Académique Documents
Professionnel Documents
Culture Documents
Seguridad Informática
Seguridad Informática
Personal y
Personal y Corporativa
(Primera parte)
(Primera parte)
@ Jorge Domínguez Chávez
Esta obra se distribuye bajo una licencia Creative Commons
http://creativecommonsvenezuela.org.ve
Reconocimiento:
Atribución: Permite a otros copiar, distribuir, exhibir y realizar su
trabajo con Derechos de Autor y trabajos derivados basados en ella – pero sólo
si ellos dan créditos de la manera en que usted lo solicite.
Compartir igual: Permite que otros distribuyan trabajos derivados sólo
bajo una licencia idéntica a la licencia que rige el trabajo original.
@ 2015, Jorge Domínguez Chávez
Publicado por IEASS, Editores
Venezuela, 2015
La portada y contenido de este libro fue desarrollado en LibreOffice 5.0.3.2
Dedicatoria
Índice de Figuras
Figura 1 Estos tres elementos reciben el nombre de CID por confidencialidad, integridad y
disponibilidad..........................................................................................................................6
PROPÓSITO
¿Por qué nos preocupa la seguridad?
◦ Protección de la información
1
◦ Alto Valor: el objeto codiciado tiene un alto valor. El contenido (los datos)
vale más que el soporte que los almacena (disquete, disco compacto,
memoria sd, etc...).
Actualmente los sistemas informáticos son parte de nuestra vida, bien directa
o indirectamente, de nuestra economía, y de la forma de cómo vivimos. Ante esto la
información es el activo más valioso, por lo que es necesario protegerla de las
incontables amenazas que hay y se generan a cada momento. Aquí es donde
interviene la seguridad informática, que debe ser lo suficientemente sofisticada y
preparada para contrarrestar y garantizar la disponibilidad, confidencialidad e
integridad de la información.
2
El concepto de seguridad informática no debe ser confundido con el de
«seguridad de la información». Ésta, sólo se encarga de la seguridad en el medio
informático, pudiendo encontrar información en diferentes medios o formas.
De forma muy simple, ¿Qué pasa con las redes informáticas? la seguridad
en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una
definición general de seguridad debe poner atención a la necesidad de salvaguardar
la ventaja organizacional, incluyendo información, personas y equipos físicos, como
los computadores, medios de almacenamiento como discos, cd, dvd, memorias
flash y cintas de respaldo. Nadie a cargo de seguridad debe determinar quien y
cuando se pueden tomar acciones apropiadas sobre un ítem en específico. Cuando
se trata de la seguridad de una compañía, lo apropiado varía de organización a
organización. Independientemente, cualquier compañía con una red informática
debe de tener una política de seguridad que se dirija a conveniencia y coordinación.
3
INTRODUCCIÓN
Este texto está dirigido a aquel usuario de computación (personal o
empresarial) y a todo tipo de dispositivos informáticos (servidores, pc escritorio,
laptop, tableta, notebook, teléfonos inteligentes, impresoras, medias de
almacenamiento internos y externos, memoria flash o pendrive, etc.), para cualquier
tipo de procesamiento de datos, tanto para quien hace procesamiento de textos,
generación de gráficas, utilización de planilla electrónica, ya sea en forma ocasional
o habitual, como para el que opera un sistema de contabilidad, de facturación, utiliza
Internet y/o un teléfono celular para procesar y/o enviar y/o recibir información
pública y/o privada, o simplemente usa internet como un medio de distracción, así
como páginas sociales como facebook, twiter, dropbox, etc.
Para que una política de seguridad informática sea exitosa, lo primero que
debemos hacer es un análisis de las posibles amenazas que puede sufrir nuestros
dispositivos informáticos o nuestra TIC; así como una estimación de las pérdidas
que esas amenazas podrían suponer y un estudio de las probabilidades de que el
evento ocurra.
4
necesidad psicológica de querer estar seguro que nuestras pertenencias están para
nuestro uso. La seguridad es un tema nacional, político, social, empresarial y/o
psicológico relacionado con la necesidad de proteger a nuestra familia y nuestros
bienes y que estos estén a nuestra disponibilidad cuando se requieran. La seguridad
es un “mal necesario” para la supervivencia de nuestra especie. Queremos
sentirnos y estar seguros en cualquier contexto e incluso individualmente porque
nos gusta valorar lo que hacemos, pensamos y tenemos. Esa “pseudoseguridad”
hace que reflexionemos menos y actuemos más.
1 Esto significa que el sistema sea fiable, que es la probabilidad de que un sistema se comporte tal y
como se espera de él.
5
• Integridad: modificación de la información sólo mediante
autorización. Busca asegurar:
6
Los mecanismos de seguridad se dividen en cuatro grupos:
1. Prevención:
2. Detección:
3. Recuperación:
4. Borrado:
2. Herramienta BleatBeach.
7
Por otra parte, las amenazas pueden proceder desde programas dañinos
que se instalan en la computadora del usuario (como un virus) o llegar por vía
remota (los delincuentes que se conectan a Internet desde distintos y variados
lugares para acceder a distintos y variados sistemas informáticos de forma síncrona
o asíncrona) hasta por mala praxis por parte de los usuarios al dejar las
computadoras abiertas, tener contraseñas débiles, compartir programas, archivos
de fotografías, videos y música con otros usuarios en el mismo sitio de trabajo o
fuera de él. Así como también por políticas corporativas para su personal.
ISO 17.799
Estándar para la administración de la seguridad de la información, implica la
implementación de toda una estructura documental con fuerte apoyo de la alta
dirección de cualquier organización.
COBIT
Acrónimo de “Control Objectives for Information and related Technology”
(Objetivos de Control para la Información y Tecnologías Relacionadas), estándar
desarrollado por la Information Systems Audit and Control Foundation (ISACA),
fundada en 1969 en EE.UU., y que trata de temas como gobernabilidad, control,
aseguramiento y auditorias para TIC. Actualmente tiene más de 60.000 miembros
en alrededor de 100 países. Esta organización realiza eventos y conferencias, y
desarrolla estándares en TI de gobierno, aseguramiento y seguridad. En los últimos
5 años ha cobrado fuerza debido a que fue desarrollado en específico para el
ámbito de las TIC.
8
ITIL
Acrónimo de “Information Technology Infrastructure Library”, ITIL es una
norma de mejores prácticas para la administración de servicios de Tecnología de
Información (TI), desarrollada a finales del año 1980 por entidades públicas y
privadas con el fin de considerar las mejores prácticas a nivel mundial. El organismo
propietario de estos estándares es la Office of Government Commerce, una entidad
independiente de la tesorería del gobierno británico. ITIL fue utilizado inicialmente
como una guía para el gobierno de británico, pero es aplicable a cualquier tipo de
organización.
LEY SOX
La Ley Sarbanes-Oxley (SOX), de EE.UU., nombrada así por sus creadores,
obliga a las empresas públicas nacionales o extranjeras inscritas en la Securities
and Exchange Comission de dicho país a llevar un control y almacenamiento
informático estricto de su actividad. La ley nace producto de los escándalos
financieros de compañías norteamericanas como Enron y Worldcom, durante el año
2002, en los cuales se comprobó que información financiera fue falsificada. Esta ley
ha tenido un alto impacto a nivel mundial en empresas que negocian sus valores en
la bolsa de EE.UU.
COSO
La norma COSO, acrónimo de Committee of Sponsoring Organizations of the
Treadway Commission's Internal Control - Integrated Framework, es un documento
que contiene directivas e indicaciones para la implantación, gestión y control de un
sistema de Control Interno, con alcances al área informática y está orientada al
control de la administración financiera y contable de las organizaciones. Dada la
relación que existe entre esta área y los sistemas de información computarizados,
resulta importante entender el alcance y uso de esta norma. Junto a ella existen
otras normas que están directa o indirectamente relacionadas con ella.
9
vocabulario (ISO 27000), requisitos para sistemas de gestión de seguridad de la
información (ISO 27001), guías de buenas prácticas en objetivos de control y
controles recomendables de seguridad de la información (ISO 27002).
Riesgos y vulnerabilidades
Debido a la creciente demanda de las tecnologías de la información, la
mayoría de las organizaciones actuales están expuestas a una serie de riesgos
derivados de una seguridad inadecuada o inapropiada en su información o en sus
sistemas informáticos. Señalamos dos ejemplos de esta vulnerabilidad creciente:
10
almacenados en el SI.
Estos aspectos se relacionan con las tres características que debe cubrir un
SI seguro: confidencialidad, integridad y disponibilidad. Así que custodiar estas tres
características de la información es el objetivo de la seguridad.
11
Cada control o grupo de controles forma parte de su objetivo de control, del
cual se desprenden las actividades de control que dan origen al control en sí. A su
vez cada objetivo forma parte de una agrupación mayor, el proceso. Los procesos
están agrupados en 8 grandes áreas que son: Mantenimiento, Seguridad,
Operaciones, Desarrollo, Acceso General, Recuperación de Desastres, Redes y, por
último, Computadores. Para el proceso de Seguridad, uno de los objetivos de
control considerados es verificar que toda la información sea respaldada en forma
oportuna y adecuada; por lo que uno de los controles asociados a este objetivo es
Supervisión de errores en respaldos en servidores.
En muchos sistemas, los usuarios humanos son una parte crítica del proceso
de seguridad. Ellos crean contraseñas, siguen los protocolos de seguridad y
comparten información que puede mantener o destruir la seguridad de un sistema.
Sin embargo, muchas políticas de seguridad están diseñadas con poca o ninguna
atención a las capacidades cognitivas de las personas, flujo de trabajo o tareas.
Como resultado, las personas encuentran maneras de evitar los obstáculos de
seguridad que se interponen en el camino de su trabajo.
12
establecer el mismo comportamiento del usuario (informática empresarial). En el
libro dos, veremos los principios básicos de la interacción humano-computadora,
incluyendo los fundamentos de las habilidades cognitivas de los humanos, los
principios de usabilidad, técnicas de diseño, y los métodos de evaluación.
Culminando en el libro tres donde se aplicarán estos conocimientos en el diseño de
modelos de políticas de seguridad con el propósito de desarrollar las medidas de
seguridad que respeten el factor humano y sus objetivos dentro de los grandes
sistemas corporativos.
13
1 Virus, troyanos, puerta trasera y phising
1.1 Virus
1.1.1 Windows
Existen muchas formas distintas de clasificar los virus, y cada una de ellas
viene acompañada de su propia colección de categorías con nombres pintorescos.
Gusanos, macro virus, troyanos y puertas traseras (backdoors) son algunos de los
más conocidos. Muchos de estos virus se extienden en Internet, utilizando el correo
electrónico, páginas web maliciosas u otros medios para infectar computadoras
protegidas o no, igualmente ocurre con los celulares. Otros virus se propagan a
través de medios extraíbles, particularmente a través de dispositivos USB y/o
memorias SD y/o pen-drive, programas piratas y de discos duros externos donde los
usuarios escribir y leer información. Los virus pueden destruir, dañar o infectar la
información en tu computadora, incluyendo datos en medios externos. También
pueden tomar control de tu computadora y utilizarla para atacar a otras. Existen
muchas herramientas antivirus que puedes utilizar para protegerte y proteger a
aquellos con los cuales intercambias información digital.
En el caso de los virus hay que subrayar que cada día aumenta la larga la
lista de ellos y su variedad. Así, tenemos:
14
desencriptar el virus para propagarse. Para eso incluye un motor de
mutación. Éste, utiliza un generador numérico aleatorio que, combinado con
un algoritmo matemático, modifica la firma del virus. Gracias al motor, el
virus crea una rutina de desencriptación diferente cada vez que se ejecute.
2 El virus Heart Bleed permite a los hackers explotar un fallo en el software de encriptación
OpenSSL utilizado por la mayoría de los principales sitios web para robar datos, como números de
tarjetas de crédito, contraseñas y otra información personal.
15
virus, los virus macro no son exclusivos de ningún sistema operativo y se
diseminan fácilmente a través de archivos adjuntos de e-mail, SD, pen-drive,
Internet, transferencia de archivos y aplicaciones compartidas. Infectan las
utilidades macro que acompañan a aplicaciones como Microsoft Word y
Excel, lo que significa que un Word virus macro infecta un documento Excel
y viceversa pudiendo, eventualmente, infectar miles de archivos. Estos virus
son programados en Visual Basic y fáciles de crear. Infectan diferentes
puntos de un archivo en uso al abrir, grabar, cerrar o borrar. Lo primero que
hacen es modificar la plantilla maestra (normal.dot) para ejecutar varias
macros insertadas por el virus, así cada documento que abramos o creemos,
se incluirán las macros "víricas", conteniendo un virus, cambiar un ejecutable
o DLL del sistema.
• Virus MailBomb. Estos virus todos son iguales, escribes un texto que
requiera una dirección de e-mail (victima) introduces el número de copias y
listo. El virus crea tantos mensajes como el número de copias indicado y
empezará a enviar mensajes hasta saturar el correo de la victima. Se
replican como los gusanos o worms, pero en lugar de colapsar nuestro
equipo o red, colapsa nuestro correo no pudiendo recibir ni enviar ningún
correo.
• Virus Sector de Arranque. Éste, infecta el sector de arranque del disco duro
del computador (MBR). Una vez que el sector de arranque esté infectado, el
virus intenta infectar cada disco interno, externo o pen-drive que se inserte
en el sistema, bien sea una CD-R, una unidad ZIP o cualquier sistema de
almacenamiento de datos. Los virus de arranque se ocultan en el primer
sector de un disco y se cargan en la memoria antes que los archivos del
sistema. Con toman total control de las interrupciones del DOS y así
diseminarse y causar daño. Estos virus, generalmente reemplazan los
contenidos del MBR con su propio contenido y mueven el sector a otra área
en el disco.
16
• Virus de Visual Basic Scripts o VBS. Debido al auge de Internet, los virus han
encontrado una forma de propagación masiva y rápida a través mensajes de
correo electrónico, anexando archivos con extensión VBS. El DOS empleaba
archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en
lotes. A partir de Windows 95 este tipo de archivos fue reemplazado por
Visual Basic Scripts. El script es un programa que realiza una determinada
acción al iniciar un sistema operativo, al hacer un Login en un Servidor de
Red o al ejecutar una aplicación. Los Scripts pueden ser interpretados y
ejecutados por el Sistema Operativo Windows, Novell, etc. o por una
aplicación mIRC, pIRC, AutoCad, etc. Los virus pueden ser desarrollados en
cualquier lenguaje y tener determinados objetivos de daño y algunos
simplemente usan las instrucciones VBS como medio de propagación.
Asimismo, un VBS puede contener instrucciones que afecten a los sistemas.
Es posible editar instrucciones en NotePad y guardar el archivo con la
extensión .VBS. Actualmente existen 2 medios de mayor difusión de virus en
VBS:
17
◦ Virus de la libreta de direcciones Microsoft Outlook. Office 95/97/2000/XP,
respectivamente, integran sus programas MS Word, Excel, Outlook y
Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que
invocan la ejecución de determinadas instrucciones. En MS Word y
Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque
también pueden editar instrucciones y comandos con NotePad y
archivarlo con la extensión .VBS. Virus como Melissa o Loveletter,
escritos en Visual Basic for Aplications, tienen un fácil y poderoso acceso
a los recursos de otros usuarios de MS Office. El más afectado es la
libreta de direcciones MS Outlook, que es controlado por las
instrucciones del VBS y recibe la orden de re-enviar el mensaje con el
archivo anexado, en formato VBS, a todos los nombres de la libreta de
direcciones del sistema de usuario infectado. Estas infecciones también
se reproducen entre todos los usuarios de una red, una vez que uno de
sus usuarios ha sido infectado.
• Virus de Web (active x y java). Los applets de JAVA y los controles Active X,
son unos lenguajes orientados a Internet, con las nuevas tecnologías se abre
un mundo nuevo a explotar por los virus. Superaran en número a los virus de
macro.
1.1.2 Linux
Las posibilidad de que una computadora con sistema operativo LINUX se
infecte es escasa, pero no implica que no exista códigos maliciosos para Linux.
Para propagarse el código malware debe ejecutarse, tiene que ser copiado
en un ejecutable corrupto desde el otro sistema. Independiente de la distribución de
Linux empleada, lo normal seria al momento de bajar un programa sea por un
repositorio o por una URL donde se encuentra el software malicioso. En lugar de
bajar el archivo ejecutable, baja el programa de un repositorio oficial, la posibilidad
que de estos sitios oficiales puedan contener malware es remota, pero posible .
18
archivo ejecutable y la posibilidad de lograr su objetivo es poco probable o escasa .
El usuario de Linux sólo trabaja como root para operaciones muy especificas.
19
1.1. 3 MacIntosh
¿Las computadoras Mac están libres de virus? No, las computadoras de
Apple no están exentas de ser infectadas por virus informáticos, aunque ciertamente
son menos importantes a infectarse que las PC con Windows.
1.4 Gusanos
Se trata de un código malicioso, a gran escala, que se reproduce y extiende
20
a muchas computadoras a una gran velocidad. Se propaga mediante el correo
electrónico, el cual al abrirlo, recoge la lista de contactos y les envía un correo como
si fuera nuestro, si éstos lo abren, el virus recoge a su lista de contactos y de nuevo
se pone en acción, la función de los gusanos es colapsar las computadoras y sobre
todos aquellas que tienen una tarea de servicio, como un servidor web, servidor de
red o un servidor de correo.
21
fallos o errores. Una de las formas típicas de actuación de los piratas informáticos
es localizar o introducir en los diversos sistemas una puerta trasera y entrar por ella.
Una vez dentro del computador infectado, los programas introducidos no se
reproducen solos como los virus, sino que son enviados con el fin de tener acceso a
nuestros equipos informáticos por el correo electrónico, por lo que no son fáciles de
detectar y por si solos. No siempre causan daños ni efectos inmediatos, por lo que
pueden permanecer activos mucho tiempo sin que nos percatemos de ello.
Hay una forma simple y totalmente segura de evitar las puertas traseras: no
acepte archivos ni ejecute programas que no conoce o sean de procedencia
dudosa. Los programas que se clasifican como "puertas traseras" son utilerías de
administración remota de una red y controlar las computadoras conectadas a ésta.
22
cualquier equipo, con el simple hecho de que tenga acceso a la red de redes
(Internet) es suficiente para que estar expuesto a ataques de está índole.
1.6 Spyware
Son programas que se autoinstalan en nuestra computadora, reduciendo a la
mitad el funcionamiento del sistema, ya que utilizan la cpu y la memoria ram. Su
función es recopilar información, la cual se envían a terceras personas sin nuestro
consentimiento; más tarde llegan cientos de correos con publicidad. Otro tipo de
spyware son aquellos que nos muestran pop-us (ventanas emergentes) ya sea
cuando iniciamos el navegador o sin acceder a él, mostrándonos en el escritorio
muchos pop-us, las cuales cerramos y vuelven abrirse. En los casos más graves
colpasan el computador.
23
financieros a un aparente funcionario de un banco- en lugar de tener que encontrar
agujeros de seguridad en los sistemas informáticos.
24
aplicaciones que detectan, de manera inmediata, los programas espías que se
encuentran en nuestro sistema informático.
25
ellas ofrece una opción parecida. Puede llamarse 'Protección en Tiempo
Real,' 'Protección Residente,' o similar.
26
1.8.3 Software Espía (Spyware)
El software espía (spyware) es una clase de software que rastrea el trabajo
que haces, tanto en tu computadora como en la Internet, y envía dicha información a
alguien que no debería tener acceso a ella. Estos programas registran, entre otras
cosas, las palabras que escribes en tu teclado, los movimientos de tu ratón, las
páginas que visitas y los programas que ejecutas. Como resultado, penetra la
seguridad de tu computadora y revela información confidencial sobre ti, tus
actividades y tus contactos.
27
Mejora la seguridad de tu navegador Web evitando que ejecute
automáticamente programas peligrosos que a veces están contenidos dentro de las
páginas web que visitas. Si utilizas Mozilla Firefox, puedes instalar el complemento
NoScript, como se describe en la sección 4 de la Guía del Firefox.
28
El seguimiento que hace Firewall Plus de las aplicaciones con conexión a la
red impide que los troyanos, backdoors, capturadores de teclado y que otros
programas malignos dañen tu equipo y roben tus datos privados. ZoneAlarm
Firewall Free es un excelente Cortafuegos gratis para evitar la acción de los hackers
en nuestro computador cuando estamos conectados a la red. Imprescindible si
tienes una dirección fija (Cable, ADSL, etc…). Comodo Personal Firewall asegura tu
sistema contra ataques de virus, troyanos, ataques de hackers o cualquier otro tipo
de software malintencionado que haya podido entrar en tu PC.
29
de tu computadora. Los desarrolladores de software continúan encontrando estos
errores, y publican actualizaciones para arreglarlos.
30
Al mismo tiempo, puedes utilizar estos programas junto con el software propietario,
incluyendo el sistema operativo Windows, sin ningún problema. Incluso si tus
colegas continúan utilizando la versión comercial de un tipo particular de programa,
tú puedes intercambiar archivos y compartir información con ellos de manera fácil.
En particular, deberías considerar reemplazar el Internet Explorer, Outlook o Outlook
Express y Microsoft Office con Firefox, Thunderbird y LibreOffice, respectivamente.
31
2. Proteger tu información de amenazas físicas
No importa cuanto esfuerzo hayas puesto en construir una barrera digital
alrededor de tu computadora, aún puedes despertar una mañana y hallar que ella, o
una copia de la información se ha perdido, ha sido robada, o dañada por cualquier
serie de accidentes desafortunados o actos maliciosos. Cualquier cosa desde una
sobretensión transitoria como a una ventana abierta, fumar o una taza de café
derramada, los ratones o las hormigas, chiripas y cucarachas puede conducirte a
una situación en la cual todos tus datos se pierdan y no seas capaz de utilizar tu
computadora. Una evaluación del riesgo, un consistente esfuerzo para mantener
una computadora sin problemas y una política de seguridad evitan desastres.
32
los celulares, el papel impreso y notas manuscritas.
33
en tu vecindario, una de dos cosas puede ser posibles. Ya sea que,
puedas volverlos aliados que te ayudarán a cuidar tu oficina, o personas
que debes añadir a tu lista de amenazas potenciales y de las cuales
debes ocuparte en tu plan de seguridad.
2.2.2 En la Oficina
◦ Protege los cables de red haciéndolos pasar por dentro de la oficina.
◦ Si tienes una red WiFi, asegura los punto de acceso de modo que los
intrusos no puedan unirse a tu red o vigilar tu tráfico. Si utilizas una red
inalámbrica insegura, cualquiera con una computadora portátil en tu
vecindario se convierte en un intruso potencial. Es una definición inusual
de riesgo 'físico,' pero ayuda el considerar que un individuo malicioso que
pueda vigilar tu red inalámbrica tiene el mismo acceso que uno que
pueda ingresar furtivamente en tu oficina y conectar un cable Ethernet.
Los pasos necesarios para asegurar una red inalámbrica varían,
dependiendo de tu punto de acceso, tu hardware y software.
34
2.2.3 En tu área de trabajo
Ubica con cuidado la pantalla de tu computadora, tanto en tu escritorio como
fuera de la oficina, con el fin de evitar que otros lean lo que ella muestra. En la
oficina, considera la ubicación de ventanas, puertas abiertas y el área de espera de
los invitados, si es que cuentas con una.
Utiliza un cable de seguridad de cierre, cuando sea posible, para evitar que
intrusos roben las computadoras. Es importante para computadoras portátiles y
tabletas o teléfonos que pueden ser escondidos en una bolsa o bajo un abrigo.
35
contraseña para tu cuenta, como se describió anteriormente.
36
(UPS) a las computadoras de tu oficina. Un UPS estabiliza el suministro eléctrico y
provee energía temporal en caso de apagón.
37
verificación de acciones a ser tomadas en caso de una emergencia de seguridad
física. Los involucrados deben tomarse el tiempo necesario para leerlo,
implementarlo y cumplir con estas normas de seguridad. También, deben ser
alentados a preguntar y proponer sugerencias de cómo mejorar el documento.
38
3. Crear y mantener contraseñas seguras
Muchos de los servicios informáticos que usamos para los negocios
importantes, desde ingresar a nuestras computadoras y enviar correos electrónicos,
transferencias bancarias hasta cifrar y esconder datos, requieren una contraseña.
Estas palabras secretas, frases o secuencias en auténtica confusión proporcionan la
primera, y a veces la única, barrera entre tu información y cualquiera que pudiera
leerla, copiarla, modificarla o destruirla sin permiso. Existen maneras por las cuales
alguien descubre tus contraseñas, pero te puedes defender de ellas aplicando
ciertas tácticas para una base de datos de contraseñas seguras, como el KeePass3.
3 http://keepass-password-safe.softonic.com/
4 Un Plugin es un programa que puede anexarse a otro para aumentar sus funcionalidades.
39
3.1 Seleccionar y mantener contraseñas seguras
Cuando protegues algo, lo cierras con una clave. Las cerraduras de las
casas, automóviles y bicicletas tienen llaves físicas; los archivos protegidos tienen
llaves de cifrado; las tarjetas bancarias tiene números PIN, los celulares tienen PUK
y PIN; y las cuentas de correo electrónico tienen contraseñas. Todas estas llaves, en
forma literal y metafórica, tienen una cosa en común: abren sus cerraduras con la
misma eficacia en manos de otra persona. Puedes instalar cortafuegos avanzados,
cuentas de correo electrónico seguras, y discos cifrados, pero si tu contraseña es
débil, o si dejas que caiga en las manos equivocadas, ello no te hará bien.
Debe ser larga: Cuanto más larga es la contraseña es menos probable que
sea adivinada por un programa de computadora en un tiempo razonable. Trata de
crear contraseñas que incluyan diez o más caracteres. Algunas personas utilizan
contraseñas que contienen más de una palabra, con o sin espacios, las cuales son
llamadas frases contraseña. Es una buena idea, en la medida que el programa o
servicio que utilices te permita elegir contraseñas largas.
40
base de datos de contraseñas como KeePass. Los documentos de Microsoft Word,
protegidos por contraseña, no debe ser confiados para este propósito, ya que
pueden ser descifrados en segundos utilizando herramientas que son de libre
acceso en Internet.
Hazla única: Evita usar la misma contraseña para más de una cuenta. De
otro modo, cualquiera que la descubra tiene acceso a mas información tuya. Esto
porque ciertos servicios hacen relativamente simple descifrar tu contraseña. Si
utilizas la misma contraseña para tu cuenta en Windows y para tu cuenta de Gmail,
alguien con acceso físico a tu computadora puede descifrar la primera y utilizarla
para acceder a la segunda. También, es mala idea el rotar contraseñas
intercambiándolas entre diferentes cuentas.
41
Examinando las sugerencias dadas, te preguntas cómo alguien sin memoria
fotográfica puede estar al tanto de contraseñas largas, complejas y sin sentido, sin
tener que escribirlas. Además, el utilizar diferentes contraseñas para cada cuenta lo
hace difícil. Existen algunos trucos que te ayudan a crear contraseñas que son
fáciles de recordar pero difíciles de adivinar, incluso para una persona inteligente
utilizando un programa avanzado de 'descifrado de contraseñas'. Recordar que
tienes la opción de registrar tus contraseñas utilizando KeePass.
5 Los caracteres permitidos no deben ser aquellos que facilitan las inyecciones sql.
42
◦ 'Sostenemos como evidentes por sí mismas dichas verdades: que todos
los hombres son creados iguales' se convierte en 'Scepsmdv:q’thsc=s'
Estos son unos ejemplos para desarrollar tu propio método de cifrar palabras
y frases para hacerlas simultáneamente complejas y memorables.
43
cuentas y dedicarte a recordarlas todas. En lugar de ello, puedes registrarlas en
KeePass.
Aunque es la mejor opción para cualquiera que tenga que mantener un gran
número de cuentas, existen algunos inconvenientes para este método. Primero, si
pierdes o borras tu única copia de tu base de datos de contraseñas, no tendrás
acceso a tus cuentas de las cuales esta tenía la contraseña. Es importante que
hagas un respaldo de tu base de datos KeePass. Revisa el capítulo 5. El hecho que
tu base de datos esté cifrada significa que no tienes que entrar en pánico si pierdes
tu pen-drive USB o una unidad de respaldo que contenga una copia de este.
44
4. Proteger los archivos en tu computadora
El acceso no autorizado a la información en tu computadora o dispositivo de
almacenamiento portátil puede llevarse a cabo de manera remota, si y sólo si, el
'intruso' es capaz de leer o modificar tus datos a través de la Internet, o físicamente,
si se conecta con tu hardware. Puedes protegerte de cualquiera de estas amenazas
mejorando la seguridad física y de la red de tu datos. Ver capítulo 1 y capítulo 2.
Existen dos enfoques generales para dar seguridad a tus datos en esta
forma: a) puedes cifrar tus archivos, haciéndolos ilegibles a cualquiera que no sea
tú, y b) esconderlos confiando en que un intruso será incapaz de encontrar tu
información.
Según este autor, el mérito es del algoritmo y de la clave robusta que empleó
para cifrar, no de Truecrypt, que sólo hace uso de ese algoritmo, entre otros.
45
uso de esos algoritmos. Es un buen programa, pero insisto en que el mérito es del
algoritmo y de la clave más que del programa.
LUKS (de Linux Unified Key Setup) es una especificación de cifrado de disco
destinado para Linux. Mientras la mayoría del software de cifrado de discos
implementan diferentes e incompatibles formatos no documentados, LUKS
especifica un formato estándar en disco, independiente de la plataforma, para usar
en varias herramientas. Esto facilita la compatibilidad y la interoperabilidad entre los
diferentes programas y garantiza que todos implementen una gestión de
contraseñas seguras, en un único lugar y documentada.
AES Crypt simplifica el proceso de cifrado. Esto significa que no trabaja con
particiones enteras. Si lo que necesitas es cifrar archivos individuales, has click con
el botón secundario sobre el archivo, y asigna una contraseña. El resto se reduce a
borrar el original en forma segura, y distribuir o respaldar los archivos con extensión
46
AES.
Tanto DiskCryptor como AES Crypt son software libre 8, mientras que
Cloudfogger es freeware9. El orden en el que presento a estos aplicaciones no es
necesariamente el orden de recomendación. La transición será rápida para aquellos
que utilicen DiskCryptor, y pese a que las otras dos opciones son mas sencillas (lo
que se traduce en un ahorro de tiempo importante) eso no quiere decir que resulten
menos seguras.
8 El término Open Source o código abierto se refiere al software que permite el acceso a su código
fuente, lo que permite a otros usuarios modificar el software a su medida o aportar los fallos a su
desarrollador para que los solucione.
9 El término Freeware quiere decir software gratis, pero ojo que no es lo mismo que libre.
47
personas con quienes trabajas. El cifrado reduce el riesgo pero no lo elimina. El
primer paso para proteger información es el reducir cuanto de ella mantienes a tu
alrededor. A menos que tengas una buena razón para almacenar un archivo en
particular, o una categoría particular de información dentro de un archivo, tú
simplemente debes borrarla (ver capítulo 6) El segundo paso es utilizar una buena
herramienta de cifrado de archivos, como el TrueCrypt.
48
desmontar el volumen de forma apropiada, desconectar la unidad externa o la
memoria extraíble, y luego retirar el dispositivo. Practica hasta hallar la forma más
rápida de hacer estas cosas.
49
códigos para proteger elementos clave de tus archivos.
50
Considerar el riesgo de identificar tu información
51
garantía que la amenaza desaparezca tan pronto como reveles tu contraseña
señuelo.
La noción de la función de texto llano rotatorio fue expuesta por primera vez
en 1987. Como los computadores desde los que se lanzan ataques por fuerza bruta
descifran los códigos analizando el texto llano en busca de patrones lingüísticos, el
creador propone un algoritmo de encriptación que, además de eso, cambia el texto
llano descifrado en función de una variable temporal. En teoría, la mutación
perpetua lograría que el computador atacante nunca reconociera algún tipo de
patrón lingüístico y, por consiguiente, nunca sabría cuándo había encontrado la
clave de acceso correcta.
52
encriptación más famosa de la historia: la máquina Enigma.
53
Teóricamente debería de ser más fácil conocer la clave interceptándola que
probando claves, una a una por fuerza bruta, teniendo en cuenta que la seguridad
de un mensaje cifrado debe recaer sobre la clave y nunca sobre el algoritmo.
Como se dan cuenta, sólo cifra una persona (con la clave pública) y la otra
se limita a mirar el contenido, por lo que la forma correcta de tener una
comunicación bidireccional sería realizando este mismo proceso con dos pares de
claves, o una por cada comunicador.
Nota: Esto puede parecer intrincado (y lo es) pero hablaré de como poner en
práctica esto con GnuPG (una herramienta de cifrado libre muy usada para este
propósito) y será más fácil de comprender.
54
El proceso para usar un sistema criptográfico híbrido es el siguiente (para
enviar un archivo):
◦ Ciframos la clave que hemos usado para encriptar el archivo con la clave
pública del receptor.
55
5. Recuperar información perdida
Cada nuevo método de almacenamiento o transferencia de información
digital introduce formas nuevas en las que la información puede perderse, ser
capturada o destruida. Años de trabajo pueden desaparecer en un instante, como
resultado de un robo, un momento de descuido, la confiscación del hardware de la
computadora, o debido a que la tecnología de almacenamiento es frágil por
naturaleza. Existe un dicho común entre los profesionales dedicados al soporte
técnico en el campo de la informática: "la cuestión no es si vas a perder tus datos;
sino cuando." Por tanto, cuando esto ocurra, es importante que cuentes con un
medio actualizado y probado de respaldo para restituir tus datos.
56
encuentra tu información personal y laboral. Tu correo electrónico puede estar
almacenado en el servidor del proveedor de correo electrónico, en tu propia
computadora, o en ambos lugares al mismo tiempo. Y, por supuesto, puedes tener
muchas cuentas de correo electrónico.
Luego, necesitas definir cuales archivos son 'copias maestras', y cuales son
duplicados. La copia maestra es la versión actualizada de un archivo en particular o
de una colección de archivos y corresponde a un archivo que editarás si necesitas
actualizar su contenido. Obviamente, esta distinción no se aplica a archivos de los
cuales tienes una única copia, pero es importante para ciertos tipos de información.
Una situación común de desastre es cuando sólo los duplicados de cada documento
importante son respaldados, y la copia maestra en sí se perdió o destruyó antes que
estos duplicados pudieran ser actualizados. Imagina, que has estado trabajando por
una semana mientras actualizabas la copia de determinada hoja de cálculo que
mantienes en tu pen-drive USB. Ahora, deberías empezar a pensar en tus copias
maestra, debido a que los respaldos de la versión desactualizada que se hallan en
la computadora de la oficina ya no son útiles.
57
Tabla 5: Opciones para realizar respaldo de nuestros datos.
Tipo de Datos Copia Dispositivo de Almacenamiento Ubicación
Maestra/Duplicado
Documentos electrónicos Copia Maestra Disco duro de la Oficina
computadora
Unos cuantos documentos Memoria extraíble USB Conmigo
electrónicos importantes
Duplicado
Bases de datos de aplicaciones Copia Maestra Disco duro de la Oficina
(fotos, agenda de direcciones, computadora
calendario, etc.)
Unos cuantos documentos Duplicado CDs Domicilio
electrónicos
Correo electrónico & contactos de Copia Maestra, Cuenta de Gmail Internet
correo electrónico
Mensajes de texto & contactos Copia Maestra, Teléfono móvil Conmigo
telefónicos
Documentos impresos (contratos, Copia Maestra, Cajón de escritorio Oficina
facturas, etc.)
◦ Los únicos documentos que sobrevivirían a una falla del disco duro de tu
computadora son los duplicados en tu pen-drive USB y las copias en CD
o DVD en tu domicilio o almacenados en la nube informática.
58
5.2 Definir una estrategia para tu respaldo
Para hacer el respaldo de los datos listados anteriormente necesitas una
combinación de software y soluciones de proceso. Debes asegurar que cada tipo de
datos sea almacenado en, al menos, dos lugares separados.
12 Cobian Backup es un programa multitarea capaz de crear copias de seguridad en un equipo, en una
red local o incluso en/desde un servidor FTP. También soporta SSL. Se ejecuta sobre Windows y
uno de sus grandes fuertes es que consume muy pocos recursos y puede estar funcionando en
segundo plano. Cada tarea de respaldo que le asignemos puede ejecutarse en el momento, diaria,
semanal, mensual o anualmente, o en un tiempo especificado. Hace copias completas,
incrementales y diferenciales. Soporta compresión ZIP, Zip64 o SQX. Además ofrece la opción de
proteger todas las funciones del programa por contraseña. Existe la opción de cifrar sus archivos
usando 4 métodos diferentes de cifrado fuerte: RSA-Rijndael (1024-256-bits), Blowfish (128-bits),
Rijndael (128-bits) o DES (64-bits).
59
telefónicos y mensajes de texto en tu teléfono móvil, conéctalo a la computadora
utilizando el software apropiado. Éste, está en el sitio web del fabricante de tu
teléfono o está instalado en el sistema operativo. Necesitas un cable de datos USB.
Documentos impresos - Cuando sea posible, escanea tus documentos
importantes, luego respaldarlos con tus documentos electrónicos como se explicó.
Ahora, dispones de un listado de respaldo tus dispositivos de tipo de datos,
almacenamiento y ubicación para tu información. Ver tabla 6.
60
Tipo de Datos Copia Dispositivo de Almacenamiento Ubicación
Maestra/Duplicado
Mensajes de texto y contactos en Copia Maestra Teléfono móvil Conmigo
teléfono móvil
Mensajes de texto y contactos en Duplicado Disco duro de la Oficina
el teléfono móvil computadora
Mensajes de texto y contactos en Duplicado Respaldo de la tarjeta SIM Domicilio
el teléfono móvil
Tipo de Datos Copia Dispositivo de Almacenamiento Ubicación
Maestra/Duplicado
Documentos impresos Copia Maestra Cajón de escritorio Oficina
Documentos escaneados Duplicado CDs En casa
61
5.2.2 Dispositivos de almacenamiento
Previo a un respaldo de tus documentos electrónicos, decide qué tipo de
dispositivo de almacenamiento usarás.
62
Dirígete a la sección Lecturas Adicionales para ver algunos ejemplos.
Características:
63
64
5.2.4 Software de respaldo para Linux
Las áreas de estas aplicaciones y sus respectivas funciones (traducidas al
castellano) son las siguientes:
65
Dump / Utilidades de copia y restauración para sistemas de archivos ext2/ext3
restore
tar ¿Quién podría olvidar a la legendaria Tar?
66
Tabla 9: basados en Snapshot
Backups
FlyBack Equivalente de Time Machine en Mac OS
X
Time Vault Demonio de creación de Snapshots
◦ Realiza respaldos locales y remotos (Ubuntu One, y otros vía FTP, SSH o
WebDAV)
67
◦ Comprime y cifra de forma segura todos tus archivos.
68
respectivo en el disco duro. De vez en cuando, si accidentalmente borras un archivo
o carpeta, esta vulnerabilidad de seguridad puede trabajar a tu favor. Existen
numerosos programas de recuperación de respaldos, incluyendo Recuva13.
13 De los creadores de CCleaner, llega una nueva aplicación gratuita: Recuva. Este programa
recupera archivos que hayas borrado sin querer; detecta los borrados y te permite seleccionarlos.
Destaca por su gran rapidez y por su facilidad de uso. También, recupera fotos borradas de tu
cámara y canciones de tu reproductor MP3 portátil.
14 Código Original escrito por Kris Kendall y Jesse Kornblum, Oficina de investigaciones especiales,
Fuerza Aérea de USA. Modificación por Nick Mikus, Escuela de Postgrado, estudios e
investigación de seguridad en sistemas de información, Marina de USA (tesis de maestría).
15 Software para recuperar archivos borrados incluyendo videos, documentos y archivos de los discos
duros y CDRoms así como imágenes borradas (por eso el nombre PhotoRecovery) de las
memorias de las cámaras fotográficas, MP3 players, PenDrives, etc. PhotoRec ignora el sistema de
archivos y hace una búsqueda profunda de los datos, funcionando incluso si su sistema de archivos
está dañado o ha sido re-formateado.
69
6. Destruir información importante
Los capítulos previos han presentado varias herramientas y propuesto
hábitos que ayudan a proteger tus datos, ¿Qué ocurre cuando decides que no
necesitas conservar una parte de tu información? Si determinas que las copias
cifradas del respaldo de un archivo son suficientes y deseas borrar la copia maestra,
¿Cuál es la mejor forma de hacerlo? La respuesta es más complicada de lo que
crees. Cuando borras un archivo, incluso antes de vaciar la Papelera, los contenidos
del archivo se mantienen en tu disco duro y pueden ser recuperados por cualquiera
que tenga conocimientos, suerte y las herramientas adecuadas.
70
puedes recuperar la data que borraste. Ver capítulo 5.
Cada vez que usas tu computadora, se crean archivos y estos mismos son
borrados de manera parcial, sin tu conocimiento. Pensemos que estás escribiendo
un informe extenso. Lo que te podría tomar una semana, trabajando muchas horas
a diario, cada vez que el documento es guardado, el procesador de textos crea una
nueva copia del documento y lo almacena en tu disco duro. Después de unos
cuantos días de editado, tú puedes sin saberlo haber guardado muchas versiones
del mismo documento, todas en diferentes etapas de avance.
También debes recordar, que los discos duros de la computadora no son los
únicos dispositivos que almacenan información digital. Los CD, DVD, los pen-drive
USB, las tarjetas de memoria flash de los teléfonos móviles y los discos duros
externos tienen los mismos problemas, y no debes confiar en una simple operación
de borrar o reescribir para desaparecer información de cualquiera de ellos.
71
múltiples veces con datos aleatorios. A este proceso se le llama eliminado
permanente, y cuantas veces es sobrescrita la información, mayor es la dificultad
para que alguien pueda recuperar el contenido original. Los expertos coinciden
generalmente que tres o más pasadas deben hacerse — algunos estándares
recomiendan siete o más — pero el software de eliminación permanente de datos se
ocupa de esto automáticamente.
72
6.2.2 Eliminar datos temporales
La opción de que Eraser elimine todo el espacio no asignado de una unidad
no es riesgoso, debido a que elimina el contenido borrado anteriormente. Los
archivos visibles no son afectados. Por otro lado, esto mismo sirve para resaltar un
aspecto diferente: Eraser no te ayuda a limpiar la información que no ha sido
borrada pero que pudiera estar oculta. Los archivos que contienen dichos datos
pueden estar metidos en carpetas ocultas o almacenados con nombres sin
significado. Este no es un gran problema para documentos electrónicos, pero es
importante para información que se recolecta automáticamente cada vez que utilizas
tu computadora. Incluye:
73
utilizar CCleaner, software para realizar la limpieza después de utilizar programas
como Internet Explorer, Mozilla Firefox y las aplicaciones de Microsoft Office —
todas las cuales son conocidas por exponer información importante — así como el
mismo Windows. CCleaner borra archivos de forma segura, lo cual ahorra tener que
eliminar el espacio no asignado de la unidad, usando Eraser, después de utilizarlo.
74
◦ Utilizar periódicamente Eraser para eliminar el archivo de paginación o
de intercambio tmp.
De manera similar si compras un nuevo disco duro, borra los contenidos del
antiguo después de copiar tus datos y hacer un respaldo seguro. Si lo que
pretendes es botar o reciclar un viejo disco duro, también considera el destruirlo
físicamente. (profesionales a cargo del mantenimiento de las computadoras
recomiendan unos golpes fuertes con un martillo antes de desechar cualquier
dispositivo de almacenamiento que alguna vez contuvo información.)
75
contenga cualquier información que desees mantener. Y, por supuesto, esta es la
única manera de 'borrar' el contenido de un disco no regrabable. Es difícil destruir
los contenidos de un CD o DVD. Seguramente has escuchado historias sobre
información recuperada de tales discos incluso después de que fueran cortados en
pequeños pedazos. Aunque estas historias son ciertas, el reconstruir la información
de esta manera toma tiempo y pericia. Debes juzgar por ti mismo si es probable o
no que alguien gaste recursos con el fin de acceder a tus datos. Un par de fuertes
tijeras o una fuerte cortadora de papel hará el trabajo. Si deseas tomar precauciones
adicionales, mezclar las piezas resultantes y disponer de ellas en varias ubicaciones
alejadas de tu casa u oficina.
Shred
Este comando se ejecuta desde la consola, que viene instalada por defecto
en casi todas las distros populares. Borra archivos y particiones en forma segura,
utilizando el método Gutman.
SRM
76
sfill (secure free space wiper), que limpia en forma permanente el espacio
libre de tus discos. Es ideal para dejar “limpio” un disco. Es probable que para
ejecutarlo sin problemas necesites permisos de administrador.
sfill /ruta/montaje/disco
Tanto shred como srm pueden no ser 100% efectivos en un disco de estado
sólido (SSD) o incluso en algunos discos mecánicos avanzados en los que el disco
puede no estar escribiendo donde uno imagina.
Con una interfaz amigable, te ayuda con eso y con muchas otras cosas más;
entre ellas, borrar las vistas en miniatura de tus fotos (que se acumulan con cada
dispositivo que montes), y que acumula una cantidad impresionante de basura.
Bleachbit
77
7. Mantener privada tu comunicación en
Internet
La conveniencia, la relación costo-beneficio y la flexibilidad del correo
electrónico y de la mensajería instantánea los hace valiosos para las personas y las
organizaciones, incluso para aquellas con el acceso más limitado a Internet. Para
conexiones rápidas y confiables, programas como Jitsi, Skype y otras herramientas
de Voz sobre Protocolo de Internet (VoIP) comparten estas características.
78
existe alguna amenaza que no has considerado, ya sea un registrador de teclas
(keylogger) en tu computadora, una persona escuchando tras la puerta, un
corresponsal de correo electrónico descuidado o algo completamente diferente. El
objetivo es ayudarte a reducir potenciales amenazas; y evitar la posición extrema,
favorecida por algunos, de no enviar nada por Internet que no estés dispuesto/a a
comunicar públicamente.
Más allá de los fundamentos, a veces es crítico que tus contactos de correo
electrónico tengan la capacidad de verificar, sin duda, que un mensaje en particular
viene de ti y no de alguien que podría estar intentando hacerse pasar por ti. Una
manera de lograrlo está en la sección Seguridad avanzada de correo electrónico,
dentro de la sección Cifrar y autenticar los mensajes individuales.
79
en su ruta hacia el destinatario, su contenido puede ser leído fácilmente. Y, debido a
que la Internet es una gran red que depende de computadoras intermedias para
dirigir el tráfico, muchas personas distintas pueden tener la oportunidad de
interceptar un mensaje de esta manera.
◦ los contactos de tu lista de correo avisan que han recibido un correo que
tú no enviaste.
◦ has dejado de recibir con regularidad algunos correos de tus colegas que
insisten haberte enviado.
80
por lo menos hasta tener una mejor comprensión de la situación.
81
a sus contactos.
◦ Considera utilizar otra cuenta, más segura, como, una que notifique
cuando se ingresa desde lugares o dispositivos inusuales e impida el
acceso. Utiliza una cuenta que esté albergada fuera de tu país y usa
cifrado de correo, ver gpg4usb - texto de correo electrónico y cifrado de
archivos] o [Thunderbird con Enigmail y GPG - Cliente de correo
electrónico seguro].
82
• Tanto tú como tus contactos de correo electrónico deben crear nuevas
cuentas y conectarse a ellas sólo desde lugares, como un café Internet, que
nunca antes hayan utilizado. Te recomendamos esta estrategia para evitar
conexiones desde la computadora que normalmente usas, la cual puede
estar vigilada, y facilitarles a quienes te vigilan la ubicación de tu nueva
cuenta. Como alternativa—si vas a iniciar sesión para tu nueva cuenta desde
tu ubicación normal — utiliza una de las herramientas del capítulo 8.
83
7.2.3 Asegura tu software de mensajería instantánea
La mensajería instantánea, llamada 'chat,' no es segura, y es tan vulnerable
a la vigilancia como lo es el correo electrónico. Existen programas que te ayudan a
asegurar la privacidad de tus sesiones de chat. Sin embargo - del mismo modo que
con el correo electrónico - un canal de comunicación seguro requiere que tanto tú
como tus contactos de chat utilicen el mismo software y tomen las mismas
precauciones de seguridad.
• Skype encripta tanto mensajes como llamadas de voz, esto sucede cuando
84
ambos lados de la comunicación utilizan Skype. Éste, no cifra las llamadas a
teléfonos o textos enviados por mensajes SMS.
85
◦ Verifica de forma independiente la identidad de la persona con quien te
comunicas. Es sencillo hacerlo cuando realizas chat con voz ya que
sabes con quién estás hablando.
86
clave pública del que nos ocupamos aquí. En algunas circunstancias, si un correo
electrónico que contiene datos cifrados es interceptado o publicado en un foro
público, podría incriminar a la persona que lo envió, sin considerar el contenido del
mensaje. Tendrás que seleccionar entre la privacidad de tu mensaje y la necesidad
de mantenerte sin llamar la atención.
87
8 Mantener el anonimato y evadir la censura en
Internet
Muchos países han instalado software que evita que los usuarios del país
accedan a ciertos sitios web y servicios de Internet. Las compañías, colegios y
bibliotecas públicas a menudo utilizan un software similar para proteger a sus
empleados, estudiantes y clientes de material que consideran molesto o dañino.
Este tipo de tecnología de filtrado viene en diferentes formas. Algunos filtros
bloquean sitios de acuerdo a su dirección IP, otros ponen en su lista negra ciertos
nombres de dominio o buscan a través de las comunicaciones no cifradas en
Internet palabras claves específicas.
88
Naturalmente, aquellos que controlan el acceso de sus ciudadanos a la
Internet también hacen un esfuerzo especial para bloquear proxy y sitios web
conocidos con herramientas e instrucciones para ayudar a las personas a evadir
estos filtros.
89
Internet al cual estás accediendo pasa por un proceso similar, habiendo recibido su
propia dirección IP de su Proveedor de Servicio de Internet (ISP) en su país. Incluso
sin los detalles técnicos, un modelo básico es útil cuando piensas en las varias
herramientas que te permiten rodear los filtros y mantenerte anónimo en la Internet.
Para empeorar las cosas, cuando una página web es bloqueada ni siquiera
lo sabes. Aunque algunos filtros proporcionan una 'página de bloqueo' que explica
porque una página en particular ha sido censurada, otras muestran mensajes de
error desorientadores. Estos mensajes pueden implicar que la página no puede ser
encontrada o que la dirección fue mal ingresada.
90
◦ Los sitios bloqueados son considerados en listas negras tanto por las
direcciones IP como por nombres de dominio.
Los creadores de sitios de evasión responden utilizan uno o los dos métodos
mostrados a continuación:
91
bloqueados. El proceso de informar a los usuarios de como hallar los proxy
de reemplazo puede no ser particularmente seguro. En vez de ello, las
herramientas de evasión de este tipo a menudo tratan de distribuir los
nuevos proxy más rápido que su proceso de bloqueo.
Al final, mientras sea posible tener a la mano un proxy confiable para que te
traiga los servicios que solicitas, todo lo que debes hacer es enviar tu solicitud y ver
que regrese utilizando la aplicación apropiada de Internet. Los detalles de este
proceso son manejados automáticamente por el software de evasión que instalaste
en tu computadora, al modificar las opciones de tu navegador o dirigiéndolo a una
página proxy basada en la web. La red anónima Tor18, descrita en la sección
siguiente, utiliza el primer método.
2. Abre la categoría "Avanzado". Está a la derecha del todo en la lista. Haz clic
en la pestaña de "Red".
18 Tor usa el protocolo Diffie Hellman, sobre una conexión TLS de una capa inferior previamente
establecida, para procurarse claves de sesión entre el cliente y los nodos de enrutamiento de la red.
Esas claves son usadas para cifrar las capas de cebolla de los paquetes que transitan por la red.
92
2. Si te conectas a un proxy FTP diferente, introdúcelo en el campo "Proxy
FTP". Si quieres usar un servidor proxy para todos los protocolos, marca
la casilla debajo del campo "HTTP Proxy".
3. Presiona "OK" para guardar tus cambios. Puede que necesites reiniciar
Firefox para que los cambios surtan efecto.
En una computadora
1. Abre Chrome.
4. En la esquina superior derecha, se abre una ventana nueva con una figura
gris.
En un dispositivo Android
1. Abre una ventana de Chrome.
93
4. Se abre una ventana nueva con un ícono de incógnito gris .
En un iPhone o iPad
1. Abre una ventana de Chrome.
Puedes cambiar entre una ventana de incógnito y una ventana normal que
tengas abierta. Sin embargo, solo estarás en modo de navegación de incógnito
cuando uses la ventana de incógnito.
94
Ten cuidado. A continuación, se indican algunas fuentes que todavía pueden
ver la actividad de navegación, incluso en el modo de navegación de incógnito:
• tu proveedor de servicios
• tu empleador
Descargas
Chrome no guardará un registro de los archivos que descargues en el modo
de navegación de incógnito. Sin embargo, los archivos descargados se guardarán
en la carpeta Descargas de tu computadora, donde tú y otros usuarios podrán verlos
y abrirlos, incluso después de cerrar las pestañas de incógnito.
Cuando navegas por Internet los sitios web pueden averiguar tu IP. Es como
ir dejando huellas en las páginas que visitas. Eso tiene varios riesgos. Alguien que
rastree tu IP y otros datos sobre tu PC podrá:
95
◦ Descubrir vulnerabilidades que ataquen tu PC y roben datos personales.
Incluidas contraseñas de acceso a tu banco en linea o tu correo
electrónico.
Ocultar tu IP
Hay tres formas de esconder la IP mediante un servidor proxy o varios de
ellos encadenados:
Proxy web
Los hay gratuitos y de pago. Los primeros ofrecen opciones extra que hay
que pagar. Cosas como una navegación rápida o mayores prestaciones.
Proxy de software
96
2. Debajo del botón Download Tor Browser Bundle hay una lista de idiomas
disponibles. Es mejor que mantengas el inglés, pero si quieres elige el
español. Seleccionado el idioma presiona el botón de Download.
Tor Browser es una versión especial de Firefox (Aurora). Se usa casi igual
que tu navegador de costumbre. Lo usan todo tipo de personas para mantener el
anonimato en Internet. Incluidos periodistas o disidentes de países dictatoriales que
de otro modo se pondrían a sí mismos en peligro.
La red Tor está compuesta por una gran cantidad de Pc repartidos por el
mundo (nodos o relays Tor). Cuando alguien navega usando Tor lo hace siguiendo
un camino aleatorio a través de varios de esos nodos, hasta llegar al sitio web de
destino.
Lo que sí puedes hacer es usar una especie de máscara que engañe a quien
97
pretende rastrear tu IP. Eso se consigue mediante lo que se llama un servidor proxy.
98
información importante, como contraseñas y correos electrónicos, a través de un
navegador.
Tienes que instalar software para utilizar el Tor, pero el resultado es una
herramienta que te proporciona anonimato así como evasión. Cada vez que te
conectas a la red del Tor, seleccionas una ruta aleatoria a través de tres proxy
seguros del Tor. Esto garantiza que ni tu Proveedor de Servicio de Internet (ISP) ni
los mismos proxy conozcan tanto la dirección IP de tu computadora y al mismo
tiempo la ubicación de los servicios de Internet que solicitas. Puedes aprender más
sobre esta herramienta en la Guía del Tor.
Una de las fortalezas del Tor es que no sólo trabaja con navegador sino que
puede ser utilizado con varios tipos de software de Internet. Los programas de
correo electrónico, entre ellos el Mozilla Thunderbird, y los programas de mensajería
instantánea, incluyendo al Pidgin, pueden ser operados a través del Tor, ya sea para
acceder a servicios filtrados o para esconder el uso que le das a dichos servicios.
◦ Fáciles de usar
99
opciones
Además, mientras que un proxy se hará mas lento mientras sea utilizado por
más usuarios, esto podría ser problemático con los proxy públicos basados en la
web. Los proxy basados en la web sólo funcionan para páginas web. No puedes
utilizar un programa de mensajería instantánea o un cliente de correo electrónico
para acceder a servicios bloqueados a través de un proxy basado en la web.
Aunque esto puede ser más difícil de utilizar que un proxy basado en la web,
este método de evasión esta mejor dotado para mostrar páginas complejas de
manera correcta y le tomará mucho más tiempo ralentizarse a medida que las
personas utilicen un proxy dado. Además, pueden encontrarse proxy para varias
aplicaciones diferentes de Internet. Los ejemplos incluyen proxy HTTP para
navegadores, SOCKS para programas de correo electrónico y mensajería (chat) y
VPN que pueden redireccionar todo tu tráfico de Internet para evitar el filtrado.
100
8.3.4 Proxy seguros e inseguros
Un proxy seguro se refiere a cualquier proxy que permita conexiones cifradas
de sus usuarios. Un proxy inseguro te permite evadir muchos tipos de filtro pero
fracasará si tu conexión de Internet esta siendo escaneada en busca de palabras
claves o de direcciones de páginas web. Es malo utilizar un proxy inseguro para
acceder a sitios web que normalmente están cifrados, como aquellos de cuentas de
correo electrónico con interfaz web y páginas web bancarias. Al hacerlo, podrías
estar exponiendo información importante que normalmente estaría escondida. Y,
como se mencionó anteriormente, los proxy inseguros a menudo son más fáciles de
descubrir y bloquear por parte de aquellos que actualizan el software y la políticas
de filtrado de Internet. Al final, el hecho de que existan proxy libres, rápidos, seguros
significa que existen muy pocas razones para decidirse por uno inseguro.
El Apéndice C de la Guía de Usuario del Psiphon [3] explica los pasos que
tanto tú, como el administrador del proxy verifiquen la huella digital del proxy.
101
del servidor antes de dirigir tu navegador a aceptar la advertencia. Cuando confías
en un único proxy para la evasión, su administrador conocerá en todo momento tu
dirección IP y el sitio web al que estás accediendo. Sin embargo, es mucho más
importante considerar que si ese proxy está basado en la web, un operador
malicioso podría tener acceso a toda la información que pasa entre tu navegador y
los sitios web que visitas, incluyendo el contenido de tu correo con interfaz web y tus
contraseñas.
Para los proxy que no están basados en la web, debes investigar un poco
para determinar si admiten conexiones seguras o inseguras. Todas los proxy y las
redes anónimas recomendadas en este capitulo son seguros.
102
Firefox. El hacerlo puede ayudarte a protegerte tanto de proxy maliciosos como de
sitios web que pueden tratar de descubrir tu verdadera dirección IP. Finalmente, ten
en cuenta que incluso un proxy cifrado no tornará un sitio web inseguro en uno
seguro. Debes garantizar que tienes una conexión HTTPS antes de enviar o recibir
información importante.
103
Your-Freedom es un proxy de evasión privado, seguro y no basado en web.
Es una herramienta de software gratuito que puede utilizarse para acceder a un
servicio de evasión sin costo. Puedes pagar un cargo para acceder a un servicio
comercial, el cual es más rápido y tiene menos limitaciones. Para utilizarlo
necesitarás descargar la herramienta y crear una cuenta, ambas acciones pueden
realizarse en el sitio web de Your-Freedom. De manera similar necesitarás
configurar tu navegador para utilizar el proxy OpenVPN cuando te conectes a la
Internet.
104
9. Protegerte a ti mismo y a tus datos al utilizar
sitios de redes sociales
Las comunidades en línea han existido desde la invención de la Internet.
Primero habían tablones de anuncios y listas de correo electrónico, las cuales le
dieron a las personas la oportunidad de conectarse, comunicarse y compartir
información sobre temas particulares. Hoy en día, los sitios web de redes sociales
han expandido el rango de posibles interacciones, compartiendo mensajes,
imágenes, archivos e incluso información actualizada al minuto acerca de lo haces y
donde estas. Estas funciones no son nuevas o únicas – estas acciones pueden ser
ejecutadas por Internet sin tener que unirse a un sitio de redes sociales.
Las redes sociales son útiles y promueven la interacción social tanto en línea
como fuera de ella, si las utilizas podrías estar poniendo tu información a disposición
de personas que quieran hacer mal uso de ella.
Piensa en las redes sociales como si fueran una enorme fiesta. Ahí hay
personas que conoces, así como otras que no conoces. Imagina caminar a través
de la fiesta con tus detalles personales y explicando lo que piensas, cada
pensamiento es actualizado al minuto, escrito en un gran aviso adherido a tu
espalda de modo que puedan leerlo, incluso sin que lo sepas. ¿Realmente deseas
que sepan todo sobre ti?
105
necesitan ser cuidadosos sobre la información que revelan sobre sí mismos y sobre
las personas con las que trabajan.
106
públicos con Internet. Borra tu contraseña e historial de navegación cuando utilices
un navegador en una máquina pública.
Se cauteloso sobre cuan seguro está tu contenido en una red social. Nunca
confíes en un sitio de red social como receptor primario para tu contenido o
información. Es fácil para los gobiernos bloquear el acceso a un sitio de red social
dentro de sus límites si de pronto encuentran su contenido censurable. Los
administradores de un sitio de red social podrían retirar ellos mismos el contenido
censurable, en vez de afrontar la censura dentro de un país en particular.
◦ fechas de nacimiento
107
◦ números telefónicos de contacto
◦ direcciones
◦ orientación sexual
Cuando utilices una cuenta de red social como Facebook, que mantiene
información personal, evalúa conectarte sólo con personas que conoces y en
quienes confías; y que no utilizarán la información que publicas de mala manera.
108
de que podrías revelar sobre tus amigos que ellos no quisieran que supieran otros;
es importante ser perceptivo acerca de esto, y pedirle a otros ser perceptivos acerca
de lo que revelan sobre ti.
Si quieres que tus contactos sean las únicas personas que vean las cosas
que compartes o marcas como interesantes, asegúrate de revisar tu configuración
de privacidad.
109
9.2.4 Compartir videos/fotos
Fotos y videos pueden revelar las identidades de las personas. Es
importante que tengas el consentimiento de los sujetos que se hallen en cualquier
foto o video que publiques. Si estás publicando la imagen de otra persona, se
consciente de cómo podrías estar poniendo en peligro su privacidad. Nunca
publiques un video o foto de alguien sin tener primero su consentimiento.
Los fotos y videos también pueden, sin intención, revelar mucha información.
Muchas cámaras insertarán datos ocultos (rótulos de metadatos), que revelan la
fecha, hora y ubicación de la foto, tipo de cámara, etc. Los sitios de intercambio de
foto y video podrían publicar esta información cuando subes contenido a sus sitios.
Cuando te unes a una comunidad o grupo en línea revelas algo tuyo a otros.
En general, las personas podrían asumir que tu apoyas o estás de acuerdo con lo
que el grupo está diciendo o haciendo, lo cual podría hacerte vulnerable si estás
siendo visto como alineado a un grupos políticos particulares.
Por otro lado, si te unes a un grupo con un gran número de miembros que no
conoces, ello podría poner en peligro algunas opciones de privacidad o seguridad
que has empleado en tu cuenta, por tanto reflexiona acerca de que información
110
estás entregando antes de unirte. ¿Estas utilizando tu foto y nombre real de modo
que extraños puedan identificarte?
111
10. Utilizar los teléfonos móviles de la manera
más segura posible
Los teléfonos móviles son una parte integral de nuestras comunicaciones
diarias. Estos dispositivos tiene la capacidad para servicios de mensajería de voz y
de texto simple. Su pequeño tamaño, relativamente bajo costo y múltiples
aplicaciones hacen de estos dispositivos invaluables para propósito de
comunicación y organización.
Las redes de telefonía móvil son redes privadas administradas por entidades
comerciales, las cuales pueden estar bajo el control monopólico del gobierno. La
entidad comercial o gubernamental, tiene acceso ilimitado a la información y a las
comunicaciones de sus clientes, así como la capacidad para interceptar llamadas,
mensajes de texto, y vigilar la ubicación de cada aparato (y de sus usuarios).
112
El número de las funciones disponibles en los teléfonos móviles ha crecido
en años recientes. Los teléfonos móviles modernos son de hecho minicomputadoras
portátiles conectadas a Internet con funciones de teléfono móvil.
113
La evolución de la tecnología trae más características, pero también más
riesgos.
Entre más utilizas tu teléfono móvil más atento debes estar de los riesgos
asociados a él y tomar las precauciones necesarias. Estos teléfonos son potentes
amplificadores y distribuidores de tus datos personales, están diseñados para
proporcionar la mayor conectividad posible y acceder automáticamente a los
114
servicios de redes sociales. Recuerda, tus datos personales son valiosos, pueden
ser agregados, buscados y vendidos.
115
Cuando te deshagas de tu teléfono verifica que no entregas información
almacenada en él o en la tarjeta SIM o en la tarjeta de memoria (incluso si el
teléfono o las tarjetas están rotas o han expirado). Deshacerte de las tarjetas SIM
destruyéndolas físicamente sería la mejor opción. Si planeas obsequiar, vender o
reutilizar tu teléfono asegúrate que toda la información sea eliminada.
116
el proveedor de servicios de red sabe exactamente la ubicación geográfica de tu
teléfono móvil en un momento dado.
117
pueda estar completamente a salvo.
118
números telefónicos del emisor y del receptor así como el contenido del mensaje. Lo
que es más, los mensajes SMS pueden ser fácilmente alterados o falsificados por
terceros.
119
precauciones podrían aplicarse sólo a los teléfonos móviles, pero es muy importante
saber exactamente cuáles son las capacidades de tu teléfono, con el fin de tener
certeza de que has tomado las las medidas apropiadas:
Conecta tu teléfono a una computadora sólo si estás seguro que esta esta
libre de software malicioso (malware). Consulta el Capítulo 1. Proteger tu
computadora de software malicioso (malware) y piratas informáticos (hackers).
120
escuchar a escondidas en esta tipo de comunicaciones. En vez de ello, transfiere
datos utilizando una conexión con cable desde el teléfono a audífonos de manos
libres o a una computadora.
Sin importar el tipo de teléfono móvil que utilizas, es importante que seas
consciente de algunos temas al usar un teléfono que se conecta a internet y que
contiene características como GPS o capacidad de red inalámbrica. En este capítulo
nos enfocamos en dispositivos con la plataforma Android, ya que, como explicamos
anteriormente, es más fácil asegurar datos y comunicaciones. Sin embargo, las
guías de configuración básicas y algunas aplicaciones para dispositivos que no sean
teléfonos Android se proporcionan también.
121
10.5.2 Teléfonos móviles convencionales
Otra categoría de teléfonos móviles, como Nokia 7705 Twist o Samsung
Rogue, son llamados 'móviles convencionales' . Recientemente, estos teléfonos han
incrementado sus funcionalidades para incluir algunas contenidas en los teléfonos
móviles. Generalmente los sistemas operativos de los móviles convencionales son
menos accesibles, y por lo tanto existen limitadas oportunidades para aplicaciones
de seguridad o mejoras a las mismas. No abordamos específicamente los móviles
convencionales, sin embargo muchas de las medidas expresadas en este capítulo
también tienen sentido para los móviles convencionales.
19 Firmware es un programa grabado en memoria ROM, que establece la lógica de bajo nivel que
controla la electrónica de un dispositivo, y por ende se considera parte del hardware, también es
software, pues proporciona la lógica y está programado en algún tipo de lenguaje de
programación. El firmware recibe órdenes externas y responde operando el dispositivo. El BIOS
es un firmware.
122
controlan su seguridad. Es importante prestar atención sobre como se encuentra
configurado tu teléfono móvil. En las guías prácticas que se presentan más
adelante, te alertamos sobre algunas opciones de seguridad del teléfono móvil que
están disponibles pero no están activadas por defecto, así como aquellas opciones
que se encuentran activadas por defecto y que vulneran tu teléfono.
Son muy útiles estos sitios web alternativos si quieres minimizar tu contacto
en línea con Google. Recomendamos F-Droid ('Free Droid'), que ofrece aplicaciones
FOSS. En este documento, F-Droid es el repositorio de las aplicaciones que
recomendamos, y sólo te referimos a Google Play si una aplicación no está
disponible en F-Droid.
123
Si no deseas (o no puedes) conectarte a internet para acceder a las
aplicaciones, transfiere aplicaciones al teléfono de otra persona enviando
archivos .apk (siglas para 'paquetes de aplicaciones para android') vía bluetooth.
Como alternativa puedes descargar el archivo .apk a la tarjeta Micro SD de tu
dispositivo móvil o utilizar un cable usb para trasladarlo desde una computadora.
Cuando hayas recibido el archivo, simplemente haz un pulso largo al archivo y
estará listo para instalarse. Nota: aunque parezca paranoico se cuidadoso cuando
usas bluetooth.
Skype
La aplicación comercial VoIP más popular Skype está disponible para todas
las plataformas de teléfonos móviles y funciona si tu conexión inalámbrica es fiable.
Es menos seguro en conexiones de data móvil.
124
Otros VoIP
Procura utilizar VoIP gratuitos (más barato que las llamadas móviles) y que
dejan menos rastros de tus datos. Una llamada segura con VoIP es la forma segura
de comunicarse.
125
10.6.1.2 SMS
La comunicación SMS es insegura por defecto. Cualquier persona con
acceso a una red de telecomunicación móvil puede interceptar los mensajes, y esto
es una acción cotidiana que se da en muchas situaciones. No se confíe enviando
mensajes SMS inseguros en situaciones críticas. No existen ninguna forma de
autenticar un mensaje SMS, por lo tanto es imposible saber si el contenido de dicho
mensaje fue alterado durante su envío o si el emisor del mensaje realmente es la
persona que dice ser.
Chat Seguro
La mensajería instantánea o chat en tu teléfono puede producir mucha
información vulnerable a la interceptación. Estas conversaciones podrían ser usadas
en tu contra por adversarios posteriormente. Deberías por lo tanto ser
extremadamente cauteloso sobre lo que escribes en tu teléfono mientras envías
mensajes instantáneos y al chatear.
126
Ofrece cifrado sencillo y fuerte para tus chats con el protocolo de mensajería Off-
the-Record. Este cifrado provee ambas autenticaciones, por un lado puedes verificar
que chateas con la persona correcta, y por otro lado contiene seguridad
independiente entre cada sesión, de esta forma si una sesión de chat cifrado se ve
comprometida, otras sesiones pasadas o futuras se mantendrán seguras.
127
10.7.2 Enviando Correos Electrónicos con teléfonos móviles
En primera instancia, considera si realmente necesitas acceder a tu correo
electrónico con tu teléfono móvil. Asegurar una computadora y su contenido,
generalmente es más sencillo que hacerlo con un teléfono móvil. Recuerda que éste
es más susceptible a robos, vigilancia e intrusiones.
Notar que esto requiere preguntarle a las personas con las que te
comunicas, que deben cifrar sus correos electrónicos utilizando la clave única de
cifrado de móviles.
128
En estos casos, estas sugerencias pueden ser de ayuda:
Utilizar una conexión WiFi reduce los rastros o huellas de los datos que estás
dejando en tu proveedor de servicios de telefonía móvil (ya que no estás
conectado/a con tu suscripción de teléfono móvil). A pesar de ello, algunas veces la
conexión de data móvil es la única forma de estar en línea. Desafortunadamente, los
protocolos de la conexión de data móvil (como EDGE o UMTS) no tienen protocolos
abiertos. Desarrolladores independientes e ingenieros de seguridad no pueden
examinar estos protocolos para ver cómo están siendo implementados por los
operadores de data móvil.
129
resultar en una mayor vigilancia por parte de gobiernos y responsables del soporte.
Anónimo
Proxy
La versión móvil del navegador Firefox – Firefox mobile puede equiparse con
complementos proxy que dirigirán tu tráfico a un servidor proxy. Por lo tanto, tu
tráfico irá al sitio que estás solicitando. Esto en casos de censura, pero puede que
revele tus solicitudes si tu conexión desde tu cliente al proxy no está cifrada. Utiliza
el complemento llamado Proxy Mobile, también de Guardian Project, el cual hace
que el proxy con Firefox sea sencillo. Así mismo, es la única forma de canalizar la
comunicación móvil de Firefox a Orbot y la red Tor.
130
Por esto, y por otras razones, algunos usuarios de teléfonos móviles
prefieren manipular los diversos programas y software ya instalados en los teléfonos
móviles con el fin de obtener privilegios para instalar funciones mejoradas, o
remover y/o reducir otras.
131
Como firmware alternativo para un teléfono Android tenemos Cyanogenmod,
el cual te permite desinstalar aplicaciones al nivel del sistema de tu teléfono
(aquellas aplicaciones instaladas por el fabricante del teléfono o tu operador de red
móvil). Al hacerlo, reduces la cantidad de formas en las que tu dispositivo es
supervisado, como cuando la información es enviada a tu proveedor de servicios sin
tu conocimiento.
Ten en cuenta que como todo tu tráfico viaja a través de un servidor proxy o
VPN, un intermediario sólo necesita acceso al proxy para analizar tus actividades.
Por lo tanto, es sumamente importante que elijas cuidadosamente entre los
132
servicios de proxy y de VPN. También es recomendable utilizar diferentes proxy y/o
RPV, ya que al distribuir en diferentes canales tus datos se reduce el impacto de un
servicio en peligro.
Trata el uso del servidor RiseUp VPN. Puedes utilizar RiseUp VPN en un
dispositivo Android después de instalar Cyanogenmod. Además es fácil de
configurar la conexión del RiseUp VPN a un iPhone.
133
Glosario
A continuación, se definen los términos técnicos usados en este libro:
134
Archivo de paginación o intercambio – Archivo en tu computadora en el
cual se guarda información, parte de la cual puede ser importante, ocasionalmente
con el fin de mejorar su rendimiento.
135
embargo, con el fin de que tu navegador acepte un certificado de seguridad como
valido, el servicio debe pagar por una firma digital de una organización confiable.
Debido a que ello es oneroso algunos operadores de servicios son reticentes o
incapaces de gastar en este. Sin embargo, de manera ocasional verás un error de
certificado de seguridad incluso cuando visitas un servicio válido.
136
Contraseña o password. Conjunto de números, letras y caracteres,
utilizados para reservar el acceso a los usuarios que disponen de esta contraseña.
137
Servicio General de Radio por Paquetes, y el Sistema Universal de
Telecomunicaciones Móviles, son tecnologías que le permiten a los dispositivos
móviles conectarse a Internet.
138
Eraser – Herramienta que elimina información, de tu computadora o de tu
dispositivo removible de almacenamiento, de manera segura y permanente.
Evasión – Acto de evadir los filtros de Internet para acceder a los sitios web
y otros servicios de Internet bloqueados.
139
personaliza tomando en cuenta la privacidad y seguridad.
Intranet. Red privada dentro de una empresa, que utiliza el mismo software
y protocolos empleados en la Internet global, pero que solo es de uso interno.
140
LiveCD - Un CD que permite a tu computadora ejecutar un sistema operativo
diferente en forma temporal.
141
código abierto que se apoya en un complemento llamado Fuera de Registro (OTR).
Red: Se tiene una red, cada vez que se conectan dos o más computadoras
de manera que pueden compartir recursos.
142
telefonía móvil con el fin de obtener total acceso al sistema operativo.
Software gratuito (freeware) – Incluye software sin costo pero que está
sujeto a restricciones legales o técnicas que le impiden al usuario acceder al código
fuente utilizado para crearlo.
143
Software Libre y de Código Abierto (FOSS) – Esta familia de software está
disponible gratuitamente y no tiene restricciones legales que impidan a un usuario
probarlo, compartirlo o modificarlo.
144
Usuario. Toda persona, funcionario (empleado, contratista, temporal), que
utilice los sistemas de información de la empresa debidamente identificado y
autorizado a emplear las diferentes aplicaciones habilitadas de acuerdo con sus
funciones.
Web Mail. Es una tecnología que permite acceder a una cuenta de Correo
Electrónico (E-Mail) a través de un navegador de Internet, de esta forma podrá
acceder a su casilla de correo desde cualquier computadora del mundo.
Web Site. Un Web Site es equivalente a tener una oficina virtual o tienda en
el Internet. Es un sitio en Internet disponible para ser accesado y consultado por
todo navegante en la red pública. Un Web Site es un instrumento avanzado y rápido
de la comunicación que facilita el suministro de información de productos o
entidades. Un Web Site es también considerado como un conjunto de páginas
electrónicas las cuales se pueden accesar a través de Internet.
145
137
BIBLIOGRAFÍA
• "Site Security Handbook". Request For Comments 1244. P. Holbrook y J.
Reynolds.
• "Building Internet Firewalls". D.B. Chapman y E.D. Zwicky. O’Reilly & Associates.
Cap. 3 y 11.
Introducción a la
http://www.eset-la.com/threat-center/1732-informe-malware-america-latina
http://images.globalknowledge.com
138
• Bruce Schneier, Secrets & Lies. Digital Security in a Networked World. John Wiley
& Sons, 2000.
• Kevin Mitnick, The Art of Intrusión. John Wiley & Sons, 2005.
• La Odisea de Homero.
Farwell, James P.; Rafal Rohozinski; “Stuxnet and the Future of Cyber
War”, Survival, vol. 53, número 1, 2011
Dobbs, Michael; The Edge of Madness, Simon & Shuster UK Ltd., RU, 2008
IBM, Top 3 Keys to Higher ROI From Data Mining, artículo técnico de IBM SPSS
YourDictionary.com, http://computer.yourdictionary.com/dataintegrity
Broad, William J.; John Markoff; David E. Sanger; “Israeli Test on Worm Called
Crucial in Iran Nuclear Delay”, The New York Times,15 de enero de
2011, www.nytimes.com/2011/01/16/world/middleeast/16stuxnet. html?pagewanted=all
IT Governance Institute, IT Assurance Guide: Using COBIT, EE. UU., 2007, pág.
212
Bankar, Pritam; Sharad Verma; “Mapping PCI DSS v2.0 With COBIT 4.1”, COBIT
Focus, vol. 2, 2011, www.isaca.org/cobitnewsletter
Data Management Association International (DAMA), The DAMA Guide to the Data
Management Body of Knowledge, Technics Publications LLC, EE. UU.,
2009, www.dama.org/i4a/pages/index.cfm?pageid=3345
139
consolidadas, por la que se modifican las Directivas del Consejo 78/660/CEE y
83/349/CEE y se deroga la Directiva del Consejo 84/253/CEE.
Adaptado de US Chiefs of Staff Joint Publication 3-28, “Civil Support”, EE. UU.,
septiembre de 2007
140
4th ACM Conference on Computer and Communications Security, 1998, pp. 8-17
141