Seguridad en la red

Tema 1 Introducción
1.1. Presentación y objetivos del curso
1.2. ¿Qué es la ciberseguridad?
1.3. Sistema de Gestión de Seguridad de la Información
1.4. ¿Qué pueden obtener de nuestros equipos infectados que sea de interés?
1.5. Errores comunes

Tema 2 Nuevas amenazas

2.1. Amenaza Persistente Avanzada
2.2. Malware
2.3. Ingeniería social

Tema 3 Redes sociales y otras herramientas de comunicación

3.1. Introducción
3.2. ¿Qué son las redes sociales? Amenazas y riesgos
3.3. Telefonía IP, Videoconferencia y Telepresencia
3.4. Mensajería instantánea

Tema 4 Internet of Things (IoT) y Cloud

4.1. ¿Qué es IoT?
4.2. Aplicación de IoT
4.3. Amenazas y riesgos
4.4. La nube o cloud
4.5. ¿Cómo protegernos?

Tema 5 Protección de datos

5.1. Derecho al olvido
5.2. Cómo ejercer el derecho al olvido
5.3. Identidad biométrica
5.4. Datos de carácter personal
5.5. Deber de la información
5.6. Derechos ARCO

Tema 6 Buenas prácticas

6.1. Concepto de buenas prácticas de seguridad
6.2. Seguridad en el puesto de trabajo
6.3. Trabajo en red
6.4. Seguridad en dispositivos móviles
6.5. Navegación
6.6. Correo electrónico

1
1. Introducción
¿Qué es la ciberseguridad?
2. Es la parte de la seguridad que se ocupa de los delitos cometidos en el ciberespacio
y su prevención. Supone la protección de activos de información, a través
del tratamiento de amenazas que ponen en riesgo la información que es procesada,
almacenada y transportada por los sistemas de información que se encuentran
interconectados.
3. Haz clic sobre las imágenes para ampliar la información.
4. La ciberseguridad busca proteger la información digital en los sistemas
interconectados. Está comprendida dentro de la seguridad de la información, y se
enfoca principalmente en la información en formato digital y los sistemas
interconectados que la procesan, almacenan o transmiten.

Sistema de Gestión de Seguridad de la Información

La norma ISO/IEC 27001:2013 proporciona el modelo para la creación, implementación,

funcionamiento, supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión
de Seguridad de la Información, fruto de una decisión estratégica de la organización.

Dicha norma define activo de información como los conocimientos o datos que tienen
valor para una organización, mientras que los sistemas de información comprenden a las
aplicaciones, servicios, activos de tecnologías de información u otros componentes que
permiten el manejo de la misma. Es fundamental para las compañías estar preparadas para
afrontar cualquier riesgo o amenaza en ciberseguridad y contar con una estrategia
adecuada que mezcle tecnología de vanguardia, procesos operables y personal
especializado.

La información debe ser tratada conforme a una serie de principios básicos:

Confidencialidad: Garantiza que sólo las personas, entidades o procesos autorizados

pueden acceder a la información, toda aquella información cuya difusión debe limitarse a
los individuos autorizados y cuyo acceso por otros individuos debe impedirse.

Integridad: Garantiza que la información no pueda ser o no sea modificada o alterada por
personas, entidades o procesos no autorizados. Los datos no han sido modificados o
alterados durante su transmisión o su almacenamiento.

Disponibilidad: Garantiza que se puede acceder a la información y a los recursos o

servicios que la manejan, conforme a las especificaciones de los mismos. Y que puede
involucrar a otras propiedades, como la Autenticidad que garantiza que la información
pertenece a su propietario y el No Repudio que se puede probar esa autoría.

El objetivo principal es proteger la información, independientemente de que ésta

pertenezca a una organización o si se trata de información personal, ya que nadie está
exento de padecer algún riesgo de seguridad. La condición de seguridad no se da al 100%,
ya que no existe la certeza de que se puedan evitar todos los peligros. El próposito
es reducir los riesgos hasta un nivel aceptable para los interesados.

2
¿Qué pueden obtener de nuestros equipos infectados que
sea de interés?
Muchas veces nos preguntamos, ¿y para qué van a querer acceder a mi equipo si lo único
que guardo en él son cosas aburridas, como informes de trabajo o reportes…? y no nos
damos cuenta de que existe un mercado negro donde se compran y venden contraseñas,
direcciones de correo electrónico, información confidencial, etc.

Por ello, tenemos que tener especial cuidado con:

Credenciales o contraseñas:

Se venden en el mercado negro. Las contraseñas sirven para:

 Hacerse pasar por otra persona (por nosotros) a la hora de cometer algún delito.
 Acceder a nuestras redes sociales y obtener más información de utilidad: teléfonos,
nuestros o de terceros, otras contraseñas, fotos, por ejemplo de niños.
 Encontrar contraseñas de servicios de pago.
 Acceder a información valiosa de la organización.

Direcciones de correo electrónico:

Se venden en el mercado negro y sirven entre otras cosas, para el envío de correos no
deseados, el spam.

Perfiles de usuario:

Gustos, preferencias de compra y características de un usuario de un servicio, con el

objetivo de utilizar su perfil para elaborar campañas de marketing.

Información confidencial:

En nuestro ordenador se almacena información importante. Esta información es de gran

interés para los ciberdelincuentes.

Errores comunes
Ahora, que ya sabemos qué interés tiene un cibercriminal en nuestra tecnología, vamos a
ver los errores más comunes que podemos cometer como usuarios, por desconocimiento o
descuido:

Fuentes desconocidas -Equipos que no se apagan- Compartir- Servicios en la nube

3
Sesión abierta - Redes públicas - Mensajería online - Credenciales expuestas

2. NUEVAS AMENAZAS
Amenaza Persistente Avanzada
En el concepto de Amenaza Persistente Avanzada, más conocido como APT, el término
“Persistente” significa que existe un control y monitorización (vigilancia) externa por
parte del atacante, con el objetivo de extraer datos específicos de forma continua y el
término “Amenaza” indica la participación humana para dirigir el ataque. Se puede definir
de la siguiente manera:

Concepto: Es un conjunto de técnicas informáticas orquestadas por personas con el

objetivo de vulnerar las medidas de seguridad informática dispuestas en una organización,
normalmente con fines delictivos, y siempre de forma sigilosa y continuada, es decir,
violar la seguridad de la organización varias veces sin ser descubiertos.

Objetivos: Los atacantes fijan sus objetivos en organizaciones o naciones; por motivos de
negocio o política.

Técnicas: Involucra sofisticadas técnicas que utilizan software malicioso para explotar
vulnerabilidades en los sistemas.

Malware
Es un software que se infiltra, o daña un terminal o sistema de información (móviles,
ordenadores…) sin el consentimiento de su propietario. Es importante señalar que solo se
considera al software como malware cuando este recopila información del sistema o usuario
o si se instala sin el consentimiento del usuario. Podemos definir varios tipos de malware:

Virus: Programa diseñado que se adhiere a aplicaciones existentes en el sistema. Cuando

se ejecuta una aplicación infectada, se propaga a otros archivos o programas. Los efectos
de un virus varían desde mostrar un mensaje al usuario, sobrescribir archivos, eliminar
archivos, enviar documentación a terceros, etc. Los virus informáticos requieren de
interacción humana para su propagación. Esto significa que no se propagan “solos”. Un
ejemplo de interacción humana es abrir un USB infectado en el ordenador de un
compañero.

Troyano: Software malicioso, que se caracteriza por:

 La capacidad de replicación.
 No da muestras de mal funcionamiento del sistema infectado (es silencioso).
 Abre canales de comunicaciónhacia otros equipos infectados.

4
  Otorga al atacante el control absoluto de nuestro sistema (normalmente, sin que el
usuario se dé cuenta).
 Suelen utilizarse como “puente” hacia otros equipos.

Gusano: A diferencia de los virus y troyanos, el gusano aprovecha vulnerabilidades del

sistema o aplicaciones conocidas para alcanzar los objetivos del atacante. Es muy
peligroso porque se propaga sin necesidad de interacción humana.

Spyware: Recopila información del sistema de forma automatizada, para

posteriormente enviar un reporte de la misma a un atacante sin el consentimiento ni el
conocimiento del usuario.
Un ejemplo de spyware sería un programa que elimina o trasfiere archivos de forma
automática y sin que se entere el usuario a otros ordenadores.

Ransomware (software de secuestro): Cifra los archivos de un ordenador, pidiendo un

rescate económico a modo de extorsión, a cambio de liberar la información que tiene en su
poder. Es importante señalar que realizar al pago por el rescate, NO garantiza el
descifrado de nuestro equipo.

Ingeniería social
Veamos en qué consiste la ingeniería social y una de sus principales técnicas, el phishing:
Concepto: La ingeniería social es una práctica que:

 Tiene como objetivo a las personas.

 Se aprovecha de su buena voluntad y falta de conocimiento.
 Utiliza tácticas de engaño, persuasión y extorsión.
 Busca sonsacar información sensible o confidencial.
Ejemplos:

 Un ejemplo típico de ingeniera social, es una llamada de un número oculto que nos
indica que somos los ganadores de un sorteo en el que no hemos participado. A
continuación, el timador nos pide que le indiquemos nuestros datos bancariospara
hacernos la transferencia del premio, cuando en realidad nos está engañando para
obtener información confidencial.
 Otra forma de ingeniería social es una llamada por parte de un “informático” que
necesita tener acceso a nuestro equipo para realizar tareas de mantenimiento, y
nosotros de buena voluntad, le proporcionamos nuestras credenciales para que el
informático pueda hacer “su trabajo”.

Ante estos casos, es importante estar alerta y desconfiar de cualquier cosa que pueda
resultarnos extraña o anómala, y en caso de duda, NO proporcionar la información que
nos solicitan.

Phishing: El phishing es una técnica de ingeniería social en la que:

 El atacante crea un sitio web idéntico al de un banco o una tienda online.

 El usuario cree estar trabajando con el sitio web correcto y es engañado para
facilitar sus contraseñas de acceso o datos personales.

5
Ejemplo:
Recibimos una llamada de alguien que dice ser de nuestro banco. Nos pedirán
que verifiquemos nuestros datos por un supuesto error que han detectado. El enlace parece la
web legítima de nuestro banco, pero está alojada en un servidor controlado por el atacante, y
graba todo lo que escribimos.

Es importante señalar que normalmente las técnicas de phishing van unidas a ingeniería
social: tratar de engañar al usuariopara lograr un objetivo.

3. Redes sociales y otras herramientas de comunicación

Introducción
Las redes sociales son una serie de páginas y/o aplicaciones que nos permiten comunicarnos
con otras personas de forma telemática y/o instantánea. Aunque las redes sociales son una
herramienta muy utilizada para la comunicación, hay otras herramientas de comunicación:
Redes Sociales:

 Twitter.
 Instagram.
 Facebook.
 Etc.

Otras Herramientas:

 La nube (iCloud).
 Telefonía IP, videoconferencia y telepresencia.
 Herramientas de mensajería instantánea (Whatsapp, Telegram).
 Blogs, Vlogs, (video) y Wikis.

¿Qué son las redes sociales? Amenazas y Riesgos

Son herramientas mediante las que interactuamos con otras personas, ya sea en el ámbito
profesional como en el personal. Actualmente es una forma de relación social aceptada y
globalizada.

Tenemos que tener en cuenta, que estos servicios son normalmente de carácter gratuito.

¿Y cómo se benefician entonces las compañías? Utilizando nuestros datos personales, que
son accesibles desde estas herramientas, con fines publicitarios.

Riesgos que comportan:

- Pérdida de confianza por parte de otros usuarios,

6
 - Fugas de información: Las redes sociales contienen mucha información personal
o profesional de sus usuarios. Muchos usuarios no son conscientes del valor que
aporta a un atacante esta información.
- Phishing de red social: Un atacante simula ser un proveedor de red social para
que le faciliten información como contraseñas, datos bancarios… etc.
- Impersonación: Suplantación de nuestra identidad para engañar a terceros.
- Gusanos de Red Social: Programas que generan perfiles falsos, destinados al
robo de información personal o a la confección de perfiles con fines de
marketing.
- Troyanos: Programas que pasan desapercibidos y suelen contraerse a través de
enlaces de sitios maliciosos. Su objetivo es conseguir que se ejecute su malware
y lograr sus objetivos (servir de pasarela para que se ejecute un Ransomware,
robar datos.. etc.)
- Botnets: Es una red de ordenadores “zombis”, formada por ordenadores
infectados, que permite al atacante controlar dicha red.
- Cross Site Request Forgery (Forjado de peticiones entre sitios web): Técnica que
explota fallos en la comunicación entre los sitios web, provocando errores o
comportamientos que favorecen a un atacante frente a un dominio legítimo.

¿Cómo protegernos? Cautela, Verificar identidad, conexión segura y limitar

información, desconfianza, redes abiertas, suplantación, online corporativo

Telefonía IP, Videoconferencia y Telepresencia

Conceptos:
Telefonía IP: Se trata de llamadas telefónicas a través de internet.
Videoconferencia: También conocida como videollamada, son llamadas con imágenes en
movimiento que podemos hacer a través de internet.
Telepresencia: Videollamada desde múltiples destinos hacia nuestro equipo. Podría
definirse como “videollamada en grupo”.

Beneficios:
El uso de las videoconferencias por parte de los profesionales supone los
siguientes beneficios:

 Ahorro de costes.
 Intercambio de ideas, conocimientos e información.
 Aumento en productividad.
 Ofrece la posibilidad de unir expertos situados en diferentes lugares geográficos.
 Ayuda a planear estrategias de investigación y cooperación.

Algunos ejemplos de servicios de telefonía IP, videoconferencia y telepresencia: Skype /

Google Voice / Hangouts / Talky.
Los riesgos que contempla la videoconferencia son el espionaje de las conversaciones por
parte de un tercero e impersonación, el atacante se hace pasar por un asistente (ausente) con
fines de ingeniería social. También pueden ser robados los documentos compartidos durante
la sesión de videoconferencia.
7
Que toda la información puede ser accedida y utilizada por terceros, empresa prestadora. Es
importante recordar que los servidores pueden estar en países con niveles de protección de
seguridad inadecuados. Además, está estrictamente prohibido el uso de software no
autorizado por la empresa en los terminales corporativos. Y queda expresamente prohibido
el uso profesional de terminales personales.

Mensajería instantánea
Concepto: Es una forma de enviar mensajes (ya sean escritos, videos, o audio) a terceros
de forma instantánea. Es importante ser responsable y no usar frívolamente estas
aplicaciones, especialmente cuando se trata con la intimidad de los pacientes.
Algunos ejemplos de estas aplicaciones son: WhatsApp / Hangouts / Telegram / iMessage.
Riesgos: Debido a una vulnerabilidad en los protocolos de telefonía móvil, los sistemas de
mensajería pueden ser clonados por los atacantes y suplantar nuestra identidad, además de
poder acceder a las conversaciones almacenadas y en curso.

Toda la información puede ser accedida y utilizada por terceros, empresa prestadora. Es
importante recordar que los servidores pueden estar en países con niveles de protección de
seguridad inadecuados. Además, está estrictamente prohibido el uso de software no
autorizado por la empresa en los terminales corporativos. Y queda expresamente prohibido
el uso profesional de terminales personales.

4. Internet of Things (IOT) y Cloud

¿Qué es IoT?
También llamado Internet de los objetos, o IoT, del inglés Internet of Things.

Concepto: IoT hace referencia a una red de objetos cotidianos e “inteligentes” que utilizan
tecnologías para comunicarse entre ellos y con el entorno que les rodea, objetos tan dispares
como pueden ser frigoríficos, televisiones, guantes, pulseras, marcapasos, vehículos, etc. Es
decir, todo aquello que, utilizando algún tipo de tecnología, es capaz de conectarse a
Internet o con otros objetos.
Composición: Estos objetos se valen de hardware especializados que le permiten no solo la
conectividad a Internet, sino que además programan procesos específicos en función de las
tareas que le sean dictadas remotamente.
Ejemplo: Imaginemos “una casa conectada”, con una amplia gama de dispositivos
coordinados y equipados con sensores y activadores, que le permita detectar nuestra
actividad diaria y prever nuestras necesidades según esa información. Esta es la idea del
Internet de las cosas.
Impacto: Cualquier cosa se puede convertir en digital, interconectando e integrando sus
datos con todos los otros que capten los demás dispositivos, pudiendo, por lo tanto, hacer un
tratamiento de los datos en tiempo real. A medida que haya cada vez más objetos que
8
tengan sensores incrustados y más posibilidades de comunicar, se generará una red de
conexiones que logrará que haya más información disponible que en toda la historia de la
humanidad.

“Esta nueva fase de Internet se caracteriza por los miles de millones de conexiones entre
personas, procesos, datos y objetos.”

Aplicación de IoT
El internet de las cosas es una realidad
El concepto de IoT se está aplicando en todo el mundo en múltiples
campos como:

9
10
Amenazas y Riesgos
Uno de los mayores retos a los que se enfrenta el Internet de las cosas es
la seguridad de los datos y la privacidad de las personas.
En IoT se va a generar mucha información. Por un lado, se van a recoger
datos que no tienen ninguna vinculación con las personas como pueden
ser datos atmosféricos o de polución, y por otro, se va a recoger datos
sobre las personas, sobre sus hábitos, costumbres o información que
voluntariamente pueden dar las personas, datos de salud.
La fuga de datos personales y privados no solo vendrá del smartphone, la
tableta o el ordenador, también de la nevera inteligente o del reloj
inteligente. Dentro de este nuevo paradigma, y especialmente en ámbitos
en los que se manejan datos sensibles (datos personales, de salud), la
pérdida de información o acceso incontrolado puede afectar seriamente a
la privacidad de sus usuarios, por lo que la seguridad se constituye como
un factor clave en el desarrollo y despliegue del internet de las cosas. Este
es un tema preocupante, ya que a día de hoy no se dispone de una guía
clara de acción para la seguridad en IoT.

11
Posibles soluciones a la seguridad a nivel de privacidad de las personas

Todo sistema que contemple la recogida y tratamiento de datos personales deberán tener en
cuenta la gestión de la privacidad desde el diseño, es el llamado PbD o Privacy by Design, y
aplican los siguientes principios:

 Los proyectos tienen que tener un enfoque de diseño proactivo, no reactivo. No

esperar a que sucedan las cosas sino ser preventivos, anticiparse a los problemas.
 Establecer la privacidad como opción por defecto.
 Contemplar la privacidad como algo implícito al diseño, no paralelo.
 Seguridad en todo el ciclo de vida del proyecto: recopilación de la información,
transmisión de la información, su tratamiento y cancelación.
 Centrado en los usuarios, respeto a la privacidad personal.

Recomendaciones para las empresas que diseñan sistemas para la recogida de datos
personales
Minimizar la información recolectada.
Obtener consentimiento de los afectados.
Informar claramente de los fines y usos.
No utilizar para fines no declarados.
No ceder datos a terceros.
Garantizar la seguridad de los datos.
Limitar el plazo de conservación.

Posibles soluciones a la seguridad a nivel instrumental

Existen muchas iniciativas empresariales que están utilizando el IoT, por lo que el papel
que jugará en los negocios y en la industria obligará a las empresas a tener que invertir
en su seguridad.
Los sistemas de seguridad informática tendrán que avanzar de la misma manera que
todos estos nuevos sistemas inteligentes que llegan a las cosas que nos rodean. La
clave es embeber la seguridad de los dispositivos, software, sensores, etc., desde el
principio, desde el momento de su fabricación.
Buscar fabricantes comprometidos cuyos software, dispositivos realicen
actualizaciones constantes y que hagan uso de protocolos seguros.

12
La nube o cloud
La nube consiste en el procesamiento (máquinas dedicadas a hacer cálculos complejos)
o almacenamiento masivo de datos en servidores externos, pudiendo ser accedido por los
usuarios a través de internet.
Algunos ejemplos de almacenamiento en la nube son:

Dropbox – Google drive

Se comporta como un disco duro pero en Internet. El servicio ofrece espacio en sus
servidores para que puedas guardar archivos de texto, videos, canciones o cualquier
información contenida en tu PC o terminal móvil.

Flickr – Instagram
En la actualidad, éstos son los servicios de almacenamiento de imágenes más famosos de la
red, y nos permiten compartir o guardar nuestras fotos desde nuestro PC o móvil.
Al subir las fotos a Internet nunca vas a perderlas (si te roban el móvil, por ejemplo) y tu
información estará resguardada por las compañías que proveen el servicio.

Zoho
Son ejemplos de servicios de procesado en la nube, como procesadores de texto, hojas de
cálculo y presentaciones de diapositivas, etc. todo online. Nos permiten crear documentos
directamente en internet, y compartirlos o almacenarlos.

¿Cómo protegernos?
Toda la información contenida en el dominio de la organización cuenta
con las medidas de protección y respaldo necesarias, por tanto, al utilizar
la nube, la información queda desprotegida a merced de terceros y
excluida de los mecanismos de protección de la organización.
La propiedad de los documentos que almacenamos online, en muchos
casos pasa a ser del proveedor de la herramienta, revisar cuidadosamente
las condiciones de servicio, ya que en muchos casos, se aplica la
jurisdicción del lugar donde se almacena la información.
Ejemplo
Si el servidor de almacenamiento online está en EE. UU., el contenido del mismo está
sujeto a la legislación EE. UU. y no a la europea o española.

13
5. PROTECCIÓN DE DATOS

14