Está en la página 1de 41

SEGURIDAD INFORMTICA

TECNOLOGAS DE LA INFORMACIN Y LA
COMUNICACIN
2 BACHILLERATO CURSO 2016-17

PRIVACIDAD Y SEGURIDAD
La

seguridad va encaminada a proteger


la privacidad del usuario en la red
La PRIVACIDAD es el derecho a poder
decidir y determinar qu informacin
personal se va a usar, cmo se va a
emplear y con qu fines
El usuario debe conocer la informacin
que sobre l se est recopilando, donde
est almacenada y con qu finalidad

TIPOS DE DATOS QUE


COMPARTIMOS
PERSONALES
LOCALIZACIN
AGENDA

PERSONAL DE
CONTACTOS

SEGURIDAD Y AMENAZAS
QU

ES LA SEGURIDAD DE LA
INFORMACIN?

PRINCIPIOS

BSICOS DE LA
SEGURIDAD INFORMTICA

QU

HAY QUE PROTEGER?

Qu es la seguridad de la
informacin?

Conjunto

de medidas de prevencin, deteccin


y correccin orientadas a proteger la
confidencialidad, integridad y la disponibilidad
de la informacin de un sistema
Un sistema es seguro cuando est libre de todo
peligro, dao o riesgo.

Principios de la seguridad
informtica
CONFIDENCIALIDAD DE LA
INFORMACIN
Informacin conocida por las personas
autorizadas. Ej/ Informacin cifrada en
transacciones bancarias
INTEGRIDAD DE LA INFORMACIN
Contenido de la informacin debe permanecer
inalterado Ej/ Un usuario borra datos o
modifica la informacin
DISPONIBILIDAD DE LA
INFORMACIN
Informacin accesible en el lugar, momento y
forma que el usuario autorizado lo requiera
Ej/ Cada de un sistema o servidor

Qu hay que proteger?


HARDWARE:

Averas
SOFTWARE: Virus, troyanos,
gusanos
DATOS: Principal elemento a
proteger. Importantes las copias
de seguridad.

AMENAZAS A LA
SEGURIDAD
TIPOS

DE AMENAZAS
CONDUCTAS DE SEGURIDAD

Tipos de amenazas
HUMANAS:

Personas que por accidente o


de manera intencional pretenden hacer
dao pudiendo ocasionar enormes prdidas
Ataques pasivos: No modifican los datos y son,
por tanto, difciles de detectar
Usuarios con conocimientos bsicos (Ej/ leer el correo
del compaero porque se deja la sesin iniciada)
Hackers

Ataques activos: daar o manipular la


informacin para obtener beneficios
Antiguos empleados de una organizacin
Crackers

IMPORTANTE LA DIFERENCIA ENTRE HACKER Y CRACKER

Tipos de amenazas
LGICAS:

Software que puede daar un


sistema informtico.
Software malicioso: Programas diseados con
fines no ticos que atacan los equipos
comprometiendo su confidencialidad,
integridad y disponibilidad. Ej/ Gusanos, virus,
troyanos, espas
Vulnerabilidades del software: Errores de
programacin en el diseo, configuracin o
funcionamiento de un S.O o app pudiendo
poner en peligro la seguridad del sistema si es
descubierto por un atacante o provoca un fallo.

Tipos de amenazas
FSICAS

Fallos en los dispositivos: Fallos en


discos, apagones, roturas de cable
provocan la cada de un sistema
informtico.
Accidentes: Descuidos, malas
prcticas
Catstrofes naturales

Conductas de seguridad
SEGURIDAD

ACTIVA: Prevenir y evitar daos en

los sistemas
Control de acceso: acceso a personal autorizado. Ej/
autenticacin, contraseas seguras, certificados
digitales
Encriptacin: Codifica la informacin
Software de seguridad informtica: Ej/ Antivirus,
antiespias, cortafuegos
Firmas y certificados digitales: Comprobar la
procedencia, autenticidad e integridad de los
mensajes
Protocolos seguros: Protegen las comunicaciones
mediante cifrado. Ej/ https

Conductas de seguridad
SEGURIDAD

PASIVA: Reparar o minimizar los daos causados

Herramientas de limpieza:
En caso de infeccin, realizar un escaneado total del equipo.
Utilizar software de limpieza Ej/ Ccleaner, Adwcleaner
Eliminar archivos de forma permanente Ej/ Eraser, erace

Copias de seguridad (BACKUP): Restaurar los datos utilizando las copias


de seguridad realizadas
Se pueden realizar copias de seguridad utilizando discos externos
El sistema operativo ofrece distintas posibilidades de backup en el propio disco
duro para recuperase frente a fallos por virus etc
Se pueden crear puntos de restauracin del sistema.

S.A.I: Proporcionar corriente elctrica al equipo en caso de fallo


mediante una batera
NAS: Sistemas de almacenamiento a los que se tiene acceso a travs
de la red. Los equipos autorizados guardan informacin en ellos
SISTEMAS REDUNDANTES: Duplicacin de componentes crticos como
discos duros (RAID) o fuentes de alimentacin para que todo funcione
con normalidad si falla algn componente. Por ejemplo en un sistema
RAID, se almacena la informacin en varios discos simultneamente. Es
muy utilizado en servidores.

EL MALWARE

Tipos de Malware
VIRUS:

Software creado para producir daos en un equipo que acta de


forma transparente al usuario.
Infectan siempre a otros archivos.
Se autorreproduce y prograga insertando copias de s mismo en
otros archivos y es capaz de autoejecuta.
Es un cdigo que se inserta en los archivos ejecutables .exe
GUSANO:

Se propaga y multiplica de forma autnoma aprovechando las


vulnerabilidades de los sistemas.
Consume recursos del sistema.
No infecta archivos
Te infectas por USB, mensajera instantnea
TROYANO:

Cdigo malicioso que se oculta en un archivo inofensivo y til para el


usuario.
Requieren la intervencin del usuario para propagarse; no se
autorreplican Ej/ Downloader, clicker, keylogger, backdoor, bot

Otros Malware

SPYWARE:

Programa espa que almacena informacin personal sin el


consentimiento del usuario.
La informacin se proporciona a empresas publicitarias para envo de
spam.
ADWARE:

Software que se inserta en el sistema aprovechando que el usuario


acepta sus trminos de uso, al instalar otras aplicaciones.
Son anuncios publicitarios. Se instala con nimo de lucro.
A veces puede ser malicioso.
ROGUE:

Programa que simula ser antimalware que ocasiona


efectos contrarios. Muestra en pantalla falsas infecciones
PHISHING: Hacerse pasar por empresa de confianza mandando
via mail un enlace a pgina web maliciosa para obtener datos
bancarios, nmeros de tarjeta de crdito
ROOTKIT: Software con permiso de administrador (koot) que se
oculta entre las herramientas del S.O para proporcionar acceso
remoto al atacante. Suspende su actividad al detectar escaneo.
SPAM: Envo en masa de correos para fines publicitarios o
software malicioso. Consumen muchos recursos.

FOCOS DE INFECCIN
REDES

SOCIALES: links a
entornos desconocidos.
MENSAJERIA INSTANTNEA
VULNERABILIDADES DEL SISTEMA
REDES P2P Y DESCARGAS
E-MAIL Y SPAM
DISPOSITIVOS DE
ALMACENAMIENTO EXTERNOS:
USBs

Ataques a los sistemas


informticos
INGENIERA

SOCIAL: Buscan
canalizar la atencin de los
usuarios aprovechando aspectos
de su personalidad (curiosidad,
deseos) para realizar actos
involuntarios sin saber que estn
colaborando con el atacante.
Ej/ Llamadas de telfono
simulando ser un comercial

Ataques a los sistemas


informticos
Escaneo

de puertos: Averigua qu puertos


de un equipo en la red estn abiertos para
determinar los servicios que utiliza y,
posteriormente, lanzar el ataque.
Denegacin de servicio (DoS): Satura los
recursos de una red para que deje de
responder. Los objetivos suelen ser servidores
web.
Escuchas de red: Captura e interpreta el
trfico de una red a traves de software sniffer.
Sirve para analizar datos sin cifrar enviados
mediante protocolos no seguros (hhtp (web),
smtp (correo), ftp (envo de archivos))

Ataques a los sistemas


informticos
SPOOFING:

Suplantar la identidad de un usuario,


red, equipo o aplicacin, falsificando su direccin IP,
DNS, URL El atacante adquiere privilegios para
acceder a redes autentificadas por MAC, para
hacerse pasar por otras personas

FUERZA

BRUTA: Probar todas las combinaciones


posibles del espacio de claves de un sistema. Pero,
a medida que el espacio de claves y su longitud
crecen, la capacidad de clculo se ve mermada por
lo que se combina el ataque con el uso de
diccionarios que contienen palabras clave
organizadas por diversos criterios (datos de una
empresa, lugares, familiares, claves populares)

PROTECCIN CONTRA EL
MALWARE

PROTECCIN FRENTE A
MALWARE
Un sistema 100% seguro no
existe.
Sensibilizacin

de buenas
prcticas al usuario.
Proteccin legal (LOPD)
Software de proteccin.

LOPD (Ley Orgnica de


Proteccin de Datos)
Proteger

derechos fundamentales
como el honor, intimidad y
privacidad de las personas.
Regular tratamiento de datos y
ficheros de carcter personal

SOFTWARE DE
PROTECCIN

ANTIVIRUS:

previene, detecta y elimina virus, software malicioso y


otros ataques en el sistema.
Utiliza una base de datos de firmas o definiciones de
virus con la que comparan el cdigo de los archivos.
Deben estar actualizados constantemente.
Tambin utilizan algoritmos heursticos que advierten
de comportamientos sospechosos que pueden
corresponder a nuevos virus no reconocidos.
Chequeo on-line gratuito
Ej/ Avast, Avira, Bitdefender, ESET, GData, Kaspersky,
McAfee, Norton.
Ofrecen no solo soluciones antivirus sino tambin
cortafuegos, control parental, antispam, proteccin de
pagos

EN CASO DE INFECCIN
Restaurar

el sistema a un estado anterior.


Actualizar antivirus y realizar un anlisis
completo.
Arrancar el equipo con un Live USB o Live
CD
Analizar el equipo con un antivirus sin
contaminar
Extraer los archivos para recuperar informacin.
Ejecutar

utilidades de desinfeccin
especficas que eliminan amenazas
concretas.

SOFTWARE DE PROTECCIN DE
CONEXIONES DE RED
CORTAFUEGOS:

Examina todos los paquetes


entrantes y salientes de la red
Bloquea los paquetes que no
cumplen las reglas de seguridad que
hay que configurar.
Trata de evitar ataques de intrusos,
accesos a sitios no autorizados,
descarga de software daino

SOFTWARE DE PROTECCIN DE
CONEXIONES DE RED
REDES

PRIVADAS VIRTUALES (VPN)

Conexin punto a punto a travs de una


red insegura como internet. Es como
ampliar una red privada. (Ej conectar
sucursales de una empresa a travs de
internet).
Establecer comunicaciones privadas con
redes privadas.
Conexiones de tnel de forma segura
(cifrada).
Requieren identificacin del usuario

SOFTWARE DE PROTECCIN DE
CONEXIONES DE RED
HTTPS

Utiliza una clave de 128 bits


conocida por el dispositivo
conectado y el servidor que facilita
la conexin para encriptar los datos.
Adems a veces los sitios web
utilizan un certificado de conexin
extendida que requiere un riguroso
proceso de verificacin de identidad
del sitio web. (Ej/ Sitios web de
compras por Internet)

CIFRADO DE LA INFORMACIN
OBJETIVO:

Asegurar la confidencialidad de
las comunicaciones.

CRIPTOGRAFA:

Disciplina cientfica dedicada al estudio de la


escritura secreta.
Se utilizan claves y procedimientos matemticos
para CIFRAR el texto, es decir, para transformarlo
con el fin de que solo pueda ser ledo por las
personas que conozcan el algoritmo utilizado y la
clave utilizada
ATACANTES: Descifrar mensajes sin conocer las
claves.

CRIPTOGRAFA DE CLAVE
SIMTRICA

CRIPTOGRAFA DE CLAVE
SIMTRICA
Alice

y Bob utilizan la misma clave


para cifrar y descifrar.
La clave tiene que ser mandada de
Alice a Bob
Alice cifra su mensaje con esa clave.
Alice manda el mensaje cifrado
Bob descifra el mensaje con la clave
que ha recibido de Alicia.
SEGURO / INSEGURO????

CRIPTOGRAFA DE CLAVE
ASIMTRICA

CRIPTOGRAFA DE CLAVE
ASIMTRICA
Bob

tiene su clave privada y todos


tienen la clave pblica de Bob
Alice cifra su mensaje con la clave
pblica de Bob
Alice manda el mensaje
Bob descifra el mensaje con su clave
privada.
A partir de la clave pblica es
imposible determinar la clave privada
(o debera serlo)

CRIPTOGRAFA DE CLAVE
ASIMTRICA
Slo

el destinatario puede
descifrar el mensaje
Solo hay que almacenar una
clave.
Cualquiera puede cifrar con la
clave pblica
No son necesarios canales
seguros de comunicacin de la
clave privada.
Es mucho ms lento que el

CRIPTOGRAFA DE CLAVE
HBRIDA

CRIPTOGRAFA DE CLAVE
HBRIDA
Bob

tiene su clave privada y todos tienen la


clave pblica de Bob
Alice genera una clave secreta
Alice cifra su mensaje con la clave secreta.
Alice cifra la clave secreta con la clave
pblica de Bob
Alice manda el mensaje cifrado y la clave
secreta cifrada a Bob
Bob descifra la clave secreta con su clave
privada.
Bob descifra el mensaje con la clave secreta.

FIRMA ELECTRNICA
OBJETIVO:

garantizar la
autenticidad, integridad y
confidencialidad de las
comunicaciones entre
ciudadanos, empresas y otras
instituciones a travs de redes
abiertas de comunicacin.

FIRMA ELECTRNICA
FIRMA

ELECTRNICA:

IDENTIFICAR AL FIRMANTE DE FORMA INEQUVOCA:


Uso de una clave privada que solo conoce el
firmante.
ASEGURAR LA INTEGRIDAD DEL DOCUMENTO
FIRMADO: Mecanismos para comprobar que el
documento firmado es exactamente el mismo que
el original y no ha sufrido manipulacin
NO REPUDIO: Verificar que los datos utilizados por
el firmante para realizar la firma son nicos y
exclusivos con el objetivo de no alegar a posteriori
que no se realiz la firma.
Tiene la misma validez jurdica que una firma
manuscrita.

FIRMA ELECTRNICA
FIRMA

ELECTRNICA:

El firmante genera una funcin hash que es un


resumen que se usa como huella digital del mensaje.
El resultado del resumen se cifra con la clave privada
del firmante. Todo ello es la cifra digital y se adjunta al
mensaje.
El receptor del mensaje comprueba la autora
descifrando el mensaje con la clave pblica del emisor
que dar como resultado el resumen del sistema.
Para comprobar la no modificacin del mensaje, se
aplica la funcin hash al documento original por medio
de la comprobacin del resultado obtenido con el
resumen cifrado que se ha recibido. Si ambos
coinciden, el documento queda verificado. En caso
contrario, se considera errneo o modificado.

PRIVACIDAD DE LA
INFORMACIN
AMENAZAS

A LA PRIVACIDAD:

Sistemas operativos: Aprovechar la vulnerabilidad del S.O para


acceder a informacin confidencial.
Contraseas: Generar contraseas fuertes, con distintos tipos de
caracteres y con una longitud mnima de ocho caractres.
Historial: Accedes al historial desde cualquier lugar. Navegadores de
Google como chrome deja la sesin abierta aunque el usuario cierre la
aplicacin.
Cookies: Archivos que crea un sitio web al que me conecto y que se
instalan en el ordenador. Recopilan informacin del usuario como datos
personales o hbitos de navegacin. Se usan para fines publicitarios
fundamentalmente pero pueden ser manipuladas con intenciones
fraudulentas.
Redes sociales
Google: La principal fuente de ingresos es la publicidad adaptada a los
gustos y necesidades del usuario. Ofrece aplicaciones que satisfacen
los gustos normales de los usuarios de tal forma que se recopila mucha
informacin. Es conveniente configurar las opciones de privacidad de
Google.

ANTIESPIAS
Los

programas espas son


pequeas aplicaciones que
recopilan mediante un software
informacin confidencial del
usuario para enviarla a los
ciberatacantes
Utilizar software antiespa.