UA 7: Navegador seguro.

Certi cados

UA Unidad de aprendizaje
Navegador seguro. Certificados
7

Objetivos

Objetivos generales
Conocer la seguridad que ofrecen los navegadores web.
Distinguir los tipos de certificado digital.

Objetivos específicos
Solicitar un certificado digital de tipo persona física.
Describir la tarjeta criptográfica y el token USB, sus características y diferencias.
Identificar ataques de tipo DoS/DDoS.

Mapa conceptual o esquema de contenidos

1 Conocimientos previos.

2 Navegador seguro

3 Certificados

4 Anexo. Tarjetas criptográficas y token USB

4.1 Tarjetas criptográficas
4.2 Tokens USB

5 Técnico. ¿Qué es un ataque de denegación de servicio (DoS)?

6 Anexo. Referencias

7 Anexo. DNI electrónico (eDNI)

Introducción
En unidades anteriores hemos visto la importancia de mantener un equipo protegido frente a todo tipo de
ataques y una de esas medidas de protección se basa en el criterio del usuario para determinar cuándo accede
a páginas ilegítimas o descarga contenido malicioso.

Puesto que en internet es difícil identificar con quién estamos tratando, se han desarrollado métodos para
asegurarnos de que una persona o entidad es quien dice ser: los certificados digitales.

Estos ofrecen confianza tanto a los usuarios como a las entidades y permiten que sea posible realizar gran
variedad de acciones, como la compraventa online.

A lo largo de esta unidad, veremos cómo Antonio se adentra en este ámbito y nos enseña los distintos tipos de
certificados y cómo solicitarlos.
 UA 7: Navegador seguro. Certi cados

1. Conocimientos previos.
Para poder estudiar esta unidad al completo, es necesario repasar o conocer ciertos conceptos que serán clave
para el desarrollo de la misma.

Un término sobre el que gira la mayor parte de la unidad es el phishing.




 Definición

Phishing o suplantación de identidad

Es un método de ingeniería social por el cual un atacante, o phisher, se hace pasar por otra persona o
entidad con el fin de obtener información importante de la víctima (contraseñas, cuentas bancarias,
tarjetas de crédito, etc.). La mayoría de estos ataques se realizan mediante correo electrónico o en
páginas de publicidad maliciosa.

Tomando el término anterior, nace la necesidad de certificar a las personas o entidades de ser quienes dicen
ser. Para ello, se utilizan prestadores de servicios de certificación, los cuales tienen la potestad de expedir
certificados electrónicos o servicios relacionados con la firma electrónica.

Finalmente, como veremos según vayamos avanzando en la unidad, se hará referencia a la tecnología NFC o
near-field communication. Este tipo de tecnología inalámbrica y de corto alcance permite el intercambio de
datos entre dispositivos; un ejemplo del uso de esta tecnología podemos encontrarlo en las tarjetas de crédito o
en los smartphones.
 UA 7: Navegador seguro. Certi cados

2. Navegador seguro




Muchas de las extensiones de seguridad vistas en unidades previas son compatibles con más de un
navegador. Sabiendo esto, Antonio quiere comprobar qué navegador ofrece mayor seguridad para
posteriormente instalar las extensiones necesarias.

Ya hemos hablado en unidades anteriores sobre la importancia del uso de extensiones que proveen de una
capa de seguridad adicional durante la navegación, pero en esta ocasión trataremos la seguridad base que
ofrecen los navegadores.

Internet expone a los usuarios a una amplia variedad de peligros y amenazas entre las que encontramos la
suplantación de identidad, el rastreo de actividad, estafas económicas, descarga e instalación de programas
maliciosos, etc.

Para facilitar a los usuarios una navegación segura y prevenirlos de estas amenazas, los desarrolladores de
navegadores web incluyen funciones de seguridad y actualizaciones constantes.

A continuación, analizaremos distintos navegadores enfocándonos en el ámbito de la seguridad:

1 2 3

Microsoft Edge Google Chrome Mozilla Firefox

Opera

1. Microsoft Edge
Cuenta con una función No Rastrear que solicita a los sitios web a los que se accede que no rastreen
la ubicación ni la actividad del usuario (aunque la realidad es que la mayoría de estas webs no
cumplen dicha solicitud). También cuenta con la función de navegación privada que impide a los sitios
web obtener la información señalada anteriormente, y esta vez de forma eficaz.
 Adicionalmente, es capaz de detectar sitios web maliciosos de forma más eficaz que sus
competidores.

2. Google Chrome
De la misma forma que Microsoft Edge, Google Chrome ofrece una función de navegación privada
(modo incógnito) que impide a los sitios webs recabar información sobre el usuario. También cuenta
con funciones de navegación segura y sandboxing que protege al usuario de sitios web maliciosos.

3. Mozilla Firefox
Provee al usuario de la función de seguridad Linux Sandboxing que previene de posibles ataques por
parte de hackers. Cuenta con protección de rastreo y navegación privada y su Centro de Control
Mejorado permite al usuario configurar distintas opciones de privacidad durante la navegación.

4. Opera
Los puntos fuertes de este navegador respecto a la seguridad en la red se basan en la incorporación
de un bloqueador de anuncios de forma nativa (deshabilitado por defecto) y en la incorporación de
una red VPN que permite a sus usuarios navegar de forma anónima por la red.



 Actividad colaborativa 12

Es el momento de realizar la siguiente Actividad colaborativa. No obstante puedes seguir estudiando la

unidad didáctica y realizar esta actividad en otro momento que te sea más favorable.

En esta actividad deberás indicar cuál crees que es el aspecto de seguridad nativo de un navegador más
importante y qué navegador o navegadores cuentan con él. Además, deberás indicar cuál es el
navegador que usas con mayor frecuencia y si cambiarías de elección después de haber leído el
apartado anterior.

Comparte la solución con tus compañeros/as en el foro de la unidad.

Para realizar las Actividades colaborativas debes acceder a la página principal del curso, allí
encontrarás la información necesaria para realizarla. Podrás identificar las Actividades colaborativas
por la numeración correspondiente.
 UA 7: Navegador seguro. Certi cados

3. Certi cados




En la empresa para la que trabaja Antonio le han solicitado informarse sobre los distintos tipos de
certificados digitales para que sus empleados puedan firmar los correos que envían y realizar distintos
trámites administrativos con entidades públicas, por lo que ha comenzado a informarse sobre estos.

En internet es relativamente sencillo hacerse pasar por otra persona, puesto que no hay forma directa de saber
si la persona con la que intercambiamos correos es quien dice ser, o la página web que estamos visitando
pertenece a la empresa que estamos buscando.

Por motivos como este, surgieron los certificados digitales, los cuales garantizan que una determinada persona
o empresa es quien dice ser.




 Definición

Certificado digital

Es un archivo firmado electrónicamente por un prestador de servicios de certificación que identifica

inequívocamente a una persona de forma online.

Para obtener un certificado digital es necesario solicitarlo a una entidad prestadora de servicios de certificación.
Tras un proceso de verificación, esta expedirá el correspondiente certificado, el cual puede ser de los siguientes
tipos:

Persona física

Certificado de representante

Administración pública

Certificados de componente

1 Vincula al suscriptor con unos datos de verificación de firma y confirma su identidad

personal. Permite identificarse de forma telemática y firmar o cifrar documentos
electrónicos.
 2 Estos se subdividen en tres tipos:

Representante de administrador único o solidario:

El firmante actúa en representación de una persona jurídica en calidad de
representante legal con su cargo de administrador único o solidario inscrito en el
Registro Mercantil.
Representante de persona jurídica:
Este certificado se emite a personas jurídicas para su uso en sus relaciones con
administraciones públicas, entidades y organismos públicos.
Representante de entidad sin personalidad jurídica:
Vincula un firmante a unos datos de verificación de firma y confirma su identidad en los
trámites tributarios y otros ámbitos admitidos por la legislación vigente.

3 Es usado en sistemas de identificación de las administraciones públicas, así como en

sistemas de firma electrónica del personal al servicio de las administraciones públicas y en
sellos electrónicos para la actuación administrativa automatizada.

4 Proveen certificados de servidor SSL, certificados wildcard, certificados de firma de código y

certificados de sello de entidad.

Para conocer un poco mejor el procedimiento de expedición de certificados revisaremos los pasos necesarios
para obtener un certificado de persona física.

La solicitud de este certificado es completamente gratuita y el único requisito para realizarla es estar en
posesión de un DNI o NIE. Dicha solicitud puede realizarse en el siguiente enlace:

Certificados Persona Física ()

Una vez que nos encontremos en dicha página, podemos completar la solicitud siguiendo dos métodos muy
similares. Mientras que en el primero es necesario desplazarse hasta una oficina donde puedan verificar nuestra
identidad, en el segundo es necesario contar con un DNI electrónico:

2
1

Certificados con DNI

Certificado software electrónico

1. Certificado software
Consta de cuatro pasos:

Configurar el navegador que vamos a usar en este proceso de forma adecuada.

Realizar la solicitud del certificado con la ayuda de internet.
Ir a una oficina de registro con el código de solicitud que nos han facilitado.
Descargar el certificado de usuario aproximadamente una hora después de haber acreditado
nuestra identidad en la oficina de registro.
 2. Certificados con DNI electrónico
En caso de contar con un DNI electrónico válido, realizaremos todos los pasos descritos en el método
anterior con la salvedad de que no será necesario visitar una oficina de registro para acreditar nuestra
identidad.




 Aplicación práctica 7
Duración: 20 minutos

Objetivo:

Solicitar un certificado digital de tipo persona física.

Antonio está interesado en obtener un certificado digital de tipo persona física que lo acredite en internet
y le permita firmar de forma digital los correos electrónicos.

Deberás, como si fueras Antonio, realizar los pasos necesarios para obtener dicho certificado siguiendo
el método de certificación mediante DNI electrónico (o en su defecto listarlos y detallar el procedimiento
seguido).
 UA 7: Navegador seguro. Certi cados

4. Anexo. Tarjetas criptográ cas y token USB




Durante su investigación sobre los certificados digitales, Antonio ha encontrado unos dispositivos que
son capaces de almacenar e incluso generar certificados y firmas.

Estos pueden llegar a ser muy útiles puesto que son la manera más segura de almacenar este tipo de
archivos.

4.1 Tarjetas criptográ cas

Las tarjetas criptográficas son tarjetas comunes en apariencia, pero son capaces de almacenar certificados
digitales y ofrece algoritmos de cifrado de claves públicas.

Eliminan la necesidad de que el usuario se encargue de almacenar y proteger los certificados y claves y son
útiles en los casos que requieran autentificación y/o firma digital.



 Para saber más

Puedes encontrar más información sobre la tarjeta criptográfica en siguiente enlace correspondiente de
la FNMT-RCM:

Tarjeta criptográfica ()

Para poder utilizar una tarjeta criptográfica es necesario el uso de hardware adicional capaz de leer este tipo de
dispositivos.

Finalmente, una vez que contemos con todos los componentes necesarios, se procede a la instalación de los
certificados y la configuración de la tarjeta.



 Para saber más

En el siguiente enlace puedes acceder a más información necesaria para la instalación y verificación de
la tarjeta criptográfica:

Instalación y verificación de la tarjeta criptográfica ()

4.2 Tokens USB

Alternativamente a las tarjetas criptográficas, podemos encontrar los tokens USB, los cuales ofrecen las mismas
características que las tarjetas, pero sin la necesidad de hardware adicional.
 La principal ventaja de los tokens USB frente a las
tarjetas criptográficas es que estos no necesitan
hardware adicional, puesto que pueden usarse en
prácticamente todos los equipos de usuario
actuales.



 Para saber más

En los siguientes enlaces de la FNMT-RCM están a la venta la tarjeta criptográfica, el lector de tarjetas y
los tokens USB:

Tienda oficial de la FNMT-RCM ()



 Actividad colaborativa 13

Es el momento de realizar la siguiente Actividad colaborativa. No obstante puedes seguir estudiando la

unidad didáctica y realizar esta actividad en otro momento que te sea más favorable.

En esta actividad deberás enumerar las ventajas e inconvenientes que presentan las tarjetas
criptográficas y los tokens USB. Para ello, busca información en internet o donde veas necesario.
Además, deberás argumentar cuál de los dos recomendarías.

Comparte la solución con tus compañeros/as en el foro de la unidad y lee los argumentos que han dado
tus compañeros/as. ¿Te han hecho cambiar de opinión?

Para realizar las Actividades colaborativas debes acceder a la página principal del curso, allí
encontrarás la información necesaria para realizarla. Podrás identificar las Actividades colaborativas
por la numeración correspondiente.
 UA 7: Navegador seguro. Certi cados

5. Técnico. ¿Qué es un ataque de denegación de servicio (DoS)?




Recientemente, para Antonio fue imposible acceder a una página web en la que consultar noticias de
actualidad.

La respuesta por parte de la compañía al cargo de dicha página fue que esta sufrió un ataque de
denegación de servicio (DoS) durante varias horas.

Esto levantó la curiosidad de Antonio frente a este tipo de ataques y cómo evitarlos.

Una de las grandes amenazas que sufren los servidores en la red son los ataques de denegación de servicio.
Estos ataques a gran escala son capaces de bloquear y denegar el acceso a usuarios legítimos al servidor o
conjunto de servidores que están siendo atacados.




 Definición

Ataque de denegación de servicio o DoS

Consiste en un ataque que pretende saturar la red de acceso a un determinado conjunto de servidores o
sobrecargar los recursos de los mismos.

Estos ataques pretenden saturar los distintos puertos del servidor con flujos de información para saturar sus
recursos. En la actualidad, este tipo de ataque es poco efectivo, debido a la capacidad que tienen los servidores
y la seguridad de la que están dotados sus puertos, pero a partir de los ataques de denegación de servicio
surgieron los ataques de denegación de servicio distribuido (DDoS).

Los ataques DDoS aprovechan la creciente cantidad de equipos disponibles en la red que cuentan con una
configuración de seguridad pobre para infectarlos y posteriormente ser usados para realizar un ataque
simultáneo a una determinada red o conjunto de servidores. Este ataque es mucho más efectivo que su
predecesor, puesto que el flujo de información que se envía a través de la red y la cantidad de recursos que
tiene que dedicar el servidor a resolver estas peticiones es mucho mayor.

Esquema de un ataque de tipo DDoS

Los ataques DDoS también pueden ser utilizados para comprobar la capacidad de la red o un conjunto de
servidores antes de que estos se vuelvan inestables o para probar la seguridad de los mismos y los protocolos
de recuperación.

Dentro de los ataques de DoS existen varios subtipos, pero todos tienen como factor común el uso de
protocolos TCP/IP:
Inundación SYN

Inundación ICMP

SACKPanic

Smurf

Inundación UDP

1 Este tipo de ataque explota el modelo de comunicación orientado a conexión por el que se
rige TCP.

En una comunicación estándar TCP se emplean banderas de estado (flags) con las que se
indican peticiones y respuestas. Para iniciar la comunicación se emplea la bandera SYN, a la
que el servidor responderá con SYN/ACK indicando que la conexión se ha establecido y
puede procederse al intercambio de mensajes.

Para este ataque, los clientes atacantes realizarán un alto número de solicitudes SYN que
serán desatendidas una vez que el servidor responda, forzando así al servidor a mantener
un alto número de comunicaciones en espera, impidiendo que usuarios legítimos puedan
realizar comunicación con el servidor.

2 Este ataque pretende saturar la red de acceso donde se encuentra la víctima, enviando un
flujo constante de paquetes ICMP Echo Request de gran tamaño, obligando a la víctima a
responder con paquetes ICMP Echo Reply.

Si la capacidad de procesamiento de la víctima es menor que la del atacante, la red se verá

saturada en función de la diferencia de procesamiento.

3 A diferencia del resto de ataques, este no requiere un elevado número de atacantes

simultáneos para agotar los recursos del servidor. En su lugar, este ataque que afecta
exclusivamente a servidores Linux y FreeBSD, consiste en modificar el tamaño máximo de
segmento en una comunicación TCP de forma que genere un desbordamiento de número
entero en el servidor, provocando así un kernel panic (equivalente a un “pantallazo azul” de
Windows).

4 Esta variante del método de inundación ICMP requiere de un intermediario. En este caso, se
realiza la petición ICMP Echo Request a una dirección de multidifusión y se establece como
dirección IP origen la dirección de la víctima. Esto provoca que todos los equipos
conectados a la red de la dirección de multidifusión respondan a la víctima y esta tenga
que procesar las respuestas.

El alcance de esta variante es mayor al del método original y puede llegar a ser mucho más
efectivo.
 5 Este tipo de ataque envía un elevado número de mensajes siguiendo el protocolo UDP a la
víctima. Generalmente, el atacante suplanta direcciones IP con las que realizar el envío para
no ser fácilmente detectado y bloqueado por parte de la víctima.

Como síntesis, podemos determinar que un ataque DoS:

Consume recursos computacionales.

Altera la información de configuración.

Altera la información de estado de la comunicación.

Interrumpe los componentes físicos de la red.

Obstruye la comunicación entre un usuario y la víctima.

Aunque se han producido ataques de este tipo de gran relevancia en la última década, el de mayor escala
registrado se produjo el 28 de febrero de 2018. La empresa afectada por dicho ataque fue GitHub, llegando a
registrar 1,35 terabits por segundo en tráfico entrante.

Pocos días más tarde, el 4 de marzo de 2018, la empresa de seguridad Arbor Networks detectó una amenaza de
ataque DDoS sobre uno de sus clientes, que prefirió mantenerse en el anonimato, con un tráfico entrante de 1,7
terabits por segundo, rompiendo el récord que sostenía GitHub.

GitHub es una de las plataformas más conocidas

para alojar proyectos utilizando el sistema de
control de versiones Git.




 Actividad de aprendizaje 6

A continuación, realizarás una actividad en la que deberás diferenciar el tipo de ataque que se está
dando.

Antonio ha recibido un reporte de seguridad en el que se indica que durante la monitorización de la red
de uno de los servidores de los que es responsable, el tráfico TCP se ha incrementado
preocupantemente entre las 3:00 a. m. y las 4:00 a. m. La mayoría de estos mensajes eran peticiones de
conexión sin responder.

¿Corresponde a algún tipo de ataque?

a. Corresponde a un ataque de inundación UDP.

b. Corresponde a un ataque de inundación ICMP.

c. Corresponde a un ataque de inundación SYN.

d. No corresponde a ningún ataque.

 UA 7: Navegador seguro. Certi cados

6. Anexo. Referencias
A continuación, te dejamos una serie de referencias que te pueden servir para ampliar más información sobre la
temática de la unidad:

En el siguiente enlace puedes acceder a los distintos tipos de certificados digitales en la página
pertinente de la sede de la FNMT:
FNMT – Certificados digitales ()
El siguiente artículo trata sobre los dos ataques DDoS comentados en el apartado anterior,
aportando más detalles sobre la noticia:
Los dos ataques DDoS más grandes de la historia ()
Puedes crear una cuenta de forma gratuita y obtener más información sobre el uso de control de
versiones basado en Git en la página oficial de GitHub:
GitHub, plataforma líder mundial en el desarrollo de aplicaciones ()
 UA 7: Navegador seguro. Certi cados

7. Anexo. DNI electrónico (eDNI)




Además del uso de tarjetas criptográficas y tokens USB, Antonio ha descubierto recientemente que
puede utilizar su DNI español para identificarse a través de internet con la ayuda de su smartphone.

El documento nacional de identidad (DNI) español cuenta con un chip que almacena los mismos datos que
aparecen en dicho documento, junto con un certificado de autentificación y la firma electrónica del usuario.

En la actualidad, todos los DNI españoles cuentan

con este chip en el que se almacenan, entre otros,
el certificado de autentificación y la firma
electrónica.

Para utilizar el DNI electrónico es necesario el uso de un hardware adicional capaz de leer la información que
contiene, de forma similar a una tarjeta criptográfica.

El DNI electrónico cuenta con una particularidad adicional respecto a las tarjetas criptográficas: es posible usar
un dispositivo móvil que cuente con tecnología NFC para realizar la lectura de los datos que contiene. Para ello,
es necesaria la instalación de una aplicación.



 Para saber más

Toda la información descrita anteriormente se encuentra ampliada en el portal de administración

electrónica, así como la solicitud de renovación del DNI:

Obtención del DNIe ()

 UA 7: Navegador seguro. Certi cados

Resumen
Aunque los navegadores cuenten con extensiones que ofrecen capas de seguridad adicionales y estas sean
compatibles con varios navegadores, es muy importante elegir cuidadosamente un navegador que ofrezca
seguridad de forma nativa en base a nuestras necesidades:

Para poder demostrar en la red tu identidad, es necesario el uso de firmas y certificados digitales que acrediten
quién eres. Estos son solicitados a entidades certificadoras y tienen validez frente a entidades públicas y
privadas.

Una vez que contemos con un certificado digital o una firma electrónica, es muy importante garantizar que no
sean filtrados a terceros. Para garantizar dicha protección, se recomienda almacenarlos en dispositivos
diseñados específicamente para esta función:

Un ataque de denegación de servicio (DoS) o de denegación de servicio distribuido (DDoS) es una amenaza que
acecha a servidores prestadores de servicios que consiste en la saturación de la red y/o de los recursos de
dicho servidor mediante una inundación de peticiones simultáneas coordinadas con el fin de que este no sea
capaz de atender peticiones legítimas.