IFCT135PO CIBERSEGURIDAD PARA USUARIOS

A CREA
AL
Anagrama «LUCHA CONTRA LA PIRATERÍA», propiedad de Unión Internacional de Escritores.
TI
NT V
Será perseguida de acuerdo con la legislación vigente la reproducción total o parcial de esta obra
por cualquier medio, existente o de próxima invención, incluido el tratamiento informático,
E

ID

transformación, plagio, distribución, fotocopia o comunicación de cualquier forma, ya sea por

M

AD
FO

métodos electrónicos, mecánicos o por registro, sin el permiso previo y por escrito de los editores
y titulares del ©. No está permitida cualquier otra forma de cesión de uso del ejemplar.
RESP

TOR

Diríjase a CEDRO (Centro Español de Derechos Reprográficos, wwww.cedro.org) si necesita

A
fotocopiar, escanear o hacer copias digitales de algún fragmento de esta obra.

EL D
E © Contenidos Digitales de Formación, S.A.
AU
ET

DERECHO ISBN: 978-84-18078-

Editado en VHSWLHPEUHGH
Introducción y objetivos

1. Introducción a la seguridad en sistemas de información

1.1. Conceptos de seguridad en los sistemas de información
1.2. Requerimientos de seguridad en los sistemas de información
2. Ciberseguridad
2.1. Concepto de ciberseguridad
2.2. Amenazas más frecuentes a los sistemas de información
2.3. Tecnologías de seguridad más habituales
2.4. Gestión de la seguridad informática
2.5. Normativa y reglamentación sobre seguridad informática
2.6. Respuesta a incidentes de seguridad
3. Software dañino
4. Seguridad en redes inalámbricas
5. Herramientas de seguridad
5.1. Control de acceso de los usuarios al sistema operativo
5.1.1. Registro de usuarios
5.1.2. Autentificación de usuarios
5.2. Gestión segura de comunicaciones, carpetas y otros recursos
compartidos
5.2.1. Gestión de carpetas compartidas en la red
5.2.2. Tipos de accesos a carpetas compartidas
5.2.3. Compartir impresoras
5.3. Protección frente a código malicioso
5.3.1. Antivirus
5.3.2. Cortafuegos (firewall)
5.3.3. Antimalware

Resumen
Introducción y objetivos
Desde que se consolidó Internet como un medio de interconexión digital a
nivel mundial, los incidentes de seguridad relacionados con los sistemas
informáticos se han multiplicado de manera alarmante. Esto junto a la
elevada e imparable dependencia de los sistemas de información, ha
provocado una creciente necesidad de implantar mecanismos que reduzcan
considerablemente los riesgos asociados a los incidentes y riesgos en el
entorno de la seguridad informática.
Al terminar el presente curso se habrán conseguido los siguientes objetivos:
- Valorar la necesidad de la gestión de la seguridad en las
organizaciones.
- Conocer las principales amenazas a los sistemas de información.
- Identificar las principales herramientas de seguridad y su aplicación
en cada caso.

1. Introducción a la seguridad en sistemas de información

1.1. Conceptos de seguridad en los sistemas de información
Antes de abordar el estudio de los conceptos de seguridad habituales sobre
sistemas de información, hay que definir conceptos de seguridad un poco
más generales, como son los de activo, riesgo o vulnerabilidad.
Por activo se entiende aquello que debe protegerse. En general es
información, pero también se refiere a personas e infraestructuras. La
información destaca como activo, porque de ella puede depender la
existencia o el colapso de una organización.
Por amenaza se entiende aquello que puede causar un mal. Por
vulnerable se entiende algo a lo que se puede amenazar, sobre lo que se
puede proyectar un daño. Por riesgo se entiende la contingencia o
proximidad de un daño, que causa impacto.
La relación entre los cuatro conceptos sería: un activo sometido a
amenazas, es vulnerable y entonces supone un riesgo. Expresado en forma
negativa: un activo vulnerable, que no cause impacto, no constituye un
riesgo.
A pesar de la importancia de la seguridad, es curioso que
las pérdidas asociadas a fallos de seguridad crezcan debido
a causas internas, en particular el uso que las personas
hacen de los sistemas e información. Estos serán objeto de
la seguridad, intentando garantizar, en la medida de lo
posible, confidencialidad, integridad y disponibilidad. Al
hablar de seguridad se aceptan, de forma genérica, tres
grandes significados del término:
 ✓ Condición alcanzada por un activo al protegerlo de forma adecuada.
✓ Conjunto de medidas de protección.
✓ Organización que proporciona esa condición.
También se acepta que el objetivo de la seguridad es proteger activos y
actividades. Según el tipo de activo a proteger, se usan los términos de
seguridad del personal, de información, material, de las instalaciones y las
operaciones. Referida a la información, esta puede existir en las personas,
en la documentación o en sistemas TIC (Tecnologías de la Información y
Comunicaciones), acuñándose entonces el término STIC (Seguridad TIC).
La seguridad del personal se repite, a un primer nivel y como dependiente
de la seguridad de la información. Esto se debe a que son dos aspectos los
que se cubren, la protección personal, en especial la física y la protección
personal, en cuanto a información que se maneja, lo que implica aspectos
como habilitaciones, necesidad de conocer o concienciación.
La seguridad de los sistemas de información es una tarea muy compleja.
Existen numerosas aproximaciones, clasificaciones y metodologías que
buscan facilitar la tarea a los responsables en las Organizaciones.
Un ejemplo lo constituye la propuesta por una de las entidades españolas
más prestigiosas en materia de seguridad: el Centro Criptológico Nacional
(CCN). En una de sus guías de referencia se establece que la seguridad TIC
(STIC) se refiere a la protección de la información en los sistemas de
información (SSI) y la de las señales (SIGSEC). En cuanto a la seguridad de
las señales, a veces distingue entre la seguridad electrónica (ELSEC) y la de
los sistemas de comunicaciones (COMSEC). La ELSEC se aplica a sistemas
que no son de comunicaciones como sensores o sistemas de navegación.
Esta distinción se debe al establecimiento de un paralelismo con la
terminología de inteligencia, que identifica la inteligencia de señales
(SIGINT) y distingue la inteligencia de comunicaciones (COMINT) e
inteligencia electrónica (ELINT).
Según la definición del término STIC, la seguridad de la información y
sistemas que la tratan puede conseguirse protegiendo cada recurso que
compone su configuración. Así, las medidas de seguridad, en función del
objeto protegido, se pueden clasificarse en medidas:
❖ TRANSEC. Aseguran los canales de transmisión (seguridad de las
transmisiones).
❖ COMPUSEC. Protegen el proceso automático de datos (seguridad de
equipos).
❖ EMSEC. Protegen frente a emisión de radiaciones no deseadas
(seguridad de las emisiones).
❖ NETSEC. Protegen los elementos de red (seguridad de las redes).
❖ CRYPTOSEC. Protegen la información con criptografía (seguridad
criptológica).
Conviene señalar que el término NETSEC está relacionado con la protección
de las redes contra la modificación, destrucción o revelación de la
información mientras circula por ellas, diferenciándose así del término
TRANSEC, vinculado este último con la prevención contra la obtención de
información por medio de la interceptación, radiolocalización y análisis de
las señales electromagnéticas.

1.2. Requerimientos de seguridad en los sistemas de

información
La seguridad de los sistemas de información podría definirse como su
capacidad de resistir, con un determinado nivel de confianza, los accidentes
o acciones ilícitas que comprometan la confidencialidad, integridad,
disponibilidad y autenticidad de la información y servicios que se gestionan.
Se puede entender como las acciones orientadas a eliminar los riesgos o sus
consecuencias, el impacto. Se establecen tres planos de actuación: la
defensa, orientada a disminuir la probabilidad de incidentes; el
aseguramiento, que pretende disminuir las consecuencias al producirse un
incidente; y la denuncia o identificación de causas o causantes de los daños.

Como se observa, la definición de seguridad

tiene sus matices, pero como idea general,
puede resumirse en garantizar la
confidencialidad, la integridad, disponibilidad
y no repudio de la información
(autenticidad).
Las tres primeras características se conocen
en conjunto como medidas CIA, por sus
siglas inglesas Confidentialy, Integrity,
Availability.

• Confidencialidad
Se define confidencialidad como la propiedad de prevenir la divulgación o
acceso a información de personas no autorizadas, es decir, que solo
accedan personas que tengan autorización o permiso.
Debemos entender que la confidencialidad es parte principal de los activos
de una empresa y como tal debe ser protegida con medios técnicos y
legales de accesos no autorizados.
Para garantizar la confidencialidad también se deben utilizar mecanismos de
cifrado y de securización de la comunicación. Los protocolos de cifrado
garantizan dicha confidencialidad durante el tiempo necesario para descifrar
el mensaje.
El establecimiento de pactos de confidencialidad con trabajadores y terceras
empresas permitirá proteger la información corporativa confidencial. El
incumplimiento de estos pactos puede suponer que se emprendan acciones
legales y reclamaciones e indemnizaciones por daños y perjuicios.
Algunos medios de protección de la confidencialidad pueden ser:
✓ Limitar el acceso a la información confidencial, es decir, solo personal
que por su cargo o función deba tener acceso a esos documentos. No
hacerla extensiva a toda la organización y disponer de la trazabilidad
de acceso oportuna en caso de producirse algún problema.
✓ Establecer contraseñas o permisos de accesos.
✓ Realizar copias de seguridad que eviten la pérdida de información.
Cuando se firma un pacto o acuerdo de confidencialidad debemos establecer
unos puntos de obligado cumplimiento entre las partes, como, por ejemplo:
− Especificar claramente qué se entiende por información confidencial,
pudiendo establecer el deber de guardar secreto respecto a una
determinada información.
− Establecer claramente los recursos, medios o información que se
ponen a disposición de las partes para salvaguardar la
confidencialidad.
− Establecer el deber de actuar fielmente en cuanto a la conservación,
almacenamiento, transporte, etc., objeto del acuerdo.
− Establecer la obligación de devolver toda la información confidencial a
la que se ha tenido acceso durante la relación laboral. Esta obligación
de secreto suele tener una vigencia establecida en el acuerdo.
− También se ha de informar de las consecuencias que puede derivarse
por el incumplimiento del acuerdo de confidencialidad. El Código
Penal, en su artículo 197, establece penas de prisión por descubrir
secretos o vulnerar la intimidad.
A continuación, se exponen dos ejemplos sobre tratamiento de
confidencialidad. En uno veremos aspectos referentes a la autorización y en
el otro al cifrado.
Ejemplo – Autorización de acceso a recursos
En la red de una organización podemos compartir documentos, establecer el
nombre de los usuarios o grupos de usuarios y el tipo de permiso que se les
puede dar (lectura, lectura y escritura, …) a dichos documentos.
Por ejemplo, en una red local basada en equipos con sistema operativo
Windows, pulsaremos botón derecho sobre una carpeta que queramos
compartir, y a continuación en Share With o Compartir con y Specific People
o Especificar Usuarios. Otra opción es hacerlo desde la opción de Properties
(Propiedades) de la propia carpeta.
Aparecerá una ventana, donde podemos añadir usuarios y darles los
permisos que deseemos.

Posteriormente si el usuario está validado en el Dominio y tiene los

permisos establecidos, podrá acceder a la carpeta utilizando la siguiente
ruta: \\NombreServidor\NombreCarpetaCompartida

El cifrado es otro mecanismo utilizado para HTTPS: protocolo seguro de

ayudar a garantizar la confidencialidad. transferencia de hipertexto,
Tenemos varias opciones para su es la versión segura de
implementación, como pueden ser: HTTP.
❖ Cifrar el documento. SFTP: Secure File Transfer
❖ Estableciendo contraseña o Protocol; Protocolo Seguro
utilizando herramientas específicas. de transferencia de
ficheros.
❖ Cifrando la conexión.
Cuando una conexión es cifrada, se añade una “s” a los protocolos de
comunicación comúnmente utilizados, como pueden ser http y ftp, que se
convertirían en https y sftp.

En este ejemplo vamos a compartir un documento con la aplicación Dropbox

(www.dropbox.com), el cual permite subir a Internet documentos y
compartirlos a través de un enlace.

Al compartir el fichero o carpeta en Dropbox nos genera un enlace (URL)

que podemos enviar por email para que el destinatario pueda descargarse
el documento compartido mediante un protocolo de comunicación seguro.

Como podemos ver en la imagen, la conexión es https y por lo tanto es

cifrada.

Se refiere a la situación en que solo aquellos entes autorizados

tengan acceso a la información que necesiten. Su fundamento es
claro, por ejemplo, en el caso de un secreto industrial, ya que no es
deseable que la competencia tenga acceso a cierta información.

• Integridad
Se define integridad como la propiedad que busca mantener los datos libres
de modificaciones no autorizadas, asegurando que, por ejemplo, un
documento enviado no ha sido modificado en el proceso de envío.
Mediante el cumplimiento de la integridad se pretende que la información
permanezca inalterada a menos que sea modificada por una persona
autorizada y dicha modificación sea registrada, asegurando así su
confiabilidad.
La violación de la integridad se lleva a cabo cuando se modifican o borran
datos que son parte de la información, una vez ésta ha salido de su origen.
Es decir, la información recibida no coincide con la información enviada en
su inicio.
Para supervisar y cumplir la integridad de la información se suele utilizar la
firma digital, que no es otra cosa que una secuencia de caracteres que se
adjunta al final del cuerpo del mensaje. Una firma digital permite identificar
inequívocamente a la persona que emite el mensaje, teniendo la seguridad
de que el mensaje se encuentra exactamente igual que cuando fue emitido,
proporcionando tanto identidad como integridad.
La firma digital aumenta la seguridad de las transacciones y nos aporta,
entre otras, dos importantes ventajas:
− Integridad del mensaje: demuestra la validez de la información y
nos asegura que está libre de información falsa o modificada sin
autorización.
− Requerimientos legales: supone satisfacer algunos requerimientos
legales y se encarga de cualquier aspecto legal en la transacción de
documentos como, por ejemplo, contratos, nóminas, facturas, etc.
Por todo lo anterior, la firma digital es uno de los pilares fundamentales de
la seguridad de la información.

Si disponemos de un documento PDF firmado, podemos ver la firma en el

documento haciendo clic sobre él. En este caso, nos aparece información
indicando que no ha sido modificado.

Algunas veces la firma no es visible en el documento, pero se puede

acceder a ella muy fácilmente tal y como podemos ver en la siguiente
captura. No obstante, esta opción depende del visor de archivos PDF que
utilicemos.
Si por un casual, alguien modifica el fichero, cuando lo abriésemos
podríamos comprobar que nos aparece un mensaje indicando que ha sido
modificado. Para ello, haríamos doble clic sobre la firma donde nos indicará
que el documento ha sido alterado.

• Disponibilidad
Se define disponibilidad como la característica, condición o cualidad de que
la información esté a disposición de quienes tengan que acceder a ella, es
decir, el acceso a la información y a los sistemas por personas autorizadas
en el momento que lo requieran.
Los sistemas informáticos utilizados para almacenar y procesar la
información, la seguridad y los canales de comunicación deben estar
funcionando correctamente cuando se realicen solicitudes de acceso.
La alta disponibilidad es un asunto de diseño y su implementación asegura
un cierto grado de continuidad de los sistemas en caso de caída de algún
servicio. Para asegurar un entorno de alta disponibilidad se deben utilizar
servicios de comunicaciones, de seguridad y equipamiento que permitan
disponer de la información continuamente replicada.
En este ejemplo podemos ver que, en lugar de tener un servidor de correo
electrónico, dispondríamos de dos servidores con la información replicada.
De este modo en caso de mal funcionamiento del servidor principal,
automáticamente entraría en funcionamiento el segundo servidor (también
conocido como servidor de backup o de contingencia). Con esta arquitectura
de servidores, estaríamos estableciendo un modelo de alta disponibilidad de
servidores de correo.

La alta disponibilidad, intenta tener en

cuenta todos los posibles casos que puedan
llegar a afectar a los servicios críticos de la
empresa para así poder planificar un sólido
plan de contingencias. No solo tiene en
cuenta la caída de servidores, sino también
de otros elementos hardware, como pueden
ser routers, líneas de comunicaciones,
conmutadores, etc. Servicios como el correo
electrónico, bases de datos, presencia web,
etc., utilizan mecanismos que ayudan a
elevar la disponibilidad como clústeres,
array de discos, equipos de alta
disponibilidad, replicación de datos, redes
de almacenamiento, enlaces redundantes,
etc. para garantizar la disponibilidad
establecida.
Array de discos: también
conocido como RAID, es un
conjunto de unidades de
disco que aparecen
lógicamente como si fueran
un solo disco. Esta técnica
incrementa el rendimiento y
proporciona una redundancia
que protege contra el fallo de
uno de los discos de la
formación. Los más comunes
son RAID1, RAID5 y RAID10.
Garantizar la disponibilidad implica también trabajar sobre la prevención y
previsión de ataques al sistema de seguridad TI. Un ejemplo de amenaza
que incide directamente sobre la disponibilidad de servicios es el conocido
como ataque de denegación de servicio (DoS – Denied Of Service). Para
prevenir este tipo de ataques, las empresas se pueden ayudar de sistemas
de gestión que permitan conocer, administrar y minimizar posibles riesgos
que atenten contra la seguridad informática.
La denegación de servicio es una amenaza, que se realiza utilizando equipos
infectados (también conocidos como equipos esclavos) que son utilizados
para realizar ataques predefinidos contra un mismo objetivo, normalmente
sin que los propietarios de dichos equipos sepan lo que se está haciendo.
Dichos equipos realizarán ataques simultáneos saturando los servicios la
infraestructura objetivo, llegando a ralentizar su funcionamiento e incluso a
inhabilitarla.

La cuarta característica sería la Autenticidad (o No-Repudio). Esta

característica asegura la identidad u origen, es decir, la garantía que
demuestra que alguien que genera una información, no podrá retractarse
de su acción. El ejemplo típico, es el de una transacción en que se compran
acciones en bolsa. Si las acciones se desploman, debe garantizarse que el
emisor de la información no niegue la orden de compra.
Puede decirse que son tres los componentes a proteger: hardware,
software e información. El acceso a la información se realiza a través del
hardware, lo que implica al mundo físico, objeto de estudio de la seguridad
física, y a través del software, eje de la seguridad lógica. Con la protección
del hardware y el software, se persigue la protección de la información,
aunque esta incluye otros aspectos.
Teniendo en cuenta los activos a proteger y los tipos de amenazas que
existen, se concluye que la seguridad no es un producto que pueda
comprarse e instalarse a modo de antivirus. Debe ser entendida como un
proceso continuo que requiere una monitorización y actualización
permanente. Esta filosofía desemboca en la definición de unas políticas de
seguridad, que se basará en una serie de normas y prácticas que los
responsables de seguridad de la empresa deberán implementar y cuidar de
su operación diaria, estableciendo los procedimientos y rutinas que se
consideren necesarios.

Para dotar a un sistema de cierto grado de seguridad, deben implementarse

servicios orientados a garantizar ciertas condiciones. Estos servicios se
condensan en el modelo CIA. Pero, hay que tener en cuenta otros servicios
de seguridad, como son los siguientes.
• Trazabilidad. Asegura que se podrá determinar quién hizo qué y en
qué momento.
• Autenticación. Garantiza que la identidad (persona o sistema) del
origen es legítima.
• Autorización. Es el servicio que controla el acceso de un ente a un
servicio.
• Anonimato. Puede requerirse en algún servicio. No entrará en
conflicto con otros.
• Referencia temporal. Provee características de seguridad con
marcas de temporales.
• Terceros de confianza. Para garantizar la identidad de las partes
puede recurrirse a un tercero de confianza, que las avala mediante
certificados.
En cualquier caso, se puede convenir que los cuatro servicios de seguridad
que de algún modo engloban al resto son los de confidencialidad,
integridad, disponibilidad y autenticidad. Los servicios pueden clasificarse
según se refieran al dominio interno o externo de una organización.
Así, los servicios de seguridad en el dominio interno deben proveer control
de acceso físico y lógico. Éste último incluye la gestión de los sistemas de
autenticación y autorización y sistemas de defensa perimetral.
Los servicios de seguridad para la protección de activos en un dominio
externo, se refiere a la protección de la información en tránsito.
Para su estudio, se distinguen 4 tipos de ataque: interrupción,
interceptación, modificación y fabricación.
Un ataque de interrupción es el que se materializa en la pérdida de una
parte del sistema. Un ataque de interceptación es en el que un intruso
consigue acceso a un elemento del sistema, al que lógicamente no estaba
autorizado. Un ataque de modificación es el que consigue modificar un
elemento del sistema y un ataque de fabricación sería una modificación
no destructiva en que se persigue que el sistema trabaje de forma similar o
sin levantar sospechas, pero habiéndose cambiado alguna parte del objeto
final del mismo.
Los métodos de defensa incluyen contramedidas, teniendo en cuenta que no
se pueden implantar salvaguardas para disminuir la vulnerabilidad, ya que
es imposible asegurar físicamente los medios de transmisión y es necesario
asumir que toda comunicación puede ser manipulada. La única salvaguarda
posible es disminuir el impacto. Por un lado, debe garantizarse que, aunque
escuche la comunicación, el atacante no la entiende y que, si cambia algo,
el autor legítimo se percate de ello.
Los métodos de defensa se basan en algoritmos criptográficos aplicados a
las comunicaciones. Cubren dos aspectos, el cifrado, para asegurar la
confidencialidad y la firma, para asegurar la integridad.
En definitiva, la seguridad de los sistemas de información es un reto.
Destaca el aspecto de la conectividad a redes públicas, como Internet, fuera
de control de una organización. La seguridad absoluta, del 100%, ha de
definirse como imposible de alcanzar. Por tanto, resulta que la seguridad es
proporcional al coste de las medidas de protección y, por tanto, se opone a
los sistemas abiertos, sin ningún tipo de protección, que pretenden facilitar
el acceso a cualquier usuario.
Así, la implementación de seguridad se convierte en un problema de
ingeniería, un compromiso entre costes, funcionalidad y protección. Es más
que conveniente implantar la seguridad por niveles. Por tanto, hay que
planificar y tener en cuenta aspectos como el análisis de riesgos (estudio y
valoración del impacto), su gestión (valoración de los controles que reducen
el riesgo), establecer una Política de Seguridad (adaptación de la operativa
habitual a medidas de seguridad), mantenimiento (control continuo de la
eficiencia de las medidas) y establecer planes de contingencia (respuesta
ante incidentes de seguridad).

2. Ciberseguridad
2.1. Concepto de ciberseguridad
Según ISACA (Information Systems Audit and Control Association),
ciberseguridad se define como “la protección de activos de información, a
través del tratamiento de amenazas que ponen en riesgo la información que
es procesada, almacenada y transportada por los sistemas de información
que se encuentran interconectados”.
La norma ISO 27001 define activo de información como “los
conocimientos o datos que tienen valor para una organización”, mientras
que los sistemas de información comprenden a las aplicaciones, servicios,
activos de tecnologías de información u otros componentes que permiten el
manejo de la misma.
Por ejemplo, cuando se busca proteger el hardware, redes, software,
infraestructura tecnológica o servicios, nos encontramos en el ámbito de la
seguridad informática o ciberseguridad. Cuando se incluyen actividades de
seguridad relacionadas con la información que manejan las personas,
seguridad física, cumplimiento o concienciación, nos referimos a seguridad
de la información.

2.2. Amenazas más frecuentes a los sistemas de información

Cuando conectamos cualquier dispositivo ya sea, portátil, PC, móvil, etc., a
una red, estamos poniendo en riesgo el que accedan a él sin nuestro
consentimiento, puedan robar información o alterar el correcto
funcionamiento de nuestra red. Aun cuando nuestra red no está conectada
a Internet no se nos garantiza la completa seguridad de la misma.
Según esta información podemos fraccionar en tres tipos de amenazas:
1. Amenazas Externas
Son las que se originan fuera de nuestra red y, al desconocer dicho
funcionamiento o estructura de la red, el atacante debe realizar
varios pasos para identificarla, conocer su estructura para poder
realizar un ataque más certero. Saber la IP del controlador de
dominio o un punto de acceso de red WIFI son algunos ejemplos de
este tipo de amenazas y, para evitar esto, los administradores de red
deben estar preparados para bloquear dicho ataque.

Un ejemplo claro de este tipo de amenazas son los ataques a

las redes Wifi con el propósito de extraer la contraseña de
acceso. En este caso, el administrador de red puede y debe
utilizar herramientas o servicios para intentar prevenir esto.
Una primera línea de defensa sería un filtrado MAC. Cada
dispositivo de red (Wifi, Ethernet, bluetooth) tiene una
dirección MAC propia, que sería como el DNI del dispositivo.
Por tanto, en la configuración de la red podríamos activar el
filtro MAC, indicando qué dispositivos permitimos conectar y
aquellos que no estén previamente indicados no podrán
acceder.
 2. Amenazas Internas
Son provocadas dentro de nuestra propia red y pueden acarrear
mayores problemas ya que los propios focos de amenaza tienen
algún tipo de acceso a la red (motivos laborales, técnicos,
funcionales, etc.) y pueden conocer su funcionamiento.
En la actualidad, muchos esquemas de seguridad informática en las
empresas no existen o son ineficientes. Esto conlleva que este tipo de
problemas den como resultado la violación de los sistemas
informáticos, causando graves daños que provocarán la pérdida o
robo de información y, en consecuencia, serios riesgos para la
organización, no solo técnicos sino también funcionales y económicos.
3. Amenazas Naturales
Son causadas por inundaciones, incendios, tormentas, fallos
eléctricos, explosiones, etc.
Para intentar combatir estas amenazas, o por lo menos intentar paliar
sus efectos, debemos utilizar herramientas específicas como pueden
ser el uso de extinción automática de incendios, sistemas de
alimentación, sistemas de contingencias, etc.

En caso de incendio en una sala de servidores, la extinción de

incendios debería ser con extintores de CO2, específicos para
lugares con riesgo eléctrico. Como sistema de contingencia,
podríamos tener equipos de backup funcionales fuera de la
organización, o por lo menos fuera del mismo edificio.

Naturaleza de Tipo Riesgo Salvaguarda

la amenaza

Externa Virus, ataques, Infección de SW Antivirus,

denegación del equipo, fuga de firewalls, IPS-
servicio, información, IDS.
organizaciones pérdida de
criminales, etc. control.

Interna Sabotajes, robos Acceso a Concienciación

de contraseña, información del usuario,
fuga de confidencial, cambio periódico
información, suplantación de de claves,
errores en el uso identidad. antiphising.
de herramientas.

Natural * Inundación, Pérdida de SAI, detectores

incendio, fallo activos, equipos de incendios,
eléctrico. informáticos. copias de
seguridad.
* Las amenazas naturales pueden clasificarse como externas, pero por su
naturaleza singular es interesante nombrarlas específicamente.

2.3. Tecnologías de seguridad más habituales

Algunas de las tecnologías que podemos utilizar para mantener a salvo
nuestra información, al menos de forma preventiva, son las siguientes:
• Firewalls: un cortafuego (firewall en inglés) es una parte de un
sistema o una red que está diseñada para bloquear el acceso no
autorizado. Puede ser hardware o software.
• IDS (Intrusion Detection System): un sistema de detección de
intrusos es un programa usado para detectar accesos no autorizados
a un computador o a una red.
• Administración de cuentas de usuario: apartado del software de
servidores, donde se dan de alta, baja o modificación los usuarios de
un dominio. Es importante una correcta política de administración de
acceso de los usuarios para minimizar los riesgos derivados de
factores internos.
• Antivirus: software que intenta prevenir de la posible infección de
un virus informático.
• Anti-spyware: es el software que elimina los programas spyware,
que son aquellos que recopilan información de un ordenador y
transmiten esta información a una entidad externa sin el
conocimiento del usuario.
• Actualizaciones del sistema operativo: son mejoras del sistema
operativo del equipo (ordenador, servidor, etc.) que corrigen
vulnerabilidades, o bugs, que pueden servir como debilidad a explotar
por un atacante.
• Actualizaciones de software de uso común (java, flash, etc.):
son mejoras a los diferentes programas, que corrigen
vulnerabilidades.
• SSL (Secure Sockets Layer): capa de conexión segura,
proporciona autenticación y privacidad de la información entre
extremos sobre Internet mediante el uso de criptografía. También
hace referencia a las conexiones https.
• Infraestructura de llave pública (PKI): controla la operación de
un algoritmo de criptografía, muy útil para el cifrado de información o
establecer medidas de robustez y fiabilidad en determinados
servicios.
• Accesos biométricos: como, por ejemplo, huellas dactilares,
identificación de retina, etc.
 • Firma digital: permite al receptor de un mensaje firmado
digitalmente determinar la entidad originadora o fuente de dicho
mensaje y confirmar que el mensaje no ha sido alterado desde que
fue firmado por la fuente.
• Recuperación de datos: proceso de copia de seguridad, por el cual
podremos recuperar información borrada intencionada o
accidentalmente.
• Cifrado: permite aumentar la seguridad de un mensaje mediante la
codificación del contenido, de manera que solo pueda leerlo la
persona que cuente con la clave de cifrado adecuada para
descodificarlo.
• VPN (Red Privada Virtual): permite comunicar de forma segura
equipos o redes separadas físicamente creando un túnel seguro. Las
VPN permiten securizar el tráfico y la información enviada mediante
los túneles que genera.
• Cumplimiento de la privacidad: es el control de acceso que se
tiene sobre cualquier fichero o carpeta determinando quién puede
acceder a dicho recurso.
• Acceso remoto: proceso de conexión remota a un equipo desde un
red interna o externa.
• EDI (Intercambio Electrónico de Datos): transmisión
estructurada de datos entre organizaciones por medios electrónicos.
• Monitorización de servicios y logs: consiste en la vigilancia
automática de servicios y logs, que nos pueden alertar de una
amenaza.
• Informática forense: es la aplicación de técnicas científicas y
analíticas especializadas en la infraestructura tecnológica que
permiten identificar, preservar, analizar y presentar datos que sean
válidos dentro de un proceso legal.

2.4. Gestión de la seguridad

informática ISO 27001: es un
estándar para la
Existen entidades certificadoras de la gestión de
seguridad de la
la seguridad de la información, que pretenden
información. Especifica
verificar la implantación de las buenas prácticas y
los requisitos
normas implantadas en la organización y así
necesarios para
poder acreditarlo ante terceras partes, como
establecer, implantar,
pueden ser clientes, Administraciones Públicas,
mantener y mejorar un
etc., lo cual puede otorgar una confianza y
sistema de gestión de la
verificabilidad sobre el modo operativo de la
seguridad de la
organización en materia de seguridad. Para ello
información.
se recurre a la certificación ISO 27001, norma de
mayor reconocimiento en la actualidad.
También existen otros modelos conocidos, como puede ser el SSE-CMM
(System Security Engineering - Capbilty Muturity Model) desarrollado por la
Asociación Internacional de ingeniería de Seguridad Informática (ISSEA).
Una buena gestión de seguridad informática es fundamental en cualquier
negocio a día de hoy, y nos puede propiciar importantes beneficios, además
de ser un importante complemento en la estrategia TIC de la empresa.
Para la gestión de la seguridad informática, debemos considerar llevar a
cabo una serie de pautas para cuidar de nuestra infraestructura y equipos
informáticos, los cuales, por lo general, sustentan la información y procesos
de negocio:
➢ Protección perimetral frente a accesos externos: teniendo la
infraestructura actualizada a nivel de software, antivirus o firewall
para evitar sufrir un ataque.
➢ Concienciación a los usuarios: es uno de los puntos más
importantes, y a veces al que menos se le prestan o dedican
recursos. El “enemigo” lo podemos tener dentro y debemos explicar a
los usuarios de la organización lo importante que son las buenas
prácticas en materia de seguridad informática para el correcto
funcionamiento de la organización.
➢ Control de acceso a Internet: se debe
establecer un control de los usuarios a contenidos
de Internet donde no deberían acceder. Se debe
permitir acceso exclusivamente a webs que
faciliten el trabajo de los empleados.
➢ Implementar servicios antispam: cuando
hablamos de seguridad informática el correo no
deseado (SPAM) se ha convertido en uno de los
problemas más serios por el volumen que una
organización puede recibir en un ataque
organizado.

2.5. Normativa y reglamentación sobre seguridad informática

España cuenta con una Estrategia de Ciberseguridad Nacional desde el
año 2013. Se encuentra alineada con la Estrategia de Seguridad Nacional y
en ella se establecen las prioridades, objetivos y medidas adecuadas para
alcanzar y mantener un elevado nivel de seguridad, tanto en las redes como
los sistemas de información.
La Estrategia Nacional de Ciberseguridad 2019 desarrolla las previsiones de
la Estrategia de Seguridad Nacional de 2017 en el ámbito de la
ciberseguridad, considerando los objetivos generales, el objetivo del ámbito
y las líneas de acción establecidas para conseguirlo. El documento se
estructura en cinco capítulos: I. El ciberespacio, más allá de un espacio
común global; II. Las amenazas y desafíos en el ciberespacio; III.
Propósito, principios y objetivos para la ciberseguridad; IV. Líneas de acción
y medidas; V. La ciberseguridad en el Sistema de Seguridad Nacional.
La revisión de la Estrategia Nacional de Ciberseguridad es competencia del
Consejo de Seguridad Nacional que, además, se constituye -a través del
Departamento de Seguridad Nacional- en el Punto de Contacto Único
para garantizar la cooperación transfronteriza de las autoridades
competentes españolas con sus homólogas en otros Estados miembros de la
Unión Europea, así como con el grupo de colaboración y la de red de
Equipos de Respuesta a Incidentes de Seguridad Informática
(conocidos como CSIRT, acrónimo de Computer Security Incident Response
Team).
Por lo que respecta a la normativa nacional en el ámbito de la seguridad
destacan las siguientes disposiciones:
✓ Real Decreto 3/2010, de 8 de enero, que regula el Esquema Nacional
de Seguridad (ENS) en el ámbito de la Administración Electrónica,
como normativa especial en materia de seguridad en los sistemas de
información del sector público.
✓ Ley 8/2011, de 28 de abril, por la que se establecen medidas para la
protección de infraestructuras críticas.
✓ Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
✓ Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las
redes y sistemas de información.
La aprobación por el Gobierno de España del Real Decreto-ley
12/2018, de 7 de septiembre, permite incorporar al ordenamiento
jurídico español la Directiva (UE) 2016/1148 (Directiva NIS), con el
objetivo de regular la seguridad de las redes y sistemas de
información utilizados para la provisión de los servicios esenciales y
de los servicios digitales, así como para establecer un sistema de
notificación de incidentes.
Asimismo, este Real Decreto-ley establece un marco institucional de
la seguridad para su aplicación y para la coordinación entre
autoridades competentes y los órganos de cooperación relevantes en
el ámbito de la Unión Europea. Será la Estrategia de Ciberseguridad
Nacional la que desarrolle dicho marco, que estará formado por las
autoridades públicas competentes y los CSIRT de referencia, por una
parte, y la cooperación público-privada, por otra.
En resumen, el Real Decreto-ley 12/2018:
1. Identifica los sectores en los que es necesario garantizar la
protección de las redes y los sistemas de información.
2. Establece procedimientos para identificar los servicios
esenciales ofrecidos en dichos sectores y los principales
operadores que los prestan, que son, finalmente, los
destinatarios del Real Decreto-ley.
 3. Recalca la necesidad de considerar los estándares europeos e
internacionales, así como las recomendaciones que surjan del
grupo de cooperación y de los CSIRT establecidos en el ámbito
comunitario por la Directiva NIS. Resulta fundamental aplicar
las mejores prácticas aprendidas en dichos foros para
contribuir a la elaboración de los reglamentos y guías que
permitan impulsar el mercado interior y la participación de las
empresas españolas en él.
4. Se apoya en las normas, en los instrumentos de respuesta a
incidentes y en los órganos de coordinación estatal existentes
en esta materia. Ha de garantizar su coherencia con las
disposiciones que se derivan de la aplicación de otras
normativas en materia de seguridad de la información.
5. Se decanta por impulsar la subsanación de la infracción antes
que su castigo. Establece que, en caso de ser necesario
dispensarlo (respetando la línea ordenada en la Directiva NIS),
el castigo ha de ser efectivo, proporcionado y disuasorio. Se
establecen 3 categorías de infracciones:
a. Muy graves: podrá suponer una multa de entre 500.001
€ hasta 1.000.000 €.
b. Graves: podrá suponer una multa de 100.001 € hasta
500.000 €.
c. Leves: podrá suponer una amonestación o multa hasta
100.000 €.
Por lo que respecta al régimen sancionador, serán las autoridades
competentes quienes ejercerán las funciones de vigilancia
establecidas en el Real Decreto-ley y aplicarán las sanciones previstas
✓ Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el
Real Decreto-ley 12/2018
Este real decreto tiene por objeto desarrollar el Real Decreto-ley
12/2018, de 7 de septiembre, de seguridad de las redes y sistemas
de información, en lo relativo a:
El marco estratégico e institucional de seguridad de las redes y
sistemas de información.
La supervisión del cumplimiento de las obligaciones de seguridad de
los operadores de servicios esenciales y de los proveedores de
servicios digitales.
La gestión de incidentes de seguridad.

2.6. Respuesta a incidentes de seguridad

Los Equipos de Respuesta a Incidentes de Seguridad Informática, CSIRT,
(en inglés Computer Security Incident Reponse Team), son los encargados
de analizar los riesgos y supervisar incidentes a escala nacional e
internacional, difundir alertas sobre ellos y aportar soluciones para mitigar
sus efectos.
El Real Decreto-ley 12/2018 reconoce tres CSIRT nacionales de referencia,
que se coordinarán entre sí y con el resto de equipos nacionales e
internacionales en la respuesta a incidentes y gestión de riesgos en función
del tipo de entidad prestadora de un servicio. Son entidades operadoras de
servicios esenciales:
• CCN-CERT: equipo de respuesta del Centro Criptológico Nacional
(CCN). A él le corresponde la comunidad de referencia constituida por
las entidades del ámbito subjetivo de aplicación de la Ley 40/2015,
de 1 de octubre.
• INCIBE-CERT: equipo de respuesta del Instituto Nacional de
Ciberseguridad de España; le corresponde la comunidad de referencia
constituida por las entidades no incluidas en el ámbito subjetivo de
aplicación de la Ley 40/2015, de 1 de octubre.
• ESPDEF-CERT: equipo de respuesta del Ministerio de Defensa.
Cooperará con los dos anteriores en las situaciones que cualquiera de
ellos requiera en apoyo de los operadores de servicios esenciales y en
aquellos operadores que tengan incidencia en la Defensa Nacional.
En el caso de entidades proveedoras de servicios digitales que no estuvieran
comprendidos en la comunidad de referencia del CCN-CERT, se designa al
INCIBE-CERT, que también será el equipo de respuesta a incidentes de
referencia para los ciudadanos, entidades de derecho privado y otras
entidades no incluidas en el primer apartado.
Los operadores de servicios esenciales designarán una persona, unidad u
órgano colegiado, responsable de la seguridad de la información que
ejercerá las funciones de punto de contacto especializado y coordinación
técnica con la autoridad competente y CSIRT de referencia.
El Real Decreto 43/2021 establece el procedimiento de notificación de
incidentes y describe la Plataforma Nacional de Notificación y Seguimiento
de Ciberincidentes; además de otros aspectos como: información sobre
incidentes, actuaciones ante incidentes con carácter presuntamente
delictivo, consulta con otras autoridades o la supervisión del cumplimiento
de las obligaciones de seguridad y de notificación de incidentes.
A. Procedimientos de notificación de incidentes
Los CSIRT de referencia garantizarán un intercambio fluido de
información con las autoridades competentes que correspondan,
asegurando el adecuado seguimiento durante la gestión de los
incidentes, así como el acceso a la información empleada en las
distintas fases que componen la gestión de incidentes.
Los operadores de servicios esenciales realizarán las notificaciones a
través del responsable de la seguridad de la información designado.
 1. Los operadores de servicios esenciales deberán realizar una
primera notificación tan pronto como dispongan de información
para determinar que se dan las circunstancias para la notificación,
atendiendo a los factores y umbrales correspondientes.
2. Se efectuarán las notificaciones intermedias que sean precisas
para actualizar o completar la información incorporada a la
notificación inicial, e informar sobre la evolución del incidente,
mientras este no esté resuelto, y se realizará una notificación final
del incidente tras su resolución, informando del detalle de la
evolución del suceso, la valoración de la probabilidad de su
repetición, y las medidas correctoras que eventualmente tenga
previsto adoptar el operador. Los umbrales temporales exigidos
para dichas notificaciones serán los recogidos en el anexo de este
real decreto.
3. Las notificaciones incluirán, en cuanto esté disponible, la
información que permita determinar cualquier efecto
transfronterizo del incidente. Se aplicará a los proveedores de
servicios digitales en tanto que no se regule de modo diferente en
los actos de ejecución previstos en el artículo 16.9 de la Directiva
(UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de
julio de 2016, relativa a las medidas destinadas a garantizar un
elevado nivel común de seguridad de las redes y sistemas de
información en la Unión.
4. El CSIRT de referencia, en colaboración con la autoridad
competente, valorará con prontitud dicha información con vistas a
determinar si el incidente puede tener efectos perturbadores
significativos para los servicios esenciales prestados en otros
Estados miembros de la Unión Europea, informando en tal caso a
través del punto de contacto único a los Estados miembros
afectados.
5. Asimismo, la autoridad competente valorará, de manera conjunta
con el correspondiente CSIRT de referencia, la información sobre
incidentes con posibles impactos transfronterizos que reciba de
otros Estados miembros, y se lo indicará y transmitirá la
información relevante a los operadores de servicios esenciales que
puedan verse afectados.
B. Plataforma Nacional de Notificación y Seguimiento de
Ciberincidentes
El CCN-CERT en colaboración con el INCIBE-CERT y el ESPDEF-CERT
del Mando Conjunto del Ciberespacio pondrá a disposición de todos
los actores involucrados la Plataforma Nacional de Notificación y
Seguimiento de Ciberincidentes a la que se refiere el Real Decreto-ley
12/2018, de 7 de septiembre.
La plataforma permitirá el intercambio de información y el
seguimiento de incidentes entre los operadores de servicios
 esenciales o proveedores de servicios digitales, las autoridades
competentes y los CSIRT de referencia de manera segura y confiable,
sin perjuicio de los requisitos específicos que apliquen en materia de
protección de datos de carácter personal.
Esta plataforma deberá garantizar la disponibilidad, autenticidad,
integridad y confidencialidad de la información, así como podrá
emplearse también para dar cumplimiento a la exigencia de
notificación derivada de regulaciones sectoriales, de acuerdo con el
Real Decreto-ley 12/2018, de 7 de septiembre.
La plataforma también dispondrá de diversos canales de
comunicación para su uso por parte de las autoridades competentes y
los CSIRT de referencia. Garantizará el acceso de las autoridades
competentes a toda la información relativa a la notificación y estado
de situación de los incidentes de su ámbito de competencia que les
permita efectuar en todo momento el necesario seguimiento y control
de su estado de situación. Igualmente, las autoridades competentes
tendrán acceso a través de la plataforma a datos estadísticos.
La plataforma implementará el procedimiento de notificación y
gestión de incidentes, que estará disponible durante todas las horas
del día y todos los días del año, y dispondrá, como mínimo. de las
siguientes capacidades:
1. Capacidad de gestión de ciberincidentes, con incorporación de
taxonomía, criticidad y notificaciones a terceros, según lo
establecido en el anexo.
2. Capacidad de intercambio de información sobre ciberamenazas.
3. Capacidad de análisis de muestras.
4. Capacidad de registro y notificación de vulnerabilidades.
5. Capacidad de comunicaciones seguras entre los actores
involucrados en diferentes formatos y plataformas.
6. Capacidad de intercambio masivo de datos.
7. Generación de estadísticas e informes agregados.
En el Anexo del Real Decreto 43/2021 se establece la Instrucción nacional
de notificación y gestión de ciberincidentes, donde se detalla la siguiente
información:
• Obligatoriedad de notificación.
• Clasificación/taxonomía de los ciberincidentes.
• Nivel de peligrosidad del ciberincidente.
• Nivel de impacto del ciberincidente.
• Información que notificar a la autoridad competente en caso de
incidente.
• Ventana temporal de reporte.
• Definiciones y conceptos.
3. Software dañino
Por software dañino, o código malicioso, se entiende cualquier software que
pueda causar daño a un sistema de información. El aumento en el número y
complejidad de estos sistemas ha supuesto, además, la aparición de nuevas
formas de comprometer su seguridad. Asimismo, existen factores clave en
el incremento de su propagación, cada vez más rápida, consecuencia
directa de la mayor velocidad de las redes de datos, así como de que la
comunidad de intrusos no deja de aumentar.
Al código malicioso se le conoce habitualmente con el término inglés
malware. Este hace referencia a programas que se instalan en un sistema,
habitualmente de forma encubierta, con la intención de comprometer la
confidencialidad, integridad o disponibilidad de dicho sistema, de
aplicaciones, de datos o, simplemente, para molestar o perjudicar a un
sistema víctima.
Desde el punto de vista del creador de malware, a día de hoy le resulta
mucho más atractivo un sistema Windows frente a otro Unix/Linux por ser
mucho más común, contar con más usuarios y ser casi omnipresente en
todo tipo de organizaciones.
El creciente uso de Linux en las aplicaciones para dispositivos móviles en
formato de código libre y el reciente fenómeno Internet de las cosas (en
inglés Internet of Things, IoT), que ha incrementado el número de
dispositivos con conectividad a Internet y que implementan mucho software
libre basado en Linux, hacen que se cree un gran terreno por explotar para
los creadores de malware.
No todo el software dañino es igual, se trata de programas creados por todo
tipo de personas con intereses e ideas diferentes. Cada individuo dispondrá
de sus propios medios técnicos, grados de conocimiento, así como de una
motivación o finalidad. Además, es necesaria la oportunidad, esto es, se
tiene que dar la ocasión que facilite el desarrollo del ataque (por ejemplo, la
aparición de una vulnerabilidad en un sistema o aplicación que permitiera la
creación de un código malicioso que la aprovechase).
En función de estos intereses suelen provocarse las siguientes situaciones:
• Ataques a objetivos claros y específicamente definidos (un usuario,
una organización determinada, un sistema o servicio de esa
organización, etc.).
• Ataques a un público objetivo definido atendiendo al grupo de
interés. Sería el caso de ataques a los usuarios de un sistema
operativo concreto, ataques a las bases de datos de un tipo concreto,
etc.
• Ataques aleatorios sin objetivos definidos y sin razonamiento previo.
Asimismo, las motivaciones de los atacantes pueden ser de lo más diverso:
— Lucrativas. Consistirán en robar para, posteriormente, vender
información de valor. En esta categoría también estarán los ataques a
bases de datos con el objetivo de conseguir datos personales a los
 que, posteriormente, se enviará publicidad por parte de empresas
que habrán pagado a los que se hicieron con los datos.
— Ideológicas. Son ataques que se basan en la difusión de ideologías
políticas fundamentalmente, aunque también éticas o religiosas.
También entraría en esta categoría la apología del terrorismo.
— Entretenimiento. Los intrusos pueden realizar ataques simplemente
como diversión o para probar sus habilidades.

Existe una gran variedad de amenazas en forma de software dañino. Esto,

unido a que cada día se descubren nuevos programas de este tipo, dificulta
el establecimiento de una clasificación. Pese a ello, podrían distinguirse tres
criterios:

1. Según el impacto producido sobre la víctima.

Para evaluar el grado de peligrosidad se estudia la
gravedad de las acciones que el código produce
sobre el sistema infectado, su velocidad y facilidad
de propagación, así como la cantidad de infecciones
producidas.
De acuerdo a este criterio, podrían establecerse los
siguientes niveles de peligrosidad:
a. Bajo.
b. Medio.
c. Alto.

2. Según su forma de propagación.

Atendiendo a este criterio, los tipos de software dañino más
conocidos más conocidos son:
a. Virus.
Se trata de software malicioso de muy distinta naturaleza cuya
finalidad es alterar el funcionamiento de un sistema sin el
conocimiento previo de su usuario, corrompiendo o
destruyendo sus archivos. Pueden aprovecharse de
vulnerabilidades en aplicaciones (navegador, programas de
correo electrónico, etc.), sistemas, redes, etc.
Su principal característica está en su capacidad de
propagación. Para ello, precisa de la intervención humana, que
ayudará en su ejecución.
Su funcionamiento es bastante simple. Cuando se ejecuta el
código, el virus se instala en el sistema (memoria RAM, sector
 de arranque, etc.), infecta archivos ejecutables y guarda los
archivos infectados en disco. Esta forma de proceder permite
que cada vez que utilice el fichero infectado se ejecute el virus.
Los efectos de los virus pueden ser de múltiples tipos, desde
completamente inofensivas, aunque molestas (por ejemplo,
cambiar la ubicación de algunas carpetas), hasta de
consecuencias gravísimas (por ejemplo, modificar el registro
de Windows con el objetivo de evitar un cortafuego y permitir
que un atacante controle el sistema).
La forma de propagación también es variada: reproducción al
ejecutar un fichero, al visitar una página web que enlaza con
otra que contiene código malicioso, etc.
b. Gusanos.
Es un tipo de malware que se propaga automáticamente sin
necesidad de infectar otros archivos, pues puede duplicarse a
sí mismo y extenderse sin necesidad de intervención de los
usuarios de los sistemas infectados.
Su finalidad no es destruir archivos o sistemas, sino que están
pensados para consumir recursos de un sistema o red,
logrando su saturación y provocando una denegación de
servicio (DoS).
Sus principales formas de difusión son las siguientes:
i. A través de programas de mensajería instantánea o
canales de chat.
ii. Utilizando los recursos compartidos de una red local.
iii. A través de las redes peer to peer (P2P). Es una de las
vías preferidas de infección. Los gusanos se camuflan
como archivos con nombres atractivos para los usuarios,
adoptando nombres de películas de actualidad, vídeos
humorísticos, etc. En estas redes un equipo puede
descargarse archivos de cualquier otro equipo de la red
y a su vez compartir archivos con los demás, lo que
hace que el riesgo de infección sea increíblemente alto.
iv. Correo electrónico. Pueden ir adjuntos al mensaje o bien
camuflados dentro del código HTML de los mensajes, por
lo que bastaría con una visualización previa del mismo
para activarlos. En todos estos casos, los mensajes que
los incluyen suelen tener un asunto interesante para
captar la atención del destinatario y así lograr que abra
el mensaje (por ejemplo, el famoso gusano I love you,
llamado así porque ese era el asunto del mensaje que lo
incluía).
c. Troyanos.
Se trata de un software malicioso que se instala en un sistema
aparentando ser un programa inofensivo. Su finalidad es
permitir a un usuario no autorizado adquirir el control del
sistema infectado.
A diferencia de los virus, los troyanos ni infectan ni corrompen
archivos o programas y se diferencian de los gusanos en que
no cuentan con capacidad para propagarse automáticamente,
únicamente buscan permitir la administración remota del
equipo a usuarios ilegítimos.
Las infecciones con este tipo de malware se suelen producir
cuando el usuario ejecuta un programa infectado. El programa,
aparentemente, funciona correctamente, pero en un segundo
plano, de forma inadvertida, se instala el troyano. Una vez que
se instalan, pasan desapercibidos para el usuario del sistema
infectado llevando a cabo diversas acciones,
fundamentalmente con el objetivo de controlar ese equipo.
Un troyano, habitualmente, está constituido por dos
programas: un cliente en el equipo atacante, que es el que
envía las órdenes, y un servidor que se instala en el sistema
infectado y es el que recibe las órdenes del intruso y las
ejecuta, enviando la información solicitada. La conexión entre
estos dos programas se lleva a cabo de dos formas diferentes:
i. Conexión directa: el cliente se conecta al servidor para
enviarle órdenes. Es la más habitual.
ii. Conexión inversa: el servidor envía directamente la
información al cliente. Es mucho más efectiva, pues
muchos cortafuegos no analizan la información saliente
del sistema.
Los tipos más habituales de troyanos son:
• Puertas traseras (en inglés Backdoors). Son muy
peligrosos. Permiten el acceso remoto a un atacante
sobre una aplicación, una página web, un recurso o,
incluso, sobre el sistema operativo.
Un sistema infectado con este tipo de troyanos será
controlado por un atacante sin necesidad de iniciar
sesión y tendrá acceso total al equipo. Podrá copiar,
modificar, robar o destruir toda la información. Además,
podría utilizar el sistema controlado para otras
finalidades, por ejemplo, para hacerlo parte de una red
de sistemas zombies o Botnets.
• Keyloggers. Capturan las pulsaciones de teclado en el
sistema de la víctima proporcionándoselas al atacante.
El peligro de esta posibilidad es evidente: desde obtener
 claves de otros sistemas o de cuentas bancarias hasta
hacerse con conversaciones escritas.
Las entidades que utilizan sistemas de autenticación
basados en la introducción de caracteres vía un teclado
han tenido que proporcionar a sus usuarios mecanismos
de seguridad adicionales como, por ejemplo, el uso de
un teclado virtual para introducir ciertos datos.
• Downloaders. Su peligro radica en la descarga de
archivos con código malicioso y su ejecución en el
sistema infectado.
• Proxies. Los intrusos los utilizan para encubrir su
identidad pues consiguen que el sistema infectado actúe
como un servidor proxy, que le posibilitará el acceso a
Internet y que toda la actividad que realice apunte al
sistema infectado.
Este tipo de malware es especialmente dañino por las
consecuencias que puede ocasionar para los usuarios
infectados.

3. Según las acciones que realiza

De acuerdo a este criterio, podrá diferenciarse entre aquel código
malicioso que provoca acciones dañinas logrando un impacto medio o
alto el que produce acciones no dañinas permitiendo disponer de los
sistemas.
a. Software malicioso no dañino
Se consideran no dañinas acciones como mostrar publicidad,
mostrar información falsa, la realización de bromas. Suele
denominarse grayware. Los principales tipos son:
i. Spyware (Spy Software, software espía). Es un tipo de
software que trata de conseguir información del usuario.
Algunos sitios web intentan conocer cuánto tiempo
permanece en ellos un visitante. Habitualmente se trata
de motivos estadísticos, pero cuando esta actividad se
realiza para conseguir información de cara a realizar una
acción dañina se trataría de malware.
ii. Adware (Advertisement Software, software
publicitario). Este software muestra publicidad de forma
intrusiva, en forma de ventanas emergentes. No suele
representar una amenaza de ataque, pero tampoco
puede descartarse que no esté ocultando la acción de
otro tipo de malware. Es muy habitual la combinación
del adware con el spyware para lograr información y
transmitirla a terceros.
 iii. Cookies. Son pequeños archivos de texto que el
navegador almacena y clasifica. Almacenan información
sobre una página web. Se convierten en un riesgo en el
momento en que son utilizadas como elementos de
rastreo por parte de empresas de publicidad.
iv. Hijacking (apropiación, secuestro). Son ataques que
intentan modificar configuraciones de programas (como
el navegador) para obtener un beneficio como el de
lograr más visitas a una web que, habitualmente,
contendrá publicidad.
v. Jokes (bromas). Es un malware que se limita a asustar
al usuario. Utiliza mensajes que advierten del borrado
del disco duro o que se enviará información personal a
través de Internet, por ejemplo. No realizan acciones
dañinas sobre los sistemas infectados.
vi. Hoaxes (bulos). Mediante técnicas de ingeniería social,
este software consigue engañar a los usuarios sobre
amenazas no reales: una estafa, un virus, una amenaza
de seguridad, etc.
b. Software malicioso dañino
Este tipo de software representa una amenaza real contra la
seguridad de los sistemas de información. Acciones como la
obtención de información, modificación o eliminación de
información almacenada y amenazas a los usuarios con el fin
de lograr un beneficio económico son escenarios habituales.
Algunas variedades de este tipo de malware son:
i. Ransomware (Ransom software, software con
rescate). Este tipo de malware cifra archivos
importantes del disco duro para exigir el pago de dinero
a cambio de la contraseña para descifrarlos.
Un ejemplo reciente es Cryptolocker, que se camufla en
un correo electrónico procedente de una compañía
conocida y con la que es más que posible tener relación
(por ejemplo, Correos). Una vez infectado el sistema de
archivos, que también puede ser el de la red local de
una empresa, el atacante exige un pago para
proporcionar la clave de desbloqueo.
ii. Rogueware (Rogue software, falso software). Esta
variedad de malware consigue hace creer al usuario, de
forma errónea, que su sistema está infectado por algún
virus y que la única forma de desinfectarlo es
adquiriendo una solución antivirus por la que habrá que
pagar una cantidad de dinero. Al descargar ese supuesto
antivirus se podría estar dando el control total a un
atacante remoto, que podría ver todo lo que visualiza
 por pantalla la víctima o darle acceso a su disco duro o a
la red empresarial.
iii. Password stealer (ladrón de contraseñas). Los
navegadores son la herramienta más utilizada para casi
todo tipo de operaciones relacionadas con Internet, por
ejemplo, la creación de cuentas de correo web o cuentas
de redes sociales. Existen algunos tipos de malware que
se aprovechan de esta situación y modifican el
navegador para que capture y envíe las contraseñas
cuando la víctima las introduce, obteniendo los datos de
sesión.
iv. Bombas lógicas. Este tipo de malware se ejecuta
cuando se cumple alguna condición, como una fecha
concreta, que se cambie algún dato en una base de
datos o que se modifique un archivo del disco.
v. Rootkits. Se trata de herramientas cuya principal
misión es la de ocultar la actividad de un atacante, tanto
a los usuarios como a los administradores de seguridad
o de los sistemas afectados. Además, pueden ir
acompañadas de otras funcionalidades como puertas
traseras o keylogger.
Comprender el funcionamiento de un rootkit puede
aportar conocimiento de gran utilidad para detectar la
presencia de elementos indeseados en una organización.
vi. Keyloggers y puertas traseras. Tipo de malware
enormemente peligroso. Han sido explicados en el
apartado de los troyanos.
vii. Inyección de código. Este tipo de malware trata de
inyectar código en aplicaciones web, sobre todo a través
de formularios. Algunos ejemplos son:
o Inyección de LDAP. El código malicioso intentará
modificar cadenas de entrada en lenguaje de
filtros LDAP para manipular el funcionamiento de
la aplicación web.
o Inyección de SQL. Exactamente como en el caso
anterior, pero modificando cadenas de entrada en
consultas realizadas en lenguaje SQL.
o Cross Site Scripting (XSS). Este ataque intentará
inyectar código malicioso Javascript o Visual Basic
Script en foros, chats, redes sociales, etc.
Cualquier usuario de esos canales podrá ser
infectado a través del navegador.
Hay que destacar la aparición en los últimos años de una nueva categoría
de amenazas: las amenazas persistentes y avanzadas (en inglés
Advanced Persistent Threats, APT). Se caracterizan por ser amenazas
reales, sofisticadas y por contar con tal premeditación y persistencia como
para ser completamente eficaces contra las contramedidas establecidas en
los sistemas de información o en los sistemas de seguridad que constituyen
su objetivo.
Los afectados rara vez son conocedores que son el objetivo de un ataque,
además, desconocen el origen, el alcance o la autoría del mismo.
Una vez definido el objetivo, los atacantes iniciarán una ofensiva en la que
no importa el tiempo que se invierta. No suelen esperar un beneficio a corto
plazo, sino que prefieren pasar desapercibidos mientras dura el ataque
hasta que logran su objetivo. Nuevamente, los objetivos suelen ser
económicos (aunque en este caso suelen decantarse por el espionaje,
fundamentalmente industrial), militares (revelación de información de
seguridad, búsqueda de debilidades, etc.), técnicos (hacerse con
credenciales, con código fuente, etc.) o políticos (desestabilización
geopolítica, debilitar misiones diplomáticas, etc.). Como puede deducirse, se
trata de ataques que pueden afectar a sectores tan críticos como el
gubernamental, el industrial, el financiero, el tecnológico, etc.
Algunos de los casos que han afectado a grandes corporaciones en los
últimos años son:
• Año 2013
La empresa Target anunció una fuga de datos que afectó a 70
millones de clientes. Dicha fuga tuvo comienzo por un robo de
credenciales en una empresa del grupo que proporcionaba servicio de
mantenimiento de climatización.
• Año 2014
El banco americano Chase sufrió una fuga de datos que afectó a 83
millones de clientes. Dicha fuga tuvo su origen en la falta de
actualización de un servidor de la empresa JP Morgan, también
financiera y fusionada con el banco.

Hasta 56 millones de clientes de la empresa Home Depot fueron

afectados por una fuga de datos. Como en el caso de Target, la fuga
comenzó por un robo de credenciales a un contratista habitual de la
empresa. La falta de actualización de los sistemas Microsoft Windows
estuvo muy presente en la causa de la fuga.
Sony Pictures sufrió la pérdida de datos confidenciales, como correos
electrónicos, información salarial e incluso películas aún sin estrenar.
Sony fue amenazada para que no estrenase la película The Interview,
en cuyo argumento se producía un intento de asesinato del líder
norcoreano Kim Jong-Un. Además, se robaron datos referidos a
 información personal de empleados y familiares, que también
sufrieron amenazas.
• Año 2015
La estadounidense Oficina de Gestión de Personal (OPM, Office of
Personnel Management) sufrió el robo de información personal y de
seguridad, como los números de la Seguridad Social o las huellas
dactilares de hasta 25 millones de empleados. Incluso se
comprometieron las identidades de agentes secretos.
El sitio web de contactos Ashley Madison sufrió robo de información
que afectó a los datos personales de 40 millones de clientes.
Una central eléctrica fue atacada en Ucrania en el 2015 y en el 2016.
Los primeros ataques tuvieron su origen cuando algunos trabajadores
de la central abrieron un fichero adjunto en Microsoft Word que se
aprovechó de algunas vulnerabilidades en las macros.
• Año 2016
En el mes de mayo se producía el, hasta ese momento, mayor ataque
contra la información personal de usuarios pues afectó a 427 millones
de usuarios de la red social Myspace. Dada la demostrada costumbre
de reutilizar nombres de usuario y contraseñas para acceder a
distintos servicios, podemos imaginarnos que los atacantes estaban
muy interesados en obtener esos datos para luego intentar acceder,
por ejemplo, a la web de una entidad bancaria o de alguna red social.
Recordemos cómo fueron comprometidas en 2016 las cuentas de
Twitter y Pinterest del fundador de Facebook, Mark Zuckerberg,
debido a que su contraseña era la misma que la robada en el ataque
a LinkedIn.
Fuga de datos en cuentas de Gmail, Yahoo Mail y Hotmail. En total,
273 millones de usuarios afectados. En la red social LinkedIn, 117
millones de usuarios afectados.
En el mes de septiembre se batió el record mencionado
anteriormente: Yahoo anunció que las cuentas de 500 millones de
usuarios podrían estar comprometidas. Posteriormente, en el mes de
diciembre, la compañía anunció que los afectados por el robo de
información ascendían a 1.000 millones de usuarios, convirtiéndose
en la mayor fuga de datos de la historia.
En las elecciones presidenciales estadounidenses, el servidor de
correo electrónico de la candidata demócrata Hillary Clinton fue
comprometido, así como datos ubicados en los servidores de los
Comités de su campaña de captación de fondos y del Comité Nacional
del Partido Demócrata.
Ataque a la red financiera global SWIFT, que utilizan unas 3.000
instituciones financieras en todo el mundo para transferir millones de
dólares diariamente. Los responsables confirmaron la existencia de
una trama que pretendía aprovechar su plataforma de mensajería
 global, después de conocer el robo cibernético ocurrido en febrero de
81 millones de dólares de la cuenta del Banco Central de Bangladesh
en el Banco de la Reserva Federal de Nueva York.
• Año 2017
El día 12 de mayo se produjo un ataque masivo utilizando un
malware de tipo ransomware denominado WannaCry que aprovechó
una vulnerabilidad conocida como EternalBlue que afectaba a
sistemas Microsoft Windows. Numerosas organizaciones resultaron
afectadas simultáneamente –se ha informado de que solo el día 12 el
ataque tuvo un alcance de unos 230.000 sistemas en 150 países–
concretamente aquellas que no habían aplicado las actualizaciones de
seguridad que Microsoft había publicado unos días después de
anunciar la vulnerabilidad el día 14 de marzo en sus boletines de
seguridad. Las versiones de sistema operativo ya no soportadas por
Microsoft quedaron muy expuestas al riesgo y la compañía creó un
parche de seguridad de emergencia para versiones como Windows XP
o Windows Server 2003.
El día 27 de junio se produjo un ciberataque a nivel mundial derivado
de WannaCry. El código malicioso detectado, conocido como Petya,
era más sofisticado pues intentaba aprovechar vulnerabilidades de
sistemas Microsoft Windows, así como de la suite ofimática Office.
Adicionalmente, si el malware detectaba que el sistema se
encontraba correctamente parcheado contra la vulnerabilidad del
sistema, utilizaba una alternativa basada en la ejecución de la
aplicación Psexec en carpetas compartidas del sistema atacado. Al
igual que en WannaCry, las consecuencias de la infección eran el
cifrado de las unidades de disco y las de red. Aparentemente, el
objetivo era dañar sistemas, pues no se solicitaba rescate para
desbloquear las unidades cifradas.
• Año 2018
En el mes de abril la compañía Facebook admitió que los datos de 87
millones de usuarios de esta red social habrían sido compartidos de
forma inadecuada con la empresa británica Cambridge Analytica, que
los obtuvo de forma irregular y que fueron utilizados posteriormente
para elaborar estrategias electorales durante la campaña de las
elecciones presidenciales de los Estados Unidos de 2016. La empresa
consiguió los datos a través de un psicólogo de la universidad de
Cambridge, quien previamente había obtenido el permiso de
Facebook para solicitar información a sus usuarios a través de la
aplicación My Personality. A través de esta consiguió obtener datos
como biografía, educación, eventos, intereses, religión, ideología
política, ubicación, grupos, páginas o publicaciones consultadas a las
que se habría accedido pulsando la opción Me gusta. Finalmente,
compartió la base de datos con Cambridge Analytica violando las
políticas de protección de datos de Facebook.
 • En el mes de septiembre se produjo una nueva brecha de seguridad
que afectó a Facebook. Los atacantes explotaron una vulnerabilidad
en la función Ver como, que les permitió tomar el control de las
cuentas de los usuarios y obtener información privada. Facebook
reconoció que el incidente afectó a 50 millones de cuentas y que
otros 40 millones estaban en duda. La compañía procedió a
desactivar inmediatamente la función en todas aquellas cuentas que
tenían activada la opción de conectarse a la red social sin necesidad
de introducir nombre de usuario y contraseña.
Pese a las clasificaciones, existe toda una gama de acciones transversales
que son válidas para varias de las categorías expuestas: la ingeniería
social y las redes sociales.
La primera consiste en la manipulación de las personas para que, de forma
voluntaria, realicen actos que pueden suponer un problema a su
organización. La tipología es amplia, desde un correo electrónico que insta a
descargarse una solución antivirus cuando lo que se adjunta es el propio
virus hasta una llamada telefónica de un supuesto componente del servicio
de soporte solicitando la contraseña de acceso a un sistema, son ejemplos
conocidos. Es común que los atacantes tomen ventaja de la confianza de los
usuarios o una predisposición a ayudar mal entendida.
En el caso de las redes sociales, un fenómeno más reciente, la amenaza
puede ser tanto física como lógica. La publicación de mensajes que indican
dónde nos encontramos, quiénes son nuestros contactos, familia o amigos y
lo que hacemos en cada momento puede colocarnos ante un ataque. Aún
más, un atacante podría crearse un perfil social haciéndose pasar por un
tercero. Un conocido que confiara en ese falso perfil pensando que es real,
podría facilitarle información requerida a través de técnicas de ingeniería
social.
Por último, las redes sociales están siendo grandes propagadoras de
malware debido a que pueden intercambiarse programas desarrollados por
los programadores de la propia red. Los atacantes podrían aprovechar
vulnerabilidades para acceder a un gran número de cuentas de usuario y
hacerse con información.
4. Seguridad en redes inalámbricas
Las redes inalámbricas WiFi pueden funcionar de dos formas distintas:
o Ad-Hoc: no es necesario un punto de
acceso que se encargue de la gestión de la
red, cada usuario retransmite la información
que recibe a los otros usuarios.
o Infraestructura: modo en que la gestión
está centralizada en un punto de acceso, así
los datos que un host emite llegan al punto
de acceso y este los transfiere a los otros
usuarios de la red.
Las posibilidades para implantar sistemas de seguridad en este tipo de
redes se resumen en las siguientes:
• ESSID: Con este sistema es necesario conocer el valor de ESSID
(Extended Service Set Identifier, código que identifica a la red
inalámbrica) para poder conectarse a la red.
• Filtrado de direcciones MAC o IP: el router wifi puede almacenar
un listado con los terminales que tengan una dirección MAC o IP
determinada, autorizadas para conectarse a la red.
En el caso particular de redes abiertas no se solicita ningún dato
para acceder a ellas y las comunicaciones entre los usuarios y los
puntos de acceso se realizan sin ningún tipo de sistema de
autenticación o cifrado.
En este tipo de redes, las medidas de seguridad a implementar se
basan solo en estas dos expuestas (ESSID y filtrado de direcciones
MAC e IP); es decir, en limitar el acceso no autorizado al sistema,
pero no impiden que se puedan espiar las comunicaciones, por lo que
es posible obtener la información intercambiada entre terminales y
los puntos de acceso (como contraseñas).
• WEP (Wired Equivalent Privacy): primer estándar de seguridad para
redes inalámbricas, actualmente está en desuso. Basado en el cifrado
de las comunicaciones, de forma que si estas se capturan solo se
obtiene una serie de bytes sin sentido. Se utiliza una clave secreta
compartida por todos los participantes de la comunicación y que se
emplea para cifrar la información enviada. Es importante tener en
cuenta que no se debe usar WEP para proteger una red inalámbrica si
se tiene otra alternativa, su protección es demasiado débil.
• WPA (WiFi Protected Access): sistema que surgió para corregir las
limitaciones del WEP. Introdujo mejoras de seguridad como el TKIP
(Temporal Key Integrity Protocol) que varía por sí solo la contraseña
WiFi cada cierto tiempo. Su variante habitual es WPA-Personal, que
usa el sistema PSK, o de clave precompartida, en el que todos los
usuarios de la red inalámbrica tienen una misma contraseña que el
propio usuario define.
• WPA2: es el estándar más moderno para proteger redes
inalámbricas y el que recomienda la WiFi Alliance. Existe también una
versión personal (WPA2-Personal) y empresarial (WPA2-Enterprise).
• DHCP (Dynamic Host Configuration Protocole): permite asignar los
valores necesarios para la comunicación en la red (IP, máscara de
subred, puerto de enlace, DNS) de forma automática.

Para acceder a nuestro router, accedemos vía http a 192.168.1.1 y nos pide
el usuario y contraseña que suele ser:
Usuario: admin
Contraseña: admin

Y al iniciar sesión ya estamos dentro de la configuración del router, lo cual

es un grave fallo de seguridad.

5. Herramientas de seguridad
Toda implantación de seguridad recogida en las políticas y procedimientos
contemplará unas medidas de protección siendo importante destacar:
− Protección de instalaciones e infraestructuras.
− Gestión del personal.
− Protección de los equipos.
− Protección de las comunicaciones.
− Protección de los aplicativos.
− Protección de la información.

Protección de instalaciones e infraestructuras

En la protección de instalación e infraestructura destacamos:
A. Identificación del personal. En las áreas de acceso restringido se
debe mantener una relación de personas autorizadas y un sistema de
control de acceso que verifique la identidad y la autorización que deje
registro de todos los accesos.
B. Acondicionamiento de los locales. Se debe disponer de unas
instalaciones adecuadas para el eficaz desempeño del equipamiento
que se instala en ellas. Los locales deben garantizar la temperatura
adecuada para los sistemas e infraestructuras respetando las
recomendaciones específicas de los fabricantes.
 C. Energía eléctrica. Se debe implantar medidas para atajar los
problemas de corte inesperado del suministro eléctrico.

El Sistema de Alimentación Ininterrumpida, SAI, es una unidad

de conversión de energía eléctrica que proporciona corriente
alterna de alta calidad. La elección del SAI debe estar justificada
por una comparación del coste total asociado a la implantación
y a su explotación, con los costes y repercusiones causadas por
la ausencia de funcionamiento de los equipos informáticos, así
como con los diversos costes de obtención, mantenimiento y
explotación de fuentes de energía alternativa.

D. Protección ante incendios. Se debe elaborar un estudio de riesgo

de incendio, tanto de origen industrial como natural. Como en todos
los casos anteriores sería necesario documentar todas las medidas de
seguridad de cara hacer una implantación que nos garantice la
infraestructura.
E. Protección ante inundaciones. Se deben considerar como
salvaguardas mínimas: aislamientos frente a humedades, desagües
en caso de desastre y la correcta detección con empresas externas
conectadas 24x7.

Gestión del personal

La gestión del personal toma una gran importancia en la implantación de la
seguridad, ya que son dichas personas las que disponen de acceso a la
información y las que podrían poner en riesgo su contenido o
confidencialidad.
La información debe estar a disposición constante de los usuarios con el fin
de cumplir con las medidas de seguridad incluyendo las medidas
disciplinarias.
✓ Concienciación: la concienciación como hemos visto en varios
marcos, es de especial importancia ya que de ella depende el alcance
de los niveles exigidos por la organización.
✓ Caracterización del puesto de trabajo: define las
responsabilidades por cada puesto de trabajo en materia de
seguridad. Se debe realizar tanto para el personal interno de la
organización como para el personal externo que se encuentre
desplazado en la misma.
✓ Formación: no es del todo importante documentar en el plan la
formación que se dará a los usuarios, pero sí, el contenido que se
exige en la compañía como:
o Configuración de los sistemas.
 o Gestión de las incidencias.
o Procedimientos de otros aspectos.
La formación debería actualizarse siempre que haya cambios
relevantes a la seguridad.

Protección de los equipos

− Bloqueo de puesto de trabajo. Dentro de la protección de los
equipos, también tenemos que tener en cuenta el procedimiento de
bloqueo de cuentas. Este procedimiento contemplará los tiempos de
inactividad que marcarán a su vez cuándo se bloqueará la cuenta del
usuario, evitando así la usurpación del puesto poniendo en riesgo la
seguridad de la información.
− Protección equipos portátiles. Los equipos portátiles, a diferencia
de los equipos físicos, tienen mayor nivel de riesgo por lo que el nivel
de seguridad debe ser más elevado. Debemos documentar las
configuraciones extras que implantaremos como, por ejemplo,
cortafuegos, conexiones VPN, herramientas de encriptación, políticas
de salvaguardas adicionales, etc. Las medidas más frecuentes que
auditaremos son:
o La comprobación regular de la custodia del equipo entregada al
usuario.
o La protección de la información por medios criptográficos.
o La política de contraseñas.
o La gestión del cambio.
− Medios alternativos. Los medios alternativos son de un nivel medio
de importancia, ya que son usados cuando los medios habituales
fallan. Se debería de establecer unos tiempos máximos para que los
equipos alternativos entren en funcionamiento. Estos equipos pueden
estar dispuestos para entrar en funcionamiento inmediatamente,
siempre y cuando la información sea igualmente accesible con el fin
de sufrir el menor de los impactos.

Protección de las comunicaciones

− Protección de la autenticidad e integridad. Antes del intercambio
de información se debe establecer la seguridad fehaciente de la
autenticidad de las partes que intervienen en el intercambio de
información. La utilización de protocolos que garanticen estas
actuaciones debería estar documentada en todo momento y
autorizada por el administrador de seguridad. Existe a nivel técnico
gran número de protocolos, siendo el más utilizado a nivel de
seguridad la implantación de una red privada virtual que:
o Garantiza la autentificación de ambas partes.
 o Controla el tiempo y la sesión establecida.

Una conexión de acceso remoto es realizada por un usuario que

se conecta a una red privada (VPN, Virtual Private Network). La
información enviada a través de una conexión VPN es originada
en el usuario de acceso remoto, que se identifica con el servidor
de acceso y, a su vez, este se autentifica ante la red privada.
Una VPN requiere de permisos de autorización, basados en
servicios de autenticación, para realizar esta operación.

− Protección de los soportes de información. En el plan de

implantación debemos aportar toda la información relevante
(soporte, modelo, número de serie, sistema operativo, ...) a los
soportes de información accesibles por los usuarios, tales como:
o PDAs.
o Móviles y sistemas de cámaras, música…
o Disquetes.
o Cintas.
o CD.
o DVD.
o DISCOS USB Extraíbles.
o Tarjetas inteligentes de memoria.
o Discos de los servidores, equipos de usuario final, con especial
consideración a equipos portátiles y discos removibles.
o Componentes de impresión.
− Criptografía. La opción que aporta la criptografía es la de
asegurarse que los datos se protegen antes de la copia al soporte, es
decir, se cifran o se firman exteriormente al propio soporte.
Otra opción posible es proteger todo el soporte de información
instalando un disco virtual que se encarga de acoger toda la
información, así como controlar el acceso al mismo. En este caso, los
usuarios accederían a dicho disco virtual, evitando los múltiples
soportes adicionales existentes.
− Custodia. Se debe aplicar la debida diligencia y control a los
soportes de información que permanecen bajo la responsabilidad de
la organización. Se considerará evidencia suficiente del cumplimiento
de esta medida:
o Categoría BÁSICA: existe un inventario exhaustivo de todos los
soportes de información usados, en ocasiones indicando su
etiqueta, su ubicación física y quién es el responsable del
mismo.
 o Categoría MEDIA: se conserva la historia de cada dispositivo,
desde su primer uso hasta la terminación de su vida útil.
o Categoría ALTA: se verifica regularmente que el soporte
cumple las reglas acordes a su etiquetado.
− Borrado y destrucción. En el plan de implantación, los mecanismos
de borrado toman un nivel medio de importancia ya que pueden
contener diferente información relevante o no en la gestión
empresarial. Por eso identificaremos en todo momento los datos de
información que contienen y así aplicamos los mecanismos y
salvaguardas correspondientes.

Protección de los aplicativos

Es importante que, a la hora de la implantación, editemos correctamente la
política de protección de aplicaciones, dando importancia a:
o Las garantías de la protección de la información.
o Control de acceso al código fuente de las aplicaciones.
o Protección de datos en pruebas.
o Desarrollo externalizado.
Realizaremos las pruebas estándar de aceptación para la integración de un
nuevo software en un proceso, esta medida debe ser catalogada de
importancia básica.

Protección de la información
Se deben desarrollar procedimientos para los siguientes aspectos:
✓ Cómo se controla el acceso: mecanismos de control de autorización.
✓ Control de copias en medios.
✓ El marcaje de documentos.
✓ Soportes de información, inventario, el marcaje de documentos,
borrado y control de la destrucción.
✓ Control de la impresión: dónde podemos imprimir, quién puede
imprimir…
✓ Control del trasporte físico: mensajeros, autorizaciones de salida y
recepción de los documentos.
✓ Control de las comunicaciones, la autenticación y el cifrado.
 A la hora de la implantación debemos asegurarnos de que el documento
de seguridad contenga las medidas establecidas en el Reglamento
General de Protección de Datos (RGPD), que es el reglamento europeo
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de sus datos personales y a la libre circulación de estos
datos. También, por tanto, debemos atender a lo establecido en la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales
y garantía de los derechos digitales, que adapta dicho Reglamento al
ordenamiento jurídico español.

Como es evidente, todo plan de seguridad contemplará las copias de

seguridad de la información las cuales nos permitan recuperar los datos
perdidos accidentalmente e, incluso en ocasiones, intencionadamente.
Para ello elaboraremos un formulario que incluiremos en el plan, el dónde,
cómo y quién podrá recuperar la información de primera mano. Se
especificará dónde se almacenará la información una vez restaurada y, por
supuesto, bajo el cumplimiento de las medidas de control de acceso.

5.1. Control de acceso de los usuarios al sistema operativo

Toda política de seguridad contempla el alta, baja y modificación de
usuarios como unas tareas imprescindibles para garantizar el correcto
mantenimiento de la seguridad.
Los principales aspectos que cubre esta gestión son:
• Alta y bajas de usuarios.
• Mantenimiento de usuarios.
• Configuración de privilegios en los usuarios.

Un usuario que pertenece al departamento Facturación, por ejemplo,

debería estar metido dentro del grupo con el mismo nombre, y no debería
poder acceder a la carpeta de red de Recursos Humanos. Aunque esto
siempre dependerá de la política de la empresa.
 Permisos de acceso
Propiedades de usuario

5.1.1. Registro de usuarios

El acceso a los equipos con sistemas operativos debe controlarse
mediante procedimientos de registro seguro de los usuarios. Los
mecanismos de registro deben funcionar de tal manera que sean capaces de
limitar las opciones de accesos no autorizados y facilitar la trazabilidad de
aquellos que sí lo son. A continuación, se especifican algunas pautas para
realizar un buen procedimiento de control de acceso:
✓ Hasta que no se haya completado con éxito el proceso de registro no
se debe mostrar identificadores de sistema o aplicación.
✓ La pantalla debe mostrar una advertencia donde se muestre la
prohibición de acceso al equipo por personal no autorizado.
✓ La aplicación no debe dar mensajes de ayuda, ya que pueden facilitar
el acceso a personas no autorizadas.
✓ Solo validaran la información de registro de acceso después de
completar toda la entrada o salida de datos.
✓ Se debe limitar el número de intentos de acceso y el tiempo máximo
para el procedimiento de registro.
✓ Cuando se realiza correctamente el registro de acceso se deben
mostrar la siguiente información: fecha, hora y los detalles de
cualquier intento de acceso fallido desde último registro correcto.
✓ Nunca se debe mostrar la clave secreta que se ha introducido, es
posible ocultar los caracteres por símbolos.
La primera medida importante para mantener la seguridad informática y de
la información, es habilitar el inicio seguro que da lugar a una variedad de
conexiones seguras para el inicio de la sesión del usuario en el sistema
operativo (por ejemplo, en el sistema operativo Windows, obligando a
pulsar CTRL+ALT+SUPR.
Ejemplo de activación de inicio de sesión seguro Ctrl-Alt-Supr.

El uso del inicio de sesión seguro ofrece otro nivel adicional de seguridad
para el equipo. Cuando se habilita este tipo de inicio de sesión, ningún otro
programa, ya sea malicioso o no, puede interceptar el nombre de usuario y
contraseña a la hora de su escritura.

5.1.2. Autentificación de usuarios

La autenticación es el proceso de detectar y comprobar mediante las
credenciales de usuario y validación, la identidad de una o varias personas.
Podemos decir que la identidad de un usuario es el conjunto de
características únicas e irrepetibles que le permiten distinguirse de otros
individuos de su mismo colectivo. Los posibles factores que ayudan a la
identificación de un
usuario pueden ser:

• Intrínsecos:
dependencia de
la naturaleza
del usuario.
 • Extrínsecos: dependencia de propiedades externas.

Los dos sistemas de identificación más empleados en la actualidad son los

basados en sistemas de usuario/contraseña o bien, en algunos casos donde
la demanda de seguridad es mayor, en los diferentes sistemas biométricos.
Contraseñas
El mecanismo más utilizado en la actualidad para la identificación de
usuarios está basado en el nombre de usuario (login) y contraseña
(password). De este modo a cada usuario se le asignará un identificador
asociado a una contraseña que permitirá verificar la identidad correcta en el
proceso de autenticación. Para ello las contraseñas han de cumplir con unos
mínimos requisitos los cuales deberán estar definidos en la política de
contraseñas del sistema como, por ejemplo:
• Tamaño mínimo de contraseña: con un mínimo de caracteres que
deberá contener. Recomendación: Entre 8 y 16 caracteres. Un
mínimo de 8 caracteres no es aconsejable ni aceptable en la mayoría
de los sistemas informáticos. A mayor longitud, mayor complejidad.
• Caducidad de contraseña: establecer un periodo de contraseña
antes de que se caduque. Recomendación: la caducidad dependerá
de la importancia de la cuenta. Por lo general, para usuarios
genéricos la caducidad podrá ser cómo máximo de 90 días. Para
usuarios con accesos críticos la caducidad será de 30 a 40 días.
• Limitación de repetición de contraseña: evitamos así que puedan
volver a poner la misma o parecida contraseña. Recomendación: se
configurará en torno a 20 repeticiones como política para volver a
poner la misma contraseña.
• Combinación de caracteres: evitando la repetición de secuencia de
caracteres. Recomendación: construir las contraseñas mezclando
caracteres alfabéticos (combinación de mayúsculas, minúsculas,
 dígitos, caracteres especiales tipo @, +, $...). La contraseña no debe
de contener nombres de usuarios de la cuenta, tampoco serie de
letras o números adyacentes (qwertyio, 12345678, abcdef123…).
Siguiendo e implantando las recomendaciones anteriores, construimos
contraseñas fuertes y robustas evitando así que sea fácil de vulnerar. Una
contraseña débil sería la contraseña fácil de recordar, corta, con caracteres
relacionados con datos personales del usuario como nombres propios,
fechas de cumpleaños…. Aun así, también hay que tener en cuenta que una
contraseña fuerte puede ser robada o extraída mediante mecanismos de
hacking, como la captura de datos del teclado con programas malware
orientados a ello.
El factor humano es uno de los puntos más débiles de la seguridad
informática. Sin la cooperación, concienciación y ayuda de los usuarios toda
política o procedimiento quedará seriamente en riesgo. Los usuarios deben
ser conscientes y aplicar normas de seguridad tales como:
− Cambiar la contraseña asignada, por defecto, desde un inicio.
− No anotar contraseñas.
− No guardar contraseñas en archivos o documentos sin cifrar.
− La contraseña solo debe ser conocida por el usuario y en casos
excepcionales el conocimiento de terceros.
− Cambiar la contraseña lo antes posible si se detecta que la
contraseña ha sido comprometida o se han detectado cambios no
realizados por el usuario.
Debemos controlar en todo momento el fichero de contraseñas con el fin de
garantizar la confidencialidad e integridad de la organización. Como norma
se debería evitar incluso que los propios administradores tengan y/o
conozcan las contraseñas de usuarios.

Sistemas biométricos
Otro sistema de autenticación de elevada sofisticación es el basado en
sistemas de identificación biométrica. Actualmente existen diversos tipos de
sistemas biométricos, dependiendo de las características físicas o de
comportamiento empleadas para determinar la identidad de la persona.
Algunos de los más relevantes son:
▪ Reconocimiento de voz: las ondas sonoras de la voz del usuario
permiten autenticarle en el sistema.
▪ Firmas manuscritas: la identificación se realiza mediante el
reconocimiento de firma del usuario. Todo usuario deberá de tener
una firma propia la cual tendrá diversas características dinámicas
para garantizar la autenticación, tales como el tiempo empleado en
realizar la firma, el nº de veces que ser separa el bolígrafo del papel,
el ángulo, presión…
 ▪ Huella dactilar: estos sistemas suelen ser más baratos respecto al
resto existente en el mercado, siendo uno de los sistemas
biométricos más utilizados.
▪ Reconocimiento facial: esta técnica recrea una imagen facial a
partir de atributos, como la colocación de la nariz, distancia entre
ojos, cejas, tamaño de boca. Este sistema no es utilizado de manera
habitual, no obstante, se están realizando importantes avances en su
desarrollo y está siendo considerado como posible medio de
autenticación por diversos fabricantes, por ejemplo, de dispositivos
de telefonía móvil.
▪ Análisis del fondo del ojo: la distribución de los vasos sanguíneos
de la retina humana es otro elemento característico de cada
individuo, circunstancia que también ha motivado su utilización como
elemento base de otra familia de sistemas biométricos. Se trata de
un sistema caro, aunque de los más efectivos por su alta fiabilidad.
Sin embargo, muchos usuarios lo han rechazado por considerarlo
demasiado intrusivo.
▪ Análisis del iris: el iris humano está compuesto por una estructura
compleja siendo única por persona e inalterable de por vida. Este
sistema ya está siendo utilizado por algunas empresas para el control
de acceso, aunque aún permanece en un estado de uso potencial
generalizado.

5.2. Gestión segura de comunicaciones, carpetas y otros

recursos compartidos
5.2.1. Gestión de carpetas compartidas en la red
Cuando hablamos de un entorno corporativo es muy importante poder
compartir la información. Son los administradores de sistemas quienes
deben proporcionarnos el acceso a carpetas compartidas con distintos
niveles de privilegios según el cargo que ocupemos en la organización, es
decir, si un usuario pertenece al departamento de Recursos Humanos,
debería tener acceso a la carpeta RR.HH. pero no a la carpeta de
Contabilidad.
Son varias las ventajas de poder compartir carpetas a través de la red:
− Pueden abrir, modificar, guardar y borrar archivos y subcarpetas
como si estuviesen guardados localmente.
− Acceder a la documentación en una red aporta un aumento de
productividad inmediato.
Más importante que compartir carpetas en sí mismo, es hacerlo
correctamente ya que no todo el mundo debe tener acceso a todo, por lo
que hay que controlar la correcta configuración a nivel de permisos de
usuarios. No hacerlo correctamente nos puede ocasionar consecuencias
negativas, como pueden ser el descubierto de datos confidenciales y tener
importantes consecuencias como altas sanciones económicas por
incumplimiento de Ley Orgánica de Protección de Datos.
Aparte de carpetas, se comparten otros recursos, como son discos,
servidores, cámaras o impresoras y por una mala configuración pueden ser
vistas por cualquiera que tenga interés en hacerlo. También la red interna
puede ser un medio de infección de virus o malware, que se pueda propagar
por las carpetas compartidas.
Por estos motivos, se hace especial hincapié en la correcta configuración a
la hora de compartir cualquier recurso en nuestra red siendo
responsabilidad del Administrador o en su defecto del usuario final. Es
bueno recordar los siguientes consejos de seguridad:
✓ Compartir solo lo necesario, se puede compartir una carpeta y
bloquear acceso a subcarpetas.
✓ Asignar permisos en base a la necesidad de usuario y/o grupos, así
como el tipo de permisos, lectura y escritura.
✓ Hay que tener cuidado con aplicaciones P2P (Ares, eMule, etc.) ya
que comparten directorios. Tenemos que controlar el directorio que
compartimos en esos programas.
✓ Instalar y configurar correctamente antivirus y firewalls, gestionando
de forma adecuada los puertos de entrada y salida.
✓ En caso de equipos portátiles, hay que tener cuidado si nos
conectamos en redes públicas, ya que no sabemos qué es lo que hay
detrás de esas redes.
✓ En estos equipos también deberíamos añadir una contraseña de inicio
de sesión, (por si perdemos el equipo) y encriptar las carpetas con
información confidencial.

5.2.2. Tipos de accesos a carpetas compartidas

Podemos establecer diferentes tipos de permisos y a diferentes niveles. Por
ejemplo, si partimos de una estructura de carpetas como la mostrada en la
siguiente imagen:
Podemos establecer que determinados usuarios accedan con permisos de
solo lectura a la carpeta de Administración, pero con accesos de escritura a
las carpetas Contratos y Facturas. O tal vez, concederle permisos de
escritura a Administración, solo lectura a Contratos y sin acceso a Facturas.
Todo esto se consigue desactivando la opción de “permisos heredados” en
los servidores. Los permisos heredados replican los permisos a las
subcarpetas. Desactivando esta opción por cada carpeta, se consigue mayor
control a nivel de accesos.

Pestaña Permisos Pestaña Seguridad

5.2.3. Compartir impresoras

Hay impresoras que traen su propia tarjeta de red y en lugar de conectarse
a un equipo se conectan a un switch y se puede acceder a ella utilizando un
CD de instalación que detecta la impresora a través de su dirección IP. Si
queremos simplificar esto, o simplemente nuestra impresora no tiene
tarjeta de red, podemos conectarla a un equipo (o servidor) y compartirla.
Cuando esta operación se hace en un servidor las opciones de establecer
funcionalidades se multiplican, ya que se pueden llegar a establecer los
siguientes permisos y opciones:
 − Que los usuarios puedan añadir la impresora.
− Que los usuarios puedan modificar configuraciones, cancelar
documentos.
− Los drivers para los sistemas operativos soportados.
− La plataforma de los drivers, en función del sistema operativo.
Otra de las ventajas de compartir las impresoras es la facilidad de
instalación, es decir, no hace falta disponer del CD de la impresora,
simplemente deberíamos acceder por red al servidor donde está instalada y
darle a la opción de conectar.

Por ejemplo, en Windows, activando el menú ejecutar y escribiendo

\\nombreServidor\ nos aparecería todo lo que tiene compartido
nombreServidor. Seguidamente nos colocaríamos sobre la impresora, botón
derecho, conectar, y automáticamente se nos añadiría a nuestro equipo.

Menú Ejecutar

Conectar impresora

5.3. Protección frente a código malicioso

5.3.1. Antivirus
El antivirus es un programa que intenta proteger
los ordenadores y redes de todo tipo de código
malicioso. Existen antivirus especializados para
diferentes entornos, como pueden ser servidores
de correo, de ficheros, etc. Un antivirus revisa
todos los ficheros que llegan al equipo y lo bloquea
si puede ser malicioso.
Por lo general, existen dos métodos de identificación de virus por parte de
un antivirus, el primero consiste en analizar partes del código malicioso con
la base de datos de firmas de antivirus de las que dispone el programa
antivirus (en constante actualización) y, si coinciden, lo detectará como
amenaza.
Existe un código que se utiliza para probar los antivirus, se llama Archivo
EICAR, simplemente lo tenemos que guardar en un fichero de texto y
analizar dicho fichero, este es el código:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-
TESTFILE!$H+H*
Pegamos en un fichero de texto y lo guardo, al analizar el fichero el
antivirus lo marca como amenaza.

El otro método consiste en analizar el comportamiento del fichero cuando lo

ejecutamos, buscando acciones extrañas, como puede ser infectar otros
ficheros, formateo del disco duro, acceso a ficheros… Esto nos puede indicar
que algo extraño está ocurriendo, pero no nos identifica qué virus es.

5.3.2. Cortafuegos (firewall)

Los cortafuegos, o firewall (FW), son sistemas que nos permiten implantar
políticas de seguridad y control de acceso entre redes, con el fin de permitir
o denegar el tráfico total o parcial de las comunicaciones, según su lugar de
procedencia, el tipo de servicio que solicita, etc.
Estos dispositivos se implantan entre el acceso a una red interna que
consideramos segura y otra red externa o insegura como puede ser
Internet, controlando así el tráfico que se intercambia entre ambas. Este
control se puede realizar de las siguientes maneras:
▪ Por servicio.
▪ Por usuario.
▪ Por dirección del dispositivo de
origen.
▪ Por dirección del dispositivo de
destino.

Clasificación según ubicación y funcionalidad

En una primera vista, podemos distinguir a los Firewall de acuerdo a las
características del sistema donde se encuentre implantado y las necesidades
que tengamos que cumplir. Principalmente podemos distinguir dos tipos de
Firewall:
• Cortafuegos de software: el cortafuegos se ejecuta como si fuera
una aplicación más (antivirus, P2P, reproductor media…) siempre en
un sistema operativo compartido (Unix, Linux, Windows, etc.) Entre
los más conocidos tenemos Microsoft ISA Server.
• Cortafuegos de hardware: estos cortafuegos están compuestos por
dispositivos hardware, que habitualmente usan su propio sistema
operativo. Los fabricantes de firewall más relevantes del mercado
son: Checkpoint, Stonesoft, Fortinet, Sophos, SonicWall… Estos
presentan menos vulnerabilidades que los cortafuegos de software ya
que sus sistemas cerrados, diseñados específicamente con funciones
más completas, hacen que estos sistemas tengan mayor rendimiento
y sean más robustos en general.

Clasificación según el modo o nivel de operación

Otra clasificación se puede basar en el modo o nivel de operación del
firewall visto desde el modelo de capas OSI, distinguiendo en este caso
entre:
− Firewall a nivel de red o de filtrado de paquetes (trabajan en las
capas 2, 3 y/o 4).
− Firewall a nivel de aplicación (trabajan en las capas 5,6 y/o 7).
Habitualmente, se debe tener en cuenta que cuanto más bajas sean las
capas en las que el firewall trabaje, su evaluación y análisis será más rápido
y transparente pero su capacidad de acción frente ataques complejos será
mucho menor.

Clasificación según generaciones de disponibilidad

La industria, a su vez, suele hacer una clasificación de firewalls más amplia
basada en las distintas generaciones de estos dispositivos:
 Las dos primeras generaciones están formadas por firewall de red con
una diferencia fundamental entre ellas: que tengan en cuenta o no
información del estado de la conexión a la hora de evaluar las reglas.
 La tercera generación está orientada a filtrados a nivel de aplicación.
 La cuarta generación vuelve al nivel de red y está orientada al filtrado
dinámico de paquetes.
 La última generación de firewall se refiere a los firewall híbridos, los
cuales pueden situarse simultáneamente en más de una de estas
categorías.

5.3.3. Antimalware
El término malware proviene de malicious software, código maligno,
software malicioso o software malintencionado. Es un tipo de software que
tiene como objetivo infiltrarse o dañar el sistema operativo sin el
consentimiento de su propietario. El término malware es muy utilizado por
profesionales de la informática para referirse a una variedad de software
hostil, intrusivo o molesto. El término virus informático suele aplicarse de
forma incorrecta para referirse a todos los tipos de malware, incluidos los
virus verdaderos.
Los tipos de malware más empleados los podemos clasificar en las
siguientes categorías: Adware, Spyware o Hijacking.
❖ Un programa de clase Adware es cualquier programa que
automáticamente muestra publicidad web al usuario durante su
instalación o durante su uso para generar lucro a sus autores. ‘Ad’ en
la palabra ‘adware’ se refiere a ‘advertisement’ (anuncios).
❖ Algunas veces, el malware es considerado como spyware (espía),
cuando fuerza al usuario a usar un determinado buscador web ya que
podría ser utilizado para monitorear la actividad del usuario. Esto ha
provocado críticas de los expertos de seguridad y los defensores de la
privacidad.
❖ Hijacking significa “secuestro” en inglés y en el ámbito informático
hace referencia a toda técnica ilegal que lleve consigo adueñarse o
robar algo (generalmente información) por parte de un atacante.
Como puede ser el secuestro de una conexión TCP/IP, por ejemplo,
durante una sesión Telnet permitiendo a un atacante inyectar
comandos o realizar un ataque de denegación de servicio durante
 dicha sesión (IP hijakers). También puede producirse un secuestro de
la página de inicio del navegador cambiando la página de inicio de
nuestro navegador por otra a interés del secuestrador (Home Page
Browser hijacking).

Como medidas de protección frente al malware suele haber programas

específicos, sin menospreciar otras interesantes herramientas, como puede
ser “Spybot- Search & Destroy” http://www.safer-networking.org/dl/ o
“Antimalwarebytes” http://es.malwarebytes.org/ que permiten eliminar este
tipo de Malware.
Resumen
La seguridad de los sistemas de información podría definirse como su
capacidad de resistir, con un determinado nivel de confianza, los accidentes
o acciones ilícitas que comprometan la confidencialidad, integridad,
disponibilidad y autenticidad de la información y servicios que se gestionan.
Cuando se busca proteger el hardware, redes, software, infraestructura
tecnológica o servicios, nos encontramos en el ámbito de la seguridad
informática o ciberseguridad. Cuando se incluyen actividades de seguridad
relacionadas con la información que manejan las personas, seguridad física,
cumplimiento o concienciación, nos referimos a seguridad de la información.
Para la gestión de la seguridad informática, debemos considerar llevar a
cabo una serie de pautas para cuidar de nuestra infraestructura y equipos
informáticos, los cuales, por lo general, sustentan la información y procesos
de negocio: protección perimetral frente a accesos externos, concienciación
de los usuarios, control de acceso a Internet o implementar servicios
antispam.
Por software dañino, o código malicioso, se entiende cualquier software que
pueda causar daño a un sistema de información. Al código malicioso se le
conoce habitualmente con el término inglés malware. Este hace referencia a
programas que se instalan en un sistema, habitualmente de forma
encubierta, con la intención de comprometer la confidencialidad, integridad
o disponibilidad de dicho sistema, de aplicaciones, de datos o, simplemente,
para molestar o perjudicar a un sistema víctima. Según su propagación se
puede clasificar en virus, gusanos o troyanos; según las acciones que
realiza podemos clasificarlo como software malicioso no dañino (spyware,
adware, cookies, hijacking, jokes, hoaxes) o dañino (ransomware,
rogueware, password stealer, bombas lógicas, rootkits, keyloggers,
inyección de código).
Algunas de las tecnologías que podemos utilizar para mantener a salvo
nuestra información, al menos de forma preventiva, son las siguientes:
firewalls, IDS (Intrusion Detection System), administración de cuentas de
usuario, antivirus, anti-spyware, actualizaciones del sistema operativo,
actualizaciones de software de uso común (java, flash, etc.), SSL (Secure
Sockets Layer), infraestructura de llave pública (PKI), accesos biométricos,
firma digital, recuperación de datos, cifrado, VPN (Red Privada Virtual),
cumplimiento de la privacidad, acceso remoto, EDI (Intercambio Electrónico
de Datos), monitorización de servicios y logs o utilización de técnicas de
informática forense.