Documentos de Académico
Documentos de Profesional
Documentos de Cultura
4. SEGURIDAD INFORMÁTICA
Llamamos seguridad activa al conjunto de acciones para proteger el ordenador y su contenido (por
ejemplo, usar contraseñas seguras, tener actualizado un antivirus, usar certificados digitales,
encriptación de datos etc.). Se trata de reducir las vulnerabilidades todo lo posible.
La seguridad pasiva es la que pretende minimizar el impacto de un posible daño informático (por
ejemplo, realizar copias de seguridad periódicas o utilizar un SAI o Sistema de Alimentación
Ininterrumpida para que el ordenador no se apague si hay un corte de suministro eléctrico). Puesto
que las vulnerabilidades en los sistemas informáticos son inevitables, es necesario minimizar las
consecuencias: establecer planes y calendarios de actualización de sistemas operativos y aplicaciones;
de copias de seguridad. Esto último debe incluir el dónde se guardan las imágenes (copias de
seguridad) y el proceso de restauración.
La seguridad lógica, que complementa a la física, trata de proteger el software y los datos de los
usuarios. Por ejemplo protección de la información ante robos o pérdidas con técnicas de seguridad
tanto activa como pasiva.
Gran parte de nuestra información personal está resguardada gracias a contraseñas. Correo electrónico,
información bancaria, redes sociales o acceso a la nube requieren de una serie de dígitos para poder
acceder al contenido, en muchos casos sensible, por lo que el usuario debe tener en cuenta medidas de
seguridad cada vez menos fáciles de descifrar.
La primera medida de seguridad debe ser una buena contraseña. Una buena contraseña debe ser larga,
mezclar dígitos, letras y símbolos y evitar nombres y números como fechas, edad o número de teléfono
o DNI. Además es importante no
repetir la misma contraseña para
varios usos, renovarla
periódicamente y sobretodo no
compartirla ni escribirla. Muchas
veces los problemas de seguridad
no vienen por fallos en el software
sino por despistes de las personas.
Los derechos para proteger nuestros datos personales se conocen como derechos “ARCO” y son los
siguientes:
• Derecho de Acceso. Tenemos derecho a saber qué información tiene una organización sobre
nosotros.
• Derecho de Rectificación. Tenemos derecho a rectificar nuestra información si está
desactualizada o es incorrecta.
• Derecho de Cancelación. Tenemos derecho a cancelar el uso de nuestra información si ya no
utilizamos ningún servicio de una empresa. Pueden mantener información nuestra por motivos
legales, pero ya no pueden usar nuestros datos para nada más.
• Derecho de Oposición. Si una organización ha obtenido nuestra información sin nuestro
consentimiento o queremos que deje de utilizarla, este derecho nos permite oponernos a que
utilicen nuestros datos.
El término malware procede de la abreviatura de “malicious software” y hace referencia a todo tipo
de software malicioso cuya función es dañar un sistema o causar un mal funcionamiento.
Virus informáticos.
Sin duda son el tipo de malware más conocido. Básicamente Creeper, creado por Bob Thomas en
un virus informático es un programa se instala en el 1971, fue el primer virus informático
ordenador sin permiso del usuario con el fin de causar algún del que se tiene constancia. Era un
daño. Puede replicarse a sí mismo para infectar el ordenador virus inofensivo; sólo mostraba un
de diversas formas, por ejemplo añadiendo el código mensaje en la pantalla: “I’m the
“malicioso” a un archivo ejecutable (el programa sigue creeper, catch me if you can!”. Un
funcionando de forma aparentemente “normal” pero con el año más tarde se creó el primer
código del virus añadido). Una vez que el virus consigue antivirus.
estar en la memoria RAM (al ejecutarse el programa que lo
“contiene”, toma el control del ordenador infectando otros archivos ejecutables que sean llamados para
su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco,
terminando así el proceso de replicado.
Un virus informático suele tener dos fases. En la primera no provoca ningún daño, su prioridad es
pasar desapercibido y propagarse todo lo que pueda antes de que pueda ser detectado. En una segunda
fase, suele permanecer un tiempo en estado de latencia hasta que se cumple la condición para
activarse y entonces causa el daño para el que fue programado.
Troyano al equipo infectado. Normalmente abren lo que se conoce como puerta trasera o
backdoor para permitir a una persona externa controlar el equipo infectado. No
suelen causar daños al equipo ya que intentan pasar desapercibidos. Su fin es más
común es robar información
Los hackers son expertos informáticos que buscan debilidades en algún software y crean un programa
para, poder acceder y controlar el sistema de forma remota, en principio sin ánimo de hacer ningún
daño. Incluso hay empresas de “hacking ético” que ayudan a las empresas y entidades a saber cuál es
su nivel de seguridad para protegerse mejor ante hackers maliciosos.
El phishing o password harvesting fishing (pesca y captura de contraseñas) es uno de los métodos más
utilizados por los delincuentes para obtener información sensible de forma fraudulenta (contraseñas,
información detallada sobre tarjetas de crédito…). Consiste en el envío masivo de mensajes (por
ejemplo de correo electrónico) fraudulentos normalmente a los clientes de entidades financieras con la
finalidad de obtener de éstos los datos y las claves de usuario que les permitirán acceder
fraudulentamente a la cuenta de la víctima. Aunque, por sofisticado que sea, la mayoría no suele caer
en el engaño, hay que tener en cuenta que los delincuentes envían cientos de miles o incluso millones
de mensajes, por lo que un pequeño porcentaje de “éxito” puede suponer miles de ciudadanos
estafados.
Por otro lado, llamamos pharming al acto de redirigir un dominio DNS (una página web) a otra
página distinta. Por ejemplo para redirigir el acceso a la web de un banco hacia otra página distinta
con el fin de obtener los usuarios y contraseñas de sus clientes.
El spam supone ya el 80% del tráfico de correo electrónico en Internet. Son los mensajes que llegan al
buzón de correo de un usuario, normalmente para anunciar algún producto, y habiendo obtenido la
dirección de correo sin su consentimiento.
Llamamos hoaxes a cadenas de correo electrónico iniciadas para propagar un mensaje con el fin de ir
recopilando direcciones de correo electrónico de forma fraudulenta para, posteriormente, hacer mailing
y enviar correos masivos (spam). La cadena se va creando al reenviar el usuario el mensaje a sus
contactos. La solución es muy sencilla: enviar los mensajes escribiendo las direcciones de los
destinatarios en el campo CCO: en lugar de hacerlo en el campo Para: o CC: De esta forma se puede
reenviar el mensaje pero no se propagan por Internet las direcciones de correo electrónico.
Los fraudes informáticos están recogidos en el Código Penal español. El artículo 248 del Código
Penal en su regulación actual tras la reforma introducida por la LO 5/2010, de 22 de junio, dispone
que: "Cometen estafa los que…., con ánimo de lucro y valiéndose de alguna manipulación
informática o artificio semejante, consigan una transferencia no consentida de cualquier activo
patrimonial en perjuicio de otro."
• El ordenador funciona mucho más lento de lo normal tanto en la ejecución de programas como
en la navegación por Internet.
• Disminuye drásticamente el espacio libre en el disco o notamos que el disco trabaja más de lo
necesario, el ordenador accede repetitivamente al disco incluso cuando en principio no estamos
realizando ninguna tarea.
• Aparecen iconos desconocidos en el escritorio que no se pueden eliminar o que, una vez
eliminados, luego vuelven a aparecer.
• No se puede abrir el antivirus
• El navegador muestra una página de inicio distinta a la que teníamos configurada o aparecen
ventanas emergentes.
• Se inician automáticamente programas ....
Una vulnerabilidad o agujero de seguridad es un error en alguna aplicación, programa, página web,
etc. que puede ser aprovechado para dañar a los usuarios de esas aplicaciones o para acceder al sistema
de alguna forma.
Negación de servicio o DoS (Denial of Service): Los protocolos han sido diseñados para
comunicaciones abiertas. La realidad indica que es más fácil provocar un mal funcionamiento en el
funcionamiento de un sistema que acceder al mismo. El objetivo de un ataque de DoS es saturar los
recursos de la víctima (enviando peticiones masivas de servicio, por ejemplo a un servidor web) hasta
que termine por saturarse su software y deje de funcionar.
Monitorización: se realiza para observar a la victima y su sistema, con el objetivo de establecer sus
vulnerabilidades y posibles formas de acceso futuro.
Ataques de autenticación: tienen como objetivo engañar al sistema de la víctima para ingresar al
mismo. Una forma habitual es utilizando las sesiones ya establecidas por el usuario para obtener a
partir de ahí su nombre de usuario y contraseña.
Ataque de fuerza bruta. Se trata de recuperar una clave probando todas las combinaciones posibles
hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en
estudio. Se realiza mediante programas que prueban sucesivamente multitud de combinaciones. Por
eso es importante que la contraseña sea compleja y no esté relacionada con palabras o números que
puedan tener un significado.
El borrado de huellas es una de las prioridades del intruso una vez entrado en un sistema. Si se detecta
el ataque, el usuario intentará corregir la vulnerabilidad para evitar futuros ataques y, posiblemente,
para rastrear al atacante.
La Ingeniería social social hace referencia al hecho de obtener información mediante el engaño al
usuario para poder acceder al sistema con el fin de realizar algún tipo de fraude, robo, espionaje
industrial etc. En cualquier sistema, el eslabón o punto más débil de la cadena es siempre el usuario.
Por ello, criminales, delincuentes informáticos… suelen utilizar técnicas de ingeniería social como el
21 En informática, llamamos librería a un software que contiene varias funciones para lograr un propósito específico, de
forma que otros programadores puedan utilizarlo para ahorrar tiempo en el desarrollo de nuevos programas. Estas
librerías están diseñadas de forma que son fácilmente integrables en otros programas que necesiten usar la
funcionalidad que la librería ofrece. A su vez, es posible y probable, que una librería utilice otras librerías para
completar su funcionalidad.
phishing para hacerse con contraseñas en lugar de intentar descubrir vulnerabilidades del software. En
muchas ocasiones el problema viene cuando un usuario anota su usuario y contraseña en un papel, en
su agenda o en cualquier sitio que pueda dejar olvidado o visible.
4.5 Criptografía
La criptografía (del griego criptos, «oculto», y grafé, «escritura»; es decir «escritura oculta») es la
ciencia que se ocupa de la protección de documentos y datos mediante el uso de claves o códigos de
forma que lo escrito (y cifrado) sólo pueda ser entendido por quién tenga la clave para descifrarlo.
Los romanos ya utilizaban códigos para guardar sus ideas y estrategias de guerra con el fin de evitar
que fueran conocidos por quiénes no debían.
La criptografía de clave pública (también llamada de clave asimétrica o criptografía de dos claves) es
el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen
a la misma persona que ha enviado el mensaje. Una clave es pública y se puede entregar a cualquiera
mientras la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella.
Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede generar una vez
(en el momento de generar el certificado), de modo que se puede asumir que no es posible que dos
personas hayan obtenido casualmente la misma pareja de claves.
Una vez cifrado el mensaje, sólo la clave privada del destinatario podrá descifrarlo, ya que es el único
que la conoce. Por tanto se logra la confidencialidad del envío del mensaje porque nadie salvo el
destinatario puede descifrarlo. Si el propietario del par de claves usa su clave privada para cifrar el
mensaje, cualquiera puede descifrarlo utilizando su clave pública. En este caso se consigue por tanto la
identificación y autentificación del remitente, ya que se sabe que sólo pudo haber sido él quien empleó
su clave privada (salvo que alguien se la hubiese podido robar). Esta idea es el fundamento de la firma
electrónica que veremos en el siguiente apartado.
Ejemplo:
Ana y Bernardo tienen sus pares de claves respectivas: una clave privada que sólo ha de conocer el
propietario de la misma y una clave pública que está disponible para todos los usuarios del sistema.
Ana escribe un mensaje a Bernardo y quiere que sólo él pueda leerlo. Por esta razón lo cifra con la
clave pública de Bernardo, accesible a todos los usuarios.
Se produce el envío del mensaje cifrado no siendo necesario el envío de la clave.
Sólo Bernardo puede descifrar el mensaje enviado por Ana ya que sólo él conoce la clave privada
correspondiente. De este modo, no es necesario el envío de la clave por lo tanto el sistema es muy
seguro.
Fuente: http://www.cert.fnmt.es
suplantación de identidad. Por tanto es una tecnología que permite evitar el fraude y hace posible el
comercio electrónico en todas sus versiones.
La firma electrónica es un tipo de certificado digital que tiene la misma validez jurídica que la firma
manuscrita. Desde septiembre de 1999 es posible el uso de la firma electrónica en España en
documentos electrónicos. Actualmente su uso está regulado por la Ley 59/2003, de 19 de diciembre,
de firma electrónica.
El DNI electrónico o DNIe es otra forma de asegurar nuestra identidad en trámites online y firmar
documentos, solicitudes etc.
Si un dispositivo no tiene comunicación ni intercambio de información de ningún tipo con otro, no hay
posibilidad de contagio de malware. Sin embargo en un mundo hiperconectado las posibilidades se
multiplican. De hecho, gran parte de los fraudes y ataques llegan a través de Internet.
La mayoría de páginas web utilizan el protocolo http (hypertext transfer protocol) para la transferencia
de la información. Sin embargo existe una versión segura de este protocolo (https) que se basa en la
tecnología SSL (secure sockets layer) para codificar la información de forma que incluso aunque sea
interceptada por un tercero, no pueda ser descifrada. Por tanto una medida básica cuando se requiera
asegurar la seguridad en la navegación (acceso a cuentas bancarias etc) es comprobar que la página
web está utilizando dicho protocolo (https).
Una de las técnicas simples que utilizan las webs para aumentar la seguridad en el registro y acceso a
cuentas es el empleo de una CAPTCHA22, una forma de comprobar que quién quiere acceder a la
cuenta es una persona y no un programa intentando accesos automáticos.
Otras medida para garantizar una navegación segura es acceder a las páginas web tecleando
directamente su dirección en la barra de direcciones del navegador y no haciendo clic en enlaces que
nos puedan llegar mediante mensajes de correo o redes sociales.
veces no viene sólo de que alguien pueda usar una vulnerabilidad en una red social para robar datos
privados como ya ha ocurrido más de una vez con facebook o de que algunas aplicaciones como
whatsapp23 no terminen de garantizar la seguridad. A veces es el propio usuario quién no tiene
configuradas correctamente los ajustes de seguridad de su cuenta.
Siempre que se vaya a hacer un tratamiento de datos personales en los términos definidos en la LOPD,
es decir, "cualquier información concerniente a personas físicas identificadas o identificables" y que
suponga la inclusión de esos datos en un archivo (considerado por la ley como "conjunto organizado
de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso"), es obligatorio inscribir el archivo en el Registro General
de Protección de Datos (RGPD). La inscripción es gratuita.
Un cortafuegos (firewall en inglés) es una parte de un sistema informático, normalmente de una red de
ordenadores, diseñada para bloquear el acceso no autorizado pero permitiendo al mismo tiempo las
comunicaciones que sí están autorizadas. Los cortafuegos pueden implementarse en hardware o
software, o en una combinación de ambos.
Se utilizan para evitar que personas (o aplicaciones) no autorizadas tengan acceso a redes privadas
conectadas a Internet, especialmente intranets, o para evitar que posibles malwares que hayan
infectado un ordenador doméstico puedan enviar datos al exterior sin conocimiento del usuario. Todos
los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada
mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados.
Una red privada virtual (o VPN, del inglés Virtual Private Network), es una tecnología que permite una
extensión segura de una red de área local (LAN) sobre una red pública o no controlada como Internet.
Es decir, permite utilizar la infraestructura ya existente en Internet, para conectar dispositivos lejanos
para que, virtualmente, funcionen como una red local pero sin posibilidad de que usuarios o redes
externas tengan acceso sin permiso a dicha red.
Las redes WiFi pueden ser un riesgo en cuanto a seguridad si no están bien configuradas. Cualquiera
que tenga la señal al alcance se podrá conectar, y con un poco de malicia, acceder a nuestros datos
privados o utilizar nuestro ancho de banda disponible. Para evitarlo:
23 Plataformas como Telegram quizá tienen menos funcionalidades pero son mucho más seguras.
Una red pública es una red, WiFi o cableada, a la que cualquiera pueda tener acceso. Por ejemplo la
red WiFi de una cafetería, de un aeropuerto, de un centro comercial, etc. No suelen ser seguras.
Aunque esté protegida por una contraseña (por ejemplo, un bar que sólo da la contraseña a los
clientes), sigue siendo una red pública y hay que tener en cuenta que cualquiera puede tener la
contraseña.
El blockchain es una tecnología informática que va a suponer una verdadera revolución tecnológica
para muchos sectores. Su impacto en la banca, los seguros y cualquier situación en la que se tengan
que realizar contratos entre partes ya se está notando.
24 Una red WiFi abierta es aquella que no está protegida por ningún tipo de contraseña.
necesidad de intermediarios. Permite la transferencia de datos digitales (archivos etc.) formados por
cadenas de bloques25 diseñadas para evitar su modificación una vez que un dato ha sido publicado
usando un sellado de tiempo confiable26 y enlazando a un bloque anterior, consiguiendo almacenar de
forma creciente datos ordenados en el tiempo y sin posibilidad de modificación ni revisión.
Podríamos decir que es una especie de libro de asientos de contabilidad donde se registran todas las
entradas y salidas (de dinero, productos etc); solo que aquí los registros son digitales.
No hay intermediario centralizado que identifique ni certifique la información sino que se encuentra
distribuida en múltiples nodos independientes entre sí que la registran y la validan. Una vez
introducida, la información no puede borrarse, solo añadir nuevos registros, y no será legitimada a
menos que la mayoría de ellos se pongan de acuerdo para hacerlo.
Llamamos moneda digital a toda moneda virtual que se crea y se almacena electrónicamente. Las
criptomonedas son un tipo de moneda digital. Según la definición del diccionario Oxford 27 una
criptomoneda es “una moneda digital que emplea técnicas de cifrado para reglamentar la generación
de unidades de moneda y verificar la transferencia de fondos, y que opera de forma independiente de
un banco central”.
Bitcoin (2009) fue la primera criptomoneda pero después han aparecido otras muchas, aunque con
menor difusión: Namecoin (2011, la segunda en aparecer), Litecoin (octubre de 2011) , Peercoin
(2012), etc. Incluso la Unión Europea se planteó crear su propia criptomoneda (a propuesta de
Estonia) pero finalmente se rechazó la idea.
Muchas tiendas online (Amazon por ejemplo) permiten ya pagar con bitcoins. También, aunque pocas,
algunas tiendas físicas permiten hacerlo mediante el uso de carteras o billeteras bitcoin (una APP).
25 Cadenas de bloques: cada bloque contiene la información codificada de una transacción en la red y dos códigos, uno
que indica cuál es el bloque que lo precede (excepto el bloque origen), y otro para el bloque que le sigue.
26 Sellado de tiempo confiable: proceso de llevar, de manera segura, la cuenta del tiempo tanto de la creación como de la
modificación de un documento electrónico de forma que, una vez guardado el documento, NADIE (ni su dueño) puede
ser capaz de cambiarlo. Se usa para demostrar la existencia de alguna información antes de cierta fecha (ej. contratos,
información de investigación, registros médicos, etc.)
27 El término criptomoneda no está no aún definido por la RAE, la Real Academia Española de la lengua.