Texto académico 4

DIPLOMADO EN MANEJO DE PLATAFORMAS

VIRTUALES Y HERRAMIENTAS TECNOLÓGICAS
PARA PROCESOS PEDAGÓGICOS

MODULO 1: GESTIÓN Y ADMINISTRACIÓN DE CURSOS

EN LA PLATAFORMA MOODLE

TEMÁTICA 3: CONSIDERACIONES PARA LA

SEGURIDAD DE LA INFORMACIÓN

Bolivia
----- . -----
 Índice:

Contenido
Introducción .............................................................................................. 3
Unidad temática 3 ...................................................................................... 4
1. Seguridad............................................................................................ 4
1.1 Sistemas de información ...................................................................... 4
1.2 Seguridad de la información ................................................................ 5
1.3 Fundamentos de la seguridad .............................................................. 5
1.3.1 Integridad ...................................................................................... 6
1.3.2 Confidencialidad ............................................................................ 6
1.3.3 Disponibilidad ................................................................................. 6
2. Vulnerabilidades y riesgos ....................................................................... 6
2.1 Vulnerabilidades ................................................................................ 6
2.2 Riesgos ............................................................................................. 7
2.3 Delitos informáticos ............................................................................. 7
3. Medidas de seguridad ........................................................................... 9
3.1 Tipos de medidas de seguridad ............................................................. 9
3.2 Seguridad en redes e internet ............................................................. 11
4. Seguridad en Moodle .......................................................................... 12
4.1 La seguridad en la autenticación ........................................................ 12
4.2 Seguridad en la contraseña ............................................................... 13
4.3 La seguridad en la definición de roles ................................................... 16
Bibliografía .............................................................................................. 17
Introducción

La tecnología, se ha convertido parte de la vida cotidiana, dado que cada persona

interactúa con ella a cada momento. Los dispositivos denominados “inteligentes”
mal utilizados pueden llegar a ocasionar daños graves a las personas. Pero la
interacción de los dispositivos con las aplicaciones se incrementa cada día, y en los
procesos de comunicación se pueden presentar fallas, riesgos, vulnerabilidades o
pueden existir amenazas que atenten contra cualquier sistema inteligente, es por
esto que es necesario tomar medidas de protección.

La apertura de la comunicación e interacción entre dispositivos ha sido reducido la

brecha tecnológica en muchos sectores del país, pero como contraparte también
ha abierto el paso a personas con conductas antisociales que con fines maliciosos
dañan a otras personas a través del acceso a su información, ocasionando pérdidas,
alteración de datos, suplantación de identidad, y los usuarios finales son los sufren,
todo ello, por falta de conocimiento necesario sobre los riesgos a los que se está
expuesto cuando alguien se encuentra conectado a la re de Internet o tiene acceso
a su información o demás recursos importantes de alguna forma.

La mayoría de usuarios no invierten tiempo a capacitarse para mitigar los riesgos

informáticos a los que están expuestos; por lo que la forma de manejarlo no es
reactiva, dado que, cuando se produce un daño recién se recurre a la búsqueda o
forma de protegerse y proteger sus recursos, sobre todo la información que se
maneja.

Es por todo lo expuesto, que la seguridad informática es fundamental para proteger

la información y más aún en instituciones educativas.
 Unidad temática 3
 Seguridad
 Vulnerabilidades y riesgos
 Medidas de seguridad
 Seguridad en Moodle

Lectura motivadora
En la nueva era digital y de cara a los retos cada vez más complejos para garantizar
la tranquilidad de las personas en este nuevo mundo, la seguridad de la información
se ha convertido en un indispensable para las diversas esferas que existen, desde la
gestión pública hasta las entidades educativas.

La seguridad ciudadana se ha convertido en un eje primordial para nuestra sociedad,

pero la seguridad de la información ese intangible puede poner a cualquier persona
en una situación vulnerable y por ello es hoy también una prioridad.
Posgrados IBERO

1. Seguridad
1.1 Sistemas de información
Antes de entrar en el concepto de seguridad de información, debemos entablar
conocimiento de que deseamos asegurar, y es precisamente en este contexto
global digital, todos estamos rodeados de sistemas de información, inclusive, la
plataforma Moodle es un sistema de información.

Según Laudon, K. C. y Laudon, J. P. (2012), un sistema de información “es un

conjunto de componentes interrelacionados cuyo objeto es la recolección de
datos, su procesamiento y almacenamiento, y la distribución de información para
la toma de decisiones y para el control organizacional.”

En otras palabras, “un sistema de información es un conjunto de recursos

humanos, materiales, financieros, tecnológicos, normativos y metodológicos,
organizado para brindar, a quienes operan y a quienes adoptan decisiones en
una organización, la información que requieren para desarrollar sus respectivas
funciones”, (Saroka, H. R., 2002, p. 33).
Los sistemas de información han existido aún antes de la creación de la
tecnología de computación. Sin embargo, los avances tecnológicos han
potenciado y mejorado el procesamiento de datos. Hoy en día, todas las
organizaciones utilizan sistemas de información basados en tecnología para
realizar sus actividades, por ejemplo, actividades de educación, actividades
bancarias, etc.

1.2 Seguridad de la información

La información representa uno de los activos de mayor valor que posee toda
persona e institución y todas sus tareas diarias las realiza en funciona tomas de
decisiones, teniendo como fuente la información. Cualquier pérdida, daño o
alteración de la misma podría provocar serios problemas para el funcionamiento
normal de las operaciones y hasta podría significar graves pérdidas económicas.
Por tal motivo, es de vital importancia que se proteja la información. Por
consiguiente, es necesaria e imprescindible la seguridad de la información.

Según ISO 27001:2013 (2021) señala que “La seguridad de la información es el

conjunto de medidas y técnicas utilizadas para controlar y salvaguardar todos los
datos que se manejan dentro de la organización y asegurar que los datos no
salgan del sistema que ha establecido la organización.”

Es importante comprender que cualquier organización, desde las más pequeñas

hasta las más grandes, cuentan con datos confidenciales, bien de sus clientes,
bien de sus trabajadores, profesores, estudiantes, y que por ello tiene que
establecer las medidas de seguridad en protección de datos necesarios para
garantizar el correcto tratamiento de estos.

1.3 Fundamentos de la seguridad

Se establece este sistema ISO de seguridad de la información hay que tener en
cuenta tres aspectos fundamentales:
 Integridad
 Confidencialidad
 Disponibilidad
 1.3.1 Integridad
Los sistemas que gestionan la información tendrán que garantizar la
integridad de la misma, es decir, que la información se muestra tal y como
fue concebida, sin alteraciones o manipulaciones que no hayan sido
autorizadas de forma expresa. El objetivo principal es garantizar la
transmisión de los datos en un entorno seguro, utilizando protocolos seguros
y técnicas para evitar posibles riesgos.

1.3.2 Confidencialidad
La confidencialidad garantiza que solo las personas o entidades autorizadas
tendrán acceso a la información y datos recopilados y que estos no se
divulgarán sin el permiso de forma correspondiente. Los sistemas de
seguridad de la información tendrán que garantizar que la confidencialidad
de la misma no se ve comprometida en ningún momento.

1.3.3 Disponibilidad
En este aspecto se garantiza la información que se encuentra disponible en
todo momento para todas las personas o entidades autorizadas para su
manejo y conocimiento. Para esto deberán existir medidas de soporte y
seguridad que se puedan acceder a la información cuando resulte
necesario y que evite que se establezcan interrupciones en los servicios.

2. Vulnerabilidades y riesgos
Los riesgos siempre están presentes cuando se trata del manejo de información,
sobre todo cuando un tercero llega a involucrarse.

2.1 Vulnerabilidades
Las vulnerabilidades son debilidades que comprometen la seguridad de un
sistema informático. Son probabilidades de que una amenaza se materialice
contra un recurso de la organización, se pueden originar por diversidad de
factores como errores de configuración, factores técnicos, ambientales, entre
otros.
2.2 Riesgos
Son las probabilidades de que cierta amenaza se desarrolle sobre un activo
aprovechando las vulnerabilidades del mismo. Cada organización puede
reaccionar ante los riesgos según su plan de seguridad, es decir de manera
distinta, algunos ejemplos de riesgo pueden ser: virus informáticos, accesos no
autorizados, fraude, robo de información, etc.

2.3 Delitos informáticos

El delito informático es una actividad ilícita realizada a través de medios
informáticos como por ejemplo redes sociales. Donde, en la mayoría de los casos
el contacto físico es inexistente lo que garantiza al delincuente su integridad física
y anonimato. Y, además, los datos y la información tienen un valor muy alto. Por
este motivo, se deben utilizar herramientas de protección contra este tipo de
delitos a fin de evitarlos (Ramió Aguirre, J., 2006).

Software malicioso
Los programas de software malicioso o malware se infiltran en los sistemas sin
consentimiento de los propietarios para causar daño y alterar su
funcionamiento y, por lo tanto, el de la empresa. Incluyen virus, gusanos y
caballos de Troya.

 Virus. Un virus es un software malintencionado que necesita unirse a

otros programas o archivos para ejecutarse, de lo
contrario no puede funcionar. Los mismos pueden
destruir intencionalmente los datos almacenados en
una computadora o pueden ser más inofensivos y
sólo generar molestias. El virus necesita de la
intervención del usuario para poder propagarse.
 Gusanos. Los gusanos son programas independientes que se copian a
sí mismos de una computadora a otras a través de
una red. Se esparcen con mayor velocidad que los
virus ya que no necesitan unirse a otros programas
y archivos y no dependen tanto de la acción
humana, es decir, se propagan automáticamente.
Lo que hacen es destruir datos y programas y
pueden interrumpir o detener la operación de las
redes de computadoras.

 Caballo de Troya. Es un programa que parece ser benigno, pero

finalmente realiza algo distinto a lo que se esperaba. No
es un virus en sí porque no se reproduce, pero
representa un medio para que los virus u otro software
malicioso ingresen en el sistema informático.

 Ataques de inyección SQL (Lenguaje de Consulta Estructurada). Estos

ataques introducen un código de programa malicioso
en los sistemas y redes corporativas a través de las
vulnerabilidades en el software de aplicación Web
mal codificado. El atacante puede acceder a la base
de datos o a otros sistemas en la red.
 Spyware. También actúan como software malicioso algunos tipos de
spyware que son pequeños programas
que se instalan a sí mismos en las
computadoras sin que los usuarios se
percaten para monitorear y recopilar
información sobre sus actividades,
distribuirla a interesados, mostrar anuncios o realizar modificaciones
molestas en el equipo para que funcione con lentitud o se bloquee.
Los keyloggers son un tipo de spyware que puede registrar las
pulsaciones en las teclas de las computadoras para robar números de
cuenta, obtener acceso al correo electrónico, conseguir contraseñas
 de sistemas informáticos, realizar ataques a través de internet u
obtener información personal.

Tanto los virus como los gusanos pueden ingresar por medio de los siguientes
medios:
 Una computadora conectada a través de Internet
 Archivos o software descargados
 Archivos adjuntos en los correos electrónicos, y de mensajes de correo
electrónico.
 Mensajería instantánea
Generalmente sin el conocimiento del usuario, cuando los malware se dirigen
a los dispositivos móviles se esparcen, es decir, se copian a toda su red por:
Bluetooth, mensajes de texto y por medio de redes Wi-Fi o celulares. Es
importante considerar esto ya que los malware que afectan a las
computadoras estacionarias, computadoras portátiles y aparatos móviles, lo
que representa una gran amenaza a los sistemas informáticos y por ende a
su información.

3. Medidas de seguridad
Como resultado del análisis de vulnerabilidades, se obtienen medidas de control, las
cuales son planteadas en el plan de aseguramiento, con el fin de reducir el riesgo
ligado a dichas vulnerabilidades. Entonces, el primer paso para proteger la
información de la institución es la elaboración de las políticas de seguridad que
brindan educación y capacitación a todo el personal y, a su vez, una explicación
detallada de las consecuencias de su violación.
3.1 Tipos de medidas de seguridad
Las políticas de seguridad generales, las medidas y procedimientos son
específicas y se aplican de acuerdo a las necesidades particulares de cada
área
Según Saroka, R. H. (2002), las medidas de seguridad pueden ser de tres tipos:
 Preventivas: buscan limitar la posibilidad de que se concreten o
materialicen las amenazas a través de acciones que eviten o
minimicen su impacto.
  Detectivas: buscan limitar los efectos de las amenazas una vez que se
han presentado y detectar a tiempo los eventos que puedan
producirse.
 Correctivas: buscan recuperar la capacidad de operación normal a
través de la resolución de los problemas.
A continuación, se procederá a explicar distintas medidas de seguridad para
proteger los recursos informáticos.
 Administración de la identidad y la autenticación. Al implementar un
software por ejemplo Moodle, de administración de identidad que se
le asigna a cada usuario una identidad
digital única que le permite acceder al
sistema, por lo que se automatizan los
registros de todos los usuarios y roles. De esta
manera, se puede controlar el acceso a los
recursos del sistema. La autenticación permite saber que la persona es
quien dice ser.
 Contraseña. Una contraseña es una clave conformada por un
conjunto de caracteres que permiten acceder a
información restringida. La utilización de
contraseñas permite autenticar a los usuarios. A la
hora de administrar las contraseñas es importante
considerar los siguientes aspectos:
o Deben estar asociadas al tipo de autorización otorgada.
o Deben ser fáciles de memorizar.
o Deben ser cambiadas con frecuencia.
Sin embargo, las contraseñas presentan importantes debilidades ya
que los usuarios tienden a olvidarlas, compartirlas, escribirlas en lugares
donde pueden ser vistas, todo lo cual compromete la seguridad del
sistema.
  Backup y recuperación. Cuando se poseen archivos cuyos datos se
desean preservar o salvaguardar se realiza una copia de seguridad
denominada “backup”. Esta copia se hace en un
medio de almacenamiento distinto al que
contiene los datos copiados. Por su parte, la
recuperación es un proceso que permite recuperar
o restaurar un archivo original que fue alterado,
dañado o extraviado. Es decir, es un proceso
inverso al backup. Por ello, siempre es necesario tener copias de
seguridad de todos los archivos que el usuario considere importante.

3.2 Seguridad en redes e internet

Actualmente, todas las entidades utilizan redes e internet para desarrollar sus
operaciones, motivo por el cual se deben tener en cuenta a la hora de
establecer medidas de seguridad.
Las medidas de seguridad aplicadas en Internet son:
 Firewalls. Un firewall es una combinación de hardware y software que
controla la entrada y protege las redes de la
organización, monitoreando el flujo de tráfico de
información.
 Software antivirus. Es fundamental contar con protección antivirus en
los sistemas informáticos de la institución ya que el
software realiza una revisión en dicho sistema para
detectar la presencia de virus y eliminarlos del área o
de las áreas que se encuentran infectadas. El software
antivirus debe ser actualizado permanentemente para
que sea efectivo.
 Firma digital. La identificación digital de una persona se puede realizar
mediante el empleo de la firma digital ya que es una herramienta
tecnológica que identifica de forma unívoca
a la persona que envía un mensaje y la
conecta con el mismo. De esta manera, se
garantiza la autoría e integridad de los
 documentos digitales, pero no así la confidencialidad.

4. Seguridad en Moodle
4.1 La seguridad en la autenticación
Los métodos de autenticación de un nuevo usuario pueden ser de diversos,
usando la autenticación por defecto de Moodle o usando un plugin compatible
con la plataforma, ya hemos comentado la creación de usuarios:

Fuente: Elaboración propia

En la versión libre, existen tres métodos de identificación:

 Cuentas manuales.
 Identificación basada en email
 No hay sesión.
La opción “Cuentas manuales”, es el nivel más seguro, ya que contempla la
creación de cuentas de forma manual, por lo que, el administrador será el
encargado de darlas de alta. Con esto se evita el acceso de bots (programa
informático que realiza distintos cometidos y que trata de simular a un
humano) y spam porque tenemos control absoluto de quienes son los
admitidos a la plataforma. Es la opción más recomendada para grupos
pequeños.
Si se tratase de grupos más grandes, se recomienda la “Identificación basada
 en email”, con las recomendaciones respectivas, ya que el usuario entrara a
su bandeja de correo electrónico.

Sin embargo, no deja de llamar la atención las otras opciones, que están
deshabilitados y con pago de una licencia previa, describimos a
continuación las más importantes:
 Servidor LDAP. Protocolo de autenticación por Protocolo Ligero de
Acceso a Directorio (Lightweight Directory Access Protocol = LDAP) es
un protocolo de aplicación de código abierto que permite que las
aplicaciones accedan y autentiquen información específica del
usuario en los servicios de directorio.
 OAuth 2. Este plugin permite que los usuarios pueden identificarse
ingresando desde: Google, Microsoft o Facebook, es decir, si un usuario
ya cuenta con un email en el servidor de Google, puede utilizar sus
credenciales de identificación de su email para poder acceder a
Moodle.
4.2 Seguridad en la contraseña
Moodle permite configurar la seguridad de las contraseñas, para ello
simplemente de dirigirse a: Administración del sitio/ General/ Seguridad/ Políticas
de seguridad del sitio, como se muestra a continuación:

Fuente: Elaboración propia

Una vez dentro de “Políticas de seguridad del sitio”, se podrá configurar, por
ejemplo: la longitud de la contraseña, dígitos, etc:

Fuente: Elaboración propia

Ahora, es importante que, al momento de crear al usuario, se le asigne una
contraseña, y luego se habilite la opción “Forzar cambio de contraseña”:

Fuente: Elaboración propia

De modo que el usuario se verá obligado a cambiar su contraseña al momento

de ingresar por primera vez a la plataforma, en la siguiente pantalla se muestra
como el usuario ingresa por primera vez a la plataforma:

Fuente: Elaboración propia

Para cambiar la contraseña, deberá introducir la contraseña con la que se
creó el usuario, luego deberá incluir su propia contraseña. Las
recomendaciones para el cambio de contraseña son
 Una longitud mínima de 8 caracteres (a menos que cambie esta
política).
 Incluir letras, números y caracteres especiales (ejemplo @, $, %, &).
 Debe incluir mayúsculas y minúsculas.
Se debe recalcar que la nueva contraseña debe escribirse dos veces, una en
cada campo del formulario, luego debe hacer clic en “Guardar cambios”.

1
2

Fuente: Elaboración propia

Después de guardar los cambios, tendrá la siguiente ventana:

Fuente: Elaboración propia

Para finalizar presiona clic en “Continuar”.
 4.3 La seguridad en la definición de roles

Los roles, bien definidos, permitirán una buena gestión de la plataforma y a la

vez un control de accesos a la misma, ya que define que se puede o no se
puede hacer con cada rol del usuario. Una mala gestión de usuario y roles
puede conllevar a un ataque interno, es decir un ataque de nuestros propios
usuarios.

Moodle tiene configurado por defecto siete roles básicos que son de mayor nivel
de permiso a menor: Administrador, Creador de cursos, Profesor, Profesor no
editor, Estudiante, Invitado y Usuario autenticado.

“Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea,
debes cambiarla regularmente y no debes compartirla con extraños”
Chris Pirillo
Bibliografía
 Areitio J. (2008). Seguridad de la Información (1era ed.). Madrid: Ediciones
Paraninfo S.A.

 Moodle. (2022). Documentación. Recuperado de

https://docs.moodle.org/400/en/Main_page

 Palazon J. (2022). Educación 3.0. recuperado en:

https://www.educaciontrespuntocero.com/tecnologia/crear-un-curso-en-
moodle/

 Sanchez J. (2012). REVISTA IBEROAMERICANA DE EDUCACIÓN. Usos

pedagógicos de Moodle en la docencia Universitaria desde la perspectiva
de los estudiantes, volumen 60, 15-38. Recuperado de:
https://rieoei.org/historico/documentos/rie60a01.pdf

 Rice William. (2018). Moodle 3 E-Learning Course Development (4ta ed.).

Amazon.