Tecnologas de la Informacin y de la 2016

Comunicacin -
2017

UNIDAD 4
Pg. 85 n 1 y 2

1. Para garantizar la confidencialidad de un sistema, es

necesario disponer de mecanismos de autentificacin,
autorizacin, cifrado y no repudio. Investiga y explica en qu
consiste cada uno de ellos.
Autentificacin: el usuario identificado debe verificar y probar su
identidad proveyendo informacin ya sea a travs de la contrasea, tarjeta de
identificacin, tcnicas de biometra, etc. para realizar una autentificacin fuerte
se puede combinar varios mtodos de identificacin.
Autorizacin: es el proceso por el que el sistema otorga diferentes
niveles de permiso a los usuarios autentificados para acceder a determinados
recursos del mismo.
Cifrado: es el uso de algoritmos para transformar un mensaje de
manera que solo pueda ser ledo por aquellas personas que cuentan con el
permiso necesario. Actualmente existen diversas aplicaciones que permiten
cifrar cualquier tipo de informacin como correos electronicos, archivos, etc.
Cifrado: es un mtodo que permite aumentar la seguridad de un
mensaje o de un archivo mediante la codificacin del contenido, de manera que
slo pueda leerlo la persona que cuente con la clave de cifrado adecuada para
descodificado.
No repudio: medidas adoptadas para asegurar que el origen o el
destino no pueda negar que ha recibido o ha enviado informacin.

2. Qu es una <<vulnerabilidad informtica>>? Afecta al

hardware, al software, a los datos o a los usuarios?

Colegio Sagrada Familia de Urgel

Pgina 1
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
La vulnerabilidad informtica es la capacidad, condiciones y caractersticas de un
sistema, que lo hace susceptible a amenazas, con el resultado de sufrir algn dao.
En otras palabras, es la capacidad y posibilidad de un sistema de responder o
reaccionar ante una amenaza, as como recuperarse de un dao.
Las vulnerabilidades estn en directa interrelacin con las amenazas porque sino
existen una amenaza tampoco existe la vulnerabilidad o no tiene importancia, porque
no se puede ocasionar un dao. a dems,. pueden aceptar tanto al hardware (fallos de
dispositivos, accidentes, etc), al software ( virus, errores de programacin, etc.), a los
datos ( inconsistencias, duplicaciones, etc.) y a los usuarios (error de personal, victima
de ingeniera social, etc.).
Se pueden agrupar en funcin de:
Diseo
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad deficiente e inexistente.
Implementacin
Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.
Uso
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de
informtica.
Disponibilidad de herramientas que facilitan los ataques.

Pg. 87 n 1 y 2

1. Un informtico en el lado del mal es el blog del hacker

espaol Chema Alonso. Lee algunas de sus publicaciones para

Colegio Sagrada Familia de Urgel

Pgina 2
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
obtener informacin sobre l y sobre las actividades que
realiza.
En los primeros aos de este siglo, la tecnolgica Microsoft era diana de muchas
crticas sobre la seguridad de sus productos. La compaa decida tomar medidas en
Espaa para contrarrestar esa mala imagen: acudi a Chema Alonso, un joven
hacker que se encarg de ofrecer charlas a profesionales. La comunidad hacker
consideraba que el fabricante del sistema Windows era "el mal". Alonso decida llamar
a su blog Un informtico en el lado del mal. Aquel informtico con grandes dotes de
comunicacin ser el que ahora, ms de una dcada despus, se siente en el comit
ejecutivo de Telefnica.
En 2013, la multinacional espaola decida dar un primer paso destacado hacia la
seguridad digital. Compraba la empresa de Alonso y formaban Eleven Paths, con
trabajadores procedentes de esa compaa y de expertos de Telefnica y en el que las
cabezas visibles tambin eran David Barroso y Pedro Pablo Prez. Se converta en el
laboratorio que impulsara la innovacin en seguridad digital. Quedara bajo el
paraguas de la filial Telefnica Digital.
Tres aos despus llega el movimiento definitivo: el jefe de ese laboratorio tomaba el
comit ejecutivo de la empresa. El nombramiento, adelantado este jueves por Cinco
Das, iba ms all y colocaba a Alonso como responsable no slo del rea de datos,
sino tambin de la nueva unidad de ciberseguridad global para empresas y
particulares.
En conclusin, ha conseguido llevar la ciberseguridad al gran pblico.

2. Investiga la diferencia entre los diferentes niveles RAID y

explica cmo se recupera la informacin en un sistema RAID5
con 4 discos cuando falla uno de ellos
El sistema RAID (del ingls, "Redundant Array of Independent Disk") es un conjunto
redundante de discos duros independientes, interconectados entre s, cuya
peculiaridad es que se comportan como un nico disco, es decir, la informacin se
multiplica en cada disco, se graba la misma informacin en cada uno de ellos, de esta

Colegio Sagrada Familia de Urgel

Pgina 3
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
forma si existiese un error fsico o mal funcionamiento en uno de ellos el sistema
podra continuar funcionando. RAID 5 escribe los datos en todos los discos del
volumen, utilizando un bloque de paridad calculado a partir de los bloques anteriores.
Si se produce un error en el disco fsico, los datos del disco que ha fallado pueden
volver a calcularse a partir del bloque de paridad creado. Por tanto, los datos no se
pierden en caso de que haya un fallo en un disco; pero si se produce un error en dos
discos, s se perdera la informacin. Para implementar un sistema RAID 5, se
necesitan tres discos como mnimo.
RAID nivel 0: tambin conocido como "Striping" o " Fraccionamiento". En l, los datos
son divididos en pequeos segmentos y distribuidos entre los discos. Este nivel no
ofrece tolerancia a fallos, pues no existe redundancia. Eso significa que un fallo en
cualquiera de los discos rgidos puede ocasionar prdida de informacin.
RAID nivel 1: tambin conocido como "Mirroring" o " Espejado", el RAID 1 funciona
aadiendo discos rgidos paralelos a los discos rgidos principales existentes en la
computadora. As, si por ejemplo, una computadora posee 2 discos, se puede anexar
un disco rgido para cada uno, totalizando 4. Los discos que fueron aadidos, trabajan
como una copia del primero. As, si el disco principal recibe datos, el disco anexado
tambin los recibe.
RAID nivel 2: adapta el mecanismo de deteccin de fallas en discos rgidos para
funcionar en memoria. As, todos los discos de la matriz estn siendo "monitorizados"
por el mecanismo. Actualmente, el RAID 2 es poco usado, ya que prcticamente todos
los discos rgidos nuevos salen de fbrica con mecanismos de deteccin de fallas
implantados.
RAID nivel 3: los datos son divididos entre los discos de la matriz, excepto uno, que
almacena informacin de paridad. As, todos los bytes de los datos tienen su paridad
(aumento de 1 bit, que permite identificar errores) almacenada en un disco especfico.
A travs de la verificacin de esta informacin, es posible asegurar la integridad de los
datos, en casos de recuperacin Por eso y por permitir el uso de datos divididos entre
varios discos, el RAID 3 logra ofrecer altas tasas de transferencia y confianza en la
informacin. Para usar el RAID 3, por lo menos 3 discos son necesarios.
RAID nivel 4: bsicamente, divide los datos entre los discos, siendo uno de esos
discos exclusivo para paridad. La diferencia entre el nivel 4 y el nivel 3, es que en caso
de falla de uno de los discos, los datos pueden ser reconstruidos en tiempo real a

Colegio Sagrada Familia de Urgel

Pgina 4
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
travs de la utilizacin de la paridad calculada a partir de los otros discos, siendo que
cada uno puede ser accedido de forma independiente.
RAID nivel 5: este es muy semejante al nivel 4, excepto por el hecho de que la
paridad no est destinada a un nico disco, sino a toda la matriz. Eso hace que la
grabacin de datos sea ms rpida, pues no es necesario acceder a un disco de
paridad en cada grabacin.
RAID 0 + 1: es una combinacin de los niveles 0 (Striping) y 1 (Mirroring), donde los
datos son divididos entre los discos para mejorar el ingreso, pero tambin utilizan otros
discos para duplicar la informacin. As, es posible utilizar el buen ingreso del nivel 0
con la redundancia del nivel 1. Sin embargo, es necesario por lo menos 4 discos para
montar un RAID de este tipo. Estas caractersticas hacen del RAID 0 + 1 el ms rpido
y seguro, sin embargo es el ms caro de ser implementado.
Recuperar datos de un RAID 5 fallado
En la mayora de los casos relacionados al fallo de un RAID 5, los datos se pueden
recuperar si actas rpido. Estos consejos te pueden ayudar:
1. Apagar el computador o servidor. Esto porque el controlador puede segur
detectando el disco fallado como activo y tratar de forzar la escritura, lo que puede
causar un dao en los otros.
2. Tener a mano el hardware necesario para recuperar la informacin.
3. Tener una unidad UPS para asegurarte que todos los equipos seguirn funcionando
el tiempo suficiente aunque haya una falla de energa. Si hay un corte de electricidad
mientras se recupera la informacin, lo ms probable es que se corrompa por
completo.

Pg. 90 n 1, 2, 3 y 4

1. Clasifica los diferentes tipos de malware en funcin de los

tipos de ataques que llevan a cabo.
Gusanos de red. Este tipo de malware usa los recursos de red para distribuirse.
Pueden propagarse por medio de correo electrnico, sistemas de mensajes
instantneos, etc. Su velocidad de propagacin es muy alta. Al penetrar un equipo, el
gusano intenta obtener las direcciones de otros equipos en la red para empezar
enviarles sus copias.
Colegio Sagrada Familia de Urgel
Pgina 5
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
Virus clsicos. Programas que infectan a otros programas por aadir su cdigo para
tomar el control despus de ejecucin de los archivos infectados. El objetivo principal
de un virus es infectar. La velocidad de propagacin de los virus es algo menor que la
de los gusanos.
Caballos de Troya, troyanos. Esta clase de programas maliciosos incluye una gran
variedad de programas que efectan acciones sin que el usuario se d cuenta y sin su
consentimiento: recolectan datos y los envan, etc. No pueden penetrar a los equipos
por si mismo, sino se propagan por los criminales bajo la vela de algn software
deseable.
Spyware. Software que permite colectar la informacin sobre un usuario/organizacin
de forma no autorizada. Su presencia puede ser completamente invisible para el
usuario. Pueden colectar los datos sobre las acciones del usuario, el contenido del
disco duro, etc. Pero no es su nica funcin. Son conocidos por lo menos dos
programas (Gator y eZula) que permiten tambin controlar el equipo.
Phishing. Es una variedad de programas espas que se propaga a travs de correo.
Los emails phishing estn diseadas para parecer igual a la correspondencia legal
enviada por organizaciones bancarias, o algunos brands conocidos. Tales emails
contienen un enlace que redirecciona al usuario a una pgina falsa que va a solicitar
entrar algunos datos confidenciales.
Adware. Muestran publicidad al usuario. La mayora de programas adware son
instalados a software distribuido gratis. La publicidad aparece en la interfaz. A veces
pueden colectar y enviar los datos personales del usuario.
Riskware. No son programas maliciosos pero contienen una amenaza potencial. En
ciertas situaciones ponen sus datos a peligro. Incluyen programas de administracin
remota, marcadores, etc.
Bromas. Este grupo incluye programas que no causan ningn dao directo a los
equipos que infectan. No obstante, muestran advertencias falsas sobre supuestos
daos ocurridos o por ocurrir.
Rootkits. Un rootkit es una coleccin de programas usados por un hacker para evitar
ser detectado mientras busca obtener acceso no autorizado a un ordenador. Esto se
logra de dos formas: reemplazando archivos, bibliotecas del sistema, etc. El hacker
instala el rootkit despus, obteniendo un acceso similar al del usuario craqueando una
contrasea.

Colegio Sagrada Familia de Urgel

Pgina 6
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
Otros programas maliciosos. Son una serie de programas que no afectan
directamente a los ordenadores, pero que se usan para crear virus, troyanos o para
realizar actividades ilegales como ataques DoS y penetrar en otros ordenadores.
Spam. Los mensajes no solicitados de remitente desconocido enviados en cantidades
masivas de carcter publicitario, poltico, de propaganda, etc. Otra clase de spam
hacen las propuestas relacionadas con varias operaciones ilegales con dinero o
participacin en algn supernegocio. El spam genera una carga adicional a los
servidores de correo y puede causar prdidas de la informacin deseada.

2. En qu tipo de ataques se suelen utililizar botnets? Su uso

es legal o ilegal?
Un "bot" es un tipo de programa malicioso que permite a un atacante tomar el control
de un equipo infectado. Por lo general, los bots, son parte de una red de mquinas
infectadas, conocidas como botnet, que comnmente est compuesta por mquinas
vctimas de todo el mundo. Debido a que un equipo infectado por bots cumple las
rdenes de su amo, muchas personas se refieren a estos equipos vctima como
zombis.Los delincuentes cibernticos que controlan estos bots son cada vez ms
numerosos. Muchos equipos se infectan sin que sus dueos se enteren. Un bot puede
hacer que su equipo se ralentice, muestre mensajes misteriosos e, incluso, falle.
Puede servir para administrar equipos remotamente, dar asistencia tcnica a otros
usuarios telemticamente, etc. Los bots y sus usos han evolucionado para ofrecer
servicios especializados que, suelen utilizar los ciberdelincuentes para dar soporte a
sus actividades delictivas.
https://www.youtube.com/watch?v=C-rtCZamKH0
https://www.youtube.com/watch?v=SCGxW4FE8uM

3. Elabora una lista de las tcnicas de ingeniera social que

suelen utilizar los estafadores.
La ingeniera social es la prctica de manipular psicolgicamente a las personas para
que compartan informacin confidencial o hagan acciones inseguras.

Colegio Sagrada Familia de Urgel

Pgina 7
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
Falsos antivirus y falsos programas: Primero nos hacen creer que tenemos un virus
que no existe; despus, que tenemos que bajarnos un antivirus capaz de eliminar ese
virus. Pero luego resulta que tal antivirus no existe, sino que es un adware o un
programa malicioso disfrazado de solucin informtica.
Falsas pginas de descarga: Aprovechando la confianza de los usuarios de la red en
un programa conocido y utilizado por todos, hay ciberdelincuentes que aprovechan
esta credibilidad para crear pginas web donde supuestamente se permite descargar
este software de forma gratuita.
Falsas extensiones para el navegador: Las extensiones para Google Chrome y
Firefox tambin son frecuentes. Desde falsas notificaciones en las que nos indican que
debemos actualizar Flash, hasta extensiones falsas que en realidad pueden ser
amenazas a la privacidad de nuestros datos.
Las extensiones se aprovechan de nuestra confianza y a veces el desconocimiento del
usuario para instalar barras que no queremos y otras muchas actividades perversas.
Restablecer la contrasea: La mayora de sitios web y aplicaciones permiten
restablecer la contrasea en caso de olvido. Para ello, el usuario debe responder a
preguntas personales como Mi equipo de ftbol favorito, Nombre de mi abuela
materna, etc., cuya respuesta puede ser sencilla de averiguar para un familiar, amigo
o conocido.
Falsas noticias sobre tus amigos en las redes: provechando el poder de lo viral y el
inters por las redes de usuarios. Desde el momento en el que un usuario se instala
una falsa aplicacin para Facebook o Twitter y queda infectado, el programa puede
enviar tuits o mensajes de facebook con el mismo mensaje trucado.
Falsos comentarios en foros: El asunto es tan sencillo como que un usuario hace
una pregunta en un foro y luego llega otro, annimo, y le da una respuesta donde le
indica el programa que tiene que bajarse y el enlace. Como el usuario que ha hecho la
pregunta quiere solucionar su problema acaba descargando el programa, cuyo origen
puede ser desconocido y por supuesto no ayuda al usuario. Luego el usuario annimo
que ha dado la simptica respuesta se da de baja y asunto concluido.

4. Averigua en qu consiste la ingeniera social inversa y

proporciona algunos ejemplos.

Colegio Sagrada Familia de Urgel

Pgina 8
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
Al contrario que en la ingeniera social, el atacante no entra en contacto con la vctima,
sino que crea mecanismos para atraer a sus posibles vctimas y espera que ellas
lleguen, es decir, el usuario es el que se pone en contacto (de persona a persona, sitio
web, correo electrnico, red social, etc), sin saberlo con la persona que desea
obtener informacin de l y una vez establecido el contacto sta obtiene la informacin
necesaria para realizar el ataque o la intrusin.
Ejemplos:
Descubro un sitio web en el que dicen que son expertos en arreglar determinados
problemas relacionados con el ordenador. Una vez que me pongo en contacto con
ellos a travs de uno de los medios indicados anteriormente, obtienen la informacin
que necesitan para un futuro posible ataque.
Me llega al buzn de correos un anuncio o una tarjeta de una persona que arregla
ordenadores. Lo conservo y pasado un tiempo el ordenador se estropea, me pongo en
contacto con dicha persona y obtiene la informacin que precisa.

Pg. 101 n 1 y 3

1. Consideras que WhatsApp es una aplicacin segura?

Investiga en Internet si presenta vulnerabilidades de seguridad
o privacidad.
En pleno debate sobre la seguridad tecnolgica de las telecomunicaciones, la
popular aplicacin de mensajera instantnea, Whatsapp, verdadera reina del telfono
mvil inteligente, ha acelerado los pasos para convertirse en una herramienta ms
robusta. Y, ahora, por fin ser equiparable a otras como Signal yTelegram, erigidas en
los ltimos aos como adalides en este terreno.
En mayo de 2011 se descubra una vulnerabilidad crtica en WhatsApp: este problema
haca que las sesiones de usuarios pudieran ser "secuestradas" y que el ciberatacante
pudiera tener acceso a informacin.
La app propiedad de Facebook ha implementado por defecto un sistema de cifrado
de extremo a extremo -end to end , en ingls-, que permite a sus ms de mil
Colegio Sagrada Familia de Urgel
Pgina 9
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
millones de usuarios mantener conversaciones seguras y privadas, tanto en los
mensajes de texto como en las llamadas. Para ello ha trabajado con la firma
especializada Open Whisper System. Y, tras dos aos de colaboracin, ha sido
ahora, en el marco de la polmica en torno al caso del iPhone de la matanza de San
Bernardino (California) que ha enfrentado a Apple y al FBI, cuando se ha hecho
extensible este sistema.
Con este sistema de cifrado, WhatsApp promete que las conversaciones llevan
asociada una clave pblica y otra privada, siendo esta segunda la que se comparte
nicamente entre las dos partes de una conversacin. De esta forma, aunque todos
los mensajes pasan por los servidores de la compaa de Mark Zuckerberg, lo hacen
cifrados y por lo tanto nicamente pueden conocer su contenido tanto el emisor del
mensaje como su receptor, pero ningn tercero. Por otro lado, una vez que son
recibidos por la parte ltima de la conversacin, los mensajes dejan de estar
almacenados en los servidores de WhatsApp .

3. Averigua cules son las apliaciones ms populares para

recuperar archivos borrados y para eliminar archivos de forma
segura.
Al borrar un archivo de nuestro disco duro, salvo que se utilice algn software
especfico, lo que ocurre es que el espacio que ocupa en el disco se marca como
disponible y hasta que no es sobrescrito el archivo no se elimina por completo. Por lo
tanto, en el periodo de tiempo entre que se elimina el fichero hasta que el espacio que
ocupa en el disco sea ocupado de nuevo, es posible recuperar estos archivos gracias
a algunos programas desarrollados para ofrecer esta funcionalidad. Algunos ejemplos
son:
1. Recuva
Piriform ha realizado un estupendo programa para recuperar archivos eliminados
llamado Recuva. El programa permite realizar una bsqueda rpida o profunda, tanto
en discos duros como iPod, emails borrados accidentalmente en aplicaciones como
Outlook o Thunderbird, discos daados o formateados, etc...
2. TestDisk and PhotoRec

Colegio Sagrada Familia de Urgel

Pgina 10
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
Si lo que buscas es una aplicacin completa y ms avanzada tienes a tu disposicin
TestDisk & PhotoRec, un pack de licencia GPL que te permitir echar mano a los
discos para observar todo tipo de informacin y recuperar o reparar particiones,
reconstruir arranques, realizar copias de seguridad, e incluso recuperar archivos de
particiones FAT, NTFS o incluso EXT2/EXT3.
3. Pandora Recovery
Pandora es un excelente software de recuperacin de datos que permite recuperar
archivos eliminados de particiones FAT, NTFS y NTFS/EFS. Es muy sencillo de utilizar
y tiene una interfaz muy accesible.
4. MiniTool Power Data Recovery
Edicin gratuita que permite recuperar ficheros eliminados, particiones daadas,
particiones con perdida de datos o unidades USB de cmaras digitales, memorias
auxiliares, pendrives o medios pticos (CD o DVD).

Pg. 104 n 3

3. La tecnologa inalmbrica en NFC de corto alcance se utiliza,

entre otras cosas, para realizar pagos a travs del mvil y de
tarjetas contactless. Investiga en qu consiste el grado de
seguridad que proporciona.
NFC (Near Field Communication) es una tecnologa de comunicacin inalmbrica, de
corto alcance (entre 10 y 15 cm) y alta frecuencia que permite el intercambio de datos
entre dispositivos. NFC se comunica mediante induccin en un campo magntico,
donde dos antenas de espiral son colocadas dentro de sus respectivos campos
cercanos.
Esta tecnologa se suele incorporar en los sistemas de pago sin contacto que
incorporan las tarjetas de crdito, llaveros, telfonos mviles,etc. Estos llevan un chip y
una antena incorporados que permiten a los consumidores pagar una transaccin
acercando el dispositivo a un lector del terminal punto de venta.
Algunas precauciones bsicas que se deben adoptar al usar esta tecnologa para
realizar pagos son:

Colegio Sagrada Familia de Urgel

Pgina 11
 Tecnologas de la Informacin y de la 2016
Comunicacin -
2017
Comprobar que el importe marcado en el datfono o telfono de cobro
es el correcto.
Asegurarse que nadie puede ver el PIN cuando se marca.
Solicitar a la entidad bancaria que anule la opcin de realizar pagos
menores a 20 simplemente por proximidad, sin tener que introducir el PIN de
la tarjeta.
Proteger las tarjetas con una funda especial o meterla en una cartera
que no deje pasar las ondas electromagnticas. En otro caso, un atacante
podra estar realizando cargos menores a 20 simplemente con situarse con un
telfono de cobro a pocos centmetros de su vctima.

Colegio Sagrada Familia de Urgel

Pgina 12