UNIDAD IV

Seguridad aplicada a
la oficina
Curso: Introducción a los riesgos para la privacidad
en el ciberespacio
Módulo 4: Seguridad aplicada a la oficina
 Recomendaciones y Buenas Practicas
 Clave de acceso o contraseña
o Características de una contraseña segura
 Correo electrónico – Conceptos Fundamentales
o Cadena de Correo Electrónico
o Precauciones Recomendables
 Mensajes no solicitados (SPAM)
 Códigos Maliciosos

Navegación segura

Navegar por Internet tiene muchas ventajas, pero es importante tener bien protegido nuestra estación de
trabajo. Según la importancia de la información que esta contenga, el agente, al conectarse a Internet,
además de cuidar los aspectos básicos de protección del equipo, deberá seguir todas las indicaciones del
organismo y aplicar todas o alguna de las siguientes medidas de seguridad, medidas de prudencia para una
navegación más segura:

 No dejar desatendido su equipo mientras esté conectado.

 Apagar el equipo siempre que no se esté utilizando.
 Navegar por sitios web conocidos.
 No aceptar la ejecución de programas cuya descarga se active de forma no solicitada.
 No compartir discos o impresoras en Internet.
 Conocer la existencia de hoaxes (virus engañosos).

Además, otro tema importante para una navegación segura es la protección de datos, ya sean personales,
de contacto, financieros o de cualquier otro tipo. Para ello, el agente deberá:

 Mantener el anonimato en cuanto a datos personales y profesionales en los formularios de petición de

datos de sitios web.
 Proporcionar datos reales sólo cuando sea imprescindible para obtener un servicio (por ejemplo, cuando
tenga que recibirse un envío postal).
 Introducir datos financieros sólo en sitios web seguros (en concreto, el uso de PIN bancarios debe
restringirse únicamente a la página del banco o caja que ha originado el PIN siempre que esté en
páginas con el protocolo HTTPS).

UNIDAD IV 2
 No utilizar las mismas contraseñas en los sistemas de alta seguridad que en los de baja seguridad.
 Extremar el cuidado al proporcionar información sensible a solicitantes no autorizados o cuya identidad
no pueda ser verificada fehacientemente.
 No proporcionar datos personales en sitios web que no garanticen el cumplimiento de la legislación
vigente (LOPD) y/o que no tengan un sitio web seguro (SSL).
 Al usar equipos compartidos con otros trabajadores, extremar el cuidado de las medidas de protección
básicas: desconexión de sesiones, etc.

Asimismo, cuando nos encontremos ante la posibilidad de “navegar por Internet”, debemos tener en cuenta
que en algunas ocasiones, el enlace puede no coincidir con la dirección del sitio real de la organización que
dice solicitar la información. Esto puede servir para mostrar páginas engañosas o no solicitadas.

Se recomienda:

 Verificar el destino en “Propiedades”.

 Escribir el enlace tal cual lo conocemos en una ventana nueva del navegador.

Recomendaciones-Buenas Prácticas

¿QUÉ PRECAUCIONES DEBES TENER?

 Evitar acceder a sitios desconocidos o no confiables.

 No aceptar la instalación automática de software.

 No descargar archivos ejecutables.

 No dejar información sensible en páginas o foros.

 Si debe enviar información sensible:

 Solo hacerlo en sitios seguros (https)

 Verificar el certificado del sitio.

 Consulte con su administrador sobre configuración segura del navegador.

UNIDAD IV 3
Clave de acceso o contraseña

Una clave de acceso o contraseña es un conjunto de caracteres (algo que se sabe) utilizado por un sistema
para completar el proceso de identificación y autenticación de un usuario que solicita acceder a un recurso,
es decir, para verificar que el usuario es quien dice ser. Por ejemplo, las contraseñas son requeridas para
acceder a la mayoría de los servicios que se brindan por Internet, ya sea correo electrónico, redes sociales,
banca electrónica o “home banking”, sitios de compra en línea, servicios de Chat, portales de juegos, etc.

En el contexto laboral son requeridas para acceder a redes internas corporativas o gubernamentales, a las
estaciones de trabajo, a dispositivos de conexión, como “routers” o “switches”, etc.

En definitiva, las contraseñas se utilizan para controlar el acceso a diversos recursos, tanto internos de un
organismo, como externos. Algunos ejemplos son archivos de datos, sistemas de información, correo
personal, redes sociales, etc., y que el nombre de usuario y la contraseña son las credenciales que nos
permiten identificarnos para acceder a ese recurso disponible.

La falta de cuidado en la clave de acceso a un servicio ya sea corporativo o personal, puede poner en
riesgo a toda la organización o de terceros. Esto se debe a que hoy las redes se encuentran
interconectadas. Cuando un usuario se sienta a trabajar en su puesto de trabajo, accede a servicios
corporativos y servicios personales, en Internet, en la red local, en redes de terceras partes. Los límites de
las redes hoy son difusos, lo cual representa muchas ventajas tecnológicas, pero a su vez expone a la
información a mayores y más diversos riesgos.

Por otra parte, la contraseña de un usuario, al identificarlo ante los sistemas, si es utilizada por un tercero
esto podría constituir una suplantación de identidad del usuario titular. Es por ello que no se debe compartir
las contraseñas, esto sería como prestar el DNI a un tercero para que se haga pasar por uno. Descuidar
una contraseña, o elegirla sin un buen criterio, posibilita que pueda ser obtenida muy fácilmente y utilizada
para perjudicarlo de diversas maneras, tanto a usted como a la organización a la que pertenece.

UNIDAD IV 4
Características de una contraseña segura

Para ser segura, una contraseña debe caracterizarse por ser:

A continuación, aclaramos el significado de cada una de las características que debe poseer una
contraseña segura:

 Personal: significa que se debe asignar una contraseña a cada persona que acceda al sistema.
 Secreta: significa que solo debe conocerla el usuario de la contraseña.
 Intransferible: significa que la contraseña no puede ser revelada a ningún tercero para su uso.
 Modificable solo por su titular: significa que el cambio de contraseña, sea cual fuere el motivo, debe ser
realizado por el usuario. Únicamente en situaciones excepcionales podrá ser cambiada por el
administrador, por ejemplo, cuando el usuario la hubiera olvidado o si estuviera en riesgo la seguridad
de la organización, por ejemplo, en el caso de que fuera divulgada o detectada como débil luego de una
auditoría2. En dichos casos de todos modos, el administrador debe obligar al usuario a cambiarla la
primera vez que la utilice.
 Difícil de averiguar: para ser segura, el usuario debe seguir ciertos lineamientos que impidan su
averiguación: las claves no deben asociarse a características personales, como nombres, número de
documento, etc.

UNIDAD IV 5
Tenga en cuenta que el robo de contraseñas en una práctica habitual en el mundo actual que expone los
datos e información de los usuarios y las organizaciones.

http://www.seguridad.unam.mx/noticias/?noti=2535

En resumen, una clave de acceso o contraseña es un conjunto de caracteres utilizado por un sistema para
completar el proceso de identificación y autenticación de un usuario que solicita acceder a un recurso. El
nombre de usuario y la contraseña son las credenciales que nos permiten identificarnos para tener ese
recurso disponible. El cuidado de cada usuario es fundamental en la preservación del recurso, de la
información y de los datos gestionados. La responsabilidad sobre la seguridad integral de la información y
de la red, es la suma de las responsabilidades que cada uno tiene al hacer uso de los recursos brindados
por los organismos para el desarrollo de la función pública.

Normas para construir una clave de acceso o contraseña

Cuando debamos definir una clave de acceso o contraseña para nuestros equipos es recomendable
recordar las siguientes normas que nos ayudaran a que la misma sea robusta.

 No utilice palabras comunes ni nombres de fácil deducción por terceros (nombre de mascota)
 No las vincule a una característica personal, (teléfono, D.N.I., patente del automóvil, etc.).
 No utilice terminología técnica conocida (admin)
 Combine caracteres alfabéticos, mayúsculas y minúsculas, números, caracteres especiales.
 Constrúyalas utilizando al menos 8 caracteres.
 Use claves distintas para máquinas diferentes y/o sistemas diferentes.
 Use un acrónimo de algo fácil de recordar Ej: NorCarTren (Norma , Carlos, Tren)
 Añada un número al acrónimo para mayor seguridad: NorCarTren09 (Norma, Carlos, Tren, Edad del
hijo)
 Mejor aún, si la frase origen no es conocida por otros: Verano del 42: Verdel4ydos
 Elija una palabra sin sentido, aunque pronunciable. (galpo-glio)
 Realice reemplazos de letras por signos o números. (3duard0palmit0)
 Elija una clave que no pueda olvidar, para evitar escribirla en alguna parte. (arGentina6-0).

UNIDAD IV 6
Claves de acceso -normas de uso

Una vez que nuestra clave de acceso o contraseña este creada será recomendable recordar las siguientes
normas para que el uso que hagamos de la misma sea responsable.

 Cuide que no lo vean cuando tipea su clave.

 No observe a otros mientras lo hacen.
 No escriba la clave en papelitos, ni post-it, ni en archivos sin cifrar.
 No comparta su clave con otros.
 No pida la clave de otro.
 No habilite la opción de “recordar claves” en los programas que utilice.
 Si por algún motivo tuvo que escribir la clave, no la deje al alcance de terceros (debajo del teclado, en
un cajón del escritorio) y NUNCA pegada al monitor.
 NUNCA envíe su clave por correo electrónico ni la mencione en una conversación, ni se la entregue a
nadie, aunque sea o diga ser el administrador del sistema.
 No mantenga una contraseña indefinidamente.
 Cámbiela regularmente, aunque las políticas de Administración de Claves no lo obliguen.

Correo electrónico - Conceptos fundamentales

El correo electrónico es una de las herramientas más utilizadas hoy en día para intercambiar información.
Se utiliza muchas veces en reemplazo del teléfono para realizar consultas, enviar información, archivos
adjuntos, también para recibir información, etc. Es una herramienta muy versátil, que permite
comunicaciones entre partes distantes de manera mucho más veloz que el correo convencional.

Sin embargo, debe tenerse presente que su uso puede conllevar algunos riesgos, si no se toman ciertas
precauciones.

Dirección de correo electrónico

Una dirección de correo electrónico adopta generalmente la siguiente forma:

nombre-usuario@dominio

*Icono ejemplo* Por ejemplo: en la dirección de correo electrónico este.es.mi.correo@gmail.com: “este.

es.mi.correo” es el nombre-usuario y “gmail.com” es el dominio.

UNIDAD IV 7
Del mismo modo: en la dirección jperez@jefatura.gob.ar: “jperez” es el nombre-usuario y “jefatura.gob.ar” es
el dominio.

Haciendo una analogía con el sistema de correspondencia postal:

 el “nombre-usuario” se asimila al nombre del destinatario de la carta en un domicilio determinado, y

 el “dominio” se asimila a todos los datos necesarios, correspondientes al domicilio del destinatario, o
destino donde la carta debe llegar (dirección, ciudad, país, código postal, etc.)

Cadenas de correo electrónico

Las cadenas no suelen ser SPAM, porque se trata del envío de correos electrónicos masivos que no son
enviados por alguien desconocido, sino que las cadenas suelen llegar de remitentes conocidos.

Armar cadenas de correos electrónicos es una de las herramientas que se utiliza comercialmente para
obtener direcciones de correo electrónico y armar bases de datos con ellas. También es una oportunidad
que se le brinda a los piratas informáticos, pues obtienen blancos reales a los que enviarles virus y todo tipo
de software malicioso.

Es común leer en las cadenas de correo electrónico: “No sé si será cierto, pero por las dudas lo reenvío…”
Debería cambiarse esa forma de pensar, por esta: “No sé si será cierto, pero por las dudas NO lo reenvío…”
La opción de “reenviar” un correo, cuando es mal utilizada, es uno de los causantes de:

 Falta de privacidad de las direcciones y del contenido de correo electrónico.

 Distribución de código malicioso (“malware”).
 Saturación del sistema de correo debido a mensajes no solicitados (SPAM).

Recuerde que, al reenviar un correo electrónico sin tomar precauciones, se copian:

 El “Asunto”, anteponiendo “RE” o “FW”.
 El contenido del mensaje original.

 Las direcciones de correo del remitente y de los destinatarios originales.

Muchas personas no quieren que sus direcciones de correo electrónico sean conocidas por terceros. Debe
respetarse el uso de las direcciones de correo de otros como un dato que no debe hacerse público.

UNIDAD IV 8
Si por algún motivo debe reenviar un correo electrónico y no tiene la autorización para hacer públicas las
direcciones que contiene dicho correo, proceda de la siguiente manera:

 Borre la/s dirección/es de correo del/los remitente/s.

 Mejor aún: copie el contenido del correo original y arme uno nuevo.
 Si lo reenvía a más de una persona, utilice la opción de enviar con “Copia Oculta”.

Suele decirse habitualmente que: “Finalmente, reenviar un e-mail no cuesta nada, sólo un clic…” Sin
embargo, esto no es del todo así, ya que sí tiene un costo:

 La privacidad de las direcciones de los remitentes y destinatarios originales.

 El tiempo que emplearán los destinatarios en leerlo.
 El consumo de recursos (carga del servidor de correo, espacio en disco utilizado, ancho de banda, etc.).

Precauciones recomendables

Es conveniente tener en cuenta las recomendaciones que a continuación se detallan cuando recibamos y/o
debamos enviar o reenviar un correo electrónico por motivos laborales.

 Borre la/s dirección/es de correo del/los remitente/s

 O mejor aún: copie el contenido del correo original y arme uno nuevo
 Si lo reenvía a más de una persona, utilice la opción de enviar “Copia Oculta”
 ¡¡¡ No sea un reenviador compulsivo de correos electrónicos!!!

Mensajes no solicitados (SPAM)

SPAM son mensajes no solicitados, habitualmente del tipo publicitario, enviados en cantidades masivas. Se
denomina spammers a quienes envían SPAM. Si bien inicialmente el medio más utilizado para el envío de
SPAM fue el correo electrónico y aunque sigue siendo altamente empleado, hace un tiempo se han
incorporado nuevas herramientas de comunicación para realizar actividades de spam, como ser: mensajes
de texto de teléfonos celulares, mensajes de chat y mensajes en redes sociales.

Los spammers realizan un exhaustivo trabajo para el armado de listas de contactos para la distribución del
spam. Dichas listas se componen de direcciones de correo electrónico, números telefónicos y perfi les en
redes sociales.

UNIDAD IV 9
Algunas de las formas utilizadas para obtenerlos son:

 Búsqueda en sitios web o foros

 Captura de direcciones de cadenas de correo
 Suscripciones a listas de correo o de distribución de información a perfi les de redes sociales
 Compra de bases de datos
 Acceso no autorizado a servidores de correo
 Robo de datos de redes sociales

Por otra parte, diferentes empresas han realizado grandes esfuerzos por mejorar sus productos de antispam
permitiendo mitigar en gran medida dicha actividad, pero por otra parte y de la misma forma, los spammers
han desarrollado técnicas para engañarlos y continuar cumpliendo su objetivo, que consiste en llegar con un
mensaje a un usuario que no lo ha solicitado.

Códigos Maliciosos

Los llamados “Códigos Maliciosos”, son programa de computadora escrito para producir inconvenientes,
destrucción, o violar la política de seguridad.

Tipos

 Virus: Necesita interacción del usuario

 Troyanos: Doble funcionalidad: Una conocida y una oculta.
 Gusanos: Autoreplicación

Ningún antivirus puede detectar todo los programas maliciosos

Los “códigos maliciosos” pueden:

- Borrar archivos del disco rígido para que la computadora se vuelva inoperable.
- Infectar una computadora y usarla para atacar a otras.
- Obtener información sobre Ud., los sitios web que visita, sus hábitos en la
computadora.
- Capturar sus conversaciones activando el micrófono.

UNIDAD IV 10
 - Ejecutar comandos en la computadora, como si lo hubiera hecho Ud.
- Robar archivos del equipo, por ejemplo aquellos con información
- personal, financiera, etc.

https://www.informador.mx/Economia/Mexico-entre-paises-afectados-por-
troyanos-financieros-20150317-0032.html

https://hsbnoticias.com/noticias/econom%C3%ADa/alerta-en-
latinoam%C3%A9rica-por-un-nuevo-virus-malicioso-94632

Lo invitamos a resolver la práctica correspondiente al módulo en el entorno virtual. También

lo alentamos a participar de la actividad de intercambio con sus colegas del curso y tutor.
Luego, continuamos con la actividad final del curso

UNIDAD IV 11