Curso Básico de

Seguridad Informática
para Empresas
1/23
La importancia de la información: Datos personales vs. Datos empresariales
¡Te damos la bienvenida al Curso de Seguridad Informática para Empresas!

Todo lo que viaja por la red es vulnerable. Por lo tanto, la seguridad informática
empresarial es muy importante, ya que los atacantes tratarán de acceder a la información
que se encuentra bajo nuestro poder.

Datos personales vs. Datos de la empresa

Los Datos Personales son información que solo te interesa a ti: fotos, redes sociales,
cuentas bancarias, facturas, información familiar, entre otras. Asegúrate de que las
personas que tienen acceso a estos datos solo sean las que tú quieres que accedan a
ellos.

Los Datos Empresariales son los datos a los que accediste desde que formas parte de la
empresa: clientes, gastos, información financiera y tributaria, métricas, estadísticas,
resultados, entre otras. Las empresas se aseguran de que no compartas estos datos con
otras personas pidiéndote que firmes un NDA (acuerdo de no divulgación).

Durante el curso, estudiaremos las estrategias que usan los atacantes para acceder a
nuestra información y cómo evitamos que eso suceda.
2/23
Rutina de seguridad diaria
Decálogo de ciberseguridad:

 Debemos proteger nuestro puesto de trabajo y mantener limpio de papeles que

contengan información sensible.

 Es recomendable establecer en tu dispositivo móvil una clave de acceso y la

opción de bloqueo automático

 No hagas uso de equipos no corporativos. Si es necesario, no manejes

información corporativa en este tipo de equipos.

 Evita las fugas de información. No mantengamos conversaciones confidenciales

en lugares donde puedan ser oídas por terceros.

 Las contraseñas deben ser secretas y únicas, no debemos anotarlas,

compartirlas o reutilizarlas.

 Se debe realizar una navegación segura y evitar acceder a páginas no

confiables.
  Utilizar el correo electrónico de forma segura y elimina o informa a tu
departamento de informática todo correo sospechoso que recibas.

 Protege la información y realiza copias de seguridad de la información sensible

que sólo esté en nuestro equipo.

 Cuando viajes, no envíes información sensible a través de redes WiFi no

confiables.

 Todos somos seguridad Debemos avisar al departamento de seguridad si

detectamos cualquier actividad sospechosa.

 Información tomada del kit de concienciación de ciberseguridad de INCIBE.

 Usa VPN cuando te conectes a redes públicas.

 No muestres información confidencial en grandes pantallas o muy visibles, cuidado
con quien observa tu pantalla.

https://www.incibe.es

3/23
Escenarios reales de cyber ataques
Los ciberataques son un riesgo para el que todos debemos prepararnos, incluso grandes
marcas como WhatsApp y Facebook, ya que han tenido diferentes vulnerabilidades que
permitieron que diferentes atacantes accedieran a nuestros datos privados.

WannaCry es un malware que se expandió a una velocidad sin precedentes. Puso en

estado de alerta al mundo entero desde 2017 y todavía sigue atacando. Es un virus
informático que secuestra y encripta nuestros archivos de computadoras con sistema
operativo Windows con la promesa de liberarlos a cambio del pago de un rescate.

 En resumen, mantenerse informado sobre los nuevos virus y las nuevas

vulnerabilidades de los sistemas operativos es una de las claves que te permite
mantenerte prevenido al corregir e implementar con las herramientas necesarias
estos ataques y así evitar el robo de la información, así como la profesora indica:
 1. Lista de Symantec para conocer los nuevos virus y ataques informáticos.

2. Revisar la página de CSIS Organización donde informan cada ataque que se

ejecuta a nivel del gobierno. (https://www.csis.org/)

4/23
Triangulo CIA: Confidencialidad, Integridad y Disponibilidad
Una cadena es tan fuerte como su eslabón más débil. Entre más crece nuestra
responsabilidad, más aumenta la confidencialidad de nuestros datos y el impacto que
puede generar que los atacantes u otras personas accedan a ellos.

El Triangulo CIA está conformado por los siguientes elementos:

Confidencialidad: al compartir información con otras personas, empresas, sistemas o

redes sociales debemos asegurarnos de solo permitir el acceso a las personas que
nosotros indicamos.

Integridad: la información que almacenamos no debe ser alterada sin nuestra

autorización y debe contar con un registro de todos los cambios que lleguemos a
necesitar.

Disponibilidad (Availability): nos aseguramos de que la información siempre esté

disponible y solo para las personas autorizadas.
Entre más responsabilidad tengas, más confidencial sea la información, mayor va a ser el
impacto.

5/23
¿Qué es la nube?
La nube:
Este es un término que escuchamos últimamente en todo lado, pero ¿qué es? Y, ¿por
qué es tan importante en nuestra vida?

La verdad es que si le pusiéramos una lupa a la nube encontraríamos Internet.

La nube es una infraestructura gigantesca de servidores en Internet que acepta

conexiones y reparte información.

El término es un concepto que se refiere a la forma en la que llamamos a la gran cantidad

de dispositivos interconectados que envían, reciben, almacenan y procesan información
alrededor del mundo.

Cuando hablamos de almacenamiento de información contamos con varias formas de

hacerlo:
Almacenamiento Local

Esto sucede cuando tu información y tus datos son almacenados en discos duros de tu
propiedad. En este caso tienes acceso físico a los dispositivos de almacenamiento.
Por ejemplo, en el computador de tu casa sabes que tienes tu disco duro físico en el que
se almacenan tus datos e información, todo lo tienes físicamente al alcance de la mano.

Cloud Computing

Almacenas datos e información. Sin embargo, el lugar en el que esto ocurre no es

conocido. Estás enviando todos esos datos a través de internet para ser almacenados
en discos duros y equipos de cómputo de los diferentes proveedores de servicios.

Por ejemplo, si guardas tus fotos en Google Photos o Drive para tus archivos y
documentos es información que queda almacenada en los centros de cómputo de Google.

Y, ¿dónde están esos servidores? Es la pregunta que siempre nos hacemos.

Google tiene servidores en Estados Unidos, Europa, China, Brasil y Japón. Pero no es
posible saber en dónde están tus fotos, lo más seguro es que estén en diferentes partes
del mundo y se nos garantiza que esta información está almacenada de forma segura.

Los proveedores de servicios de nube también tienen que asegurarnos que esa
información no solo no va a ser revisada por personas o dispositivos no autorizados, sino
que siempre que contemos con Internet vamos a poder accederla y que no se va a perder
esa información.

La información que se almacena en estos servidores se envía y se almacena cifrada,

codificada con algoritmos de forma que solo tú puedas acceder a ella.
Una consulta muy frecuente relacionada con este tema se refiere a los pagos
electrónicos. Cuando hago pagos en línea, ¿cómo sé que es seguro?

La información de tus tarjetas se envía y se almacena cifrada. Solo puede ser

descifrada por algoritmos de descifrado especializados y solo tú conoces las
claves. Sin embargo, eso no nos asegura nada, ya vimos que hay casos en los que estas
medidas fallan y es ahí donde entras tú como principal protector de la información.

Asegúrate de no usar la misma contraseña para todo y de cambiar tus contraseñas cada
3 meses, esto es fundamental para proteger tu información.
6/23
Domina los conceptos y elementos básicos de computación que se usan en la
empresa y que son parte de la estrategia de protección de la información
Estos son algunos conceptos que estaremos mencionando a lo largo de este curso y de
los que es importante que tengas claro su significado.
Algunos pueden sonar muy obvios, pero no está de más tener la información.
#nuncaparesdeaprender

Computador

El computador es el dispositivo físico compuesto de software y hardware que procesa

órdenes y ejecuta operaciones complejas.

El hardware es la parte física del computador, sea portátil o de escritorio. El hardware es

todo lo que podemos tocar y ver físicamente: el teclado, el ratón, la pantalla, el disco duro,
la memoria RAM, el procesador, chips y cables que conectan todo. Todo esto es el
hardware del computador.
El software es la parte lógica, la parte que no podemos tocar. Solo podemos interactuar
con ella a través del hardware. Un ejemplo son las aplicaciones, los juegos, el navegador,
la calculadora, etc. El software es lo que te permite darle ordenes al hardware y que así
estas sean procesadas y ejecutadas.

1.1 Laptop o Computador portátil

Es un computador diseñado para que pueda ser transportado y usado en cualquier lugar.
Tiene una batería interna que nos permite utilizarlo, aunque no tengamos acceso a un
punto de carga de energía.
La laptop tiene sus periféricos (pantalla, teclado, mouse) integrados de forma que solo
tengas que llevarla con el cargador para tener acceso a un computador completo.

1.2 Desktop o Computador de escritorio

El computador que generalmente encontramos en las oficinas se caracteriza por ser más
grande que un computador portátil y los periféricos no están integrados en él. Requiere
conexión a la energía 100% del tiempo para que pueda funcionar.

Los computadores de escritorio son más fáciles de modificar físicamente dándonos la

opción de agregar o cambiar partes para hacerlo más potente.

La CPU o Procesador

La CPU (o Unidad Central de Procesamiento, en ocasiones le llamamos así o

también Procesador), es un circuito integrado que interpreta las instrucciones que
ingresamos a través de los periféricos. Después de eso, se encarga de procesarlas y
retornar una respuesta.

Los computadores actuales tienen más de una CPU integrada en un mismo chip. Lo
correcto es llamar a cada una de las unidades CPU y al chip completo el procesador.
Pero, en términos generales, es lo mismo.

Memoria RAM

Random Access Memory: Es un espacio del computador en el que se almacena

información de forma temporal para que pueda ser accedida más rápidamente.

Debido a que la cantidad de instrucciones que se envían al procesador son muchas, la

memoria RAM almacena estas instrucciones y se las envía al procesador de forma que no
se sobrecargue.
Las aplicaciones y software que se ejecutan en el computador se cargan en la RAM
mientras el computador está encendido y cuando se apaga esta memoria vuelve a quedar
vacía.
En ocasiones, es necesario cerrar algunos procesos debido a que la RAM se sobrecarga.
Es por eso por lo que el computador funciona más lento de lo acostumbrado.

Disco Duro

Es la memoria de almacenamiento de largo plazo del computador. Toda la información,

archivos, programas y sistema operativo; en pocas palabras, todo lo que se requiere para
que el computador funcione y que usamos en nuestro día a día, se almacena en el disco
duro.

Disco Duro de Estado Sólido

Es una evolución del disco duro en el que la información se indexa de forma diferente y
sin espacios, así que permite acceder a la información de forma muy rápida.
Un disco duro normal almacena los datos en un disco girando (parecido al disco del
tocadiscos). La información es ubicada en espacios dentro de ese disco usando
magnetismo.

En un disco duro de estado sólido no contamos con un disco que gira; por el contrario, la
información se almacena en un chip. Este tipo de discos no tienen partes móviles ni es tan
sensible al magnetismo. En ese sentido, es más seguro.

Sistema Operativo

Es el programa o conjunto de programas que manejan todos los recursos del computador.
Estos programas permiten que exista la comunicación entre el hardware y el software del
computador.
Sin el S.O. no sería posible que el computador funcionara.
“Un sistema operativo es un programa que actúa como intermediario entre el usuario (en
su sentido amplio) de un computador y el hardware del computador. El propósito de un
sistema operativo es crear un entorno en el que el usuario pueda ejecutar programas de
forma cómoda y eficiente”. (ver Silberschatz “Sistemas Operativos” quinta edición p. 3).

Servidor
Es un computador que recibe solicitudes, las procesa y envía información.
Cliente
Es un computador que hace peticiones.

Red
Es un conjunto de computadores conectados. Algunos de ellos actúan como servidores;
es decir, reciben peticiones, las procesan y responden con información. Otros, por su
parte, actúan como clientes; es decir, solicitan información a los servidores.

Con esto ya podemos hablar del modelo “Cliente-Servidor” que es básicamente cómo
funciona Internet. Una red puede ser pequeña. Para formarse solo se necesita un cliente y
un servidor. Puedes armar una red con los dispositivos de tu hogar; sin embargo, para
que esta red pueda ser llamada Internet estas mini-redes deben estar conectadas unas
con otras a nivel mundial, de forma que tengamos clientes pidiendo información a
servidores alrededor del mundo.

Para ampliar esta información puedes ir al Curso de Redes de Platzi.

HTTP / HTTPS

Para que la información que se está enviando y recibiendo entre clientes y servidores
pueda ser recibida y procesada correctamente se definieron estándares. Estos son
protocolos que se usan en todo el mundo y que definen la forma en que nos
comunicamos a través de Internet.

Uno de estos protocolos es el protocolo HTTP (Hypertext Transfer Protocol). Este es un

protocolo que define el formato en el que la información viaja por la red.

Cuando hablamos de HTTP los archivos son enviados en texto plano, es decir que los
datos viajan tal cual son enviados por el cliente o el servidor y pueden ser fácilmente
capturados y leídos. Por esto se implementa una versión segura del protocolo que es el
que conocemos como HTTPS.

Los archivos que se envían a través del protocolo HTTPS viajan por la red cifrados de
forma que solo pueden ser abiertos y leídos por quien tenga la clave para desencriptar el
mensaje.
Los navegadores te muestran en el ícono del candado que aparece en la parte izquierda
de la barra de direcciones alguno de estos mensajes:

 Es seguro (sí está usando el protocolo HTTPS)

 Información o No es seguro (no están usando el protocolo HTTPS)

 No es seguro o Peligroso (no están usando el protocolo HTTPS)

Para que un sitio web sea calificado como seguro; es decir, que tenga el candado al lado,
debe tener un certificado que lo garantice. No en todos los casos en los que se muestra el
candado los sitios son completamente seguro. De hecho, hay atacantes que crean sitios
web falsos y les ponen certificados. Sin embargo, recuerda que Google solo autoriza
certificados, valga la redundancia, de sitios certificados.

Certificado SSL

Arriba estuvimos hablando de los sitios web que utilizan el protocolo HTTP y HTTPS.
Mencionamos que aquellos que usan HTTPS tienen un certificado que los avala como
sitios seguros. Esto nos da tranquilidad sobre la forma en que los datos son enviados por
la red.

El certificado que se usa para este proceso se llama SSL que son las siglas para Secure
Socket Layer. Este es el protocolo que agrega la capa de seguridad y permite el cifrado
de los datos.
7/23
Ingeniería social, Phishing y Publicidad engañosa
La Ingeniería Social consiste en usar nuestras características humanas (hablar, no estar
atento, confiar, conversar) para conseguir información a la que no deberíamos dar
acceso.

La Publicidad Engañosa son todos esos anuncios que nos prometen algún premio por ser
supuestamente el usuario número X.

El Phishing consiste en enviar diferentes mensajes haciéndose pasar por una entidad
importante (Google, Facebook, bancos, policía de tránsito) o una persona necesitada para
pedirte información personal con el fin de solucionar un problema que, en realidad, no es
real.

Ten mucho cuidado con los emails que recibes de personas u organizaciones que no
conoces. Verifica que los logos y enlaces no sean una copia de los originales. No le hagas
caso a los “reyes de Nigeria o Afganistán” que te piden a tu dirección de correo “que les
ayudes a guardar una cantidad enorme de dinero porque los están persiguiendo”, aunque
los mensajes incluyan fotos de sus documentos de identidad.

En la web https://www.phishtank.com/ pueden encontrar una base de datos e

información listada gratuita que se actualiza constantemente sobre ataques
phishing. También se puede consultar vía API.
8/23
Ataques DoS y DDoS, Man in the Middle y Ransomware
Los siguientes tipos de ataques se basan en vulnerabilidades técnicas en los servicios
que almacenan la información y no tanto en los errores humanos.

Ataques DoS y DDoS: los atacantes usan diferentes clientes/dispositivos sincronizados

para hacer muchísimas peticiones a un solo servidor, haciendo que este no pueda
responder más y deje de funcionar.

Man In the Middle: cuando nos conectamos a redes públicas, así como cafeterías o
aeropuertos, corremos el riesgo de que haya atacantes que se posicionan (virtualmente)
entre los servidores a los que accedemos y nosotros. De esa forma, pueden interceptar la
información que mandamos por la red: mensajes, contraseñas, entre otras.

Ransomware: es software que accede a nuestros dispositivos para secuestrar nuestra

información y pedirnos un pago por entregárnosla de vuelta. Podemos prepararnos para
este tipo de ataques guardando copias de seguridad de nuestra información. De esta
forma, no debemos pagar por el rescate y podremos restaurar casi todos nuestros datos.
9/23
Virus y Malware, Troyanos, Adware y Spyware
Virus y Malware: se descargan en nuestra computadora (en memorias USB infectadas,
por ejemplo) y necesitan un archivo al cual pegarse para poder atacar, crecer y
distribuirse por nuestro sistema.

Troyanos: son piezas de software ocultas en código que a simple vista podemos
considerar legítimo.

Adware: publicidad engañosa que aparece en diferentes ventanas de nuestro navegador

pidiéndonos que demos click para supuestamente ganar un premio “porque somos los
más especiales de la red”.

Spyware: entran a nuestros dispositivos sin dejar ningún rastro cuando encuentran
alguna vulnerabilidad en nuestros sistemas operativos. Pueden espiar nuestras
conversaciones y tomar control de la cámara y/o micrófono.

No te preocupes. Hay formas de protegernos.

Los Firewalls nos ayudan a detectar cuando un virus intenta entrar a nuestra
computadora. Más adelante los estudiaremos a fondo.

Los antivirus nos ayudan a protegernos de la mayoría de estos virus y detectar si

teníamos alguno instalado. Pero no basta con hacer una sola revisión, debemos verificar
constantemente si estamos infectados. Recuerda mantener la base de datos del antivirus
actualizada.

Actualiza tu navegador y sistema operativo. También es buena idea tapar la

cámara/micrófono cuando no los estamos usando.
10/23
Configurar autenticación de dos factores en dispositivos Apple
Este artículo en el sitio de Apple explica paso a paso este proceso y resuelve todas las
dudas que puedan surgirte en el proceso.

Si quieres configurar tu dispositivo para activar la autenticación de dos factores estos son
los pasos que debes seguir:

iPhone, iPad o iPod touch (tomado de https://support.apple.com/es-lamr/HT204915)

Activar la autenticación de dos factores en Configuración

Si usas iOS 10.3 o posterior:

Ve a Configuración > [tu nombre] > Contraseña y seguridad.

Toca Activar autenticación de dos factores.

Toca Continuar.

Si usas iOS 10.2 o anterior:

Ve a Configuración > iCloud.

Toca tu Apple ID > Contraseña y seguridad.

Toca Activar autenticación de dos factores.

Toca Continuar.

Ingresar y verificar el número de teléfono de confianza

Ingresa el número de teléfono que quieras usar para recibir códigos de verificación
cuando inicies sesión. Puedes elegir si quieres recibir los códigos mediante un mensaje
de texto o una llamada telefónica automatizada.

Cuando tocas Siguiente, Apple envía un código de verificación al número de teléfono que
proporcionaste.

Ingresa el código de verificación para verificar el número de teléfono y activar la

autenticación de dos factores.
Sigue estos pasos en una Mac con OS X El Capitan o posterior

Ve al menú Apple () > Preferencias del sistema > iCloud > Datos de la cuenta.

Haz clic en Seguridad.

Haz clic en Activar autenticación de dos factores.

11/23
Firewall
Firewall: es la primera barrera que tiene los computadores y las redes, esto nos permite
configurar algunas reglas, siempre está monitoreando lo que entra y sale en la red de
nuestra computadora. Nosotros podemos definir las reglas con las que este firewall se
comporta, si un mensaje entra, el firewall verifica que cumpla las reglas que nosotros
colocamos, si no, no le permitirá entrar.
• debemos ser conscientes de que debemos proteger nuestra información.
Herramientas y estrategias para nuestra rutina diaria:
Firewall en Windows:

1. Abra el firewall de Windows. Para ello, haga clic en el botón Inicio, en Panel de
control, en Seguridad y, a continuación, en Firewall de Windows.

2. Haga clic en Activar o desactivar Firewall de Windows. Si se le solicita una

contraseña de administrador o una confirmación, escriba la contraseña o
proporcione la confirmación.

3. Haga clic en Desactivado (no recomendado) y, a continuación, haga clic en

Aceptar.
Firewall en Mac:

4. Elige Preferencias del sistema en el menú Apple.

5. Haz clic en Seguridad.

6. Haz clic en la pestaña Firewall.

7. Elige el modo que deseas que use el firewall.

12/23
Cookies
Las Cookies son una herramienta que utilizan las páginas web para guardar nuestra
información en el navegador y enviarla al servidor cada vez que hacemos una petición.

Debido a la Ley de Protección de Datos de la Unión Europea (GDPR), todos los sitios web
deben mostrar un aviso indicándonos que usarán cookies y un link donde podamos leer
detalladamente qué datos personales almacenan y para qué serán usados.

Cookies: en todos los sitios web nuevos que ingresas te sale un aviso de aceptar cookies,
y nos indica que este sitio web está capturando información nuestra, las cookies son
pequeños textos que se envían desde nuestro navegador, se capturan en el navegador y
se envían al creador del sitio web o al que esté interesado en obtener ese tipo de
información.
Lo que hacemos al aceptar estas cookies, es dar autorización para que ellos puedan
acceder a nuestra información.
Con frecuencia se ve en la web, que entramos por ejemplo a mercado libre y tenemos un
carrito de compras con productos y se nos cierra la página por error. Lo que hacen las
cookies cuando vuelves a entrar es identificarte con los datos que ya tenían y vuelven a
poner el carrito con todos los productos que habías elegido, se parece a cuando cierras
sin guardar, pero se guardan los cambios automáticamente.
Esto fue implementado a partir de la ley de protección de datos.
13/23
Métodos de Defensa: Antivirus, Adblock, Antispam y Web Filter
Métodos de defensa

 Antivirus - Detecta y compara con una base de datos si un archivo es peligroso.

 Adblock - Elimina las ventanas emergentes con mensajes engañosos.

 Antispam - Detecta cuando un mensaje es posiblemente un engaño.

 Web Filter - Checa si un sitio web es seguro o no.

Para las personas que tienen duda en escoger en cual antivirus, revisen este
enlace; AV-TEST es una organización independiente de certificación y donde
realizan pruebas a todos los antivirus existentes y los colocan en un Rating
dependiendo la utilidad, proteccion o rendimiento.
https://www.av-test.org/es/antivirus/usuarios-finales-windows/
14/23
Métodos de defensa: Encriptación
Todos los dispositivos almacenan nuestra información, las computadoras en el disco duro
y los celulares en la tarjeta de memoria. Además, estos dispositivos también tienen la
opción de encriptar los datos para que solo podamos acceder a ella si conocemos la
contraseña o configuramos un sistema de seguridad más avanzado.

La información almacenada en nuestros dispositivos es muy importante y hay formas que

tenemos a nuestro alcance para protegerlas de personas inescrupulosas.
Encriptación: consiste en tomar una cadena o mensaje y transformarlo aplicándole algún
algoritmo para que sea completamente ilegible de caracteres y números, si no tienes la
llave de descifrado, va a ser muy difícil entender esta información.
Como encriptar tu equipo Mac:

1. Vamos a la manzanita

2. System preferences

3. Security & privacy

4. fileVault

5. damos clic en el botón ON

6. listo, ya tenemos nuestro equipo encriptado

Como encriptar tu equipo Android:

7. ajustes

8. seguridad

9. datos biométricos y seguridad

10. opción de desbloque: facial, huella digital, patrón, contraseña, pin, etc.
Contraseña, son mas seguros, ya que contienen números y letras, el patrón es
mas débil, ya que es un dibujito que haces, por lo tanto, no es tan seguro.
 En Android nos da la información de cuando se hizo la última actualización de
seguridad, se recomienda siempre tener los dispositivos actualizados, ya que
estas versiones nuevas pueden traer parches o arreglos para posibles
vulnerabilidades de los sistemas.
Cuando ciframos los dispositivos, nos solicita una clave, la cual es la única para
descifrar la información en el dispositivo, si alguien mas intenta ingresar con otra
clave, la información se puede dañar y se puede perder.
Como encriptar tu equipo Windows:

11. Entra a equipo

12. Clic derecho sobre el disco c:

13. Opción bitloker

14. Sigue las instrucciones.

15/23
Métodos de defensa: Two factor authentication
El Doble Factor de Autenticación es una funcionalidad que algunas aplicaciones nos
permiten configurar para agregar nuevos pasos de seguridad además del nombre de
usuario/email y contraseña.

Al intentar acceder a nuestra información con contraseña, la aplicación nos mandará un

código aleatorio con límite de tiempo que debemos escribir para completar la
autenticación. Podemos recibirlo por correo electrónico, mensajes de texto o servicios
como Google Authentication.
16/23
Configurar autenticación de dos factores en tu cuenta de google
Como te dije, cada servicio tiene muy buenos instructivos para aprender cómo activar la
autenticación de dos pasos. Siempre vale la pena seguirlos.

Dejo aquí los pasos para la configuración de la autenticación de dos pasos en tus cuentas
de Google y en este enlace está todo el proceso con dudas resueltas por el equipo de
Google por si quieres profundizar.

En el computador

Paso 1: Configura la verificación en dos pasos

1. Ve a tu Cuenta de Google.

2. En el panel de navegación izquierdo, haz clic en Seguridad.

3. En el panel Acceso a Google, haz clic en Verificación en dos pasos.

4. Haz clic en Comenzar.

5. Sigue los pasos que aparecen en pantalla.

Google ofrece dos opciones principales para la verificación de identidad, una es la opción
de mensajes de Google. Esta es la más recomendada porque lo que hace es que llega un
mensaje a tu pantalla y te pregunta si estás intentando acceder. Si respondes “sí”, Google
te muestra un código (generalmente un número de dos dígitos) que debes comparar con
el número que se muestra en el dispositivo desde que el que estás iniciando sesión.

La otra opción es el mensaje de texto o la llamada.

Paso 2: Configura los métodos alternativos

Los métodos alternativos te permiten recuperar el acceso a tu cuenta si olvidas la

contraseña, pierdes el teléfono o no puedes ingresar por alguna razón. Con los métodos
alternativos, es mucho menos probable que te quedes sin acceso a la cuenta.
 1. Ve a tu Cuenta de Google.

2. Presiona Seguridad.

3. En el panel “Acceso a Google”, presiona Verificación en dos pasos.

4. Agrega al menos un segundo paso adicional, como uno de los siguientes:

Mensajes de Google
Llave de seguridad
Códigos por llamada o mensaje de texto
Códigos de respaldo
Códigos de la app del Autenticador
Teléfono alternativo

Paso 3: Configura la información de recuperación

Si olvidas tu contraseña o alguien más usa la cuenta, la información de recuperación

actualizada te ayuda a recuperar la cuenta.

Cómo agregar o actualizar una dirección de correo de recuperación

1. Ve a tu Cuenta de Google.

2. Selecciona Información personal.

3. En el panel “Información de contacto”, presiona Correo electrónico.

4. Agrega o actualiza un correo de recuperación aquí.

Cómo agregar o actualizar un número de teléfono de recuperación

1. Ve a tu Cuenta de Google.

2. Selecciona Información personal.

3. En el panel “Información de contacto”, presiona Teléfono.

4. Agrega o actualiza un número de teléfono de recuperación aquí.

Celular Android

Los pasos 2 y 3 son iguales en el celular, lo que cambia es la forma de acceder en el

primer paso:

Paso 1: Configura la verificación en dos pasos

1. En tu teléfono o tablet Android, abre la app de Configuración del dispositivo
Google y luego ve a Cuenta de Google.

2. En la parte superior, presiona Seguridad.

3. En la sección “Cómo acceder a Google”, presiona Verificación en dos pasos.

4. Presiona Comenzar.

5. Sigue los pasos que aparecen en pantalla.

17/23
Diseña contraseñas seguras
Cómo crear contraseñas seguras:

 Elige una frase que puedes recordar fácilmente.

 Toma la primera letra de cada palabra y coloca una letra mayúscula y otra
minúscula.

 Cuenta la cantidad de palabras de la frase y súmale los días de tu fecha de

nacimiento.

 Convierte dos letras en símbolos.

 Usa generadores de contraseñas.

 Revisa qué tan seguras son tus contraseñas.

Cómo no crear contraseñas inseguras:

 NO uses la misma contraseña en todas tus aplicaciones.

 Usa por lo menos 8 caracteres que incluyan letras en mayúscula y minúscula,

símbolos y números combinados.

 No uses palabras demasiado obvias (nombres, apellidos, números de documento

o teléfono, placa del carro, fechas especiales, etc.).

 No las guardes en lugares visible o fácilmente detectables como post-it, bloc de

notas, archivos o imágenes del computador, tableros, etc. Tampoco se las digas a
nadie.

 No uses palabras elegidas con el diccionario, ya que esta técnica también la

utilizan algunos atacantes para intentar descifrar contraseñas.

 No uses palabras o patrones comunes.

18/23
Uso de VPN: Conexión segura en redes
Gestor de contraseñas o sistemas gestores de contraseñas: en el mercado hay mucha
variedad de gestores de contraseñas que te ayudan a almacenar, en general las
empresas que crean antivirus tienen cada uno su propio gestor de contraseñas, Avast
tiene un gestor de contraseñas, Kaspersky tiene gestor de contraseñas y cada uno tiene
gestor de contraseñas.

Forget your passwords: es uno de los más usados y se han dedicado con mucha más
fuerza a realizar gestión de contraseñas, es muy útil y fácil de usarlo.

lastPass: Es otro gestor de contraseñas muy usado y recomendable, se puede usar en la

extensión de los navegadores para gestionar nuestras contraseñas, desde el navegador y
el celular. (para apple).

https://1password.com/

https://keepersecurity.com/

https://www.lastpass.com/es
19/23
Uso de VPN: Conexión segura en redes
Una VPN es un servicio que nos permite usar redes públicas de forma segura. En vez de
conectarnos directamente con los servidores que nos entregan la información, nos
conectamos a una VPN que, a su vez, se conectará al servidor y encriptará nuestra
información. De ese modo, los atacantes no podrán acceder a ella.
Así podemos “engañar” a los servicios “cambiando” nuestra ubicación por la de los
servidores de la VPN.

Recuerda que las VPN tienen acceso a nuestra información antes de encriptarla, por lo
que no podemos usar cualquiera. Busca una en la que puedas confiar.

Para proteger nuestra información también podemos usar: VPN.

VPN: es un servicio que permite usar una red pública para conectarte a una red privada
local.
Nosotros somos el cliente del servidor, nosotros realizamos solicitudes al servidor es
quien se encarga de procesar la información y enviar una respuesta al cliente. Cuando
usamos una VPN estamos creando un túnel de comunicación y estamos pasando por el
túnel de comunicación para llegar a la información que estabas buscando.
Nuevamente, haces una solicitud, pasas por el túnel de comunicación, el servidor procesa
la información y hace solicitud al servidor que tu querías inicialmente querías hacer la
solicitud.
Ventajas de VPN:
• Acceder a servicios que por territorios están bloqueados, ejemplo, si en nuestro país hay
un video bloqueado, la VPN nos permite modificar el país en el que estamos y poderlo
cambiar a otro país donde el video no este bloqueado y podamos verlo.
• La VPN, encripta absolutamente todos los mensajes que salen del dispositivo para que
viajen de forma segura a través de la red, el proveedor de servicios no podrá saber qué
información es la que está viajando, ya que esta encriptada.
• Se debe tener cuidado con el servidor de VPN, que estas usando, ya que este servidor
si tiene acceso a la información que tienes y que estas enviando.
Servidores de VPN de confianza:
https://www.tunnelbear.com/ https://www.kaspersky.com/vpn-secure-connection

20/23
Instalación de VPN en tu teléfono Android
Instalación de VPN en Android:

1. Play store

2. TúnelBear VPN

3. Instalar

4. Abrir aplicación

5. Ingresar como usuario o registrarse

6. Seguir los pasos de la aplicación, realmente es muy fácil hacerlo.

https://www.tunnelbear.com/

https://www.kaspersky.com/vpn-secure-connection
21/23
Consejos para proteger tu información en línea
En esta época, la seguridad dejó de ser un tema físico y pasó al campo digital. Hoy
vivimos más preocupados por nuestros datos personales y accesos que por nuestra
billetera. Sin embargo, la pérdida o robo de cualquiera de las dos nos deja expuestos a
muchas preguntas y problemas. Una de las primeras preguntas es: ¿Cómo habría podido
evitarlo? Esto nos lo preguntamos porque no sabemos que somos vulnerables hasta que
tenemos un documento expuesto o información confidencial divulgada por medios que no
esperábamos.

En parte esta es la razón de ser de este curso, que más allá de los expuestos que se
corrigen a nivel empresarial, busca proteger a las empresas desde las personas.

De aquí la siguiente lista de consejos para proteger tu información en línea:

Los datos privados deberían seguir manteniéndose así:

Al igual que somos cuidadosos de no entregar información privada a extraños en la calle,

debemos hacer lo mismo en los sitios web que frecuentamos y en las aplicaciones que
usamos a diario. La mayoría de los sitios que generan información confidencial como los
bancos ya tienen nuestra información; por lo tanto, las encuestas o formatos online que
nos piden información excesiva deben ser objeto de cuidado. Esto puede pasar en la
calle, por mensajes de texto, por correos, con pop-ups (pantallas emergentes) e incluso
llamadas telefónicas. Lo más importante es saber siempre quién me está pidiendo la
información y sobre todo el grado de sensibilidad de esta. En una empresa los niveles de
confidencialidad generalmente están clasificados, así que debo estar atento. Sin perder la
calma, debo estar pendiente de todas las alertas.

El sentido común como herramienta esencial:

Muchas veces todo se puede solucionar usando el sentido común, y así como no
prestaría mi cepillo dental a un conocido y mucho menos a un extraño, no debo prestar
mis claves ni compartir información o documentación que por fuera de un ambiente digital
no compartiría. Si, por ejemplo, un proveedor me está pidiendo información financiera de
la empresa, debo acudir a las cartas mercantiles que se encuentran en la mayoría de los
países de nuestra región, que ya incluyen mucha información acerca de estados
financieros y que ya fue revisada por un contador y publicada para ser pública. De lo
contrario, y a menos de que no esté estipulado en un contrato, no debería compartir tal
información, así como no entrego mis extractos bancarios a mis vecinos o amigos.

Los buscadores como herramienta de auto-búsqueda:

Si tenemos un startup o trabajamos en una empresa, es muy común hacer estudios de

mercado cuando estamos trabajando en un nuevo producto o aplicación. Sin embargo, es
importante hacer búsquedas constantes de la información disponible en internet de
nuestros proyectos y de nosotros mismos. Muchas veces es más común encontrar
información publicada y hacer las correcciones o denuncias que se deban a tiempo. Acá,
como ejemplo, tenemos a los productores de Juego de tronos, que en su séptima
temporada vieron como internet filtraba algunos capítulos de una de las series más vistas
y pirateadas de los últimos años.

Revisa los remitentes de los correos:

Generalmente en un ambiente empresarial se suelen utilizar firmas de correo con los

logos propios de la empresa. Así que, si no tienes una, es hora de crearla y usarla. Esta
opción puede preestablecerse en la mayoría de los servidores de correo electrónico.
Ahora, un correo sin firma es un indicio de que debes tener cuidado. Es como cuando
llega un oficial de tránsito sin uniforme e identificación a pedirnos papeles de nuestro
vehículo. Sin embargo, como lo vamos a ver en los seguidos videos y en otras lecturas,
no es el único signo que debo atender. También tengo que revisar quién es el remitente
del correo. La mayoría de las empresas tienen su propio
dominio XXX@Nombre_Empresa.com, así que un correo que venga de un servidor como
Gmail, Hotmail u otros, no debe generar tanta confianza.

Comparte los archivos de forma segura:

Compartir archivos es algo que vamos a tener que hacer tarde o temprano. Para ello
existen muchas herramientas colaborativas que nos permiten dar accesos temporales o
incluso por medio de una contraseña. La generación de equipos de trabajo es una
necesidad imperante sobre todo cuando se está formando un startup. El uso de archivos
compartidos debe regirse por los términos de confidencialidad de información en la
empresa. En ese sentido, debemos revisar atentamente quiénes son revisores, editores o
dueños de la información que compartimos. Para esto, tenemos herramientas como
Google Drive y Box. ¡Claro! No son las únicas, por eso te recomiendo que investigues
bien sobre las distintas herramientas colaborativas y los permisos que puedes ofrecer a
través de estas. Esto también aplica para repositorios de desarrollo de código donde
opciones como Bitbucket y GitHub son esenciales a la hora de escribir código.

Como conclusión, la seguridad es un compromiso que todos debemos tener presente.

Necesitamos estar conscientes en todo momento de los términos de confidencialidad en
una organización y de que perder los datos con los que interactuamos a diario puede
llegar a tener una repercusión legal para nosotros. Nuestro sentido común va a ser la
herramienta más importante para que salgamos al mundo digital con la seguridad
necesaria para nuestros datos.

Ideas para proteger tu información

 Restic, cliente de backup diferencial basado en bloques con cifrado en el cliente,

funciona perfecto y rápido en Windows y Linux. No caer en la trampa de usar
BORG (desastre).

 Wasabi, storage de almacenamiento ultra barato para teras de información,

compatible con restic, S3 compliant, y configurable en modo append-only,
servidores en europa.

 1Password, bóveda de claves no visibles ni por ellos, separable por bóvedas,

plugin de browser, apps android y iphone, reemplaza también authenticator (si se
cambia de celu no hay que reiniciar el OTP), tiene cliente nativo para linux,
analítica de sitios comprometidos y claves malas.

o No usar lastpass (Aunque es una buena opción free) o dashlane. Parecen

buenos, pero no lo son.

 Generador de claves para almacenar en la boveda de claves:

https://passwordsgenerator.net/?
length=40&symbols=1&numbers=1&lowercase=1&uppercase=1&similar=0&
ambiguous=0&client=1&autoselect=1 funciona con generación de la clave en
browser, fácil de poner en el bookmark con las politicas favoritas.
  Cifrado de disco en Linux, Luks desde el boot (GRUB) de todo el disco y sus
particiones, hasta el boot.

o Usar cifrado de disco a nivel de BIOS si esta soportado.

22/23
Mejores prácticas al hacer uso de dispositivos asignados por la empresa
Cada empresa tiene sus políticas de uso de dispositivos. Sin embargo, a continuación,
tenemos una serie de recomendaciones que podrían ser aplicadas a los diferentes tipos
de equipos electrónicos.

Portátiles:

 Siempre se debe dejar bloqueado al alejarse de él. En algunos casos, hay

aplicaciones que permiten bloquear el computador al alejar el móvil.

 Tener presente la seguridad física incluso dentro del espacio de trabajo usando
guayas o candados de seguridad.

 Al transportar el dispositivo se debe utilizar un medio seguro. Si se hace en un

vehículo personal, se debe dejarlo preferiblemente en la cajuela.

 Al estar en un espacio de trabajo externo, no se debe perder de vista y seguir

además las consideraciones anteriores.

 Contar con cifrado del disco duro.

 No transportar sistemas de backup como discos duros externos junto con el

dispositivo principal.

Móviles:

 Activar el bloqueo del dispositivo por medio de clave o huella.

 No dejar los dispositivos fuera del alcance de la vista.

 Descargar aplicaciones solo de los sitios aprobados por la empresa.

 Evitar descargar aplicaciones que no tengan calificación o con comentarios

negativos en su sitio.
 No descargar aplicaciones cuyo origen no pueda ser comprobado.

 Instalar aplicaciones preferiblemente desde las tiendas de Apple y Google. Evitar

hacerlo de forma directa (con excepción de los equipos que puedan trabajar en el
desarrollo de aplicaciones y deban hacerlo).

 Evitar hacer uso del dispositivo móvil como una unidad de almacenamiento
tipo pendrive, sobre todo al tener que hacerlo en dispositivos ajenos a la empresa
o de procedencia desconocida.
23/23
Cierre: ¿Qué hacer en caso de ser víctima?
¡Felicitaciones por terminar el Curso de Seguridad Informática para Empresas!

No guardes silencio cuando algún atacante logre tener acceso a información privada tuya
o de tu empresa, incluso si crees que cometiste un error.

Avisa de la posible vulnerabilidad, así se podrían resolver los inconvenientes. ¿A qué

información tuvieron acceso? ¿Qué dispositivo pudo ser afectado?

No olvides seguir todas las buenas prácticas que aprendimos en este curso, así tu
información no estará en riesgo y será más difícil que los atacantes consigan acceso a
ella.

Si quieres aprender muchísimo más, te recomendamos tomar estos otros cursos:

 Curso de Introducción a la Seguridad Informática

 Curso de Redes de Internet