Unidad 5 - Seguridad de La Información - 1ra Parte

AÑO 2020
Informática
Unidad 5: Seguridad de la Información
TITULAR Jefes de Trabajos Prácticos

ZIANNI, Ernesto CATENA, Mariela
CHAIZE, Alejandro
ADJUNTO PRUVOST, Andrés
NESSIER, Andrea
Seguridad Informática
Fundamentos
Seguridad Informática. Fundamentos
Hoy en día ya no cabe preguntarse si es necesaria la seguridad. Más bien debemos preguntarnos
–cada cual en su caso- porqué es necesaria la seguridad.
El concepto de ordenador individual casi ha desaparecido. Internet e stá llegando cada vez más
a todos los rincones de nuestra vida, desde el ordenador al teléfono móvil e incluso la
televisión. Es una ventana al mundo pero no olvidemos que las ventanas tienen dos lados, y
que bien se puede mirar la calle desde la apacible tranquilidad de tu casa... pero también se ve
tu casa desde la calle.
La gente pone cortinas, usa ventanas ahumadas... ¿por qué? Porque a nadie le gusta que le
invadan su intimidad.
El crecimiento de las conexiones hace que la necesidad de seguridad sea imperiosa, urgida por
la información que se transmite a través de estas conexiones. Ya no sólo leemos el
correo electrónico o visitamos determinados sitios Web. Hoy día compramos por Internet,
consultamos los movimientos bancarios a través de Internet, trabajamos a través de Internet...
en definitiva, la cantidad de datos “sensibles” que atraviesan nuestras líneas telefónicas ha
crecido y lo seguirá haciendo día a día. Y eso ya no es preocupación de empresas o de
gurús de la informática, sino una preocupación muy real de cualquier usuario “de a pie”.
Una organización básicamente está compuesta de activos importantes que le permiten realizar
sus actividades, generar rentabilidad y darle continuidad a sus negoc ios.
En la actualidad, las organizaciones son cada vez más dependientes de sus redes informáticas y
un problema que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad de
las operaciones, situación que inevitablemente se traduce en pé rdida económica.
La evolución de las nuevas tecnologías, en especial el tremendo auge de las tecnologías
Internet/Intranet, ha provocado la aparición de nuevas necesidades y la posibilidad de adquirir
ventajas competitivas y lo que inicialmente partió como una opción de negocio se está
transformando en una elección obligada si se desea mantener la posición en el mercado frente
a los competidores; así, hasta los más reacios han debido claudicar ante la evidencia aplastante.
Gran parte de los datos que nosotros, o las entidades de nuestra sociedad, manejamos, han sido
tratados, sea durante su proceso, o almacenamiento, o transmisión, mediante las llamadas
tecnologías de la información. El volumen de datos que es procesado, almacenado y transmitido
ha crecido enormemente, a la par que ha aumentado la importancia de esta información para el
desarrollo económico y social. De hecho, en la actualidad, las organizaciones consideran que la
información es un bien más de su activo y, en muchos casos, prioritario sobre los restantes y
como tal, debe ser protegido de un modo adecuado.
Por otro lado, la eclosión en los últimos años de las redes informáticas y fundamentalmente de
Internet, ha sido el factor fundamental que ha hecho que la Seguridad Informática cobrase una
importancia vital en el uso de sistemas informáticos conectados. Desde el momento en que
nuestro ordenador se conecta a Internet, se abren ante nosotros toda una nueva serie de
posibilidades, sin embargo éstas traen consigo toda una serie de nuevos y en oca siones
complejos tipos de ataque.
Unidad V Página 1 /12

Fundamentos
Es decir, los beneficios atribuibles a las nuevas tecnologías son muchos, pero también los
riesgos: La pérdida de imagen (a menudo más crítica que la propia perdida de datos), la perdida
de información, la suplantación de usuarios, el espionaje de información sensible o incluso el
cumplimiento de la normativa vigente.
Seguridad de la Información y Seguridad Informática
Conceptualmente hablando, se percibe una clara confusión sobre la diferencia que existe entre
Seguridad Informática y Seguridad de la Información. Si bien ambas materias se complementan
e interactúan constantemente en los sistemas informáticos, poseen objetivos bien diferenciados:
por un lado, la Seguridad Informática se encarga de la protección de los sist emas
informáticos, entendiéndose esto último como la conjunción de la información (software), los
equipos que soportan la información (hardware) y las personas que hacen uso de la misma
(usuarios); básicamente todo lo que se encuentre en un medio informático. Mientras que,
Seguridad de la Información es un proceso mucho más amplio que implica la protección no
solo de la información almacenada en los sistemas informáticos sino que también pretende
asegurar la información sin discriminar donde se encuentra. En otras palabras, la Seguridad de
la Información va mucho más allá de la Seguridad Informática, y tiene como propósito
salvaguardar la información procesada, sin importar el medio por el cual circule o el lugar en
que se encuentre almacenada.
La seguridad de la información protege a la información respecto a una amplia gama de
amenazas a fin de asegurarle a la organización que los riesgos, los daños y el impacto sean
mínimos, además de asegurar que la rentabilidad o relación costo/beneficio sean los mejores.
La seguridad de la información debe conformase de controles, políticas, procedimientos,
concientización y entrenamientos que aseguren que todo el mundo tome las precauciones
necesarias para preservarla.
Los riesgos fundamentales asociados con la incorrecta protección de la información son:
• Revelación a personas no autorizadas
• Inexactitud de los datos
• Inaccesibilidad de la información cuando se necesita
Estos aspectos se relacionan con las tres características que debe cubrir un Sistema de
Información seguro: confidencialidad, integridad y disponibilidad. Dependiendo del tipo de
sistema informático con el que tratemos (militar, comercial, bancario, etc), el orden de
importancia de estos tres factores es diferente, e incluso entran en juego otros e lementos como
la autenticidad o el no repudio. El enfoque de la política de seguridad y de los mecanismos
utilizados para su implementación está influido por el más importante de los tres aspectos. Así
pues, preservar estas tres características de la información constituye el objetivo de la seguridad.
Los problemas técnicos, las amenazas ambientales, las condiciones de instalación desfavorables,
los usuarios, la situación política y social, son otros tantos factores susceptibles de poner en
peligro el buen funcionamiento de los Sistemas de Información. Las amenazas a los Sistemas
de Información van desde desastres naturales tales como inundaciones, accidentes o incendios,
hasta abusos deliberados como fraudes, robos, virus, con un origen tanto interno como e xterno.
Aunque se pueda pensar que el problema de la seguridad de los Sistemas de Información está
sobredimensionado, muchos intereses no son nunca detectados, o se ocultan por los gestores
porque muestran fallos o debilidades de los procedimientos de seguridad, existiendo una natural
resistencia en informar de los mismos a personas ajenas.

Fundamentos
Confidencialidad (o privacidad)
Se entiende por confidencialidad la condición, que asegura que la información no pueda estar
disponible o ser descubierta por o para personas, entidades o procesos no autorizados. Se refiere
a la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la
información almacenada en él.
En casos de falta de confidencialidad, la Información puede provocar severo s daños a
su dueño (por ejemplo conocer antecedentes médicos de una persona) o volverse obsoleta
(por ejemplo: los planes de desarrollo de un producto que se “filtran” a una empresa
competidora, facilitarán a esta última desarrollar un producto de características semejantes
En áreas de seguridad gubernamentales el secreto asegura que los usuarios pueden acceder a
la información que les está permitida en base a su grado o nivel de autoridad, normalmente
impuestas por disposiciones legales o administrativas.
En entornos de negocios, la confidencialidad asegura la protección en base a disposiciones
legales o criterios estratégicos de información privada, tal como datos de las nóminas de los
empleados, documentos internos sobre estrategias, nuevos productos o campañas, etc.
Este aspecto de la seguridad es particularmente importante cuando hablamos de organismos
públicos, y más concretamente aquellos relacionados con la defensa. En estos entornos los otros
dos aspectos de la seguridad son menos críticos.
Algunos de los mecanismos utilizados para salvaguardar la confidencialidad de los datos son,
por ejemplo:
• El uso de técnicas de control de acceso a los sistemas.
• El cifrado de la información confidencial o de las comunicaciones.
Integridad
Es la característica de la información que hace que su contenido permanezca inalterado

a menos que sea modificado por personal autorizado, y esta modificación sea
registrada para posteriores controles o auditorias. Una falla de integridad puede estar
dada por anomalías en el hardware, software, virus informáticos y/o modificación por personas
que se infiltran en el sistema.
Esta propiedad permite asegurar que no se ha falseado la información. Por ejemplo, que los
datos recibidos o recuperados son exactamente los que fueron enviados o almacenados, sin que
se haya producido ninguna modificación, adición o borrado.
De hecho el problema de la integridad no sólo se refiere a modificaciones intencionadas, sino
también a cambios accidentales o no intencionados.
En el ámbito de las redes y las comunicaciones, un aspecto o variante de la integridad es la
autenticidad. Se trata de proporcionar los medios para verificar que el origen de los datos es el
correcto, quién los envió y cuándo fueron enviados y recibidos.
En el entorno financiero o bancario, este aspecto de la seguridad es el más importante. En los
bancos, cuando se realizan transferencias de fondos u otros tipos de transacciones, normalmente
es más importante mantener la integridad y precisión de los datos que evitar que sean
interceptados o conocidos (mantener la confidencialidad).
En el campo de la criptografía hay diversos métodos para mantener/asegurar la autenticidad de
los mensajes y la precisión de los datos recibidos. Se usan para ello códigos/firmas añadidos a
los mensajes en origen y recalculadas/comprobadas en el destino. Este método puede asegurar
no sólo la integridad de los datos (lo enviado es igual a lo recibido), sino la autenticidad de la
misma (quién lo envía es quien dice que es).

Fundamentos
Disponibilidad (u Operatividad)
Se entiende por disponibilidad:
• El grado en que un dato está en el lugar, momento y forma en que es requerido por
el usuario autorizado.
• La situación que se produce cuando se puede acceder a un SI en un periodo de tiempo
considerado aceptable.
Un sistema seguro debe mantener la información disponible para los usuarios. Disponibilidad
significa que el sistema, tanto hardware como software, se mantienen funcionando
eficientemente y que es capaz de recuperarse rápidamente en caso de fallo.
Lo opuesto a disponibilidad, y uno de los posibles métodos de ataque a un sistema informático,
se denomina "denegación de servicio". Una denegación de servicio significa que los usuarios no
pueden obtener del sistema los recursos deseados:
• El ordenador puede estar estropeado o haber una caída del Sistema Operativo.
• No hay suficiente memoria para ejecutar los programas.
• No se puede acceder a la información.
De hecho, muchos ataques, no buscan borrar, robar, o modificar la información, sino bloquear
el sistema creando nuevos procesos que saturaban recursos.
Establecer una política de Seguridad
A la hora de establecer una política de seguridad debemos responder a las siguientes tres
preguntas:
• ¿Qué necesitamos proteger?
• ¿De qué necesitamos protegerlo?
• ¿Cómo vamos a protegerlo?
Lo cual nos lleva a los siguientes pasos básicos:

1. Determinar los recursos a proteger y su valor.
2. Analizar las vulnerabilidades y amenazas de nuestro sistema, su probabilidad y su
costo.
3. Definir las medidas a establecer para proteger el sistema.
Estas medidas deben ser proporcionales a lo definido en los pasos 1 y 2.
Las medidas deben establecerse a todos los niveles: físico, lógico, humano y
logístico.
Además debe definirse una estrategia a seguir en caso de fallo.
4. Monitorizar el cumplimiento de la política y revisarla y mejorarla cada vez que se
detecte un problema.
Evaluación del valor del sistema informático
Es evidente que el valor de nuestro Sistema de Información debe ser mayora mayor que el costo
de las medidas de Seguridad a implementar, es decir, que no debe costar más proteger la
información que la información protegida. Si esto ocurriese, nos resultaría más conveniente no
proteger nuestro sistema y volver a obtener la información en caso de perdida.

Fundamentos
Al evaluar nuestro sistema informático, su valor puede desglosarse en dos partes

fundamentales:
• El valor intrínseco del producto a proteger.
• Los costos derivados de su pérdida.
Valor intrínseco
Es la parte más sencilla de valorar, puesto que en la mayoría de los casos podemos establecer
unos valores objetivos y medibles de nuestros recursos e información. Se trata de enumerar los
recursos incluidos en el sistema informático y de establecer su valor.
Por ejemplo, un servidor de un departamento donde trabajan varios grupos de investigación
podría valorarse del siguiente modo:
• Valor del hardware. El ordenador y de sus periféricos.
• Valor del software. Programas y aplicaciones.
• Valor de los resultados de investigación, patent es, etc, almacenados.
• Costo del esfuerzo y material invertido para obtener los datos.
• Valor de la información personal que contiene.
Costos derivados
Son bastante más difíciles de enumerar y cuantificar que los anteriores. Dependiendo del tipo
de sistema con que tratemos pueden ser muy distintos, o su valor e importancia relativa pueden
variar enormemente. En términos generales podemos incluir los siguientes conceptos:
• Valor de sustituir el hardware.
• Valor de sustituir el software.
• Valor de los resultados.
• Costo de reproducir los experimentos significativos.
• Costo de regenerar la información personal.
Para comprender la variabilidad de este tipo de costos consideremos un par de casos.

Si la información perdida incluye los datos de planificación y el desarrollo de una campaña
publicitaria en un entorno muy competitivo, el valor de los datos perdidos y las consecuencias
para la compañía pueden superar con mucho el costo de las horas invertidas o de los recursos
utilizados. Existe un valor intangible muy superior al valor material en este tipo de información.
Además en este caso puede entrar en juego el prestigio de la compañía. Este factor tiene un
valor incalculable de cara a su imagen y a su capacidad de ventas. Si se conoce que los datos
han sido robados puede suponer un golpe muy duro para las ventas de la compañía. De hecho
esta es la razón por la que muchas compañías comerciales no comunican los ataques a sus
sistemas.
El factor prestigio también tiene una importancia capital en las entidades bancarias o en las
entidades publicas y sobretodo las de defensa. Imaginemos como reaccionaríamos ante un banco
en el que tenemos una cuenta y del que conocemos que han sido robados los datos personales
y financieros de todos sus clientes.
Otro ejemplo de la dificultad de valorar ciertas perdidas puede ser el relativo a los datos
personales. ¿Qué valor le otorgamos a nuestros datos personales, expedientes académicos,
datos sanitarios, información sobre nuestras cuentas o los datos de nuestros seguros, nuestra
siniestralidad, morosidad, etc.? Aparte de afectar a nuestro prestigio personal, impedir que

Fundamentos
abramos una cuenta bancaria o que concertemos un seguro, pueden servir a otros para
suplantarnos, y otorgarles impunidad para cometer crímenes o realizar gastos imputándonoslos
a nosotros.
En resumen, aunque en principio pueda parecer fácil la valoración de los bienes protegidos,
pueden existir numerosos costos ocultos inherentes a su pérdida o compromiso que sólo un
análisis detallado puede revelar y que a menudo requieren una valoración por alguien con
experiencia en seguridad en conjunción con expertos especializados en el tratamiento de los
bienes protegidos.
Relación Operatividad vs Seguridad
Seleccionar las medidas de seguridad a implantar requiere considerar el equilibrio entre los
intereses referidos a la seguridad, los requerimientos operacionales y la "amigabilidad" para el
usuario.
Para ilustrar lo antes dicho imaginemos una computadora “extremadamente” segura:
 Instalada a 20 metros bajo tierra en un recinto de hormigón.
 Aislada informáticamente de otras computadoras.
 Aislada eléctricamente y alimentada por un sistema autónomo de triple
reemplazo.
Ahora imaginemos la utilidad de está “súper segura” computadora: tendiente a nula.
Con esto refleja que la Seguridad y la Utilidad de una computadora son inversamente
proporcionales; es decir que incrementar la seguridad en un sistema informático, su
operatividad desciende y viceversa.
1
Operatividad 
Seguridad
Como se observa en el gráfico esta función se vuelve exponencial al acercarse al 100%. de

seguridad. Los costos se disparan (tendientes al infinito) por los complejos estudios que se
deberán realizar para mantener este grado de seguridad.
Gráfico 1.4 – Relació n Opera tivi d a d – Se g u rid a d. Fuente: ALDEG AN I, Gusta v o. Migue l. Segurid a d Inform á tica .
MP Edicio ne s. 1° Edició n. Arge ntin a. 1997. Página 26
Más allá de ello, al tratarse de una ciencia social, no determinística, se mantendrá la

incertidumbre propia del comportamiento humano, que puede permitir a un atacante violar el
sistema, haciendo que los costos hayan sido, si bien no inútiles, excesivos.

Fundamentos
Debemos recordar que el concepto de Seguridad es relativo, pues no existe una prueba total
contra engaños, sin embargo existen niveles de seguridad mínimos exigibles. Este nivel
dependerá de un análisis de los riesgos que estamos dispuestos a aceptar, sus costos y de las
medidas a tomar en cada caso.
Vulnerabilidad, amenazas y contramedidas
Hay tres conceptos que entran en discusión cuando hablamos de la seguridad de un sistema
informático: vulnerabilidad o inseguridad, amenazas y contramedidas (countermesures).
Vulnerabilidad: Punto o aspecto del sistema que es susceptible de ser atacado o de dañar la
seguridad del mismo. Representan las debilidades o aspectos f alibles o atacables en el sistema
informático.
Amenaza: Posible peligro del sistema. Puede ser una persona (cracker), un programa (virus,
caballo de Troya,...), o un suceso natural o de otra índole (fuego, inundación, etc.). Representan
los posibles atacantes o factores que aprovechan las debilidades del sistema.
Contramedida: Técnicas de protección del sistema contra las amenazas.
La seguridad informática se encarga de la identificación de las vulnerabilidades del sistema y del

establecimiento de contramedidas que eviten que las distintas amenazas posibles exploten
dichas vulnerabilidades. Una máxima de la seguridad informática es que: "No existe ningún
sistema completamente seguro". Existen sistemas más o menos seguros, y más o menos
vulnerables, pero la seguridad nunca es absoluta.
Medidas de Seguridad
Los sistemas informáticos pueden diseñarse de acuerdo con criterios de economía, de eficiencia
y de eficacia, etc., porque son claramente medibles y se asocian a parámetros que, maximizando
unos y minimizando otros, se puede tender hacia diseños óptimos.
Diseñar sistemas mediante criterios de seguridad es más complejo, pues las amenazas son en
muchos casos poco cuantificables y muy variadas. La aplicación de medidas para proteger el
sistema supone un análisis y cuantificación previa de los riesgos o vulnerabilidades del sistema.
La definición de una política de seguridad y su implementación o través de una serie de medidas.
En muchos casos las medidas de seguridad llevan un costo aparejado que obliga a subordinar
algunas de las ventajas del sistema. Por ejemplo, la velocidad de las transacciones. En relación
a esto, también se hace obvio que a mayores y más restrictivas medidas de seguridad, menos
amigable es el sistema. Se hace menos cómodo para los usuarios ya que limita su actuación y
establece unas reglas más estrictas que a veces dificultan el manejo del sistema. Por ejemplo,
el uso de una política adecuada de passwords, con cambios de las mismas.
¿Cómo se consigue la Seguridad de la Información? Implantando un conjunto de
salvaguardas mecanismos o acciones encaminados a reducir los riesgos de seguridad provocados
por las amenazas a los sistemas de información.
Las salvaguardas a implantar se seleccionan teniendo en cuenta los atributos de la información
a proteger (confidencialidad, integridad y disponibilidad).
En la selección de salvaguardas se consideran:
o las características de las amenazas que atentan contra la información,
o la vulnerabilidad o probabilidad de materialización de cada amenaza sobre los ac tivos de
información y
o el impacto o daño producido por un posible incidente o agresión sobre un activo, visto
como diferencia en las estimaciones de los estados de seguridad obtenidas antes y
después del evento.

Fundamentos
Las salvaguardas no son uniformes para todos los sistemas. El nivel del riesgo debiera
determinar el nivel de control adecuado. Cada riesgo se puede tratar mediante la aplicación de
uno o varias salvaguardas de seguridad.
Las salvaguardas se pueden clasificar en tres categorías principales:
o administrativas
o físicas
o técnicas
Las salvaguardas administrativas incluyen las políticas y procedimientos de seguridad. Las
políticas establecen lo que los usuarios pueden y no pueden hacer al utilizar los recursos
informáticos de la organización mientras que los procedimientos están relacionados con la
renovación de claves de acceso, las autorizaciones para acceder a los recursos, la revisión y
validación periódica de la vigencia del tipo acceso, la asignación de responsabilidades,
conocimientos de la seguridad y formación técnica, gestión y supervisión de las tecnologías y
soluciones aplicadas, la recuperación tras averías o fallos y la realización y aplicación de planes
de contingencia. Los controles administrativos también incluyen la revisión de seguridad y los
informes de auditoría, que se utilizan para identificar si los usuarios siguen las políticas y
procedimientos. Finalmente, los controles administrativos incluyen la asignación de propiedad
de los datos y los recursos. Cada persona de la organización debe de tener claras sus
responsabilidades relativas a la seguridad de cada componente a su cuidado.
Las salvaguardas físicas limitan el acceso físico directo a los equipos. Incluyen cerraduras,
bloqueos para teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la
detección de agua, fuego y humo. Las salvaguardas físicas también incluyen sistemas de
respaldo y alimentación de reserva, tales como baterías y fuentes de alimentación ininterrumpida
(UPS).
Las salvaguardas técnicas son controles que se implantan a través de soportes físicos o
lógicos difíciles de vencer y que, una vez implantados, pueden funcionar sin la intervención
humana. Estas medidas de tipo lógico incluyen antivirus, firmas digitales, cifrado, herramientas
de gestión de red, contraseñas, tarjetas inteligentes, control de acceso de llamadas, sistemas
expertos de detección de intrusiones, políticas de respaldo de archivos, entre otras.
Todas las salvaguardas se pueden subdividir en preventivas y correctivas. Las primeras intentan
evitar que ocurran acontecimientos indeseados, mientras que las salvaguardas correctivas se
orientan a identificar los incidentes y reducir sus efectos después de que hayan sucedido.
Aunque siempre es preferible evitar un incidente de seguridad a tene r que hacerle frente a
posteriori, es necesario incorporar también salvaguardas correctivas para identificar los
problemas con suficiente rapidez, reducir los daños al mínimo y poder valorar su magnitud con
la máxima precisión posible.
Identificación y Autentificación
Para poder acceder a un sistema informático (excepto en la mayoría de los ordenadores

personales) el sistema operativo procede a identificar y autentificar al usuario, con el fin de
comprobar si se trata de un usuario autorizado a acceder a los recursos del mismo.
Este proceso tiene mayor sentido en los ordenadores o sistemas multiusuario, de ahí que no se
utilice en la mayoría de los ordenadores personales. Sin embargo, si queremos proteger la
información almacenada en un ordenador personal, aún siendo el único usuario del mismo, es
conveniente establecer algún mecanismo de identificación y autentificación.
En un entorno en el que cada vez son más los ordenadores conectados en red, la identificación
y autentificación debe producirse tanto con personas como con otros ordenadores que intenten
establecer una conexión.

Fundamentos
Etapa de identificación
En todos los sistemas multiusuario, cada usuario posee un identificador (ID) que define quién es
y que lo identifica unívocamente en el sistema diferenciándolo del resto. Usualmente este
identificador es un código o nombre de usuario.
El ID suele ser un nombre, apellido, iniciales+apellido, nombre+número o cualquier cadena
alfanumérica designada por el administrador del sistema.
La etapa de identificación consiste en proporcionar al sistema el identificador del usuario.
Etapa de autentificación
Una vez identificado al usuario, es necesario que este demuestre de algún modo que es quien
dice que es. Con este propósito existen tres métodos fundamentales:
1. Algo que sólo tú sabes
2. Algo que sólo tú tienes
3. Algo que tú eres
1. Algo que sólo tú sabes
Este es el método más común de autentificación, y consiste en asociar al identificativo de
usuario una palabra de paso, contraseña o password.
La autentificación se basa en que sólo el usuario identificado conoce la contraseña asociada.
Por lo tanto, esta palabra demuestra que el usuario es quién dice que es.
Obviamente la validez de este método descansa sobre el hecho de que el usuario no ha
revelado su contraseña a ningún otro, o que ésta no ha sido descubierta mediante ningún
medio. De ahí la importancia de establecer un buen sistema de contraseñas y de protección
de las mismas, tal y como veremos más adelante.
2. Algo que tú tienes
Este método también se denomina autentificación hardware. En este caso el usuario posee
algún objeto que demuestra su identidad. De nuevo la utilidad de este sistema se basa en
que solo el usuario con un identificador dado puede tener el objeto, es decir, que no se lo
ha prestado a nadie o que no ha sido robado.
El objeto utilizado para autentificar puede ser una llave, una tarjeta inteligente o cualquier
otro dispositivo hardware que permita acceder a la cuenta.
Este método de autentificación no tiene porque utilizarse delante del ordenador, sino que
puede utilizarse al entrar en la sala donde se encuentra. De hecho este sistema suele
combinarse con cualquiera de los otros dos para proporcionar un mayor grado de seguridad.
3. Algo que tú eres
Este método se basa en autentificar al usuario mediante alguna característica física que lo
identifica unívocamente.
Estas características suelen denominarse biométricas, son propias de cada individuo y por
tanto lo diferencian resto.
Entre las características biométricas más usuales se encuentran la huellas dactilares, las
imágenes de la palma de la mano, patrones de voz, patrones retinales, etc.
Dado que el primero de los métodos descritos, el uso de contraseñas, es el más utilizado, en los
siguientes apartados estudiaremos algunas de sus variantes más conocidas.

Fundamentos
Elección de la contraseña
Existen diversos métodos para la obtención de una contraseña en una máquina.

Fundamentalmente:
• Elegida por el usuario sin ninguna comprobación posterior.
• Generada aleatoriamente por el ordenador y escogida por el usuario.
• Asignada por el administrador del sistema.
• Elegida por el usuario y comprobada por el administrador del sistema o por algún
software específico para hacerla encajar dentro de unas restricciones.
Con la elección de la contraseña se plantea el denominado dilema de la contraseña:
"Cuanto más fácil de recordar es una contraseña, más fácil es de adivinar, mientras que cuanto
más difícil es de descubrir, más difícil es de recordar".
Debido a este dilema, se han ido sugiriendo métodos alternativos de autentificación que
conjuguen la facilidad de recordar con la dificultad de adivinar. Dentro del modelo de contraseña
simple podemos destacar tres de ellos:
Contraseña variable
El usuario posee una contraseña de gran longitud de la que el sistema sólo comprueba algunos
caracteres, situados en posiciones que, aleatoriamente, elige en cada intento de acceso.
Lista de contraseñas
El usuario posee varias contraseñas que va usando consecutivamente. Las distintas contraseñas
suelen ser generadas por el sistema y guardadas por el usuario en una lista.
Con este sistema si alguien lo logra adivinar la siguiente contraseña y entrar al sistema, ésta
tan solo le servirá en una ocasión. Además el usuario podrá saber que se ha producido una
"invasión" de su cuenta al comprobar que no puede entrar con la siguiente contraseña que le
corresponde.
Frase-contraseña
La contraseña es una frase larga fácil de recordar por el usuario, pero difícil de adivinar debido
a su longitud.
Gestión de contraseñas
Las contraseñas son la primera y principal línea de defensa contra los intrusos. Para proteger al
sistema y a los datos que contiene es necesario elegir una contraseña adecuada y protegerla
cuidadosamente.
Si se seleccionara una contraseña completamente aleatoria de 8 caracteres alfanuméricos, el
número de posibles combinaciones a comprobar para descubrirlo será de 2.800.000.000.000
(2.8 billones). Incluso comprobando un millón de contraseñas por segundo se tardaría una media
de 45 años en adivinarla.
El problema estriba en que no se seleccionan las cont raseñas aleatoriamente. Más aún, existen
algunas elecciones típicas:
 No elegir contraseña
 Elegir como contraseña el nombre de usuario o una variación mínima del mismo.
 Elegir como contraseña el nombre, los apellidos o alguna fecha significativa.
 Elegir como contraseña parte del teléfono, DNI, matrícula del coche, etc.

Fundamentos
Menos peligroso, aunque no exento de riesgo es elegir
 Palabras comunes y con sentido

 Nombres de personas conocidas o personajes de ficción
 Nombres de lugares
Algunas normas para elegir una buena contraseña
• Elegir contraseñas que no sean palabras (aunque sean extranjeras), o nombres

(especialmente el del usuario, personajes de ficción, miembros de su familia, una
mascota, la marca del coche, el lugar de nacimiento, etc.)
• Elegir una contraseña que mezcle caracteres alfabéticos y numéricos. No usar nunca
contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha
de nacimiento, etc.)
• Elegir contraseñas largas, de más de 8 caracteres.
• Elegir contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña
base y ciertas variaciones lógicas de la misma para distintas máquinas.
• No incluir caracteres especiales o de control (#, @, %, etc.)
Las mejores contraseñas contienen tanto letras mayúsculas como minúsculas, y tanto
letras como números. Deben ser fáciles de recordar para no escribirlas. Algunas
sugerencias para elegir las contraseñas más seguras:
• Combinar palabras cortas con algún número o carácter de puntuación:
soy;yo3
• Usar un acrónimo de alguna frase fácil de recordar
Lo que el viento se llevó ------> Lqevsl
Mejor incluso si la frase no es conocida
No he olvidado mi contraseña -----> Nhomc
Añadir un número al acrónimo para mayor seguridad
• Elegir una palabra sin sentido, aunque pronunciable
taChunda72, Ataju25
Algunas normas para proteger la contraseña
La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el
usuario. Al comprometer una cuenta se puede estar comprometiendo todo el sistema.
La siguiente frase resume algunas de las reglas básicas de uso de la contraseña:
"Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y
NO lo compartas con tus amigos".
Algunos consejos a seguir:
o No permitir ninguna cuenta sin contraseña. Si se es el administrador del sistema,
repasar este hecho periódicamente.
o No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las
cuentas de root, system, test, demo, guest, etc.
o No dejar nunca a nadie la contraseña. Si se hace, cambiarla inmediatamente.

Fundamentos
o No escribir la contraseña en ningún sitio, en especial cerca del ordenador. Si se

escribe, no debe identificarse como tal y no debe identificarse al propietario en el
mismo lugar.
o No teclear la contraseña si hay alguien mirando.
Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea
su contraseña.
o No enviar la contraseña por correo electrónico, y en todo caso no escribir la
palabra "password" en el correo.
o No mantener la contraseña indefinidamente. Cambiarla regularmente. Disponer
de una lista de contraseñas que puedan usarse cíclicamente.
Muchos sistemas incorporan ya algunas medidas de gestión y protección de las contraseñas.
Entre ellas podemos citar las siguientes:
o Número de intentos limitado. Tras un número de intentos fallidos (3 a 5), pueden

tomarse distintas medidas:
o Obligar a reescribir el nombre de usuario (lo más común)
o Bloquear el acceso durante un tiempo
o Enviar un mensaje al superusuario o mantener un registro especial
o Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres.
o Restricciones de formato. Las contraseñas deben combinar un mínimo de letras y
números y no pueden contener el nombre del usuario.
o Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a
cambiar la contraseña. Se obliga a no repetir la anterior. Se mantiene un periodo
forzoso entre cambios, para evitar que se vuelva a cambiar inmediatamente y se
repita la anterior.
Auditoría
Capacidad de determinar qué acciones o procesos se han llevado a cabo en el sistema, y quién
y cuándo las han llevado a cabo.
La única forma de lograr este objetivo es mantener un registro de las actividades del sistema, y
que este registro esté altamente protegido contra modificación.
Este aspecto se relaciona con la:
• Prevención: al conocer los usuarios que se guarda registro de sus actividades, se
abstienen de intentar dañar la información. Ello es debido al riesgo que corren de que sus
acciones sean detectadas.
• Información: Al conocer lo que ocurre en el sistema pueden detectarse comportamientos
sospechosos.
• Definición a posteriori del problema y su origen: Se puede realizar un análisis post-
mortem de la información almacenada para conocer lo que ha ocurrido. Los datos dañados
y, en ocasiones, quién y cuándo lo ha hecho. Además, habiendo guardado un registro de
las modificaciones ocurridas en el sistema se facilita enormemente la recuperación de este
en caso de fallo.

Seguridad informatica - por_CF 29/03/10 14:28 Página 1
Seguridad informática
Purificación Aguilera López
01 CF_SEG_INFOR_01:Ciclos Forma - Transversal 29/3/10 11:09 Página 6
1
vamos a conocer...
Introducción a la
seguridad informática
1. Sistemas de información y sistemas
informáticos
2. Seguridad
3. Análisis de riesgos
4. Control de riesgos
5. Herramientas de análisis y gestión de riesgos
PRÁCTICA PROFESIONAL
Estudio de la seguridad en una empresa
MUNDO LABORAL
Las personas son el eslabón débil en
la ciberseguridad
y al finalizar esta unidad...

Distinguirás entre sistema de información
y sistema informático.
Comprenderás qué significa seguridad en el
amplio concepto de sistema de información
y en el concreto de sistema informático.
Conocerás cuáles son las propiedades de
un sistema seguro.
Podrás entender los conceptos de activo,
amenaza, riesgo, vulnerabilidad, ataque e
impacto.
Entenderás lo que son servicios, mecanismos
y herramientas de seguridad.
Tendrás la base necesaria para afrontar en
profundidad el conocimiento de la seguridad
en sistemas informáticos.
8 Unidad 1
1. Sistemas de información
y sistemas informáticos
Un sistema de información (SI) es un conjunto de elementos organizados,
relacionados y coordinados entre sí, encargados de facilitar el funcionamiento
global de una empresa o de cualquier otra actividad humana para conseguir
sus objetivos.
Estos elementos son:

• Recursos. Pueden ser físicos, como ordenadores, componen-
Sistema de información tes, periféricos y conexiones, recursos no informáticos; y lógi-
cos, como sistemas operativos y aplicaciones informáticas.
Información
• Equipo humano. Compuesto por las personas que trabajan
para la organización.
Actividades
OBJETIVOS
de la
Personal
EMPRESA
• Información. Conjunto de datos organizados que tienen un
significado. La información puede estar contenida en cual-
quier tipo de soporte.
Recursos
• Actividades que se realizan en la organización, relacionadas o
no con la informática.
Sistemas informáticos
Un sistema informático está constituido por un conjunto de elementos físi-

cos (hardware, dispositivos, periféricos y conexiones), lógicos (sistemas ope-
rativos, aplicaciones, protocolos…) y con frecuencia se incluye n también los
elementos humanos (personal experto que maneja el software y el hardware).
Actividad en un sistema informático
Procesamiento
Entrada Almacenamiento Calcular Salida
Ordenar
Clasificar
Retroalimentación
Un sistema informático puede ser un subconjunto del sistema de información,

pero en principio un sistema de información no tiene por qué contener elemen-
tos informáticos, aunque en la actualidad es difícil imaginar c ualquier actividad
humana en la que no se utilice la informática. A lo largo de este libro estudiare-
mos la seguridad en los sistemas de información, en general, y en los sistemas in-
formáticos, en particular, como parte de aquellos.
Introducción a la seguridad informática 9
2. Seguridad
2.1. Aproximación al concepto de seguridad
en sistemas de información
Una de las acepciones de la RAE para el término seguro, que es la que aquí nos
interesa, es la de estar libre y exento de todo peligro, daño o riesgo. Este es el
concepto en el que se basa el contenido de este libro y tiene lemismo sentido apli-
cado a sistemas de información y sistemas informáticos.
La seguridad informática es la disciplina que se ocupa de diseñar las normas,

procedimientos, métodos y técnicas destinados a conseguir un sistema de in-
formación seguro y confiable.
Un sistema de información, no obstante las medidas de seguridad que se le apli- a Sistema seguro.
quen, no deja de tener siempre un margen de riesgo.
Para afrontar el establecimiento de un sistema de seguridad ennecesario conocer:
• Cuáles son los elementos que componen el sistema. Esta información se ob-
tiene mediante entrevistas con los responsables o directivos dela organización
para la que se hace el estudio de riesgos y mediante apreciación directa.
• Cuáles son los peligros que afectan al sistema, accidentales o provocados. Se de-
ducen tanto de los datos aportados por la organización como por el estudio di-
recto del sistema mediante la realización de pruebas y muestreos sobre el mismo.
• Cuáles son las medidas que deberían adoptarse para conocer, prevenir, impe-
dir, reducir o controlar los riesgos potenciales. Se trata de decidir cuáles serán
los servicios y mecanismos de seguridad que reducirían los riesgos al máximo
posible.
Tras el estudio de riesgos y la implantación de medidas, debe h acerse un segui-
miento periódico, revisando y actualizando las medidas adoptadas.
Todos los elementos que participan en un sistema de información pueden verse
afectados por fallos de seguridad, si bien se suele considerar la información como
el factor más vulnerable. El hardware y otros elementos físicos se pueden volver
a comprar o restaurar, el software puede ser reinstalado, pero la información da-
ñada no siempre es recuperable, lo que puede ocasionar daños de diversa índole
sobre la economía y la imagen de la organización y, a veces, también causar per-
juicios a personas. Otro aspecto a tener en cuenta es que la ma yoría de los fallos
de seguridad se deben al factor humano.
10 Unidad 1
2.2. Tipos de seguridad

Activa
Comprende el conjunto de defensas o medidas cuyo objetivo es ev itar o reducir
los riesgos que amenazan al sistema.
Ejemplos: impedir el acceso a la información a usuarios no autorizados mediante
introducción de nombres de usuario y contraseñas; evitar la entrada de virus ins-
talando un antivirus; impedir, mediante encriptación, la lectura no autorizada de
mensajes.
Pasiva
Está formada por las medidas que se implantan para, una vez pro ducido el inci-
dente de seguridad, minimizar su repercusión y facilitar la recuperación del siste-
ma; por ejemplo, teniendo siempre al día copias de seguridad de los datos.
2.3. Propiedades de un sistema de información seguro

Los daños producidos por falta de seguridad pueden causar pérdidas económicas
o de credibilidad y prestigio a una organización.
Su origen puede ser:
• Fortuito. Errores cometidos accidentalmente por los usuarios, accidentes, cor-
tes de fluido eléctrico, averías del sistema, catástrofes naturales…
• Fraudulento. Daños causados por software malicioso, intrusos o por la mala
voluntad de algún miembro del personal con acceso al sistema, r obo o acci-
dentes provocados.
caso práctico inicial Se considera seguro un sistema que cumple con las propiedades d e integridad,
confidencialidad y disponibilidad de la información. Cada una de estas propie-
Integridad, confidencialidad y dis-
ponibilidad de los datos son las pro-
dades conlleva la implantación de determinados servicios y mecanismos de segu-
piedades que debería tener un sis- ridad que se estudiarán más adelante.
tema considerado seguro.
Integridad
Este principio garantiza la autenticidad y precisión de la info rmación sin impor-
tar el momento en que esta se solicita, o dicho de otra manera, una garantía de
que los datos no han sido alterados ni destruidos de modo no autorizado.
Para evitar este tipo de riesgos se debe dotar al sistema de me canismos que pre-
vengan y detecten cuándo se produce un fallo de integridad y que puedan tratar
y resolver los errores que se han descubierto.
Confidencialidad
La OCDE (Organización para la Cooperación y el Desarrollo Económico), en sus
Directrices para la Seguridad de los Sistemas de Información define la confiden-
cialidad como «el hecho de que los datos o informaciones esténúnicamente al al-
cance del conocimiento de las personas, entidades o mecanismos autorizados, en
los momentos autorizados y de una manera autorizada».
Para prevenir errores de confidencialidad debe diseñarse un control de accesos al
sistema: quién puede acceder , a qué parte del sistema, en qué m omento y para
realizar qué tipo de operaciones.
Disponibilidad
La información ha de estar disponible para los usuarios autorizados cuando la ne-
cesiten.
El programa MAGERIT define la disponibilidad como «grado en el que un dato saber más
está en el lugar, momento y forma en que es requerido por el us uario autorizado.
MAGERIT
Situación que se pro duce cuando se puede acceder a un sistema d e información
Es una metodología de análisis y
en un periodo de tiempo considerado aceptable. La disponibilidad está asociada
gestión de riesgos de los sistemas
a la fiabilidad técnica de los componentes del sistema de información». de información. En inglés Metho-
dology for Information Systems
Se deben aplicar medidas que protejan la información, así como crear copias de Risk Analysis and Management.
seguridad y mecanismos para restaurar los datos que accidental o intencionada-
mente se hubiesen dañado o destruido.
ACTIVIDADES
1. La biblioteca pública de una ciudad tiene mobiliario, libros, revistas, microfilms, varios ordenadores para los
usuarios en donde pueden consultar libros electrónicos, y un ordenador en el que la bibliotecaria consulta tí-
tulos, códigos, referencias y ubicación del material bibliográfico.
Indica a continuación de cada elemento con un sí, si forma parte del sistema informático de la biblioteca y
con un no si no forma parte de él:
a) Libros y revistas colocados en las estanterías.
b) Mobiliario.
c) Microfilms.
d) Libros electrónicos.
e) Ordenadores de los usuarios.
f) Ordenador de la bibliotecaria.
g) Datos almacenados en el ordenador de la bibliotecaria.
h) Bibliotecaria.
2. De los elementos relacionados en la pregunta anterior, ¿cuáles pertenecen al sistema de información de la bi-
blioteca?
3. Un incendio fortuito destruye completamente todos los recursos de la biblioteca. ¿En qué grado crees que se
verían comprometidas la integridad, la confidencialidad y la disponibilidad de la información?
4. El informático que trabaja para la biblioteca, ¿forma parte del sistema informático de la misma?
5. El ordenador de la biblioteca tiene un antivirus instalado, ¿esto lo hace invulnerable?
6. ¿A qué se deben la mayoría de los fallos de seguridad? Razona tu respuesta.
7. ¿Podrías leer un mensaje encriptado que no va dirigido a ti? Busca en internet algunos programas que en-
criptan mensajes.
8. ¿La copia de seguridad es una medida de seguridad pasiva?
9. ¿Qué propiedades debe cumplir un sistema seguro?
10. ¿Qué garantiza la integridad?
12 Unidad 1
3. Análisis de riesgos
A la hora de dotar de seguridad a un sistema de información, ha y que tener en
cuenta todos los elementos que lo componen, analizar el nivel de vulnerabilidad
de cada uno de ellos ante determinadas amenazas y valorar el im
pacto que un ata-
que causaría sobre todo el sistema.
«La cadena siempre se rompe por el eslabón más débil».
La persona o el equipo encargado de la seguridad deberá analizar con esmero cada

uno de los elementos. A veces el descuido de un elemento consid erado débil ha
producido importantes fallos de seguridad. Al estar interrelaci onados todos los
elementos este descuido puede pro ducir errores en cadena con ef ectos insospe-
chados sobre la organización.
3.1. Elementos de estudio

Para comenzar a analizar un sistema de información al que se pr etende dotar de
unas medidas de seguridad, hay que tener en cuenta los siguientes elementos: ac-
tivos, amenazas, riesgos, vulnerabilidades, ataques e impactos.
Activos
caso práctico inicial Son los recursos que pertenecen al propio sistema de información o que están re-
lacionados con este. La presencia de los activos facilita el fu ncionamiento de la
Los activos de un sistema de infor-
mación: datos, software, hardwa-
empresa u organización y la consecución de sus objetivos. Al hacer un estudio de
re y sus accesorios, redes, soportes, los activos existentes hay que tener en cuenta la relación queguardan entre ellos
instalaciones, personal y servicios. y la influencia que se ejercen: cómo afectaría en uno de ellos un daño ocurrido a
otro.
Podemos clasificarlos en los siguientes tipos:
• Datos. Constituyen el núcleo de toda organización, hasta tal punto quese tien-
de a considerar que el resto de los activos están al servicio de la protección de
los datos. Normalmente están organizados en bases de datos y almacenados en
soportes de diferente tipo. El funcionamiento de una empresa u organización
depende de sus datos, que pueden ser de todo tipo: económicos, fiscales, de re-
cursos humanos, clientes o proveedores…
Cada tipo de dato merece un estudio independiente de riesgo por la repercu-
sión que su deterioro o pérdida pueda causar, como por ejemplo los relativos a
la intimidad y honor de las personas u otros de índole confidencial.
• Software. Constituido por los sistemas operativos y el conjunto de aplica cio-
nes instaladas en los equipos de un sistema de información que reciben y ges-
tionan o transforman los datos para darles el fin que se tenga establecido.
• Hardware. Se trata de los equipos (servidores y terminales) que contienen las
aplicaciones y permiten su funcionamiento, a la vez que almacen an los datos
del sistema de información. Incluimos en este grupo los perifér icos y elemen-
tos accesorios que sirven para asegurar el correcto funcionamiento de los equi-
pos o servir de vía de transmisión de los datos (módem,router, instalación eléc-
trica o sistemas de alimentación ininterrumpida, destructores d e soportes
informáticos…).
• Redes. Desde las redes locales de la propia organización hasta las metropolita-
nas o internet. Representan la vía de comunicación y transmisión de datos a
distancia.
• Soportes. Los lugares en donde la información queda registrada y almacenada

durante largos períodos o de forma permanente (DVD, CD, tarjetas de memo-
ria, discos duros externos dedicados al almacenamiento, microfi lms e incluso
papel).
• Instalaciones. Son los lugares que albergan los sistemas de información y de oc-
municaciones. Normalmente se trata de oficinas, despachos, locales o edificios,
pero también pueden ser vehículos y otros medios de desplazamiento.
• Personal. El conjunto de personas que interactúan con el sistema de infor-

mación: administradores, programadores, usuarios internos y externos y res-
to de personal de la empresa. Los estudios calculan que se pro ducen más fa-
llos de seguridad por intervención del factor humano que por fa llos en la
tecnología.
• Servicios que se ofrecen a clientes o usuarios: productos, servicios, sitios web,

foros, correo electrónico y otros servicios de comunicaciones, información, se-
guridad, etc.
Amenazas
En sistemas de información se entiende por amenaza la presencia de uno o más caso práctico inicial
factores de diversa índole (personas, máquinas o sucesos) que – de tener la opor-
Identificar las amenazas y las vul-
tunidad– atacarían al sistema produciéndole daños aprovechándose de su nivel de nerabilidades del sistema permitirá
vulnerabilidad. Hay diferentes tipos de amenazas de las que hay que proteger al conocer los riesgos potenciales que
sistema, desde las físicas como cortes eléctricos, fallos del hardware o riesgos am- amenazan la seguridad de un sis-
bientales hasta los errores intencionados o no de los usuarios, la entrada de soft- tema.
ware malicioso (virus, troyanos, gusanos) o el robo, destrucció n o mo dificación
de la información.
En función del tipo de alteración, daño o intervención que podrían producir so-
bre la información, las amenazas se clasifican en cuatro grupos:
• De interrupción. El objetivo de la amenaza es deshabilitar el acceso a la in-

formación; por ejemplo, destruyendo componentes físicos como el disco duro,
bloqueando el acceso a los datos, o cortando o saturando los canales de comu-
nicación.
• De interceptación. Personas, programas o equipos no autorizados po drían ac-

ceder a un determinado recurso del sistema y captar información confidencial
de la organización, como pueden ser datos, programas o identidad de personas.
• De modificación. Personas, programas o equipos no autorizados no solamente

accederían a los programas y datos de un sistema de información sino que ade-
más los modificarían. Por ejemplo, modificar la respuesta enviada a un usuario
conectado o alterar el comportamiento de una aplicación instalada.
• De fabricación. Agregarían información falsa en el conjunto de información

del sistema.
14 Unidad 1
Según su origen las amenazas se clasifican en:
saber más • Accidentales. Accidentes meteorológicos, incendios, inundaciones, fallos en

los equipos, en las redes, en los sistemas operativos o en el oftware,
s errores hu-
Algunos tipos de malware:
manos.
• Backdoor
• Botnet (Zombies) • Intencionadas. Son debidas siempre a la acción humana, como la intro duc-
• Exploit ción de software malicioso –malware– (aunque este penetre en el sistema por
• Gusano algún procedimiento automático, su origen es siempre humano), intrusión in-
• Hoax formática (con frecuencia se produce previa la introducción de malware en los
• Keylogger equipos), robos o hurtos. Las amenazas intencionadas pueden tener su origen
• Phishing en el exterior de la organización o incluso en el personal de la misma.
• Rogue
• Rootkit
• Spam Riesgos
• Spyware/Adware
• Troyano Se denomina riesgo a la posibilidad de que se materialice o nouna amenaza apro-
vechando una vulnerabilidad. No constituye riesgo una amenaza cuando no hay
saber más vulnerabilidad ni una vulnerabilidad cuando no existe amenaza para la misma.
Algunos tipos de intrusos Ante un determinado riesgo, una organización puede optar por tr es alternativas
informáticos: distintas:
• Hacker
• Cracker
• Asumirlo sin hacer nada. Esto solamente resulta lógico cuando el perjuicio es-
• Lamer perado no tiene valor alguno o cuando el coste de aplicación demedidas supe-
• CopyHacker raría al de la reparación del daño.
• Bucanero
• Aplicar medidas para disminuirlo o anularlo.
• Phreaker
• Newbie • Transferirlo (por ejemplo, contratando un seguro).
• Script Kiddie
Vulnerabilidades
Probabilidades que existen de que una amenaza se materialice co ntra un activo.
No todos los activos son vulnerables a las mismas amenazas. Por ejemplo, los da-
tos son vulnerables a la acción de los hackers, mientras que una instalación eléc-
trica es vulnerable a un cortocircuito. Al hacer el análisis de riesgos hay que te-
ner en cuenta la vulnerabilidad de cada activo.
Ataques
Se dice que se ha producido un ataque accidental o deliberado contra el sistema
cuando se ha materializado una amenaza.
En función del impacto causado a los activos atacados, los ataq ues se clasifican
en:
• Activos. Si modifican, dañan, suprimen o agregan información, o bien blo -
quean o saturan los canales de comunicación.
saber más
El ataque cometido por parte de un • Pasivos. Solamente acceden sin autorización a los datos contenidos en el sis-
hacker que utiliza ordenadores tema. Son los más difíciles de detectar.
intermediarios para ocultar la pro-
pia identidad (IP) hasta llegar a su Un ataque puede ser directo o indirecto, si se pro duce desde el atacante al ele-
objetivo es un ataque indirecto. mento «víctima» directamente, o a través de recursos o personas intermediarias.
Impactos
Son la consecuencia de la materialización de una o más amenazassobre uno o va-
rios activos aprovechando la vulnerabilidad del sistema o, dicho de otra manera,
el daño causado.
Los impactos pueden ser cuantitativos, si los perjuicios pueden cuantificarse eco-
nómicamente, o cualitativos, si suponen daños no cuantificables, como los cau-
sados contra los derechos fundamentales de las personas.
3.2. Proceso del análisis de riesgos

Para implantar una política de seguridad en un sistema de infor mación es nece- caso práctico inicial
sario seguir un esquema lógico.
Analizar los riesgos de un sistema
de información requiere un proce-
• Hacer inventario y valoración de los activos.
so secuencial de análisis de activos,
sus vulnerabilidades, amenazas que
• Identificar y valorar las amenazas que puedan afectar a la seg uridad de los ac- existen, medidas de seguridad exis-
tivos. tentes, impacto que causaría un
determinado ataque sobre cual-
• Identificar y evaluar las medidas de seguridad existentes. quiera de los activos, objetivos de
seguridad de la empresa y selección
• Identificar y valorar las vulnerabilidades de los activos a la s amenazas que les de medidas de protección que
afectan. cubran los objetivos.
• Identificar los objetivos de seguridad de la organización.
• Determinar sistemas de medición de riesgos.
• Determinar el impacto que produciría un ataque.
• Identificar y seleccionar las medidas de protección.
ACTIVIDADES
11. La ventana de un centro de cálculo en donde se encuentran la mayor parte de los ordenadores y el servidor
de una organización se quedó mal cerrada. Durante una noche de tormenta, la ventana abierta ¿constituye
un riesgo, una amenaza o una vulnerabilidad? Razona la respuesta.
12. Teniendo en cuenta las propiedades de integridad, disponibilidad y confidencialidad, indica cuáles de estas
propiedades se verían afectadas por:
a) Una amenaza de interrupción.
b) Una amenaza de interceptación.
c) Una amenaza de modificación.
d) Una amenaza de fabricación.
13. Pon un ejemplo de cómo un sistema de información podría ser seriamente dañado por la presencia de un fac-
tor que se considera de poca relevancia y que explique de alguna manera que «La cadena siempre se rompe
por el eslabón más débil».
14. ¿Qué elementos se estudian para hacer un análisis de riesgos?
16 Unidad 1
4. Control de riesgos
Una vez que se ha realizado el análisis de riesgos se tiene que determinar cuáles
serán los servicios necesarios para conseguir un sistema de información seguro
(epígrafe 2.3). Para poder dar esos servicios será necesario dotar al sistema de los
mecanismos correspondientes.
4.1. Servicios de seguridad

Integridad
Asegura que los datos del sistema no han sido alterados ni cancelados por perso-
nas o entidades no autorizadas y que el contenido de los mensajes recibidos es el
correcto.
Confidencialidad
Proporciona protección contra la revelación deliberada o accidental de los datos
en una comunicación.
Disponibilidad
a Confidencialidad.
Permitirá que la información esté disponible cuando lo requieran las entidades au-
torizadas.
Autenticación (o identificación)
El sistema debe ser capaz de verificar que un usuario identificado que accede a
un sistema o que genera una determinada información es quien di ce ser. Solo
cuando un usuario o entidad ha sido autenticado,podrá tener autorización de ac-
ceso. Se puede exigir autenticación en la entidad de origen de la información, en
la de destino o en ambas.
a Autenticación.
No repudio (o irrenunciabilidad)
Proporcionará al sistema una serie de evidencias irrefutables de la autoría de un
hecho.
caso práctico inicial El no repudio consiste en no poder negar haber emitido una información que sí
se emitió y en no poder negar su recepción cuando sí ha sido recibida.
Cuando se realiza un análisis de
riesgos, hay que detectar qué ser- De esto se deduce que el no repudio puede darse:
vicios de seguridad cumple el siste-
ma de información y cuáles quedan • En origen. El emisor no puede negar el envío porque el receptor tiene pruebas
descubiertos o incompletos para certificadas del envío y de la identidad del emisor. Las pruebas son emitidas por
poder aplicar los mecanismos nece- el propio emisor.
sarios que aseguren la consecución
de los objetivos de seguridad de la • En destino. En este caso es el destinatario quien no puede negar haber recibi-
organización do el envío ya que el emisor tienepruebas infalsificables del envío y de la iden-
tidad del destinatario. Es el receptor quien crea las pruebas.
Control de acceso
Podrán acceder a los recursos del sistema solamente el personaly usuarios con au-
torización.
4.2. Mecanismos de seguridad

Según la función que desempeñen los mecanismos de seguridad pue den clasifi- caso práctico inicial
carse en:
Hablamos de seguridad física o
seguridad lógica según que el
• Preventivos. Actúan antes de que se produzca un ataque. Su misión es evitarlo.
mecanismo utilizado para ofrecer
seguridad sea físico o lógico.
• Detectores. Actúan cuando el ataque se ha producido y antes de que cause da-
ños en el sistema.
• Correctores. Actúan después de que haya habido un ataque y se hayan produ-

cido daños. Su misión es la de corregir las consecuencias del daño.
Cada mecanismo ofrece al sistema uno o más servicios de los especificados en el caso práctico inicial
epígrafe anterior.
Los mecanismos físicos o lógicos de
Existen muchos y variados mecanismos de seguridad. En esta sección se mencio- seguridad tienen como misión pre-
venir, detectar o corregir ataques al
nan los más habituales, que se detallarán en otras unidades didácticas. sistema, asegurando que los servi-
cios de seguridad queden cubier-
La elección de mecanismos de seguridad depende de cada sistema de informa- tos.
ción, de su función, de las posibilidades económicas de la organización y de cuá-
les sean los riesgos a los que esté expuesto el sistema.
Seguridad lógica
Los mecanismos y herramientas de seguridad lógica tienen como objetivo prote-
ger digitalmente la información de manera directa.
• Control de acceso mediante nombres de usuario y contraseñas.
• Cifrado de datos (encriptación). Los datos se enmascaran con una clave espe-
cial creada mediante un algoritmo de encriptación. Emisor y rec eptor son co-
nocedores de la clave y a la llegada del mensaje se produce el descifrado. El ci-
frado de datos fortalece la confidencialidad.
• Antivirus. Detectan e impiden la entrada de virus y otro software malicioso.

En el caso de infección tienen la capacidad de eliminarlos y de corregir los
daños que ocasionan en el sistema. Preventivo, detector y corrector. Protege
la integridad de la información.
a Antivirus, seguridad lógica. Pre-
vienen, detectan y corrigen ata-
• Cortafuegos (firewall). Se trata de uno o más dispositivos de software, de ques al sistema informático.
hardware o mixtos que permiten, deniegan o restringen el acceso al sistema.
Protege la integridad de la información.
• Firma digital. Se utiliza para l a transmisión de mens ajes telemáticos y en l a

gestión de documentos electrónicos (por ejemplo, gestiones en o ficinas vir-
tuales). Su finalidad es identificar de forma segura a la persona o al equipo que
se hace responsable del mensaje o del documento. Protege la int egridad y la
confidencialidad de la información.
• Certificados digitales. Son documentos digitales mediante los cuales una en-
tidad autorizada garantiza que una persona o entidad es quien dice ser, avalada
por la verificación de su clave pública. Protege la integridad y la confidencia-
lidad de la información. a Firma digital.
18 Unidad 1
Las redes inalámbricas (WiFi) necesitan precauciones adicionales para su protec-

ción:
• Usar un SSID (Service Set Identifier), es decir, darle un nombre a la red, pre-
feriblemente uno que no llame la atención de terceros que detecten esta red en-
tre las disponibles. Cambiar con cierta frecuencia el SSID.
• Protección de la red mediante claves encriptadas WEP(Wired Equivalent Pri-
vacy) o WPA (WiFi Protected Access). La clave WEP consume más recursos y
es más fácilmente descifrable que la WPA y debería cambiarse con frecuencia.
La WPA es de encriptación dinámica y mucho más segura al ser más difícil de
descifrar. Cambiar periódicamente la contraseña de acceso a la red.
• Filtrado de direcciones MAC(Media Access Control). Es un mecanismo de ac-
ceso al sistema mediante hardware,por el que se admiten solo determinadas di-
recciones, teniendo en cuenta que cada tarjeta de red tiene una dirección
MAC única en el mundo. Puede resultar engorroso de configurar y no es infa-
lible puesto que es posible disfrazar la dirección MAC real.
Seguridad física
Detector de humos
Son tareas y mecanismos físicos cuyo objetivo es proteger al sistema (y, por tanto
indirectamente a la información) de peligros físicos y lógicos.
• Respaldo de datos. Guardar copias de seguridad de la información del sistema
en lugar seguro. Disponibilidad.
• Dispositivos físicos de protección, como pararrayos, detectores de humo y
extintores, cortafuegos por hardware, alarmas contra intrusos, sistemas de
alimentación ininterrumpida (para picos y cortes de corriente e léctrica) o
mecanismos de protección contra instalaciones. En cuanto a las personas,
SAI (Sistema de alimentación acceso restringido a las instalaciones; por ejemplo, mediante v igilantes ju-
ininterrumpida)
rados o cualquier dispositivo que discrimine la entrada de personal a deter-
a Elementos de seguridad física. minadas zonas.
ACTIVIDADES
15. Investiga el término war driving, que también puede expresarse como wardriving o war xing. ¿Crees que el
war driving constituye un riesgo contra la confidencialidad?
16. ¿Qué relación hay entre servicios de seguridad y mecanismos de seguridad?
17. ¿Qué es el SSID de una red WiFi?
18. ¿Podrías explicar qué significa encriptar un mensaje? Inventa un sencillo sistema de encriptación (codificación).
Imagina que envías a otra persona unas palabras codificadas según tu sistema inventado. ¿Qué necesita te-
ner o saber la persona que recibe tu mensaje para poder descifrarlo?
19. De los siguientes dispositivos indica cuáles son preventivos, detectores o correctores:
a) Cortafuegos (firewall).
b) Antivirus.
c) Extintor de fuegos.
d) Detector de humos.
e) Firma digital.
En este gráfico se puede observar claramente la relación entre mecanismos y ser-

vicios de seguridad, y de ambos sobre los activos y los peligros que los acechan.
caso práctico inicial

ACTIVO AMENAZA
Los mecanismos de seguridad pro-
porcionan servicios de seguridad
Frecuencia que reducen tanto las vulnerabili-
dades del sistema como la intensi-
dad del impacto de posibles ata-
ques a los activos.
IMPACTO VULNERABILIDAD
SE APLICAN
RIESGO
Reduce Reduce
SERVICIOS
DE
REPARA SEGURIDAD PREVIENE
Proporcionan
MECANISMOS
DE
SEGURIDAD
ACTIVIDADES
20. Imagina esta situación: Quieres presentar a tu jefe una brillante idea que puede interesar a la competencia,
pero te encuentras de fin de semana en un pueblecito donde los teléfonos móviles no funcionan, por suerte
te has llevado tu portátil y el hotel rural donde te encuentras alojado dispone de servicio de internet. Así que
decides enviarle un correo electrónico pero sin encriptar. Explica los peligros de este procedimiento.
21. Investiga qué es la esteganografía.
22. ¿Cómo escogerías una clave segura de acceso al ordenador de una empresa donde se guardan datos confi-
denciales de clientes?
23. Trabajas como técnico de informática y te llega una llamada de una oficina. Un empleado hacía cada sema-
na una copia de seguridad de la carpeta Documentos Importantes. La copia la guardaba en otra partición del
mismo disco duro. Una tormenta eléctrica ha dañado el disco y un experto en informática no ha hallado modo
de restablecer su funcionamiento. Te piden que te acerques a la oficina para ver si existe la posibilidad de re-
cuperar al menos los datos.
a) ¿Podrás recuperar los datos originales?
b) En su defecto, ¿podrán recuperarse los que hay en la copia de seguridad?
c) A tu juicio, ¿el empleado ha cometido alguna imprudencia con la copia de seguridad?
20 Unidad 1
4.3. Enfoque global de la seguridad

recuerda La información es el núcleo de to do sistema de información. Par a proteger sus
propiedades de integridad, disponibilidad y confidencialidad esnecesario tener en
La seguridad de la información
implica a todos los niveles que la
cuenta a los niveles que la rodean para dotarlos de mecanismos y servicios de se-
rodean: guridad.
1. Edificio y habitaciones
2. Hardware y red interna
Desde el exterior hasta llegar a la información, se pueden definir estos niveles:
3. Sistema operativo y software
• La ubicación física. Edificio, planta o habitaciones, por ser el lugar físico en
4. Conexión a Internet
donde se encuentran ubicados los demás niveles.
En cada nivel intervienen personas.
• El hardware y los componentes de la red que se encuentran en e l interior del

entorno físico, porque contienen, soportan y distribuyen la información.
• El sistema operativo y todo el software, porque gestiona la información.
• La conexión a internet, por ser la vía de contacto entre el sistema de informa-

ción y el exterior.
• La información.
Observa la figura siguiente para comprobar que la conexión a internet atraviesa

los distintos niveles hasta llegar a la información: En el edificio habrá antenas, ca-
bleado en los muros, etc. Entre el hardware contamos con router s, switches, or-
denadores, servidores, periféricos, etc. El sistema operativo yel software gestionan
los accesos a internet. La información es el bien preciado que no se debe descui-
dar, pues desde internet solamente se podrá acceder a una parte de ella y siempre
que los usuarios tengan autorización.
Una vez más aludimos al personal de la empresa que puede actuaren todos los ni-
veles o en parte de ellos y por lo tanto es un factor a tener en cuenta.
5. Herramientas de análisis
y gestión de riesgos
5.1. Política de seguridad
Recoge las directrices u objetivos de una organización con respecto a la seguridad
de la información. Forma parte de su política general y, por tanto, ha de ser apro-
bada por la dirección.
El objetivo principal de la redacción de una política de seguri dad es la de con-

cienciar a todo el personal de una organización, y en particular al involucrado di-
rectamente con el sistema de información, en la necesidad de conocer qué prin-
cipios rigen la seguridad de la entidad y cuáles son las normas para conseguir los
objetivos de seguridad planificados. Por tanto, la política de seguridad deberá re-
dactarse de forma que pueda ser comprendida por to do el personal de una orga-
nización.
No todas las políticas de seguridad son iguales. El contenido depende de la reali-

dad y de las necesidades de la organización para la que se elabora.
Existen algunos estándares de políticas de seguridad por países y por áreas (go-
bierno, medicina, militar…), pero los más internacionales son l os definidos por
la ISO (International Organization for Standardization).
Una política de seguridad contendrá los objetivos de la empresaen materia de se- caso práctico inicial
guridad del sistema de información, generalmente englobados en cuatro grupos:
Los objetivos y normas de seguri-
dad están recogidos en la política
• Identificar las necesidades de seguridad y los riesgos que ame nazan al sistema de seguridad de la organización.
de información, así como evaluar los impactos ante un eventual ataque. Para la consecución de objetivos, el
personal debe estar informado de
cuál es la política de seguridad de
• Relacionar todas las medidas de seguridad que deben implementa rse para
la empresa.
afrontar los riesgos de cada activo o grupo de activos.
• Proporcionar una perspectiva general de las reglas y los procedimientos que de-
ben aplicarse para afrontar los riesgos identificados en los di ferentes departa-
mentos de la organización
• Detectar todas las vulnerabilidades del sistema de información y controlar los

fallos que se producen en los activos, incluidas las aplicaciones instaladas.
• Definir un plan de contingencias.
EJEMPLOS DE HERRAMIENTAS DE ANÁLISIS Y GESTIÓN DE RIESGOS
MAGERIT. Es una metodología de análisis y gestión de riesgos de los sistemas de infor-

mación. En inglés Methodology for Information Systems Risk Analysis and Management.
PILAR. Es un procedimiento informático-lógico para el análisis y gestión de riesgos, que

sigue la metodología MAGERIT. De uso exclusivo de la Administración Pública Española.
22 Unidad 1
5.2. Auditoría
caso práctico inicial La auditoría es un análisis pormenorizado de un sistema de info rmación que
permite descubrir, identificar y corregir vulnerabilidades en los activos que lo
La auditoría, mediante pruebas
analíticas sobre los activos y proce-
componen y en los procesos que se realizan. Su finalidad es ver ificar que se
sos que desarrolla la organización, cumplen los objetivos de la política de seguridad de la organización. Propor-
descubre vulnerabilidades, estable- ciona una imagen real y actual del estado de seguridad de un sistema de infor-
ce medidas de protección y analiza mación.
periódicamente el sistema de infor-
mación para detectar los riesgos no
contemplados o de nueva apari- Tras el análisis e identificación de vulnerabilidades, la persona o equipo encarga-
ción. do de la auditoría emite un informe que contiene, como mínimo:
El estudio puede realizarse median-
• Descripción y características de los activos y procesos analizados.
te software específico para audito-
ría de sistemas. • Análisis de las relaciones y dependencias entre activos o en el proceso de la
información.
• Relación y evaluación de las vulnerabilidades detectadas en cada activo o sub-
conjunto de activos y procesos.
• Verificación del cumplimiento de la normativa en el ámbito de la seguridad.
• Propuesta de medidas preventivas y de corrección.
Para evaluar la seguridad de un sistema de información se necesitan herramien-
tas de análisis:
• Manuales. Observación de los activos, procesos y comportamientos, medicio-
nes, entrevistas, cuestionarios, cálculos, pruebas de funcionamiento.
saber más • Software específico para auditoría. Se le reconoce por las siglas CAAT (Com-
puter Assisted Audit Techniques). Los CAATS son herramientas de gran ayuda
Software de auditoría
para mejorar la eficiencia de una auditoría, pudiendo aplicarse sobre la totali-
• CaseWare
dad o sobre una parte del sistema de información. Proporcionanuna imagen en
• WizSoft
tiempo real del sistema de información, realizan pruebas de con trol y emiten
• Ecora informes en los que señalizan las vulnerabilidades y puntos débiles del sistema,
• ACL así como las normativas que podrían estar incumpliéndose.
La auditoría puede ser total, sobre todo el sistema de información, o parcial, so-
bre determinados activos o procesos.
La auditoría de un sistema de información puede realizarse:
• Por personal capacitado perteneciente a la propia empresa.
• Por una empresa externa especializada.
ACTIVIDADES
24. Investiga qué es un test de intrusión.
25. Tu jefe te dice que ha detectado que el rendimiento de los trabajadores ha bajado considerablemente desde
que la empresa tiene acceso a internet. Te pide que le propongas una solución.
26. En tu empresa acaban de crear unas claves de seguridad para los empleados. Dichas claves se envían por co-
rreo electrónico. ¿Esto es desconocimiento de las prácticas de seguridad?
5.3. Plan de contingencias

Determinadas amenazas a cualquiera de los activos del sistema d e información
pueden poner en peligro la continuidad de un negocio. El plan de contingencias
es un instrumento de gestión que contiene las medidas (tecnológicas, humanas y
de organización) que garanticen la continuidad del negocio protegiendo el siste-
ma de información de los peligros que lo amenazan o recuperándo lo tras un im-
pacto.
El plan de contingencias consta de tres subplanes independientes:
• Plan de respaldo. Ante una amenaza, se aplican medidas preventivas para evi- caso práctico inicial
tar que se produzca un daño. Por ejemplo, crear y conservar en lugar seguro co-
El plan de contingencias contiene
pias de seguridad de la información, instalar pararrayos o hace r simulacros de
medidas preventivas, paliativas y de
incendio. recuperación de desastres.
• Plan de emergencia. Contempla qué medidas tomar cuando se está materiali- El personal no solamente debe
estar informado del plan de con-
zando una amenaza o cuando acaba de producirse. Por ejemplo, restaurar de in- tingencias sino preparado para
mediato las copias de seguridad o activar el sistema automático de extinción de actuar ante un peligro o un desas-
incendios. tre. Ejemplo: simulacros de incen-
dio.
• Plan de recuperación. Indica las medidas que se aplicarán cuando se ha pro-
ducido un desastre. El objetivo es evaluar el impacto y regresar lo antes posible
a un estado normal de funcionamiento del sistema y de la organi zación. Por
ejemplo, tener un lugar alternativo donde continuar la actividad si el habitual
hubiese sido destruido, sustituir el material deteriorado, reinstalar aplicaciones
y restaurar copias de seguridad.
La elaboración del plan de contingencias no puede descuidar alpersonal de la or-
ganización, que estará informado del plan y entrenado para actuar en las funcio-
nes que le hayan sido encomendadas en caso de producirse una amenaza o un im-
pacto.
ACTIVIDADES
27. El hecho de preparar un plan de contingencias, ¿implica un reconocimiento de la ineficiencia en la gestión de
la empresa?
28. ¿Cuál es la orientación principal de un plan de contingencia?
29. Investiga: diferencias entre redes cableadas y redes inalámbricas WIFI.
30. ¿En qué se basa la recuperación de la información?
31. Tu jefe te pide que le hagas una buena política de copias de seguridad para que sea seguida por todos los tra-
bajadores de la empresa. ¿Qué deberá contemplar?
32. Trabajas en una empresa donde además de la oficina central, hay una red de oficinas por varias ciudades. Se
elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto?
33. En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguien-
tes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una be-
bida en el teclado o sobre el monitor, olvidarse el portátil en un taxi, el robo del ordenador.
¿Crees que cubrir estos puntos es acertado?
26 Unidad 1
MUNDO LABORAL
Las personas son el eslabón débil

en la ciberseguridad
La popularidad de Facebook y otros sitios muy visita- el phishing o ataques de software malicioso a través de
dos de redes sociales ha dado a los hackers nuevas vías Twitter u otras redes sociales, dijo Sophos.
para robar dinero e información, dijo la compañía de
El phishing es el envío de correos electrónicos a través
seguridad Sophos en un reporte publicado el miérco-
de los cuales los estafadores tratan de convencer a sus
les.
potenciales víctimas para que revelen información per-
Cerca de la mitad de las compañías bloquea parcial o sonal como contraseñas o cuentas bancarias.
completamente el acceso a las redes sociales debido a
Sophos también descubrió que la cantidad de páginas
la preocupación por ciber-incursiones a través de esos
web con software malicioso se cuadruplicó desde prin-
sitios, de acuerdo al estudio.
cipios del 2008, y un 39,6 por ciento de ellas tiene
«Los resultados de las investigaciones también revela- sede en Estados Unidos, que alberga más que cual-
ron que un 63 por ciento de los administradores de sis- quier otro país. China es el segundo, con 14,7 por
temas están preocupados porque sus empleados com- ciento.
parten demasiada información personal a través de los
Sophos, que tiene sedes en Gran Bretaña y Estados
sitios de redes sociales, lo que pone su infraestructura
Unidos, es el mayor fabricante de software de capital
corporativa –y los datos sensibles almacenados en
privado.
ella– en riesgo», dijo el reporte de Sophos.
Esto ocurre a pesar de años de exhortaciones a los Reuters
usuarios de computadoras respecto a que deberían
Reporte de Diane Bartz;
mantener su información personal en privado y abste-
editado en español por Hernán García
nerse de abrir archivos adjuntos de correos electróni-
cos provenientes de fuentes no conocidas. http://lta.reuters.com/article/internetNews/
idLTASIE56L08920090722
Uno de los resultados es que una cuarta parte de los
negocios ha sido afectada por tácticas como el spam, Washington, miércoles 22 de julio de 2009
Actividades
Lee el artículo y en vista de su contenido responde a las siguientes cuestiones:
1. ¿Qué propiedades de seguridad del sistema de información podrían verse vulneradas por negligencias co-
metidas por empleados de la empresa al publicar sus datos personales en redes sociales?
2. Indica alguna manera de que los administradores de un sistema de información puedan impedir que el per-
sonal de la empresa acceda a sitios que podrían poner en peligro las propiedades de seguridad del sistema.
3. ¿Qué proporción de negocios se ven afectados por spam o software malicioso debido al uso indebido de re-
des sociales por parte de los empleados?
4. En tu opinión, ¿consideras cierta la afirmación de que se producen más fallos de seguridad por la interven-
ción humana que por errores en la tecnología?
EN RESUMEN
SEGURIDAD INFORMÁTICA
Propiedades SI seguro Análisis de riesgos Control de riesgos
• Integridad Elementos de análisis Servicios Mecanismos

• Confidencialidad de seguridad de seguridad
• Disponibilidad
• Activos • Confidencialidad • Físicos

• Amenazas • Autentificación • Lógicos
• Riesgos • Integridad
• Vulnerabilidades • No repudio
• Ataques • Control de acceso
• Impactos • Disponibilidad
Política de seguridad Plan de contingencias Modelo de seguridad
EVALÚA TUS CONOCIMIENTOS

1. El conjunto de datos organizados que tienen signi- 3. Señala, en la siguiente lista, lo que es un activo:
ficado se llama: a) Inundación.
a) Recurso.
b) Riesgo.
b) Actividad.
c) Red local.
c) Software.
d) Política de seguridad.
d) Información.
4. Indica la respuesta correcta que te sugiera la pala-
2. Señala cuál de estos elementos no forma parte de
un sistema informático: bra disponibilidad:
a) Router. a) Asegura que los datos no han sido modificados.
b) Usuario. b) Protección contra la revelación de datos.
c) Teclado. c) Identifica personas.
d) Estante. d) Permite el acceso solo a usuarios con autorización.
Soluciones: 1d, 2d, 3c, 4d
RIESGOS Y SEGURIDAD
RIESGOS Y SEGURIDAD
Las claves del Éxito

para la Gestión de Riesgos
Identifique, calcule, controle y La ISO 27001 establece un Sistema de Gestión de Seguridad

de la Información, cuyo elemento más importante es la Ges-
mejore la eficacia y eficiencia tión de los Riesgos.
en la Gestión de Riesgos.
¿Qué significa Gestionar Riesgos?
Significa que, en primer lugar es necesario identificar los riesgos
que afectan a la Organización, y en segundo lugar, es necesario
Gestión de establecer medidas de seguridad para reducir estos riesgos.
Riesgos Por tanto dentro de la Gestión de riesgos podemos diferenciar
principalmente 2 etapas: Análisis y Tratamiento.
Para desarrollar todo el proceso de análisis y tratamiento de los
riesgos, es imprescindible establecer una Metodología, la cual
definirá los pasos que se tienen que seguir para llevar a cabo la
Gestión de Riesgos.
Análisis Tratamiento Actualmente existen muchas metodologías en el mercado pero
todas tienen una serie de puntos en común, los cuales veremos a
continuación.
Eventos ISOTools Próximos webinars Contacte con ISOTools

RIESGOS Y SEGURIDAD
1. Identificación de activos Podemos categorizar los activos y definir

Podemos considerar como activos: Impreso- diferentes tipos. Ejemplo: Hardware,
ras, dispositivos de almacenamiento (discos
Software, Personas, Información, etc
duros externos, pendrives), aplicaciones, or-
denadores, servidores, personas, etc.)
Todos estos elementos tienen información:
• Impresora: Hojas que se imprimen
• Pendrives: Información digital
• Aplicaciones: Información digital
• Servidores: Información digital
• Empleados: Conocimiento, e información

de la Organización
No obstante también podemos identificar
como activo elementos que no contienen
información, pero que son imprescindibles
para otros activos que sí la tienen. Por ejem-
plo: Una consola de aire acondicionado no
contiene información, pero su funciona-
miento implica que los servidores, que sí
contienen información, no se sobrecalienten
y se averíen.
También es importante identificar la depen-
dencia que puede existir entre activos: Una
aplicación funciona en un servidor, por tan-
to, si el servidor deja de funcionar, la aplica-
ción también lo hará.
Por último, además de identificar los activos,
también puede ser necesario y/o interesante
valorarlos con respecto las 3 dimensiones de
seguridad: Confidencialidad, Integridad y Dis-
ponibilidad.

RIESGOS Y SEGURIDAD
2. Identificación de amenazas y vulnerabilidades

Una situación de
Todos los activos de la Organización están expuestos a amena-
zas, y estas son explotadas por vulnerabilidades.
vulnerabilidad en la
¿Qué es una amenaza? Cualquier problema que pueda afectar Organización favorece
al negocio: Ingeniería social, catástrofe natural, troyanos, virus,
etc.
que las amenazas se
¿Qué es una vulnerabilidad? Situación que provoca que una
materialicen
amenaza pueda producirse. Por ejemplo, imaginemos que en
una Organización existe poca concienciación en seguridad de la
información, esto (la vulnerabilidad) ocasionará que exista más
probabilidad de que alguno de sus empleados se descargue un
correo electrónico con un troyano o un virus (amenaza).
Lo recomendable suele ser identificar amenazas/vulnerabilida-
des por tipo de activo, lo cual nos ahorrará mucho trabajo, ya
que todos los activos que estén bajo el paraguas de una mis-
ma categoría podrán compartir amenazas/vulnerabilidades. No
obstante hay que hacer un análisis por cada activo y comprobar
si las amenazas/vulnerabilidades que le corresponden por su
categoría son adecuadas.
Casi todas las metodologías de gestión de riesgos, o al menos
las más importantes, incluyen un catalogo de amenazas de don-
de se pueden seleccionar las que apliquen a cada activo.
3. Cálculo del nivel de riesgo

El cálculo del nivel de riesgo se realiza de manera distinta de-
pendiendo de la metodología que se considere, ya que cada
una utiliza una fórmula de cálculo distinta (probablemente esto
sea lo que haga más distinta unas metodologías de otras). No
obstante aquí veremos una fórmula sencilla y rápida de enten-
der, basada en 2 parámetros fundamentales en gestión de ries-
gos:
• Probabilidad de que una amenaza se materialice.
• Impacto en la Organización resultante de la materialización de

una amenaza.
En algunos casos también se considerará la valoración del acti-
vo (basada en las 3 dimensiones: Confidencialidad, Integridad y
Disponibilidad).
Tanto el Impacto como la Probabilidad se pueden medir en va-
lores porcentuales, lo cual nos resultará más sencillo a la hora
de calcular el nivel de riesgo.

RIESGOS Y SEGURIDAD
Cálculo del nivel de riesgo

Impacto Probabilidad
0% 50% 100% 0% 50% 100%
La amenaza no La amenaza La amenaza Poco probable Probabilidad Probabilidad muy

produce ningún produce un daño produce un daño que se materialice considerable de alta de que se
daño considerable crítico la amenaza que se materialice materialice
• Impacto: Por ejemplo 0% si la amenaza no produce

ningún daño, 50% si el daño es considerable y 100% si Los controles de seguridad
el daño es muy crítico para la Organización. son fundamentales, ya
• Probabilidad: Por ejemplo 0% si la probabilidad de
que la amenaza se materialice es muy baja, 50% si la
que sin ellos los riesgos
probabilidad es considerable y 100% si la probabilidad
es muy alta.
que están por encima del
Al final, obtendremos un valor numérico para el riesgo, el
nivel aceptable supondrán
cual representará lo siguiente: un gran peligro para el
• Probabilidad de que una amenaza se materialice e
impacto en la Organización en caso de que se mate-
negocio y la Organización.
rialice.
El siguiente paso será determinar si este nivel de ries-
go es aceptable para la Organización, es decir, si el nivel 4. Establecimiento de controles
de riesgo detectado está por encima del nivel de riesgo Para aquellos riesgos que superen el nivel aceptable ten-
aceptable. dremos que aplicar controles. Para hacer esta implanta-
¿Qué es el nivel de riesgo aceptable? Es el nivel de riesgo ción de controles de manera ordenada, estructurada y
que establece la Organización como permitido, es decir, planificada, estableceremos un Plan de Tratamiento.
si el nivel de riesgo aceptable por ejemplo es medio, úni- El definir un Plan para la implantación de los controles
camente supondrá un peligro para la Organización aque- también es fundamental, ya que existirán muchos e im-
llos riesgos que estén por encima: Alto. plantarlos todos puede convertirse en un verdadero caos
Por tanto, si el nivel de riesgo está por encima del acepta- si no existe un orden, una estructura y una planificación.
ble, tendremos que hacer un tratamiento del mismo con El Plan de Tratamiento de Riesgos tiene que contener
el objetivo de reducirlo (a un nivel aceptable). una serie de información básica:

RIESGOS Y SEGURIDAD
El Plan de Tratamiento
de riesgos se encarga
de implantar de
manera planificada
los controles que se
aplican a los riesgos
que superan el nivel
aceptable.
• Responsable del control: Persona que se responsabili- Cuando implantamos los controles reducimos el riesgo,
za de la correcta implantación del control pero este no dejará de existir, siempre quedará un nivel,
aunque sea mínimo.
• Recursos: Personas, técnicos, empresas externas o
materiales que se utilizarán para la implantación del ¿Qué ocurre si el nivel de riesgo, reducido por la im-
control plantación de los controles de seguridad, sigue estando
por encima del nivel de riesgo aceptable?
• Acciones a llevar a cabo: Acciones que serán necesa-
rias para la implantación del control Tendremos que tomar una decisión en cuanto al trata-
miento, y deberá quedar formalmente establecido en
• Prioridad: Todos los controles no tienen la misma prio-
nuestra metodología de análisis y tratamiento de riesgos.
ridad, ya que por una parte el nivel de riesgo no será el
mismo, ni tampoco el valor de cada activo para la Orga- Esta decisión se puede resumir en las siguientes posibi-
nización. Por tanto es necesario establecer prioridades. lidades:
Esta prioridad puede venir determinada por la fecha de
• Asumir el riesgo: La Organización conoce el riesgo y no
implantación de cada control.
puede establecer más recursos de los ya establecidos
Después de implantar todos los controles de seguridad, para reducirlo.
tenemos que calcular el riesgo residual.
• Transferirlo a otra parte: Una compañía de seguros,
¿Qué es el riesgo residual? Es el riesgo que sigue que- una compañía externa, etc.
dando después de implantar los controles de seguridad.

RIESGOS Y SEGURIDAD
Conclusiones
Todos los activos de una Organización (sea grande o pequeña) están
expuestos a riesgos, los cuales si no se reducen pueden provocar un
La Plataforma
problema importante al negocio. Para reducir estos riesgos podemos Tecnológica
implantar controles utilizando una metodología de análisis de riesgos. ISOTools le ayuda
Una metodología de análisis de riesgos nos ayuda a identificar activos, a automatizar
las amenazas/vulnerabilidades que les afectan, y calcular el nivel de la Gestión de
riesgo, el cual tiene que estar por debajo de un nivel aceptable para la
Organización.
Riesgos
Si el nivel de riesgo es superior al aceptable, la Organización tiene que ISOTools el la Plataforma
implantar controles de seguridad para reducirlo. Tecnológica idónea para
Existen muchas metodologías, pero todas tienen el mismo objetivo: cal- facilitar la implementación
cular el riesgo asociado a los activos de la Organización y establecer y mantenimiento de su sis-
medidas para reducirlo. tema de gestión de Riesgos,
sea cual sea el tamaño y tipo
de organización.
ISOTools permite la auto-
matización del Sistema de
Gestión del Riesgo, para
la detección y control de
amenazas de las organizacio-
nes, mejorando la eficacia y
eficiencia en la gestión, redu-
ciendo riesgos y controlando
incidencias.
Todo ello, gracias a una
herramienta de fácil uso y
amigable que permite la ges-
tión y distribución práctica
de tareas y responsabilida-
des con sistema de avisos y
alarmas escalable.
ISOTools Excellence
www.isotools.org

acensTechnologies
WHITEPAPER: QUÉ ES EL PHISHING Y CÓMO PROTEGERSE
QUÉ ES EL PHISHING Y CÓMO PROTEGERSE

acensTechnologies
Seguro que alguna vez has recibido en tu buzón de correo electrónico algún mensaje enviado por
alguna empresa conocida (sobre todo de entidades bancarias aunque también de empresas de
servicios) que realmente no ha sido enviado por quien dice ser. Este tipo de envíos con la intención
de engañar al usuario es lo que se conoce popularmente con el nombre de phishing o suplantación
de identidad, un tipo de ataque que puede causar muchos problemas si no se toman las medidas
de seguridad adecuadas
Qué es el phishing
El phishing es una de las modalidades de estafa más utilizadas en la actualidad por los atacantes
para intentar conseguir datos de gran importancia del usuario como su número de tarjeta de
crédito, o cualquier información que después pueda ser utilizada de forma fraudulenta.
El estafador, conocido habitualmente con el nombre de phisher, hace uso de técnicas de

ingeniería social, haciéndose pasar por una persona o empresa de total confianza y contactando
mediante algún formato electrónico, generalmente un email idéntico al que suelen enviar esos
contactos de confianza. Si la persona que recibe estos correos no tiene ciertos conocimientos, no
será capaz de detectar que se trata de un fraude.
En estos mensajes se suele informar al usuario que tiene que entrar en una url para indicar de
nuevo sus datos o algo similar, pero realmente, donde estamos entrando es a una dirección web
totalmente falsa, en la que lo único que conseguiremos será proporcionar nuestra información al
atacante.
Tradicionalmente el phishing está asociado al mundo del correo electrónico, pero además de esta
vía, también se puede dar por otros medios como las redes sociales, llamadas telefónicas, el envío
de SMS/MMS o incluso el uso del correo postal.
acensTechnologies
Cómo funciona el ataque mediante la suplantación de

identidad
El funcionamiento de este tipo de ataques para conseguir información relevante del usuario es
muy sencillo. Lo primero que hace el atacante es crearse una apariencia de un ente de confianza.
El siguiente paso sería realizar el envío de los mensajes por algún medio de propagación, mensajes
que irán destinados a miles de usuarios. Entre estos usuarios, habrá un cierto porcentaje que se
fiarán del mensaje y seguirán las instrucciones que indique el mensaje. Hecho esto, el usuario
habrá proporcionado información de gran valor al atacante. Las consecuencias de esto
principalmente son:
• Robo de dinero de la cuenta bancaria.
• Uso indebido de las tarjetas de crédito.
• Envío de publicidad en su nombre.
• Suplantación de identidad.
Cómo detectar el phishing
Cuando recibimos un correo que pensamos que puede tratarse de un correo de suplantación de
identidad, podemos fijarnos en varios aspectos para corroborar si se trata de un email bueno o de
una estafa. Estos puntos son:
• Revisar el campo “De” del correo: En este campo es donde aparece la información de
quién envía el mensaje. Si aquí aparece una dirección que no coincide con la empresa que
envía el email, ya es un punto a favor para desconfiar de él. La pega es que este campo es
acensTechnologies
fácilmente manipulable y en este tipo de correos suele aparecer una dirección que coincide
con el dominio que con el que aparece en el mensaje.
• Enlaces: Si en el cuerpo del mensaje apareciese algún tipo de enlace, nos situaríamos
encima de él sin hacer ningún clic. Ya sea en la parte inferior de nuestro programa de mail
o bien mediante una pequeña ventana emergente, veremos la url hacia donde nos llevará
ese enlace. Si esa dirección es extraña y no coincide con el contenido del email, entonces
podemos afirmar que se trata de un correo phishing.
• Faltas de ortografía: Es muy importante que estemos pendiente de la información que
contiene el email y detectar si incluye algún tipo de falta de ortografía o incongruencias
gramaticales. De ser así, es un motivo más para desconfiar del correo.
• Idioma no habitual: si la empresa nos contacta en otro idioma al habitual, recibimos un
correo de alguien en el extranjero o uno de nuestros conocidos nos escribe en otro idioma,
también debemos sospechar.
• Adjuntos: si desconoces al remitente no conviene descargar los adjuntos, y si lo haces pasa
el antivirus antes de abrirlos.
Consejos para protegerse del phishing
Recuerda que:
• acens nunca te solicitará tus claves por correo electrónico
• No pinches nunca en enlaces sospechosos que recibas por correo electrónico
• Desconfía especialmente de remitentes desconocidos
• En caso de haber proporcionado contraseñas o tarjetas de crédito, cambia tus contraseñas
y contacta con tu banco para informarles del posible incidente con tu tarjeta
acensTechnologies
En general te recomendamos:
- Desconfiar de cualquier correo electrónico donde se cometan varias faltas de ortografía o

gramaticales, cuyo remitente sea sospechoso o que no tenga logos de empresas si éstas
son de cierta entidad
- Evitar en la medida de lo posible pulsar enlaces en correos electrónicos, aunque hayan sido
recibidos de una dirección en la que confiemos, y de hacerlo revisar especialmente si
solicitan datos de identidad, credenciales o medios de pago, haciendo las siguientes
comprobaciones:
o Comprobar que la dirección que aparece en la barra de direcciones es correcta y
está bien escrita
o Comprobar que se está accediendo por HTTPS (la dirección en la barra de
direcciones empieza por “https://”), y hacer clic en el icono del candado al lado de
la dirección en la barra de direcciones, para verificar el certificado de la
organización que gestiona el sitio web
o Si es posible verificar con el emisor del mensaje que se trata de un envío lícito, no
responder al mensaje sino emplear los canales de comunicación oficiales que le
consten para contactar
- Utiliza contraseñas seguras según las recomendaciones del siguiente documento albergado
en nuestra web: https://www.acens.com/comunicacion/white-papers/white-paper-
contrasenas-seguras/ (puedes comprobar que la página anterior es segura comparando el
texto que aparece en la ventana de su navegador y haciendo clic en el icono del candado
para verificar que la web está asociada a la empresa que gestiona el dominio “acens.com”)
Puedes obtener más información sobre avisos de campañas similares en la siguiente página web
del INSTITUTO NACIONAL DE SEGURIDAD:
https://www.incibe.es/protege-tu-empresa/avisos-seguridad
Aunque el phishing sea uno de los mecanismos más utilizado para intentar captar la información
privada del usuario, siguiendo estas simples recomendaciones y haciendo uso de nuestro sentido
común evitaremos que roben nuestros datos.
Universidad Piloto de Colombia. Cortés Hernández. Ingeniería Social: Phishing y Baiting 1
INGENIERÍA SOCIAL: PHISHING Y BAITING

Cortés Hernández, Andrés Mauricio.
anmao94@hotmail.com
Universidad Piloto de Colombia
Resumen— En este artículo se encontrarán dos claros

cuando se manipula a un adulto para obtener lo que
ejemplos, que darán a conocer la importancia de la ingeniería
social y como esta se puede ver afectada en una empresa, se desea. No obstante, de la misma manera sucede
debido al desconocimiento por parte de los funcionarios, ya en el campo laboral y en diversas ramas
que como consecuencia, la información puede verse afectada, profesionales, se hace uso de técnicas con el fin de
robada, alterada, etc. tener acceso por medio de la manipulación. De
Se realizará énfasis en dos procesos de ingeniería social
igual manera sucede con el uso de la información,
como son Phishing y Baiting. Cabe resaltar, que en estas dos
técnicas que se probaron, se alcanzó a obtener información una persona que sea mal intencionada puede valerse
destacada y fundamental de los usuarios. Con la cual se pudo de diversas técnicas y dañar la confidencialidad que
definir y distinguir cuáles son los puntos y las brechas de se le ha dado.
seguridad que se encuentran presentes en las compañías.
Abstract— In this article you will find two clear examples,

Teniendo en cuenta lo anteriormente expuesto, se
which will make known the importance of social engineering deduce que se generan ataques y la acción de
and how it can be affected in a company, due to the ignorance vender y tomar información privada a posibles
by the company officials, since as a consequence, the competidores, es algo que sucede con frecuencia, y
information can be affected, stolen and altered. se generan dudas constantes, en la tarea de muchos
Emphasis will be placed on two social engineering
processes such as Phishing and Baiting. It should be noted that
funcionarios acerca de cuestionarse de los
in these two techniques that were tested, it was possible to privilegios que se pueden dar a cada empleado,
obtain outstanding and fundamental information from users. cómo se podría tal vez mejorar o garantizar la
With which it was possible to define and distinguish which are confidencialidad de los datos que se brindan día a
the security points and breaches that are present in the día en los campos laborales y a su vez que grado de
companies.
seguridad se tienen en las compañías y cómo
Índice de Términos—Baiting, información, ingeniería mejorarlos con el pasar de los días.
social, phishing, seguridad informática.
La Ingeniería Social se sustenta en un sencillo
principio: “el usuario es el eslabón más débil”.
I. INTRODUCCIÓN Dado que no hay un solo sistema en el mundo que
Desafortunadamente, en la actualidad se está no dependa de un ser humano, la Ingeniería Social
proliferando de manera exhausta constatando que la es una vulnerabilidad universal e independiente de
mayoría de los ataques de ciberdelincuentes usan la plataforma tecnológica. A menudo, se escucha
técnicas de ingeniería social por eso es importante entre los expertos de seguridad que la única
resaltar su importancia y verificar con detenimiento computadora segura es la que esté desenchufada, a
técnicas, que serán analizadas y permitirán dar lo que, los amantes de la Ingeniería Social suelen
respuesta a las faltas de seguridad y robo de responder que siempre habrá oportunidad de
información en una empresa. convencer a alguien de enchufarla [1].
Ahora bien, la ingeniería social se encuentra A pesar de que existan medidas de seguridad,
presente y forma parte esencial de muchos ámbitos muchas veces estas no son suficientes para detener
de nuestra vida cotidiana; ya sea desde la infancia los ataques. Hay que tener en cuenta que, con los
datos robados, se puede revelar información al momento de ser organizados contiene un

relevante y confidencial. Por ejemplo, con el significado, esto transmitido al sentido de la
Phishing por medio de una estafa vía correo Ingeniería social es muy importante ya que
electrónico, se roban datos con fines maliciosos o se cualquier dato que se pueda extraer de alguien o
instala algún tipo de programa maligno en el equipo algo se contempla como robo de información que es
del funcionario, frente a eso es necesario tener en lo que se enfoca las diferentes técnicas de dicha
consciencia acerca de los correos falsos que se práctica.
puedan presentar en las compañías ya que los
atacantes cibernéticos estudian a las empresas para
poder enviar campañas que sean atractivas para los
funcionarios.
Fig 1. Diagrama de flujo entre dato e
De igual manera sucede con el baiting, se coloca a información [4].
disposición información falsa, por medios físicos
como dispositivos USB, CDs, por ejemplo, el uso Informática. La informática es conjunto de
de memorias con fines promocionales, los cuales conocimientos científicos y técnicas que estudia el
llegan al funcionario de manera verídica para que tratamiento automático de información utilizando
las introduzcan en los computadores y así infectar dispositivos electrónicos y sistemas
las máquinas [2]. computacionales. Incluye instrucciones en ciencias
de la información, interacción persona-computador,
II. CONCEPTOS CLAVES
análisis y diseño de sistemas de información,
Dato. El diccionario de la Real Academia de la estructura de las telecomunicaciones, arquitectura y
Lengua Española dice que “datos” son: gestión de la información.
“antecedentes necesarios para llegar al
conocimiento exacto de una cosa o para deducir las La informática ofrece formación sólida en
consecuencias legítimas de un hecho”. programación, matemáticas y estadísticas, junto con
el estudio de los aspectos de las ciencias éticas y
Los datos no son información más que en un sociales de los sistemas de información complejos.
sentido amplio de “información de partida” o Las carreras en informática aprenden a analizar
“información inicial”, pero los datos por si solos no críticamente diversos enfoques de tratamiento de la
permiten la adopción de la decisión más información y desarrollar habilidades para diseñar,
conveniente porque no aportan los conocimientos implementar y evaluar las herramientas de
necesarios. Sólo una elaboración adecuada de los tecnología de la información [5].
datos (un proceso de los datos) nos proporcionará el
conocimiento adecuado [4]. Seguridad informática. La seguridad informática
como el proceso de prevenir y detectar el uso no
Información. En sentido general, la información autorizado de un sistema informático. Implica el
es un conjunto organizado de datos procesados, que proceso de proteger contra intrusos el uso de
constituyen un mensaje sobre un determinado ente o nuestros recursos informáticos con intenciones
fenómeno. De esta manera, si por ejemplo maliciosas o con intención de obtener ganancias, o
organizamos datos sobre un país, tales como: incluso la posibilidad de acceder a ellos por
número de habitantes, densidad de población, accidente. La seguridad informática es en realidad
nombre del presidente, etc. y escribimos por una rama de un término más genérico que es la
ejemplo, el capítulo de un libro, podemos decir que seguridad de la información, aunque en la práctica
ese capítulo constituye información sobre ese país se suelen utilizar de forma indistinta ambos
[4]. Dicha información es el conjunto de datos que términos. La seguridad informática abarca una serie
de medidas de seguridad, tales como programas de legítima.

software de antivirus, firewalls, y otras medidas que
dependen del usuario, tales como la activación de la El escenario de Phishing generalmente está
desactivación de ciertas funciones de software, asociado con la capacidad de duplicar una página
como scripts de Java, ActiveX, cuidar del uso web para hacer creer al visitante que se encuentra
adecuado de la computadora, los recursos de red o en el sitio web original, en lugar del falso. El
de Internet [7]. engaño suele llevarse a cabo a través de correo
electrónico y, a menudo estos correos contienen
enlaces a un sitio web falso con una apariencia casi
idéntica a un sitio legítimo. Una vez en el sitio
falso, los usuarios incautos son engañados para que
ingresen sus datos confidenciales, lo que les
proporciona a los delincuentes un amplio margen
para realizar estafas y fraudes con la información
obtenida.
La principal manera de llevar adelante el engaño

es a través del envío de spam (correo no deseado) e
invitando al usuario a acceder a la página señuelo.
El objetivo del engaño es adquirir información
confidencial del usuario como contraseñas, tarjetas
Fig 2. Principios seguridad informatica [7].
de crédito o datos financieros y bancarios. A
menudo, estos correos llegan a la bandeja de
Ingeniería social. El principio fundamental de la
entrada disfrazados como procedentes de
ingeniería social en el campo de Internet es lograr la
departamentos de recursos humanos o tecnología o
colaboración de los usuarios legítimos de los
de áreas comerciales relacionadas a transacciones
sistemas para que activen mecanismos de hackeo, o
financieras [9].
bien envolverlos rápidamente en alguna estafa
irremediable.
Baiting. Consiste en dejar dispositivos de
almacenamiento extraíble (CD, DVD, USB)
El engaño puede operar a través de un sólo medio
infectados con algún software infectado en algún
(un correo electrónico, por ejemplo) con una breve
lugar a la vista (por ejemplo, baños públicos,
historia para que el usuario entregue información
ascensores, aceras, etc.), esperando a que alguien
sensible o haga clic en un enlace que activa códigos
los recoja y conecte a su dispositivo. Al hacerlo,
maliciosos. Pero también puede ser ejecutado a
aquél afortunado que encontró un USB misterioso
través de una secuencia de historias y acciones que
el cual el software malicioso se instalara y permitirá
incluyen el uso de plataformas múltiples:
que el hacker obtenga los datos personales del
WhatsApp, mensajes SMS, redes sociales, pagos
usuario [10].
electrónicos, tarjetas prepago o depósitos bancarios,
que conforme se enlazan, van haciendo más
Hacker. Persona apasionada por la seguridad de
vulnerable a la víctima [6].
la información con avanzados conocimientos en el
área de la informática tiene un desempeño
Phishing. El phishing es una técnica de ingeniería
extraordinario en el tema y es capaz de realizar
social utilizada por los delincuentes para obtener
muchas actividades desafiantes en plenitud tiene la
información confidencial como nombres de usuario,
capacidad de dominar en un buen porcentaje varios
contraseñas y detalles de tarjetas de crédito
aspectos como: lenguajes de programación,
haciéndose pasar por una comunicación confiable y
manipulación de hardware y software, 1ro. Pop-up de rastreo, el cual es implantado

telecomunicaciones; estas habilidades las utiliza con en el correo malicioso enviado para saber si el
un buen fin, apoyando a empresas en el área de funcionario abrió el correo en la bandeja de entrada.
seguridad informática y de la información para
solventar las brechas de seguridad y apoyar al área 2do. URL maliciosa, la cual al momento de
del SOC (Security Operation Center) [11]. que el funcionario le de click este lo redirigirá a una
página web maliciosa en la cual la persona tendrá
Cracker. Es considerado un vandálico virtual. que llenar un formulario en el cual dejará la
Este utiliza sus conocimientos para invadir información personal y corporativa pensando que es
sistemas, descifrar claves y contraseñas de aplicando a la campaña.
programas y algoritmos de encriptación, ya sea para
poder correr juegos sin un CD-ROM, o generar una 3ro. Código QR, el cual será el señuelo para
clave de registro falsa para un determinado instalar una aplicación maliciosa en el celular del
programa, robar datos personales, o cometer otros funcionario ya que la primera reacción de las
ilícitos informáticos. Algunos intentan ganar dinero personas al ver un código QR es coger su
vendiendo la información robada, otros sólo lo dispositivo móvil y así revisar que contiene el
hacen por fama o diversión [12]. Es por ello por lo código el cual lo redirige a una página web en
que debemos tener diferentes capas de seguridad en donde se descargara la aplicación diseñada en la
nuestra compañía como en nuestros ordenadores campaña para poder tomar los datos del funcionario.
personales con el fin de ser precavidos con el
manejo de la información. Este correo malicioso es enviado desde una
cuenta que sea legítima para que los controles de
III. METODOLOGÍA seguridad perimetrales y de correo electrónico no
A. Técnica de Phishing. tomen medidas correctivas y bloqueen el paso del
Para la ejecución de la técnica de phishing se correo y así pueda llegar a la bandeja de cada uno
realizan los siguientes pasos, el primero de ellos que de los funcionarios a los cuales fue enviado el
puede ser el más crítico ya que se realiza un análisis correo y no se quede en el SPAM ya que lo que se
de personal puede ser afectado por la prueba de necesita es que las personas miren el correo y llenen
phishing. Para ello se identifica a que población se el formulario.
realiza lanzar el ataque, después se planea en que
momento es preciso para llevar a cabo de enviar los
correos masivos en este análisis se establecer qué
tipo de campaña se puede lanzar como señuelo y
por último ejecutar el ataque y esperar que los
funcionarios caigan en esta técnica de ingeniería
social.
Para ello se estudió a la empresa la cual

contemplan un evento semestralmente las cuales
son campañas de liderazgo interno para que los
funcionarios puedan aplicar a nuevas convocatorias
internas y así poder escalar profesionalmente, Fig 3. Visualizacion del correo malicioso
teniendo en cuenta la información recolectada en las enviado.
campañas anteriores se diseñó un evento muy Una vez el funcionario haya dado click en la URL
similar el cual es un correo que llegara al maliciosa está lo redirigirá a una página web
funcionario el cual estará segmentado en tres partes: maliciosa donde tendrá que llenar un formulario
para la postulación de Líderes 2019. Al momento de descargar la aplicación maliciosa

el funcionario tendrá que diligenciar el mismo
formulario que se ve en la URL del correo, sin
embargo, la aplicación está diseñada de una manera
muy similar con formas y colores del correo para
que sea de mayor confianza para el funcionario y
así llene el formulario con más aceptación.
B. Técnica de Baiting.
Para la ejecución de esta prueba se genera un
archivo ejecutable malicioso el cual será guardado
en dispositivos de almacenamiento externo o USB
Fig 4. Formulario de inscripción. que serán distribuidos en diferentes puntos
estratégicos como los baños, lugares de recepción,
Este formulario el cual tendrá que diligenciar el salas de conferencias y ascensores de la empresa
funcionario que desee postularse tendrá las para que los funcionarios cuando encuentren y
siguientes casillas: Nombre / Apellido, Email conecten las memorias en sus equipos de trabajo,
corporativo, Email personal y Teléfono, cuando ejecutando el archivo malicioso.
terminan de llenar las celdas tendrán que darle click
en “Registrar” para que la información sea enviada
un servidor externo donde se alojara en una base de
datos con las personas que llenaron el registro.
Por otra parte, cuando el funcionario revise el

correo y se da cuenta que hay un código QR
adjunto, la primera reacción es sacar el celular y
observar que información existe detrás del código,
para ello al momento de escanear el código lo
redirigirá a una página web donde descargada una
aplicación maliciosa la cual será para llenar el
formulario de la campaña “Líderes 2019”.
Fig 6. Diseño de la tarjeta USB maliciosa.
El diseño de la tarjeta USB es clave para que las

personas la pongan en el pc ya que al tener el logo
de algún proveedor de servicios de internet la hace
confiable para el que el funcionario no sea reacio al
momento de poner la memoria en el computador,
una vez insertada la USB encontrará un archivo
malicioso llamado Wifi gratis esto con el fin de que
tenga similitud con el diseño de la tarjeta para que
Fig 5. Apk maliciosa instalada en los los funcionarios ejecuten el archivo.
dispositivos moviles.
esta información quedo guardada en el

servidor externo.
- 57 personas descargaron la aplicación
maliciosa diseñada para la campaña.
- 31 personas interactuaron con la aplicación
maliciosa llenando el formulario y
enviándolo al servidor externo.
Fig 7. Archivo malicioso contenido en la tarjeta
USB. Para la campaña del ataque de baiting se hizo un
análisis de los lugares donde más transitaba los
Una vez ejecutado el archivo malicioso “WIFI funcionarios en la empresa y en qué áreas los
GRATIS” este contiene un archivo batch el cual funcionarios no eran tan técnicos y pudieran ser
capturará el nombre del usuario, la hora, la fecha y vulnerables al ataque, los cuales fueron los baños,
correrá el comando ipconfig /all en un símbolo de lugares cercanos a la recepción y los diferentes
sistema de la sesión en la cual se corrió el ejecutable pisos de las áreas que no tuvieran personal no
y esta información la guarda en un archivo en texto calificado técnicamente como contabilidad, diseño,
plano en la siguiente ruta C:\Users\Public, después recursos humanos, entre otros.
este archivo con la información del funcionario lo
envía al servidor 145.14.144.98 por el protocolo - 35 personas encontraron las tarjetas USB de
FTP, esta transferencia de información es debida a las 40 que se esparcieron en la empresa.
que una parte de la secuencia del archivo malicioso - 7 personas entregaron las tarjetas USB al
es abrir una ventana emergente pidiéndole área de tecnología.
autorización al funcionario a que le otorgue - 28 personas ingresaron la tarjeta USB a los
permisos de administrador para que él pueda enviar equipos corporativos, corrieron el programa
la información tomada. malicioso y enviaron la información al
servidor.
IV. RESULTADOS V. RECOMENDACIONES
Las siguientes son algunas recomendaciones para
Se lanza la campaña de phishing llamada “Líderes las campañas de phishing, estas se pueden dictar en
2019” por correo electrónico a la empresa de capacitaciones al personal que no tenga tantos
hidrocarburos la cual se envía a una población conocimientos técnicos para crear concientización
objetivo de 1175 personas. de los diferentes métodos que los atacantes pueden
llegar a realizar para obtener la información
- 892 correos electrónicos que visualizaron la personal.
imagen de la campaña, gracias al Pop-up de
rastreo el cual envía un mensaje de que el - Evitar el SPAM ya que es el principal medio
correo fue abierto y leído al remitente.
de distribución de cualquier mensaje que
- 352 visualizaciones del formulario del
intente engañarlo.
registro de la campaña ya que al ingresar a
la URL adjunta en el correo se generará un
log de la persona que ingresó a dicha página - Tomar por regla general rechazar adjuntos y
web. analizarlos aun cuando se esté esperando
- 76 personas diligenciaron el formulario recibirlos.
entregando nombres, apellidos, emails
corporativos, emails personales y teléfonos; - Nunca hacer clic en un enlace incluido en un
mensaje de correo.
- El correo electrónico es muy fácil de

- Siempre intentar ingresar manualmente a interceptar y de que caiga en manos
cualquier sitio web. Esto se debe tener muy equivocadas, por lo que jamás se debe
en cuenta cuando es el caso de entidades enviar contraseñas, números de tarjetas de
financieras, o en donde se nos pide crédito u otro tipo de información sensible a
información confidencial (como usuario, través de este medio.
contraseña, tarjeta, PIN, etc.).
- Resulta recomendable hacerse el hábito de
- Sepa que su entidad, empresa, organización, examinar los cargos que se hacen a sus
etc., sea cual sea, nunca le solicitará datos cuentas o tarjetas de crédito para detectar
confidenciales por ningún medio, ni cualquier actividad inusual.
telefónicamente, ni por fax, ni por correo
electrónico, ni a través de ningún otro medio - Use antivirus y firewall. Estas aplicaciones
existente. Es muy importante remarcar este no se hacen cargo directamente del
punto y en caso de recibir un correo de este problema, pero pueden detectar correos con
tipo, ignórelo y/o elimínelo. troyanos o conexiones entrantes/salientes no
autorizadas o sospechosas.
- Otra forma de saber si realmente se está
ingresando al sitio original, es que la La siguiente campaña se generó para una empresa
dirección web de la página deberá comenzar la cual fue víctima de Phishing; en esta campaña de
con https y no http, como es la costumbre. concientización se pegaron carteles en diferentes
La S final, nos da un alto nivel de confianza sitios de la compañía como baños, ascensores y
que estamos navegando por una página web recepción, se crearon iCards para extenderlas por
segura. políticas de directorio activo y que se vieran en los
computadores de todos los funcionarios y en las
- Es una buena costumbre verificar el diferentes pantallas que se tienen en la compañía, el
certificado digital al que se accede haciendo contenido de esta campaña fue la siguiente:
doble clic sobre el candado de la barra de
estado en parte inferior de su explorador - NO acceda a sitios donde le pidan
(actualmente algunos navegadores también información personal.
pueden mostrarlo en la barra de navegación - NO descargue archivos donde soliciten
superior). consultar su estado bancario.
- NO descargue archivos enviados por correo
- No responder solicitudes de información que solicitando el pago de multas, moras,
lleguen por e-mail. Cuando las empresas créditos bancarios, etc.
reales necesitan contactarnos tienen otras - NO entregue información personal cuando
formas de hacerlo, de las cuales jamás será lo llamen sobre entidades bancarias,
parte el correo electrónico debido a sus contraseñas, número de tarjetas de crédito,
problemas inherentes de seguridad. etc.
- SIEMPRE cuando se tenga alguna duda,
- Si tiene dudas sobre la legitimidad de un sospecha, desconfianza, creencia, suposición
correo, llame por teléfono a la compañía a o hipótesis sobre algún correo, página web,
un número que conozca de antemano, nunca llamada, mensaje de texto SMS, archivos,
llame a los números que vienen en los pagos electrónicos o cuentas bancarias, por
mensajes recibidos. favor comunicarse con el área de tecnología
e informar sobre el acontecimiento dado
para que personal experto realice las representativo que indique la fuente),
respectivas validaciones. avisos en la intranet como imágenes,
videos, presentaciones animadas o en la
Esto con el hecho de que los funcionarios lean las herramienta PowerPoint y documentos
frases y lo apliquen a su día a día laboral así explicativos.
evitando que las personas caigan en los ataques de 4. Creación y entrega de recordatorios
ingeniería social. como llaveros, tazas, lapiceros o tarjetas
que dan una idea sobre construcción de
claves seguras.
VI. PLAN DE CONCIENCIACIÓN PARA 5. Elaborar juegos como monopolio o
EL ÁREA DE SEGURIDAD DE LA álbum de figuras con temas relacionados
INFORMACIÓN. por supuesto con seguridad de la
información.
Según la NIST 800-50 la cual es la Creación de 6. Obras de teatro, stand up comedy o
cuentacuentos (relacionados con temas
un programa de sensibilización y capacitación sobre
de seguridad de la información).
seguridad de la tecnología de la información y con
las tendencias para las buenas prácticas en un CDC
(Cybersecurity Defenser Center) se generaron las
B. Educación. La necesidad de que las personas
siguientes actividades claves para concientizar a los
tengan capacitación del personal interno en
funcionaros de cualquier empresa, enfocándose en
temas de seguridad mostrando campañas,
estas tres acciones concientización, educación y
boletines, ejercicios, lúdicas y casos de uso
entrenamiento.
para que las personas tengan una mayor
perspectiva sobre los riesgos que trae la
A. Concienciación. El propósito es sensibilizar
ingeniería social.
a las personas sobre los casos que existen de
seguridad, la cantidad de robo de
1. Consejos, tests (mini auditorias).
información que se realiza a nivel mundial y
2. Desarrollar trípticos.
las diferentes técnicas que utilizan los 3. Desarrollar trivias.
crackers para poder quitar la información 4. Concursos basados en pictogramas.
sensible de la persona. 5. Uso de contraseñas seguras. La cantidad
mínima de caracteres a usar es 8. Entre
1. Crear una campaña con una mascota más larga una contraseña, menos
publicitaria. probabilidad de ser vulnerada. Se deben
2. Definir un eslogan para la campaña. Un combinar, letras, número, símbolos (#, $,
slogan bien estudiado, conceptualizado y %, &, etc.), signos de puntuación. Se
construido es muchas veces un factor debe cambiar con periodicidad de 30 días
concluyente, que resume en pocas y usar una diferente por cada servicio en
palabras lo que un producto, un servicio internet.
o una persona hará por las personas. Al 6. Encuestas evaluativas para verificar la
ser de corta longitud (pocas palabras) y retención de información sobre
ser repetido constantemente en discursos seguridad.
o publicidad, el ser humano lo hace 7. Precaución con el correo electrónico.
propio.  Realice un análisis antes de abrir
3. Elaboración de materiales diversos como algún correo.
pendones, posters, afiches, carteleras,
 Sospeche de los mensajes no
protectores y fondos de pantalla, correos
esperados. Algunas veces vienen de
corporativos (con un logotipo
conocidos, por lo tanto, analice usuarios es el correo electrónico y la mayoría de las

primero. Si de alguna forma Ud. personas que están en una compañía revisan
sospecha, se aconseja llamar por constantemente la bandeja de entrada y abren los
teléfono al remitente para asegurarse. correos cuando son sobre ofertas o postulaciones de
 No use servicios de wifi gratuitos nuevos cargos laborales.
para acceder a sus cuentas bancarias,
realizar pagos por internet, abrir Con la actividad de baiting las personas que no
correos, aplicaciones corporativas, ni tienen experticia o malicia en el tema del robo de
escribir información sensible como la información pueden ingresar las memorias ya que
cédula, dirección de residencia o pueden confundir con facilidad a las personas para
datos personales y bancarios en que ingresen las unidades de almacenamiento
general, etc. externas y así robar información del usuario.
 Analizar los adjuntos en los correos,
aunque provengan de fuente Para este tipo de escenarios de ingeniería social el
conocida. Cabe la posibilidad de que único método para evitar estos ataques es socializar
sean maliciosos. Ante cualquier y concientizar a los usuarios de las compañías sobre
sospecha, llame al remitente. ataques de ingeniería social y como a través de
estos se puede filtrar información. Es necesario
C. Entrenamiento. Se basa en la apropiación de incluir cuáles son los mecanismos de protección y
habilidades y competencias de seguridad de notificación ante la sospecha de estar siendo víctima
la información con el objetivo de su de este tipo de ataques ya que puede realizarse de
aplicación en todas las actividades laborales forma física o digital, se pueden utilizar diferentes
y porque no personales. técnicas para ejecutar estos ataques y se usan
diferentes medios (correos electrónicos, páginas
1. Ataques dirigidos (simulados) para web, uso de medios de almacenamiento, redes
demostrar lo expuestos que están los sociales, llamadas, etc.), se enfocan en obtener
empleados. Por ejemplo, enviarles un información empresarial o personal.
correo electrónico con archivo malicioso
adjunto (con una advertencia y un El área de tecnología deberá comunicar a los
consejo), dejar sueltos pendrives funcionarios que cualquier acción sospechosa que
infectados (con una advertencia y un se pueda enmarcar dentro de un ataque de ingeniería
consejo). social el cual deberá comunicarse con dicha área de
2. Realizar capacitación sobre diferentes tecnología con el objetivo de hacer las validaciones
pruebas de vulnerabilidades a los correspondientes.
funcionarios para saber en qué están mal
y en que pueden mejorar.
3. Generar escenarios de pruebas para que REFERENCIAS
las personas puedan ver que se les puede [1] M. Mercè. (2002, Dic 26). “Ingeniería Social: Mentiras
presentar en un ataque real. en la Red”. [En línea]. Disponible en
http://ww2.grn.es/merce/2002/is.html
[2] C. Gutierrez. (2016, Ene 9). “5 cosas que debes saber
VII. CONCLUSIONES sobre la Ingeniería Social”. [En línea]. Disponible en
https://www.welivesecurity.com/la-es/2016/01/06/5-
En las dos técnicas de ingeniería social se cosas-sobre-ingenieria-social/
[3] E. Castellanos. (2011, Jul 4). ”INGENIERÍA SOCIAL:
evidencia que el ataque fue exitoso y se valida que CORROMPIENDO LA MENTE HUMANA”. [En línea].
el ataque de phishing es el más vulnerable para una Disponible en https://revista.seguridad.unam.mx/numero-
empresa debido a que el medio en el cual llega a los 10/ingenier%C3%AD-social-corrompiendo-la-mente-
humana
[4] Introducción a la Informática (2010). [En línea].

Disponible en https://datosuno.wordpress.com/unidad-
1/introduccion/
[5] ¿Qué es Informática? (2009). [En línea]. Disponible en
http://www.cavsi.com/preguntasrespuestas/que-es-
informatica/
[6] El poder de la ingeniería social para realizar estafas en
Internet (2017). [En línea]. Disponible en
http://computerworldmexico.com.mx/poder-la-ingenieria-
social-realizar-estafas-en-internet/
[7] Seguridad-Informatica-infografia-3 (2018). [En línea].
Disponible en http://acropoliscr.com/seguridad-
informatica-infografia-3/
[8] ¿Qué es la seguridad informática y cómo puede
ayudarme? (2019). [En línea]. Disponible en
https://www.universidadviu.com/la-seguridad-
informatica-puede-ayudarme/
[9] Phishing (2005). [En línea]. Disponible en
https://www.segu-info.com.ar/malware/phishing.htm
[10] M. Fernandez. (2019, May 6). ”Ingeniería Social: ¿qué es
el Baiting («cebar», o «poner carnada»)?”. [En línea].
Disponible en https://blog.mailfence.com/es/que-es-
baiting-ingenieria-social/
[11] DIFERENTES DELITOS INFORMÁTICOS (2014). [En
línea]. Disponible en
http://12357carlosaugusto.blogspot.com/2014/01/diferent
es-delitos-informaticos.html
[12] ¿Qué es un Cracker? (2002). [En línea]. Disponible en
https://tecnologia-informatica.com/que-es-un-cracker/
Autor
Mauricio Cortes. Ingeniero Electrónico de la Universidad Los
Libertadores, año 2015, Ha sido analista en seguridad de la
información realizando la atención de requerimientos e
incidentes para diferentes proyectos, destacándose en el
análisis de malware. También se ha desempeñado como
especialista de seguridad de la información, siendo
administrador de diferentes consolas de Antivirus. Estudiante
de Especialización en Seguridad Informática en la Universidad
Piloto de Colombia, año 2019.
Ataques de Ingeniería Social y COVID-19
Los criminales cibernéticos están aprovechando el brote del coronavirus
para explotar el eslabón más débil de la seguridad cibernética: el elemento
humano. Aon Cyber Solutions ofrece algunos consejos para ayudar a las
empresas a mantenerse seguras ante esta nueva amenaza.
A medida que evoluciona la pandemia del COVID-19, Anejos maliciosos y “malware”:

ha surgido una nueva área de riesgo cibernético y, ▪ Los anejos, enlaces maliciosos y cómo detectarlos Descubra cómo nuestras
como siempre, los atacantes cibernéticos buscan son parte de cada programa de capacitación en soluciones de ciberseguridad
cada oportunidad para aprovechar la situación. seguridad cibernética, pero esa capacitación pueden ayudarle.
normalmente se lleva a cabo en un entorno
El brote de coronavirus ha creado un cambio controlado. Los empleados preparados, al recibir Visite:
inesperado en la forma en que normalmente hacemos estas amenazas, generalmente elegirán la acción aon.com/cyber-solutions
negocios. El autoaislamiento, las políticas de trabajo correcta y, ¡no harán ‘click’ al archivo adjunto! Sin o llame al 787.754.8787.
remoto desde el hogar y las limitaciones impuestas embargo, hemos visto numerosos informes sobre
sobre las reuniones presenciales han creado una "campañas salubristas" que han difundido correos
dependencia más fuerte de lo normal en canales electrónicos con archivos maliciosos pretendiendo
virtuales y electrónicos. Además, los empleados ser fuentes oficiales con orientación e información
también hacen uso de esos canales para obtener sobre el coronavirus. Organizaciones como la
información, asesoramiento y obtener soluciones a Organización Mundial de la Salud (OMS) han
los desafíos prácticos a los que se enfrentan emitido advertencias sobre delincuentes que se
constantemente. hacen pasar por la OMS para llevar a cabo ataques
y estafas. Los delincuentes cibernéticos también
Si bien la mayoría de las empresas cuentan con están explotando la necesidad de información de
mejores prácticas y planes de continuidad de las personas sobre el coronavirus contando con
negocio, estos a menudo se centran en los sistemas que la velocidad y la frecuencia con la que las
claves del negocio, procesos y entornos de trabajo, y personas desean información les induzca a hacer
frecuentemente suponen una interrupción cosas que no harían en otro tipo escenario.
relativamente limitada, ya sea en términos de
duración de la interrupción, la geografía o el sistema. ▪ Los empleados buscan y esperan este tipo de
Las empresas no deben pasar por alto que los información de parte de su empleador y podrían
atacantes cibernéticos aprovechan activamente la confiar en las comunicaciones que parezcan
psicología humana para engañar a las personas de auténticas y que aparentan brindar información
forma que estas les faciliten el robo de información que desean escuchar. Imagine que un atacante
confidencial, dinero y acceso a sistemas privados. envía un correo electrónico a sus empleados
titulado, 'La oficina cerrará por dos semanas, vea
Sabemos, debido a nuestra vasta experiencia el documento adjunto para más detalles' o 'Como
manteniendo a las organizaciones seguras y resultado del COVID-19, todos los viajes de
respondiendo a grandes acontecimientos negocios están cancelados - aquí un enlace a
cibernéticos y violaciones de datos, que la mayoría de nuestro sitio de reservaciones de viajes para hacer
los incidentes de seguridad tienen un elemento cambios". Fuera de un entorno de oficina
humano –ya sea por un simple error, un error controlado, y conteniendo información que la
honesto o por negligencia. Sin embargo, también gente está desesperada por obtener, se podrían
sabemos que un pequeño error humano podría cometer errores.
ocasionar pérdidas y daños dolorosos a un negocio y
a su reputación. Los siguientes son algunos ejemplos
a tener en cuenta a medida que el brote de
coronavirus continúa evolucionando.
Robo de identidad por “phishing”, de las personas, y así adivinar las direcciones de
“vishing” y “smishing”: correo electrónico con precisión.
▪ Estos ataques son intentos hechos a través de ▪ Los empleados dependerán de la voz, texto u
correos electrónicos (“phishing”), llamadas de otros canales alternos como las redes sociales,
voz (“vishing”) o SMS (“smishing”) por un actor que no son familiares en este contexto,
malicioso para obtener las credenciales de un permitiendo una mayor posibilidad de ingeniería
individuo u otra información confidencial. social y estafas por robo de identidad. Incluso,
Muchos actores maliciosos se aprovecharán del podrían buscar soluciones alternas a las mejores
COVID-19 al tratar de engañar a los empleados a prácticas y políticas de IT, como conectarse a las
dar sus credenciales, convenciéndolos de que redes corporativas desde dispositivos personales
están brindando información requerida por su o usar dispositivos corporativos en casa que
empresa. Los atacantes buscarán información de contienen grandes cantidades de información
código abierto (“open-source”) sobre las personal y de negocios, al buscar información
empresas y sobre empleados particulares para sobre el coronavirus. El alto costo social de
identificar vulnerabilidades que puedan explotar, "trabajar desde casa" puede llevar a los
tales como: información de la empresa, los roles empleados a conectarse a redes inalámbricas
de las personas, y así adivinar las direcciones de nuevas y potencialmente inseguras desde sus
correo electrónico con precisión. hogares, cafeterías, o desde la calle, en
cantidades proporcionalmente mayores a las que
▪ Un atacante podría hacerse pasar por un las empresas se hayan encontrado antes. El
proveedor externo de confianza como, por Servicio de Asistencia de IT también estaría bajo
ejemplo, un socio de viajes del cual se espera el presión para suavizar políticas y los empleados
negocio se apoye durante este momento crítico. que trabajan desde casa podrían pedir que se les
También podrían pretender proporcionar un suavicen las restricciones como, por ejemplo,
servicio que la empresa necesita para su Plan de permitirles el uso de dispositivos USB para
Continuidad de Negocio; una llamada maliciosa imprimir documentos en una imprenta cercana.
podría ocultarse entre la ola de solicitudes Es fácil imaginar que la presión de trabajar desde
promocionales que los empleados bien podrían casa podría resultar en tal compromiso,
recibir como parte de sus funciones. De igual eliminando controles que previamente habrían
manera, los empleados pueden recibir un sido efectivos.
mensaje de texto SMS de alguien que dice ser de
IT, validando que todos los empleados tienen
acceso VPN. De tener éxito, el atacante podría
La preparación es clave, y una buena
obtener acceso a información confidencial o
credenciales, y posiblemente, tener acceso a su resistencia cibernética incluye mantener a
red y sistemas críticos. sus empleados informados sobre las últimas
tendencias en amenazas.
Usted puede ayudar a sus empleados a reconocer los
Trabajo remoto y trabajo desde casa: escenarios emergentes con los que podrían
▪ Estos ataques son intentos hechos a través de encontrase en las próximas semanas y meses, y debe
correos electrónicos (“phishing”), llamadas de continuar enviando el mensaje de que deben tratar
voz (“vishing”) o SMS (“smishing”) por un actor con precaución las comunicaciones de los
malicioso para obtener las credenciales de un remitentes que no reconocen, ni abrir enlaces, ni
individuo u otra información confidencial. ingresar credenciales o abrir archivos o anejos de un
Muchos actores maliciosos se aprovecharán del remitente no confiable.
COVID-19 al tratar de engañar a los empleados a
dar sus credenciales, convenciéndolos de que En momentos de mayor estrés empresarial y
están brindando información requerida por su tecnológico, recomendamos a las empresas a que
empresa. Los atacantes buscarán información de revisen sus ciberdefensas y mantengan a su personal
código abierto (“open-source”) sobre las informado de las amenazas en evolución para que
empresas y sobre empleados particulares para sean menos propensos a ser víctimas de otro ataque
identificar vulnerabilidades que puedan explotar, de robo de identidad por “phishing”, “trickbot” o
tales como: información de la empresa, los roles por secuestro de datos (“ransomware trojan”).
Sobre Cyber Solution: Las soluciones cibernéticas de Aon ofrecen una gestión holística del riesgo cibernético, habilidades de investigación sin igual y
tecnologías patentadas para ayudar a los clientes a descubrir y cuantificar los riesgos cibernéticos, proteger los activos críticos y recuperarse de incidentes
cibernéticos.
Sobre Aon: Aon plc (NYSE: AON) es una empresa líder mundial de servicios profesionales que ofrece una amplia gama de soluciones de riesgo, retiro y salud.
Nuestros 50,000 colegas en 120 países potencian los resultados para los clientes mediante el uso de datos y análisis patentado, para brindar información que
reduzca la volatilidad y mejore el rendimiento.
Todas las descripciones, resúmenes o aspectos destacados de la cobertura son solo para fines informativos y no modifican, alteran ni cambian los términos o
condiciones reales de ninguna póliza de seguro. La cobertura se rige solo por los términos y condiciones de la póliza correspondiente.
Los servicios de seguridad cibernética son ofrecidos por Stroz Friedberg Inc. y sus afiliadas. Productos y servicios de seguros ofrecidos por Aon Risk Insurance
Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida y sus
afiliadas con licencia.
© 2020 Aon plc. Todos los derechos reservados.

TEMA 5
El factor humano.
S i alguien se pregunta cuál es la relación que una disciplina como seguridad informática
(que se supone está orientada a soluciones de tipo tecnológico) puede tener con lo
puramente humano, se le podría responder de forma sencilla diciéndole: “toda”.
Prácticamente las tres cuartas partes de los incidentes de seguridad informática que se han
producido en las últimas décadas han sido protagonizadas por humanos (la cuarta parte
restante corresponde a sucesos de origen natural o fortuito, y se estudian con más detalle en el
capítulo de Seguridad Física).
Si analizamos superficialmente los problemas de seguridad de origen humano, nos

damos cuenta que estos se producen en dos circunstancias completamente opuestas. Por un
lado, están aquellos provocados por personas ajenas al sistema que se introducen o atacan al
mismo. La forma de prevenir estos incidentes es, obviamente, limitar la accesibilidad que
dichas personas pueden tener al sistema o a sus componentes más delicados, introduciendo
controles y barreras que permitan discriminar efectivamente entre usuarias autorizadas y
extraños a todos los niveles: físico, de conexión por red, de acceso a cuentas y servicios, de
disponibilidad de la información y de los recursos, etc... Este tipo de problemas se tratan con
cierto detalle en los capítulos correspondientes a seguridad interna, y no vamos a abundar aquí
en ellos.
Sin embargo, existe otro tipo de situaciones potencialmente muy peligrosas para la
seguridad informática: aquellas en las que las usuarias autorizadas, haciendo uso de los
procedimientos y privilegios previstos para el desempeño de sus funciones normales,
producen violaciones, muchas veces graves, de la política de seguridad del sistema. En
ocasiones las personas que provocan estos incidentes actúan de forma involuntaria, causando
el mal por descuido, ignorancia, olvido de las consideraciones básicas de seguridad, falta de
comprensión o cualquier otra circunstancia, que incluso puede estar repleta de sana intención.
En otros, las personas actúan dolosamente y violan los controles de seguridad con el propósito
cierto de causar algún daño. El problema radica en que, por mucho que se planifiquen
cuidadosamente todos los aspectos de la seguridad, al final es preciso confiar en las personas.
1
APUNTES DE SEGURIDAD
Además, los medios que utilizamos para evitar que individuos no autorizados hagan usos
indebidos del sistema no sirven para evitar que el personal autorizado haga lo mismo.
Es muy difícil establecer barreras contra los incidentes, tanto voluntarios como
involuntarios, provocados por las personas en las que se deposita la confianza del uso y
manipulación de lo que en muchas ocasiones es uno de los principales activos de cualquier
organización: sus sistemas informáticos. Porque, si bien establecer controles para evitar que
una acción determinada se produzca (por ejemplo, modificaciones en una base de datos por
una determinada persona) puede resultar técnicamente muy sencillo, conseguir que el sistema
autorice esa acción unas veces sí y otras veces no, no siempre resulta posible (por ejemplo,
¿cómo se puede distinguir entre modificaciones “buenas” y “malas” de la base de datos por
parte de la misma persona, para poder bloquear eventualmente las segundas?).
El objetivo de este capítulo es tratar, dentro de un espectro prácticamente inabarcable,

las consideraciones, aspectos, controles y mecanismos más importantes que deben tenerse en
cuenta cuando estudiamos las relaciones críticas entre el factor humano y la seguridad
informática, fundamentalmente desde el punto de vista de la prevención. Por tanto trataremos
de glosar algunos mecanismos que nos permitan aumentar el margen de confianza en los
usuarios autorizados de un sistema, ya que, como hemos dicho, esa confianza les va a ser
otorgada de hecho si queremos que cumplan adecuadamente con sus funciones.
Vamos a dividir los contenidos atendiendo a dos tipos de personas de acuerdo a la

relación que tienen con la organización en la que se sitúa el sistema informático. Por un lado
vamos a considerar a los usuarios y usuarias habituales, y por otro a las personas ajenas al
entorno de trabajo, es decir, a aquellas que de forma puntual adquieren algún privilegio del
que normalmente las extrañas a la organización no disfrutan.
1. Seguridad del personal

Los usuarios autorizados de un sistema (generalmente empleados de la organización)
pueden constituir potencialmente la mayor amenaza para el mismo, por varias razones:
• Conocimiento: conocen el sistema, a veces con detalles muy precisos sobre su
estructura; también saben la importancia de la información que alberga así como
dónde y cómo se guarda.
• Experiencia: conocen los sistemas de seguridad y muchos de sus fallos; adquieren
experiencia sobre incidentes de seguridad en el pasado y sobre sus consecuencias, lo
que puede ayudarles a evitar errores que una intrusa sin ese conocimiento podría
cometer.
• Ocasión: tienen acceso al sistema y privilegios para su manipulación; incluso cuando
carecen de éstos pueden saber quién los ostenta o cómo obtenerlos; también pueden
tener acceso a la información por vías que no están disponibles para los intrusos:
copias de seguridad, listados, informes, etc.
2 Capítulo 5: El Factor Humano

J. GUTIÉRREZ, J. IBÁÑEZ Y J.A. ELORRIAGA
• Motivo: en su relación con la organización y con las personas que la componen

pueden haber acumulado motivos de descontento o incluso deseos de venganza; por
otro lado, sus facilidades de acceso al sistema les hacer susceptibles de ser
corrompidas, ya que un enemigo externo siempre puede intentar proporcionar una
motivación económica para que traicionen la confianza de la organización.
Estas y otras circunstancias hacen que el personal no constituya un riesgo a la seguridad

puramente teórico. De hecho, las estadísticas señalan que por cada incidente de seguridad
provocado por agentes exteriores se producen cuatro cuyo origen es la traición de alguien de
dentro de la organización. A continuación detallaremos distintos aspectos que se deben
considerar en el día a día de una organización para evitar en lo posible estos incidentes.
1.1 Estudio de currículos

Es importante para una organización conocer el currículo de las personas que va a
contratar o incluso de las que va ascender. La forma de examinarlo y valorarlo vendrá dada
por las características concretas del puesto de trabajo que va a ocupar. Estos exámenes serán
más exigentes cuanta mayor sea la responsabilidad del empleado en su nuevo puesto.
Hablando en términos de seguridad informática, habrá que asociar responsabilidad a aspectos
como: el tipo y la importancia de los datos que se van a manejar, los privilegios de acceso que
se van a permitir, y las obligaciones en cumplimento de la seguridad informática que va a
tener en su nuevo puesto esta persona. Las exigencias que se tengan con el currículo de quien
va a ser un simple usuario del sistema serán muy distintas de las que se observan en quien
queremos que sea administradora del mismo.
De un tiempo a esta parte muchas organizaciones han visto en la investigación de los

currículos, de las personas a su cargo, o de las susceptibles de ser contratadas, una herramienta
básica de seguridad. No obstante, este examen debe hacerse sin caer en la paranoia que puede
conducir a actuaciones contrarias a las libertades fundamentales del ser humano. Es triste
constatar la existencia de organizaciones en las que se llega a contratar investigadores
privados o a exigir a los empleados y empleadas que pasen por dispositivos de detección de
mentiras para conocer sus vidas privadas estudiando factores (problemas sentimentales,
situación familiar, ideas políticas, problemas de salud, solvencia económica, orientación
sexual...) que supuestamente pueden llevar a cometer algún delito informático. Estas
actuaciones están fuera de lugar, ya que afectan a la vida privada de las personas y a su
derecho a la intimidad y al honor. No se debe olvidar que la mejor forma de evitar que las
empleadas provoquen incidentes será educarlos en la seguridad, haciéndoles compartir la
responsabilidad de mantener el sistema seguro y estableciendo los niveles de confianza que su
puesto de trabajo lleve asociado.
1.2 Educación y entrenamiento

Todo usuario de un sistema deberá recibir una educación en seguridad informática
considerando dos aspectos: el uso del sistema y su responsabilidad por contribuir a la
Capítulo 5: El Factor Humano 3

seguridad del mismo. Así, la educación en seguridad debe pasar por incluir desde
procedimientos para seleccionar buenas claves de acceso o respaldar periódicamente el propio
trabajo, hasta la explicación y participación en la política de seguridad de la empresa. Todas
las empleadas y empleados deben estar comprometidos con la seguridad, y muy especialmente
aquellas que pertenecen a los cuerpos ejecutivos. Estas últimas también pueden escoger una
contraseña defectuosa u olvidar una sesión de trabajo abierta. Además, su compromiso con la
seguridad debe ser especialmente observado, ya que la conciencia de seguridad fluye de arriba
hacia abajo, y nunca al revés. Si las personas que ostentan puestos de responsabilidad no
actúan conforme a la política de seguridad de la organización, el mensaje que
indefectiblemente están transmitiendo a las personas que quedan por debajo de ellas es que la
seguridad en realidad no es importante, y pronto dejarán de considerarla como tal.
La responsabilidad del administrador del sistema va mucho más allá, debiendo cumplir y
hacer cumplir las normativas de seguridad de la organización, disponiendo además la
instalación de mecanismos preventivos como la actualización de las altas y bajas que se
produzcan con efectos inmediatos en los privilegios de acceso.
El material educativo a este respecto debe estar escrito y ser proporcionado a todo el
mundo. Asimismo, es positivo establecer marcos de discusión acerca de los usos que pueden
o deben hacerse de los recursos informáticos como el correo electrónico, los ordenadores
personales, el software, etc. Además deben detallarse las acciones que se consideran delito
informático y las penas que conllevan. La empleada debe conocer siempre su responsabilidad
en el uso que hace de los recursos informáticos de su empresa. Debe entender que no sólo es
responsable de utilizarlos, sino también de protegerlos frente a intrusos.
Un aspecto educativo muy importante que a veces se menosprecia es el cuidado de las

formas cuando la política de seguridad obliga a introducir restricciones de uso que afectan al
trabajo de las personas. Si las responsables de seguridad se limitan a informar de que ciertas
cosas se van a prohibir, los usuarios tenderán a ver solo sus aspectos negativos:
incomodidades y falta de confianza en las personas. Por el contrario, si la medida va precedida
de una explicación razonable de los motivos que aconsejan tomarla, incluso de una pequeña
campaña de sensibilización, es mucho más probable que los usuarios la asuman con más
normalidad.
Un buen plan de seguridad debe contemplar un calendario de entrenamientos y

reentrenamientos periódicos de las usuarias, así como acciones complementarias que permitan
educarlas adecuadamente (disponibilidad de bibliografía, consultas a profesionales, asistencias
a seminarios y conferencias, ...). Es responsabilidad de la persona que diseña el plan de
seguridad el considerar y presupuestar la educación de los usuarios/usuarias, por costosa y
superflua que en un principio pueda parecer, siendo ello especialmente necesario en aquellas
organizaciones en las que no hay experiencia previa en seguridad.

1.3 Ajuste de privilegios

Se debe establecer que cada persona posea el conjunto mínimo de permisos de acceso
que le permitan llevar a cabo su trabajo. Las restricciones de acceso deben ser tanto lógicas
(acceso a cuentas y red, uso de programas, ...) como físicas (acceso a ordenadores, cintas ,
periféricos, ...).
El ajuste de privilegios también es importante porque es mejor partir de una situación

con pocos privilegios e ir aumentándolos en función de nuevas necesidades o de correciones
aconsejadas por la experiencia. Resulta más positivo para la moral de trabajo de las personas
pasar de una situación restringida a otra más permisiva que al revés. La pérdida de privilegios
a posteriori siempre resulta más difícil de asimilar.
Sin embargo, estas restricciones deben ser razonables, evitando poner trabas al
desempeño normal de las funciones de los empleados y empleadas. Por ello, debe evitarse la
sensación de falta de confianza injustificada, planteándose las limitaciones en positivo: qué
debe hacer cada persona y con qué medios y permisos debe contar para poder hacerlo.
1.4 Empleados clave

Nadie dentro de una organización debe ser irremplazable, por lo que deben evitarse los
denominados empleados clave o insustituibles. Si el buen funcionamiento de una empresa u
organización depende en gran medida de un solo individuo se está asumiendo un altísimo
riesgo. Si esta persona tiene un accidente, muere o se despide, ello puede traer consecuencias
muy graves.
Por lo tanto toda organización debe evitar el tener empleadas que sean las únicas
conocedoras de algún parámetro, y debe definir políticas y planes de actuación eficaces para
cubrir posibles bajas o partidas de sus empleados.
1.5 Separación de deberes

Detrás de un sistema seguro siempre hay guardianas del mismo, y con ellas la
sempiterna pregunta ¿quién guarda a las guardianas? Las personas de las que depende la
seguridad del sistema pueden adquirir un poder formidable sobre el mismo, y pueden caer en
la tentación de ser ellas quienes lo utilicen de manera inadecuada.
La mejor forma de evitarlo es separar las funciones de seguridad. Siempre que sea
posible es aconsejable que la administración de la seguridad recaiga en una persona diferente
de la que administra el sistema, y la situación aún puede mejorar si las responsabilidades de
auditoría recaen en una tercera persona. Esta última medida puede evitar que se concentren en
las mismas manos la posibilidad de actuar sobre el sistema al máximo nivel, la de debilitar los
mecanismos de seguridad y la de borrar o camuflar las trazas de cualquier actuación ilícita.

1.6 Ambiente de trabajo

Disponer de personal competente, eficaz y de confianza es sin duda la mayor riqueza de
que una organización puede disponer. Que ello sea así no solo depende de las aptitudes
individuales de las personas que trabajan en un entorno determinado, sino también en gran
medida de las condiciones socioambientales en que su trabajo se desarrolla. Las posibilidades
de muchas personas inteligentes, honradas y dotadas de iniciativa se malogran a menudo al
verse obligadas a trabajar en un entorno represivo, competitivo y de mutua desconfianza. Cada
vez va calando más en la experiencia de gestión el hecho de que los fallos de las
organizaciones no recaen fundamentalmente en las personas, sino en los procesos. La mayor
parte de la gente está predispuesta de forma natural a hacer las cosas lo mejor posible, y esa
actitud sólo se tuerce al comprobar que con ella no consiguen incidir en la marcha de la
organización, ya que ésta tiende a no tomar en cuenta sus sugerencias e ideas e incluso a
considerar sospechosa cualquier iniciativa que pretenda mejorar la situación.
Para conseguir que las personas tengan condiciones adecuadas para dar lo más positivo
de sí mismas es necesario tener en cuenta una sere de factores. En primer lugar es importante
velar por el cumplimiento las normas básicas de seguridad en el trabajo (luz adecuada,
mobiliario ergonómico, higiene, ...) en cualquier organización, procurando no solamente
cubrir las disposiciones legales, sino conseguir una ambiente subjetivamente seguro y
saludable.
No sólo se trata de preservar la salud física, sino también la mental, evitando que las y
los trabajadores se sientan ignorados, desatendidos, sobrecargados o incluso despreciados.
Todas estas situaciones pueden conducir a una persona a acumular resentimiento, a padecer
situaciones de estrés que la lleven a bajar en su rendimiento, a caer enferma de manera
reiterada o incluso a abandonar la empresa en la primera ocasión que se le presente.
Es importante entrar en la cultura del reconocimiento. Las personas pueden aportar

valiosas sugerencias, especialmente en materia de seguridad, y el tomar en cuenta las mismas
y, sobre todo, agradecer públicamente la preocupación de la gente es esencial para mejorar el
ambiente de trabajo.
También debe evitarse que el trabajo fuera de horas sea algo habitual, no sólo porque
resulta insolidario en una sociedad con índices casi crónicos de desempleo, sino porque a la
larga esas horas producen un desgaste físico y síquico muy importante en los trabajadores. En
este sentido hay que velar de manera especial por aquellos empleados y empleadas situadas en
puestos críticos que exigen de un esfuerzo y disponibilidad mayores. El trabajo y la
responsabilidad extra sólo pueden recompensarse adecuadamente con periodos de descanso o
vacacionales compensatorios, y no unicamente con retribuciones económicas.

1.7 Auditorías
La auditoría es una de las formas más eficaces para mantener la integridad de los datos
mientras están siendo almacenados en una base de datos o mientras están siendo accedidos.
Por lo tanto es importante dotar al sistema informático de mecanismos que permitan auditar
fácilmente. Asimismo, a la hora de escoger una herramienta es importante considerar como
parámetro de selección fundamental las capacidades de auditoría que proporciona. Como
medida disuasoria es esencial dar a conocer la existencia de estos sistemas de auditoría y el
hecho de que se utilizan eficazmente. Muchas de las posibles atacantes de nuestro sistema se
retraerán de actuar al saberlo, evitando sobre todo los experimentos que, aunque inicialmente
pueden ser inocentes, tratan al fin y al cabo de poner a prueba los límites de seguridad de los
equipos.
1.8 Despidos
En la mayoría de los casos un despido suele vivirse como una situación traumática por
parte del empleado, lo que puede inducirle a llevar a cabo acciones malintencionadas contra su
antigua empresa con la idea de satisfacer deseos de venganza o de anular sentimientos de
incapacidad, inutilidad o desconsideración. En estas circunstancias, uno de los bienes más
preciados por la empresa y por lo tanto más susceptibles de ser atacados por el personal
despedido son los sistemas informáticos. Para evitar todo tipo de ataque no deseado debe
existir un procedimiento de seguridad que, tras el despido de una empleada acometa acciones
que le imposibiliten el acceso al sistema. Este procedimiento debe incluir la suspensión de sus
cuentas, la inhabilitación de su correo electrónico, el cambio de las claves de acceso más
críticas del sistema (sobre todo si la persona acometía alguna tarea de administración), el
cambio de los números de teléfono, etc. También es importante hacer auditoría de las últimas
acciones realizadas por el empleado en el sistema, en la búsqueda de indicios de creación de
puertas traseras o de implantación de cualquier tipo de código maligno (por ejemplo un virus).
2. La confianza puntual en personas ajenas

No son únicamente las personas que trabajan para una organización las que pueden
provocar un incidente de seguridad: en general existen otras muchas que por distintas
circunstancias tienen o pueden tener acceso temporal a nuestro sistema o al lugar en el que
este se encuentra. El contacto puede limitarse al mero acceso físico a los equipos en breves
periodos de tiempo supervisados, o pueden llegar al control absoluto del sistema durante una
operación de mantenimiento.
2.1 Visitas ocasionales

Hay personas que, siendo ajenas a nuestra organización, tienen la posibilidad de visitar
o transitar por nuestras instalaciones informáticas, e incluso acceder a nuestros sistemas con

nuestro permiso en calidad de invitados o para comprobar una demostración. Es corriente que
los responsables de seguridad olviden regular estas situaciones por su excepcionalidad o por la
asunción tácita de que los invitados son tan fiables como las invitadoras.
Lo primero que hay que hacer es comprobar que el tránsito de personal ajeno por las
instalaciones no viola los principios de nuestra política de seguridad. En caso contrario, es
necesario introducir modificaciones en las restricciones al acceso físico, quizá redefiniendo
los perímetros de seguridad establecidos.
En el caso de invitados es necesario establecer protocolos y medidas de prevención y

supervisión pertinentes para evitar que se produzcan incidentes provocados de forma tanto
involuntaria como intencionada. Por ejemplo, si alguien debe acceder a nuestro sistema por la
razón que sea, siempre se le debe permitir el mínimo privilegio de acceso que sea suficiente
para la consulta o trabajo que vaya a hacer. Lo ideal es que estos invitados accedan en un
entorno específico (incluyendo cuenta y/o máquina) especialmente diseñado para el caso.
De la misma forma, si alguien visita el local de nuestra organización incluyendo las

instalaciones informáticas, lo más prudente es que se acerque lo menos posible a nuestros
equipos, y en todo caso que lo haga bajo la supervisión de personal informático.
2.2 Operadores externos

Dentro de este apartado incluimos a todas las personas ajenas a la organización que por
un motivo u otro se les da el privilegio de manipular nuestros equipos porque nos
proporcionan algún servicio: vendedoras, instaladores, desarrolladoras, operadores de
mantenimiento, etc. Junto con las empleadas de la organización (y a veces más que ellas) son
los que probablemente más conocen nuestros sistemas: los han instalado, han creado e
instalado software o los están manteniendo. Cualquiera de estas personas puede programar de
forma intencionada y oculta el ordenador (por ejemplo, estableciendo puertas traseras) para
facilitar su acceso o control posterior, para obtener información o para bloquear o dañar el
equipo.
Incluso aunque pudiéramos tener plena confianza en la entidad que nos vende o provee
servicios informáticos, nadie nos puede asegurar que una de las técnicos que trabaja para ella
no pueda preparar y cometer un delito contra nuestro sistema habiéndose ido ya de esta
entidad. Tampoco nadie nos podrá asegurar que un empleado de nuestro contratista no pueda
dañar involuntariamente nuestros datos o nuestro hardware. Por eso siempre debemos dejar
claro cuáles son las responsabilidades en las que incurre la entidad contratada en caso de que
nuestro sistema informático sufra daños, de forma voluntaria o involuntaria, causados por el
personal que trabaja a su servicio.
Por otro lado es muy importante hacer adquisiciones a entidades que provean de un
servicio técnico adecuado a nuestras necesidades, tanto en duración como en calidad. Tanto
para el hardware como para el software, debemos considerar el riesgo de que surja un

problema que el servicio técnico no sea capaz de resolver en un tiempo razonable, o si

simplemente la empresa suministradora desaparece dejándonos sin mantenimiento.
Por lo tanto, es fundamental que al establecer un plan de seguridad se observen los

aspectos anteriormente mencionados en lo referente a los contratos que se realicen con el
exterior. Sobre todo es necesario establecer cláusulas que especifiquen la implicación de los
vendedores en caso de que se produzcan incidentes que afecten a la seguridad.
3. Conclusiones
El factor humano es uno de los temas más resbaladizos de la seguridad informática. El
evaluar correctamente el grado de confianza que se puede tener en cada persona es solo uno de
los aspectos a tener en cuenta. Además es conveniente adoptar una serie de medidas sencillas
que pueden contribuir a evitar sus desastrosos efectos. En este sentido es importante evitar no
solamente que el personal autorizado tenga ocasión de causar daño, sino también que acumule
motivos para hacerlo.
Por último hay que resaltar que el aspecto educativo es esencial para tener controlado el
factor humano. Si hemos destacado que el 20% de los incidentes de seguridad son fraudes y
sabotajes provocados por personal autorizado (frente al 5% originado por atacantes externos),
no es menos cierto que el 50% es provocado por ese mismo personal de forma involuntaria.
No cabe duda de que contar con trabajadoras preparadas y motivadas es un seguro contra
muchos de estos incidentes, y por ello también una de las mejores inversiones que una
organización puede hacer.
Bibliografía
[GS] “Practical Unix & Internet Security”, capítulo 13.
S. Garfinkel y G. Spafford.
O'Reilly & Associates, 1996.
[ISV] “Computer Crime”, capítulo 7.

D. Icove, K. Seger y W. VonStorch.
[RG] “Computer Security Basics”, capítulo 5.

D. Russell y G. T. Gangemi Sr.

Guía de
recomendaciones para
una navegación segura
en Internet
SEGURIDAD DE LA INFORMACIÓN
División de Transformación Digital
Abril 2020
Introducción.
La navegación en Internet se ha vuelto una actividad cotidiana; acceder a la cuenta

bancaria, enviar documentación utilizando el “webmail”1, o comprar todo tipo de
productos en tiendas online son acciones que realizamos de forma habitual. Sin
embargo, esta actividad ofrece muchas “oportunidades” a los ciberdelincuentes, quienes
han puesto internet en su “punto de mira”.
Para estar protegidos es necesario que conozcamos los peligros más importantes a los
que estamos expuestos al navegar por internet, así como las medidas que podemos
adoptar para reducir estos riesgos.
Esta guía pretende, por un lado, orientar y concienciar al usuario sobre las técnicas más
utilizadas por los cibercriminales y, por otro, divulgar y ofrecer un conjunto de pautas
básicas para hacer que nuestra navegación por Internet sea más segura.
EMASESA está firmemente comprometida con la creación de una sociedad digital más
segura. Con esta finalidad, el presente documento se ha adaptado a partir de la
correspondiente guía interna con objeto de que pueda ser utilizado pública y libremente
por cualquier persona u organización interesada.
1
Correo electrónico online
2 Uso Público
Principales peligros cuando navegamos por internet.
Entre las diferentes amenazas a los que nos podemos ver expuestos cuando navegamos
por Internet, se encuentran las siguientes:
Instalación de software malicioso sin nuestro conocimiento; puede ser de muy diverso
tipo, como por ejemplo:
• Ransomware; cifra la información que tenemos almacenada en el ordenador y

reclama un pago económico a cambio de su restablecimiento2.
• Adware y/o spyware; abre constantemente ventanas emergentes de publicidad
no deseada y, en muchos casos, realiza un seguimiento de nuestros hábitos de
navegación.
• Secuestradores del navegador (browser hijackers); permiten al ciberdelincuente
tomar el control remoto de nuestro navegador y utilizarlo con fines maliciosos.
Suele agregar varios “favoritos” a la lista de marcadores del navegador y cambiar
la página de inicio e incluso algunas claves del registro.
• Capturadores de pulsaciones (keyloggers); registra todo lo que tecleamos y lo
envían a los ciberdelincuentes (por ejemplo, las contraseñas de sitios sensibles
como el banco o el correo electrónico).
• Barras de utilidades (toolbars); son barras de botones y complementos que se
añaden a nuestro navegador, generalmente durante la instalación de otro
software gratuito, y que en muchos casos esconden malware.
• Troyanos, gusanos, etc.; otros tipos de malware, en general.
Ataques de suplantación; haciendo creer al usuario que está visitando una página fiable
cuando, en realidad, se trata de una página diseñada por un ciberdelincuente con fines
maliciosos, por ejemplo para robar información confidencial o distribuir malware.
2
Actualmente es uno de los tipos de malware más dañinos y extendidos.
3 Uso Público
Ataques contra vulnerabilidades; aprovechando fallos de seguridad de los sistemas

operativos y/o aplicaciones instaladas, como el propio navegador, con objeto de robar
información sensible o descargar algún tipo de malware.
Robo de identidad; una vez los ciberdelincuentes disponen de la información de una

persona (a través de alguno de los ataques anteriores), pueden utilizarla para suplantarla
(por ejemplo, acceder a su cuenta bancaria) o cometer actos ilícitos en su nombre.
Acceso a información falsa o inexacta; ya que, como bien es sabido, no todo lo que se
publica en internet es cierto.
Dirección: www.correos.es
Página REAL de Correos y Telégrafos (Dirección real)
4 Uso Público
Dirección: www.correos-online.org
Página FALSA de Correos y Telégrafos (Dirección falsa)
Recomendaciones para un uso seguro de la web
Recomendaciones generales
Nunca accedas a enlaces sospechosos. Uno de los medios más utilizados para
redirigir a las víctimas a sitios maliciosos son los enlaces o hipervínculos. Evitar
hacer “click” en éstos previene el acceso a páginas web potencialmente capaces
de infectar al usuario. Los enlaces pueden estar incluidos en un correo
electrónico, una ventana de chat o incluso en un mensaje en una red social.
Debemos analizar si nos resultan sospechosos, como por ejemplo una invitación
a ver una foto que nos llega en un idioma extranjero, o un mensaje de un
remitente que desconocemos…. En estos casos, no debemos acceder.
5 Uso Público
No accedas a sitios web de dudosa reputación, tales como páginas de software

ilegal (warez), generadores de números de serie (keygens), etc. A través de
técnicas de “ingeniería social”, muchos sitios web suelen “promocionarse” con
información que pueden llamar la atención del usuario, como descuentos en la
compra de productos (o incluso ofertas gratuitas), primicias o materiales
exclusivos de noticias de actualidad, material multimedia o para adultos, etc. Es
recomendable que estemos atentos a estos mensajes y evitemos acceder a
páginas web con estas características.
Se prudente con los resultados que ofrecen los buscadores web ya que a través
de técnicas denominadas “Black Hat SEO”, los ciberdelincuentes suelen
posicionar sus sitios web maliciosos entre los primeros lugares en los resultados
de los buscadores, especialmente en los casos de búsquedas de palabras clave
muy utilizadas por el público (como temas de actualidad, noticias curiosas, venta
de productos baratos, etc.).
Envío de información sensible
Utiliza "conexiones seguras" siempre que vayas a transmitir datos sensibles, como
tu contraseña, acceder a información bancaria o realizar una compra por
internet. Comprueba que la dirección web de la página a la que accedes
comienza por HTTPS3, pero ten en cuenta que esta es una condición necesaria,
pero no suficiente; existen multitud de páginas HTTPS que han sido creadas por
los cibercriminales para sus acciones malintencionadas.
Evita realizar transacciones comerciales (compras online, acceso al banco…) o

enviar información sensible si estás utilizando un ordenador de un lugar público
(cibercafés, estaciones o aeropuertos, etc.). Igualmente, no realices transacciones
comerciales estando conectado a redes públicas (habitualmente redes WiFi
pública), incluso con tus propios dispositivos (ordenador, Tablet, Smartphone…).
3
Tienes aclaraciones adicionales en el apartado “Algunas dudas frecuentes”
6 Uso Público
Cierra tu sesión cuando finalices una actividad en una página web a la que hayas
accedido con tus credenciales (usuario y contraseña). Según la página, el botón
para cerrar sesión puede estar identificado de forma diferente (“Cerrar sesión”,
“Salir”, etc.).
Cierre de sesión; el botón puede tener diferentes identificaciones (Cerras sesión, salir…)
Descarga de aplicaciones y archivos
No realices descargas de aplicaciones desde páginas que no sean las oficiales.
Verifica todos los archivos que descargues desde internet con un antivirus o
aplicación de seguridad.
Ten especial precaución con la instalación de complementos extras para el

navegador, tales como barras de utilidades (Toolbars), sin verificar previamente
su autenticidad. Instálalas solo si las conoces realmente y necesita usarlas. Muchas
aplicaciones de software libre (Freeware) incluyen durante la instalación la
posibilidad de instalar utilidades extra y barras de herramientas. Procura no
instalar ninguna de estas aplicaciones extra, ya que muchas de ellas contienen
malware o adware y ponen en peligro la seguridad del navegador y tu
privacidad.
7 Uso Público
Ejemplo; barras de herramientas
Revisa periódicamente las aplicaciones instaladas en tu ordenador y elimina

cualquier aplicación de tipo ToolBar (barra de herramientas) que resulte
sospechosa o que no recuerdes haber instalado4.
Atención a las opciones de instalación premarcadas
Uso de contraseñas en internet
4
Tienes aclaraciones adicionales en el apartado “Algunas dudas frecuentes”
8 Uso Público
Una contraseña segura es tu primera línea de defensa contra los ciberdelincuentes. Por
eso es necesario seguir ciertas pautas a la hora de elegir y gestionar nuestra contraseña
en los servicios de internet a los que accedemos:
No reveles tu contraseña a nadie.
Cambia tus contraseñas periódicamente y utiliza contraseñas robustas. No dejes

las contraseñas guardadas en un archivo de texto en el disco duro de tu equipo
ni anotadas en un papel. Es recomendable el uso de gestores de contraseñas5.
No utilices las mismas credenciales para sitios y servicios web distintos. Si utilizas
siempre las mismas credenciales y alguien las descubre, podrá usarlas para entrar
también en tus cuentas de los demás sitios. Utiliza una contraseña diferente para
cada servicio web.
Crea contraseñas que te resulten fáciles de recordar pero difíciles de adivinar a

los demás6.
Ten precaución con las contraseñas que guardes en el navegador. En general,

debes evitar guardar por defecto cualquier información sensible en el
navegador, como las contraseñas, ya que esta información puede ser fácilmente
robada a través de aplicaciones maliciosas o virus. Nunca aceptes esta opción en
un ordenador público o de uso compartido (cibercafé, etc.).
Precaución con el uso de la opción "Recordar contraseña"
5
Consulta qué es un gestor de contraseñas en “Algunas dudas frecuentes”
6
Tienes algunos consejos en el apartado “Algunas dudas frecuentes”
9 Uso Público
Protege tu privacidad en la red
Nunca facilites datos personales si no es estrictamente obligatorio y, en todo caso,

hazlo únicamente si estás completamente seguro sobre quién los va a recibir.
No incluyas información sobre tus gustos, aficiones o preferencias en ninguna

web si no quieres verte bombardeado de información comercial y publicidad
relacionada con los datos registrados.
No rellenes la información que no

sea obligatoria en los formularios de las
páginas que requieran registro.
Evita publicar información sensible y

confidencial que pueda ser usada por
©https://medium.com/
terceros con fines maliciosos. También
es conveniente evitar la publicación de imágenes, incluido el etiquetado, propias
y/o de terceros. En éste último caso, hazlo siempre con su consentimiento.
Cuando realices compras o accedas a la página de tu banco hazlo siempre desde

un lugar de confianza, y nunca desde un punto de acceso público (WiFi libre,
cibercafé, etc.).
Seguridad en las Redes Sociales
Lee las políticas de uso y privacidad de los diferentes servicios antes de utilizarlos,
sobre todo, lo relacionado con la política de privacidad y la propiedad última de
los que se publica en la red social.
Piensa antes de publicar, no sea que luego te arrepientas. Valora que información
deseas revelar y controla quién puede acceder a ella. No olvides que “lo que se
sube a internet, se queda en internet” aunque lo borres.
10 Uso Público
Controla tu lista de contactos, y antes de agregar a alguien asegúrate que es de

confianza.
No respondas a las solicitudes de desconocidos, ya que pueden contener

malware o formar parte de actividades delictivas o maliciosas. Las redes sociales
contienen las mismas aplicaciones que utilizan los atacantes para propagar los
virus (correo, mensajería, navegación, etc.). Mantén las mismas
recomendaciones.
Utiliza contraseñas seguras (robustas) para que no suplanten tu identidad.
Algunas dudas frecuentes
¿Qué significa “conexión segura”?
Normalmente, cuando navegamos por internet lo hacemos utilizando el protocolo HTTP;

simplemente establece unas reglas sobre cómo se va a comunicar nuestro ordenador (el
cliente) con una página web (el servidor). En este caso, los datos se transfieren en texto
legible, por lo que si alguien intercepta la comunicación puede ver, o incluso modificar,
la información (por ejemplo, si estuviéramos accediendo a nuestro banco).
Para mitigar este problema se utiliza el protocolo HTTPS, donde la “S” del final indica que
es un protocolo HTTP, pero “seguro”. Lo que hace HTTPS es cifrar la comunicación entre
nuestro equipo y el servidor web de forma que, aunque fuera interceptada por alguien,
no sería capaz de entenderla. Este proceso se realiza mediante algoritmos matemáticos
bastante complejos.
Protocolo inseguro Protocolo seguro
11 Uso Público
Sin embargo, hay que señalar que, aunque es una condición necesaria para que una
página sea segura, no es suficiente ya que los cibercriminales, hoy en día, también
pueden crear páginas que utilicen HTTPS.
¿Qué es el Cybersquatting y cómo podemos protegernos?
El Cybersquatting, también conocido

como “apropiación de dominios” o
“ciberocupación” (“squat” significa
“apropiarse, ocupar”), se refiere al registro
por parte de cibercriminales de un
determinado dominio muy similar a otro
legítimo, con objeto de utilizarlo para fines
fraudulentos. Por ejemplo, es habitual
crear una web falsa suplantando a la de
un dominio legítimo, para robar
credenciales o descargar malware si un
Dominios existentes, similares a usuario accede a la web.
www.emasesa.com
Existen diferentes métodos utilizados por
los cibercriminales para aprovecharse de esta “apropiación de dominios”. Estos son dos
de los más habituales.
El Typosquatting; no tiene una definición concreta en castellano, pero podríamos

definirlo como el hecho de que un usuario abra una página diferente a la que se pensaba
visitar al teclear por equivocación una dirección web. En este caso, los cibercriminales
registran dominios similares al legítimo basándose en las faltas ortográficas o errores de
escritura comunes de los usuarios al escribir.
El ataque mediante dominios homográficos; consiste en enviar enlaces en correos

electrónicos o aplicaciones de mensajería (WhatsApp, Telegram, SMS, etc.) que incluyan
direcciones que se lean de forma muy parecida a los originales, pero realmente sean
distintos, simplemente cambiando alguna letra o carácter para que el usuario no se
percate de esta diferencia. Como ejemplo, fíjate en estas tres direcciones:
12 Uso Público
− www.emaჽesa.com
− www.emasesa.com
− www.ᥱmasesa.com
No son iguales; hay caracteres diferentes, aunque a simple vista son muy parecidos. Cada
una de las direcciones anteriores te llevaría a un domino diferente, pero sólo una es la
legítima de EMASESA. En una lectura rápida ¿te hubieras percatado del engaño?
Página web falsa ("yuoutube" en lugar de "youtube")
Estos consejos pueden resultarte útiles, para protegerte contra el Cybersquatting:
Al escribir la dirección URL en el navegador, asegúrate de que lo haces correctamente;

cualquier error ortográfico pueden dirigirte a un sitio web “ciberocupado” que sea
malicioso.
Al recibir un enlace en un correo o aplicación de mensajería (WhatsApp, Telegram, SMS,

etc.), y estás seguro de que el remitente es de confianza, es preferible escribirlo
(correctamente) en el navegador antes que “clicar” sobre el enlace, pero si lo haces,
13 Uso Público
asegúrate bien de que la dirección que aparece en el navegador es la correcta

revisándola detenidamente (está bien escrita, es la correcta y no aparecen caracteres
“extraños”).
No introduzcas información personal ni datos sensibles en una página web a no ser que
estés absolutamente seguro de su legitimidad.
¿Cómo puedo crear una contraseña robusta y fácilmente recordable?
Para crear una contraseña segura utiliza un mínimo de 9 caracteres, e incluye

mayúsculas, minúsculas, números y caracteres especiales (@,#,$,…). Partiendo de estos
criterios, un par de mecanismos sencillos para generar una contraseña robusta son:
1. Por ejemplo, imagínate y recuerda una frase como “Terminé de estudiar en el

colegio en 2004” y usa las iniciales de cada palabra de este modo: “Tdeeece2004”.
Cuanto más largas sean, mejor, así resultarán más difíciles de descubrir.
2. Otra buena opción, complementaria a la anteriores, sería cambiar algunas letras

minúsculas por mayúsculas y escribir un número o un carácter especial en vez de
una letra o viceversa, por ejemplo:
• Empezar y acabar con mayúsculas.

• Poner una "n" en vez de una "ñ".
• Cambiar una "e" por un "3".
• Cambiar la letra "a" por un "@".
• Cambiar la letra “o” por un “0”.
Aplicando estas reglas sencillas, la palabra, “compañeros” podría

transformarse en la contraseña “C0mp@n3r0S”.
Si quieres saber si tu contraseña es segura, puedes comprobarla en la siguiente dirección:
https://password.kaspersky.com/es/
14 Uso Público
¿Qué es un gestor de contraseñas?
Es necesario tener una contraseña diferente en cada servicio web al que accedamos
(Banco, Facebook, Gmail, etc.). Para evitar tener que apuntarlas o memorizarlas, se
puede utilizar un tipo de software que permite gestionarlas, esto es, un gestor de
contraseñas. Se trata de una aplicación que almacena todas tus contraseñas en un único
archivo cifrado, al cual sólo se puede acceder si conoces una contraseña "maestra". La
aplicación es capaz de generar y proponerte contraseñas robustas según los criterios que
establezcas (número de caracteres, uso de caracteres especiales, números, etc.). Una vez
generas la contraseña, puedes guardarla en la aplicación indicando los detalles de a qué
servicio corresponde (banco, Facebook, etc.). De esta forma, puedes tener todas las
contraseñas bien organizadas y correctamente protegidas siempre, claro está, que tu
contraseña “maestra” que es la única que deberás recordar, sea suficientemente robusta.
Dispones de numerosas soluciones, tanto en aplicaciones de escritorio como

aplicaciones online que puedes utilizar en tu ámbito personal. Una aplicación gratuíta y
muy útil es “Keepass”, disponible en esta dirección:
https://keepass.info/
Aspecto del gestor de contraseñas Keepass
15 Uso Público
¿Puedo infectar mi equipo si simplemente navego por internet?
Desgraciadamente la respuesta a esta pregunta es afirmativa. Los atacantes son capaces

de aprovecharse de un fallo de seguridad (vulnerabilidad) y tomar el control de un
ordenador, simplemente por haber abierto una página infectada. Esta técnica se conoce
como “Drive-by download”. Para minimizar este riesgo es importante que los
navegadores que uses estén debidamente actualizados, al igual que sus complementos
y plugins.
Para proteger tu equipo de casa, debes mantener el navegador al día. Te recomendamos

que configures la opción de “actualizaciones automáticas”. Esta funcionalidad viene
incorporada en los principales navegadores. Aquí tienes un resumen de la forma de
hacerlo.
Configuración actualización en los principales navegadores
¿Por qué al acceder a algunas páginas web aparece un aviso de que la página no es
segura?
Cuando el navegador se conecta a una “página segura” (como hemos visto, la URL
empieza por "https://"), debe comprobar que:
• La página es auténtica; esto lo realiza validando el certificado digital.

• El cifrado de la comunicación es lo suficientemente fuerte como para que no
pueda ser descifrado.
16 Uso Público
Página segura; la URL empieza por "https"
NOTA
El proceso de validación de un certificado digital es, de forma resumida, el siguiente:
Para que el certificado digital sea válido tiene que estar emitido por una “entidad de
confianza”. La identidad de esta “entidad de confianza” es un dato que aparece en el propio
certificado. Así, cuando el navegador “recibe” el certificado digital del servidor, “pregunta” a
la “entidad de confianza” que aparece en el mismo, si realmente ha emitido el certificado, si
se corresponde efectivamente con la página a la que estamos queriendo acceder y si sigue
siendo válido.
Por hacer un símil sería algo así como pedir un DNI (sería el certificado digital) para identificar
a una persona que nos da su nombre y apellido. Con ese DNI preguntaríamos a la Policía (sería
la “entidad de confianza”) si ese es válido y si realmente se corresponde con quien la persona
dice ser.
En caso de que el certificado no cumpla con alguna de las condiciones indicadas, al

intentar acceder a la página aparecerá un mensaje de advertencia similar al siguiente:
Aviso por certificado digital no confiable
17 Uso Público
En estos casos, debemos estar muy seguros de lo que hacemos antes de acceder a la
página utilizando la opción “O puede añadir una excepción”.
Un ejemplo certificado de seguridad válido sería el que se muestra en la siguiente

imagen:
Ejemplo certificado digital válido (candado cerrado)
¿Cómo puedo analizar si un fichero tiene algún virus?
Como ya hemos indicado, es necesario verificar todos los archivos que descargues desde
internet con un antivirus o aplicación de seguridad. Para ello, existen varias herramientas
online gratuitas como por ejemplo VirusTotal. El enlace a esta web es:
https://www.virustotal.com/es/
Página web de Virustotal
18 Uso Público
Otra alternativa la puedes encontrar en el siguiente enlace
https://www.hybrid-analysis.com/
Página web de Hybrid-Analysis
¿Cómo puedo revisar periódicamente mi PC?
A nivel doméstico te aconsejamos que tengas un antivirus convenientemente

actualizado y que revises tu equipo periódicamente con algún antivirus específico. Para
ello te recomendamos las aplicaciones gratuitas Spybot Search and Destroy y Malware
Bytes, mediante las cuales puedes analizar periódica y fácilmente tu equipo en busca de
amenazas.
¿Cómo puedo comprobar si una página web es segura?
Para comprobar la seguridad de una página web puedes alguno de los servicios
gratuitos disponibles en internet. Te recomendamos:
Virustotal
https://www.virustotal.com/es/
19 Uso Público
Página web de Virustotal
Quttera
https://www.quttera.com/
Página web de Quttera
¿Qué es y cómo puedo eliminar mi historial de navegación?
El historial de navegación es un registro de todas las páginas que visitamos en Internet

con nuestro navegador. Esto puede resultar práctico en muchas ocasiones para
encontrar más fácilmente las páginas que estuvimos visitando en días anteriores, pero
también tiene su parte negativa: permite a cualquier persona que tenga acceso a nuestro
ordenador saber qué es lo que hemos estado haciendo en internet. Es especialmente
aconsejable borrar el historial de navegación si utilizamos un ordenador compartido (por
20 Uso Público
ejemplo, en un cibercafé). El procedimiento para borrar el historial depende del

navegador:
Internet Explorer: En este caso hay que acceder al icono de configuración y hacer clic en
“seguridad”. Después de esto, tan solo hay que acceder a “Eliminar el historial de
exploración y seleccionar los datos que desees borrar. Finalmente se selecciona
“eliminar” y listo.
Eliminar
Imagen historial
17 Borrar navegación
historiar InternetIEExplorer
Opciones de eliminación en IE
21 Uso Público
Mozilla Firefox: tienes que acceder al menú y acceder a “historial”. Luego tan solo hay
que pulsar sobre “limpiar el historial reciente”, donde podrás seleccionar el intervalo de
tiempo y los elementos que quieras borrar.
Eliminar historial Firefox
Google Chrome: debes hacer es acceder al menú de Chrome, pulsando en el icono en

la esquina superior derecha. Una vez abierto, accede al apartado de “historial” y una vez
dentro, encontrarás una opción llamada “Borrar datos de navegación”. Una vez hecho
esto, aparecerá un cuadro donde podrás determinar las fechas concretas que quieres
eliminar, o si quieres eliminarlo todo.
Eliminar historial Chrome
22 Uso Público
En muchas ocasiones cuando accedo a una página aparece un aviso de “Aceptar

Cookies” ¿qué significa?
Las cookies son pequeños ficheros de texto que un servidor web envía a nuestro
navegador cuando accedemos a una página web. Estos ficheros se guardan localmente
en nuestro equipo.
Ejemplo contenido de una cookie
En general, almacenan nuestras preferencias cuando navegamos por una página web,
por ejemplo, productos añadidos al “carrito de la compra”, idioma seleccionado,
credenciales de acceso, etc. Su objetivo, en principio, es facilitarnos la navegación.
Sin embargo, existen también cookies publicitarias, que almacenan información sobre
los lugares que hemos visitado y que permiten que se nos ofrezca una publicidad acorde
a lo que nos interesa. En algunos casos estas cookies son tan intrusivas que llegan incluso
al espionaje informático.
Ante esta situación se publicó la conocida como “Ley de Cookies”, que obliga a los
propietarios de las páginas web a informar a los usuarios de las cookies que utilizan y sus
características a través de la “Política de Cookies”, y solicitar su autorización.
23 Uso Público
Ejemplo aviso “aceptación de cookies”
Además de la posible intromisión en nuestra intimidad, las cookies pueden sobrecargar

el navegador a medida que van aumentando en número, por lo que es una práctica
aconsejable eliminarlas de forma periódica. Para borrarlas, hay que ir a la configuración
del navegador y borrar todo el historial de navegación (explicado en el apartado “¿Cómo
puedo eliminar mi historial de navegación?”), con la inclusión de todas las cookies.
24 Uso Público
EXTENSIÓN DEL EJERCICIO PROFESIONAL
Contra los hackers. Cinco medidas que los contadores pueden tomar
La amenaza de seguridad cibernética es un reto imponente, por pequeña que sea la empresa.
La buena noticia es que puede tomar las medidas para fortalecer las protecciones y minimizar
los riesgos.
Los contadores pueden jugar un papel esencial para ayudar a las organizaciones a desarrollar e
implementar estrategias para proteger las redes informáticas y la información computarizada. En el
mundo de hoy el software se formula y libera rápidamente, de manera que el riesgo de los agujeros de
seguridad es mayor.
Puede ocurrir que usted no sepa el papel que juega como Contador Público Certificado (CPC) para
fortalecer los esfuerzos de seguridad cibernética de su organización. Tanto en la contabilidad pública,
como en las empresas y en la industria, los CPC son participantes clave para la seguridad cibernética.
Ciertamente, los contadores públicos son responsables de salvaguardar la información financiera más
delicada de sus clientes. Los contadores administrativos como los Directores de Finanzas (CFO, por
sus siglas en inglés), a menudo pasan por alto la gestión del riesgo, bajo la cual cae típicamente la
seguridad cibernética. Y en las organizaciones de todo tipo, los CPC juegan roles cruciales al
desarrollar presupuestos que ayuden a determinar la manera en que se implementan las medidas de
seguridad cibernética.
Mejorar la seguridad cibernética empieza con aceptar que su empresa no es inmune al crimen
cibernético y en educarse usted mismo sobre las más grandes amenazas contra sus redes informáticas
y su información. Este artículo analiza los cinco riesgos más grandes de seguridad cibernética que
enfrentan los CPC y sus organizaciones, y luego ofrece un plan de batalla de cinco pasos para luchar
contra los criminales cibernéticos.
LOS CINCO MAYORES RIESGOS
[1] Ignorancia. Podría pensar que la mayoría de los líderes empresariales conocen muy bien la
amenaza que representan los delincuentes cibernéticos. Después de todo, las violaciones de
alto perfil contra Sony, Target y un sinnúmero de otras organizaciones han generado una
inundación de cobertura de medios y de charlas en redes sociales. A pesar de ello, muchos
profesionales empresariales todavía no captan la dimensión y la gravedad de la amenaza. Suelen
considerar que la organización no tiene nada que valga la pena robar o que es muy pequeña
para ser un objetivo. Error. Todos están en riesgo.
Los hackers en general enfocan como objetivo a cualquiera que tenga una vulnerabilidad en sus
sistemas de Tecnologías de la Información (TI). Y cuando eligen un objetivo, los hackers en
ocasiones escogen empresas pequeñas para conseguir el acceso a otras organizaciones. En el
fondo, usted no sabe lo que no conoce. Si usted no se da cuenta de que está en riesgo,
probablemente no tomará medidas para identificar y mitigar el riesgo.
[2] Contraseñas. Las claves de acceso siguen siendo el principal riesgo de seguridad para las
organizaciones. El Informe de Investigación de Violaciones de Información 2013 del equipo RISK
de Verizon encontró que 76% de las violaciones a las redes corporativas han sido resultado
directo de credenciales robadas o perdidas. Las contraseñas débiles que se roban fácilmente
también son una preocupación. El informe anual de las Peores Contraseñas de SlashData, que
se recopila a partir de millones de contraseñas filtradas, encontró que desde 2011 las
contraseñas más usadas son “123456” y “password”. Y no solamente las personas usan
contraseñas débiles y simples, sino que también a menudo utilizan una para todo, aumentando
el riesgo. Una violación que expone una contraseña en un sitio de redes sociales podría parecer
desligada de su empresa, pero ¿qué pasa si la contraseña de un empleado fue expuesta en la
violación y su lugar de empleo o su banco ha sido identificado en una página de perfil? La
contraseña comprometida podría ser usada para intentar el acceso a otros sistemas.
El impacto de las contraseñas débiles y repetitivas ha aumentado ahora que se están usando
tantos sistemas de nube, pues los delincuentes ya no tienen que estar dentro de la red para usar
las contraseñas descubiertas. Agregue lo que actualmente los proveedores llaman acceso
1
remoto estándar a los sistemas y el problema crece más. Varias violaciones importantes han
involucrado las credenciales afectadas del proveedor.
Por más difícil de creer, Sony tenía una carpeta llamada “password” en sus redes que fueron
violadas. Es difícil imaginar cómo pudo suceder esto en una empresa tan grande, pero durante
nuestro trabajo de auditoría de seguridad de Tecnologías de la Información revisamos de manera
rutinaria no solo las contraseñas que se formulan en todo tipo de sitios, sino también los
documentos con contraseñas inseguras que están guardados en las computadoras y en los
dispositivos móviles del empleado. No haga esto.
Los hackers enfocan como objetivo a cualquiera que tenga una vulnerabilidad en sus sistemas.
Y escogen empresas pequeñas para acceder a otras.”
Si se siente abrumado por el número de contraseñas que requiere y simplemente no puede
recordarlas todas, podría considerar el uso de un manejador de contraseñas que las almacena
en forma segura para distintos sitios. Con este método, solo necesita recordar la contraseña
principal que formulará para tener acceso al manejador de contraseñas. Mediante una búsqueda
en línea puede encontrar docenas de administradores de contraseñas. Le recomiendo los
administradores con base en dispositivos en lugar de los basados en la nube, siempre y cuando
tenga funcionando las protecciones de seguridad de dispositivos. También me inclino por los
administradores que tienen un costo, aunque hay varios gratis que han recibido buenos
comentarios.
[3] Phishing. El propósito de un correo electrónico de phishing es incitar al lector a dar un clic en un
link, o bien en un anexo, abriendo la puerta para que los hackers roben información o infecten
los sistemas con un virus. Las violaciones al sistema de Target y de muchas otras empresas
empezaron con un correo electrónico de phishing.
Los correos electrónicos de phishing llegan en muchas formas, notificándole sobre la demora de
embarque de un paquete, un fraude potencial en su tarjeta de crédito o un premio de lotería, solo
por nombrar algunas. Mientras que muchos correos electrónicos de phishing están plagados de
palabras mal escritas y errores gramaticales, otros están muy bien escritos y se ven bastante
creíbles.
Un correo electrónico de phishing dirigido se conoce como pesca de arpón. Este ocurre cuando
el correo no es completamente aleatorio, sino que tiene relevancia para el receptor. Por ejemplo,
si recibe un mensaje que parece venir de su banco advirtiéndole de posibles problemas con su
cuenta, probablemente estaría dispuesto a prestar atención a la solicitud de dar un clic sobre un
vínculo, que si recibiera un mensaje aleatorio supuestamente de un banco en el que usted no
tiene cuenta.
Las empresas usan filtros para impedir que muchos correos electrónicos de phishing lleguen a
los empleados, pero algunos se cuelan inadvertidamente hasta en los mejores sistemas. Y es
bastante difícil conseguir que los usuarios reflexionen y piensen antes de abrir los correos
electrónicos y den un clic sobre vínculos y anexos. En las empresas sin ninguna capacitación, la
tasa de clics puede ser alarmante. Y recuerde, solo se requiere un simple clic para infectar
potencialmente una red informática completa.
Toda empresa deberá tener una continuidad de negocios adecuada y planes de recuperación de
desastre que incluyan los procedimientos específicos de respuesta a incidentes.
[4] Malware. El malware o software maligno se instala sin que el usuario lo sepa, típicamente desde
un anexo en un correo electrónico de phishing, o una visita a un sitio de internet infectado. En
general, el usuario no tiene idea de que su computadora ha sido infectada y el virus informático
puede permanecer inactivo por meses antes de que se utilice para robar información, incluyendo
contraseñas, o para apoderarse de los sistemas.
Otro hecho alarmante es que los delincuentes ya no requieren conocimiento técnico experto para
escribir un programa maligno. Eso es porque virtualmente cualquier persona puede comprar virus
informáticos en línea; todo lo que se necesita es una intención maligna y unos pocos cientos de
dólares.
[5] Vulnerabilidades.
Una vulnerabilidad es un defecto o debilidad en un sistema que los hackers pueden explotar.
Hoy el software se formula y se libera mucho más rápidamente, de manera que el riesgo de los
2
agujeros de seguridad es naturalmente mayor. El proveedor debe proporcionar una actualización
o un parche para cerrar el agujero, y los sistemas deben ser actualizados.
Por muchos años se han encontrado la mayoría de las vulnerabilidades en los sistemas
operativos (Windows XP, Windows 7, etc.), aunque las personas se han acostumbrado a instalar
los sistemas con actualizaciones periódicas, disminuyendo en algo el número de los sistemas
débiles. De este modo los delincuentes adoptaron un nuevo método y comenzaron a buscar las
vulnerabilidades en las aplicaciones incluyendo Adobe Flash y Java, un módulo de aplicación
común. Muchas personas y organizaciones nunca actualizan estas aplicaciones debido a que no
están conscientes del riesgo.
Las vulnerabilidades que se descubren cada día son sorprendentes. Se conocen como
vulnerabilidades de día cero porque no hay un remedio disponible en el momento del
descubrimiento. Las empresas deben mantener todo, servidores, estaciones de trabajo, laptops,
enrutadores, interruptores y hasta los dispositivos móviles actualizados todo el tiempo.
PLAN DE BATALLA
Los riesgos informáticos son tan grandes en estos días que la administración debe involucrarse en
asegurar que se pongan en operación las estrategias de mitigación apropiadas. ¿Qué pueden hacer
los contadores y otros líderes empresariales? Los siguientes cinco pasos son un buen comienzo.
[1] Acepte que su organización está en riesgo. Los directores generales (CEO, por sus siglas en
inglés), CFO, consejos de administración, socios administrativos y otros líderes de la
organización necesitan ver la ciberseguridad como el problema enorme que es y dedicar los
recursos adecuados para mantener un ambiente seguro. Los ejecutivos no tienen que
convertirse en adictos informáticos, pero ciertamente pueden aprender lo básico y saber qué
preguntas se deben plantear. El cambio empieza en el nivel más alto. El CEO no deberá estar
exento de la regla que indica que las contraseñas deben cambiarse periódicamente. La dirección
debe establecer y adoptar una cultura robusta de seguridad.
[2] Edúquese… y a su organización. Todos en toda organización necesitan de una capacitación
en seguridad. Esto significa más que solo enviar un correo electrónico indicando a las personas
que usen contraseñas seguras y que no sean presa de los correos electrónicos de phishing.
La violación masiva de seguridad de Target comenzó con un empleado de uno de los
proveedores de la empresa que dio un c lic en un vínculo de un correo electrónico de phishing.
Difunda este mensaje en toda la empresa con una capacitación continua en ciberseguridad que
cubra las amenazas nuevas y viejas, que defina los controles de seguridad de la organización,
que establezca las expectativas del empleado y que explique las consecuencias de los
procedimientos de violación del sistema.
[3] Implemente controles fuertes. Las organizaciones requieren que su departamento de TI (o el
de un proveedor externo) implemente y mantenga una lista integral de información y controles
de seguridad. Como contador, en general usted no será el responsable de implementarlos en
forma directa o de saber exactamente cómo trabajan. Pero es útil entender lo suficiente para al
menos hacer las preguntas correctas a los integrantes de TI.
Entre los datos básicos que usted necesita saber se encuentran:
Seguridad del perímetro. Sistemas de firewall y detección de intrusos, además de sistemas de
prevención de intrusiones. Estos deberán ser configurados con las restricciones adecuadas para
bloquear y filtrar, tanto el tráfico entrante como saliente por internet.
Seguridad en punto final. Requiere que cada dispositivo de cómputo de una red corporativa
cumpla con los estándares establecidos antes de que se le otorgue el acceso a la red. Estas
medidas protegen los servidores y las estaciones de trabajo e incluyen temas como las
limitaciones de acceso administrativo y la protección antivirus.
Supervisión de la red. Parte del ambiente de control deberá incluir un programa de supervisión
que sea frecuente y constante.
Controles de autenticación y administración. Todos los controles deberán exigir contraseñas
complejas que expiren periódicamente, así como restricciones sobre los intentos de conexión
inválidos, como tres intentos y estás fuera. También se requieren controles fuertes sobre la
administración de usuarios.
3
Respuesta de incidentes y continuidad de negocios. Debe incluir procedimientos específicos
de respuesta a incidentes para manejar un evento cibernético.
[4] Manténgase al día. La actualización es responsabilidad del departamento de TI y de hecho caen
en la categoría anterior de controles de TI, pero constituyen un componente de seguridad tan
crítico que justifican un tratamiento aparte.
Las organizaciones deben mantener todos los sistemas actualizados constantemente. Esto
suena sencillo hasta que se ve la lista de temas que requieren actualización. Entre los temas
están los firewalls, enrutadores, interruptores, servidores, estaciones de trabajo, laptops,
tabletas, teléfonos y dispositivos periféricos como impresoras y copiadoras. La administración
debe asegurar que el departamento de TI, interno o de un proveedor externo, actualice todos los
sistemas operativos (Windows 8, Windows 7, etcétera), y las aplicaciones (Java, Adobe Flash,
buscadores de red) con parches suministrados por el proveedor. Además, se requiere la
protección de antivirus no solo para las computadoras de escritorio y laptops, sino también para
dispositivos móviles, incluyendo los que sean propiedad del empleado y que se conecten a la
red informática.
Los líderes de las empresas necesitan ver la ciberseguridad como el problema enorme que es y
dedicar los recursos adecuados para mantener un ambiente seguro.”
Asegúrese de que TI establezca una conciliación de inventario, que asegure que todos los
sistemas estén protegidos. Aliente al equipo de TI, o de su proveedor externo, a que asignen
este rol a alguien, preferiblemente que no sea un “apaga-incendios” de TI, que tenga tiempo para
cumplir con estas tareas.
Si subcontrata el apoyo de un proveedor externo para la red informática, asegúrese de que sus
contratos establecen y asignan las responsabilidades de autorización de parches y
actualizaciones.
[5] Póngalos a prueba. Para determinar el nivel de riesgo de seguridad cibernética, una
organización deberá confiar en dos tipos de pruebas periódicas de evaluación-vulnerabilidad y
en la prueba de controles de los Sistemas de Información (SI).
La prueba de vulnerabilidad involucra el escaneo automatizado de sistemas para determinar si
se encuentran vulnerabilidades conocidas (agujeros de seguridad en el software). Las pruebas
deberán evaluar las protecciones contra las amenazas, tanto externas (hackers externos) como
internas (de personal o de hackers que logran el acceso interno). El software de escaneo
comercializado en la actualidad hace la prueba para más de 50 mil vulnerabilidades.
Las pruebas de controles del SI verifican que los controles antes descritos estén funcionando
adecuadamente. Muchas organizaciones llevan a cabo una revisión de controles seleccionados
como parte de su auditoría financiera, pero en general esto no considera el entorno completo. La
vigilancia de alto nivel deberá asegurar que el área de TI solucione con rapidez cualquier
problema que se descubra durante las pruebas.
Las organizaciones también necesitan evaluar con regularidad a los proveedores, tanto a los que
alojan su información como a los que tienen acceso a ella a través de los sistemas internos.
El CONOCIMIENTO ES PODER
El alcance de la amenaza de seguridad cibernética puede ser asombroso. En las revisiones de
seguridad de tecnología de información para organizaciones, sin importar qué tipo de entidad sean o
en qué industria se encuentren, un primer chequeo de sus protecciones de TI revela en general 40 o
más agujeros de seguridad deben ser parchados.
La seguridad cibernética es un reto imponente, un reto sin una solución a toda prueba. La buena noticia
es que usted puede ayudar a su organización a tomar las medidas para fortalecer sus protecciones.
Finalmente, su organización no puede eliminar la amenaza de los ataques cibernéticos, pero una
mezcla de educación, controles y pruebas pueden reducir el riesgo de manera significativa.
Redacción Grupo Medios

Unidad 5 - Seguridad de La Información - 1ra Parte

Cargado por

Copyright:

Formatos disponibles

Unidad 5 - Seguridad de La Información - 1ra Parte

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad 5 - Seguridad de La Información - 1ra Parte

Cargado por

Copyright:

Formatos disponibles

AÑO 2020

TITULAR Jefes de Trabajos Prácticos

Seguridad Informática. Fundamentos

Unidad V Página 1 /12

Seguridad de la Información y Seguridad Informática

• Revelación a personas no autorizadas

• Inexactitud de los datos

• Inaccesibilidad de la información cuando se necesita

Unidad V Página 2 /12

• El cifrado de la información confidencial o de las comunicaciones.

Es la característica de la información que hace que su contenido permanezca inalterado

Unidad V Página 3 /12

Establecer una política de Seguridad

• ¿De qué necesitamos protegerlo?

• ¿Cómo vamos a protegerlo?

Lo cual nos lleva a los siguientes pasos básicos:

Evaluación del valor del sistema informático

Unidad V Página 4 /12

Al evaluar nuestro sistema informático, su valor puede desglosarse en dos partes

• Los costos derivados de su pérdida.

• Valor del software. Programas y aplicaciones.

• Valor de los resultados de investigación, patent es, etc, almacenados.

• Costo del esfuerzo y material invertido para obtener los datos.

• Valor de la información personal que contiene.

• Valor de sustituir el software.

• Valor de los resultados.

• Costo de reproducir los experimentos significativos.

• Costo de regenerar la información personal.

Para comprender la variabilidad de este tipo de costos consideremos un par de casos.

Unidad V Página 5 /12

Relación Operatividad vs Seguridad

Como se observa en el gráfico esta función se vuelve exponencial al acercarse al 100%. de

Más allá de ello, al tratarse de una ciencia social, no determinística, se mantendrá la

Unidad V Página 6 /12

Vulnerabilidad, amenazas y contramedidas

La seguridad informática se encarga de la identificación de las vulnerabilidades del sistema y del

Unidad V Página 7 /12

Para poder acceder a un sistema informático (excepto en la mayoría de los ordenadores

Unidad V Página 8 /12

Unidad V Página 9 /12

Existen diversos métodos para la obtención de una contraseña en una máquina.

Unidad V Página 10 /12

Menos peligroso, aunque no exento de riesgo es elegir

 Palabras comunes y con sentido

Algunas normas para elegir una buena contraseña

• Elegir contraseñas que no sean palabras (aunque sean extranjeras), o nombres

Algunas normas para proteger la contraseña

Unidad V Página 11 /12

o No escribir la contraseña en ningún sitio, en especial cerca del ordenador. Si se

o Número de intentos limitado. Tras un número de intentos fallidos (3 a 5), pueden

Unidad V Página 12 /12

y al finalizar esta unidad...

Estos elementos son:

Un sistema informático está constituido por un conjunto de elementos físi-

Actividad en un sistema informático

Un sistema informático puede ser un subconjunto del sistema de información,

Introducción a la seguridad informática 9

La seguridad informática es la disciplina que se ocupa de diseñar las normas,

2.2. Tipos de seguridad