridad en general
en rica
9
http://rica.carm.es/chacp/areaSegu
ridad/)
10
La metodología utilizada en la CARM se denomina ITIL, estas son las siglas de una metodología
desarrollada a finales de los años 80’s por iniciativa del gobierno del Reino Unido cuyo
significado es el siguiente Information Technology Infrastructure Library o Librería de
Infraestructura de Tecnologías de Información.
Esta metodología es la aproximación más globalmente aceptada para la gestión de servicios de
Tecnologías de Información en todo el mundo, ya que es una recopilación de las mejores
prácticas tanto del sector público como del sector privado.
Existen multitud de aplicaciones que siguen la metodología ITIL;
• Remedy: Una de las más extendidas entre los grandes clientes.
• HP OV Service Desk: Una de las más cómodas herramientas que ha desarrollado HP,
pero que ahora ha caído en desgracia por la entrada en escena de Service Center.
• Service Center: Extremadamente flexible que te permitirá hacer prácticamente lo que
quieras. Propiedad de HP.
• System Center Service Desk: Herramienta de Microsoft que saldrá en breve al
mercado.
En la CARM se ha cambiado de herramienta recientemente, de utilizar hasta hace poco la
llamada Service Manager de la compañía HP a la que actualmente se ha puesto en marcha,
GLPI.
Esta herramienta que viene de las siglas Gestión Libre del Parque Informático favorece el
seguimiento de la metodología ITIL y es la utilizada para gestionar los incidentes de seguridad
en la CARM.
11
• En general el usuario avisará a su Servicio de Gestión Informática.
Para usuarios de la DGI se reportan por una de las siguientes vías;
9 Registrando un ticket en la herramienta GLPI. (https://glpi.carm.es)
9 Vía telefónica en caso de no tener disponible el ordenador, llamando al 368900
9 Otra opción es mandar un correo al CAU (Centro de atención al usuario)
explicando el detalle en el cuerpo del correo. cau@carm.es
6. Tipos de Incidentes
Aunque existen multitud de componentes a la hora de enviar o recibir un correo, solo
detallamos los más usados;
• Remitente (De: o From:): Es el usuario o entidad que envía el correo electrónico
12
• Destinatarios (o Para: o To:): muestra a quiénes se envió el mensaje.
• Asunto: En este campo se ve el tema que trata el mensaje, si quien envía el mensaje ha
dejado esta casilla en blanco se lee [ninguno] o [sin asunto].
9 Si el mensaje es una respuesta el asunto suele empezar por RE: o Re:
(abreviatura de responder o reply). Aunque según de dónde proceda el
mensaje pueden aparecer An: del alemán, Sv: del sueco…
9 Cuando el mensaje procede de un reenvío el asunto suele comenzar por RV:
(abreviatura de reenviar) o Fwd: (del inglés forward), aunque a veces empieza
por Rm: (abreviatura de remitir).
• Datos adjuntos: si aparece una marca (habitualmente un clip) significa que el mensaje
viene con uno o varios ficheros anexos.
Ejemplo:
• SPAM: Se denomina spam a todo correo no deseado recibido por el destinatario,
procedente de un envío automatizado y masivo por parte del emisor. El spam
generalmente se asocia al correo electrónico personal, pero no sólo afecta a los
correos electrónicos personales, sino también a foros, blogs y grupos de noticias
9 Ejemplo:
13
• Phishing: Es la denominación que recibe la estafa cometida a través de medios
telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos,
información confidencial (contraseñas, datos bancarios, etc) de forma fraudulenta. El
estafador o phisher suplanta la personalidad de una persona o empresa de confianza
para que el receptor de una comunicación electrónica aparentemente oficial (vía e‐
mail, fax, sms o telefónicamente) crea en su veracidad y facilite, de este modo, los
datos privados que resultan de interés para el estafador.
9 Ejemplo, tipo 1: Directamente te piden los datos en el correo para que se los
envíes.
14
9 Ejemplo, tipo 2: en el correo electrónico se proporciona un enlace a una página
web donde te solicitan la información personal.
15
• Correo electrónico con archivo adjunto sospechoso.
9 Ejemplo 1: Email con datos adjuntos.
9 Ejemplo 2: Email con malware a descargar en la URL.
16
Una vez que tenemos claros los conceptos, cuando se reciba un correo electrónico el usuario
debe plantearse las siguientes preguntas;
1. ¿Conozco al remitente?
a. Si no se conoce al remitente debe descartar el correo electrónico
2. ¿Esperaba el correo?
a. Si es de un remitente conocido pero no esperaba dicho correo, tenga
precaución de lo que en el correo se pida y mucho menos descargue cualquier
adjunto que pudiera ir en el correo, pueden haber suplantado la identidad del
remitente conocido y estar realizando un ataque en su nombre.
3. ¿Reconozco el archivo adjunto?
a. En el caso de descargar el archivo adjunto de un correo electrónico, analice el
archivo con el software anti‐malware corporativo antes de abrirlo, en caso de
duda elimine el archivo.
17
SPAM
Cuando nos llegue un correo no esperado, normalmente de alguna empresa, banco… es
necesario reportar al servicio de correo el remitente para que procedan a cortarlo. Para esto
es necesario realizar los siguientes pasos cuando se recibe el correo;
En caso de tener un gestor de correo como Microsoft Outlook 2010 siga estos pasos sobre el
email SPAM recibido;
1. Pulsar la pestaña “Archivo”
2. Pulsar la opción “Guardar como” y guarde el mensaje en su escritorio.
3. Guardamos como msg el archivo.
18
En caso de tener un gestor de correo como Microsoft Outlook 2007 siga estos pasos sobre el
email SPAM recibido;
1. Pulsar el icono del margen superior izquierda y pulsar la opción “Guardar como”
19
En versiones anteriores de Microsoft Office 2007 se encuentra en el menú Archivo > Guardar
como.
Si estamos trabajando con el cliente web de correo se deben seguir los pasos siguientes:
1‐ Sobre el email sospechoso pulsar botón derecho, opción “Ver cabeceras”;
2‐ Copiar el contenido que sale en la siguiente pantalla;
3‐ Para finalizar, guardaremos el contenido en un documento en nuestro equipo.
20
De una forma u otra ya tenemos guardado el contenido del correo en nuestro equipo, ahora
toca comprimirlo. Botón derecho sobre el fichero > Enviar a > Carpeta Comprimida (en Zip);
Una vez guardado en su ordenador, ya puede suministrarlo al servicio del CAU por una de las
vías de comunicación explicadas anteriormente. (Exceptuando la vía telefónica)
a. Vía GLPI. http://glpi.carm.es
Abrimos un ticket desde la opción que se recalca en la captura;
21
Seleccionamos las siguientes opciones;
• Como categoría: …> Aplicaciones Corporativas > Correo Electrónico
• Como Título: SPAM + “asunto del correo”
• Adjuntamos el fichero que previamente comprimimos.
Con estos pasos ya se estaría gestionando el problema y planteando una solución.
b. Vía correo electrónico. ( Cau@carm.es )
Creamos un correo electrónico nuevo con la siguiente configuración:
• Como destinatario: cau@carm.es
• Como asunto: SPAM “asunto del mensaje sospechoso”.
• Adjuntamos el fichero comprimido al correo electrónico.
22
NOTA: Para tratar correctamente estos incidentes de seguridad es necesario que se envíe
adjunto el SPAM
PHISHING
La manera de proceder con el Phishing es similar a la manera de actuar con el SPAM, el
tratamiento por parte del usuario es idéntico.
Buenas prácticas
Es importante seguir los siguientes Consejos y Buenas Prácticas en el uso del Correo
Electrónico
• No responder a correos en los que se pida su contraseña. Ni la CARM, ni bancos o cajas
de ahorros le pedirán su contraseña.
• No enviar información sensible o confidencial a través del correo electrónico, sino es
estrictamente necesario.
• No utilizar el correo electrónico para el envío o recepción de datos personales.
• No utilizar la dirección electrónica de la comunidad para darse de alta en sitios web o
servicios que no estén relacionados con la actividad laboral.
• No confiar en correos electrónicos de dudosa procedencia.
23
• No abrir documentos adjuntos ni enlaces sin comprobar el remitente y el contenido
del correo electrónico.
• Usar contraseñas robustas y cambiarlas de forma regular (al menos una vez al año).
Podrás cambiar y encontrar en Rica una Guía de selección de una buena contraseña. (
(http://rica.carm.es/chacp/idecor/cambiarclave.htm)
• No instalar programas o aplicaciones que no estén relacionados con la actividad
laboral.
Últimos tipos detectados por la empresa antivirus Kaspersky 2013;
• Alerta: cambio de contraseña. Suele ser la estafa más habitual utilizada por los
ciberdelincuentes, el ataque intenta conseguir los accesos a plataformas online de
comercio electrónico, banca, redes sociales,….
El correo se hace pasar por una empresa, incluso simula su página web y solicita al
usuario que haga un cambio de sus contraseñas, por algún motivo.
• Reservas falsas. Uno de los últimos engaños son emails falsos que, aparentemente,
proceden de compañías aéreas o cadenas hoteleras confirmando una reserva
inexistente. El correo pide al usuario que pinche en un enlace malicioso; una vez la
víctima cae en la trampa, se le redirige a un página maliciosa donde se oculta un
código que puede atacar al equipo informático.
• Vacaciones/Tragedias: las vacaciones o las tragedias son una gran oportunidad para
los delincuentes. Todo el mundo recibe emails de personas desconocidas:
organizaciones que piden donaciones para las víctimas del huracán Sandy; o
compañías que ofrecen servicios especiales para Navidad. Se aconseja que no se abran
dichos archivos porque pueden operar de la misma forma que el timo de las reservas
falsas.
• ¡Sales en un video divertido en Facebook! ¡Eso no es cierto!: Cuando se hackea una
cuenta de Twitter o Facebook, se suelen enviar mensajes a otros usuarios como
“Alguien está hablando de ti en Internet”, consiguiendo que la víctima pinche en un
enlace adjunto para ver el vídeo donde sale. Como respuesta, el usuario encuentra una
advertencia falsa pidiendo que se actualice la versión del reproductor. Cuando éste
pincha en el enlace de descarga, en lugar de descargarse una actualización del
software, el malware roba la información personal almacenada en el dispositivo.
• Good Site, Bad Link: Los expertos de Kaspersky Lab han encontrado enlaces maliciosos
en páginas legítimas como Wikipedia o Amazon, que permiten a los usuarios crear
páginas dentro de dichas websites. Los enlaces dirigen a las víctimas hacia otras
páginas donde se esconde un código dañino. Afortunadamente, las páginas legítimas
24
eliminan dichos sites falsos; disminuyendo el número de amenazas de este tipo. No
obstante, debemos estar atentos.
25
Esta aplicación es la encargada de analizar las URLs a las que quiere acceder el usuario y
permitirle o no el acceso dependiendo de la categorización y la reputación que tenga esta URL.
La base de datos de la aplicación viene por defecto con unas URLs clasificadas por categorías,
es el papel de la CARM establecer cuáles de estas categorías son permitidas o prohibidas de
acuerdo con la política de seguridad de la CARM. Del mismo modo las URLs también tienen
asociadas una reputación (0‐100) que funciona de la misma manera y que la CARM ha
establecido en un límite, por ejemplo solo se permiten URLs con reputación mayor a 40.
Como decíamos anteriormente la relación URL‐Categoría está almacenada en la base de datos
la aplicación al igual que la relación URL‐Reputación IP. A veces ocurre que una URL puede
estar mal categorizada o puede ser que se infectase por malware y aunque posteriormente
fuese desinfectada Palo Alto siga considerándola como “malware sites”, es en estos casos
donde debemos pedir la re catalogación. El funcionamiento a grandes rasgos de este aplicativo
en la CARM es el siguiente;
26
La base de datos de categorías asignadas a las URLs son las siguientes;
Más información sobre las categorías en el ANEXO C
La clasificación respecto a reputación sería la siguiente
NOTA: Algunas aplicaciones puede que no tenga su funcionalidad completa debido a que
internamente acceden a servicios webs cortados.
27
En la captura se puede ver la IP con la que el usuario está intentando acceder, la URL donde
quiere acceder y la categoría asociada a esa URL.
Si el usuario considera que la página está mal catalogada, es decir, se trata de un error del
sistema, puede poner una incidencia al CAU de la DGPIT. Si hay indicios de que está mal
catalogada se escala al fabricante, que la revisa en menos de 24 horas, corrigiendo la categoría
si estaba equivocada.
Estos datos pueden obtenerse de la página web que se obtiene al intentar acceder;
28
• Por otro lado, el usuario puede identificar otro tipo de fallo en la categorización de la
aplicación, es el caso contrario, que el usuario pueda acceder a URLs que pudieran
pertenecer a una categoría prohibida. En este caso debería proceder notificándolo vía
correo electrónico a cau@carm.es , especificando la URL que se quiere cortar el acceso
desde la red interna de la CARM. Desde el grupo de seguridad se evaluará la URL y se
procederá a cortar el acceso asignándola a su correcta categoría.
29
30
Problema con el cortafuegos Problema con el gestor de contenidos
En la siguiente captura se visualiza la IP del equipo;
31
Con esta información (URL de destino y la IP de origen) ya podemos enviar el email al CAU.
32
En la pantalla que obtiene el usuario se le proporciona una descripción de lo sucedido y como
proceder. El primer punto es “Contacte con su Servicio de Informática”, en el apartado ¿Cómo
reportar un incidente? se explica cómo hacerlo.
Cuando un equipo se infecta por un troyano generalmente el usuario no observa ningún
comportamiento anómalo. El malware, una vez dentro del equipo establece conexiones con
servidores externos y puede estar enviando información que tengamos en nuestro equipo sin
conocimiento del usuario y/o recibiendo órdenes desde fuera para realizar acciones maliciosas
dentro de la red de la CARM siendo todo transparente al usuario.
33
• IP de nuestro equipo
• URL a la que se intentaba acceder
• Adjuntar captura de la pantalla obtenida por el usuario, siempre que sea posible, esto
ayudará a resolver el incidente.
34
La tecla de imprimir pantalla es la señalada en la siguiente captura. Esta tecla copia una
imagen de lo que actualmente se está viendo en la pantalla y la copia en el portapapeles, lo
único que habría que hacer a continuación es copiarla en el correo que le enviemos al CAU.
35
El antivirus tiene la funcionalidad de chequear todos los archivos que el usuario tiene en su
equipo y clasificarlos como maliciosos o no. Este criterio de asignación de un proceso como
malicioso o no lo puede realizar de dos maneras posibles;
• Basado en Firmas (reactivo): Todos los antivirus necesitan descargar “firmas” (también
llamados vacunas) para que su funcionamiento sea correcto. Las empresas antivirus
recopilan en bases de datos corporativas información sobre el malware que se conoce,
esta información recopilada se va actualizando conforme se descubren nuevo
malware, esta información recopilada es lo que se conoce como las “firmas” del
antivirus. Como hemos mencionado antes, para que el funcionamiento del antivirus
sea efectivo, es necesario que periódicamente el producto antivirus esté consultando
esta base de datos con las firmas y las descargue para tenerlas en el equipo en local. El
equipo cuando esté analizando los procesos del sistema, va cotejando con estas firmas
y si verifica que el código malicioso se equipara a alguno de los aportados por las
firmas, es cuando el antivirus notifica una infección.
Para generar firmas nuevas el proceso que sigue la empresa antivirus es el siguiente;
9 Aparece un nuevo código malicioso.
9 El laboratorio de la empresa antivirus recibe una muestra de ese código.
9 Se crea la firma para el nuevo código malicioso
9 Se actualiza el producto con la nueva base de firmas y comienza a detectar el
malware.
Aquí radica la importancia de tener el antivirus actualizado.
• Basado en Heurística (proactivo): Este tipo de identificación basada en la heurística
realiza la clasificación de un proceso como malicioso o no según un patrón de
comportamiento, es decir, si un proceso X se ejecuta, accede a una carpeta de sistema
a la cual no debiera acceder, copia elementos en una carpeta temporal, abre una
conexión hacia el exterior y envía ficheros… el antivirus considera que es un
comportamiento sospechoso pudiendo ser malicioso o no. Este tipo de detección da
como resultado un mayor número de falsos positivos1. En resumen la heurística en
antivirus permite detectar malware nuevo o desconocido.
1
Un falso positivo es un error por el cual un software antivirus informa que un archivo o área del
sistema está infectada, cuando en realidad no es así.
36
¿Cómo distinguir este tipo de incidentes?
La casuística que puede darse con el antivirus es muy variada, podemos identificar posibles
incidentes de seguridad ya sea por el mal funcionamiento del producto antivirus o por la
sospecha de estar infectado por malware, no obstante la manera de reportar el incidente es
muy parecida;
• Lo primero que tiene que observar el usuario es que la base de datos de firmas de su
equipo esté actualizada, como se puede observar en la imagen, pasando el puntero del
ratón sobre el icono del antivirus se puede obtener información del producto. En este
caso podemos observar si la base de datos de firmas del antivirus está actualizado.
Por defecto cuando el antivirus no está funcionando correctamente pasa a tener uno de los
siguientes aspectos detallados más abajo, y dejando el puntero sobre la “K” se obtiene
información del evento. Es esta información la que debemos aportar al CAU a la hora de
reportar el incidente de seguridad para que puedan solucionarnos el problema.
El icono de la aplicación actúa como indicador d ela actividad de la aplicación. Refleja el estado
de la protección del equipo y muestra las operaciones que la aplicación está realizando en ese
momento:
• El icono significa que todos los componentes de protección de la aplicación están
activados.
• El icono significa que se está analizando un mensaje de correo electrónico.
• El icono significa que se está analizando el tráfico de red entrante y saliente.
37
• El icono significa que está actualizando las bases de datos y los módulos de la
aplicación.
• El icono significa que durante el funcionamiento del antivirus se han producido
eventos importantes que requieren su atención. Por ejemplo, es necesario reiniciar el
equipo debido a una actualización interna del producto antivirus.
• El icono significa que se han producido eventos críticos durante el
funcionamiento del antivirus. Por ejemplo, un error en el funcionamiento de uno o
varios componentes o daños en las bases de datos de la aplicación.
• Sobrecarga de CPU, ralentizando el equipo.
• Funciones de Windows dejan de funcionar o se hacen inaccesibles.
• Denegación de servicios
• Imposibilidad de ejecutar el programa antivirus
• Pérdida de propiedades de imagen y sonido
• Pérdida de unidades de almacenamiento
• Pérdida de archivos del sistema
• Tráfico en Internet no justificado
• Aparición de páginas web no solicitadas
• Programas que utilizan Internet dejan de funcionar o empiezan a funcionar mal sin
ningún motivo aparente
• Reinicios inesperados.
• Nos pide una contraseña de usuario sin ninguna justificación.
• El sistema no nos permite ejecutar determinados programas
• Mensajes de alerta de virus que no provienen del software antivirus instalado. Síntoma
de FAKEav
38
• Dirección IP del equipo afectado.
• Identificador del equipo. El identificador del equipo es un código que puede
encontrarse pegado en la torre del ordenador.
• Explicación de lo sucedido y/o observado. Es muy importante ser detallista con lo
sucedido ya que puede ayudar mucho en la rapidez de la resolución del problema.
39
• Email: Del inglés electronic mail, correo electrónico.
• SPAM: Se denomina ’spam’ a todo correo no deseado recibido por el destinatario,
procedente de un envío automatizado y masivo por parte del emisor. El ’spam’
generalmente se asocia al correo electrónico personal, pero no sólo afecta a los
correos electrónicos personales, sino también a foros, blogs y grupos de noticias
• Phishing: Es la denominación que recibe la estafa cometida a través de medios
telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos,
información confidencial (contraseñas, datos bancarios, etc) de forma fraudulenta.
El estafador o phisher suplanta la personalidad de una persona o empresa de
confianza para que el receptor de una comunicación electrónica aparentemente oficial
(vía e‐mail, fax, sms o telefónicamente) crea en su veracidad y facilite, de este modo,
los datos privados que resultan de interés para el estafador.
• Malware: Palabra que nace de la unión de los términos software malintencionado
“malicious software”. Dentro de esta definición tiene cabida un amplio elenco de
programas maliciosos: virus, gusanos, troyanos, backdoors, spyware, etc.
La nota común a todos estos programas es su carácter dañino o lesivo.
9 Virus; Programa diseñado para copiarse y propagarse a sí mismo, normalmente
adjuntándose en aplicaciones. Cuando se ejecuta una aplicación infectada,
puede infectar otros archivos. Se necesita acción humana para que un virus se
propague entre máquinas y sistemas. Esto puede hacerse descargando
archivos, intercambiando disquetes y discos USB, copiando archivos a y desde
servidores de archivos o enviando adjuntos de e‐mail infectados. Los efectos
que pueden provocar varían dependiendo de cada tipo de virus: mostrar un
mensaje, sobrescribir archivos, borrar archivos, enviar información
confidencial mediante correos electrónicos a terceros, etc. Los más comunes
son los que infectan a ficheros ejecutables.
9 Gusanos; En inglés Worm. Es un programa similar a un virus que se diferencia
de éste en su forma de realizar las infecciones. Mientras que los virus intentan
infectar a otros programas copiándose dentro de ellos, los gusanos realizan
copias de ellos mismos, infectan a otros ordenadores y se propagan
automáticamente en una red independientemente de la acción humana. De
Internet: Tipo específico de gusano que aprovecha los medios que provee la
red de redes para reproducirse a través de ella. Como cualquier gusano, su fin
40
es replicarse a nuevos sistemas para infectarlos y seguir replicándose a otros
equipos informáticos, pero lo que lo califica como un gusano de Internet es
que aprovecha medios como el correo electrónico, IRC, FTP, y otros protocolos
específicos o ampliamente utilizados en Internet
9 Troyanos; Este tipo de 'malware' carente de la capacidad de autoduplicación
requiere del uso de la ingeniería social para obtener un correcto
funcionamiento. Ya sea por la confianza en quien entrega el programa a la
víctima o por su falta de cautela, la víctima instala un 'software'
aparentemente inocuo en su ordenador. Al ejecutarse el software no se
evidencian señales de un mal funcionamiento; sin embargo, mientras el
usuario realiza tareas habituales en su ordenador, el programa abre diversos
puertos de comunicaciones del equipo de la víctima que permiten el control
absoluto de forma remota.
• Dirección IP: En inglés, IP Address. Número que identifica una interfaz de un
dispositivo conectado a una red que utilice protocolo IP.
41
8. ANEXO B: Bibliografía.
• http://rica.carm.es/InfoCAU.htm
• http://rica.carm.es/chacp/areaSeguridad/doc/SDG‐CAT‐prot‐20090216‐
PAT_ProtocoloAlertaTemprana(3.2).pdf
• http://rica.carm.es/glpi/ayudausuglpi.html
• http://www.inteco.es/home/instituto_nacional_tecnologias_comunicacion/
• http://www.viruslist.com/sp/viruses/glossary
• https://www.ccn‐cert.cni.es/
42