Escuela Preparatoria Oficial No.

99

“Seguridad en páginas web”

Capistran Miranda Marco Miguel

Cruz Alonso Ángel Iván
Gutiérrez Mayoral Valeria Itzel
Hernandez Cruz José Julian
Hernandez Munguía Edgar Iván

Sexto Semestre

Jesús Adrián Sereno Frayre

17/02/2022

Introducción
En esta investigación, hablaremos sobre cuales son las medidas de seguridad en
las páginas de internet, cuál es su función y por que es que son tan importantes al
crear páginas.

1. ¿Qué es la seguridad en una página web?

Son aquellas acciones o medidas que se toman en una página web para evitar y
prevenir cualquier ataque que pueda ser utilizado en una página web, como
revelar información privada, o invadir la privacidad.
2. Como hacer un sitio web seguro.
Hay muchas maneras de mantener un sitio seguro debido a que hay muchas
maneras de vulnerar a estos, unas maneras son las siguientes:
 Mantén al WordPress actualizado: Asegurarte de que todo el software
esté actualizado es crucial para mantener seguro tu sitio web. Esto se
aplica al sistema operativo del servidor y a cualquier software que esté
ejecutando en el sitio web, como un CMS. Recuerda que los hackers
explotan las brechas de seguridad web en el sitio para realizar ataques.
 Crea contraseñas fuertes: Parece obvio ofrecer un consejo como ese, ya
que muchas personas saben que deben usar contraseñas complejas, pero
eso no significa que esta práctica siempre se adopte. Es esencial utilizar
contraseñas fuertes para los perfiles de administración de servidores y
sitios web, pero también es muy importante informar a los usuarios sobre
las buenas prácticas que han ayudado a garantizar la seguridad web de la
cuenta.
 Configura perfiles de usuario: Incluso si las personas mal intencionadas
no puedan cambiar el código de tu sitio web, pueden hacerlo con registros
de usuarios. Si tienes las direcciones IP registradas, con los respectivos
historiales de actividad, será más fácil hacer un análisis del ataque sufrido.
 Haz backup de WordPress: Si tu sitio sufre un ataque hacker, es el
backup que te ayudará a recuperar los datos perdidos en el incidente. No
es realmente una estrategia de seguridad, ya que no es responsable de
inhibir los ataques, pero ayuda a prevenir la pérdida permanente de
archivos y carpetas.
 Apuesta en la autenticación en dos pasos: En la verificación en dos
pasos, la validación se realiza tanto en el navegador como en el servidor. El
primero puede identificar fallas más simples, como ciertos campos
obligatorios que no se han completado.

3. ¿Qué es el phishing?
Phishing es un término informático que distingue a un conjunto de técnicas que
persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por
una persona, empresa o servicio de confianza, para manipularla y hacer que
realice acciones que no debería realizar.
4. ¿Sabes qué es el Vishing?
El vishing es un tipo de estafa que se realiza a través de llamadas telefónicas y
busca obtener tus datos bancarios.
Primero recibes un mensaje de texto enviado supuestamente por una institución
financiera, en donde te informan que tienes cargos en una de tus cuentas y que en
caso de no reconocerlos deberás responder dicho mensaje con la palabra NO.
Minutos después recibes una llamada en la que una supuesta operadora te dice
que si no reconoces esos cargos se debe proceder a su cancelación.
Al aceptar, te envían otro mensaje con un supuesto folio y una liga para ingresar a
un portal falso del banco. En éste te solicitan ingresar tu número móvil, email,
número de tarjeta bancaria, NIP de cajero automático y tu código de seguridad,
con la promesa de que tus datos están resguardados.
5. ¿Qué es el smishing?
El smishing es un tipo de ataque de ingeniería social que se realiza a través de la
mensajería del teléfono móvil o por SMS. El objetivo es obtener información
personal, contraseñas, números de tarjetas de crédito y/o números de cuentas
bancarias y en general cualquier tipo de información sensible o confidencial que
permite a los ciberdelincuentes cometer estafas o fraudes electrónicos.
Para conseguir su propósito, el atacante utilizará la suplantación de identidad de
personas y organizaciones.
6. ¿Qué es un URL phishing?
El phishing es una técnica de ingeniería social que consiste en el envío de un
email en el que los ciberdelincuentes suplantan la identidad de una compañía
conocida o de una entidad pública para solicitar información personal y bancaria al
usuario. A través de un enlace incluido en el correo electrónico intentan redirigirle
a una página web fraudulenta para que introduzca su número de tarjeta de crédito,
DNI, la contraseña de acceso a la banca digital, etc.
Estos correos electrónicos fraudulentos suelen incluir el logotipo o la imagen de
marca de la entidad, contienen errores gramaticales e intentan transmitir urgencia
y miedo para que el usuario realice las acciones que le solicitan.
7. ¿Qué es el whaling?
Un ataque de whaling es un método que usan los cibercriminales para simular
ocupar cargos de nivel superior en una organización y así atacar directamente a
los altos ejecutivos u otras personas importantes dentro de ella, con el objeto de
robar dinero, conseguir información confidencial u obtener acceso a sus sistemas
informáticos con fines delictivos. El whaling, también conocido como CEO fraud,
es similar al phishing en cuanto a que usa métodos, como la suplantación de sitios
web y correos electrónicos, para engañar a la víctima y hacer que revele
información confidencial o haga transferencias de dinero, entre otras acciones.
8. ¿Qué es el spear phishing?
El spear phishing es una estafa de correo electrónico o comunicaciones dirigida a
personas, organizaciones o empresas específicas. Aunque su objetivo a menudo
es robar datos para fines maliciosos, los cibercriminales también pueden tratar de
instalar malware en la computadora de la víctima.
9. ¿Qué es el search engine phishing?
n este tipo de ataque los estafadores crean su propio sitio malicioso y lo indexan
los motores de búsqueda legítimos. Es habitual que estos sitios maliciosos
ofrezcan productos barato, oportunidades de empleo o incluso lancen alertas de
virus para los que es necesario adquirir su antivirus. Los compradores en línea
encontrarán estos sitios apareciendo en una página típica de resultados de
Google, y puede ser muy difícil notar la diferencia con un sitio legítimo. El sitio
malicioso alienta a los usuarios a entregar su información personal, como el
número del documento de identificación o su número de cuenta bancaria para
poder realizar la compra. Estos datos se pueden usar para robarle, secuestrar su
identidad o destruir su reputación.
10. ¿Qué es el phishing con evasión de filtros?
Los mecanismos 'Anti-Phishing' y 'Anti-malware' disponen de mecanismos para
detectar ataques, por ejemplo:
 Conocen las palabras clave que deben buscar en correos electrónicos para
detectar ataques de phishing. Para evadir esos filtros los atacantes usan
técnicas de para evadir esos filtros. Para evitarlo se pueden usar imágenes
que contienen texto de phishing incrustado para evitar filtros anti-phishing
basados en el análisis de cadenas de texto.
 Analizan los ficheros adjuntos para detectar ataques. Para evitarlo se
pueden añadir ficheros adjuntos protegidos con contraseña. Esta técnica a
la vez que evita el análisis de detección crea una falsa sensación de
seguridad.

11. ¿Qué es el nigerian phishing?

La estafa nigeriana, timo nigeriano o timo 419 se lleva a cabo principalmente
por correo electrónico no solicitado.
Esta estafa consiste en ilusionar a la víctima con una fortuna inexistente y
persuadirla para que pague una suma de dinero por adelantado, como condición
para acceder a la supuesta fortuna. Las sumas solicitadas son bastante elevadas,
pero insignificantes comparadas con la fortuna que las víctimas esperan recibir. La
estafa nigeriana puede entenderse como una versión contemporánea del cuento
del tío. 
12. ¿Qué es el pharming?
El pharming, una combinación de los términos "phishing" y "farming", es un tipo de
cibercrimen muy semejante al phishing, en el que el tráfico de un sitio web es
manipulado para permitir el robo de información confidencial. El pharming
aprovecha los principios con los que funciona la navegación por Internet, es decir,
la necesidad de convertir una secuencia de letras para formar una dirección de
Internet, en una dirección IP por parte de un servidor DNS para establecer la
conexión. El exploit ataca este proceso de dos maneras. En primer lugar, un
hacker puede instalar un virus o un troyano en la computadora de un usuario que
cambia el archivo de hosts de la computadora para dirigir el tráfico fuera de su
objetivo previsto, hacia un sitio web falso. En segundo lugar, el hacker puede
envenenar un servidor DNS para que los usuarios visiten el sitio falso sin darse
cuenta. Los sitios web falsos se pueden utilizar para instalar virus o troyanos en la
computadora del usuario, o pueden ser un intento de recopilar información
personal y financiera para usarla en el robo de identidad.
13. ¿Qué es el addline phishing?
El Addline Phishing se produce cuando el criminal es capaz de acceder al
ordenador o al teléfono de la víctima, robándole toda la información de sus
distintas cuentas personales.  Una vez obtenida la información, realiza
operaciones fraudulentas a nombre de otra persona a la que también se le ha
robado la cuenta.
14. ¿Qué es el malware-based phishing?
Se refiere a aquellas estafas que implican la ejecución de un software malicioso en
los ordenadores de los usuarios. El malware se puede introducir como archivo
adjunto en un correo o como archivo descargable en un sitio web.
15.¿Que es el man-in-the-middle phishing?
Un ataque informático man in the middle se produce cuando un hacker
interviene en la transmisión de datos entre dos partes que realizan una
comunicación electrónica, El ciberdelincuente se hace pasar por cualquier de
ellas o por las dos, «secuestrando» los datos y haciendo creer a las partes que
se están comunicando entre ellas, cuando en realidad no es así, y es el hacker
quien actúa como intermediario de esa comunicación.
A través de este tipo de ataques los hackers pueden descifrar la información
enviada en una comunicación, y utilizar dicha información con diversos fines
maliciosos, por ejemplo, para robar los datos de la víctima o para llevar a cabo
chantajes y extorsiones.

Características de los ataques de intermediario

Las principales características de un ataque MITM son las siguientes:
El ataque se realiza sobre la transmisión de tráfico o datos entre dos partes, ya
sean dos usuarios, o un usuario y un prestador de servicios.
El atacante actúa como intermediario en la comunicación, esto es, suplanta la
identidad de una de las partes (o de ambas), de forma que los datos siempre
pasan por él antes de ser enviados a la otra parte.
Aunque la información entre ambos host viaje cifrada, el atacante la descifra
antes de transmitirla a la otra parte.
Quienes realizan la comunicación no saben que están siendo objeto de este
ataque, y creen que se están comunicando entre ellos de forma normal.
Objetivos
La finalidad de un ataque man-in-the-middle es obtener información
confidencial que se transmite entre dos partes de una comunicación,
normalmente para realizar fraudes o estafas. Por ejemplo, entre los principales
objetivos de los hackers están los sitios web de banca online, de compras en
línea o, en general, cualquier otro sitio web o servicio en el que el usuario tenga
que introducir sus datos para acceder al portal y a la información de sus
cuentas bancarias.
16.¿Qué es el social network phishing?
El phishing en las redes sociales hace referencia a un ataque ejecutado a
través de plataformas como Instagram, LinkedIn, Facebook o Twitter. El
objetivo del ataque es robar datos personales u obtener el control de la cuenta
de su red social.
Un ataque de phishing en Facebook habitual consiste en el envío de un
mensaje o enlace que le pide que proporcione o confirme su información
personal. Entregado a través de una publicación de Facebook o mediante la
plataforma Facebook Messenger, resulta difícil separar un posible mensaje
legítimo proveniente de un amigo de un intento de phishing.
La información recopilada mediante un intento de phishing en Facebook da a
los atacantes la información que necesitan para obtener acceso a su cuenta de
Facebook. Podría recibir un mensaje informándole de que hay un problema con
su cuenta de Facebook y de que necesita iniciar sesión para solucionar el
problema.
Estos mensajes tendrán el correspondiente enlace para que lo siga y le lleve a
un sitio que se parezca a Facebook. Cuando llega al sitio web del impostor, se
le pedirá que inicie sesión. A partir de ahí, el hacker puede extraer sus
credenciales. Preste mucha atención a la dirección URL para tener la seguridad
de que está siendo redirigido a www.facebook.com. Cualquier otra cosa es muy
posible que sea falsa.
 17.¿Cómo castiga México los delitos informáticos?
Al que sin autorización conozca o copie información contenida en sistemas o
equipos de informática protegidos por algún mecanismo de seguridad, se le
impondrán de seis meses a tres años de prisión y de ciento cincuenta a
doscientos cincuenta días multa.

Conclusiones
- Con la información que se proporciona e la investigación se pueden
saber los diversos ataques a los que nos podemos enfrentar en la vida
cotidiana

- En conclusión, este tipo de investigaciones nos ayudan a tener un tipo de

conocimiento y avistamiento sobre lo que vamos a utilizar para aplicarlo en
una página propia, en pocas palabras primero la teoría y después la
práctica.

- La investigación realizada fue de gran ayuda ya que se tocó un tema muy

importante como los es la ciber seguridad y la clasificación de los “ataques”
que se han sufrido por medio de internet teniendo como consecuencia el
robo de datos e información posiblemente confidencial o muy importante

- Esta investigación nos ayudara para saber como es que trabaja un

estafador y como es que lo podemos prevenir para que nosotros no seamos
sus siguientes víctimas de este delito.

- Con base a esta investigación, pudimos conocer como es que un hacker

trabaja y todo lo que necesita saber de nosotros, con esto, podemos evitar
bastantes fraudes cibernéticos, solo es cosa de que aprendamos un poco
más sobre la tecnología y sus malos usos.
Bibliografías
colaboradores de Wikipedia. (2022, 25 enero). Phishing. Wikipedia, la enciclopedia libre.

Recuperado 14 de febrero de 2022, de https://es.wikipedia.org/wiki/Phishing

de Souza, I. (2021, 12 febrero). Seguridad web: revisa los factores claves para tener un sitio

web seguro y sólido. Rock Content - ES. Recuperado 14 de febrero de 2022, de

https://rockcontent.com/es/blog/seguridad-web/#:%7E:text=La%20seguridad

%20web%20consiste%20en,blogs%2C%20e%20incluso%20al%20host.

Santander, B. (2020). Smishing. Banco Santander. Recuperado 14 de febrero de 2022, de

https://www.bancosantander.es/glosario/smishing
BBVA ESPAÑA. (2021, 6 octubre). ¿Qué es el phishing y cuáles son sus consecuencias?
Recuperado 14 de febrero de 2022, de
https://www.bbva.es/finanzas-vistazo/ciberseguridad/ataques-informaticos/que-es-el-
phishing-y-cuales-son-sus-consecuencias.html
Kaspersky. (2021, 13 enero). ¿Qué es un ataque de whaling? latam.kaspersky.com.
Recuperado 14 de febrero de 2022, de
https://latam.kaspersky.com/resource-center/definitions/what-is-a-whaling-attack
Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros.
(2017, 28 julio). gobierno de México. Gob. Edo Mex. Recuperado 14 de febrero de 2022,
de https://www.gob.mx/condusef/articulos/sabes-que-es-el-vishing
Kaspersky. (2022, 11 febrero). ¿Qué es el spear phishing? latam.kaspersky.com.

Recuperado 14 de febrero de 2022, de

https://latam.kaspersky.com/resource-center/definitions/spear-phishing

colaboradores de Wikipedia. (2022a, enero 25). Phishing. Wikipedia, la enciclopedia libre.

Recuperado 14 de febrero de 2022, de https://es.wikipedia.org/wiki/Phishing

colaboradores de Wikipedia. (2020, 5 diciembre). Estafa nigeriana. Wikipedia, la

enciclopedia libre. https://es.wikipedia.org/wiki/Estafa_nigeriana

Kaspersky. (2021, 1 diciembre). ¿Qué es el pharming y cómo evitarlo?

latam.kaspersky.com.

https://latam.kaspersky.com/resource-center/definitions/pharming

Qué es el phishing, cómo evitarlo y estar siempre protegido. (2020, 19 febrero). Creditea.

https://www.creditea.es/blog/que-es-el-phishing-como-evitarlo-y-estar-siempre-

protegido

Corchado, B. (2021, 13 septiembre). ¿Qué es phishing y qué tipos existen? Garage.

https://es.godaddy.com/blog/que-es-el-phishing-y-que-tipos-existen/#malware

Tablado, F. (2021, 29 noviembre). Ataque Man in the middle. Características, tipos y

ejemplos. Ayuda Ley Protección Datos. Recuperado 14 de febrero de 2022, de

https://ayudaleyprotecciondatos.es/2021/07/15/ataque-man-in-the-middle/#:

%7E:text=Con%20un%20ataque%20man%20in,est%C3%A1n%20comunicando

%20de%20forma%20directa .

¿Qué es el phishing en las redes sociales? (s. f.). Trend Micro. Recuperado 14 de
febrero de 2022, de https://www.trendmicro.com/es_es/what-is/phishing/social-media-
phishing.html#:%7E:text=El%20phishing%20en%20las%20redes%20sociales%20hace
%20referencia%20a%20un,cuenta%20de%20su%20red%20social .
Ochoa, M. (2020, 25 septiembre). Delitos informáticos en México, ¿qué dice la Ley? IT
Masters Mag. Recuperado 14 de febrero de 2022, de
https://www.itmastersmag.com/noticias-analisis/delitos-informaticos-en-mexico-que-dice-
la-ley/#:%7E:text=Al%20que%20sin%20autorizaci%C3%B3n%20conozca,a
%20doscientos%20cincuenta%20d%C3%ADas%20multa.